本發(fā)明涉及通信，尤其涉及一種安全模式建立方法、設(shè)備及介質(zhì)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)快速發(fā)展，信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)持續(xù)增加，威脅挑戰(zhàn)日益嚴(yán)峻，密碼安全是信息安全的重要基礎(chǔ)，可以用于有效保障網(wǎng)絡(luò)信息系統(tǒng)的數(shù)據(jù)安全，商用密碼是保障網(wǎng)絡(luò)信息系統(tǒng)的核心技術(shù)和重要手段。

2、目前5g通信網(wǎng)絡(luò)鑒權(quán)協(xié)議中非接入層(non-access?stratum，nas)的安全模式建立采用的是國(guó)際密碼算法，通常不兼容商用密碼，也不支持其他算法，也不支持算法協(xié)商，在兼容度較低的情況下，很難完成不同網(wǎng)絡(luò)協(xié)議下的鑒權(quán)認(rèn)證。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明實(shí)施例提供一種安全模式建立方法、設(shè)備及介質(zhì)，能夠解決相關(guān)技術(shù)中安全模式建立過程中密鑰兼容度低，而導(dǎo)致不同網(wǎng)絡(luò)協(xié)議下的鑒權(quán)認(rèn)證難度較高的問題。

2、第一方面，本發(fā)明實(shí)施例提供了一種安全模式建立方法，應(yīng)用于目標(biāo)amf，所述方法包括：

3、在對(duì)終端鑒權(quán)認(rèn)證成功的情況下，根據(jù)所述目標(biāo)amf的算法支持狀態(tài)，確定第一密碼算法套件；

4、使用所述第一密碼算法套件，通過第一kamf推衍出knasenc和knasint，所述knasenc為用于nas加密的密鑰，所述knasint為用于nas完整性保護(hù)的密鑰，所述第一kamf為所述目標(biāo)amf與所述終端之間共享的kamf；

5、向所述終端發(fā)送nas安全模式建立消息，并使用所述knasenc和所述knasint對(duì)所述nas安全模式建立消息進(jìn)行加密和完整性保護(hù)，所述nas安全模式建立消息攜帶第一標(biāo)識(shí)，所述第一標(biāo)識(shí)用于指示所述第一密碼算法套件；

6、在接收所述終端發(fā)送的nas安全模式建立完成消息的情況下，對(duì)所述nas安全模式建立完成消息進(jìn)行解密，并進(jìn)行nas完整性驗(yàn)證；

7、在對(duì)所述nas安全模式建立完成消息的nas完整性驗(yàn)證成功的情況下，與所述終端建立安全模式。

8、可選地，所述根據(jù)所述目標(biāo)amf的算法支持狀態(tài)，確定第一密碼算法套件，包括以下任意一項(xiàng)：

9、在所述目標(biāo)amf支持多個(gè)密碼算法套件，且配置有nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)的情況下，將所述第一算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件確定為所述第一密碼算法套件；

10、在所述目標(biāo)amf支持多個(gè)密碼算法套件，但未配置有nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)的情況下，根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)，并將所述第一算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件確定為所述第一密碼算法套件；

11、在所述目標(biāo)amf不支持多個(gè)密碼算法套件，將所述目標(biāo)amf支持的基礎(chǔ)密碼算法套件確定為所述第一密碼算法套件。

12、可選地，所述根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)，包括：

13、在所述目標(biāo)amf配置有aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第二算法標(biāo)識(shí)的情況下，根據(jù)所述第二算法標(biāo)識(shí)，生成所述第一算法標(biāo)識(shí)。

14、可選地，所述根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)之前，所述方法還包括：

15、接收用戶數(shù)據(jù)管理udm發(fā)送的aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第二算法標(biāo)識(shí)。

