CN111726800A - 用于保护辅助信息的方法和装置 - Google Patents

Abstract

本申请提供了用于保护定位辅助信息的方法和装置。该方法包括：AMF接收用于指示第一终端所属的跟踪区的跟踪区标识，根据第一终端所属的跟踪区为第一终端分配第一密钥，并将该第一密钥发送给第一终端，相对于传统方案中，移动管理网元为能够管理的所有终端分配统一的密钥，本申请实施例能够为第一终端分配合适的密钥，并通过该密钥保护该第一终端的辅助信息，从而提高了辅助信息的安全性能。

Description

用于保护辅助信息的方法和装置

技术领域

本申请涉及通信领域，更具体地涉及一种密钥分配的方法和装置。

背景技术

传统方案中，增强的服务移动定位中心(evolved serving mobile locationcenter，E-SMLC)向移动管理实体(mobility management entity，MME)下发广播密钥，MME存储广播密钥。在终端发起附着(attach)请求或跟踪区更新(tracking area update，TAU)请求的情况下，MME在附着请求的响应消息或TAU请求的响应消息中携带广播密钥发给终端，使得终端根据该密钥对辅助信息进行加密辅助信息，辅助信息是用于辅助终端实现高精度的定位。

也就是说，MME可以为多个终端分配统一的密钥，后续MME可以采用分配给终端的密钥对辅助信息进行加密，相应地终端采用该密钥对辅助信息进行解密，辅助信息的安全性能比较低。

发明内容

本申请提供一种用于保护辅助信息的方法和装置，能够提高辅助信息的安全性能。

第一方面，提供了一种用于保护辅助信息的方法，该方法包括：接入与移动性管理功能网元AMF接收第一终端所属的跟踪区标识，该跟踪区标识用于指示第一终端所属的跟踪区；该AMF根据该第一终端所属的跟踪区，确定为该第一终端分配的第一密钥，该第一密钥用于保护辅助信息；该AMF向该第一终端发送该第一密钥。

AMF接收用于指示第一终端所属的跟踪区的跟踪区标识，进而根据第一终端所属的跟踪区为第一终端分配密钥(即第一密钥)，并将该第一密钥发送给第一终端，相对于传统方案中，移动性管理网元为终端统一分配密钥，本申请实施例能够为第一终端分配合适的密钥，并通过该密钥保护该第一终端的辅助信息，从而提高了辅助信息的安全性能。

在一些可能的实现方式中，该方法还包括：该AMF获取该第一终端的定位方式；其中，该AMF根据该第一终端所属的跟踪区，确定为该第一终端分配的第一密钥包括：该AMF根据该第一终端的定位方式和该第一终端所属的跟踪区，确定该第一密钥。

AMF还可以获取该第一终端的定位方式，结合该第一终端所属的跟踪区和第一终端的定位方式确定为第一终端分配的第一密钥，这样能够为第一终端分配更加合适的密钥，更进一步提高了辅助信息的安全性能。

在一些可能的实现方式中，该方法还包括：该AMF从位置管理功能网元LMF接收第一消息，该第一消息包括该LMF支持的多个密钥，以及该多个密钥中的每个密钥对应的定位方式和跟踪区；其中，该AMF根据该第一终端的定位方式和该第一终端所属的跟踪区，确定为该第一终端分配的第一密钥包括：该AMF根据该第一终端的定位方式和该第一终端所属的跟踪区，从该LMF支持的多个密钥中确定该第一密钥。

AMF可以从LMF中接收第一消息，该第一消息中可以包括LMF支持的多个密钥和至少一个定位方式、至少一个跟踪区，且该至少一个定位方式、该至少一个跟踪区和该多个密钥具有映射关系，这样AMF可以结合该第一终端的定位方式和该第一终端所属的跟踪区从该LMF支持的多个密钥中选择出合适的密钥(即第一密钥)，节省了AMF确定第一密钥的功耗开销。

在一些可能的实现方式中，该AMF根据该第一终端的定位方式和该第一终端所属的跟踪区，从该LMF支持的多个密钥中确定该第一密钥包括：该AMF根据该第一终端的定位方式和第一映射关系，从该第一密钥集合中确定第二密钥集合，该第一密钥集合包括该多个密钥，该第二密钥为至少一种定位方式和至少一个密钥的映射关系；该AMF根据该第一终端所属的跟踪区和第二映射关系，从该第二密钥集合中确定该第一密钥，该第一映射关系为至少一个跟踪区和至少一个密钥的映射关系。

这样AMF可以根据第一映射关系和第二映射关系，确定出更加合适的第一密钥，更进一步节省了AMF的功耗开销。

在一些可能的实现方式中，该第一消息还包括该LMF支持的多个定位方式，该方法还包括：该AMF获取该第一终端的定位能力信息，该定位能力信息用于指示该第一终端支持的定位方式；其中，该AMF获取第一终端的定位方式包括：该AMF根据该第一终端支持的定位方式和该LMF支持的多个定位方式，确定该第一终端的定位方式。

AMF还可以接收该第一终端的定位能力信息，该定位能力信息用于指示该第一终端支持的定位方式，以及获取LMF支持的定位方式，这样AMF可以结合第一终端支持的定位方式和LMF支持的定位方式确定该第一终端的定位方式，从而为该第一终端确定合适的定位方式，进而有助于为第一终端选择合适的第一密钥，从而提高了辅助信息的安全性能。

在一些可能的实现方式中，该AMF获取该第一终端的定位能力信息包括：该AMF接收第二消息，该第二消息包括该定位能力信息；其中，该AMF向该第一终端发送该第一密钥包括：该AMF向该第一终端发送该第二消息的响应消息，该响应消息包括该第一密钥。

AMF获取第一终端的定位能力信息可以携带在第一终端的第二消息中，相应地，第一密钥可以携带在该第二消息的响应消息中。这样不需要第一终端专门发送该定位能力信息，AMF也不需要专门发送该第一密钥，通过携带在第二消息和第二消息的响应消息中，节省了信令开销。此外，本申请实施例中，密钥的分发也可以是由该第二消息触发，即本申请实施例提供了一种能够触发密钥分发的方式。

