CN110536301A - 一种拒绝消息处理方法及装置 - Google Patents

Abstract

本申请提供了一种拒绝消息处理方法及装置，以解决现有技术中终端设备容易受到伪网络的攻击的问题。所述方法包括：终端设备发送非接入层NAS请求，所述NAS请求中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护；所述终端设备接收所述NAS请求对应的拒绝消息，对所述NAS请求对应的拒绝消息进行安全验证；所述终端设备根据安全验证的结果，处理所述NAS请求对应的拒绝消息。

Description

一种拒绝消息处理方法及装置

技术领域

本申请涉及无线通信技术领域，尤其涉及一种拒绝消息处理方法及装置。

背景技术

终端设备在空闲(idle)态发起的非接入层(non access stratum，NAS)请求是不进行加密保护的，例如附着请求(attach request)、跟踪区更新(tracking area update，TAU)请求以及业务请求(service request)等，并且根据第三代合作伙伴计划(3rdgeneration partnership project，3GPP)标准协议TS 24.301的规定，上述NAS请求对应的NAS拒绝消息也可以是明文的。因此，当上述NAS请求在空口传输时容易被伪网络获取，进而使得伪网络可以构造并发送获得的NAS请求对应的NAS拒绝消息，如附着拒绝(attachreject)消息、跟踪区域更新拒绝(TAU reject，其中TAU为tracking area update的缩写)消息或业务拒绝(service reject)消息等，对终端设备进行拒绝服务(denial ofservice，DoS)攻击。

终端设备无法区分接收到的NAS拒绝消息是真实网络设备发送的，还是伪网络发送的，在接收到的NAS拒绝消息时，都会响应该NAS拒绝消息，并执行该NAS拒绝消息中的拒绝原因对应的操作。若终端设备接收到的NAS拒绝消息是伪网络发送的，终端设备响应该NAS拒绝消息之后，在一定时长内无法进行主叫业务或者无法获得网络侧的服务。如果终端设备长时间停留在伪网络的覆盖范围内，那么终端设备无法进行主叫业务或者无法获得网络侧的服务的时间将会更长。

发明内容

本申请提供了一种拒绝消息处理方法及装置，用以解决现有技术中终端设备发送NAS请求时容易受到伪网络的攻击问题。

第一方面，本申请实施例提供了一种拒绝消息处理方法，所述方法包括：终端设备发送非接入层NAS请求，接收所述NAS请求对应的拒绝消息，对所述NAS请求对应的拒绝消息进行安全验证，根据所述安全验证结果，处理所述NAS请求对应的拒绝消息，其中，所述NAS请求中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护。

通过上述方法，所述终端设备发送携带所述第一指示信息的NAS请求，接收所述NAS请求对应的拒绝消息后，对所述NAS请求对应的拒绝消息进行安全验证，根据所述安全验证结果，处理所述NAS请求对应的拒绝消息，使得所述终端设备在确定所述安全验证的结果为所述NAS请求对应的拒绝消息验证成功时，才执行所述NAS请求对应的拒绝消息的动作，从而避免现有技术中终端设备响应伪网络发送的NAS拒绝消息，在一定时长内无法进行主叫业务或者无法获得网络侧的服务的问题，采用本发明实施例提供的方案，可以有效避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，所述NAS请求在4G网络中可以为附着请求(attachrequest)、跟踪区更新请求(TAU request)或业务请求(service request)，在5G网络中可以为注册请求(registration request)或业务请求(service request)。当所述NAS请求为attach request时，所述NAS请求对应的拒绝消息为附着接受(attach reject消息)，当所述NAS请求为TAU request时，所述NAS请求对应的拒绝消息为跟踪区更新拒绝(TAUreject)消息，当所述NAS请求为service request时，所述NAS请求对应的拒绝消息为业务拒绝(service reject)消息，当所述NAS请求为registration request时，所述NAS请求对应的拒绝消息为注册拒绝(registration reject)消息。

一个可能的实施方式中，所述第一指示信息可以携带在所述注册请求中现有的信元的预留项中；或者，所述第一指示信息也可以携带在所述注册请求的新信元中。

一个可能的实施方式中，当所述NAS请求对应的拒绝消息携带第二指示信息，所述第二指示信息用于指示所述NAS请求对应的拒绝消息为安全保护的消息时，所述终端设备根据所述第二指示信息以及与所述移动管理网元协商的安全上下文，对所述NAS请求对应的拒绝消息进行安全验证。

通过上述方法，所述终端设备在接收到安全保护的NAS请求的拒绝消息时，使用与所述移动管理网元协商的安全上下文，对所述NAS请求对应的拒绝消息进行安全验证，根据安全验证结果处理所述NAS请求对应的拒绝消息，在确定所述安全验证的结果为所述NAS请求对应的拒绝消息验证成功时，才执行所述NAS请求对应的拒绝消息的动作，可以避免现有技术中终端设备直接响应伪网络发送的明文NAS拒绝消息，导致一定时长内无法进行主叫业务或者无法获得网络侧的服务的问题，进而可以有效避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，当所述NAS请求对应的拒绝消息中携带第三指示信息，所述第三指示信息用于指示所述NAS请求对应的拒绝消息未进行安全保护时，所述终端设备对所述NAS请求对应的拒绝消息进行安全验证，根据所述第三指示信息，确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功。

通过上述方法，所述终端设备在接收到未安全保护的NAS请求的拒绝消息时，对所述NAS请求对应的拒绝消息进行安全验证，并根据所述NAS请求的拒绝消息中的第三指示信息确定所述安全验证的结果为所述NAS请求对应的拒绝消息验证不成功，所述终端设备忽略所述NAS请求对应的拒绝消息或者忽略所述拒绝消息中限制所述终端设备无法正常与网络侧通信的信息，可以避免现有技术中终端设备直接响应伪网络发送的明文NAS拒绝消息，导致一定时长内无法进行主叫业务或者无法获得网络侧的服务的问题，进而可以有效避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，所述终端设备通过以下方式处理所述NAS请求对应的拒绝消息：所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者，

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息。

通过上述方法，如果所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；如果所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证失败，则忽略所述NAS请求对应的拒绝消息；而伪网络无法获得所述终端设备与所述移动管理网元协商的安全上下文，因此伪网络发送的所述NAS请求对应的拒绝消息的安全验证结果为安全验证失败，终端设备直接忽略所述NAS请求对应的拒绝消息，从而可以有效的避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，当所述NAS请求对应的拒绝消息中携带拒绝原因以及所述拒绝原因对应的限制时长，所述限制时长为禁止所述终端设备发送所述NAS请求的时长时，所述终端设备通过以下方式处理所述NAS请求对应的拒绝消息：

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则根据所述拒绝原因以及所述限制时长，执行所述NAS请求对应的拒绝消息的动作；或者，

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中的限制时长。

通过上述方法，所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中的限制时长，使得所述终端设备不受所述限制时长的影响，可以继续向网络侧发送所述NAS请求，从而避免终端设备响应该NAS拒绝消息之后，在一定时长内无法进行主叫业务或者无法获得网络侧的服务的问题，进一步避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，当所述NAS请求对应的拒绝消息中携带拒绝原因，且所述拒绝原因为网络不支持所述NAS请求中包括的接入点名称APN时，所述终端设备通过以下方式处理所述NAS请求对应的拒绝消息：

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者，

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中所述拒绝原因对所述APN的限制。

通过上述方法，所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中所述拒绝原因对所述APN的限制，使得所述终端设备可以继续向网络侧发送所述NAS请求以获得所述APN对应的服务，可以避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，所述终端设备确定所述NAS请求对应的拒绝消息安全验证不成功之后，还可以将第一小区设置为不可用小区，所述第一小区为所述终端设备发送所述NAS请求时所在的小区。

由于所述终端设备发送的NAS请求中携带所述第一指示信息，而所述NAS请求对应的拒绝消息的安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，因此，所述NAS请求对应的拒绝消息是伪网络发送的概率较大，从而所述终端设备确定所述NAS请求对应的拒绝消息安全验证不成功之后，将发送所述NAS请求时所在的小区，设置为不可用小区，可以进一步避免伪网络对终端设备的攻击。

第二方面，本申请还提供了一种拒绝消息处理方法，所述方法包括：移动管理网元接收终端设备发送的非接入层NAS请求，在确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护，并将安全保护的所述拒绝消息，发送给所述终端设备，其中，所述NAS消息中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护。

通过上述方法，所述移动管理网元接收携带所述第一指示信息的NAS请求，确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护，将安全保护的拒绝消息发送给终端设备，使得终端设备在接收到所述安全保护的拒绝消息时，对所述拒绝消息进行安全验证，根据安全验证结果处理所述NAS请求对应的拒绝消息，进而使得所述终端设备在确定所述安全验证的结果为所述NAS请求对应的拒绝消息验证成功时，才执行所述NAS请求对应的拒绝消息的动作，可以有效避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，所述移动管理网元可以是4G网络中的移动管理实体MME，也可以是5G网络中的接入与管理功能AMF实体。

