一种消息保护的方法及装置制造方法及图纸

一种消息保护的方法及装置，涉及通信技术领域，其中该方法包括：终端设备根据对称密钥和第一安全算法，获得被保护的初始NAS消息，并向第一网络设备发送被保护的初始NAS消息；以及向第二网络设备发送密钥相关参数，其中密钥相关参数用于获得对称密钥。由于终端设备可以通过对称密钥和第一安全算法对初始NAS消息进行安全保护，在提高初始NAS消息传输安全性的同时，与现有技术方案相比，有助于降低对初始NAS消息进行安全保护的复杂性，而且有助于提高终端设备的接入效率。

A Method and Device for Message Protection

A method and device for message protection relates to the field of communication technology, in which the terminal device obtains the protected initial NAS message according to the symmetric key and the first security algorithm, sends the protected initial NAS message to the first network device, and sends key-related parameters to the second network device, in which key-related parameters are used to obtain the symmetric key. Because the terminal device can protect the initial NAS message through symmetric key and the first security algorithm, while improving the security of the initial NAS message transmission, it helps to reduce the complexity of the initial NAS message security protection and improve the access efficiency of the terminal device compared with the existing technical schemes.

【技术实现步骤摘要】
一种消息保护的方法及装置
本申请涉及通信
，特别涉及一种消息保护的方法及装置。
技术介绍
长期演进(longtermevolution，LTE)中，非接入层(non-accessstratum，NAS)消息的安全保护是在网络设备向终端设备发送NAS安全模式命令(securitymodecommand，SMC)消息后激活的，对于终端设备在接收网络设备发送的NASSMC消息之前，终端设备与网络设备之间传输的NAS消息如初始NAS消息，是没有经过安全保护的消息，因此这些消息存在被篡改或者被攻击者嗅探的风险。现有技术中，为了提高初始NAS消息在通信过程中的安全性，终端设备向网络设备发送的初始NAS消息中只包含用户永久标识(subscriberpermanentidentifier，SUPI)和终端设备的安全能力，当终端设备接收到NASSMC消息后，对初始NAS消息中的其它参数进行安全保护后，在发送给网络设备，这种实现方式使得网络设备对于初始NAS消息的处理相对滞后，影响了终端设备的接入效率，而且较为复杂。
技术实现思路
本申请实施例提供一种消息保护的方法及装置，有助于降低对初始NAS消息进行安全保护的复杂性，以及提高终端设备的接入效率。第一方面，本申请实施例的消息保护方法，包括：终端设备根据对称密钥和第一安全算法，获得被保护的初始NAS消息，并向第一网络设备发送被保护的初始NAS消息；以及向第二网络设备发送密钥相关参数，其中密钥相关参数用于获得对称密钥。本申请实施例中由于终端设备可以通过对称密钥和第一安全算法对初始NAS消息进行安全保护，在提高初始NAS消息传输安全性的同时，与现有技术方案相比，有助于降低对初始NAS消息进行安全保护的复杂性，而且有助于提高终端设备的接入效率。在一种可能的设计中，密钥相关参数包括终端设备的公钥，终端设备可以根据下列方式获得对称密钥：终端设备根据第二网络设备的公钥和终端设备的私钥，生成对称密钥。终端设备根据第二网络设备的公钥和终端设备的私钥，生成对称密钥，在具体实现时，一种可能的设计为：终端设备根据第二网络设备的公钥和终端设备的私钥，生成中间密钥，然后根据中间密钥和固定字符串，生成对称密钥。可选的，固定字符串可以预先配置在终端设备中。