在一些可能的实现方式中，该AMF接收跟踪区标识包括：该AMF接收第三消息，该第三消息用于请求更新跟踪区，该第三消息包括该跟踪区标识；其中，该AMF向该第一终端发送该第一密钥包括：该AMF向该第一终端发送该第三消息的响应消息，该第三消息的响应消息包括该第一密钥。

该AMF接收跟踪区标识可以是AMF接收第三消息，该第三消息包括跟踪区标识，相应地，该第一密钥携带在该第三消息的响应消息中。这样不需要第一终端专门发送该第三消息，AMF也不需要专门发送该第一密钥，通过携带在第三消息和第三消息的响应消息中，节省了信令开销。此外，本申请实施例提供了另一种能够触发密钥分发的方式。

在一些可能的实现方式中，该方法还包括：该AMF向该第一终端发送有效期限、指示信息中的一项或者多项，该有效期限用于指示该第一终端能够使用该第一密钥的时长阈值或能够使用该第一密钥的次数阈值，该指示信息用于指示该AMF在该第一终端所属的跟踪区是否支持辅助信息。

AMF可以向第一终端发送有效期限，这样第一终端可以根据该有效期限判断第一密钥的生效时段，避免了采用不合理的密钥进行解析，提高了辅助信息的安全性能。AMF还可以发送指示信息以指示第一终端所属的跟踪区是否支持辅助信息，若支持辅助信息，则第一终端可以配置为接收辅助信息的状态，避免了第一终端在接收不到辅助信息的状态下依然等待辅助信息，节省了第一终端的功耗开销。

在一些可能的实现方式中，该方法还包括：该AMF从UDM中获取该辅助信息设置；该AMF在该辅助信息设置指示该第一终端签约辅助信息的情况下，确定向该第一终端发送该第一密钥。

AMF可以根据该辅助信息设置确定第一终端是否签约了辅助信息，在签约了辅助信息的情况下，向该第一终端发送该第一密钥，这样本申请实施例能够为以后的商业应用创造条件，例如，可以实现高精度的定位收费。AMF可以向UDM发送定位设置请求，该定位设置请求可以用于请求第一终端的辅助信息设置，UDM向AMF反馈定位设置请求的响应消息，该定位设置请求的响应消息包括该辅助信息设置。

在一些可能的实现方式中，该方法还包括：该AMF接收第四消息，该第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系；该AMF根据该第三映射关系，确定该至少一个区域列表中的第一区域列表对应的第一辅助信息；该AMF通过该第一区域列表对应的接入网设备发送该第一辅助信息。

LMF向AMF发送第四消息，该第四消息包括至少一个区域列表和至少一个辅助信息，且该至少一个区域列表和至少一个辅助信息具有映射关系(即第三映射关系)，这样AMF可以根据该第三映射关系，确定出任意一个区域列表(例如，第一区域列表)对应的辅助信息，这样AMF可以通过第一区域列表对应的接入网设备向接入网设备覆盖的终端广播第一辅助信息，也就是说，AMF发送不同的辅助信息可以通过不同的区域列表对应的接入网设备，相对于传统方案中AMF通过覆盖的所有接入网设备发送辅助信息，节省了信令开销。此外，本申请实施例能够减少不相关辅助信息对第一终端的辅助信息的干扰，提高了辅助信息传输效率。

在一些可能的实现方式中，该第四消息还包括至少一个定位方式和该至少一个辅助信息的第四映射关系，该方法还包括：该AMF根据该第四映射关系，确定该至少一个定位方式中的第一定位方式对应的至少一个辅助信息；其中，该AMF根据该第三映射关系，确定该至少一个区域列表中的第一区域列表对应的第一辅助信息包括：该AMF根据该第三映射关系，从该第一定位方式对应的至少一个辅助信息中确定该第一辅助信息。

该第四消息还可以包括多个定位方式和至少一个辅助信息，且该至少一个定位方式和至少一个辅助信息具有映射关系。在一个定位方式对应多个辅助信息，或者一个区域列表对应多个辅助信息的情况下，AMF还可以根据第一定位方式对应的至少一个辅助信息中结合第一区域列表框对应的辅助信息确定出第一辅助信息，从而更进一步准确的广播辅助信息。

在一些可能的实现方式中，该方法还包括：当第一终端的第一密钥失效时，该AMF获取第二密钥；该AMF向该第一终端发送该第二密钥。

第一密钥失效可以是AMF确定的。或者该第一密钥也可以是第一终端确定的，还可以是LMF确定的，进而告知该AMF。AMF可以在获知第一密钥失效的情况下，获取第二密钥，即将第一密钥更新为第二密钥，并向第一终端发送该第二密钥，这样AMF可以采用第二密钥对辅助信息进行加密，第一终端可以采用第二密钥对辅助信息进行解密，即及时的更新密钥，更进一步提高辅助信息的安全性能。

在一些可能的实现方式中，该方法还包括：该AMF接收第五消息，该第五消息用于请求该第一终端的位置信息；其中，该AMF向该第一终端发送该第二密钥包括：该AMF根据该第五消息，向该第一终端发送该第二密钥。

第五消息可以用于触发AMF向第一终端发送第二密钥，即本申请实施例提供了一种密钥更新的手段，使得通信两端采用合适的密钥进行辅助信息传输，更进一步提高了辅助信息的安全性能。

在一些可能的实现方式中，该方法还包括：该AMF接收来自该第一终端的第六消息，该第六消息用于请求更新密钥；其中，该AMF向该第一终端发送该第二密钥包括：该AMF根据该第六消息，向该第一终端发送该第二密钥。

第一终端在检测到第一密钥过期的情况下，通过接入网设备向AMF发送第六消息，该第六消息可以用于请求更新密钥。相应地，AMF接收该第六消息，并根据该第六消息，将第二密钥发送该第一终端。即第六消息可以用于触发该AMF发送该第二密钥。相应地，该第二密钥可以携带在该第六消息的响应消息中。即本申请实施例提供了另一种密钥更新的手段，使得通信两端采用合适的密钥进行辅助信息传输，更进一步提高了辅助信息的安全性能。