一个可能的实施方式中，所述NAS请求在4G网络中可以为attach request、TAUrequest或service request，在5G网络中可以为registration request或servicerequest。当所述NAS请求为attach request时，所述NAS请求对应的拒绝消息为attachreject消息，当所述NAS请求为TAU request时，所述NAS请求对应的拒绝消息为TAU reject消息，当所述NAS请求为service request时，所述NAS请求对应的拒绝消息为servicereject消息。

一个可能的实施方式中，所述移动管理网元对所述NAS请求对应的拒绝消息进行安全保护之前，还向所述终端设备发起安全协商流程，所述安全协商流程用于生成所述移动管理网元与所述终端设备之间的安全上下文。

一个可能的实施方式中，所述移动管理网元通过以下方式对所述NAS请求对应的拒绝消息进行安全保护：

所述移动管理网元根据与所述终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行加密；和/或，

所述移动管理网元根据与所述终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行完整性保护。

第三方面，本申请提供了一种终端设备，所述终端设备具有实现上述第一方面方法实例中终端设备行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的实施方式中，所述终端设备的结构中包括发送单元、接收单元和处理单元，这些单元可以执行上述第一方面的方法示例中的相应功能，具体参见方法示例中的详细描述，此处不做赘述。

一种可能的实施方式中，所述终端设备的结构中包括发射器、接收器、控制器/处理器和调制解调处理器，所述控制器/处理器被配置为支持所述终端设备执行上述第一方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合，其保存所述终端设备必要的程序指令和数据。

第四方面，本申请提供了一种移动管理网元，所述移动管理网元具有实现上述第二方面方法实例移动管理网元行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的实施方式中，所述移动管理网元的结构中包括接收单元、处理单元和发送单元，这些单元可以执行上述第二方面的方法示例中的相应功能，具体参见方法示例中的详细描述，此处不做赘述。

一种可能的实施方式中，所述移动管理网元的结构中包括接收器/接收器、控制器/处理器、存储器以及通信单元，所述控制器/处理器被配置为支持所述移动管理网元执行上述第二方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合，其保存所述移动管理网元必要的程序指令和数据。

第五方面，本申请还提供了一种通信系统，所述通信系统包括上述第一方面所述的终端设备以及所述第二方面所述的移动管理网元。

第六方面，本申请还提供一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，当所述计算机可执行指令在被所述计算机调用时，使得所述计算机执行上述第一方面或第二方面实施方式提供的方法。

第七方面，本申请还提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使得计算机执行上述第一方同或第二方面实施方式所提供的方法。

附图说明

图1为本申请实施例提供的4G网络架构的示意图；

图2为本申请实施例提供的5G网络架构的示意图；

图3为本申请实施例提供的一种拒绝消息处理方法的流程示意图；

图4为本申请实施例提供的另一种拒绝消息处理方法的流程示意图；

图5至图12分别为本申请具体实施例一至具体实施例八的方法流程示意图；

图13为本申请实施例提供的一种拒绝消息处理装置的结构示意图；

图14为本申请实施例提供的一种拒绝消息处理装置的结构示意图；

图15为本申请实施例提供的一种终端设备的结构示意图；

图16为本申请实施例提供的一种移动管理网元的结构示意图。

具体实施方式

目前，3GPP标准协议中网络侧接收终端设备发送的NAS请求后，在以下四种场景下会向终端设备发送NAS请求对应的拒绝消息：

(1)根据3GPP标准协议的规定，当网络侧确定NAS信令拥塞控制时，可以通过给终端设备回复attach reject消息、TAU reject消息或者service reject消息，其中，上述拒绝消息中携带原因值22(表示拥塞(congestion))以及调节定时器(back-off timer)T3346的值，限制终端设备在一定时间内不再发起附着(attach)、TAU和业务(service)流程(除了紧急业务等一些特殊情况)，以缓解网络拥塞。

(2)根据3GPP标准协议的规定，当网络侧确定接入点名称(access point name，APN)拥塞，可以通过给终端设备回复attach reject消息，其中，该attach reject消息中包含分组数据网络(packet data network，PDN)连接拒绝(PDN connectivity reject)消息，并携带(evolved packet system，EPS)会话管理(EPS session management，ESM)拒绝原因值26(表示资源不足(insufficient resources))，以及调节定时器T3396的值，限制终端设备在一定时间内不能再使用此APN获得对应的业务服务，以缓解网络拥塞。

(3)根据3GPP标准协议的规定，当网络设备不希望终端设备进行频繁的尝试，造成大量不必要的网络资源开销时，可以通过向终端设备回复attach reject消息，其中，attach reject消息中包含PDN connectivity reject消息，并携带ESM拒绝原因值以及调节定时器的back-off time值，限制终端设备将在一定时间内不能再使用当前APN获得对应的业务服务。

并且，该ESM拒绝原因值不为26、50(表示仅允许IPv4类型的PDN(PDN type IPv4only allowed)、51(表示仅允许IPv6类型的PDN(PDN type IPv6 only allowed))、54(表示PDN连接不存在(PDN connection does not exist))、57(表示仅允许IPv4v6类型的PDN(PDN type IPv4v6 only allowed))、58(仅允许非IP类型的PDN(PDN type non IP onlyallowed))、65(达到EPS的最大承载(maximum number of EPS bearers reached))、66(表示所请求的APN不支持当前的无线接入技术(radio access technology，RAT)和公共陆地移动网络(Public Land Mobile Network，PLMN(requested APN not supported incurrent RAT and PLMN combination))中的任意一个。

(4)根据3GPP标准协议规定，当网络设备确定在当前RAT和PLMN下不支持终端设备所请求的APN时，可以给终端设备通过回复attach reject消息，其中，该attach reject消息中包含PDN connectivity reject消息，并携带ESM拒绝原因值66，使得终端设备将在关机或者拔卡前不能在该RAT和PLMN下再使用该APN获得对应的业务服务。

例如，当网络设备发送的attach reject消息、TAU reject消息或service reject消息为明文(即未安全保护)时，终端设备无法区分接收到的NAS拒绝消息是真实网络设备发送的，还是伪网络发送的，都会响应上述拒绝消息，并执行上述拒绝消息中的拒绝原因对应的操作。尽管协议规定当attach reject消息、TAU reject消息和service reject消息为明文(即未安全保护)时，UE启动相应的定时器，该定时器的定时时长是15-30分钟之间的随机值，而不是上述拒绝消息中携带的定时器的值，但是这也很容易被伪网络利用来攻击终端设备，造成终端设备在一定时间内无法进行主叫业务(被叫和紧急业务不受影响)，或者造成终端设备在一定时间内无法使用APN。如果终端设备停留在伪网络的覆盖范围内一直没有移动受到影响的时间会更长。

为了解决现有技术中存在的上述问题，本申请实施例提供了一种拒绝消息处理方法及装置。其中，本申请实施例所述方法和装置基于同一发明构思，由于所述方法和所述装置解决问题的原理相似，因此所述装置与方法的实施可以相互参见，重复之处不再赘述。

以下，对本申请实施例涉及部分用语进行解释说明，以便于本领域技术人员理解。

(1)NAS请求，在第四代移动通信技术(4th-generation，4G)网络中可以为attachrequest、TAU request或service request，其中，attach request对应的拒绝消息为attach reject消息，TAU request对应的拒绝消息为TAU reject消息，service request对应的拒绝消息为service reject消息；在第五代移动通信技术(5th-generation，5G)网络中可以为注册请求(registration request)或service request，其中，registrationrequest对应的拒绝消息为注册拒绝(registration reject)消息。

(2)NAS请求对应的拒绝消息的安全验证，首先判断NAS请求对应的拒绝消息是否为安全保护的消息；当NAS请求对应的拒绝消息为安全保护的消息时，则进一步对NAS请求对应的拒绝消息进行解安全保护，若解安全保护成功，则安全验证结果为NAS请求对应的拒绝消息安全验证成功，否则，安全验证结果为NAS请求对应的拒绝消息安全验证不成功；当NAS请求对应的拒绝消息为未安全保护的消息时，安全验证结果为NAS请求对应的拒绝消息安全验证不成功。

(3)安全保护，包括加密和/或完整性保护。发送端或者接收端按照双方约定的安全上下文对数据进行安全保护处理，使得对端通过所述约定的安全上下文对获得数据进行解安全保护处理，对获得的数据的安全性进行验证，以增加数据传输的安全性。

(4)解安全保护，包括解密和/或完整性验证，为安全保护的逆过程，用于验证安全保护的数据的安全性。

(5)和/或，描述关联对象的关联关系，表示可以存在三种关系。例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

另外，需要理解的是，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。

本申请提供的拒绝消息处理方法既适用于4G网络架构，也适用于5G网络架构，以及未来的演进通信网络中。本申请适用的一种可能的网络架构，如图1所示，该网络架构为4G网络架构。该4G网络架构中的网元包括终端设备和移动管理实体(mobility managemententity，MME)，图1中以终端设备为用户设备(user equipment，UE)为例。网络架构还包括服务GPRS支持节点(serving GPRS support node，SGSN)、归属签约服务器(home subscriberserver，HSS)、服务网关(serving gateway，S-GW)、分组数据网络网关(packet datanetwork gateway，PDN gateway，P-GW)、策略与计费规则功能(policy and chargingrules function，PCRF)实体、演进的通用陆基无线接入网(evolved universalterrestrial radio access network，E-TURAN)等。

