5GS支持初始NAS消息的保护。初始NAS消息的保护适用于“注册请求”，“服务请求”和“控制平面服务请求”消息。（REGISTRATION REQUEST, SERVICE REQUEST and CONTROL PLANE SERVICE REQUEST）

        初始NAS消息是UE从空闲状态转换后发送的第一条NAS消息。当UE没有NAS安全上下文时，UE将发送有限的一组IE（称为明文IE），包括在初始消息中建立安全性所需的IE。当UE具有NAS安全上下文时，UE将发送一条消息，该消息具有在NAS容器中加密的完整初始NAS消息以及具有保护整个消息完整性的明文IE。

   (1)UE必须将初始NAS消息发送给AMF。如果UE没有NAS安全上下文，则初始NAS消息应仅包含明文IE，即订阅标识符（例如SUCI或GUTI），UE安全能力ngKSI，指示UE正在从EPC，附加GUTI和IE迁移。包含来自LTE的空闲移动情况下的TAU请求。

   如果UE具有NAS安全上下文，则发送的消息应包含以上以明文形式给出的信息以及在已加密的NAS容器中加密的完整初始NAS消息,则可以省略步骤2至4。

  (2)如果AMF无法从本地或上次访问的AMF找到安全上下文，或者完整性检查失败，则AMF必须启动与UE的认证过程。如果AMF从上次访问的AMF中获取旧的安全性上下文，则AMF可以使用相同的安全性上下文来解密NAS容器，并获得初始NAS消息，则可以省略步骤2b至4。

（3）如果UE的认证成功，则AMF将发送NAS安全模式命令消息。如果初始NAS消息受到保护但未通过完整性检查（由于MAC故障或AMF无法找到使用的安全上下文），或者AMF无法解密NAS容器中的完整初始NAS消息（ （由于从上次访问的AMF接收到“ keyAmfChangeInd”），则AMF在安全模式命令消息中应包含一个标志，用于请求UE在NAS安全模式完成消息中发送完整的初始NAS消息。

（4）UE应响应NAS安全模式命令消息，将NAS安全模式完成消息发送到网络。NAS安全模式完成消息将被加密并保护完整性。此外，如果AMF请求或UE发送不受保护的初始NAS消息，则NAS安全模式完成消息应在NAS容器中包括完整的初始NAS消息。AMF必须使用NAS容器中完整的初始NAS消息作为响应消息。