第二方面，提供了一种用于保护定位辅助信息的方法，该方法包括：第一终端向接入与移动性管理功能网元AMF发送跟踪区标识，该跟踪区标识用于指示该第一终端所属的跟踪区；该第一终端接收第一密钥，该第一密钥是由该AMF根据该第一终端所属的跟踪区确定的，且该第一密钥用于保护辅助信息。

第一终端向AMF发送用于指示该第一终端所属的跟踪区的跟踪区标识，该第一终端所属的跟踪区的跟踪区标识用于AMF确定用于保护辅助信息的第一密钥，该第一终端从该AMF获取该第一密钥，也就是说，本申请实施例能够为第一终端分配更加合适的密钥，并通过该第一密钥保护该第一终端的辅助信息，从而提高了辅助信息的安全性能。

在一些可能的实现方式中，该方法还包括：该第一终端接收加密后的辅助信息；该第一终端根据该第一密钥，解密该加密后的辅助信息。

第一终端接收到加密后的辅助信息，这样第一终端可以根据该第一密钥解密采用该第一密钥加密后的辅助信息，从而提高了辅助信息的安全性能。

在一些可能的实现方式中，该方法还包括：该第一终端向该AMF发送定位能力信息，该定位能力信息用于指示该第一终端支持的定位方式。

第一终端向该AMF发送该第一终端的定位方式，AMF结合该第一终端所属的跟踪区和第一终端的定位方式确定为第一终端分配的第一密钥，这样能够为第一终端分配更加合适的密钥，更进一步提高了辅助信息的安全性能。

在一些可能的实现方式中，该第一终端向该AMF发送定位能力信息包括：该第一终端向该AMF发送第二消息，该第二消息包括定位能力信息，且该第二消息用于请求接入该AMF；其中，该第一终端接收第一密钥包括：该第一终端接收该第二消息的响应消息，该响应消息包括该第一密钥。

第一终端向该AMF发送第一终端的定位能力信息，该第一终端的定位能力信息可以携带在第一终端的第二消息中，相应地，第一密钥可以携带在该第二消息的响应消息中。这样不需要第一终端专门发送该定位能力信息，AMF也不需要专门发送该第一密钥，通过携带在第二消息和第二消息的响应消息中，节省了信令开销。此外，本申请实施例中，密钥的分发也可以是由该第二消息触发，即本申请实施例提供了一种能够触发密钥分发的方式。

在一些可能的实现方式中，该第一终端向AMF发送跟踪区标识包括：该第一终端向该AMF发送第三消息，该第三消息包括该跟踪区标识；其中，该第一终端接收第一密钥包括：该第一终端接收该第三消息的响应消息，该响应消息包括该第一密钥。

第一终端向AMF发送包括跟踪区标识的第三消息，相应地，该第一密钥携带在该第三消息的响应消息中。这样不需要第一终端专门发送该第三消息，AMF也不需要专门发送该第一密钥，通过携带在第三消息和第三消息的响应消息中，节省了信令开销。此外，本申请实施例提供了另一种能够触发密钥分发的方式。

在一些可能的实现方式中，该方法还包括：该第一终端从该AMF接收有效期限、指示信息中的一项或者多项，该有效期限用于指示该第一终端能够使用该第一密钥的时长阈值或能够使用该第一密钥的次数阈值，该指示信息用于指示该AMF在该第一终端所属的跟踪区是否支持辅助信息。

第一终端可以接收AMF发送的有效期限，这样第一终端可以根据该有效期限判断第一密钥的生效时段，避免了采用不合理的密钥进行解析，提高了辅助信息的安全性能。AMF还可以发送指示信息以指示第一终端所属的跟踪区是否支持辅助信息，若支持辅助信息，则第一终端可以配置为接收辅助信息的状态，避免了第一终端在接收不到辅助信息的状态下依然等待辅助信息，节省了第一终端的功耗开销。

在一些可能的实现方式中，该方法还包括：该第一终端根据该有效期限，确定该第一密钥是否失效；该第一终端在确定该第一密钥失效的情况下，向该AMF发送第六消息，该第六消息用于请求更新密钥；该第一终端接收该第六消息的响应消息，该第六消息的响应消息包括第二密钥；该第一终端根据该第二密钥，解密该加密后的辅助信息。

第一终端可以根据第一密钥的有效期限检测第一密钥是否过期，在检测到第一密钥过期的情况下，通过接入网设备向AMF发送第六消息，AMF为第一终端选择新的密钥(例如，第二密钥)，并将第二密钥发送该第一终端，这样第一终端可以根据该第二密钥解密该加密后的辅助信息，即本申请实施例能够为第一终端更新密钥，从而更进一步提高辅助信息的安全性能。

在一些可能的实现方式中，该第一终端根据该有效期限，确定该第一密钥是否失效包括：该第一终端在确定该第一终端使用该第一密钥的时长大于该时长阈值的情况下，确定该第一密钥失效；或该第一终端在确定该第一终端使用该第一密钥的次数大于该次数阈值的情况下，确定该第一密钥失效。

第一终端具体可以检测使用第一密钥的时长是否超过时长阈值，在使用第一密钥的时长超过时长阈值的情况下确定该第一密钥过期，否则第一密钥没有过期；或第一终端可以检测使用第一密钥的次数是否超过次数阈值，若使用第一密钥的次数超过次数阈值，则第一密钥过期，否则第一密钥过期。

在一些可能的实现方式中，该方法还包括：该第一终端从该AMF接收第二密钥；该第一终端根据该第二密钥，解密从该AMF接收到的辅助信息。

在AMF检测到第二密钥时，向第一终端发送该第二密钥，第一终端根据该第二密钥解析辅助信息，也就是说，第一终端可以从AMF获取的新密钥来更新密钥，从而提高辅助信息的安全性能。

第三方面，提供了一种用于保护辅助信息的方法，该方法包括：位置管理功能网元LMF确定第一消息，该第一消息包括该LMF支持的多个密钥，以及该多个密钥分别对应的跟踪区；该LMF向接入与移动性管理功能网元AMF发送该第一消息。

LMF向AMF发送第一消息，该第一消息中可以包括LMF支持的多个密钥和至少一个跟踪区，且该至少一个跟踪区和该多个密钥具有映射关系，这样使得AMF可以根据该第一终端所属的跟踪区从该LMF支持的多个密钥中选择出合适的密钥(即第一密钥)，节省了AMF确定第一密钥的功耗开销。

