CN108738015B - 网络安全保护方法、设备及系统 - Google Patents

Abstract

本申请实施例提供网络安全保护方法、设备及系统，能够提升5G网络以及未来其他网络的安全性。方法包括：终端确定终端的第一目标安全上下文；使用第一目标安全上下文对初始NAS请求消息进行安全保护，得到安全保护的NAS请求消息；向第一网络设备发送安全保护的NAS请求消息；接收来自第一网络设备的安全保护的NAS拒绝消息，安全保护的NAS拒绝消息是使用终端的第二目标安全上下文对NAS拒绝消息进行安全保护后得到的；其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，第二NAS消息头中包括终端的标识和第二安全头类型信息；根据终端的标识和第二安全头类型信息，确定第二目标安全上下文；使用第二目标安全上下文，对安全保护的NAS拒绝消息进行安全验证。

Description

网络安全保护方法、设备及系统

技术领域

本申请涉及通信技术领域，尤其涉及网络安全保护方法、设备及系统。

背景技术

第三代合作伙伴项目(3rd Generation Partnership Project，简称3GPP)定义的移动通信网络引入了安全保护机制来保证移动通信的安全，包括：通信的保密性、完整性与可用性。比如，目前的演进分组系统(Evolved Packet System，EPS)网络采用了双向身份认证机制来实现网络与终端之间合法性的相互认证，并采用了加密保护机制与完整性保护机制来实现终端与网络之间通信的保密性与完整性。其中，EPS网络引入了独立的两层安全机制，包括终端与接入网之间的接入层(Access Stratum，AS)安全、以及终端与核心网之间非接入层(Non Access Stratum，NAS)安全。这两层安全机制并行独立存在并且采用不同的安全上下文。

然而，在目前的EPS网络中，对于终端从空闲态发起的初始NAS请求消息，是不进行加密保护的，这很容易遭受伪网络(或称为虚假网络)发动的拒绝服务(Denial ofService)攻击。因为当该NAS消息在空口传输时，很容易被伪网络截获。进而，伪网络可以构造对应的NAS拒绝消息，并携带一个拒绝原因值，例如EPS业务不可用。由于终端不能区分收到的未进行完整性保护的NAS拒绝消息是由真实网络发送的，还是由伪网络发送的，它采用一致的处理方式，执行所接收的拒绝原因值所对应的动作，从而造成拒绝服务攻击，影响了终端的正常业务使用。

对于第五代(5th generation，5G)移动通信网络，目前3GPP正在研究制定针对5G网络的增强安全机制。如果在5G网络中仍然采用与上述EPS网络中一样的安全保护机制，将同样会遭受DoS攻击。

发明内容

本申请实施例提供网络安全保护方法、设备及系统，能够提升5G网络以及未来其他网络的安全性。

为达到上述目的，本申请实施例提供如下技术方案：

第一方面，提供一种网络安全保护方法，该方法包括：第一网络设备接收来自终端的安全保护的非接入层NAS请求消息，该安全保护的NAS请求消息是使用该终端的第一目标安全上下文对初始NAS请求消息进行安全保护后得到的，其中，该安全保护的NAS请求消息的消息头为第一NAS消息头，该第一NAS消息头中包括该终端的标识和第一安全头类型信息，该第一安全头类型信息用于指示该第一目标安全上下文的类型，该第一目标安全上下文包括第一安全上下文或第二安全上下文，该第一安全上下文为配置的安全上下文，该第二安全上下文为鉴权流程生成的安全上下文；该安全保护包括加密；第一网络设备根据该终端的标识和该第一安全头类型信息，确定该第一目标安全上下文；第一网络设备使用该第一目标安全上下文，对该安全保护的NAS请求消息进行安全验证，其中，该安全验证包括解密；第一网络设备根据该安全验证的结果，使用第二目标安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息，该第二目标安全上下文包括该第一安全上下文或该第二安全上下文；第一网络设备向该终端发送该安全保护的NAS拒绝消息，其中，该安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括该终端的标识和第二安全头类型信息，该第二安全头类型信息用于指示该第二目标安全上下文的类型。基于该方案，一方面，由于终端向第一网络设备发送的是对初始NAS请求消息进行安全保护的NAS请求消息，因此无法被伪网络验证通过，进而伪网络不会构造对应的NAS拒绝消息，从而可以避免一部分DOS攻击。另一方面，第一网络设备向终端发送的初始NAS请求消息的NAS拒绝消息是安全保护的NAS拒绝消息，因此终端在接收到NAS拒绝消息之后，可以根据是否进行安全保护区分该NAS拒绝消息是由真实网络发送的，还是由伪网络发送的，进而可以进行相应处理，比如丢弃伪网络发送的未进行安全保护的NAS拒绝消息，从而可以进一步彻底的防止DOS攻击风险，提升5G网络以及未来其他网络的安全性。

在一种可能的设计中，第一网络设备根据该安全验证的结果，使用第二目标安全上下文对NAS拒绝消息进行安全保护，包括：若该安全验证通过，且第一网络设备中未存储该第二安全上下文，第一网络设备使用该第一安全上下文对该初始NAS请求消息的NAS拒绝消息进行安全保护；或者，若该安全验证通过，且第一网络设备中存储有该第二安全上下文，第一网络设备使用该第二安全上下文对该初始NAS请求消息的NAS拒绝消息进行安全保护；或者，若安全验证未通过，且第一网络设备中未存储该第二安全上下文，第一网络设备使用该第一安全上下文对NAS拒绝消息进行安全保护；或者，若该安全验证未通过，且第一网络设备中存储有该第二安全上下文，第一网络设备使用该第二安全上下文对NAS拒绝消息进行安全保护。也就是说，本申请实施例中，第二安全上下文的优先级高于第一安全上下文的优先级，在存在第二安全上下文时，使用第二安全上下文对NAS拒绝消息进行安全保护。若不存在第二安全上下文，使用第一安全上下文对NAS拒绝消息进行安全保护。

在一种可能的设计中，该第一目标安全上下文包括该第一安全上下文；第一网络设备根据该终端的标识和该第一安全头类型信息，确定该第一目标安全上下文，包括：第一网络设备根据该终端的标识和该第一安全头类型信息，确定本地是否保存该第一安全上下文；若第一网络设备确定本地未保存该第一安全上下文，向第二网络设备发送第一消息，该第一消息包括该终端的标识，用于请求获取该第一安全上下文；第一网络设备接收来自该第二网络设备的该第一安全上下文；或者，若第一网络设备确定本地保存有该第一安全上下文，从本地获取该第一安全上下文。基于该方案，第一网络设备可以确定对初始NAS请求消息进行安全保护的第一目标上下文，进而可以根据该第一目标安全上下文对安全保护的NAS请求消息进行安全验证。

可选的，第一消息还包括当前为该终端服务的公共陆地移动网络PLMN的标识、当前为该终端服务的网络切片的标识或该终端当前采用的接入技术的信息。这样，当运营商在第二网络设备上为终端配置多个安全上下文时，第二网络设备可以根据终端的标识、以及第一消息中携带的当前为该终端服务的PLMN的标识、当前为该终端服务的网络切片的标识或该终端当前采用的接入技术的信息，从终端的多个安全上下文中选择第一安全上下文。

可选的，该安全保护还包括完整性保护；该安全验证还包括完整性检查。

可选的，该第一网络设备包括接入与移动管理功能AMF实体或会话管理功能SMF实体，该第二网络设备包括统一数据管理UDM实体或鉴权服务器功能AUSF实体。

第二方面，提供一种网络安全保护方法，该方法包括：终端确定该终端的第一目标安全上下文，该第一目标安全上下文包括第一安全上下文或第二安全上下文，该第一安全上下文为配置的安全上下文，该第二安全上下文为鉴权流程生成的安全上下文；终端使用该第一目标安全上下文对初始非接入层NAS请求消息进行安全保护，得到安全保护的NAS请求消息，该安全保护包括加密；终端向第一网络设备发送该安全保护的NAS请求消息，该安全保护的NAS请求消息的消息头为第一NAS消息头，该第一NAS消息头中包括该终端的标识和第一安全头类型信息，该第一安全头类型信息用于指示该第一目标安全上下文的类型；终端接收来自该第一网络设备的安全保护的NAS拒绝消息，该安全保护的NAS拒绝消息是使用该终端的第二目标安全上下文对NAS拒绝消息进行安全保护后得到的；其中，该安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括该终端的标识和第二安全头类型信息，该第二安全头类型信息用于指示该第二目标安全上下文的类型，该第二目标安全上下文包括该第一安全上下文或者该第二安全上下文；终端根据该终端的标识和该第二安全头类型信息，确定该第二目标安全上下文；终端使用该第二目标安全上下文，对该安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。基于该方案，一方面，由于终端向第一网络设备发送的是对初始NAS请求消息进行安全保护的NAS请求消息，因此无法被伪网络验证通过，进而伪网络不会构造对应的NAS拒绝消息，从而可以避免一部分DOS攻击。另一方面，第一网络设备向终端发送的初始NAS请求消息的NAS拒绝消息是安全保护的NAS拒绝消息，因此终端在接收到NAS拒绝消息之后，可以根据是否进行安全保护区分该NAS拒绝消息是由真实网络发送的，还是由伪网络发送的，进而可以进行相应处理，比如丢弃伪网络发送的未进行安全保护的NAS拒绝消息，从而可以进一步彻底的防止DOS攻击风险，提升5G网络以及未来其他网络的安全性。

在一种可能的设计中，在终端向第一网络设备发送该安全保护的NAS请求消息之后，还包括：终端接收未进行该安全保护的NAS拒绝消息；终端丢弃该未进行该安全保护的NAS拒绝消息。也就是说，终端在接收到NAS拒绝消息之后，可以根据是否进行安全保护区分该NAS拒绝消息是由真实网络发送的，还是由伪网络发送的，进而可以进行相应处理，比如丢弃伪网络发送的未进行安全保护的NAS拒绝消息，从而可以进一步彻底的防止DOS攻击风险，提升5G网络以及未来其他网络的安全性。