E-UTRAN由多个演进基站(evolved nodeB，eNodeB)组成，eNodeB之间通过X2接口彼此互联，eNodeB与演进分组核心网(evolved packet core，EPC)之间通过S1接口交互，而eNodeB与UE通过长期演进(long term evolution，LTE)-Uu互联。

MME的主要功能是支持非接入层(non access stratum，NAS)信令及其安全、跟踪区域(track area，TA)列表的管理、P-GW和S-GW的选择、跨MME切换时进行MME的选择、在向2G/3G接入系统切换过程中进行SGSN的选择、用户的鉴权、漫游控制以及承载管理、第三代合作伙伴计划(3rd generation partnership project，3GPP)不同接入网络的核心网络节点之间的移动性管理。

S-GW是终止于E-UTRAN接口的网关，其主要功能包括：进行基站间切换时，作为本地锚定点，并协助完成基站的重排序功能；在3GPP不同接入系统间切换时，作为移动性锚点；执行合法侦听功能；进行数据包的路由和前转；在上行和下行传输层进行分组标记；用于运营商间的计费等。

P-GW是面向PDN终结于SGi接口的网关，如果UE访问多个PDN，UE将对应一个或多个P-GW。P-GW的主要功能包括基于用户的包过滤功能、合法侦听功能、UE的网络之间互连的协议(internet protocol，IP)地址分配功能、在上行链路中进行数据包传送级标记、进行上下行服务等级计费以及服务水平门限的控制、进行基于业务的上下行速率的控制等。

HSS是用于存储用户签约信息的数据库，归属网络中可以包含一个或多个HSS。HSS负责保存跟用户相关的信息，例如用户标识、编号和路由信息、安全信息、位置信息、概要(Profile)信息等。

SGSN可以用于2G/3G和E-UTRAN 3GPP接入网间移动时，进行信令交互，包括对P-GW和S-GW的选择，同时为切换到E-UTRAN 3GPP接入网的用户进行MME的选择。

PCRF实体终结于Rx接口和Gx接口，非漫游场景时，在HPLMN中只有一个PCRF跟UE的一个IP连通性接入网络(ip-connectivity access network)，IP-CAN会话相关；在漫游场景并且业务流是本地疏导时，可能会有两个PCRF跟一个UE的IP-CAN会话相关。

本申请适用的另一种可能的网络架构示意图，如图2所示，该网络架构为5G网络架构。该5G网络架构中的网元包括终端设备以及接入与移动管理功能(access and mobilitymanagement function，AMF)实体，图2中以终端设备为UE为例。网络架构还包括无线接入网(radio access network，RAN)、用户面功能(user plane function，UPF)实体、数据网络(data network，DN)、会话管理功能(session management function，SMF)实体、认证服务功能实体(authentication server function，AUSF)、统一数据管理(unified datamanagement，UDM)实体、策略控制功能(policy control function，PCF)实体(图2中未示出)、应用功能(application function，AF)实体(图2中未示出)以及认证信任状存储和处理功能(authentication credential repository and processing function，ARPF)实体(图2中未示出)等。

RAN的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲，它驻留某个设备之间(如移动电话、一台计算机，或任何远程控制机)，并提供与其核心网的连接。RAN设备包括但不限于：5G中的(gnodeB，gNB)、eNodeB、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiverstation，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(baseband unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)、移动交换中心等，此外，还可以包括无线保真(wirelessfidelity，wifi)接入点(access point，AP)等。

AMF实体负责终端的接入管理和移动性管理，在实际应用中，其包括了LTE中网络框架中MME里的移动性管理功能，并加入了接入管理功能。

SMF实体负责会话管理，如用户的会话建立等。

UPF实体是用户面的功能网元，主要负责连接外部网络，其包括了LTE的服务网关(serving gateway，SGW)和公用数据网网关(public data network GateWay，PDN-GW)的相关功能。

DN负责为终端提供服务的网络，如一些DN为终端提供上网功能，另一些DN为终端提供短信功能等等。SEAF实体用于完成对UE的认证过程，在5G中，SEAF的功能可以合并到AMF实体中。

AUSF实体具有鉴权服务功能，用于终结SEAF请求的认证功能。AMF网元负责终端的接入管理和移动性管理，在实际应用中，其包括了LTE中MME的移动性管理功能，并加入了接入管理功能。

ARPF实体具有认证凭证存储和处理功能，用于存储用户的长期认证凭证，如永久密钥K等。在5G中，ARPF的功能可以合并到UDM实体中。

UDM实体可存储用户的签约信息，实现类似于4G中的HSS的后端。

本申请中的终端设备，是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。

如图3所示，本申请提供的一种拒绝消息处理方法，应用于网络设备拒绝终端设备发送的NAS请求时，终端设备处理NAS请求对应的拒绝消息的场景，适用于上述图1所示的4G通信系统以及图2所示的5G通信系统，其中，NAS请求对应的拒绝消息可以是伪网络中具有移动管理网元功能的设备发送的，或者是真实网络中的移动管理网元发送的。所述方法包括以下步骤：

S301：终端设备发送非接入层NAS请求，所述NAS请求中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护。

其中，所述NAS请求在4G网络中可以为attach request、TAU request或servicerequest，在5G网络中可以为registration request或service request。

需要说明的是，本申请实施例并不对所述第一指示信息在所述NAS请求中的具体格式进行限定，所述第一指示信息可以携带在所述NAS请求中现有的信元的预留项中，例如所述第一指示信息可以携带在4G网络的UE网络能力(UE network capability)信元中或携带在5G网络的5G移动管理能力(5GMM capability)中；或者，所述第一指示信息也可以携带在所述NAS请求的新信元中。

S302：所述终端设备接收所述NAS请求对应的拒绝消息，对所述NAS请求对应的拒绝消息进行安全验证。

其中，当所述NAS请求为attach request时，所述NAS请求对应的拒绝消息为attach reject消息，当所述NAS请求为TAU request时，所述NAS请求对应的拒绝消息为TAUreject消息，当所述NAS请求为service request时，所述NAS请求对应的拒绝消息为service reject消息。

S303：所述终端设备根据所述安全验证结果，处理所述NAS请求对应的拒绝消息。

具体地，在步骤S302所述终端设备通过以下步骤对所述NAS请求对应的拒绝消息进行安全验证：

S302a：判断所述NAS请求对应的拒绝消息是否为安全保护的消息，若是执行步骤S302b，否则执行步骤S302c；

S302b：对所述NAS请求对应的拒绝消息进行解安全保护，若解安全保护成功，则确定所述安全验证的结果为所述NAS请求对应的拒绝消息安全验证成功，否则，确定所述安全验证的结果为所述NAS请求对应的拒绝消息安全验证不成功；

S302c：确定所述安全验证的结果为所述NAS请求对应的拒绝消息安全验证不成功。

一个可能的实施方式中，在执行步骤S302时，所述终端设备接收所述NAS请求对应的拒绝消息，所述NAS请求对应的拒绝消息携带第二指示信息，所述第二指示信息用于指示所述NAS请求对应的拒绝消息为安全保护的消息；所述终端设备根据所述第二指示信息以及与所述移动管理网元协商的安全上下文，对所述NAS请求对应的拒绝消息进行安全验证。

需要说明的是，本申请并不对所述移动管理网元进行限定，所述移动管理网元可以是4G网络中的MME，也可以是5G网络中的AMF实体，还可以是未来通信网络中的具有移动管理功能的网元。

一个可能的实施方式中，当所述NAS请求对应的拒绝消息携带所述第二指示信息时，所述终端设备可以通过但不限于以下方式处理所述NAS请求对应的拒绝消息：

方式A、所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息。

其中，所述NAS请求对应的拒绝消息可以携带拒绝原因以及所述拒绝原因对应的限制时长，所述限制时长为禁止所述终端设备发送所述NAS请求的时长；或者，所述NAS请求对应的拒绝消息中携带拒绝原因，且所述拒绝原因为网络不支持所述NAS请求中包括的接入点名称APN。

方式B、当所述NAS请求对应的拒绝消息中携带拒绝原因以及所述拒绝原因对应的限制时长时，所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则根据所述拒绝原因以及所述限制时长，执行所述NAS请求对应的拒绝消息的动作；所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中的限制时长，其中，所述限制时长为禁止所述终端设备发送所述NAS请求的时长。

例如，当所述NAS请求为attach request，且attach request中携带所述第一指示信息，所述NAS请求对应的拒绝消息为attach reject消息，且attach reject消息中携带拒绝原因值22、对应的定时器T3346的值，以及所述第二指示信息时，所述终端设备确定所述安全验证结果为所述attach reject消息安全验证成功，则启动所述定时器T3346，所述定时器T3346的定时时长为attach reject消息中携带的定时器T3346的值，所述终端设备在所述定时器T3346的定时时长内不再发起attach流程；所述终端设备确定所述安全验证结果为所述attach reject消息安全验证不成功，则不启动所述定时器T3346，其它按照标准协议中关于attach reject消息的规定处理。