可选地，该第一消息还包括该多个密钥分别与至少一个定位方式的映射关系。

该第一消息中可以包括LMF支持的多个密钥、至少一个跟踪区和至少一个定位方式，且该至少一个定位方式、该至少一个跟踪区和该多个密钥具有映射关系，这样使得AMF可以根据该第一终端所属的跟踪区和该第一终端的定位方式从该LMF支持的多个密钥中选择出合适的密钥(即第一密钥)，从而更进一步节省了AMF确定第一密钥的功耗开销。

在一些可能的实现方式中，该方法还包括：该LMF生成至少一个辅助信息；该LMF发送第四消息，该第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系。

LMF向AMF发送第四消息，该第四消息包括至少一个区域列表和至少一个辅助信息，且该至少一个区域列表和至少一个辅助信息具有映射关系(即第三映射关系)，这样AMF可以根据该第三映射关系，确定出任意一个区域列表(例如，第一区域列表)对应的辅助信息，这样AMF可以通过第一区域列表对应的接入网设备向接入网设备覆盖的终端广播第一辅助信息，也就是说，AMF发送不同的辅助信息可以通过不同的区域列表对应的接入网设备，相对于传统方案中AMF通过覆盖的所有接入网设备发送辅助信息，节省了信令开销。此外，本申请实施例能够减少不相关辅助信息对第一终端的辅助信息的干扰，提高了辅助信息传输效率。

在一些可能的实现方式中，该第四消息还包括多个定位方式和该至少一个辅助信息的第四映射关系。

该第四消息还可以包括多个定位方式和至少一个辅助信息，且该至少一个定位方式和至少一个辅助信息具有映射关系。在一个定位方式对应多个辅助信息，或者一个区域列表对应多个辅助信息的情况下，AMF还可以根据第一定位方式对应的至少一个辅助信息中结合第一区域列表框对应的辅助信息确定出第一辅助信息，从而更进一步准确的广播辅助信息。

在一些可能的实现方式中，该LMF生成至少一个辅助信息包括：该LMF根据该至少一个辅助信息中的第二辅助信息和该第三映射关系，确定该第二辅助信息对应的第一区域列表；该LMF根据该第一区域列表，确定该第一区域列表对应的第一密钥；该LMF通过该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。

也就是说，LMF根据发送的第一消息中携带的映射关系为不同区域列表对应的辅助信息分配密钥，相应地，AMF也根据该第一消息中的映射关系确定不同区域列表对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

在一些可能的实现方式中，该LMF生成至少一个辅助信息包括：该LMF根据该至少一个辅助信息中的第二辅助信息和该第三映射关系，确定该第二辅助信息对应的第一区域列表；该LMF根据该第二辅助信息和该第四映射关系，确定该第二辅助信息对应的第一定位方式；该LMF根据该第一区域列表和该第一定位方式，确定第一密钥；该LMF通过该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。

也就是说，LMF根据发送的第一消息中携带的映射关系为根据区域列表和定位方式为对应的辅助信息分配密钥，相应地，AMF也根据该第一消息中的映射关系确定不同区域列表和定位方式对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

第四方面，提供了一种传输辅助信息的方法，该方法包括移动性管理功能网元AMF获取第一消息，该第一消息包括至少一个区域列表和至少一个辅助信息的第一映射关系，该至少一个区域列表中的每个区域列表对应该AMF管理的多个接入网设备中的部分接入网设备；该AMF根据该第一映射关系，确定该至少一个区域列表中的第一区域列表对应的第一辅助信息；该AMF通过该第一区域列表对应的接入网设备发送该第一辅助信息。

AMF获取第一消息，该第一消息包括LMF根据该第一消息中携带的映射关系为不同区域列表对应的辅助信息分配密钥，AMF根据该第一消息中的映射关系确定不同区域列表对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

在一些可能的实现方式中，该第一消息还包括多个定位方式和该至少一个辅助信息的第二映射关系，该方法还包括：该AMF根据该第二映射关系，确定该至少一个定位方式中的第一定位方式对应的至少一个辅助信息；其中，该AMF根据该第一映射关系，确定该至少一个区域列表中的第一区域列表对应的第一辅助信息包括：该AMF根据该第一映射关系，从该第一定位方式对应的至少一个辅助信息中确定该第一辅助信息。

该第一消息还包括多个定位方式和该至少一个辅助信息的第二映射关系，AMF根据该第二映射关系确定该至少一个定位方式中的第一定位方式对应的至少一个辅助信息，并根据第一映射关系从该第一定位方式对应的至少一个辅助信息中确定该第一辅助信息，也就是说，AMF根据该第一消息中的映射关系确定不同区域列表和定位方式对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

在一些可能的实现方式中，该方法还包括：该AMF确定该第一辅助信息对应的第一密钥；该AMF向该第一区域列表对应的接入网设备覆盖的第一终端发送该第一密钥。

AMF可以将第一辅助信息对应的第一密钥，分发给特定终端，使得对应的终端能够根据该密钥进行解密对应的辅助信息，这样本申请实施例能够为以后的商业应用创造条件，例如，可以实现高精度的定位收费。

第五方面，提供了一种传输辅助信息的方法，该方法包括：位置管理功能网元LMF生成至少一个辅助信息；该LMF发送第一消息，该第一消息包括至少一个区域列表和至少一个辅助信息的第一映射关系，该至少一个区域列表中的每个区域列表对应该AMF管理的多个接入网设备中的部分接入网设备。

LMF根据发送的第一消息中携带的映射关系为不同区域列表对应的辅助信息分配密钥，使得AMF也根据该第一消息中的映射关系确定不同区域列表对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

在一些可能的实现方式中，该第一消息还包括多个定位方式和该至少一个辅助信息的第二映射关系。

LMF根据辅助信息和定位方式的映射关系(即第二映射关系)，确定LMF支持的至少一个辅助信息中的第二辅助信息对应的第一定位方式，根据第一区域列表和第一定位方式确定出第一密钥，进而根据该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。也就是说，LMF根据发送的第一消息中携带的映射关系为根据区域列表和定位方式为对应的辅助信息分配密钥，相应地，AMF也根据该第一消息中的映射关系确定不同区域列表和定位方式对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