在一种可能的设计中，终端确定该终端的第一目标安全上下文，包括：若终端确定本地保存有该第二安全上下文，终端将该第二安全上下文确定为该终端的第一目标安全上下文；或者，若终端确定本地未保存该第二安全上下文，终端确定该第一安全上下文，将该第一安全上下文确定为该终端的第一目标安全上下文。也就是说，本申请实施例中，第二安全上下文的优先级高于第一安全上下文的优先级，在存在第二安全上下文时，使用第二安全上下文对初始NAS请求消息进行安全保护。若不存在第二安全上下文，使用第一安全上下文对初始NAS请求消息进行安全保护。

在一种可能的设计中，该第一目标安全上下文包括该第一安全上下文；终端确定该第一安全上下文，包括：终端读取该终端的全球用户识别模块USIM卡上配置的该第一安全上下文；或者，终端获取该终端上配置的该第一安全上下文。

可选的，运营商也可以同时在终端和终端使用的USIM卡上配置安全上下文。该场景下，终端通常使用USIM卡上配置的安全上下文，当然，终端也可能使用终端上配置的安全上下文，本申请实施例对此不作具体限定。

在一种可能的设计中，该第一目标安全上下文包括该第一安全上下文；终端确定该第一安全上下文，包括：终端根据当前为该终端服务的公共陆地移动网络PLMN、当前为该终端服务的网络切片或该终端当前采用的接入技术，从该终端的多个安全上下文中选择该第一安全上下文，其中，该多个安全上下文中包括该第一安全上下文，该多个安全上下文的类型与该第一安全上下文的类型相同。这样，当运营商在终端上为终端配置多个安全上下文时，终端可以从多个安全上下文中选择第一安全上下文。

可选的，该安全保护还包括完整性保护；该安全验证还包括完整性检查。

可选的，该第一网络设备包括接入与移动管理功能AMF实体或会话管理功能SMF实体。

第三方面，提供一种第一网络设备，该第一网络设备具有实现上述第一方面所述的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第四方面，提供一种第一网络设备，包括：处理器、存储器、总线和通信接口；该存储器用于存储计算机执行指令，该处理器与该存储器通过该总线连接，当该第一网络设备运行时，该处理器执行该存储器存储的该计算机执行指令，以使该第一网络设备执行如上述第一方面中任一所述的网络安全保护方法。

第五方面，本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面中任意一项的网络安全保护方法。

第六方面，本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面中任意一项的网络安全保护方法。

其中，第三方面至第六方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果，此处不再赘述。

第七方面，提供一种终端，该终端具有实现上述第二方面所述的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第八方面，提供一种终端，包括：处理器、存储器、总线和通信接口；该存储器用于存储计算机执行指令，该处理器与该存储器通过该总线连接，当该终端运行时，该处理器执行该存储器存储的该计算机执行指令，以使该终端执行如上述第二方面中任一所述的网络安全保护方法。

第九方面，本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第二方面中任意一项的网络安全保护方法。

第十方面，本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第二方面中任意一项的网络安全保护方法。

其中，第七方面至第十方面中任一种设计方式所带来的技术效果可参见第二方面中不同设计方式所带来的技术效果，此处不再赘述。

第十一方面，本申请实施例提供一种网络安全保护系统，该网络安全保护系统包括上述任一方面所述的终端和上述任一方面所述的第一网络设备。

本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

图1为本申请实施例提供的网络安全保护系统的架构示意图；

图2为本申请实施例提供的5G网络架构示意图；

图3为本申请实施例提供的手机的通用硬件架构示意图；

图4为本申请实施例提供的计算机设备示意图；

图5为本申请实施例提供的网络安全保护方法的流程示意图一；

图6为本申请实施例提供的网络安全保护方法的流程示意图二；

图7为本申请实施例提供的第一网络设备的结构示意图一；

图8为本申请实施例提供的第一网络设备的结构示意图二；

图9为本申请实施例提供的终端的结构示意图一；

图10为本申请实施例提供的终端的结构示意图二。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。比如，本申请实施例中的第一安全上下文的“第一”和第二安全上下文中的“第二”仅用于区分不同的安全上下文。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图1所示，为本申请实施例提供的网络安全保护系统10的架构示意图。该网络安全保护系统10包括第一网络设备101和终端102。

其中，终端102用于：确定该终端102的第一目标安全上下文，该第一目标安全上下文包括第一安全上下文或第二安全上下文，第一安全上下文为配置的安全上下文，第二安全上下文为鉴权流程生成的安全上下文；使用第一目标安全上下文对NAS请求消息进行安全保护，得到安全保护的NAS请求消息，该安全保护包括加密；向第一网络设备发送安全保护的NAS请求消息，该安全保护的NAS请求消息的消息头为第一NAS消息头，该第一NAS消息头中包括终端102的标识和第一安全头类型信息，该第一安全头类型信息用于指示第一目标安全上下文的类型。

第一网络设备101用于：接收来自终端102的安全保护的NAS请求消息；根据终端102的标识和第一安全头类型信息，确定第一目标安全上下文；使用第一目标安全上下文，对安全保护的NAS请求消息进行安全验证，该安全验证包括解密；根据安全验证的结果，使用第二目标安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息，该第一目标安全上下文包括第一安全上下文或第二安全上下文；向所终端102发送安全保护的NAS拒绝消息，其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端102的标识和第二安全头类型信息，该第二安全头类型信息用于指示第二目标安全上下文的类型。

终端102还用于：接收来自第一网络设备的安全保护的NAS拒绝消息；根据终端102的标识和第二安全头类型信息，确定第二目标安全上下文；使用第二目标安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

需要说明的是，图1中第一网络设备101和终端102可能直接通信，也可能通过其他网络设备的转发进行通信，本申请实施例对此不作具体限定。

具体的，上述网络安全保护系统10可以应用于5G网络以及未来其它的网络，本申请实施例对此不作具体限定。

其中，若上述网络安全保护系统10应用于5G网络，则如图2所示，第一网络设备101具体可以为5G网络中的接入与移动管理功能(Access and Mobility ManagementFunction，AMF)实体或会话管理功能(Session Management Function，SMF)实体；终端102具体可以为5G网络中的终端。其中，AMF实体的主要功能可参考上述对第一网络设备101的描述，终端的主要功能可参考上述对终端102的描述，在此不再赘述。

此外，如图2所示，该5G网络还可以包括接入网络(Access Network，AN)设备、统一数据管理(Unified Data Management，UDM)实体和鉴权服务器功能(AuthenticationServer Function，AUSF)实体。终端通过下一代网络(Next generation，N)接口1(简称N1)与AMF实体通信，AN设备通过N接口2(简称N2)与AMF实体通信，AMF实体通过N接口11(简称N11)与UPF实体通信，AMF实体通过N接口8(简称N8)与UDM实体通信，AMF实体通过N接口12(简称N12)与AUSF实体通信。

其中，终端通过AN设备接入5G网络。AUSF实体或者UDM实体用于保存运营商为终端配置的安全上下文，也就是下述实施例中的第一安全上下文。

虽然未示出，上述的5G网络还可以包括用户面功能(User Plane Function，UPF)实体、和策略控制功能(Policy Control Function，PCF)实体，等等，本申请实施例对此不作具体限定。

需要说明的是，上述5G网络中的终端、RAN接入点、AMF实体、SMF实体、AUSF实体和UDM实体等仅是一个名字，名字对设备本身不构成限定。在5G网络以及未来其它的网络中，终端、RAN接入点、AMF实体、SMF实体、AUSF实体和UDM实体所对应的网元或实体也可以是其他的名字，本申请实施例对此不作具体限定。例如，该UDM实体还有可能被替换为用户归属服务器(Home Subscriber Server，HSS)或者用户签约数据库(User SubscriptionDatabase，USD)或者数据库实体，等等，在此进行统一说明，以下不再赘述。

需要说明的是，本申请所涉及到的终端可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，以及各种形式的终端，移动台(Mobile Station，MS)，用户设备(User Equipment，UE)，终端设备(Terminal Equipment)，软终端等等。为方便描述，本申请中，上面提到的设备统称为终端。

另外，本申请实施例图1中的第一网络设备101，可能由一个实体设备实现，也可能由多个实体设备共同实现，还可能是一个实体设备内的一个逻辑功能模块，本申请实施例对此不作具体限定。

如图3所示，图1中的第一网络设备101和终端102可以通过图3中的通信设备来实现。

图3所示为本申请实施例提供的通信设备的硬件结构示意图。通信设备300包括至少一个处理器301，通信总线302，存储器303以及至少一个通信接口304。

处理器301可以是一个通用中央处理器(Central Processing Unit，CPU)，微处理器，特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信总线302可包括一通路，在上述组件之间传送信息。

通信接口304，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(Radio Access Network，RAN)，无线局域网(Wireless Local AreaNetworks，WLAN)等。

存储器303可以是只读存储器(Read-Only Memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(Random Access Memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器303用于存储执行本申请方案的应用程序代码，并由处理器301来控制执行。处理器301用于执行存储器303中存储的应用程序代码，从而实现本申请下述实施例提供的网络安全保护方法。

在具体实现中，作为一种实施例，处理器301可以包括一个或多个CPU，例如图3中的CPU0和CPU1。

在具体实现中，作为一种实施例，通信设备300可以包括多个处理器，例如图3中的处理器301和处理器308。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，通信设备300还可以包括输出设备305和输入设备306。输出设备305和处理器301通信，可以以多种方式来显示信息。例如，输出设备305可以是液晶显示器(Liquid Crystal Display，LCD),发光二级管(Light Emitting Diode，LED)显示设备，阴极射线管(Cathode Ray Tube，CRT)显示设备，或投影仪(projector)等。输入设备306和处理器301通信，可以以多种方式接受用户的输入。例如，输入设备306可以是鼠标、键盘、触摸屏设备或传感设备等。

上述的通信设备300可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中，通信设备300可以是台式机、便携式电脑、网络服务器、掌上电脑(PersonalDigital Assistant，PDA)、移动手机、平板电脑、终端设备、嵌入式设备或有图3中类似结构的设备。本申请实施例不限定通信设备300的类型。

