为什么信息安全是张雪峰老师推荐的10大高薪排名第一的专业?
信息安全是一门综合性很强的专业,要想学好这个专业,不但需要扎实的数学和计算机基础,还需要掌握法律、密码和安全标准的知识,就说要求高不高?
其次,随着5G技术的发展,安全问题越来越突出,信息泄露,网络攻击等事件频繁发生,事关国家安全,企业命脉。就说重要不重要?
对人的要求又高,对企业又这么重要,这岗位不给高薪给谁高薪呢?
所以,信息安全之所以排名张雪峰老师推荐的10大专业第一
1:对企业重要 2:能力要求高 3:高速增长,缺人
鉴权是属于信息安全吗?鉴权是什么意思?
5G鉴权也是信息安全的一种,鉴权通常来说是双向的。就是网络对终端鉴权,终端也要对网络鉴权。
网络要确认终端是否可信,在社会的方方面面都存在,比如进公司要打卡,上火车要验票,出国游要看护照,这都是网络对终端鉴权。
终端也要确认网络是否可信,这个容易被我们忽略。在科技和黑客技术日新月异的今天,一切都有可能。比如:碟中谍1-7大家基本看过,英国首相上班的地方,唐宁街10号,这安保级别是世界级的吧,一样会被顶级黑客攻破,汤姆克鲁斯轻松骗过首相,证实了辛迪加,最后才完成绝地大翻盘.(碟中谍7马上下线了,不是打广告^_^) 这个例子说明了双向鉴权的重要性,在这个高速发展的时代,不仅仅终端,网络也会被攻击和假冒,核心网也不一定是安全的,2G时代就有伪基站对UE进行攻击和盗取用户机密。
SIM,USIM和鉴权的关系?
1:SIM卡只支持单向鉴权,USIM卡开始支持双向鉴权。
2:USIM不支持5G-SUCI真加密,只支持空加密。
3:4G开始,都是USIM卡。
鉴权的发展?
1:1G时代,采用电子序号(ESN)和网络编码移动标识号(MIN)认证。
2: 2G时代,开始引入AKA-会话与密钥协商协议,2G是GSMAKA,单向鉴权。
3:3G时代,意识到单向鉴权的局限,增加了双向鉴权,就是UMTS AKA.
4:4G时代,增加IMS,变成了EPSAKA(EPC)和IMSAKA(IMS),也就是说终端一开机,就有四次鉴权等着。
5:5G时代,弥补了漫游场景鉴权的漏洞,增加归属地鉴权,变成了5GAKA(5GC)和IMSAKA(IMS),其中5GAKA增加了规划地鉴权(AMF-拜访地鉴权),拜访地鉴权(5GC-归属地鉴权)。那么5G终端开机,有几次鉴权呢?
什么是5G核心网二次鉴权?
5G网络中的鉴权,分为基本鉴权过程和二次鉴权过程。
在5G中,外部数据网络可以向终端进行一次额外的认证,从而在5G中有Primary authentication和Secondary authentication的概念。其中Primary authentication即终端接入到网络时所进行的认证,类似于5G之前的AKA认证;而Secondary authentication指的是终端为了建立与连接到5G移动网络上的外部网络之间的会话,向外部数据网络提供的一次认证。
Secondary authentication在终端和外部数据网络的AAA Server之间进行(在标准中外部数据网络的AAA称为DN-AAA, Data Network AAA)。目前来看,二次认证通过PAP,CHAP或EAP来实现。这种认证方式与独立于移动网络的第三方认证方式相比,第一是使用了移动网络中的网元(SMF,Session Management Function,相当于原来的PDN GW的信令控制部分)作为EAP Authenticator,代理外部AAA Server来完成认证的逻辑;第二是如果外部数据网络要求使用Secondary authentication,则必须经过Secondary authentication才能建立5G网络的数据连接。(下面是流程)
1:终端从UDM的签约信息中得知需要2次鉴权以及AAA的地址。
2:终端在PDU session establishment request消息中发送authentication message给AMF。
3:AMF在Nsmf PDU Session Create SM Context消息中,将authentication message发送给SMF。
4:SMF与DN-AAA之间,进行鉴权过程(access request 及 access challenge)
信令解析之Nausf_UEAuthentication_Authenticate Request:
控制面NF之间采用HTTP2.0交互,此处为AMF消费ausf的UEAuthentication服务,请求鉴权。
supiOrSuci:未加密情况,携带supi(imsi-460200107550005),加密情况下,携带suci(suci-0-460-00-0-0-0107550005)。
信令解析之Nudm_UEAuthentication_Get:
收到AMF对鉴权上下文的请求,AUSF根据对应的SUCI或SUPI值,向UDM发起“Nudm_Authenticate_Get”的请求
ausfInstanceId:携带ausf的InstanceId。
信令解析之Nudm_UEAuthentication_Get的响应:
responseCode-201:HTTP2.0响应的状态码。2XX代表成功。
authType: 鉴权采用的算法为“5G-AKA”
下面是鉴权四元组。
autn: 鉴权令牌,是网络提供给UE的参数,用于UE对网络进行鉴权。
kausf: “xResStar”和“Kausf”计算生成“hxResStar”和Kseaf;
rand: 给UE的不可预知的随机数,UE使用RAND计算鉴权响应参数及安全保密参数。
xresStar: “xResStar”和“Kausf”计算生成“hxResStar”和Kseaf;
信令解析之Nausf_UEAuthentication_Authenticate Response:
authType: 鉴权采用的算法为“5G-AKA”
rand: 给UE的不可预知的随机数
autn: 给UE的鉴权令牌。
hxresStar: 用“xResStar”和“Kausf”计算出来的,只发送了 hxresStar,没发送Kseaf
信令解析之AUTHENTICATION REQUEST:
ngKSI:NAS秘钥集标识,识别KAMF和鉴权成功后产生的安全上下文用的。
ABBA:部分鉴权成功后产生的本地安全上下文,用于实现安全特性的降级保护。
RAND:给UE的不可预知的随机数
AUTN:给UE的鉴权令牌
信令解析之AUTHENTICATION RESPONSE:
UE得到AUTN,对网络进行鉴权成功。
同时用K和RAND计算出RES*,发给AMF,
信令解析之Nausf_UEAuthentication_Authenticate Confirm:
AMF根据终端返回的RES*计算HRES*,并和从AUSF获取的HXRES*进行比较,一致则认为UE合法,完成对于拜访网络侧对终端的鉴权,同时把RES*发给AUSF。
信令解析之Nausf_UEAuthentication_Authenticate Confirm Response:
AUSF将收到的“resStar”和“hxresStar”进行对比,如果通过,向AMF发送鉴权成功消息,和SUCI解码后的SUPI,以及kseaf。
信令中HTTP/2.0 200 OK表示成功的响应,authResult中SUCCESS表示鉴权成功,SUPI为对应的IMSI,以及返回的kseaf。至此,鉴权成功完成。
AUSF和AMF均鉴权成功后,AMF才会收到锚点密钥Kseaf和SUPI。
AMF会从Kseaf推导出Kamf(Kamf保存在5G NAS security context中),之后再推导出NAS层、RRC层及UP(用户面)的加密和完整性保护密钥。
看看,这仅仅是5G网络里面的5GAKA鉴权,就如此的复杂了。这个5G鉴权也仅仅是信息安全体系的沧海一粟,信息安全的重要性,发展性,以及体系的庞大,注定了信息安全是21世纪最热门的专业之一。