当所述NAS请求为attach request，且attach request中携带所述第一指示信息，所述NAS请求对应的拒绝消息为attach reject消息，且attach reject消息中包含PDNconnectivity reject消息，且所述PDN connectivity reject消息中携带原因值26、对应的定时器T3396的值，以及所述第二指示信息时，所述终端设备确定所述安全验证结果为所述attach reject消息安全验证成功，则启动所述定时器，所述定时器T3396的定时时长为attach reject消息中携带的定时器T3396的值，所述终端设备在该定时器的定时时长内不能再使用所请求的APN获得对应的业务服务；所述终端设备确定所述安全验证结果为所述attach reject消息安全验证不成功，则不启动所述定时器T3396，其它按照标准协议中关于attach reject消息的规定处理。

方式C、当所述NAS请求对应的拒绝消息中携带拒绝原因，且所述拒绝原因为网络设备不支持所述NAS请求中包括的接入点名称APN时，所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中所述拒绝原因对所述APN的限制。

例如，当所述NAS请求为attach request，且attach request中携带所述第一指示信息，所述NAS请求对应的拒绝消息为attach reject消息，attach reject消息中包含PDNconnectivity reject消息(PDN connectivity reject消息中携带拒绝原因值66)以及所述第二指示信息时，所述终端设备确定所述安全验证结果为所述attach reject消息安全验证成功，则在关机或者拔卡前不能在当前RAT和PLMN下再使用所请求的APN获得对应的业务服务；所述终端设备确定所述安全验证结果为所述attach reject消息安全验证不成功，则忽略拒绝原因值66对所述终端设备的限制。

通过上述方法，当所述NAS请求对应的拒绝消息携带所述第二指示信息时，所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息，或者所述终端设备忽略所述拒绝消息中限制所述终端设备无法正常与网络侧通信的信息，可以避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，在执行步骤S302时，所述终端设备接收所述NAS请求对应的拒绝消息，所述NAS请求对应的拒绝消息中携带第三指示信息，所述第三指示信息用于指示所述NAS请求对应的拒绝消息未进行安全保护；所述终端设备对所述NAS请求对应的拒绝消息进行安全验证，根据所述第三指示信息，确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功。

一个可能的实施方式中，当所述NAS请求对应的拒绝消息携带所述第三指示信息时，所述终端设备可以通过但不限于以下方式中的任意一种处理所述NAS请求对应的拒绝消息：

方式a、所述终端设备忽略所述NAS请求对应的拒绝消息。

其中，所述NAS请求对应的拒绝消息可以携带拒绝原因以及所述拒绝原因对应的限制时长；或者，所述NAS请求对应的拒绝消息中携带拒绝原因，且所述拒绝原因为网络不支持所述NAS请求中包括的APN。

其中，所述限制时长可以为调节时长(back-off time)，或者延迟时长，或者退避时长，以及其它可以用于限制所述终端设备重新发起所述NAS请求的时长，本申请实施例对所述限制时长的具体名称不做限定。

方式b、当所述NAS请求对应的拒绝消息中携带拒绝原因以及所述拒绝原因对应的限制时长时，所述终端设备忽略所述NAS请求对应的拒绝消息中的限制时长，其中，所述限制时长为禁止所述终端设备发送所述NAS请求的时长。

方式c、当所述NAS请求对应的拒绝消息中携带拒绝原因，且所述拒绝原因为网络不支持所述NAS请求中包括的接入点名称APN时，所述终端设备忽略所述NAS请求对应的拒绝消息中所述拒绝原因对所述APN的限制。

由于所述终端设备发送的NAS请求中携带所述第一指示信息，而伪网络发送的NAS请求对应的拒绝消息通常为明文，因此当所述NAS请求对应的拒绝消息携带所述第三指示信息时，所述终端设备忽略所述NAS请求对应的拒绝消息，或者忽略所述拒绝消息中限制所述终端设备无法正常与网络侧通信的信息，可以避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

一个可能的实施方式中，所述终端设备确定所述NAS请求对应的拒绝消息安全验证不成功之后，还可以将第一小区设置为不可用小区，所述第一小区为所述终端设备发送所述NAS请求时所在的小区。

由于所述终端设备发送的NAS请求中携带所述第一指示信息，而所述NAS请求对应的拒绝消息的安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，因此，所述NAS请求对应的拒绝消息是伪网络发送的概率较大，尤其所述NAS请求对应的拒绝消息中携带所述第三指示信息的情况，因此，所述终端设备确定所述NAS请求对应的拒绝消息安全验证不成功之后，还可以将第一小区设置为不可用小区，所述第一小区为所述终端设备发送所述NAS请求时所在的小区，可以进一步避免伪网络对终端设备的攻击。

本申请实施例中，所述终端设备发送携带第一指示信息的NAS请求，接收所述NAS请求对应的拒绝消息后，对所述NAS请求对应的拒绝消息进行安全验证，根据所述安全验证结果，处理所述NAS请求对应的拒绝消息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护。也就是说，所述终端设备在发送所述NAS请求时，通过所述第一指示信息通知网络设备在需要拒绝所述NAS请求时，向所述终端设备发送安全保护的拒绝消息，并在接收到所述NAS请求对应的拒绝消息后，对所述NAS请求对应的拒绝消息进行安全验证，根据安全验证结果处理所述NAS请求对应的拒绝消息，使得所述终端设备在确定所述安全验证的结果为所述NAS请求对应的拒绝消息验证成功时，才执行所述NAS请求对应的拒绝消息的动作，可以有效避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

如图4所示，本申请提供的另一种拒绝消息处理方法，应用于真实网络中的移动管理网元拒绝终端设备发送的NAS请求时，终端设备处理移动管理网元发送的NAS请求对应的拒绝消息的场景，适用于上述图1所示的4G通信系统以及图2所示的5G通信系统。所述方法包括以下步骤：

S401:所述终端设备向移动管理网元发送NAS请求，所述NAS请求中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护。

相应地，所述移动管理网元接收所述终端设备发送的NAS请求。

需要说明的是，本申请实施例并不对所述第一指示信息在所述NAS请求中的具体格式进行限定，所述第一指示信息可以携带在所述NAS请求中现有的信元的预留项中，例如所述第一指示信息可以携带在4G网络的UE网络能力(UE network capability)信元中或携带在5G网络的5G移动管理能力(5GMM capability)中；或者，所述第一指示信息也可以携带在所述NAS请求的新信元中。并且，本申请并不对所述移动管理网元进行限定，所述移动管理网元可以是4G网络中的MME，也可以是5G网络中的AMF实体，还可以是未来通信网络中的具有移动管理功能的网元。

S402：所述移动管理网元确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护。

一个可能的实施方式中，在步骤S402中所述移动管理网元对所述NAS请求对应的拒绝消息进行安全保护之前，还可以向所述终端设备发起安全协商流程，所述安全协商流程用于生成所述移动管理网元与所述终端设备之间的安全上下文。

具体地，当所述终端设备中没有所述安全上下文时，所述移动管理网元在接收到所述NAS请求时，向所述终端设备发起所述安全协商流程，生成所述移动管理网元与所述终端设备之间的安全上下文。当所述终端设备中存在所述安全上下文时，所述移动管理网元在接收到所述NAS请求时，也可以向所述终端设备发起所述安全协商流程，重新生成所述移动管理网元与所述终端设备之间的安全上下文，使得所述移动管理网元可以使用重新生成的安全上下文，对所述NAS请求对应的拒绝消息进行安全保护，进一步提高所述NAS请求对应的拒绝消息的安全性。

其中，所述安全协商流程包括鉴权(authentication)流程以及安全激活(security mode control)流程，例如，所述移动管理网元以及所述终端设备先通过所述鉴权流程确定所述安全上下文中的密钥，再通过所述安全激活流程确定所述安全上下文中的安全算法，激活所述安全上下文。或者，当鉴权(authentication)流程得到的安全上下文不需要通过安全激活(security mode control)流程进行激活时，所述安全协商流程可以仅包括鉴权(authentication)流程。所述鉴权流程以及所述安全激活流程可以按照现有标准协议规定的具体步骤实现，此处不再赘述。

一个可能的实施方式中，在执行步骤S402时，所述移动管理网元可以通过但不限于以下三种方式中的任意一种对所述NAS请求对应的拒绝消息进行安全保护：

方式1、所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行加密。

方式2、所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行完整性保护。

方式3、所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行加密，然后对加密的拒绝消息进行完整性保护。

S403：所述移动管理网元将安全保护的所述拒绝消息，发送给所述终端设备。

相应地，所述终端设备接收所述NAS请求对应的拒绝消息。

S404：所述终端设备对所述NAS请求对应的拒绝消息进行安全验证。

S405：所述终端设备根据所述安全验证的结果，处理所述NAS请求对应的拒绝消息。

其中，步骤S404中所述终端设备对所述NAS请求对应的拒绝消息进行安全验证的具体方法，以及步骤S405中所述终端设备根据所述安全验证的结果，处理所述NAS请求对应的拒绝消息的具体方法，分别参见上述第一种拒绝消息处理方法实施例中步骤S302以及步骤S303的相关描述，此处不再赘述。