第六方面，提供了一种用于保护辅助信息的装置，该装置可以是AMF，也可以是AMF内的芯片。该装置具有实现上述第一方面及各种可能的实现方式的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置包括：处理模块和收发模块，所述收发模块例如可以是收发器、接收器、发射器中的至少一种，该收发模块可以包括射频电路或天线。该处理模块可以是处理器。

可选地，所述装置还包括存储模块，该存储模块例如可以是存储器。当包括存储模块时，该存储模块用于存储指令。该处理模块与该存储模块连接，该处理模块可以执行该存储模块存储的指令或源自其他的指令，以使该装置执行上述第一方面或其任意一项的方法。

在另一种可能的设计中，当该装置为芯片时，该芯片包括：处理模块，可选地，该芯片还包括收发模块，收发模块例如可以是该芯片上的输入/输出接口、管脚或电路等。处理模块例如可以是处理器。该处理模块可执行指令，以使该AMF内的芯片执行上述第一方面以及任意可能的实现的通信方法。

可选地，该处理模块可以执行存储模块中的指令，该存储模块可以为芯片内的存储模块，如寄存器、缓存等。该存储模块还可以是位于通信设备内，但位于芯片外部，如只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)等。

其中，上述任一处提到的处理器，可以是一个通用中央处理器(CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制上述各方面通信方法的程序执行的集成电路。

第七方面，提供了一种用于保护辅助信息的装置，该装置可以是终端，也可以是终端内的芯片。该装置具有实现上述第二方面及各种可能的实现方式的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置包括：收发模块。可选地，该装置还包括处理模块，所述收发模块例如可以是收发器、接收器、发射器中的至少一种，该收发模块可以包括射频电路或天线。该处理模块可以是处理器。

可选地，所述装置还包括存储模块，该存储模块例如可以是存储器。当包括存储模块时，该存储模块用于存储指令。该处理模块与该存储模块连接，该处理模块可以执行该存储模块存储的指令或源自其他的指令，以使该装置执行上述第二方面及各种可能的实现方式的通信方法。在本设计中，该装置可以为终端。

在另一种可能的设计中，当该装置为芯片时，该芯片包括：收发模块。可选地，该装置还包括处理模块，收发模块例如可以是该芯片上的输入/输出接口、管脚或电路等。处理模块例如可以是处理器。该处理模块可执行指令，以使该AMF内的芯片执行上述第二方面以及任意可能的实现的通信方法。

可选地，该处理模块可以执行存储模块中的指令，该存储模块可以为芯片内的存储模块，如寄存器、缓存等。该存储模块还可以是位于通信设备内，但位于芯片外部，如只读存储器或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器等。

其中，上述任一处提到的处理器，可以是一个通用中央处理器，微处理器，特定应用集成电路，或一个或多个用于控制上述各方面通信方法的程序执行的集成电路。

第八方面，提供了一种用于保护辅助信息的装置，该装置可以是终端，也可以是终端内的芯片。该装置具有实现上述第三方面，及各种可能的实现方式的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置包括：收发模块。可选地，该装置还包括处理模块，所述收发模块例如可以是收发器、接收器、发射器中的至少一种，该收发模块可以包括射频电路或天线。该处理模块可以是处理器。

可选地，所述装置还包括存储模块，该存储模块例如可以是存储器。当包括存储模块时，该存储模块用于存储指令。该处理模块与该存储模块连接，该处理模块可以执行该存储模块存储的指令或源自其他的指令，以使该装置执行上述第三方面，及各种可能的实现方式的通信方法。在本设计中，该装置可以为终端。

在另一种可能的设计中，当该装置为芯片时，该芯片包括：收发模块。可选地，该装置还包括处理模块，收发模块例如可以是该芯片上的输入/输出接口、管脚或电路等。处理模块例如可以是处理器。该处理模块可执行指令，以使该AMF内的芯片执行上述第三方面，以及任意可能的实现的通信方法。

可选地，该处理模块可以执行存储模块中的指令，该存储模块可以为芯片内的存储模块，如寄存器、缓存等。该存储模块还可以是位于通信设备内，但位于芯片外部，如只读存储器或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器等。

其中，上述任一处提到的处理器，可以是一个通用中央处理器，微处理器，特定应用集成电路，或一个或多个用于控制上述各方面通信方法的程序执行的集成电路。

第九方面，提供了一种用于保护辅助信息的装置，该装置可以是AMF，也可以是AMF内的芯片。该装置具有实现上述第四方面，及各种可能的实现方式的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置包括：处理模块和收发模块，所述收发模块例如可以是收发器、接收器、发射器中的至少一种，该收发模块可以包括射频电路或天线。该处理模块可以是处理器。

可选地，所述装置还包括存储模块，该存储模块例如可以是存储器。当包括存储模块时，该存储模块用于存储指令。该处理模块与该存储模块连接，该处理模块可以执行该存储模块存储的指令或源自其他的指令，以使该装置执行上述第四方面，或其任意一项的方法。

在另一种可能的设计中，当该装置为芯片时，该芯片包括：处理模块，可选地，该芯片还包括收发模块，收发模块例如可以是该芯片上的输入/输出接口、管脚或电路等。处理模块例如可以是处理器。该处理模块可执行指令，以使该AMF内的芯片执行上述第四方面，以及任意可能的实现的通信方法。

可选地，该处理模块可以执行存储模块中的指令，该存储模块可以为芯片内的存储模块，如寄存器、缓存等。该存储模块还可以是位于通信设备内，但位于芯片外部，如只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)等。

其中，上述任一处提到的处理器，可以是一个通用中央处理器(CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制上述各方面通信方法的程序执行的集成电路。

第十方面，提供了一种用于保护辅助信息的装置，该装置可以是终端，也可以是终端内的芯片。该装置具有实现上述第五方面，及各种可能的实现方式的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的设计中，该装置包括：收发模块。可选地，该装置还包括处理模块，所述收发模块例如可以是收发器、接收器、发射器中的至少一种，该收发模块可以包括射频电路或天线。该处理模块可以是处理器。