16、可選地，所述向所述終端發(fā)送nas安全模式建立消息之后，所述方法還包括：

17、對(duì)nas上行鏈路的傳輸進(jìn)行解密。

18、可選地，在接收到所述終端發(fā)送的nas安全模式建立完成消息之后，所述方法還包括：

19、對(duì)nas下行鏈路的傳輸進(jìn)行加密。

20、可選地，所述方法還包括：

21、接收終端發(fā)送的初始nas消息，所述初始nas消息攜帶所述終端的全球唯一臨時(shí)標(biāo)識(shí)符guti；

22、在所述初始nas消息攜帶nas容器，且所述初始消息完整性檢驗(yàn)成功的情況下，獲取所述終端的安全上下文，所述nas容器中存儲(chǔ)有加密的完整初始nas消息；

23、使用目標(biāo)kamf對(duì)所述nas容器解碼，得到所述初始nas消息；

24、向所述終端發(fā)送所述初始nas消息的第一響應(yīng)消息；

25、其中，所述目標(biāo)kamf為所述第一kamf或第二kamf，所述第二kamf為從所述第一kamf推衍得到的kamf。

26、可選地，所述獲取所述終端的安全上下文，包括以下任意一項(xiàng)：

27、在根據(jù)所述guti在本地查詢到所述終端的安全上下文的情況下，在本地查詢獲取所述終端的安全上下文；

28、在根據(jù)所述guti未在本地查詢到所述終端的安全上下文的情況下，向源amf發(fā)送第一請(qǐng)求消息，并在接收到所述源amf發(fā)送的第二響應(yīng)消息，且所述第二響應(yīng)消息攜帶所述終端的永久標(biāo)識(shí)符spui的情況下，接收所述源amf發(fā)送的所述終端的安全上下文，所述第一請(qǐng)求消息攜帶所述guti。

29、可選地，所述使用目標(biāo)kamf對(duì)所述nas容器解碼，得到所述初始nas消息，包括以下任意一項(xiàng)：

30、在所述第二響應(yīng)消息還攜帶第二kamf的情況下，使用所述第二kamf對(duì)所述nas容器解碼，得到所述初始nas消息。

31、在所述第二響應(yīng)消息未攜帶第二kamf的情況下，使用所述第一kamf對(duì)所述nas容器解碼，得到所述初始nas消息。

32、第二方面，本發(fā)明實(shí)施例提供了一種全模式建立方法，應(yīng)用于終端，所述方法包括：

33、接收目標(biāo)amf發(fā)送的nas安全模式建立消息，所述nas安全模式建立消息攜帶第一標(biāo)識(shí)，所述第一標(biāo)識(shí)用于指示第一密碼算法套件；

34、對(duì)所述nas安全模式建立消息進(jìn)行解密，并進(jìn)行nas完整性驗(yàn)證；

35、使用所述第一密碼算法套件，通過第一kamf推衍出knasenc和knasint，所述knasenc為用于nas加密的密鑰，所述knasint為用于nas完整性保護(hù)的密鑰，所述第一kamf為所述目標(biāo)amf與所述終端之間共享的kamf；

36、在對(duì)所述nas安全模式建立消息的nas完整性驗(yàn)證成功的情況下，向所述目標(biāo)amf發(fā)送nas安全模式建立完成消息，并使用所述knasenc和所述knasint對(duì)所述nas安全模式建立完成消息進(jìn)行加密和完整性保護(hù)。

37、可選地，所述方法還包括：

38、在對(duì)所述nas安全模式建立消息的nas完整性驗(yàn)證成功的情況下，對(duì)nas上行鏈路的傳輸進(jìn)行加密，以及對(duì)nas下行鏈路的傳輸進(jìn)行解密。

39、第三方面，本發(fā)明實(shí)施例提供了一種安全模式建立方法，應(yīng)用于源amf，所述方法包括：

40、在接收到目標(biāo)amf發(fā)送的第一請(qǐng)求消息的情況下，根據(jù)所述第一請(qǐng)求消息攜帶的終端的全球唯一臨時(shí)標(biāo)識(shí)符guti查詢到本地是否存在所述終端的安全上下文，所述第一請(qǐng)求消息還攜帶初始nas消息；