在一种可能的设计中，密钥相关参数包括对称密钥的密文，其中对称密钥的密文是根据第二网络设备的公钥获得的，终端设备可以根据下列方式获得对称密钥：可选的，终端设备根据随机密钥生成算法，生成对称密钥；或者，可选的，终端设备根据随机数、永久密钥和密钥衍生函数(keyderivationfunction，KDF)，生成对称密钥。在一种可能的设计中，密钥相关参数包括第一安全算法的密文，其中第一安全算法的密文是根据第二网络设备的公钥获得的。通过上述技术方案有助于提高传输第一安全算法的安全性。在一种可能的设计中，第一安全算法是终端设备根据预配置的策略确定的。在一种可能的设计中，初始NAS消息为注册请求消息。在一种可能的设计中，终端设备在接收到来自第一网络设备的被保护的下行NAS消息后，根据对称密钥和第一安全算法对被保护的下行NAS消息进行解密，获得下行NAS消息，其中下行NAS消息可以为注册接受消息或者NASSMC消息。通过上述技术方案有助于提高传输注册接受消息或者NASSMC消息的安全性。在一种可能的设计中，终端设备接收来自第一网络设备的被保护的下行NAS消息，其中下行NAS消息中包括第二安全算法，则终端设备可以根据对称密钥和第一安全算法对被保护的下行NAS消息进行解密，获得下行NAS消息，然后从下行NAS消息中获得第二安全算法，最后若第一网络设备是对下行NAS消息的密文进行的完整性保护，则终端设备根据第二安全算法校验被保护的下行NAS消息的完整性，若第一网络设备是对下行NAS消息进行的完整性保护，则终端设备根据第二安全算法校验下行NAS消息的完整性。其中下行NAS消息为注册接受消息。由于上述技术方案中第一网络设备可以通过注册接受消息将第二安全算法发送给终端设备，从而可以不用再向终端设备传输NASSMC消息，有助于节省信令的开销。其中第二安全算法为第一网络设备选择的安全算法。在一种可能的设计中，终端设备接收来自第一网络设备的被保护的下行NAS消息，并根据对称密钥和第一安全算法，校验下行NAS消息的完整性，其中下行NAS消息可以为下行拒绝消息。通过上述技术方案能够校验下行拒绝消息的完整性，有助于终端设备确定接收到下行拒绝消息是否被伪造、篡改等，降低终端设备进入拒绝服务攻击(DenyofService，DoS)状态的可能性。在一种可能的设计中，第一网络设备为接入与移动管理功能(authenticationmanagementfunction，AMF)，第二网络设备为独立数据管理(unifieddatamanagement，UDM)实体，或者鉴权服务功能(authenticationserverfunction，AUSF)实体。第二方面，本申请实施例的消息保护的方法，包括：第二网络设备接收来自终端设备的密钥相关参数，并根据密钥相关参数，获得对称密钥，然后向第一网络设备发送对称密钥，其中密钥相关参数用于获得对称密钥，对称密钥用于对初始NAS消息进行安全保护。本申请实施例中由于第二网络设备能够将对称密钥发送给第一网络设备，从而使得第一网络设备能够根据对称密钥获得初始NAS消息。在一种可能的设计中，密钥相关参数包括终端设备的公钥；第二网络设备根据下列方式获得对称密钥：第二网络设备根据终端设备的公钥和第二网络设备的私钥，生成对称密钥。其中，第二网络设备根据终端设备的公钥和第二网络设备的私钥生成对称密钥，在具体实现时，一种可能的设计为：第二网络设备根据终端设备的公钥和第二网络设备的私钥，生成中间密钥，然后根据中间密钥和固定字符串，生成对称密钥。可选的，固定字符串可以预先配置在第二网络设备中。在一种可能的设计中，密钥相关参数包括对称密钥的密文；第二网络设备根据下列方式获得对称密钥：第二网络设备根据第二网络设备的私钥对对称密钥的密文进行解密，获得对称密钥。在一种可能的设计中，密钥相关参数包括第一安全算法的密文；第二网络设备根据第二网络设备的公钥对第一安全算法的密文进行解密，获得第一安全算法，并向第一网络设备发送第一安全算法。通过上述技术方案有助于提高第一安全算法传输的安全性。在一种可能的设计中，第一网络设备为AMF实体；第二网络设备为UDM实体、或者AUSF实体。第三方面，本申请实施例的消息保护的方法，包括：第一网络设备接收来自终端设备的被保护的初始NAS消息；以及接收来自第二网络设备的对称密钥；然后根据对称密钥和第一安全算法，获得初始NAS消息。本申请实施例中由于通过对称密钥和第一安全算法对初始NAS消息进行了安全保护，因而在提高初始NAS消息传输安全性的同时，与现有技术方案相比，有助于降低对初始NAS消息进行安全保护的复杂性，而且有助于提高终端设备的接入效率。在一种可能的设计中，第一网络设备接收来自第二网络设备的第一安全算法。通过上述技术方案有助于提高第一安全算法传输的安全性。在一种可能的设计中，初始NAS消息为注册请求消息。在一种可能的设计中，第一网络设备根据对称本文档来自技高网...