下面将结合图1至图3对本申请实施例提供的网络安全保护方法进行具体阐述。

首先，结合图1所示的网络安全保护系统10，本申请实施例提供的网络安全保护方法的流程示意图如图4所示，包括如下步骤：

S401、终端确定该终端的第一目标安全上下文，该第一目标安全上下文包括第一安全上下文或第二安全上下文。其中，第一安全上下文为配置的安全上下文，第二安全上下文为鉴权流程生成的安全上下文。

其中，本申请实施例中，第一目标安全上下文是终端用来对发送给第一网络设备的初始NAS请求消息进行安全保护的安全上下文，在此进行统一说明，以下不再赘述。

S402、终端使用第一目标安全上下文对初始NAS请求消息进行安全保护，得到安全保护的NAS请求消息，该安全保护包括加密。

S403、终端向第一网络设备发送安全保护的NAS请求消息，以使得第一网络设备接收来自终端的安全保护的NAS请求消息。

该安全保护的NAS请求消息的消息头为第一NAS消息头，该第一NAS消息头中包括终端的标识和第一安全头类型信息，该第一安全头类型信息用于指示第一目标安全上下文的类型。

S404、第一网络设备根据终端的标识和第一安全头类型信息，确定第一目标安全上下文。

S405、第一网络设备使用第一目标安全上下文，对安全保护的NAS请求消息进行安全验证，该安全验证包括解密。

S406、第一网络设备使用第二目标安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息，该安全保护包括加密。该第二目标安全上下文包括第一安全上下文或第二安全上下文。

其中，本申请实施例中，第二目标安全上下文是第一网络设备用来对发送给终端的NAS拒绝消息进行安全保护的安全上下文，在此进行统一说明，以下不再赘述。

S407、第一网络设备向终端发送安全保护的NAS拒绝消息，以使得终端接收来自第一网络设备的安全保护的NAS拒绝消息。

其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端的标识和第二安全头类型信息，该第二安全头类型信息用于指示第二目标安全上下文的类型。

S408、终端根据终端的标识和第二安全头类型信息，确定第二目标安全上下文。

S409、终端使用第二目标安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

其中，步骤S401-S409的具体实现将在图5和图6所示的实施例中详细阐述。

可选的，在终端向第一网络设备发送安全保护的NAS请求消息之后，还可以包括：终端接收未进行安全保护的NAS拒绝消息；终端丢弃未进行安全保护的NAS拒绝消息。

由于本申请实施例中的真实网络的NAS拒绝消息是进行安全保护的，因此在终端接收到未进行安全保护的NAS拒绝消息之后，可以认为是伪网络发送的，进而可以直接丢弃该未进行安全保护的NAS拒绝消息。

基于本申请实施例提供的网络安全保护方法，一方面，由于终端向第一网络设备发送的是对初始NAS请求消息进行安全保护的NAS请求消息，因此无法被伪网络验证通过，进而伪网络不会构造对应的NAS拒绝消息，从而可以避免一部分DOS攻击。另一方面，第一网络设备向终端发送的初始NAS请求消息的NAS拒绝消息是安全保护的NAS拒绝消息，因此终端在接收到NAS拒绝消息之后，可以根据是否进行安全保护区分该NAS拒绝消息是由真实网络发送的，还是由伪网络发送的，进而可以进行相应处理，比如丢弃伪网络发送的未进行安全保护的NAS拒绝消息，从而可以进一步彻底的防止DOS攻击风险，提升5G网络以及未来其他网络的安全性。

其中，上述S401、S402、S403、S408和S409中终端的动作可以由图3所示的通信设备300中的处理器301调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

其中，上述S404、S405、S406和S407中第一网络设备的动作可以由图3所示的通信设备300中的处理器301调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

其次，以图1所示的网络安全保护系统10应用于如图2所示的5G网络，第一网络设备为AMF实体为例，对图4所示的网络安全保护方法进行展开说明。

如图5所示，为本申请实施例提供的一种网络安全保护方法的流程示意图。该网络安全保护方法涉及到终端、AMF实体、以及UDM实体之间的交互，包括如下步骤：

S500、运营商同时在终端或终端使用的全球用户识别卡(Universal SubscriberIdentity Module，USIM)卡上、以及网络侧为该终端配置相同的安全上下文。

其中，运营商在终端使用的USIM卡上配置安全上下文的场景相对于运营商在终端上配置安全上下文的场景更加普遍，因为USIM卡是运营商发行的。运营商在终端上配置安全上下文，通常适用于运营商签约的终端。在此进行统一说明，以下不再赘述。

可选的，运营商在网络侧为终端配置安全上下文时，可以是配置在网络侧的UDM实体上，也可以是配置在网络侧的AUSF实体上，还有可能是配置在网络侧的其他网络节点上，本申请实施例对此不作具体限定。

可选的，运营商在终端上为该终端配置安全上下文时，可以是配置在终端的非易失的内存(non-volatile memory)中，也可以是配置在终端的其他内存中，本申请实施例对比不作具体限定。

可选的，运营商也可以同时在终端和终端使用的USIM卡上配置安全上下文。该场景下，终端通常使用USIM卡上配置的安全上下文，当然，终端也可能使用终端上配置的安全上下文，本申请实施例对此不作具体限定。

可选的，本申请实施例中，运营商配置的安全上下文可以称为缺省(default)安全上下文、或者初始(initial)安全上下文，或者签约(subscribed)安全上下文等，本申请实施例对此不作具体限定。

可选的，本申请实施例中，运营商配置的安全上下文至少包括以下参数：安全保护密钥与安全保护算法。其中，安全保护密钥可以是根密钥，也可以是能直接使用的NAS安全密钥，本申请实施例对此不作具体限定。安全保护算法包括加密算法。可选的，安全保护算法还可以包括完整性保护算法。本申请实施例对具体算法类型，本发明不做限定。其中，若安全上下文中的安全保护密钥是NAS安全密钥，则终端和AMF实体可以直接采用该NAS安全密钥和加密算法对NAS消息进行加密；若安全上下文中的安全保护密钥是根密钥，则终端和AMF实体首先需要使用密钥推演算法从根密钥推演出对应的NAS安全密钥，进而采用该NAS安全密钥和加密算法对NAS消息进行加密，终端和AMF实体使用相同的密钥推演算法。具体的密钥推演算法可参考现有技术，在此不再赘述。

可选的，本申请实施例中，运营商可以结合预设策略，根据为终端服务的不同公共陆地移动网络(Public Land Mobile Network，PLMN)、或者为终端服务的不同网络切片(slice)、或者终端采用的不同接入技术，为终端配置一个或多个安全上下文。比如，为不同的提供漫游服务的拜访公共陆地移动网络(Visited Public Land Mobile Network，VPLMN)配置不同或相同的安全上下文；或者，为不同的网络切片配置不同或相同的安全上下文；或者，为3GPP无线空口接入，非3GPP空口接入和固定网络接入配置不同或相同的安全上下文等，本申请实施例对此不作具体限定。

S501、终端确定本地是否保存第二安全上下文。其中，该第二安全上下文为鉴权流程生成的安全上下文。

其中，步骤S501中的第二安全上下文是在上一次终端从空闲态发起初始NAS请求消息触发的流程中发起的鉴权流程生成的安全上下文。

若该终端确定本地未保存第二安全上下文，则继续执行下述步骤S502-S510。

S502、终端确定该终端的第一安全上下文，将该第一安全上下文确定为该终端的第一目标安全上下文。其中，第一安全上下文为配置的安全上下文。

可选的，若运营商在终端的USIM卡上为该终端配置安全上下文，则终端确定该终端的第一安全上下文，可以包括：终端读取终端的USIM卡上配置的第一安全上下文。

可选的，若运营商在终端上为该终端配置安全上下文，则终端确定该终端的第一安全上下文，可以包括：终端获取终端上配置的第一安全上下文。

可选的，若运营商在终端的USIM卡上和终端上同时为该终端配置安全上下文，则终端确定该终端的第一安全上下文，可以包括：终端读取终端的USIM卡上配置的第一安全上下文。

可选的，当运营商为终端配置多个安全上下文时，终端确定该终端的第一安全上下文，包括：终端根据当前为该终端服务的PLMN、当前为该终端服务的网络切片或该终端当前采用的接入技术，从终端的多个安全上下文中选择第一安全上下文，其中，多个安全上下文中包括第一安全上下文。

需要说明的是，步骤S501是个可选的步骤，终端也可以直接执行步骤S502，即终端确定该终端的第一安全上下文，将该第一安全上下文确定为终端的第一目标安全上下文，本申请实施例对此不作具体限定。

S503、终端使用第一安全上下文对初始NAS请求消息进行安全保护，得到安全保护的NAS请求消息，该安全保护包括加密。

其中，本申请实施例中的初始NAS请求消息为终端从空闲态发起的NAS请求消息，例如：第四代(4th generation，4G)移动通信系统中的附着请求(ATTACH REQUEST)消息,跟踪域更新请求(TRACKING AREA UPDATE REQUEST)消息，业务请求(SERVICE REQUEST)消息；5G移动通信系统中的注册请求(REGISTRATION REQUEST)消息等，本申请对此不做限定。在此进行统一说明，以下不再赘述。

可选的，本申请实施例中的安全保护还可以包括完整性保护，在此进行统一说明，以下不再赘述。若安全保护还包括完整性保护，则在终端使用NAS安全密钥和加密算法对初始NAS请求消息加密之后，还使用NAS安全密钥和完整性保护算法对加密后的NAS请求消息进行完整性保护，生成消息验证码(message authentication code，MAC)，本申请实施例对此不作具体限定。

S504、终端向AMF实体发送安全保护的NAS请求消息，以使得AMF实体接收来自终端的安全保护的NAS请求消息。

其中，该安全保护的NAS请求消息的消息头为第一NAS消息头，该第一NAS消息头中包括终端的标识和第一安全头类型信息，该第一安全头类型信息用于指示第一安全上下文的类型。

可选的，本申请实施例中，第一NAS消息头中的终端的标识和第一安全头类型信息可以是没有进行安全保护的。

可选的，本申请实施例中的终端的标识可以是完整的终端永久身份标识，比如国际移动用户标识(International Mobile Subscriber Identity，IMSI)；也可以是部分的终端永久身份标识，比如IMSI中的部分信息；还可以是经过安全保护的终端身份标识，比如经过哈希算法保护的IMSI信息，本申请实施例对终端的标识的具体内容不作具体限定。