本申请实施例中，所述终端设备向所述移动管理网元发送携带第一指示信息的NAS请求；所述移动管理网元在确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护，并将安全保护的所述拒绝消息发送给所述终端设备，所述终端设备对所述NAS请求对应的拒绝消息进行安全验证，根据所述安全验证的结果，处理所述NAS请求对应的拒绝消息；其中，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护。也就是说，所述终端设备在向所述移动管理网元发送所述NAS请求时，通过所述第一指示信息通知所述移动管理网元在需要拒绝所述NAS请求时，向所述终端设备发送安全保护的拒绝消息，可以提高所述NAS请求对应的拒绝消息的安全性。并且，所述终端设备在接收到安全保护的所述NAS请求对应的拒绝消息后，对安全保护的所述拒绝消息进行安全验证，根据安全验证结果处理所述NAS请求对应的拒绝消息，确定所述安全验证的结果为所述NAS请求对应的拒绝消息验证成功，才执行所述NAS请求对应的拒绝消息的动作，进而可以有效避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

下面将以本申请实施例图3和图4所示的通信方法应用在具体场景中，通过具体实施例一至具体实施例八，对本申请提供的拒绝消息处理方法进行详细说明本申请实施例提供的拒绝消息处理方法。

具体实施例一、5G网络中所述终端设备向真实网络中的移动管理网元——AMF实体，发送携带所述第一指示信息的NAS请求的场景下，以所述终端设备以UE为例，所述终端设备发送的NAS请求为registration request为例，如图5所示，本申请提供的拒绝消息处理方法包括以下步骤：

S501：UE向AMF实体发送registration request，其中，所述registrationrequest中携带第一指示信息，所述第一指示信息用于指示所述registration request对应的拒绝消息registration reject消息需要进行安全保护。

相应地，所述AMF实体接收所述registration request。

S502：所述AMF实体确定拒绝所述registration request时，向所述UE发起安全协商流程，生成所述AMF实体与所述UE之间的安全上下文。

其中，所述AMF实体与所述UE协商安全上下文的流程，与MME实体与所述UE协商安全上下文的流程类似，具体可以参见步骤S902a～S902h的描述，此处不再赘述。

S503：所述AMF实体使用所述安全上下文，对registration reject消息进行安全保护。

其中，所述registration reject消息中携带拒绝原因以及该拒绝原因对应的限定时长，或者，所述registration reject消息中携带拒绝原因，且该拒绝原因为网络不支持所述registration request请求中包括的APN。

S504：所述AMF实体将安全保护的registration reject消息，发送给所述UE。

S505：所述UE根据所述第一指示信息以及所述安全上下文，对所述安全保护的registration reject消息进行安全验证，若确定所述安全保护的registration reject消息安全验证成功，执行步骤S506a，否则，执行步骤S506b。

S506a：所述UE执行所述registration reject消息对应的动作。

其中，所述UE执行的所述registration reject消息对应的动作为现有标准协议中规定的所述registration reject消息的相关处理流程对应的动作，此处不再赘述。

S506b：所述UE忽略所述registration reject消息。

需要说明的是，当所述UE中存在与所述AMF实体协商的安全上下文时，可以执行步骤S502，也可以不执行步骤S502。

具体实施例二、5G网络中所述终端设备向真实网络中的移动管理网元——AMF实体，发送携带所述第一指示信息的NAS请求的场景下，以所述终端设备以UE为例，所述终端设备发送的NAS请求为service request为例，如图6所示，本申请提供的拒绝消息处理方法包括以下步骤：

S601：UE向AMF实体发送service request，其中，所述service request中携带第一指示信息，所述第一指示信息用于指示所述service request对应的拒绝消息servicerequest消息需要进行安全保护。

相应地，所述AMF实体接收所述service request。

S602：所述AMF实体确定拒绝所述service request时，向所述UE发起安全协商流程，生成所述AMF实体与所述UE之间的安全上下文。

S603：所述AMF实体使用所述安全上下文，对service reject消息进行安全保护。

其中，所述service reject消息中携带拒绝原因以及该拒绝原因对应的限定时长。

S604：所述AMF实体将安全保护的service reject消息，发送给所述UE。

S605：所述UE根据所述第一指示信息以及所述安全上下文，对所述安全保护的service reject消息进行安全验证，若确定所述安全保护的service reject消息安全验证成功，执行步骤S606a，否则，执行步骤S606b。

S606a：所述UE执行所述service reject消息对应的动作。

其中，所述UE执行的所述service reject消息对应的动作为现有标准协议中规定的所述service reject消息的相关处理流程对应的动作，此处不再赘述。

S606b：所述UE忽略所述service reject消息。

需要说明的是，当所述UE中存在与所述AMF实体协商的安全上下文时，可以执行步骤S602，也可以不执行步骤S602。

具体实施例三、5G网络中所述终端设备向伪网络中具有移动管理网元——AMF实体功能的设备，发送携带所述第一指示信息的NAS请求的场景下，以所述终端设备以UE为例，所述终端设备发送的NAS请求为registration request为例，如图7所示，本申请提供的拒绝消息处理方法包括以下步骤：

S701：UE向伪网络中具有AMF实体功能的设备发送registration request，其中，所述registration request中携带第一指示信息，所述第一指示信息用于指示所述registration request对应的拒绝消息registration reject消息需要进行安全保护。

相应地，所述伪网络中具有AMF实体功能的设备接收所述registration request。

S702：所述伪网络中具有AMF实体功能的设备向所述UE发送registration reject消息，所述registration reject消息中携带第三指示信息，所述第三指示信息用于指示所述registration reject消息未进行安全保护。

相应地，所述UE接收所述registration reject消息。

其中，所述registration reject消息中携带拒绝原因以及该拒绝原因对应的限定时长，或者，所述registration reject消息中携带拒绝原因，且该拒绝原因为网络不支持所述registration request请求中包括的APN。

S703：所述UE根据所述第三指示信息，确定所述registration reject消息安全验证不成功。

所述UE确定所述registration reject消息安全验证不成功时，可以执行步骤S704a，或者，当所述registration reject消息中携带拒绝原因以及该拒绝原因对应的限定时长时，也可以执行步骤S704b，或者当所述registration reject消息中携带的拒绝原因为网络不支持所述registration request请求中包括的APN时，可以执行步骤S704c。

S704a：所述UE忽略所述registration reject消息。

S704b：所述UE忽略所述registration reject消息中的拒绝原因对应的限制时长。

具体地，所述UE不启动所述registration reject消息中的拒绝原因对应的定时器。

S704c：所述UE忽略所述registration reject消息中的拒绝原因对APN的限制。

所述UE通过步骤S704a、S704b或者所述步骤S704c处理所述service reject消息之后，还可以执行步骤S705：将发送所述registration request时所在的小区，设置为不可用小区。

具体实施例四、5G网络中所述终端设备向伪网络中具有移动管理网元——AMF实体功能的设备，发送携带所述第一指示信息的NAS请求的场景下，以所述终端设备以UE为例，所述终端设备发送的NAS请求为service request为例，如图8所示，本申请提供的拒绝消息处理方法包括以下步骤：

S801：UE向伪网络中具有AMF实体功能的设备发送service request，其中，所述service request中携带第一指示信息，所述第一指示信息用于指示所述service request对应的拒绝消息service reject消息需要进行安全保护。

相应地，所述伪网络中具有AMF实体功能的设备接收所述service request。

S802：所述伪网络中具有AMF实体功能的设备向所述UE发送service reject消息，所述service reject消息中携带第三指示信息，所述第三指示信息用于指示所述servicereject消息未进行安全保护。

相应地，所述UE接收所述service reject消息。

其中，所述service reject消息中携带拒绝原因以及该拒绝原因对应的限定时长。

S803：所述UE根据所述第三指示信息，确定所述service reject消息安全验证不成功。

当所述UE确定所述service reject消息安全验证不成功时，可以执行步骤S804a，或者，可以执行步骤S804b。

S804a：所述UE忽略所述service reject消息。

S804b：所述UE忽略所述service reject消息中的拒绝原因对应的限制时长。

具体地，所述UE不启动所述service reject消息中的拒绝原因对应的定时器。

所述UE通过步骤S804a或者所述步骤S804b处理所述service reject消息之后，还可以执行步骤S805：将发送所述service request时所在的小区设置为不可用小区。

具体实施例五、4G网络中所述终端设备向真实网络中的移动管理网元MME，发送携带所述第一指示信息的NAS请求的场景下，以所述终端设备以UE为例，所述终端设备发送的NAS请求为attach request为例，如图9所示，本申请提供的拒绝消息处理方法包括以下步骤：

S901：UE向MME发送attach request，其中，所述attach request中携带第一指示信息，所述第一指示信息用于指示所述attach request对应的拒绝消息attach reject消息需要进行安全保护。

相应地，所述MME接收所述attach request。

S902：所述MME确定拒绝所述attach request时，向所述UE发起安全协商流程，生成所述MME与所述UE之间的安全上下文。

其中，所述安全上下文包括密钥和安全算法，所述安全算法包括加密算法和完整性保护算法，所述安全协商流程包括以下步骤：

S902a：所述MME向所述UE发送鉴权请求(authentication request)。

相应地，所述UE接收所述authentication request。

S902b：所述UE根据所述authentication request，确定所述MME实体合法后，生成所述密钥。

S902c：所述UE向所述MME发送鉴权响应(authentication response)消息。

S902d：所述MME根据所述authentication response消息，确定所述UE合法后，生成所述密钥。

S902e：所述MME向所述UE发送安全模式命令(security mode command)消息以激活所述鉴权流程生成的安全上下文，该消息中携带所述安全上下文中的密钥标识和使用的安全算法。