【技术保护点】
1.一种消息保护的方法，其特征在于，所述方法包括：终端设备根据对称密钥和第一安全算法，获得被保护的初始非接入层NAS消息；所述终端设备向第一网络设备发送所述被保护的初始NAS消息；所述终端设备向第二网络设备发送密钥相关参数，所述密钥相关参数用于获得所述对称密钥。

【技术特征摘要】
1.一种消息保护的方法，其特征在于，所述方法包括：终端设备根据对称密钥和第一安全算法，获得被保护的初始非接入层NAS消息；所述终端设备向第一网络设备发送所述被保护的初始NAS消息；所述终端设备向第二网络设备发送密钥相关参数，所述密钥相关参数用于获得所述对称密钥。2.如权利要求1所述的方法，其特征在于，所述密钥相关参数包括所述终端设备的公钥；所述方法还包括：所述终端设备根据所述第二网络设备的公钥和所述终端设备的私钥，生成所述对称密钥。3.如权利要求2所述的方法，其特征在于，所述终端设备根据所述第二网络设备的公钥和所述终端设备的私钥，生成所述对称密钥，包括：所述终端设备根据所述第二网络设备的公钥和所述终端设备的私钥，生成中间密钥；所述终端设备根据所述中间密钥和固定字符串，生成所述对称密钥。4.如权利要求1所述的方法，其特征在于，所述密钥相关参数包括所述对称密钥的密文，其中，所述对称密钥的密文是根据所述第二网络设备的公钥获得的；所述方法还包括：所述终端设备根据随机密钥生成算法，生成所述对称密钥；或者，所述终端设备根据随机数、永久密钥和密钥衍生函数KDF，生成所述对称密钥。5.如权利要求1至4任一所述的方法，其特征在于，所述密钥相关参数包括所述第一安全算法的密文，其中，所述第一安全算法的密文是根据所述第二网络设备的公钥获得的。6.如权利要求5所述的方法，其特征在于，所述第一安全算法是所述终端设备根据预配置的策略确定的。7.如权利要求1至6任一所述的方法，其特征在于，所述初始NAS消息为注册请求消息。8.如权利要求1至7任一所述的方法，其特征在于，所述方法还包括：所述终端设备接收来自所述第一网络设备的被保护的下行NAS消息，所述下行NAS消息为注册接受消息或者NAS安全模式命令SMC消息；所述终端设备根据所述对称密钥和所述第一安全算法对所述被保护的下行NAS消息进行解密，获得所述下行NAS消息。9.如权利要求1至7任一所述的方法，其特征在于，所述方法还包括：所述终端设备接收来自所述第一网络设备的被保护的下行NAS消息，所述下行NAS消息为注册接受消息，所述注册接受消息包含第二安全算法；所述终端设备根据所述对称密钥和所述第一安全算法对所述被保护的下行NAS消息进行解密，获得所述下行NAS消息；所述终端设备从所述下行NAS消息中获得所述第二安全算法；所述终端设备根据所述第二安全算法，校验所述下行NAS消息或者所述被保护的下行NAS消息的完整性。10.如权利要求1至7任一所述的方法，其特征在于，所述方法还包括：所述终端设备接收来自所述第一网络设备的被保护的下行NAS消息，所述下行NAS消息为注册拒绝消息；所述终端设备根据所述对称密钥和所述第一安全算法，校验所述下行NAS消息的完整性。11.如权利要求1至10任一所述的方法，其特征在于，所述第一网络设备为接入与移动管理功能AMF实体；所述第二网络设备为独立数据管理UDM实体、或者鉴权服务功能AUSF实体。12.一种消息保护的方法，其特征在于，所述方法包括：第二网络设备接收来自终端设备的密钥相关参数，所述密钥相关参数用于获得对称密钥，所述对称密钥用于对初始非接入层NAS消息进行安全保护；所述第二网络设备根据所述密钥相关参数，获得所述对称密钥；所述第二网络设备向第一网络设备发送所述对称密钥。13.如权利要求12所述的方法，其特征在于，所述密钥相关参数包括所述终端设备的公钥；所述第二网络设备根据所述密钥相关参数，获得所述对称密钥，包括：所述第二网络设备根据所述终端设备的公钥和所述第二网络设备的私钥，生成所述对称密钥。14.如权利要求13所述的方法，其特征在于，所述第二网络设备根据所述终端设备的公钥和所述第二网络设备的私钥，生成所述对称密钥，包括：所述第二网络设备根据所述终端设备的公钥和所述第二网络设备的私钥，生成中间密钥；所述第二网络设备根据所述中间密钥和固定字符串，生成所述对称密钥。15.如权利要求12所述的方法，...

【专利技术属性】
技术研发人员：胡力，陈璟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44