一種消息保護的方法及裝置，涉及通信技術領域，其中該方法包括：終端設備根據對稱密鑰和第一安全算法，獲得被保護的初始NAS消息，并向第一網絡設備發送被保護的初始NAS消息；以及向第二網絡設備發送密鑰相關參數，其中密鑰相關參數用于獲得對稱密鑰。由于終端設備可以通過對稱密鑰和第一安全算法對初始NAS消息進行安全保護，在提高初始NAS消息傳輸安全性的同時，與現有技術方案相比，有助于降低對初始NAS消息進行安全保護的復雜性，而且有助于提高終端設備的接入效率。

技術領域

本申請涉及通信技術領域，特別涉及一種消息保護的方法及裝置。

背景技術

長期演進(long term evolution，LTE)中，非接入層(non-access stratum，NAS)消息的安全保護是在網絡設備向終端設備發送NAS安全模式命令(security modecommand，SMC)消息后激活的，對于終端設備在接收網絡設備發送的NAS SMC消息之前，終端設備與網絡設備之間傳輸的NAS消息如初始NAS消息，是沒有經過安全保護的消息，因此這些消息存在被篡改或者被攻擊者嗅探的風險。

現有技術中，為了提高初始NAS消息在通信過程中的安全性，終端設備向網絡設備發送的初始NAS消息中只包含用戶永久標識(subscriber permanent identifier，SUPI)和終端設備的安全能力，當終端設備接收到NAS SMC消息后，對初始NAS消息中的其它參數進行安全保護后，在發送給網絡設備，這種實現方式使得網絡設備對于初始NAS消息的處理相對滯后，影響了終端設備的接入效率，而且較為復雜。

發明內容

本申請實施例提供一種消息保護的方法及裝置，有助于降低對初始NAS消息進行安全保護的復雜性，以及提高終端設備的接入效率。

第一方面，本申請實施例的消息保護方法，包括：

終端設備根據對稱密鑰和第一安全算法，獲得被保護的初始NAS消息，并向第一網絡設備發送被保護的初始NAS消息；以及向第二網絡設備發送密鑰相關參數，其中密鑰相關參數用于獲得對稱密鑰。

本申請實施例中由于終端設備可以通過對稱密鑰和第一安全算法對初始NAS消息進行安全保護，在提高初始NAS消息傳輸安全性的同時，與現有技術方案相比，有助于降低對初始NAS消息進行安全保護的復雜性，而且有助于提高終端設備的接入效率。

在一種可能的設計中，密鑰相關參數包括終端設備的公鑰，終端設備可以根據下列方式獲得對稱密鑰：

終端設備根據第二網絡設備的公鑰和終端設備的私鑰，生成對稱密鑰。

終端設備根據第二網絡設備的公鑰和終端設備的私鑰，生成對稱密鑰，在具體實現時，一種可能的設計為：

終端設備根據第二網絡設備的公鑰和終端設備的私鑰，生成中間密鑰，然后根據中間密鑰和固定字符串，生成對稱密鑰。可選的，固定字符串可以預先配置在終端設備中。

在一種可能的設計中，密鑰相關參數包括對稱密鑰的密文，其中對稱密鑰的密文是根據第二網絡設備的公鑰獲得的，終端設備可以根據下列方式獲得對稱密鑰：

可選的，終端設備根據隨機密鑰生成算法，生成對稱密鑰；或者，可選的，終端設備根據隨機數、永久密鑰和密鑰衍生函數(key derivation function，KDF)，生成對稱密鑰。

在一種可能的設計中，密鑰相關參數包括第一安全算法的密文，其中第一安全算法的密文是根據第二網絡設備的公鑰獲得的。

通過上述技術方案有助于提高傳輸第一安全算法的安全性。

在一種可能的設計中，第一安全算法是終端設備根據預配置的策略確定的。

在一種可能的設計中，初始NAS消息為注冊請求消息。