[发明专利]一种安全保护的方法及装置

说明书

本申请涉及无线通信技术领域。本申请的实施例提供一种安全保护的方法及装置，用以实现对多条NAS连接链路进行安全保护。本申请的方法包括：终端确定第一参数，第一参数用于表示传输非接入层NAS消息所使用的接入技术，其中，终端能够支持至少两种接入技术，且能够分别为至少两种接入技术中的每种接入技术维护对应的NAS序列号，然后终端根据第一参数、NAS密钥以及传输NAS消息所使用的接入技术对应的NAS序列号对NAS消息进行安全保护。本申请适用于对NAS消息进行安全保护的流程中。

技术领域

本申请的实施例涉及无线通信技术领域，尤其涉及一种安全保护的方法及装置。

背景技术

在第五代(5th generation，5G)系统中，终端可以只通过第三代合作伙伴计划(3rd generation partnership project,3GPP)接入技术接入移动性管理功能(accessand mobility management function,AMF)节点，也可以只通过非3GPP(non-3GPP)接入技术接入AMF节点，或者终端还可以同时通过3GPP接入技术和non-3GPP接入技术接入AMF节点。在终端同时通过3GPP接入技术和non-3GPP接入技术接入AMF节点的情况下，终端与AMF节点之间同时存在两条非接入层(non access stratum,NAS)连接链路。如果终端使用一套NAS密钥和一套非接入层序列号(non access stratum count，NAS count)分别对两条连接链路进行保护，会出现AMF节点先接收到通过其中一条链路传输的较小的NAS count，后接收到通过另一条链路传输的较大的NAS count的情况，从而发生重放攻击，导致终端与AMF节点之间的NAS连接链路传输的数据安全性较差的问题。所以终端与AMF之间存在多条NAS连接链路的情况下，如何对多条NAS连接链路进行安全保护是一个亟待解决的问题。

发明内容

本申请的实施例提供一种安全保护的方法及装置，可以实现对多条NAS连接链路进行安全保护。

为了达到上述目的，本申请的实施例提供以下技术方案：

本申请的实施例提供一种安全保护的方法，该方法包括：终端确定第一参数，然后根据第一参数、NAS密钥以及传输NAS消息所使用的接入技术对应的NAS序列号对NAS消息进行安全保护。其中，第一参数是终端在为NAS消息进行安全保护的时的输入参数，用于表示传输非接入层NAS消息所使用的接入技术，终端能够支持至少两种接入技术，且能够分别为所述至少两种接入技术中的每种接入技术维护对应的NAS序列号。

示例性地，终端支持的至少两种接入技术可以包括3GPP接入技术、非3GPP接入技术、固网接入技术等其他可以与3GPP接入技术共同使用3GPP网络核心网设备的接入技术

可选地，第一参数还可以用于表示终端传输NAS消息所使用的传输路径，终端能够分别为传输NAS消息所使用的每条传输路径维护对应的NAS序列号。

第一参数可以为加解密或完整性保护过程中新增的一个输入参数，例如接入(ACCESS)参数，可以通过将ACCESS参数的比特位设置成不同的值来表示不同的接入技术。示例性地，若第一参数为00，则代表使用的是3GPP接入技术，若第一参数为01，则代表使用的是非3GPP接入技术。或者，第一参数还可以为输入参数中的COUNT的全部或部分比特位。或者，第一参数还可以为输入参数中的BEARER的全部或部分比特位。

所述NAS密钥为终端支持的至少两种接入技术共享的NAS密钥。