5G初始注册流程详解（6）-加密完保（信息安全篇后续）

5G初始注册流程详解（6）-加密完保（信息安全篇后续）

什么是加密？和信息安全又有什么关系呢？

    加密是一种将信息转换为隐藏信息真实含义的密码的方法。加密和解密信息的科学被称为密码学。

未加密的数据也称为明文，加密的数据称为密文。用于编码和解码消息的公式称为加密算法或密码。

最原始的加密：

罗马时代的凯撒被认为是第一个使用替换型密码的人，他设计的密码是用D取代A、E取代B……，比如可以是以下的密码表：

明文 A B C D E F G H I J K L M N O P Q R S T U V W X X Y Z
密文 D E F G H I J K L M N O P Q R S T U V W X X Y Z A B C

比如delta这个词可以加密成GHOWD，敌人截获了信件看不懂什么意思，自己收到信之后只要对照密码表就知道这是delta。

谍战中的加密：

一般来说记录明文和密文对应关系的密码本是极其重要的，一旦丢失，也就木有秘密了。比如潜伏里余则成用来解译密码的那本书叫《梦蝴蝶》，这个就是密码本，余则成接受命令用的的收音机，是个人有收音机都能收到这个频道听到这串数字，但是只有余则成使用一本指定的书，才知道其中的含义。别人拿到这本书也没用。只有知道破译规律的人才能知道这是啥意思。这也是谍战剧中敌人为什么要千方百计得到密码本的原因。

诗词加密1：（唐伯虎点秋香的故事）

我画蓝江水悠悠，

爱晚亭上枫叶愁。

秋月溶溶照佛寺，

香烟袅袅绕经楼。

诗词加密2：《水浒传》中吴用写的藏头诗

芦花丛中一扁舟，

俊杰俄从此地游。

义士若能知此理，

反躬难逃可无忧。

身边常见的加密：

  用WINRAR或者7Z压缩软件，把文件加密并【设置密码】。这样就可以对重要的数据文件进行加密了，得到数据的人输入密码进行解密，就是一个简单的加密解密的过程。

完整性保护又是什么？和信息安全又有什么关系呢？

在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现，这就是完整性保护的定义；完整性是信息安全基本属性之一;

举个数据被破坏的例子；好比于在上课时，小明想传个小纸条经过多人之手给小红，传递过程中每个同学都可以改纸条上的内容，甚至替换掉，小明本来要约小红周末看电影，到小红手里就变成放学小卖部见了。这就破坏了纸条内容的数据完整性，造成结果就是小明和小红看不了电影。

古代的数据保护：

古代就是封装，就是将信件放在容器里密封好或者绳子捆扎好，然后用可塑材料加封并盖上戳记。收件人检视印记是否完好，就能了解内容是否已经泄密了。封装材料可以是胶泥、火漆、腊。直到现在，火漆封印还常常用于礼物和信件的包封。封装发展到现在，就可以是保险箱、上锁的盒子、密码筒、软件加壳。

身边的数据保护：

     常见的外卖也是数据保护的一种，外卖的打包技巧非常重要，首先需要对食物进行分类打包，然后要保证包装的完整性，最后，如果还能贴上店铺的标识和防伪标签，那就更好了，这都是一步步地加强数据的完整性，确保客户拿到外卖的时候能确定外卖没有被破坏。

通信中的数据保护：

比如数字签名，小明使用数字签名算法来保护自己小纸条的完整性。他首先生成属于自己的私钥公钥对，然后在公开场合公布公钥。在课上，小明为纸条上“周末看电影”的内容生成对应的数字签名，然后附在纸条上和纸条一起通过同学们传递给小红。小红随即使用小明公开的公钥来解密数字签名，把得到的散列值和纸条上内容的散列值进行对比验证，如果一致，则纸条上的内容的确是小明发出的，并且未被篡改的，若不一致，小红则察觉到纸条被篡改了，随即扔掉纸条。终于，小明和小红在周末看到了电影。

5G信令加密和完整性保护-SECURITY MODE COMMAND：

消息发送后，AMF激活NAS上行链路加密

ciphering  algorithm：加密算法为5G-EA0，这是空加密，

integrity  protection  algorithm：完整性保护算法为128-5G-IA1  

ngKSI：网络分配的NAS秘钥集，用于识别KAMF用的。

 Replayed  UE  security  capabilities：UE注册带来的5G安全能力，再送回去，用于UE与本地的UE安全能力进行校验，防止被降维攻击

Selected  EPS  NAS  security  algorithms：UE和4G协商的算法，用于切换到4G使用。 EEA0和 128-EIA1

Replayed  S1  UE  security  capabilities：UE注册带来的4G安全能力，再送回去，用于UE与本地的UE安全能力进行校验，防止被降维攻击

5G信令加密和完整性保护-SECURITY MODE COMPLETE：

UE先检查AMF发送的UE安全能力是否与UE中存储的相匹配，以确保未被攻击者修改；

然后使用所指示的NAS完整性算法和基于ngKSI指示的KAMF的NAS完整性密钥验证完整性保护；

UE启动NAS完整性保护，并使用ngKSI指示的安全上下文（security context）进行加密/解密。

使用加密和完整性保护的方式向AMF发送NAS安全模式完成（NAS Security Mode Complete）消息。

加密和完整性存在于我们生活的角角落落，并且随着信息水平的飞速发展，加密和信息保护又变得越来越重要，所以信息安全这个专业排名第一真不是张雪峰乱说的。最后总结一下5G增强的安全功能：

强化加密算法：在2/3/4G中，密钥传输是128位。为了应对量子计算等计算机能力的增长，5G R15标准定义了256位密钥传输；

强化完整性保护：在2/3/4G用户数据加密保护的基础上，5G进一步支持用户数据完整性保护，防止用户数据被篡改攻击；

强化用户隐私保护：在2/3/4G中，明文传输的用户永久身份可以被攻击者利用。在5G中，该身份将以加密形式发送；就是前文说的SUCI；

强化认证：在2/3/4G中，本地网络将认证向量发送到访问网络，不再参与后续的认证过程，导致部分访问网络可以伪造用户信息。在5G中，访问网络只能得到转换后的认证向量，用户的认证结果将被发送到本地网络进行进一步认证；就是前文提到的5G变成了UE，归属地网络和拜访地网络的三次鉴权认证。

强化对网络互动的保护：在2/3/4G中，攻击者可以冒充运营商的合法核心网络节点进行攻击。在5G中，新增了SEPP网元，用于在运营商之间提供端到端保护。