可选的，第一安全头类型信息可以包括：使用第一安全上下文进行加密与完整性保护(Integrity protected and ciphered with default security context)，或者，使用第一安全上下文进行加密(Ciphered with default security context)。其中，终端与AMF约定若没有指明使用第一安全上下文，则默认使用的是第二安全上下文。

示例性的，包含第一NAS消息头的安全保护的NAS请求消息的格式如表一所示。其中，第1-(n+5)字节分配给第一NAS消息头，其余字节分配给安全保护的NAS请求消息。其中，若安全保护仅包含加密，不包含完整性保护，则第一NAS消息头中不包含消息验证码和序列号；若安全保护包含加密和完整性保护，则第一NAS消息头中包含消息验证码和序列号。需要说明的是，在表一所示的示例中，终端的标识所占的字节数是可变的，取决于终端所使用的标识的长度，例如若使用完整的IMSI，则终端的标识所占的字节数为8。

表一

在AMF实体接收来自终端的安全保护的NAS请求消息之后，可以根据第一NAS消息头中的终端的标识和第一安全头类型信息，确定第一安全上下文，具体如下述步骤S505-S514所示。

S505、AMF实体根据终端的标识和第一安全头类型信息，确定第一安全上下文。

可选的，AMF实体根据终端的标识和第一安全头类型信息，确定第一安全上下文，具体可以包括：

AMF实体根据终端的标识和第一安全头类型信息，确定本地是否保存第一安全上下文；

若确定本地保存第一安全上下文，AMF实体从本地获取第一安全上下文；若确定本地未保存第一安全上下文，AMF实体向UDM实体发送第一消息，以使得UDM实体接收该第一消息。其中，第一消息包括终端的标识，用于请求获取第一安全上下文，进而UDM实体根据第一消息中携带的终端的标识，确定为该终端配置的第一安全上下文；进而，UDM实体向AMF实体发送第二消息，以使得AMF实体接收该第二消息。其中，第二消息中包括第一安全上下文和终端的标识。

可选的，本申请实施例中的第一消息可以是第一安全上下文获取请求，第二消息可以为第一安全上下文获取响应。

可选的，本申请实施例中的第一消息还可以包括当前为该终端服务的PLMN的标识、当前为该终端服务的网络切片的标识或该终端当前采用的接入技术的信息。这样，当运营商在UDM实体上为终端配置多个安全上下文时，UDM实体可以根据终端的标识、以及第一消息中携带的当前为该终端服务的PLMN的标识、当前为该终端服务的网络切片的标识或该终端当前采用的接入技术的信息，从终端的多个安全上下文中选择第一安全上下文，其中，多个安全上下文中包括第一安全上下文。

可选的，AMF实体在接收第二消息后，可以保存第二消息中携带的第一安全上下文。

上述实施例以运营商在UDM实体上为终端配置安全上下文为例进行说明。当然，运营商还可能在网络侧的其他设备上为终端配置安全上下文，比如，在AUSF实体上为终端配置安全上下文。当在网络侧的其他设备上为终端配置安全上下文时，从其他设备上获取第一安全上下文的实现方式可参考上述从UDM实体上获取第一安全上下文的实现方式，仅需将上述方案中的UDM实体替换为其它设备即可，在此不再赘述。

S506、AMF实体使用第一安全上下文，对安全保护的NAS请求消息进行安全验证，该安全验证包括解密。

可选的，若安全保护包含完整性保护，则安全验证还包括完整性检查，在此进行统一说明，以下不再赘述。

进而，AMF实体可以根据安全验证结果，确定第二目标安全上下文执行后续的操作，具体如下述步骤S507a-S510a、S507b-S510b、S507c-S510c、以及S507d-S510d所示。其中，第二目标安全上下文包括第一安全上下文或第二安全上下文。

S507a、若安全验证通过，且AMF实体中存储第二安全上下文，AMF实体使用第二安全上下文对初始NAS请求消息的NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息。

其中，步骤S507a中的第二安全上下文可以是在上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，也即网络侧决定在本次终端从空闲态发起初始NAS消息触发的流程中不发起鉴权流程；也可以是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，本申请实施例对此不作具体限定。其中，本次终端从空闲态发起初始NAS消息时，AMF实体可以在发起鉴权流程生成新的安全上下文之后拒绝初始NAS请求消息，此时AMF实体可以获取鉴权流程生成的新的安全上下文。

其中，若安全保护包括加密，则本申请实施例中的安全验证通过是指，解密成功；若安全保护包括加密和完整性保护，则本申请实施例中的安全验证是指，解密成功且完整性检查通过，在此进行统一说明，以下不再赘述。

其中，AMF实体使用第二安全上下文对初始NAS请求消息的NAS拒绝消息进行安全保护的具体实现可参考步骤S503中终端使用第一安全上下文对初始NAS请求消息进行安全保护的实现，在此不再赘述。

S508a、AMF实体向终端发送安全保护的NAS拒绝消息，以使得终端接收来自AMF实体的安全保护的NAS拒绝消息。

其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端的标识和第二安全头类型信息，第二安全头类型信息用于指示第二安全上下文的类型。

可选的，步骤S508a中的第二安全头类型信息可以包括：进行加密与完整性保护(Integrity protected and ciphered)，或者，进行加密(Ciphered)。其中，终端与AMF约定若没有指明使用第一安全上下文，则默认使用的是第二安全上下文。

示例性的，包含第二NAS消息头的安全保护的NAS拒绝消息的格式如表二所示。其中，第1-(n+5)字节分配给第二NAS消息头，其余字节分配给安全保护的NAS拒绝消息。其中，若安全保护仅包含加密，不包含完整性保护，则第二NAS消息头中不包含消息验证码和序列号；若安全保护包含加密和完整性保护，则第二NAS消息头中包含消息验证码和序列号。需要说明的是，在表二所示的示例中，终端的标识所占的字节数是可变的，取决于终端所使用的标识的长度，例如若使用完整的IMSI，则终端的标识所占的字节数为8。

表二

S509a、终端根据终端的标识和第二安全头类型信息，确定第二安全上下文。

其中，步骤S509a中的第二安全上下文和步骤S507a中的第二安全上下文是同一个鉴权流程生成的安全上下文。也就是说，若步骤S507a中的第二安全上下文是上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，则步骤S509a中的第二安全上下文也是上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文；若步骤S507a中的第二安全上下文是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，则步骤S509a中的第二安全上下文也是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文。

S510a、终端使用第二安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

可选的，步骤S507a-S510a中的安全保护的NAS拒绝消息中还可能包含拒绝初始NAS请求消息的原因，若终端安全验证通过，终端还可能根据拒绝初始NAS请求消息的原因执行相应的动作，比如将当前的位置区域加入禁止列表并尝试在其它位置区域选择合适小区驻留，本申请实施例对终端根据拒绝初始NAS请求消息的原因执行的动作不作具体限定。若终端安全验证未通过，终端可以直接丢弃该安全保护的NAS拒绝消息。

可选的，若终端接收到未进行安全保护的NAS拒绝消息，终端丢弃未进行安全保护的NAS拒绝消息。

S507b、若安全验证通过，且AMF实体中未存储第二安全上下文，AMF实体使用第一安全上下文对初始NAS请求消息的NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息。

其中，若AMF实体中未保存上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，或者上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文失效或非法，且在本次终端从空闲态发起初始NAS消息触发的流程中，AMF实体在发起新的鉴权流程之前拒绝初始NAS请求消息，此时AMF实体中未存储第二安全上下文。

其中，该第一安全上下文可以是保存在AMF中的，也可以是通过步骤S505中的方式获取的，本申请实施例对此不作具体限定。

其中，AMF实体使用第一安全上下文对初始NAS请求消息的NAS拒绝消息进行安全保护的具体实现可参考步骤S503中终端使用第一安全上下文对初始NAS请求消息进行安全保护的实现，在此不再赘述。

也就是说，本申请实施例中，第二安全上下文的优先级高于第一安全上下文的优先级，在存在第二安全上下文时，使用第二安全上下文对初始NAS请求消息进行安全保护，或者，使用第二安全上下文对NAS拒绝消息进行安全保护。若不存在第二安全上下文，使用第一安全上下文对初始NAS请求消息进行安全保护，或者，使用第一安全上下文对NAS拒绝消息进行安全保护，在此进行统一说明，以下不再赘述。

S508b、AMF实体向终端发送安全保护的NAS拒绝消息，以使得终端接收来自AMF实体的安全保护的NAS拒绝消息。

其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端的标识和第二安全头类型信息，第二安全头类型信息用于指示第一安全上下文的类型。

可选的，步骤S508b中的第二安全头类型信息可以包括：使用第一安全上下文进行加密与完整性保护(Integrity protected and ciphered with default securitycontext)，或者，使用第一安全上下文进行加密(Ciphered with default securitycontext)。其中，终端与AMF约定若没有指明使用第一安全上下文，则默认使用的是第二安全上下文。

其中，包含第二NAS消息头的安全保护的NAS拒绝消息的格式如表二所示，在此不再赘述。

S509b、终端根据终端的标识和第二安全头类型信息，确定第一安全上下文。

S510b、终端使用第一安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

可选的，步骤S507b-S510b中的安全保护的NAS拒绝消息中还可能包含拒绝初始NAS请求消息的原因，若终端安全验证通过，终端还可能根据拒绝初始NAS请求消息的原因执行相应的动作，比如将当前的位置区域加入禁止列表并尝试在其它位置区域选择合适小区驻留，本申请实施例对终端根据拒绝初始NAS请求消息的原因执行的动作不作具体限定。若终端安全验证未通过，终端可以直接丢弃该安全保护的NAS拒绝消息。

可选的，若终端接收到未进行安全保护的NAS拒绝消息，终端丢弃未进行安全保护的NAS拒绝消息。

S507c、若安全验证未通过，且AMF实体中存储第二安全上下文，AMF实体使用第二安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息。

