[发明专利]安全协商方法、终端设备和网络设备

说明书

本申请实施例提供一种安全协商方法、终端设备和网络设备，该方法包括：终端设备向第一网络设备发送注册请求消息，所述注册请求消息包括第一指示信息，所述第一指示信息用于所述第一网络设备选择保护非接入层NAS信令的密钥长度；所述终端设备从所述第一网络设备接收第一安全模式命令消息；所述终端设备根据所述第一安全模式命令消息，确定所述终端设备保护所述NAS信令采用的密钥长度。通过本实施例提供的方案，可保证该终端设备和该第一网络设备采用相同长度的密钥对NAS信令进行加密和完整性保护。

技术领域

本申请涉及通信技术领域，特别涉及安全协商方法、终端设备和网络设备。

背景技术

在通信系统中,为了保证终端设备和网络设备之间通信的安全性,通常终端设备或网络设备采用加密技术对其待发送的信息进行加密。

在第四代(4th generation，4G)通信系统中和第五代(5th generation，5G)通信系统的第一阶段中，终端设备和网络设备支持128比特(bit)长度的密钥；为了进一步提高终端设备和网络设备之间通信的安全性，在5G通信系统的第二阶段及以后版本，终端设备和网络设备可支持256bit长度的密钥。为了保持终端设备和网络设备的后向兼容性，在5G通信系统的第二阶段及以后版本，终端设备和网络设备需要同时支持128bit长度和256bit长度的密钥。

在5G通信系统的第二阶段及以后版本，终端设备可能与4G通信系统、5G通信系统的第一阶段的网络设备通信，也有可能与5G通信系统的第二阶段及以后版本的网络设备通信。这种情况下，终端设备无法确定网络设备支持多长的密钥，网络设备也无法确定终端设备支持多长的密钥，从而双方无法确定自己应该使用多长的密钥，导致终端设备和网络设备无法正常通信。

发明内容

本申请提供了一种安全协商方法、终端设备和网络设备，以使终端设备和网络设备采用相同长度的密钥对NAS信令或AS信令进行加密和完整性保护。

第一方面，本申请提供了一种安全协商方法，该方法包括：终端设备向第一网络设备发送注册请求消息，该注册请求消息包括第一指示信息，该第一指示信息用于该第一网络设备选择保护非接入层NAS信令的密钥长度；该终端设备从该第一网络设备接收第一安全模式命令消息；该终端设备根据该第一安全模式命令消息，确定该终端设备保护该NAS信令采用的密钥长度。通过本实施例提供的方案，可保证该终端设备和该第一网络设备采用相同长度的密钥对NAS信令进行加密和完整性保护。

在一种可能的设计中，该第一指示信息包括该终端设备支持的密钥长度列表；或者，该第一指示信息用于指示该终端设备是否支持256比特长度的密钥。

在一种可能的设计中，该终端设备根据该第一安全模式命令消息，确定该终端设备保护该NAS信令采用的密钥长度，包括：该终端设备根据该第一安全模式命令消息，确定该第一网络设备选择的用于保护该NAS信令的密钥长度；该终端设备根据该第一网络设备选择的用于保护该NAS信令的密钥长度，确定该终端设备保护该NAS信令采用的密钥长度。

在一种可能的设计中，该第一安全模式命令消息包括该第一网络设备选择的用于保护该NAS信令的密钥长度。

在一种可能的设计中，该第一安全模式命令消息包括第二指示信息，该第二指示信息用于指示是否启用256比特长度的密钥；该终端设备根据该第一安全模式命令消息，确定该第一网络设备选择的用于保护该NAS信令的密钥长度，包括：若该第二指示信息指示启用256比特长度的密钥，则该终端设备确定该第一网络设备选择的用于保护该NAS信令的密钥长度为256比特；若该第二指示信息指示不启用256比特长度的密钥，则该终端设备确定该第一网络设备选择的用于保护该NAS信令的密钥长度为128比特。