5G初始注册流程详解(6)-加密完保(信息安全篇后续)
什么是加密?和信息安全又有什么关系呢?
加密是一种将信息转换为隐藏信息真实含义的密码的方法。加密和解密信息的科学被称为密码学。
未加密的数据也称为明文,加密的数据称为密文。用于编码和解码消息的公式称为加密算法或密码。
最原始的加密:
罗马时代的凯撒被认为是第一个使用替换型密码的人,他设计的密码是用D取代A、E取代B……,比如可以是以下的密码表:
明文 A B C D E F G H I J K L M N O P Q R S T U V W X X Y Z
密文 D E F G H I J K L M N O P Q R S T U V W X X Y Z A B C
比如delta这个词可以加密成GHOWD,敌人截获了信件看不懂什么意思,自己收到信之后只要对照密码表就知道这是delta。
谍战中的加密:
一般来说记录明文和密文对应关系的密码本是极其重要的,一旦丢失,也就木有秘密了。比如潜伏里余则成用来解译密码的那本书叫《梦蝴蝶》,这个就是密码本,余则成接受命令用的的收音机,是个人有收音机都能收到这个频道听到这串数字,但是只有余则成使用一本指定的书,才知道其中的含义。别人拿到这本书也没用。只有知道破译规律的人才能知道这是啥意思。这也是谍战剧中敌人为什么要千方百计得到密码本的原因。
诗词加密1:(唐伯虎点秋香的故事)
我画蓝江水悠悠,
爱晚亭上枫叶愁。
秋月溶溶照佛寺,
香烟袅袅绕经楼。
诗词加密2:《水浒传》中吴用写的藏头诗
芦花丛中一扁舟,
俊杰俄从此地游。
义士若能知此理,
反躬难逃可无忧。
身边常见的加密:
用WINRAR或者7Z压缩软件,把文件加密并【设置密码】。这样就可以对重要的数据文件进行加密了,得到数据的人输入密码进行解密,就是一个简单的加密解密的过程。
完整性保护又是什么?和信息安全又有什么关系呢?
在传输、存储信息或数据的过程中,确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现,这就是完整性保护的定义;完整性是信息安全基本属性之一;
举个数据被破坏的例子;好比于在上课时,小明想传个小纸条经过多人之手给小红,传递过程中每个同学都可以改纸条上的内容,甚至替换掉,小明本来要约小红周末看电影,到小红手里就变成放学小卖部见了。这就破坏了纸条内容的数据完整性,造成结果就是小明和小红看不了电影。
古代的数据保护:
古代就是封装,就是将信件放在容器里密封好或者绳子捆扎好,然后用可塑材料加封并盖上戳记。收件人检视印记是否完好,就能了解内容是否已经泄密了。封装材料可以是胶泥、火漆、腊。直到现在,火漆封印还常常用于礼物和信件的包封。封装发展到现在,就可以是保险箱、上锁的盒子、密码筒、软件加壳。
身边的数据保护:
常见的外卖也是数据保护的一种,外卖的打包技巧非常重要,首先需要对食物进行分类打包,然后要保证包装的完整性,最后,如果还能贴上店铺的标识和防伪标签,那就更好了,这都是一步步地加强数据的完整性,确保客户拿到外卖的时候能确定外卖没有被破坏。
通信中的数据保护:
比如数字签名,小明使用数字签名算法来保护自己小纸条的完整性。他首先生成属于自己的私钥公钥对,然后在公开场合公布公钥。在课上,小明为纸条上“周末看电影”的内容生成对应的数字签名,然后附在纸条上和纸条一起通过同学们传递给小红。小红随即使用小明公开的公钥来解密数字签名,把得到的散列值和纸条上内容的散列值进行对比验证,如果一致,则纸条上的内容的确是小明发出的,并且未被篡改的,若不一致,小红则察觉到纸条被篡改了,随即扔掉纸条。终于,小明和小红在周末看到了电影。
5G信令加密和完整性保护-SECURITY MODE COMMAND:
消息发送后,AMF激活NAS上行链路加密
ciphering algorithm:加密算法为5G-EA0,这是空加密,
integrity protection algorithm:完整性保护算法为128-5G-IA1
ngKSI:网络分配的NAS秘钥集,用于识别KAMF用的。
Replayed UE security capabilities:UE注册带来的5G安全能力,再送回去,用于UE与本地的UE安全能力进行校验,防止被降维攻击
Selected EPS NAS security algorithms:UE和4G协商的算法,用于切换到4G使用。 EEA0和 128-EIA1
Replayed S1 UE security capabilities:UE注册带来的4G安全能力,再送回去,用于UE与本地的UE安全能力进行校验,防止被降维攻击
5G信令加密和完整性保护-SECURITY MODE COMPLETE:
UE先检查AMF发送的UE安全能力是否与UE中存储的相匹配,以确保未被攻击者修改;
然后使用所指示的NAS完整性算法和基于ngKSI指示的KAMF的NAS完整性密钥验证完整性保护;
UE启动NAS完整性保护,并使用ngKSI指示的安全上下文(security context)进行加密/解密。
使用加密和完整性保护的方式向AMF发送NAS安全模式完成(NAS Security Mode Complete)消息。
加密和完整性存在于我们生活的角角落落,并且随着信息水平的飞速发展,加密和信息保护又变得越来越重要,所以信息安全这个专业排名第一真不是张雪峰乱说的。最后总结一下5G增强的安全功能:
强化加密算法:在2/3/4G中,密钥传输是128位。为了应对量子计算等计算机能力的增长,5G R15标准定义了256位密钥传输;
强化完整性保护:在2/3/4G用户数据加密保护的基础上,5G进一步支持用户数据完整性保护,防止用户数据被篡改攻击;
强化用户隐私保护:在2/3/4G中,明文传输的用户永久身份可以被攻击者利用。在5G中,该身份将以加密形式发送;就是前文说的SUCI;
强化认证:在2/3/4G中,本地网络将认证向量发送到访问网络,不再参与后续的认证过程,导致部分访问网络可以伪造用户信息。在5G中,访问网络只能得到转换后的认证向量,用户的认证结果将被发送到本地网络进行进一步认证;就是前文提到的5G变成了UE,归属地网络和拜访地网络的三次鉴权认证。
强化对网络互动的保护:在2/3/4G中,攻击者可以冒充运营商的合法核心网络节点进行攻击。在5G中,新增了SEPP网元,用于在运营商之间提供端到端保护。