其中，步骤S507c中的第二安全上下文可以是在上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，也即网络侧决定在本次终端从空闲态发起初始NAS消息触发的流程中不发起鉴权流程；也可以是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，本申请实施例对此不作具体限定。其中，本次终端从空闲态发起初始NAS消息时，AMF实体可以在发起鉴权流程生成新的安全上下文之后进行NAS拒绝，此时AMF实体可以获取鉴权流程生成的新的安全上下文。

其中，该NAS拒绝消息是因为安全验证未通过而发送的。AMF实体使用第二安全上下文对NAS拒绝消息进行安全保护的具体实现可参考步骤S503中终端使用第一安全上下文对初始NAS请求消息进行安全保护的实现，在此不再赘述。

可选的，AMF在安全验证未通过时，可以直接忽略该接收的安全保护的NAS请求消息，这样，步骤S507c-S510c将不会被执行，本申请实施例对此不作具体限定。

S508c、AMF实体向终端发送安全保护的NAS拒绝消息，以使得终端接收来自AMF实体的安全保护的NAS拒绝消息。

其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端的标识和第二安全头类型信息，第二安全头类型信息用于指示第二安全上下文的类型。

可选的，步骤S508c中的第二安全头类型信息可以包括：进行加密与完整性保护(Integrity protected and ciphered)，或者，进行加密(Ciphered)。其中，终端与AMF约定若没有指明使用第一安全上下文，则默认使用的是第二安全上下文。

其中，包含第二NAS消息头的安全保护的NAS拒绝消息的格式如表二所示，在此不再赘述。

S509c、终端根据终端的标识和第二安全头类型信息，确定第二安全上下文。

其中，步骤S509c中的第二安全上下文和步骤S507c中的第二安全上下文是同一个鉴权流程生成的安全上下文。也就是说，若步骤S507c中的第二安全上下文是上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，则步骤S509c中的第二安全上下文也是上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文；若步骤S507c中的第二安全上下文是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，则步骤S509c中的第二安全上下文也是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文。

S510c、终端使用第二安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

可选的，步骤S507c-S510c中的安全保护的NAS拒绝消息还可以为移动管理状态(Mobility Management Status)消息，本申请实施例对此不作具体限定。

可选的，步骤S507c-S510c中的安全保护的NAS拒绝消息中还可能包含拒绝原因，若终端安全验证通过，终端还可能根据拒绝原因执行相应的动作，比如直接丢弃该NAS拒绝消息或者重新从步骤S501开始执行，本申请实施例对终端根据拒绝原因执行的动作不作具体限定。若终端安全验证未通过，终端可以直接丢弃该安全保护的NAS拒绝消息。

若终端接收到未进行安全保护的NAS拒绝消息，终端丢弃未进行安全保护的NAS拒绝消息。

S507d、若安全验证未通过，且AMF实体中未存储第二安全上下文，AMF实体使用第一安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息。

其中，该第一安全上下文可以是保存在AMF中的，也可以是通过步骤S505中的方式获取的，本申请实施例对此不作具体限定。

其中，该NAS拒绝消息是因为安全验证未通过而发送的。AMF实体使用第一安全上下文对NAS拒绝消息进行安全保护的具体实现可参考步骤S503中终端使用第一安全上下文对初始NAS请求消息进行安全保护的实现，在此不再赘述。

可选的，AMF在安全验证未通过时，可以直接忽略该接收的安全保护的NAS请求消息，这样，步骤S507c-S510c将不会被执行，本申请实施例对此不作具体限定。

S508d、AMF实体向终端发送安全保护的NAS拒绝消息，以使得终端接收来自AMF实体的安全保护的NAS拒绝消息。

其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端的标识和第二安全头类型信息，第二安全头类型信息用于指示第一安全上下文的类型。

可选的，步骤S508d中的第二安全头类型信息可以包括：使用第一安全上下文进行加密与完整性保护(Integrity protected and ciphered with default securitycontext)，或者，使用第一安全上下文进行加密(Ciphered with default securitycontext)。其中，终端与AMF约定若没有指明使用第一安全上下文，则默认使用的是第二安全上下文。

其中，包含第二NAS消息头的安全保护的NAS拒绝消息的格式如表二所示，在此不再赘述。

S509d、终端根据终端的标识和第二安全头类型信息，确定第一安全上下文。

S510d、终端使用第一安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

可选的，步骤S507d-S510d中的安全保护的NAS拒绝消息还可以为移动管理状态(Mobility Management Status)消息，本申请实施例对此不作具体限定。

可选的，步骤S507d-S510d中的安全保护的NAS拒绝消息中还可能包含拒绝原因，若终端安全验证通过，终端还可能根据拒绝原因执行相应的动作，比如直接丢弃该NAS拒绝消息或者重新从步骤S501开始执行，本申请实施例对终端根据拒绝原因执行的动作不作具体限定。若终端安全验证未通过，终端可以直接丢弃该安全保护的NAS拒绝消息。

若终端接收到未进行安全保护的NAS拒绝消息，终端丢弃未进行安全保护的NAS拒绝消息。

基于本申请实施例提供的网络安全保护方法，一方面，由于终端向AMF实体发送的是对初始NAS请求消息进行安全保护的NAS请求消息，因此无法被伪网络验证通过，进而伪网络不会构造对应的NAS拒绝消息，从而可以避免一部分DOS攻击。另一方面，AMF实体向终端发送的初始NAS请求消息的NAS拒绝消息是安全保护的NAS拒绝消息，因此终端在接收到NAS拒绝消息之后，可以根据是否进行安全保护区分该NAS拒绝消息是由真实网络发送的，还是由伪网络发送的，进而可以进行相应处理，比如丢弃伪网络发送的未进行安全保护的NAS拒绝消息，从而可以进一步彻底的防止DOS攻击风险，提升5G网络以及未来其他网络的安全性。

其中，上述S501、S502、S503、S504、S509a、S510a、S509b、S510b、S509c、S510c、S509d和S510d中终端的动作可以由图3所示的通信设备300中的处理器301调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

其中，上述S505、S506、S507a、S508a、S507b、S508b、S507c、S508c、S507d和S508d中AMF的动作可以由图3所示的通信设备300中的处理器301调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

图5所示的实施例以第一网络设备为AMF实体为例进行说明，当然，第一网络设备还可以是网络侧的其他设备，比如第一网络设备可以为SMF实体。当第一网络设备为网络侧的其他设备时，通过其他设备进行网络安全保护的方案可参考图5所示的实施例，仅需将图5所示的实施例中的AMF实体替换为其它设备即可，在此不再赘述。

可选的，如图6所示，为本申请实施例提供的另一种网络安全保护方法的流程示意图。该网络安全保护方法涉及到终端、AMF实体、以及UDM实体之间的交互，包括如下步骤：

S600、同S500，具体可参考图5所示的实施例，在此不再赘述。

S601、终端确定本地是否保存第二安全上下文。其中，该第二安全上下文为鉴权流程生成的安全上下文。

其中，步骤S601中的第二安全上下文是上一次终端从空闲态发起初始NAS请求消息触发的流程中鉴权流程生成的安全上下文。

若该终端确定本地保存有第二安全上下文，则继续执行下述步骤S602-S610。

S602、终端将该第二安全上下文确定为该终端的第一目标安全上下文。

S603、终端使用第二安全上下文对初始NAS请求消息进行安全保护，得到安全保护的NAS请求消息，该安全保护包括加密。

其中，初始NAS请求消息和安全保护的相关描述可参考图5所示的实施例，在此不再赘述。

S604、终端向AMF实体发送安全保护的NAS请求消息，以使得AMF实体接收来自终端的安全保护的NAS请求消息。

其中，该安全保护的NAS请求消息的消息头为第一NAS消息头，该第一NAS消息头中包括终端的标识和第一安全头类型信息，该第一安全头类型信息用于指示第二安全上下文的类型。

可选的，本申请实施例中，第一NAS消息头中的终端的标识和第一安全头类型信息可以是没有进行安全保护的。

可选的，终端的标识的相关描述可参考图5所示的实施例，在此不再赘述。

可选的，第一安全头类型信息可以包括：使用第二安全上下文进行加密与完整性保护(Integrity protected and ciphered)，或者，使用第二安全上下文进行加密(Ciphered)。其中，终端与AMF约定若没有指明使用第一安全上下文，则默认使用的是第二安全上下文。

其中，包含第一NAS消息头的安全保护的NAS请求消息的格式如表一所示，在此不再赘述。

S605、AMF实体根据终端的标识和第一安全头类型信息，确定本地是否保存第二安全上下文。

其中，步骤S605中的第二安全上下文是上一次终端从空闲态发起初始NAS请求消息触发的流程中鉴权流程生成的安全上下文。

若本地保存第二安全上下文，执行下述步骤S606-610。

若本地未保存第二安全上下文，则无法对安全保护的NAS请求消息进行安全验证，执行结束。

S606、若保存，AMF实体使用第二安全上下文，对安全保护的NAS请求消息进行安全验证，该安全验证包括解密。

可选的，若安全保护包含完整性保护，则安全验证还包括完整性检查，在此进行统一说明，以下不再赘述。

由于AMF实体中保存有第二安全上下文，因此AMF实体可以根据安全验证结果，使用第二安全上下文执行后续的操作，具体如下述步骤S607a-S610a、或者步骤S607c-S610c所示。

S607a、若安全验证通过，AMF实体使用第二安全上下文对初始NAS请求消息的NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息。

其中，步骤S607a中的第二安全上下文可以是在上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，也即网络侧决定在本次终端从空闲态发起初始NAS消息触发的流程中不发起鉴权流程；也可以是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，本申请实施例对此不作具体限定。其中，本次终端从空闲态发起初始NAS消息时，AMF实体可以在发起鉴权流程生成新的安全上下文之后拒绝初始NAS请求消息，此时AMF实体可以获取鉴权流程生成的新的安全上下文。

其中，若安全保护包括加密，则本申请实施例中的安全验证通过是指，解密成功；若安全保护包括加密和完整性保护，则本申请实施例中的安全验证是指，解密成功且完整性检查通过，在此进行统一说明，以下不再赘述。