41、在查詢到本地存在所述終端的安全上下文，且對(duì)所述初始nas消息的nas完整性驗(yàn)證成功的情況下，向所述目標(biāo)amf發(fā)送所述第二響應(yīng)消息，所述第二響應(yīng)消息攜帶所述終端的spui，所述spui用于指示所述目標(biāo)amf接收所述終端的安全上下文。

42、可選地，所述方法還包括：

43、根據(jù)所述源amf的算法支持狀態(tài)，確定第二密碼算法套件；

44、在所述源amf更改第一kamf的情況下，使用所述第二密碼算法套件，從所述第一kamf中推衍出第二kamf；

45、其中，所述第二響應(yīng)消息還攜帶所述第二kamf，所述第二kamf用于對(duì)nas容器中的完整初始nas消息進(jìn)行解碼。

46、可選地，所述根據(jù)所述源amf的算法支持狀態(tài)，確定第二密碼算法套件，包括以下任意一項(xiàng)：

47、在所述源amf支持多個(gè)密碼算法套件，且配置有nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)的情況下，將所述第三算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件為確定所述第二密碼算法套件，所述第二響應(yīng)消息還攜帶所述第三算法標(biāo)識(shí)；

48、在所述源amf支持多個(gè)密碼算法套件，但未配置有nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)的情況下，根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)，將所述第三算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件為確定所述目標(biāo)算法套件，所述第二響應(yīng)消息還攜帶所述第三算法標(biāo)識(shí)；

49、在所述源amf不支持多個(gè)密碼算法套件，將所述源amf支持的基礎(chǔ)密碼算法套件確定為所述第二密碼算法套件。

50、可選地，所述根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)，包括：

51、在所述源amf配置有aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第四算法標(biāo)識(shí)的情況下，根據(jù)所述第四算法標(biāo)識(shí)，生成所述第三算法標(biāo)識(shí)。

52、可選地，所述根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)之前，所述方法還包括：

53、接收用戶數(shù)據(jù)管理udm發(fā)送的aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第四算法標(biāo)識(shí)。

54、可選地，所述方法還包括以下任意一項(xiàng)：

55、在查詢到本地存在所述終端的安全上下文，且對(duì)所述初始nas消息的nas完整性驗(yàn)證成功，且所述源amf不更改第一kamf的情況下，向所述目標(biāo)amf發(fā)送所述第二響應(yīng)消息，所述第二響應(yīng)消息攜帶所述終端的spui和所述第一kamf，所述spui用于指示所述目標(biāo)amf接收所述終端的安全上下文，所述第一kamf用于對(duì)nas容器中的完整初始nas消息進(jìn)行解碼；

56、在查詢到本地不存在所述終端的安全上下文，和/或，對(duì)所述初始nas消息的nas完整性驗(yàn)證失敗的情況下，向所述目標(biāo)amf發(fā)送第二響應(yīng)消息，所述第二響應(yīng)消息攜帶第一指示信息，所述第一指示信息用于指示未查詢到終端的安全上下文。

57、第四方面，本發(fā)明實(shí)施例提供了一種目標(biāo)amf，所述目標(biāo)amf包括：

58、第一確定模塊，用于在對(duì)終端鑒權(quán)認(rèn)證成功的情況下，根據(jù)所述目標(biāo)amf的算法支持狀態(tài)，確定第一密碼算法套件；

59、第一推衍模塊，用于使用所述第一密碼算法套件，通過第一kamf推衍出knasenc和knasint，所述knasenc為用于nas加密的密鑰，所述knasint為用于nas完整性保護(hù)的密鑰，所述第一kamf為所述目標(biāo)amf與所述終端之間共享的kamf；

60、第一發(fā)送模塊，用于向所述終端發(fā)送nas安全模式建立消息，并使用所述knasenc和所述knasint對(duì)所述nas安全模式建立消息進(jìn)行加密和完整性保護(hù)，所述nas安全模式建立消息攜帶第一標(biāo)識(shí)，所述第一標(biāo)識(shí)用于指示所述第一密碼算法套件；

61、第一驗(yàn)證模塊，用于在接收所述終端發(fā)送的nas安全模式建立完成消息的情況下，對(duì)所述nas安全模式建立完成消息進(jìn)行解密，并進(jìn)行nas完整性驗(yàn)證；