相应地，所述UE接收所述security mode command消息。

S902f：所述UE根据所述security mode command消息，确定使用所述安全算法。

S902g：所述UE向所述MME发送安全模式结束(security mode complete)消息。

相应地，所述MME接收所述security mode complete消息。

S902h：所述MME根据所述security mode complete消息，确定使用所述安全算法。

S903：所述MME使用所述安全上下文中的密钥和安全算法，对attach reject消息进行安全保护。

其中，所述attach reject消息中携带拒绝原因以及该拒绝原因对应的限定时长，例如所述MME在确定网络拥塞时发送的attach reject消息中携带拒绝原因值22以及定时器T3346的值，又如所述MME在确定网络资源不足时发送的attach reject消息，attachreject消息中包含PDN connectivity reject消息，且PDN connectivity reject中携带原因值26以及对应的定时器T3396的值。

或者，所述attach reject消息中携带拒绝原因，且该拒绝原因为网络不支持所述attach request请求中包括的APN，例如所述MME在确定当前RAT和PLMN下不支持所述attach request中包括的APN时发送的attach reject消息，所述attach reject消息中包含PDN connectivity reject消息，PDN connectivity reject消息中携带拒绝原因值66。

S904：所述MME将安全保护的attach reject消息，发送给所述UE。

S905：所述UE根据所述第一指示信息以及所述安全上下文，对所述安全保护的attach reject消息进行安全验证，若确定所述安全保护的attach reject消息安全验证成功，执行步骤S906a，否则，执行步骤S906b。

S906a：所述UE执行所述attach reject消息对应的动作。

其中，所述UE执行的所述attach reject消息对应的动作为现有标准协议中规定的所述attach reject消息的相关处理流程对应的动作，此处不再赘述。

S906b：所述UE忽略所述attach reject消息。

需要说明的是，当所述UE中存在所述安全上下文时，可以执行S902，也可以不执行S902。

具体实施例六、4G网络中所述终端设备向真实网络中的移动管理网元——MME，发送携带所述第一指示信息的NAS请求的场景下，以所述终端设备以UE为例，所述终端设备发送的NAS请求为TAU request为例，如图10所示，本申请提供的拒绝消息处理方法包括以下步骤：

S1001：UE向MME发送TAU request，其中，所述TAU request中携带第一指示信息，所述第一指示信息用于指示所述TAU request对应的拒绝消息TAU reject消息需要进行安全保护。

相应地，所述MME接收所述TAU request。

S1002：所述MME确定拒绝所述TAU request时，向所述UE发起安全协商流程，生成所述MME与所述UE之间的安全上下文。

其中，所述安全协商流程参见上述步骤S902a～S902h的描述，此处不再赘述。

S1003：所述MME使用所述安全上下文中的密钥和安全算法，对TAU reject消息进行安全保护。

其中，所述TAU reject消息中携带拒绝原因以及该拒绝原因对应的限定时长。例如，所述MME在确定网络拥塞时发送的TAU reject消息中携带拒绝原因值22以及定时器T3346的值。

S1004：所述MME将安全保护的TAU reject消息，发送给所述UE。

S1005：所述UE根据所述第一指示信息以及所述安全上下文，对所述安全保护的TAU reject消息进行安全验证，若确定所述安全保护的TAU reject消息安全验证成功，执行步骤S1006a，否则，执行步骤S1006b。

S1006a：所述UE根据该拒绝原因以及该拒绝原因对应的限定时长，执行所述TAUreject消息对应的动作。

其中，所述UE执行的所述TAU reject消息对应的动作为现有标准协议中规定的所述TAU reject消息的相关处理流程对应的动作，此处不再赘述。

S1006b：所述UE忽略所述TAU reject消息。

需要说明的是，当所述UE中存在所述安全上下文时，可以执行S1002，也可以不执行步骤S1002。另外，所述UE向所述MME发送携带所述第一指示信息的service request，所述MME拒绝所述service request时，所述UE处理所述MME发送的service reject消息的过程，与所述UE向所述MME发送携带所述第一指示信息的TAU request，所述MME拒绝所述TAUrequest时，所述UE处理所述MME发送的TAU reject消息的过程类似，此处不再赘述。

具体实施例七、4G网络中所述终端设备向伪网络中具有移动管理网元——MME功能的设备，发送携带所述第一指示信息的NAS请求的场景下，以所述终端设备以UE为例，所述终端设备发送的NAS请求为attach request为例，如图11所示，本申请提供的拒绝消息处理方法包括以下步骤：

S1101：UE向伪网络中具有MME功能的设备发送attach request，其中，所述attachrequest中携带第一指示信息，所述第一指示信息用于指示所述attach request对应的拒绝消息attach reject消息需要进行安全保护。

相应地，所述伪网络中具有MME功能的设备接收所述attach request。

S1102：所述伪网络中具有MME功能的设备向所述UE发送attach reject消息，所述attach reject消息中携带第三指示信息，所述第三指示信息用于指示所述attach reject消息未进行安全保护。

相应地，所述UE接收所述attach reject消息。

其中，所述attach reject消息中携带拒绝原因以及该拒绝原因对应的限定时长，例如所述MME在确定网络拥塞时发送的attach reject消息中携带拒绝原因值22以及定时器T3346的值，又如所述MME在确定网络资源不足时发送的attach reject消息，所述attachreject消息中包含PDN connectivity reject消息，且PDN connectivity reject中携带拒绝原因值26以及定时器T3396的值。

或者，所述attach reject消息中携带拒绝原因，且该拒绝原因为网络不支持所述attach request请求中包括的APN，例如所述MME在确定当前RAT和PLMN下不支持所述attach request中包括的APN时发送的attach reject消息，所述attach reject消息中包含PDN connectivity reject消息，PDN connectivity reject消息中携带拒绝原因值66。

S1103：所述UE根据所述第三指示信息，确定所述attach reject消息安全验证不成功。

所述UE确定所述attach reject消息安全验证不成功后，可以执行步骤S1104a，或者，当所述attach reject消息中携带拒绝原因以及该拒绝原因对应的限定时长时，也可以执行步骤S1104b，或者当所述attach reject消息中携带的拒绝原因为网络不支持所述attach request请求中包括的APN时，可以执行步骤S1104c。

S1104a：所述UE忽略所述attach reject消息。

S1104b：所述UE忽略所述attach reject消息中的拒绝原因对应的限制时长。

具体地，所述UE不启动所述attach reject消息中的拒绝原因对应的定时器。例如，当所述attach reject消息中携带拒绝原因值22以及定时器T3346的值时，所述UE不启动所述定时器T3346，又如当所述attach reject消息中携带拒绝原因值26以及定时器T3396的值时，所述UE不启动所述定时器T3396。

S1104c：所述UE忽略所述attach reject消息中的拒绝原因对APN的限制。

所述UE通过步骤S1104a、S1104b或者所述步骤S1104c处理所述attach reject消息之后，还可以执行步骤S1105：将发送所述attach request时所在的小区，设置为不可用小区。

具体实施例八、4G网络中所述终端设备向伪网络中具有移动管理网元MME功能的设备，发送携带所述第一指示信息的NAS请求的场景下，以所述终端设备以UE为例，所述终端设备发送的NAS请求为TAU request为例，如图12所示，本申请提供的拒绝消息处理方法包括以下步骤：

S1201：UE向伪网络中具有MME功能的设备发送TAU request，其中，所述TAUrequest中携带第一指示信息，所述第一指示信息用于指示所述TAU request对应的拒绝消息TAU reject消息需要进行安全保护。

相应地，所述伪网络中具有MME功能的设备接收所述TAU request。

S1202：所述伪网络中具有MME功能的设备向所述UE发送TAU reject消息，所述TAUreject消息中携带第三指示信息，所述第三指示信息用于指示所述TAU reject消息未进行安全保护。

相应地，所述UE接收所述TAU reject消息。

其中，所述TAU reject消息中携带拒绝原因以及该拒绝原因对应的限定时长。例如，TAU reject消息中携带拒绝原因值22以及定时器T3346的值。

S1203：所述UE根据所述第三指示信息，确定所述TAU reject消息安全验证不成功。

所述UE确定所述TAU reject消息安全验证不成功后，可以执行步骤S1204a，或者，当所述TAU reject消息中携带拒绝原因以及该拒绝原因对应的限定时长时，也可以执行步骤S1204b。

S1204a：所述UE忽略所述TAU reject消息。

S1204b：所述UE忽略所述TAU reject消息中的拒绝原因对应的限制时长。

具体地，所述UE不启动所述TAU reject消息中的拒绝原因对应的定时器。例如，当所述TAU reject消息中携带拒绝原因值22以及定时器T3346的值，所述UE不启动所述定时器T3346。