其中，AMF实体使用第二安全上下文对初始NAS请求消息的NAS拒绝消息进行安全保护的具体实现可参考步骤S503中终端使用第一安全上下文对初始NAS请求消息进行安全保护的实现，在此不再赘述。

S608a、AMF实体向终端发送安全保护的NAS拒绝消息，以使得终端接收来自AMF实体的安全保护的NAS拒绝消息。

其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端的标识和第二安全头类型信息，第二安全头类型信息用于指示第二安全上下文的类型。

可选的，步骤S608a中的第二安全头类型信息可以包括：使用第二安全上下文进行加密与完整性保护(Integrity protected and ciphered)，或者，使用第二安全上下文进行加密(Ciphered)。其中，终端与AMF约定若没有指明使用第一安全上下文，则默认使用的是第二安全上下文。

其中，包含第二NAS消息头的安全保护的NAS拒绝消息的格式如表二所示，在此不再赘述。

S609a、终端根据终端的标识和第二安全头类型信息，确定第二安全上下文。

其中，步骤S609a中的第二安全上下文和步骤S607a中的第二安全上下文是同一个鉴权流程生成的安全上下文。也就是说，若步骤S607a中的第二安全上下文是上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，则步骤S609a中的第二安全上下文也是上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文；若步骤S607a中的第二安全上下文是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，则步骤S609a中的第二安全上下文也是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文。

S610a、终端使用第二安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

可选的，步骤S607a-S610a中的安全保护的NAS拒绝消息中还可能包含拒绝初始NAS请求消息的原因，若终端安全验证通过，终端还可能根据拒绝初始NAS请求消息的原因执行相应的动作，比如将当前的位置区域加入禁止列表并尝试在其它位置区域选择合适小区驻留，本申请实施例对终端根据拒绝初始NAS请求消息的原因执行的动作不作具体限定。若终端安全验证未通过，终端可以直接丢弃该安全保护的NAS拒绝消息。

可选的，若终端接收到未进行安全保护的NAS拒绝消息，终端丢弃未进行安全保护的NAS拒绝消息。

S607c、若安全验证未通过，AMF实体使用第二安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息。

其中，步骤S607c中的第二安全上下文可以是在上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，也即网络侧决定在本次终端从空闲态发起初始NAS消息触发的流程中不发起鉴权流程；也可以是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，本申请实施例对此不作具体限定。其中，本次终端从空闲态发起初始NAS消息时，AMF实体可以在发起鉴权流程生成新的安全上下文之后拒绝初始NAS请求消息，此时AMF实体可以获取鉴权流程生成的新的安全上下文。

其中，该NAS拒绝消息是因为安全验证未通过而发送的。AMF实体使用第二安全上下文对NAS拒绝消息进行安全保护的具体实现可参考步骤S503中终端使用第一安全上下文对初始NAS请求消息进行安全保护的实现，在此不再赘述。

可选的，AMF在安全验证未通过时，可以直接忽略该接收的安全保护的NAS请求消息，这样，步骤S607c-S610c将不会被执行，本申请实施例对此不作具体限定。

S608c、AMF实体向终端发送安全保护的NAS拒绝消息，以使得终端接收来自AMF实体的安全保护的NAS拒绝消息。

其中，安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端的标识和第二安全头类型信息，第二安全头类型信息用于指示第二安全上下文的类型。

可选的，步骤S608c中的第二安全头类型信息可以包括：使用第二安全上下文进行加密与完整性保护(Integrity protected and ciphered)，或者，使用第二安全上下文进行加密(Ciphered)。其中，终端与AMF约定若没有指明使用第一安全上下文，则默认使用的是第二安全上下文。

其中，包含第二NAS消息头的安全保护的NAS拒绝消息的格式如表二所示，在此不再赘述。

S609c、终端根据终端的标识和第二安全头类型信息，确定第二安全上下文。

其中，步骤S609c中的第二安全上下文和步骤S607c中的第二安全上下文是同一个鉴权流程生成的安全上下文。也就是说，若步骤S607c中的第二安全上下文是上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，则步骤S609c中的第二安全上下文也是上一次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文；若步骤S607c中的第二安全上下文是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文，则步骤S609c中的第二安全上下文也是本次终端从空闲态发起初始NAS消息触发的流程中发起的鉴权流程生成的安全上下文。

S610c、终端使用第二安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

可选的，步骤S607c-S610c中的安全保护的NAS拒绝消息还可以为移动管理状态(Mobility Management Status)消息，本申请实施例对此不作具体限定。

可选的，步骤S607c-S610c中的安全保护的NAS拒绝消息中还可能包含拒绝原因，若终端安全验证通过，终端还可能根据拒绝原因执行相应的动作，比如直接丢弃该NAS拒绝消息或者重新从步骤S601开始执行，本申请实施例对终端根据拒绝原因执行的动作不作具体限定。若终端安全验证未通过，终端可以直接丢弃该安全保护的NAS拒绝消息。

若终端接收到未进行安全保护的NAS拒绝消息，终端丢弃未进行安全保护的NAS拒绝消息。

基于本申请实施例提供的网络安全保护方法，一方面，由于终端向AMF实体发送的是对初始NAS请求消息进行安全保护的NAS请求消息，因此无法被伪网络验证通过，进而伪网络不会构造对应的NAS拒绝消息，从而可以避免一部分DOS攻击。另一方面，AMF实体向终端发送的初始NAS请求消息的NAS拒绝消息是安全保护的NAS拒绝消息，因此终端在接收到NAS拒绝消息之后，可以根据是否进行安全保护区分该NAS拒绝消息是由真实网络发送的，还是由伪网络发送的，进而可以进行相应处理，比如丢弃伪网络发送的未进行安全保护的NAS拒绝消息，从而可以进一步彻底的防止DOS攻击风险，提升5G网络以及未来其他网络的安全性。

其中，上述S601、S602、S603、S604、S609a、S610a、S609c和S610c中终端的动作可以由图3所示的通信设备300中的处理器301调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

其中，上述S605、S606、S607a、S608a、SS607c和S608c中AMF的动作可以由图3所示的通信设备300中的处理器301调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

图6所示的实施例以第一网络设备为AMF实体为例进行说明，当然，第一网络设备还可以是网络侧的其他设备，比如第一网络设备可以为SMF实体。当第一网络设备为网络侧的其他设备时，通过其他设备进行网络安全保护的方案可参考图6所示的实施例，仅需将图6所示的实施例中的AMF实体替换为其它设备即可，在此不再赘述。

上述主要从第一网络设备和终端交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述第一网络设备和终端为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对第一网络设备和终端进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

比如，在采用对应各个功能划分各个功能模块的情况下，图7示出了上述实施例中所涉及的第一网络设备的一种可能的结构示意图，该第一网络设备700包括：接收模块701、确定模块702、验证模块703、安全保护模块704和发送模块705。

接收模块701，用于接收来自终端的安全保护的NAS请求消息，该安全保护的NAS请求消息是使用该终端的第一目标安全上下文对初始NAS请求消息进行安全保护后得到的，该安全保护的NAS请求消息的消息头为第一NAS消息头，该第一NAS消息头中包括该终端的标识和第一安全头类型信息，该第一安全头类型信息用于指示第一目标安全上下文的类型，第一目标安全上下文包括第一安全上下文或第二安全上下文，第一安全上下文为配置的安全上下文，第二安全上下文为鉴权流程生成的安全上下文；安全保护包括加密。

确定模块702，用于根据该终端的标识和第一安全头类型信息，确定第一目标安全上下文。

验证模块703，用于使用第一目标安全上下文，对安全保护的NAS请求消息进行安全验证，其中，安全验证包括解密。

安全保护模块704，用于根据安全验证的结果，使用第二目标安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息，第二目标安全上下文包括第一安全上下文或第二安全上下文。

发送模块705，用于向该终端发送安全保护的NAS拒绝消息，其中，该安全保护的NAS拒绝消息的消息头为第二NAS消息头，该第二NAS消息头中包括终端的标识和第二安全头类型信息，该第二安全头类型信息用于指示第二目标安全上下文的类型。

进一步的，如图7所示，第一网络设备还包括存储模块706。安全保护模块704具体用于：

若安全验证通过，且存储模块706中未存储第二安全上下文，使用第一安全上下文对初始NAS请求消息的NAS拒绝消息进行安全保护。

或者，若安全验证通过，且存储模块706中存储有第二安全上下文，使用第二安全上下文对初始NAS请求消息的NAS拒绝消息进行安全保护。

或者，若安全验证未通过，且存储模块706中未存储第二安全上下文，使用第一安全上下文对NAS拒绝消息进行安全保护。

或者，若安全验证未通过，且存储模块706中存储有第二安全上下文，使用第二安全上下文对NAS拒绝消息进行安全保护。

可选的，第一目标安全上下文包括第一安全上下文。确定模块702具体用于：

根据该终端的标识和第一安全头类型信息，确定本地是否保存第一安全上下文。

若确定模块702确定本地未保存第一安全上下文，向第二网络设备发送第一消息，该第一消息包括该终端的标识，用于请求获取第一安全上下文；接收来自第二网络设备的第一安全上下文。

或者，若确定模块702确定本地保存有第一安全上下文，从本地获取第一安全上下文。

可选的，该第一消息还包括当前为该终端服务的PLMN的标识、当前为该终端服务的网络切片的标识或该终端当前采用的接入技术的信息。

可选的，安全保护还包括完整性保护；安全验证还包括完整性检查。

可选的，第一网络设备包括AMF实体或SMF实体，第二网络设备包括UDM实体或AUSF实体。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