62、第一建立模塊，用于在對(duì)所述nas安全模式建立完成消息的nas完整性驗(yàn)證成功的情況下，與所述終端建立安全模式。

63、可選地，所述第一確定模塊用于以下任意一項(xiàng)：

64、在所述目標(biāo)amf支持多個(gè)密碼算法套件，且配置有nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)的情況下，將所述第一算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件確定為所述第一密碼算法套件；

65、在所述目標(biāo)amf支持多個(gè)密碼算法套件，但未配置有nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)的情況下，根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)，并將所述第一算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件確定為所述第一密碼算法套件；

66、在所述目標(biāo)amf不支持多個(gè)密碼算法套件，將所述目標(biāo)amf支持的基礎(chǔ)密碼算法套件確定為所述第一密碼算法套件。

67、可選地，所述第一確定模塊用于：

68、在所述目標(biāo)amf配置有aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第二算法標(biāo)識(shí)的情況下，根據(jù)所述第二算法標(biāo)識(shí)，生成所述第一算法標(biāo)識(shí)。

69、可選地，所述目標(biāo)amf還包括：

70、第一接收模塊，用于接收用戶數(shù)據(jù)管理udm發(fā)送的aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第二算法標(biāo)識(shí)。

71、可選地，所述目標(biāo)amf還包括：

72、第一解密模塊，用于對(duì)nas上行鏈路的傳輸進(jìn)行解密。

73、可選地，所述目標(biāo)amf還包括：

74、第一加密模塊，用于對(duì)nas下行鏈路的傳輸進(jìn)行加密。

75、可選地，所述目標(biāo)amf還包括：

76、第二接收模塊，用于接收終端發(fā)送的初始nas消息，所述初始nas消息攜帶所述終端的全球唯一臨時(shí)標(biāo)識(shí)符guti；

77、第一獲取模塊，用于在所述初始nas消息攜帶nas容器，且所述初始消息完整性檢驗(yàn)成功的情況下，獲取所述終端的安全上下文，所述nas容器中存儲(chǔ)有加密的完整初始nas消息；

78、第一解碼模塊，用于使用目標(biāo)kamf對(duì)所述nas容器解碼，得到所述初始nas消息；

79、第二發(fā)送模塊，用于向所述終端發(fā)送所述初始nas消息的第一響應(yīng)消息；

80、其中，所述目標(biāo)kamf為所述第一kamf或第二kamf，所述第二kamf為從所述第一kamf推衍得到的kamf。

81、可選地，所述第一獲取模塊用于以下任意一項(xiàng)：

82、在根據(jù)所述guti在本地查詢到所述終端的安全上下文的情況下，在本地查詢獲取所述終端的安全上下文；

83、在根據(jù)所述guti未在本地查詢到所述終端的安全上下文的情況下，向源amf發(fā)送第一請(qǐng)求消息，并在接收到所述源amf發(fā)送的第二響應(yīng)消息，且所述第二響應(yīng)消息攜帶所述終端的永久標(biāo)識(shí)符spui的情況下，接收所述源amf發(fā)送的所述終端的安全上下文，所述第一請(qǐng)求消息攜帶所述guti。

84、可選地，所述第一解碼模塊用于以下任意一項(xiàng)：

85、在所述第二響應(yīng)消息還攜帶第二kamf的情況下，使用所述第二kamf對(duì)所述nas容器解碼，得到所述初始nas消息。

86、在所述第二響應(yīng)消息未攜帶第二kamf的情況下，使用所述第一kamf對(duì)所述nas容器解碼，得到所述初始nas消息。

87、第五方面，本發(fā)明實(shí)施例提供了一種終端，所述終端包括：

88、第三接收模塊，用于接收目標(biāo)amf發(fā)送的nas安全模式建立消息，所述nas安全模式建立消息攜帶第一標(biāo)識(shí)，所述第一標(biāo)識(shí)用于指示第一密碼算法套件；