可选地，所述装置还包括存储模块，该存储模块例如可以是存储器。当包括存储模块时，该存储模块用于存储指令。该处理模块与该存储模块连接，该处理模块可以执行该存储模块存储的指令或源自其他的指令，以使该装置执行上述第五方面，及各种可能的实现方式的通信方法。在本设计中，该装置可以为终端。

在另一种可能的设计中，当该装置为芯片时，该芯片包括：收发模块。可选地，该装置还包括处理模块，收发模块例如可以是该芯片上的输入/输出接口、管脚或电路等。处理模块例如可以是处理器。该处理模块可执行指令，以使该AMF内的芯片执行上述第五方面，以及任意可能的实现的通信方法。

可选地，该处理模块可以执行存储模块中的指令，该存储模块可以为芯片内的存储模块，如寄存器、缓存等。该存储模块还可以是位于通信设备内，但位于芯片外部，如只读存储器或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器等。

其中，上述任一处提到的处理器，可以是一个通用中央处理器，微处理器，特定应用集成电路，或一个或多个用于控制上述各方面通信方法的程序执行的集成电路。

第十一方面，提供了一种计算机存储介质，该计算机存储介质中存储有程序代码，该程序代码用于指示执行上述第一方面或第四方面，或其任意可能的实现方式中的方法的指令。

第十二方面，提供了一种计算机存储介质，该计算机存储介质中存储有程序代码，该程序代码用于指示执行上述第二方面或第五方面，或其任意可能的实现方式中的方法的指令。

第十三方面，提供了一种计算机存储介质，该计算机存储介质中存储有程序代码，该程序代码用于指示执行上述第三方面，或其任意可能的实现方式中的方法的指令。

第十四方面，提供了一种包含指令的计算机程序产品，其在计算机上运行时，使得计算机执行上述第一方面或第四方面，其任意可能的实现方式中的方法。

第十五方面，提供了一种包含指令的计算机程序产品，其在计算机上运行时，使得计算机执行上述第二方面或第五方面，或其任意可能的实现方式中的方法。

第十六方面，提供了一种包含指令的计算机程序产品，其在计算机上运行时，使得计算机执行上述第三方面，或其任意可能的实现方式中的方法。

第十七方面，提供了一种处理器，用于与存储器耦合，用于执行上述第一方面或第四方面，或其任意可能的实现方式中的方法。

第十八方面，提供了一种处理器，用于与存储器耦合，用于执行上述第二方面或第五方面，或其任意可能的实现方式中的方法。

第十九方面，提供了一种处理器，用于与存储器耦合，用于执行上述第三方面，或其任意可能的实现方式中的方法。

第二十方面，提供了一种通信系统，包括上述第六方面所述的装置、第七方面所述的装置和第八方面所述的装置。

第二十一方面，提供了一种通信系统，包括上述第九方面所述的装置和第十方面所述的装置。

基于上述技术方案，AMF接收用于指示第一终端所属的跟踪区的跟踪区标识，根据第一终端所属的跟踪区为第一终端分配第一密钥，并将该第一密钥发送给第一终端，相对于传统方案中，移动管理网元为能够管理的所有终端分配统一的密钥，本申请实施例能够为第一终端分配合适的密钥，并通过该密钥保护该第一终端的辅助信息，从而提高了辅助信息的安全性能。

附图说明

图1是本申请实施例的通信系统的示意图；

图2是本申请实施例的通信系统的具体架构的示意图；

图3是传统方案中保护辅助信息的示意性流程图；

图4是本申请实施例的保护辅助信息的方法的示意性流程图；

图5是本申请一个具体实施例的保护辅助信息的方法的示意性流程图；

图6是本申请另一个具体实施例的保护辅助信息的方法的示意性流程图；

图7是本申请又一个具体实施例的保护辅助信息的方法的示意性流程图；

图8是本申请又一个具体实施例的保护辅助信息的方法的示意性流程图；

图9是本申请又一个具体实施例的保护辅助信息的方法的示意性流程图；

图10是本申请一个实施例的保护辅助信息的装置的示意性框图；

图11是本申请一个实施例的保护辅助信息的装置的示意性结构图；

图12是本申请另一个实施例的保护辅助信息的装置的示意性框图；

图13是本申请另一个实施例的保护辅助信息的装置的示意性结构图；

图14是本申请又一个实施例的保护辅助信息的装置的示意性框图；

图15是本申请又一个实施例的保护辅助信息的装置的示意性结构图；

图16是本申请又一个实施例的保护辅助信息的装置的示意性框图；

图17是本申请又一个实施例的保护辅助信息的装置的示意性框图；

图18是本申请又一个实施例的保护辅助信息的装置的示意性框图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：全球移动通信(globalsystem for mobile communications，GSM)系统、码分多址(code division multipleaccess，CDMA)系统、宽带码分多址(wideband code division multiple access，WCDMA)系统、通用分组无线业务(general packet radio service，GPRS)、长期演进(long termevolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动通信系统(universal mobiletelecommunication system，UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access，WiMAX)通信系统、未来的第五代(5th generation，5G)系统或新无线(new radio，NR)等。

本申请实施例中的终端可以指用户设备(user equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5G网络中的终端或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端等，本申请实施例对此并不限定。

本申请实施例中的接入网设备可以是用于与终端通信的设备，该接入网设备可以是全球移动通信(global system for mobile communications，GSM)系统或码分多址(code division multiple access，CDMA)中的基站(base transceiver station，BTS)，也可以是宽带码分多址(wideband code division multiple access，WCDMA)系统中的基站(NodeB，NB)，还可以是LTE系统中的演进型基站(evoled NodeB，eNB或eNodeB)，还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器，或者该接入网设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的接入网设备(gNodeB，gNB)或者未来演进的PLMN网络中的接入网设备等，本申请实施例并不限定。

在本申请实施例中，终端或接入网设备包括硬件层、运行在硬件层之上的操作系统层，以及运行在操作系统层上的应用层。该硬件层包括中央处理器(central processingunit，CPU)、内存管理单元(memory management unit，MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统，例如，Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且，本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定，只要能够通过运行记录有本申请实施例的提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可，例如，本申请实施例提供的方法的执行主体可以是终端或接入网设备，或者，是终端或接入网设备中能够调用程序并执行程序的功能模块。