以采用集成的方式划分各个功能模块的情况下，图8示出了上述实施例中所涉及的第一网络设备的一种可能的结构示意图，该第一网络设备800包括：处理模块801和通信模块802。可选的，该第一网络设备800还可以包括存储模块803。其中，该处理模块801可用于执行图7中确定模块702、验证模块703和安全保护模块704所能执行的操作，该通信模块802可用于执行图7中接收模块701和发送模块702所能执行的操作，该存储模块803可用于执行图7中存储模块706所能执行的操作，具体可参考图7所示的实施例，本申请实施例在此不再赘述。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在本实施例中，该第一网络设备以对应各个功能划分各个功能模块的形式来呈现，或者，该第一网络设备以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到第一网络设备700或者第一网络设备800可以采用图3所示的形式。比如，图7中的接收模块701、确定模块702、验证模块703、安全保护模块704和发送模块705可以通过图3的处理器301和存储器303来实现。具体的，接收模块701、确定模块702、验证模块703、安全保护模块704和发送模块705可以通过由处理器301来调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。或者，比如，图7中的接收模块701、确定模块702、验证模块703、安全保护模块704、发送模块705和存储模块706可以通过图3的处理器301和存储器303来实现。具体的，接收模块701、确定模块702、验证模块703、安全保护模块704、发送模块705和存储模块706可以通过由处理器301来调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。或者，比如，图8中的处理模块801和通信模块802可以通过图3的处理器301和存储器303来实现，具体的，处理模块801和通信模块802可以通过由处理器301来调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。或者，比如，图8中的处理模块801、通信模块802和存储模块803可以通过图3的处理器301和存储器303来实现，具体的，处理模块801、通信模块802和存储模块803可以通过由处理器301来调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

由于本申请实施例提供的第一网络设备可用于执行上述网络安全保护方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

比如，在采用对应各个功能划分各个功能模块的情况下，图9示出了上述实施例中所涉及的终端的一种可能的结构示意图，该终端900包括：确定模块901、安全保护模块902、发送模块903、接收模块904和验证模块905。

确定模块901，用于确定该终端的第一目标安全上下文，该第一目标安全上下文包括第一安全上下文或第二安全上下文，第一安全上下文为配置的安全上下文，第二安全上下文为鉴权流程生成的安全上下文。

所述安全保护模块902，用于使用第一目标安全上下文对初始NAS请求消息进行安全保护，得到安全保护的NAS请求消息，该安全保护包括加密。

发送模块903，用于向第一网络设备发送安全保护的NAS请求消息，该安全保护的NAS请求消息的消息头为第一NAS消息头，该第一NAS消息头中包括该终端的标识和第一安全头类型信息，该第一安全头类型信息用于指示第一目标安全上下文的类型。

接收模块904，用于接收来自第一网络设备的安全保护的NAS拒绝消息，该安全保护的NAS拒绝消息是使用该终端的第二目标安全上下文对NAS拒绝消息进行安全保护后得到的；其中，该安全保护的NAS拒绝消息的消息头为第二NAS消息头，第二NAS消息头中包括该终端的标识和第二安全头类型信息，第二安全头类型信息用于指示第二目标安全上下文的类型，第二目标安全上下文包括第一安全上下文或者第二安全上下文。

确定模块901，还用于根据该终端的标识和第二安全头类型信息，确定第二目标安全上下文。

验证模块905，用于使用第二目标安全上下文，对安全保护的NAS拒绝消息进行安全验证，该安全验证包括解密。

可选的，如图9所示，该终端900还包括丢弃模块906。

接收模块904，还用于在发送模块903向第一网络设备发送安全保护的NAS请求消息之后，接收未进行安全保护的NAS拒绝消息。

丢弃模块906，还用于丢弃未进行安全保护的NAS拒绝消息。

可选的，确定模块901确定终端的第一目标安全上下文，包括：若确定模块901确定本地保存有第二安全上下文，将第二安全上下文确定为该终端的第一目标安全上下文。或者，若确定模块901确定本地未保存第二安全上下文，确定第一安全上下文，将第一安全上下文确定为该终端的第一目标安全上下文。

可选的，第一目标安全上下文包括第一安全上下。

确定模块901确定第一安全上下文，包括：读取该终端的USIM卡上配置的第一安全上下文；或者，获取该终端上配置的第一安全上下文。

可选的，第一目标安全上下文包括第一安全上下文。

确定模块901确定第一安全上下文，包括：根据当前为该终端服务的PLMN、当前为该终端服务的网络切片或该终端当前采用的接入技术，从该终端的多个安全上下文中选择第一安全上下文，其中，多个安全上下文中包括第一安全上下文，多个安全上下文的类型与第一安全上下文的类型相同。

可选的，安全保护还包括完整性保护；安全验证还包括完整性检查。

可选的，第一网络设备包括AMF实体或SMF实体，其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

以采用集成的方式划分各个功能模块的情况下，图10示出了上述实施例中所涉及的终端的一种可能的结构示意图，该终端1000包括：处理模块1001和通信模块1002。其中，该处理模块1001可用于执行图9中确定模块901、安全保护模块902、验证模块905和丢弃模块906所能执行的操作，该通信模块1002可用于执行图9中接收模块904和发送模块903所能执行的操作，具体可参考图9所示的实施例，本申请实施例在此不再赘述。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在本实施例中，该终端以对应各个功能划分各个功能模块的形式来呈现，或者，该终端以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到终端900或者终端1000可以采用图3所示的形式。比如，图9中的确定模块901、安全保护模块902、发送模块903、接收模块904和验证模块905可以通过图3的处理器301和存储器303来实现。具体的，确定模块901、安全保护模块902、发送模块903、接收模块904和验证模块905可以通过由处理器301来调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。或者，比如，图9中的确定模块901、安全保护模块902、发送模块903、接收模块904、验证模块905和丢弃模块906可以通过图3的处理器301和存储器303来实现。具体的，确定模块901、安全保护模块902、发送模块903、接收模块904、验证模块905和丢弃模块906可以通过由处理器301来调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。或者，比如，图10中的处理模块1001和通信模块1002可以通过图3的处理器301和存储器303来实现，具体的，处理模块1001和通信模块1002可以通过由处理器301来调用存储器303中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

由于本申请实施例提供的终端可用于执行上述网络安全保护方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (26)

1.一种网络安全保护方法，其特征在于，所述方法包括：

终端确定所述终端的第一目标安全上下文，所述第一目标安全上下文包括第一安全上下文或第二安全上下文，所述第一安全上下文为配置的安全上下文，所述第二安全上下文为鉴权流程生成的安全上下文；

所述终端使用所述第一目标安全上下文对初始非接入层NAS请求消息进行安全保护，得到安全保护的NAS请求消息，所述安全保护包括加密；

所述终端向第一网络设备发送所述安全保护的NAS请求消息，所述安全保护的NAS请求消息的消息头为第一NAS消息头，所述第一NAS消息头中包括所述终端的标识和第一安全头类型信息，所述第一安全头类型信息用于指示所述第一目标安全上下文的类型；

所述终端接收来自所述第一网络设备的安全保护的NAS拒绝消息，所述安全保护的NAS拒绝消息是使用所述终端的第二目标安全上下文对NAS拒绝消息进行安全保护后得到的；其中，所述安全保护的NAS拒绝消息的消息头为第二NAS消息头，所述第二NAS消息头中包括所述终端的标识和第二安全头类型信息，所述第二安全头类型信息用于指示所述第二目标安全上下文的类型，所述第二目标安全上下文包括所述第一安全上下文或者所述第二安全上下文；

所述终端根据所述终端的标识和所述第二安全头类型信息，确定所述第二目标安全上下文；

所述终端使用所述第二目标安全上下文，对所述安全保护的NAS拒绝消息进行安全验证，所述安全验证包括解密。

2.根据权利要求1所述的方法，其特征在于，在所述终端向第一网络设备发送所述安全保护的NAS请求消息之后，还包括：

所述终端接收未进行所述安全保护的NAS拒绝消息；

所述终端丢弃所述未进行所述安全保护的NAS拒绝消息。

3.根据权利要求1或2所述的方法，其特征在于，所述终端确定所述终端的第一目标安全上下文，包括：

若所述终端确定本地保存有所述第二安全上下文，所述终端将所述第二安全上下文确定为所述终端的第一目标安全上下文；

或者，若所述终端确定本地未保存所述第二安全上下文，所述终端确定所述第一安全上下文，将所述第一安全上下文确定为所述终端的第一目标安全上下文。

4.根据权利要求3所述的方法，其特征在于，所述第一目标安全上下文包括所述第一安全上下文；

所述终端确定所述第一安全上下文，包括：

所述终端读取所述终端的全球用户识别模块USIM卡上配置的所述第一安全上下文；或者，所述终端获取所述终端上配置的所述第一安全上下文。

5.根据权利要求3所述的方法，其特征在于，所述第一目标安全上下文包括所述第一安全上下文；

所述终端确定所述第一安全上下文，包括：

所述终端根据当前为所述终端服务的公共陆地移动网络PLMN、当前为所述终端服务的网络切片或所述终端当前采用的接入技术，从所述终端的多个安全上下文中选择所述第一安全上下文，其中，所述多个安全上下文中包括所述第一安全上下文，所述多个安全上下文的类型与所述第一安全上下文的类型相同。

6.根据权利要求1或2所述的方法，其特征在于，所述安全保护还包括完整性保护；所述安全验证还包括完整性检查。

7.一种网络安全保护方法，其特征在于，所述方法包括：

第一网络设备接收来自终端的安全保护的非接入层NAS请求消息，所述安全保护的NAS请求消息是使用所述终端的第一目标安全上下文对初始NAS请求消息进行安全保护后得到的，其中，所述安全保护的NAS请求消息的消息头为第一NAS消息头，所述第一NAS消息头中包括所述终端的标识和第一安全头类型信息，所述第一安全头类型信息用于指示所述第一目标安全上下文的类型，所述第一目标安全上下文包括第一安全上下文或第二安全上下文，所述第一安全上下文为配置的安全上下文，所述第二安全上下文为鉴权流程生成的安全上下文；所述安全保护包括加密；

所述第一网络设备根据所述终端的标识和所述第一安全头类型信息，确定所述第一目标安全上下文；

所述第一网络设备使用所述第一目标安全上下文，对所述安全保护的NAS请求消息进行安全验证，其中，所述安全验证包括解密；

所述第一网络设备根据所述安全验证的结果，使用第二目标安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息，所述第二目标安全上下文包括所述第一安全上下文或所述第二安全上下文；