89、第二解密模塊，用于對(duì)所述nas安全模式建立消息進(jìn)行解密，并進(jìn)行nas完整性驗(yàn)證；

90、第二推衍模塊，用于使用所述第一密碼算法套件，通過第一kamf推衍出knasenc和knasint，所述knasenc為用于nas加密的密鑰，所述knasint為用于nas完整性保護(hù)的密鑰，所述第一kamf為所述目標(biāo)amf與所述終端之間共享的kamf；

91、第三發(fā)送模塊，用于在對(duì)所述nas安全模式建立消息的nas完整性驗(yàn)證成功的情況下，向所述目標(biāo)amf發(fā)送nas安全模式建立完成消息，并使用所述knasenc和所述knasint對(duì)所述nas安全模式建立完成消息進(jìn)行加密和完整性保護(hù)。

92、可選地，所述終端還包括：

93、第一處理模塊，用于在對(duì)所述nas安全模式建立消息的nas完整性驗(yàn)證成功的情況下，對(duì)nas上行鏈路的傳輸進(jìn)行加密，以及對(duì)nas下行鏈路的傳輸進(jìn)行解密。

94、第六方面，本發(fā)明實(shí)施例提供了一種源amf，所述源amf包括：

95、第一查詢模塊，用于在接收到目標(biāo)amf發(fā)送的第一請(qǐng)求消息的情況下，根據(jù)所述第一請(qǐng)求消息攜帶的終端的全球唯一臨時(shí)標(biāo)識(shí)符guti查詢到本地是否存在所述終端的安全上下文，所述第一請(qǐng)求消息還攜帶初始nas消息；

96、第四發(fā)送模塊，用于在查詢到本地存在所述終端的安全上下文，且對(duì)所述初始nas消息的nas完整性驗(yàn)證成功的情況下，向所述目標(biāo)amf發(fā)送所述第二響應(yīng)消息，所述第二響應(yīng)消息攜帶所述終端的spui，所述spui用于指示所述目標(biāo)amf接收所述終端的安全上下文。

97、可選地，所述源amf還包括：

98、第二確定模塊，用于根據(jù)所述源amf的算法支持狀態(tài)，確定第二密碼算法套件；

99、第三推衍模塊，用于在所述源amf更改第一kamf的情況下，使用所述第二密碼算法套件，從所述第一kamf中推衍出第二kamf；

100、其中，所述第二響應(yīng)消息還攜帶所述第二kamf，所述第二kamf用于對(duì)nas容器中的完整初始nas消息進(jìn)行解碼。

101、可選地，所述第二確定模塊用于以下任意一項(xiàng)：

102、在所述源amf支持多個(gè)密碼算法套件，且配置有nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)的情況下，將所述第三算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件為確定所述第二密碼算法套件，所述第二響應(yīng)消息還攜帶所述第三算法標(biāo)識(shí)；

103、在所述源amf支持多個(gè)密碼算法套件，但未配置有nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)的情況下，根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)，將所述第三算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件為確定所述目標(biāo)算法套件，所述第二響應(yīng)消息還攜帶所述第三算法標(biāo)識(shí)；

104、在所述源amf不支持多個(gè)密碼算法套件，將所述源amf支持的基礎(chǔ)密碼算法套件確定為所述第二密碼算法套件。

105、可選地，所述第二確定模塊用于：

106、在所述源amf配置有aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第四算法標(biāo)識(shí)的情況下，根據(jù)所述第四算法標(biāo)識(shí)，生成所述第三算法標(biāo)識(shí)。

107、可選地，所述源amf還包括：

108、第四接收模塊，用于接收用戶數(shù)據(jù)管理udm發(fā)送的aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第四算法標(biāo)識(shí)。

109、可選地，所述源amf還包括以下任意一項(xiàng)：

110、第二驗(yàn)證模塊，用于在查詢到本地存在所述終端的安全上下文，且對(duì)所述初始nas消息的nas完整性驗(yàn)證成功，且所述源amf不更改第一kamf的情況下，向所述目標(biāo)amf發(fā)送所述第二響應(yīng)消息，所述第二響應(yīng)消息攜帶所述終端的spui和所述第一kamf，所述spui用于指示所述目標(biāo)amf接收所述終端的安全上下文，所述第一kamf用于對(duì)nas容器中的完整初始nas消息進(jìn)行解碼；