所述UE通过步骤S1204a、S1204b或者所述步骤S1204c处理所述TAU reject消息之后，还可以执行步骤S1205：将发送所述TAU request时所在的小区，设置为不可用小区。

需要说明的时，所述UE向所述为网络中具有MME功能的设备发送携带所述第一指示信息的service request，所述为网络中具有MME功能的设备拒绝所述service request时，所述UE处理所述MME发送的service reject消息的过程，与所述UE向所述为网络中具有MME功能的设备发送携带所述第一指示信息的TAU request，所述为网络中具有MME功能的设备拒绝所述TAU request时，所述UE处理所述为网络中具有MME功能的设备发送的TAUreject消息的过程类似，此处不再赘述。

本申请实施例提供了一种拒绝消息处理装置，所述拒绝消息处理装置用于实现如图3至图12所示的拒绝消息处理方法中终端设备的功能。如图13所示，所述拒绝消息处理1300中包括：发送单元1301、接收单元1302和处理单元1303。

所述发送单元1301，用于发送非接入层NAS请求，所述NAS请求中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护。

所述接收单元1302，用于接收所述NAS请求对应的拒绝消息。

所述处理单元1303，用于对所述NAS请求对应的拒绝消息进行安全验证；以及，根据所述安全验证结果，处理所述NAS请求对应的拒绝消息。

一个可能的实施方式中，所述接收单元1302具体用于：接收所述NAS请求对应的拒绝消息，所述NAS请求对应的拒绝消息携带第二指示信息，所述第二指示信息用于指示所述NAS请求对应的拒绝消息为安全保护的消息；

所述处理单元1303具体用于：根据所述第二指示信息以及与移动管理网元协商的安全上下文，对所述NAS请求对应的拒绝消息进行安全验证。

一个可能的实施方式中，所述接收单元1302，具体用于接收所述NAS请求对应的拒绝消息，所述NAS请求对应的拒绝消息中携带第三指示信息，所述第三指示信息用于指示所述NAS请求对应的拒绝消息未进行安全保护；

所述处理单元1303具体用于：对所述NAS请求对应的拒绝消息进行安全验证，根据所述第三指示信息，确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功。

一个可能的实施方式中，所述处理单元1303具体用于：确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者，确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息。

一个可能的实施方式中，所述NAS请求对应的拒绝消息中携带拒绝原因以及所述拒绝原因对应的限制时长，其中所述限制时长为禁止所述终端设备发送所述NAS请求的时长；

所述处理单元1303具体用于：确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则根据所述拒绝原因以及所述限制时长，执行所述NAS请求对应的拒绝消息的动作；或者，确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中的限制时长。

一个可能的实施方式中，所述NAS请求对应的拒绝消息中携带拒绝原因，且所述拒绝原因为网络不支持所述NAS请求中包括的接入点名称APN；

所述处理单元1303具体用于：确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者，确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中所述拒绝原因对所述APN的限制。

一个可能的实施方式中，所述处理单元1303在确定所述NAS请求对应的拒绝消息安全验证不成功之后，还用于：将第一小区设置为不可用小区，所述第一小区为所述拒绝消息处理装置发送所述NAS请求时所在的小区。

其中，所述发送单元1301对应的实体设备可以为发射器，所述接收单元1302对应的实体设备可以为接收器，所述处理单元1303对应的实体设备可以为处理器。

本申请实施例提供了一种拒绝消息处理装置，所述拒绝消息处理装置能够发送携带所述第一指示信息的NAS请求，并且在接收到所述NAS请求对应的拒绝消息时，对所述NAS请求对应的拒绝消息进行安全验证，根据安全验证结果，处理所述NAS请求对应的拒绝消息。当所述拒绝消息处理装置确定所述安全验证的结果为所述NAS请求对应的拒绝消息安全验证通过，才会执行所述NAS请求对应的拒绝消息的动作，可以避免伪网络利用NAS请求对应的拒绝消息对所述拒绝消息处理装置的攻击。

本申请实施例提供了一种拒绝消息处理装置，所述拒绝消息处理装置用于实现如图4至图6、图9以及图10所示的拒绝消息处理方法中移动管理网元的功能。如图14所示，所述拒绝消息处理装置1400中包括：接收单元1401、处理单元1402以及发送单元1403。

所述接收单元1401，用于：接收终端设备发送的非接入层NAS请求，所述NAS消息中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护。

所述处理单元1402，用于确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护。

所述发送单元1403，用于将安全保护的所述拒绝消息，发送给所述终端设备。

一个可能的实施方式中，所述处单元1402在对所述NAS请求对应的拒绝消息进行安全保护之前，还用于：向所述终端设备发起安全协商流程，所述安全协商流程用于生成所述移动管理网元与所述终端设备之间的安全上下文。

一个可能的实施方式中，所述处理单元1403具体用于：根据与所述终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行加密；和/或，

根据与所述终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行完整性保护。

其中，所述接收单元1401对应的实体设备可以为接收器，所述处理单元1402对应的实体设备可以为处理器，所述发送单元1403对应的实体设备可以为发射器。

本申请实施例提供了一种拒绝消息处理装置，所述拒绝消息处理装置能够接收携带所述第一指示信息的NAS请求，在确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护，并向终端设备发送安全保护后的拒绝消息，可以增加所述NAS请求对应的拒绝消息的安全性，进而使得所述终端设备接收所述安全保护后的拒绝消息后，对所述安全保护后的拒绝消息进行安全验证，根据安全验证结果，处理所述NAS请求对应的拒绝消息，避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。在本申请的实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

图15示出了上述实施例中所涉及的终端设备的一种可能的设计结构的简化示意图。所述终端设备包括发射器1501，接收器1502，控制器/处理器1503，存储器1504和调制解调处理器1505。

所述发射器1501调节(例如，模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号，该上行链路信号经由天线发射给上述实施例中所述的移动管理网元。在下行链路上，天线接收上述实施例中移动管理网元发射的下行链路信号。所述接收器1502调节(例如，滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在所述调制解调处理器1505中，编码器1506接收要在上行链路上发送的业务数据和信令消息，并对业务数据和信令消息进行处理(例如，格式化、编码和交织)。调制器1507进一步处理(例如，符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1509处理(例如，解调)该输入采样并提供符号估计。解码器1508处理(例如，解交织和解码)该符号估计并提供发送给UE的已解码的数据和信令消息。编码器1506、调制器1507、解调器1509和解码器1508可以由合成的调制解调处理器1505来实现。这些单元根据无线接入网采用的无线接入技术(例如，LTE及其他演进系统的接入技术)来进行处理。

所述控制器/处理器1503对终端设备的动作进行控制管理，用于执行上述实施例中由终端设备进行的处理。例如用于控制终端设备对所述终端设备发送的NAS请求对应的拒绝消息进行安全验证，根据安全验证结果处理所述NAS请求对应的拒绝消息和/或本发明所描述的技术的其他过程。作为示例，所述控制器/处理器1503用于支持终端设备执行图3中的步骤S302和S303，图4中的步骤S404和S405，图5中的步骤S505和S506a(或S506b)，图6中的步骤S605和S606a(或606b)，图7中的步骤S703、S704a(或S704b，或S704c)和S705，图8中的步骤S803、S804a(或S704b8)和S805，图9中的步骤S905和S906a(或S906b)，图10中的步骤S1005和S1006a(或S1006b)，图11中的步骤S1103、S1104a(或S1104b，或S1104c)和S1105，以及图12中的步骤S1203、S1204a(或S1204b，或S1204c)和S1205。

所述存储器1504用于存储用于所述终端设备1500涉及的程序代码和数据。

本申请实施例提供了一种终端设备，所述终端设备能够发送携带所述第一指示信息的NAS请求，并且在接收到所述NAS请求对应的拒绝消息时，对所述NAS请求对应的拒绝消息进行安全验证，根据安全验证结果，处理所述NAS请求对应的拒绝消息。当所述终端设备确定所述安全验证的结果为所述NAS请求对应的拒绝消息安全验证通过，才会执行所述NAS请求对应的拒绝消息的动作，可以避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

需要说明的是，本申请实施例提供的所述终端设备1500用于实现图3至图12所示的拒绝消息处理方法中终端设备的功能，此处仅对所述终端设备1500中各个模块之间的连接关系进行了描述，所述终端设备1500处理拒绝消息的具体方案以及具体执行的动作参见上述方法实施例中的相关描述，此处不再赘述。

图16示出了上述实施例中所涉及的移动管理网元的一种可能的结构示意图。所述移动管理网元1600包括：发射器/接收器1601,控制器/处理器1602以及存储器1603。

所述发射器/接收器1601用于支持移动管理网元与上述实施例中所述的终端设备之间收发信息，以及支持所述终端设备与其他终端设备之间进行无线电通信。所述控制器/处理器1602执行各种用于与终端设备通信的功能。在上行链路，来自所述终端设备的上行链路信号经由天线接收，由接收器1601进行调解，并进一步由所述控制器/处理器1162进行处理来恢复终端设备所发送到业务数据和信令信息。在下行链路上，业务数据和信令消息由所述控制器/处理器1602进行处理，并由发射器1601进行调解来产生下行链路信号，并经由天线发射给终端设备。所述控制器/处理器1602还执行图4至图6，图9以及图10中涉及移动管理网元的处理过程和/或用于本申请所描述的技术的其他过程。