图1为本申请适用的一种可能的网络架构示意图。该网络架构包括终端101、接入网设备102、统一数据管理平台103、第三方设备104,、网络开放功能实体105、网络能力开放实体105、位置管理功能实体106以及接入和移动管理网功能实体107，下面分别进行说明：

1、终端设备(terminal device，TD)101：简称为终端，是一种具有无线收发功能的设备，可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，以及各种形式的终端，移动台(mobile station，MS)，终端(terminal)，用户设备(user equipment，UE)，软终端等等。终端可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。例如，手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。

2、(无线)接入网设备(radio access network，(R)AN)102：是一种为终端提供无线通信功能的设备，包括但不限于：5G中的下一代基站(g nodeB，gNB)、演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(nodeB，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiverstation，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(baseBand unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point，TP)等。

3、统一数据管理平台103：用于处理用户标识，接入鉴权，注册以及移动性管理等。在4G网络中，该数据管理网元可以是归属用户服务器(home subscriber server，HSS)，在5G网络中，该数据管理网元可以是统一数据管理(unified data management，UDM)网元。在未来通信系统中，统一数据管理仍可以是UDM网元，或者，还可以有其它的名称，本申请不做限定。

4、第三方设备104：用于管理终端101的设备，该第三方设备112中存储所管理的终端的属性信息，例如终端的位置信息、类型等。需要说明的是，本申请网络架构中以包括一个终端101为例示意，实际应用中该网络架构中可以包括多个终端，相应的，该多个终端均可以由第三方设备112来管理，当然该多个终端也可以由不同的第三方设备来管理。具体来说，第三方设备112通过能力开放网元提供的应用接口连接至能力开放网元，并通过能力开放网元管理终端101。例如，第三方设备112可以是垂直行业控制中心的服务器设备或应用功能(application function，AF)网元。

5、网络开放功能实体105：用于安全地向外部开放由3GPP网络功能网元提供的业务和能力等。在4G网络中，该网络开放网元可以是业务能力开放功能(service capabilityexposure function，SCEF)网元。在5G网络中，该网络开放网元可以是网络开放功能(network exposure function，NEF)网元。在未来通信系统中，网络开放网元仍可以是NEF网元，或者，还可以有其它的名称，本申请不做限定。

6、位置管理功能实体106，用于进行UE的位置管理，例如，确定UE的位置信息。具体来说，第五代(the 5th generation，5G)无线通信系统中的位置管理网元可以是LMF(location management function，LMF)网元，LMF可以根据核心网实体(如接入和移动管理功能实体(access and mobility management function，AMF))的请求确定UE的位置信息，并将UE的位置信息提供给AMF，从而提供定位服务(location services，LCS)。在实施中，AMF可以向UE分配至少一个LMF，用于向UE提供定位服务，UE在需要获取定位信息时，可以通过AMF向LMF请求位置信息。在未来通信(例如6G或者其他的网络中)，位置管理网元仍可以是LMF网元，或有其它的名称，本申请不做限定。

7、接入和移动管理功能实体107：主要用于终端的接入和移动性管理。在4G网络中，该移动管理网元可以是移动性管理实体(mobility management entity，MME)，在5G网络中，该移动管理网元可以是接入管理功能(access and mobility managementfunction，AMF)网元。在未来通信系统中，移动管理网元仍可以是AMF网元，或者，还可以有其它的名称，本申请不做限定。

需要说明的是，本申请实施例中所涉及的网元还可以称为功能或功能实体，例如，移动管理网元还可以称为移动管理功能或移动管理功能实体，数据管理网元还可以称为数据管理功能或数据管理功能实体等。各个网元的名称在本申请中不做限定，本领域技术人员可以将上述网元的名称更换为其它名称而执行相同的功能，均属于本申请保护的范围

可以理解的是，上述网元或者功能既可以是硬件设备中的网络元件，也可以是在专用硬件上运行软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

图2为本申请适用的另一种可能的网络架构示意图。图2中以5G网络架构为例。该网络架构包括：终端201、(R)AN202、用户面功能(user plane function，UPF)网元203、数据网络(data network，DN)网元204、认证服务器功能(authentication server function，AUSF)网元205、AMF网元206、会话管理功能(session management function，SMF)网元207、NEF网元208、网络存储功能(network repository function，NRF)网元209、PCF网元210、UDM网元211。下述将UPF网元203、DN网元204、AUSF网元205、AMF网元206、SMF网元207、NEF网元208、NRF网元209、策略控制功能(policy control function，PCF)网元210、UDM网元211简称为UPF203、DN204、AUSF205、AMF206、SMF207、NEF208、NRF209、PCF120、UDM211。其中，图1所示的网络架构中的接入网设备可以是图2所示的网络架构中的(R)AN202。

在该网络架构中，Nausf为AUSF105展现的基于服务的接口，Namf为AMF106展现的基于服务的接口，Nsmf为SMF107展现的基于服务的接口，Nnef为NEF108展现的基于服务的接口，Nnrf为NRF109展现的基于服务的接口，Npcf为PCF110展现的基于服务的接口，Nudm为UDM111展现的基于服务的接口。N1为UE101和AMF106之间的参考点，N2为(R)AN102和AMF106的参考点，用于非接入层(non-access stratum，NAS)消息的发送等；N3为(R)AN102和UPF103之间的参考点，用于传输用户面的数据等；N4为SMF107和UPF103之间的参考点，用于传输例如N3连接的隧道标识信息，数据缓存指示信息，以及下行数据通知消息等信息；N6接口为UPF103和DN104之间的参考点，用于传输用户面的数据等。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。

例如，在某些网络架构中，AMF网元206、SMF网元207、PCF网元210以及UDM网元211等网络功能网元实体都称为网络功能网元(network function，NF)网元；或者，在另一些网络架构中，AMF网元206、SMF网元207、PCF网元210以及UDM网元211等网元的集合都可以称为控制面功能网元。

其中，NF网元可按照功能的类别定义为不同的NF，例如：认证和安全功能、分组数据会话管理功能、移动管理功能及接入控制功能、策略控制功能等，这些功能由对应的NF组件实现，每个NF组件通过定义的服务接口对其他NF组件或功能提供服务。同一个运营商的多个网络切片(sliceA、sliceB和sliceC)使用同一个公共陆地移动网络(public landmobile network，PLMN)，并可以通过云技术和虚拟化技术等部署在运营商的基础设施中，运营商的技术设施包括运营商的云计算和传输基础设施。