111、第五發(fā)送模塊，用于在查詢到本地不存在所述終端的安全上下文，和/或，對(duì)所述初始nas消息的nas完整性驗(yàn)證失敗的情況下，向所述目標(biāo)amf發(fā)送第二響應(yīng)消息，所述第二響應(yīng)消息攜帶第一指示信息，所述第一指示信息用于指示未查詢到終端的安全上下文。

112、第七方面，本發(fā)明實(shí)施例提供了一種目標(biāo)amf，包括收發(fā)機(jī)和處理器，

113、所述處理器用于：

114、在對(duì)終端鑒權(quán)認(rèn)證成功的情況下，根據(jù)所述目標(biāo)amf的算法支持狀態(tài)，確定第一密碼算法套件；

115、使用所述第一密碼算法套件，通過第一kamf推衍出knasenc和knasint，所述knasenc為用于nas加密的密鑰，所述knasint為用于nas完整性保護(hù)的密鑰，所述第一kamf為所述目標(biāo)amf與所述終端之間共享的kamf；

116、所述收發(fā)機(jī)用于：

117、向所述終端發(fā)送nas安全模式建立消息，并使用所述knasenc和所述knasint對(duì)所述nas安全模式建立消息進(jìn)行加密和完整性保護(hù)，所述nas安全模式建立消息攜帶第一標(biāo)識(shí)，所述第一標(biāo)識(shí)用于指示所述第一密碼算法套件；

118、所述處理器用于：

119、在接收所述終端發(fā)送的nas安全模式建立完成消息的情況下，對(duì)所述nas安全模式建立完成消息進(jìn)行解密，并進(jìn)行nas完整性驗(yàn)證；

120、在對(duì)所述nas安全模式建立完成消息的nas完整性驗(yàn)證成功的情況下，與所述終端建立安全模式。

121、可選地，所述處理器用于以下任意一項(xiàng)：

122、在所述目標(biāo)amf支持多個(gè)密碼算法套件，且配置有nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)的情況下，將所述第一算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件確定為所述第一密碼算法套件；

123、在所述目標(biāo)amf支持多個(gè)密碼算法套件，但未配置有nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)的情況下，根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第一算法標(biāo)識(shí)，并將所述第一算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件確定為所述第一密碼算法套件；

124、在所述目標(biāo)amf不支持多個(gè)密碼算法套件，將所述目標(biāo)amf支持的基礎(chǔ)密碼算法套件確定為所述第一密碼算法套件。

125、可選地，所述處理器用于：

126、在所述目標(biāo)amf配置有aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第二算法標(biāo)識(shí)的情況下，根據(jù)所述第二算法標(biāo)識(shí)，生成所述第一算法標(biāo)識(shí)。

127、可選地，所述收發(fā)機(jī)還用于：

128、接收用戶數(shù)據(jù)管理udm發(fā)送的aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第二算法標(biāo)識(shí)。

129、可選地，所述處理器還用于：

130、對(duì)nas上行鏈路的傳輸進(jìn)行解密。

131、可選地，所述處理器還用于：

132、對(duì)nas下行鏈路的傳輸進(jìn)行加密。

133、可選地，所述收發(fā)機(jī)還用于：

134、接收終端發(fā)送的初始nas消息，所述初始nas消息攜帶所述終端的全球唯一臨時(shí)標(biāo)識(shí)符guti；

135、所述處理器還用于：

136、在所述初始nas消息攜帶nas容器，且所述初始消息完整性檢驗(yàn)成功的情況下，獲取所述終端的安全上下文，所述nas容器中存儲(chǔ)有加密的完整初始nas消息；