所述存储器1603用于存储移动管理网元的程序代码和数据。所述移动管理网元1600还可以包括通信单元1604，所述通信单元1604用于支持移动管理网元与其他网络实体进行通信。例如,用于支持移动管理网元与图1(或图2)中示出的其他通信网络实体间进行通信，例如图1中的SGSN、SGW或PGW等，又如图2中的AUSF实体或SMF等。

本申请实施例提供了一种移动管理网元，所述移动管理网元能够接收携带所述第一指示信息的NAS请求，在确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护，并向终端设备发送安全保护后的拒绝消息，可以增加所述NAS请求对应的拒绝消息的安全性，进而使得所述终端设备接收所述安全保护后的拒绝消息后，对所述安全保护后的拒绝消息进行安全验证，根据安全验证结果，处理所述NAS请求对应的拒绝消息，避免伪网络利用NAS请求对应的拒绝消息对所述终端设备的攻击。

需要说明的是，本申请实施例提供的所述移动管理网元1600用于实现图4至图6、图9以及图10所示的拒绝消息处理方法中移动管理网元的功能，此处仅对所述移动管理网元1600中各个模块之间的连接关系进行了描述，所述移动管理网元1600处理拒绝消息的具体方案以及具体执行的动作参见上述方法实施例中的相关描述，此处不再赘述。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (24)

1.一种拒绝消息处理方法，其特征在于，包括：

终端设备发送非接入层NAS请求，所述NAS请求中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护；

所述终端设备接收所述NAS请求对应的拒绝消息，对所述NAS请求对应的拒绝消息进行安全验证；

所述终端设备根据所述安全验证的结果，处理所述NAS请求对应的拒绝消息。

2.如权利要求1所述的方法，其特征在于，所述终端设备接收所述NAS请求对应的拒绝消息，对所述NAS请求对应的拒绝消息进行安全验证，包括：

所述终端设备接收所述NAS请求对应的拒绝消息，所述NAS请求对应的拒绝消息携带第二指示信息，所述第二指示信息用于指示所述NAS请求对应的拒绝消息为安全保护的消息；

所述终端设备根据所述第二指示信息以及与所述移动管理网元协商的安全上下文，对所述NAS请求对应的拒绝消息进行安全验证。

3.如权利要求1所述的方法，其特征在于，所述终端设备接收所述NAS请求对应的拒绝消息，对所述NAS请求对应的拒绝消息进行安全验证，包括：

所述终端设备接收所述NAS请求对应的拒绝消息，所述NAS请求对应的拒绝消息中携带第三指示信息，所述第三指示信息用于指示所述NAS请求对应的拒绝消息未进行安全保护；

所述终端设备对所述NAS请求对应的拒绝消息进行安全验证，根据所述第三指示信息，确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功。

4.如权利要求1-3任意一项权利要求所述的方法，其特征在于，所述终端设备根据所述安全验证结果，处理所述NAS请求对应的拒绝消息，包括：

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息。

5.如权利要求1-3任意一项权利要求所述的方法，其特征在于，所述NAS请求对应的拒绝消息中携带拒绝原因以及所述拒绝原因对应的限制时长，其中，所述限制时长为禁止所述终端设备发送所述NAS请求的时长；

所述终端设备根据所述安全验证结果，处理所述NAS请求对应的拒绝消息，包括：

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则根据所述拒绝原因以及所述限制时长，执行所述NAS请求对应的拒绝消息的动作；或者，

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中的限制时长。

6.如权利要求1-3任意一项权利要求所述的方法，其特征在于，所述NAS请求对应的拒绝消息中携带拒绝原因，且所述拒绝原因为网络不支持所述NAS请求中包括的接入点名称APN；

所述终端设备根据所述安全验证结果，处理所述NAS请求对应的拒绝消息，包括：

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者，

所述终端设备确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中所述拒绝原因对所述APN的限制。

7.如权利要求3-6任意一项权利要求所述的方法，其特征在于，所述终端设备确定所述NAS请求对应的拒绝消息安全验证不成功之后，还包括：

所述终端设备将第一小区设置为不可用小区，所述第一小区为所述终端设备发送所述NAS请求时所在的小区。

8.一种拒绝消息的处理方法，其特征在于，包括：

移动管理网元接收终端设备发送的非接入层NAS请求，所述NAS消息中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护；

所述移动管理网元确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护；

所述移动管理网元将安全保护的所述拒绝消息，发送给所述终端设备。

9.如权利要求8所述的方法，其特征在于，所述移动管理网元对所述NAS请求对应的拒绝消息进行安全保护，包括：

所述移动管理网元根据与所述终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行加密；和/或，

所述移动管理网元根据与所述终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行完整性保护。

10.如权利要求8或9所述的方法，其特征在于，所述移动管理网元对所述NAS请求对应的拒绝消息进行安全保护之前，包括：

所述移动管理网元发向所述终端设备发起安全协商流程，所述安全协商流程用于生成所述移动管理网元与所述终端设备之间的安全上下文。

11.一种拒绝消息处理装置，其特征在于，包括；

发送单元，用于向移动管理网元发送非接入层NAS请求，所述NAS请求中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护；

接收单元，用于接收与所述发送单元发送的NAS请求所对应的拒绝消息；

处理单元，用于对所述NAS请求对应的拒绝消息进行安全验证，以及，根据所述安全验证结果，处理所述NAS请求对应的拒绝消息。

12.如权利要求11所述的装置，其特征在于，所述接收单元具体用于：

接收所述NAS请求对应的拒绝消息，所述NAS请求对应的拒绝消息携带第二指示信息，所述第二指示信息用于指示所述NAS请求对应的拒绝消息为安全保护的消息；

所述处理单元具体用于：根据所述第二指示信息以及与移动管理网元协商的安全上下文，对所述NAS请求对应的拒绝消息进行安全验证。

13.如权利要求11所述的装置，其特征在于，所述接收单元具体用于：

接收所述NAS请求对应的拒绝消息，所述NAS请求对应的拒绝消息中携带第三指示信息，所述第三指示信息用于指示所述NAS请求对应的拒绝消息未进行安全保护；

所述处理单元具体用于：对所述NAS请求对应的拒绝消息进行安全验证，根据所述第三指示信息，确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功。

14.如权利要11-13任意一项权利要求所述的装置，其特征在于，所述处理单元具体用于：

确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者，

确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息。

15.如权利要11-13任意一项权利要求所述的装置，其特征在于，所述处理单元具体用于：在所述NAS请求对应的拒绝消息中携带拒绝原因以及所述拒绝原因对应的限制时长时，其中所述限制时长为禁止所述终端设备发送所述NAS请求的时长；

确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者，

确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中的限制时长。

16.如权利要11-13任意一项权利要求所述的装置，其特征在于，所述NAS请求对应的拒绝消息中携带拒绝原因，且所述拒绝原因为网络不支持所述NAS请求中包括的接入点名称APN；

所述处理单元具体用于：确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证成功，则执行所述NAS请求对应的拒绝消息的动作；或者，

确定所述安全验证结果为所述NAS请求对应的拒绝消息安全验证不成功，则忽略所述NAS请求对应的拒绝消息中所述拒绝原因对所述APN的限制。

17.如权利要13-16任意一项权利要求所述的装置，其特征在于，所述处理单元确定所述NAS请求对应的拒绝消息安全验证不成功之后，还用于：

将第一小区设置为不可用小区，所述第一小区为所述终端设备发送所述NAS请求时所在的小区。

18.一种拒绝消息处理装置，其特征在于，包括；

所述接收单元，用于接收终端设备发送的非接入层NAS请求，所述NAS消息中携带第一指示信息，所述第一指示信息用于指示所述NAS请求对应的拒绝消息需要进行安全保护；

所述处理单元，用于确定拒绝所述NAS请求时，对所述NAS请求对应的拒绝消息进行安全保护；

所述发送单元用于：将安全保护的所述拒绝消息，发送给所述终端设备。

19.如权利要求18所述的装置，其特征在于，所述处理单元具体用于：

根据与所述终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行加密；和/或，

根据与所述终端设备协商的安全上下文，对所述NAS请求对应的拒绝消息进行完整性保护。

20.如权利要求18或19所述的装置，其特征在于，所述处理单元在对所述NAS请求对应的拒绝消息进行安全保护之前，还用于：

向所述终端设备发起安全协商流程，所述安全协商流程用于生成所述移动管理网元与所述终端设备之间的安全上下文。

21.一种计算机存储介质，其特征在于，所述计算机存储介质上存储有计算机可执行指令，所述计算机可执行指令在被所述计算机调用时用于使所述计算机执行权利要求1-7任一项所述的方法。

22.一种计算机存储介质，其特征在于，所述计算机存储介质上存储有计算机可执行指令，所述计算机可执行指令在被所述计算机调用时用于使所述计算机执行权利要求8-10任一项所述的方法。

23.一种包含指令的计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得计算机执行权利要求1-7任一项所述的方法。

24.一种包含指令的计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得计算机执行权利要求8-10任一项所述的方法。