A method and device for message protection relates to the field of communication technology, in which the terminal device obtains the protected initial NAS message according to the symmetric key and the first security algorithm, sends the protected initial NAS message to the first network device, and sends key-related parameters to the second network device, in which key-related parameters are used to obtain the symmetric key. Because the terminal device can protect the initial NAS message through symmetric key and the first security algorithm, while improving the security of the initial NAS message transmission, it helps to reduce the complexity of the initial NAS message security protection and improve the access efficiency of the terminal device compared with the existing technical schemes.
【技术实现步骤摘要】
一种消息保护的方法及装置
本申请涉及通信
,特别涉及一种消息保护的方法及装置。
技术介绍
长期演进(longtermevolution,LTE)中,非接入层(non-accessstratum,NAS)消息的安全保护是在网络设备向终端设备发送NAS安全模式命令(securitymodecommand,SMC)消息后激活的,对于终端设备在接收网络设备发送的NASSMC消息之前,终端设备与网络设备之间传输的NAS消息如初始NAS消息,是没有经过安全保护的消息,因此这些消息存在被篡改或者被攻击者嗅探的风险。现有技术中,为了提高初始NAS消息在通信过程中的安全性,终端设备向网络设备发送的初始NAS消息中只包含用户永久标识(subscriberpermanentidentifier,SUPI)和终端设备的安全能力,当终端设备接收到NASSMC消息后,对初始NAS消息中的其它参数进行安全保护后,在发送给网络设备,这种实现方式使得网络设备对于初始NAS消息的处理相对滞后,影响了终端设备的接入效率,而且较为复杂。
技术实现思路
本申请实施例提供一种消息保护的方法及装置,有助于降低对初始NAS消息进行安全保护的复杂性,以及提高终端设备的接入效率。第一方面,本申请实施例的消息保护方法,包括:终端设备根据对称密钥和第一安全算法,获得被保护的初始NAS消息,并向第一网络设备发送被保护的初始NAS消息;以及向第二网络设备发送密钥相关参数,其中密钥相关参数用于获得对称密钥。本申请实施例中由于终端设备可以通过对称密钥和第一安全算法对初始NAS消息进行安全保护,在提高初始NAS消息传输 ...
【技术保护点】
1.一种消息保护的方法,其特征在于,所述方法包括:终端设备根据对称密钥和第一安全算法,获得被保护的初始非接入层NAS消息;所述终端设备向第一网络设备发送所述被保护的初始NAS消息;所述终端设备向第二网络设备发送密钥相关参数,所述密钥相关参数用于获得所述对称密钥。
【技术特征摘要】
1.一种消息保护的方法,其特征在于,所述方法包括:终端设备根据对称密钥和第一安全算法,获得被保护的初始非接入层NAS消息;所述终端设备向第一网络设备发送所述被保护的初始NAS消息;所述终端设备向第二网络设备发送密钥相关参数,所述密钥相关参数用于获得所述对称密钥。2.如权利要求1所述的方法,其特征在于,所述密钥相关参数包括所述终端设备的公钥;所述方法还包括:所述终端设备根据所述第二网络设备的公钥和所述终端设备的私钥,生成所述对称密钥。3.如权利要求2所述的方法,其特征在于,所述终端设备根据所述第二网络设备的公钥和所述终端设备的私钥,生成所述对称密钥,包括:所述终端设备根据所述第二网络设备的公钥和所述终端设备的私钥,生成中间密钥;所述终端设备根据所述中间密钥和固定字符串,生成所述对称密钥。4.如权利要求1所述的方法,其特征在于,所述密钥相关参数包括所述对称密钥的密文,其中,所述对称密钥的密文是根据所述第二网络设备的公钥获得的;所述方法还包括:所述终端设备根据随机密钥生成算法,生成所述对称密钥;或者,所述终端设备根据随机数、永久密钥和密钥衍生函数KDF,生成所述对称密钥。5.如权利要求1至4任一所述的方法,其特征在于,所述密钥相关参数包括所述第一安全算法的密文,其中,所述第一安全算法的密文是根据所述第二网络设备的公钥获得的。6.如权利要求5所述的方法,其特征在于,所述第一安全算法是所述终端设备根据预配置的策略确定的。7.如权利要求1至6任一所述的方法,其特征在于,所述初始NAS消息为注册请求消息。8.如权利要求1至7任一所述的方法,其特征在于,所述方法还包括:所述终端设备接收来自所述第一网络设备的被保护的下行NAS消息,所述下行NAS消息为注册接受消息或者NAS安全模式命令SMC消息;所述终端设备根据所述对称密钥和所述第一安全算法对所述被保护的下行NAS消息进行解密,获得所述下行NAS消息。9.如权利要求1至7任一所述的方法,其特征在于,所述方法还包括:所述终端设备接收来自所述第一网络设备的被保护的下行NAS消息,所述下行NAS消息为注册接受消息,所述注册接受消息包含第二安全算法;所述终端设备根据所述对称密钥和所述第一安全算法对所述被保护的下行NAS消息进行解密,获得所述下行NAS消息;所述终端设备从所述下行NAS消息中获得所述第二安全算法;所述终端设备根据所述第二安全算法,校验所述下行NAS消息或者所述被保护的下行NAS消息的完整性。10.如权利要求1至7任一所述的方法,其特征在于,所述方法还包括:所述终端设备接收来自所述第一网络设备的被保护的下行NAS消息,所述下行NAS消息为注册拒绝消息;所述终端设备根据所述对称密钥和所述第一安全算法,校验所述下行NAS消息的完整性。11.如权利要求1至10任一所述的方法,其特征在于,所述第一网络设备为接入与移动管理功能AMF实体;所述第二网络设备为独立数据管理UDM实体、或者鉴权服务功能AUSF实体。12.一种消息保护的方法,其特征在于,所述方法包括:第二网络设备接收来自终端设备的密钥相关参数,所述密钥相关参数用于获得对称密钥,所述对称密钥用于对初始非接入层NAS消息进行安全保护;所述第二网络设备根据所述密钥相关参数,获得所述对称密钥;所述第二网络设备向第一网络设备发送所述对称密钥。13.如权利要求12所述的方法,其特征在于,所述密钥相关参数包括所述终端设备的公钥;所述第二网络设备根据所述密钥相关参数,获得所述对称密钥,包括:所述第二网络设备根据所述终端设备的公钥和所述第二网络设备的私钥,生成所述对称密钥。14.如权利要求13所述的方法,其特征在于,所述第二网络设备根据所述终端设备的公钥和所述第二网络设备的私钥,生成所述对称密钥,包括:所述第二网络设备根据所述终端设备的公钥和所述第二网络设备的私钥,生成中间密钥;所述第二网络设备根据所述中间密钥和固定字符串,生成所述对称密钥。15.如权利要求12所述的方法,...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。