137、使用目標(biāo)kamf對(duì)所述nas容器解碼，得到所述初始nas消息；

138、所述收發(fā)機(jī)還用于：

139、向所述終端發(fā)送所述初始nas消息的第一響應(yīng)消息；

140、其中，所述目標(biāo)kamf為所述第一kamf或第二kamf，所述第二kamf為從所述第一kamf推衍得到的kamf。

141、可選地，所述處理器用于：

142、在根據(jù)所述guti在本地查詢到所述終端的安全上下文的情況下，在本地查詢獲取所述終端的安全上下文；或者，

143、所述收發(fā)機(jī)用于：

144、在根據(jù)所述guti未在本地查詢到所述終端的安全上下文的情況下，向源amf發(fā)送第一請(qǐng)求消息，并在接收到所述源amf發(fā)送的第二響應(yīng)消息，且所述第二響應(yīng)消息攜帶所述終端的永久標(biāo)識(shí)符spui的情況下，接收所述源amf發(fā)送的所述終端的安全上下文，所述第一請(qǐng)求消息攜帶所述guti。

145、可選地，所述處理器用于以下任意一項(xiàng)：

146、在所述第二響應(yīng)消息還攜帶第二kamf的情況下，使用所述第二kamf對(duì)所述nas容器解碼，得到所述初始nas消息。

147、在所述第二響應(yīng)消息未攜帶第二kamf的情況下，使用所述第一kamf對(duì)所述nas容器解碼，得到所述初始nas消息。

148、第八方面，本發(fā)明實(shí)施例提供了一種終端，包括收發(fā)機(jī)和處理器，

149、所述收發(fā)機(jī)用于：

150、接收目標(biāo)amf發(fā)送的nas安全模式建立消息，所述nas安全模式建立消息攜帶第一標(biāo)識(shí)，所述第一標(biāo)識(shí)用于指示第一密碼算法套件；

151、所述處理器用于：

152、對(duì)所述nas安全模式建立消息進(jìn)行解密，并進(jìn)行nas完整性驗(yàn)證；

153、使用所述第一密碼算法套件，通過第一kamf推衍出knasenc和knasint，所述knasenc為用于nas加密的密鑰，所述knasint為用于nas完整性保護(hù)的密鑰，所述第一kamf為所述目標(biāo)amf與所述終端之間共享的kamf；

154、所述收發(fā)機(jī)用于：

155、在對(duì)所述nas安全模式建立消息的nas完整性驗(yàn)證成功的情況下，向所述目標(biāo)amf發(fā)送nas安全模式建立完成消息，并使用所述knasenc和所述knasint對(duì)所述nas安全模式建立完成消息進(jìn)行加密和完整性保護(hù)。

156、可選地，所述處理器用于：

157、在對(duì)所述nas安全模式建立消息的nas完整性驗(yàn)證成功的情況下，對(duì)nas上行鏈路的傳輸進(jìn)行加密，以及對(duì)nas下行鏈路的傳輸進(jìn)行解密。

158、第九方面，本發(fā)明實(shí)施例提供了一種源amf，包括收發(fā)機(jī)和處理器，

159、所述處理器用于：

160、在接收到目標(biāo)amf發(fā)送的第一請(qǐng)求消息的情況下，根據(jù)所述第一請(qǐng)求消息攜帶的終端的全球唯一臨時(shí)標(biāo)識(shí)符guti查詢到本地是否存在所述終端的安全上下文，所述第一請(qǐng)求消息還攜帶初始nas消息；

161、所述收發(fā)機(jī)用于：

162、在查詢到本地存在所述終端的安全上下文，且對(duì)所述初始nas消息的nas完整性驗(yàn)證成功的情況下，向所述目標(biāo)amf發(fā)送所述第二響應(yīng)消息，所述第二響應(yīng)消息攜帶所述終端的spui，所述spui用于指示所述目標(biāo)amf接收所述終端的安全上下文。

163、可選地，所述處理器還用于：

164、根據(jù)所述源amf的算法支持狀態(tài)，確定第二密碼算法套件；

165、在所述源amf更改第一kamf的情況下，使用所述第二密碼算法套件，從所述第一kamf中推衍出第二kamf；

166、其中，所述第二響應(yīng)消息還攜帶所述第二kamf，所述第二kamf用于對(duì)nas容器中的完整初始nas消息進(jìn)行解碼。

167、可選地，所述處理器用于以下任意一項(xiàng)：

168、在所述源amf支持多個(gè)密碼算法套件，且配置有nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)的情況下，將所述第三算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件為確定所述第二密碼算法套件，所述第二響應(yīng)消息還攜帶所述第三算法標(biāo)識(shí)；