所述第一网络设备向所述终端发送所述安全保护的NAS拒绝消息，其中，所述安全保护的NAS拒绝消息的消息头为第二NAS消息头，所述第二NAS消息头中包括所述终端的标识和第二安全头类型信息，所述第二安全头类型信息用于指示所述第二目标安全上下文的类型。

8.根据权利要求7所述的方法，其特征在于，所述第一网络设备根据所述安全验证的结果，使用第二目标安全上下文对NAS拒绝消息进行安全保护，包括：

若所述安全验证通过，且所述第一网络设备中未存储所述第二安全上下文，所述第一网络设备使用所述第一安全上下文对所述初始NAS请求消息的NAS拒绝消息进行安全保护；

或者，若所述安全验证通过，且所述第一网络设备中存储有所述第二安全上下文，所述第一网络设备使用所述第二安全上下文对所述初始NAS请求消息的NAS拒绝消息进行安全保护；

或者，若所述安全验证未通过，且所述第一网络设备中未存储所述第二安全上下文，所述第一网络设备使用所述第一安全上下文对NAS拒绝消息进行安全保护；

或者，若所述安全验证未通过，且所述第一网络设备中存储有所述第二安全上下文，所述第一网络设备使用所述第二安全上下文对NAS拒绝消息进行安全保护。

9.根据权利要求7或8所述的方法，其特征在于，所述第一目标安全上下文包括所述第一安全上下文；

所述第一网络设备根据所述终端的标识和所述第一安全头类型信息，确定所述第一目标安全上下文，包括：

所述第一网络设备根据所述终端的标识和所述第一安全头类型信息，确定本地是否保存所述第一安全上下文；

若所述第一网络设备确定本地未保存所述第一安全上下文，向第二网络设备发送第一消息，所述第一消息包括所述终端的标识，用于请求获取所述第一安全上下文；所述第一网络设备接收来自所述第二网络设备的所述第一安全上下文；

或者，若所述第一网络设备确定本地保存有所述第一安全上下文，从本地获取所述第一安全上下文。

10.根据权利要求9所述的方法，其特征在于，所述第一消息还包括当前为所述终端服务的公共陆地移动网络PLMN的标识、当前为所述终端服务的网络切片的标识或所述终端当前采用的接入技术的信息。

11.根据权利要求7或8所述的方法，其特征在于，所述安全保护还包括完整性保护；所述安全验证还包括完整性检查。

12.根据权利要求9所述的方法，其特征在于，所述第一网络设备包括接入与移动管理功能AMF实体或会话管理功能SMF实体，所述第二网络设备包括统一数据管理UDM实体或鉴权服务器功能AUSF实体。

13.一种终端，其特征在于，所述终端包括：确定模块、安全保护模块、发送模块、接收模块和验证模块；

所述确定模块，用于确定所述终端的第一目标安全上下文，所述第一目标安全上下文包括第一安全上下文或第二安全上下文，所述第一安全上下文为配置的安全上下文，所述第二安全上下文为鉴权流程生成的安全上下文；

所述安全保护模块，用于使用所述第一目标安全上下文对初始非接入层NAS请求消息进行安全保护，得到安全保护的NAS请求消息，所述安全保护包括加密；

所述发送模块，用于向第一网络设备发送所述安全保护的NAS请求消息，所述安全保护的NAS请求消息的消息头为第一NAS消息头，所述第一NAS消息头中包括所述终端的标识和第一安全头类型信息，所述第一安全头类型信息用于指示所述第一目标安全上下文的类型；

所述接收模块，用于接收来自所述第一网络设备的安全保护的NAS拒绝消息，所述安全保护的NAS拒绝消息是使用所述终端的第二目标安全上下文对NAS拒绝消息进行安全保护后得到的；其中，所述安全保护的NAS拒绝消息的消息头为第二NAS消息头，所述第二NAS消息头中包括所述终端的标识和第二安全头类型信息，所述第二安全头类型信息用于指示所述第二目标安全上下文的类型，所述第二目标安全上下文包括所述第一安全上下文或者所述第二安全上下文；

所述确定模块，还用于根据所述终端的标识和所述第二安全头类型信息，确定所述第二目标安全上下文；

所述验证模块，用于使用所述第二目标安全上下文，对所述安全保护的NAS拒绝消息进行安全验证，所述安全验证包括解密。

14.根据权利要求13所述的终端，其特征在于，所述终端还包括丢弃模块；

所述接收模块，还用于在所述发送模块向第一网络设备发送所述安全保护的NAS请求消息之后，接收未进行所述安全保护的NAS拒绝消息；

所述丢弃模块，还用于丢弃所述未进行所述安全保护的NAS拒绝消息。

15.根据权利要求13或14所述的终端，其特征在于，所述确定模块确定所述终端的第一目标安全上下文，包括：

若所述确定模块确定本地保存有所述第二安全上下文，将所述第二安全上下文确定为所述终端的第一目标安全上下文；

或者，若所述确定模块确定本地未保存所述第二安全上下文，确定所述第一安全上下文，将所述第一安全上下文确定为所述终端的第一目标安全上下文。

16.根据权利要求15所述的终端，其特征在于，所述第一目标安全上下文为所述第一安全上下文；

所述确定模块确定所述第一安全上下文，包括：

读取所述终端的全球用户识别模块USIM卡上配置的所述第一安全上下文；或者，获取所述终端上配置的所述第一安全上下文。

17.根据权利要求15所述的终端，其特征在于，所述第一目标安全上下文为所述第一安全上下文；

所述确定模块确定所述第一安全上下文，包括：

根据当前为所述终端服务的公共陆地移动网络PLMN、当前为所述终端服务的网络切片或所述终端当前采用的接入技术，从所述终端的多个安全上下文中选择所述第一安全上下文，其中，所述多个安全上下文中包括所述第一安全上下文，所述多个安全上下文的类型与所述第一安全上下文的类型相同。

18.根据权利要求13或14所述的终端，其特征在于，所述安全保护还包括完整性保护；所述安全验证还包括完整性检查。

19.一种第一网络设备，其特征在于，所述第一网络设备包括：接收模块、确定模块、验证模块、安全保护模块和发送模块；

所述接收模块，用于接收来自终端的安全保护的非接入层NAS请求消息，所述安全保护的NAS请求消息是使用所述终端的第一目标安全上下文对初始NAS请求消息进行安全保护后得到的，其中，所述安全保护的NAS请求消息的消息头为第一NAS消息头，所述第一NAS消息头中包括所述终端的标识和第一安全头类型信息，所述第一安全头类型信息用于指示所述第一目标安全上下文的类型，所述第一目标安全上下文包括第一安全上下文或第二安全上下文，所述第一安全上下文为配置的安全上下文，所述第二安全上下文为鉴权流程生成的安全上下文；所述安全保护包括加密；

所述确定模块，用于根据所述终端的标识和所述第一安全头类型信息，确定所述第一目标安全上下文；

所述验证模块，用于使用所述第一目标安全上下文，对所述安全保护的NAS请求消息进行安全验证，其中，所述安全验证包括解密；

所述安全保护模块，用于根据所述安全验证的结果，使用第二目标安全上下文对NAS拒绝消息进行安全保护，得到安全保护的NAS拒绝消息，所述第二目标安全上下文包括所述第一安全上下文或所述第二安全上下文；

所述发送模块，用于向所述终端发送所述安全保护的NAS拒绝消息，其中，所述安全保护的NAS拒绝消息的消息头为第二NAS消息头，所述第二NAS消息头中包括所述终端的标识和第二安全头类型信息，所述第二安全头类型信息用于指示所述第二目标安全上下文的类型。

20.根据权利要求19所述的第一网络设备，其特征在于，所述第一网络设备还包括存储模块；

所述安全保护模块具体用于：

若所述安全验证通过，且所述存储模块中未存储所述第二安全上下文，使用所述第一安全上下文对所述初始NAS请求消息的NAS拒绝消息进行安全保护；

或者，若所述安全验证通过，且所述存储模块中存储有所述第二安全上下文，使用所述第二安全上下文对所述初始NAS请求消息的NAS拒绝消息进行安全保护；

或者，若所述安全验证未通过，且所述存储模块中未存储所述第二安全上下文，使用所述第一安全上下文对NAS拒绝消息进行安全保护；

或者，若所述安全验证未通过，且所述存储模块中存储有所述第二安全上下文，使用所述第二安全上下文对NAS拒绝消息进行安全保护。

21.根据权利要求19或20所述的第一网络设备，其特征在于，所述第一目标安全上下文为所述第一安全上下文；

所述确定模块具体用于：

根据所述终端的标识和所述第一安全头类型信息，确定本地是否保存所述第一安全上下文；

若所述确定模块确定本地未保存所述第一安全上下文，向第二网络设备发送第一消息，所述第一消息包括所述终端的标识，用于请求获取所述第一安全上下文；接收来自所述第二网络设备的所述第一安全上下文；

或者，若所述确定模块确定本地保存有所述第一安全上下文，从本地获取所述第一安全上下文。

22.根据权利要求19或20所述的第一网络设备，其特征在于，所述安全保护还包括完整性保护；所述安全验证还包括完整性检查。

23.根据权利要求21所述的第一网络设备，其特征在于，所述第一网络设备包括接入与移动管理功能AMF实体或会话管理功能SMF实体，所述第二网络设备包括统一数据管理UDM实体或鉴权服务器功能AUSF实体。

24.一种终端，其特征在于，包括：处理器、存储器、总线和通信接口；

所述存储器用于存储计算机执行指令，所述处理器与所述存储器通过所述总线连接，当所述终端运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述终端执行如权利要求1-6中任意一项所述的网络安全保护方法。

25.一种第一网络设备，其特征在于，包括：处理器、存储器、总线和通信接口；

所述存储器用于存储计算机执行指令，所述处理器与所述存储器通过所述总线连接，当所述第一网络设备运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述第一网络设备执行如权利要求7-12中任意一项所述的网络安全保护方法。

26.一种网络安全保护系统，其特征在于，所述网络安全保护系统包括如权利要求13-18任一项所述的终端以及如权利要求19-23任一项所述的第一网络设备；

或者，所述网络安全保护系统包括如权利要求24所述的终端以及如权利要求25所述的第一网络设备。

Images