169、在所述源amf支持多個(gè)密碼算法套件，但未配置有nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)的情況下，根據(jù)預(yù)設(shè)策略，生成nas層密鑰推衍對(duì)應(yīng)的第三算法標(biāo)識(shí)，將所述第三算法標(biāo)識(shí)所標(biāo)識(shí)的密碼算法套件為確定所述目標(biāo)算法套件，所述第二響應(yīng)消息還攜帶所述第三算法標(biāo)識(shí)；

170、在所述源amf不支持多個(gè)密碼算法套件，將所述源amf支持的基礎(chǔ)密碼算法套件確定為所述第二密碼算法套件。

171、可選地，所述處理器用于：

172、在所述源amf配置有aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第四算法標(biāo)識(shí)的情況下，根據(jù)所述第四算法標(biāo)識(shí)，生成所述第三算法標(biāo)識(shí)。

173、可選地，所述收發(fā)機(jī)還用于：

174、接收用戶數(shù)據(jù)管理udm發(fā)送的aka鑒權(quán)認(rèn)證和密鑰推衍對(duì)應(yīng)的第四算法標(biāo)識(shí)。

175、可選地，所述收發(fā)機(jī)還用于以下任意一項(xiàng)：

176、在查詢到本地存在所述終端的安全上下文，且對(duì)所述初始nas消息的nas完整性驗(yàn)證成功，且所述源amf不更改第一kamf的情況下，向所述目標(biāo)amf發(fā)送所述第二響應(yīng)消息，所述第二響應(yīng)消息攜帶所述終端的spui和所述第一kamf，所述spui用于指示所述目標(biāo)amf接收所述終端的安全上下文，所述第一kamf用于對(duì)nas容器中的完整初始nas消息進(jìn)行解碼；

177、在查詢到本地不存在所述終端的安全上下文，和/或，對(duì)所述初始nas消息的nas完整性驗(yàn)證失敗的情況下，向所述目標(biāo)amf發(fā)送第二響應(yīng)消息，所述第二響應(yīng)消息攜帶第一指示信息，所述第一指示信息用于指示未查詢到終端的安全上下文。

178、第十方面，本發(fā)明實(shí)施例提供了一種目標(biāo)amf，包括：處理器、存儲(chǔ)器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的程序，所述程序被所述處理器執(zhí)行時(shí)實(shí)現(xiàn)如第一方面所述的安全模式建立方法的步驟。

179、第十一方面，本發(fā)明實(shí)施例提供了一種終端，包括：處理器、存儲(chǔ)器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的程序，所述程序被所述處理器執(zhí)行時(shí)實(shí)現(xiàn)如第二方面所述的安全模式建立方法的步驟。

180、第十二方面，本發(fā)明實(shí)施例提供了一種源amf，包括：處理器、存儲(chǔ)器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的程序，所述程序被所述處理器執(zhí)行時(shí)實(shí)現(xiàn)如第三方面所述的安全模式建立方法的步驟。

181、第十三方面，本發(fā)明實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如第一方面所述的安全模式建立方法的步驟，或所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如第二方面所述的安全模式建立方法的步驟，或所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如第三方面所述的安全模式建立方法的步驟。

182、在本發(fā)明實(shí)施例中，在原有3gpp?5g?nas安全模式建立協(xié)議的基礎(chǔ)上，可以根據(jù)網(wǎng)絡(luò)和終端的算法支持狀態(tài)，支持多種算法，支持密鑰推衍的算法協(xié)商，自適應(yīng)兼容商密和國(guó)際密碼算法，提高了nas密鑰的兼容度，能夠適配更多不同網(wǎng)絡(luò)協(xié)議下的鑒權(quán)認(rèn)證。