需要说明的是，后续实施例中所描述的MME网元、AMF网元、UDM网元、eNB、gNB只是举例说明，并不构成对本申请实施例的限定。即本申请后续所描述的MME网元、AMF网元均可替换为移动管理网元，UDM网元可替换为数据管理网元，eNB、gNB均可替换为接入网络设备。且MME网元简称为MME，AMF网元简称为AMF，UDM网元简称为UDM。

图3示出了传统方案中保护辅助信息的示意性流程图。

301，E-SMLC向MME发送密钥；

302，MME存储该密钥；

303，终端向基站发送附着请求或跟踪区更新(tracking area update，TAU)请求；

304，基站向MME发送该附着请求或TAU请求；

305，MME向基站反馈附着请求的响应消息或TAU请求的响应消息，且附着请求的响应消息或TAU请求的响应消息中携带密钥；

306，基站向终端发送携带密钥附着请求的响应消息或TAU请求的响应消息；

307，E-SMLC对辅助信息采用该密钥进行加密；

308，E-SMLC将加密后的辅助信息发送给终端；

309，终端采用该密钥对该辅助信息进行解密。

也就是说，MME可以为终端统一分配密钥，由于该密钥的分配并不能考虑终端当前所属的区域，通过这样的密钥对辅助信息进行加密，辅助信息的安全性能比较低。

图4示出了本申请实施例的保护辅助信息的方法的示意性流程图。

401，AMF接收跟踪区标识，该跟踪区标识用于指示第一终端所属的跟踪区。

具体地，一个跟踪区可以包括一个或多个接入网设备，AMF可以从终端所属的跟踪区包括的一个或多个接入网设备中接收到该跟踪区标识。接入网设备可以周期性的，或者在检测到第一终端所属的跟踪区发生变化的情况下，发送该第一终端所属的跟踪区的标识。

应理解，跟踪区(tracking area)可以是由一片连续覆盖的小区组成的地理区域，用于接入网/核心网系统的终端位置管理。

402，AMF根据第一终端所属的跟踪区，确定为该第一终端分配的第一密钥，该第一密钥用于保护辅助信息。

具体地，AMF可以为第一终端所属的不同的跟踪区分配不同的密钥。例如，第一终端所属的至少一个跟踪区和至少一个密钥可以具有映射关系，即该至少一个密钥可以分别对应一个跟踪区或多个跟踪区，这样AMF可以根据某一个跟踪区确定出对应的密钥。第一密钥可以用于对辅助信息进行加密或解密，例如，AMF可以通过该第一密钥对辅助信息进行加密，第一终端可以通过该第一密钥对辅助信息进行解密。

应理解，该至少一个跟踪区和至少一个密钥的映射关系可以是跟踪区和密钥一一对应，也可以是一个跟踪区对应一个或多个密钥，或者还可以是一个密钥对应一个或多个跟踪区，本申请对此不进行限定。

可选地，该至少一个跟踪区和至少一个密钥的映射关系可以携带在第一消息中，该第一消息可以是LMF向AMF发送的。

需要说明的是，该第一消息还可以包括通用的密钥，即不论终端在哪个跟踪区都可以采用通用的密钥，本申请对此不进行限定。

应理解，该第一消息可以是密钥消息。

可选地，AMF获取第一终端的定位方式，这样步骤402可以是AMF根据该第一终端的定位方式和该第一终端所属的跟踪区确定为该第一终端分配的第一密钥。相应地，第一终端发送该第一终端的定位方式。

具体地，AMF可以结合第一终端的定位方式和第一终端所属的跟踪区为第一终端分配密钥(即第一密钥)，相对于传统方案中，移动性管理网元为终端统一分配密钥，本申请实施例能够为第一终端分配合适的密钥，并通过该密钥保护该第一终端的辅助信息，从而提高了辅助信息的安全性能。例如，不同终端的辅助信息的密钥可以不同，相同终端在不同跟踪区时对应的辅助信息的密钥也可以不同。

应理解，步骤403中AMF可以结合该第一终端的定位方式和该第一终端所属的跟踪区的某种关联关系或者函数关系计算出第一密钥。

可选地，第一终端的定位方式可以是终端支持的定位方式，例如，该定位方式可以是无线局域网(wireless fidelity，wifi)定位、无线局域网(wireless local areanetwork，wlan)定位或全球定位系统(global position system，GPS)定位、蓝牙定位，还可以是其他定位方式，本申请对此不进行限定。

在一个实施例中，步骤402中AMF还可以是从自己的存储区域读取该第一终端的定位方式。即AMF可以存储每个终端分别对应的定位方式，这样AMF可以从存储区域中获知任意一个终端的定位方式。

在另一个实施例中，步骤402中AMF可以从LMF接收该第一终端的定位方式。也就是说，LMF存储不同终端对应的定位方式，AMF可以从LMF中获取到第一终端的定位方式。

在又一个实施例中，AMF还可以接收该第一终端的定位能力信息，该定位能力信息用于指示该第一终端支持的定位方式，这样步骤402中，AMF可以根据第一终端支持的定位方式确定第一终端的定位方式。

需要说明的是，第一终端支持的定位方式可以是一种或多种。

可选地，该第一消息还可以包括至少一个密钥与至少一个定位方式的映射关系，即该至少一个密钥分别对应一个或多个定位方式。

可选地，AMF可以从LMF中接收第一消息，该第一消息中可以包括LMF支持的多个密钥，且该第一消息还包括该多个密钥中的每个密钥对应的定位方式和跟踪区，这样AMF可以结合该第一终端的定位方式和该第一终端所属的跟踪区从该LMF支持的多个密钥中选择出合适的密钥(即第一密钥)，节省了AMF确定第一密钥的功耗开销。

可选地，第一终端的一种定位方式与多个密钥具有第一映射关系，第一终端的每个跟踪区也与多个密钥具有第二映射关系，这样AMF可以根据第一端的定位方式和该第一终端所属的跟踪区结合该第一映射关系和第二映射关系，选择出第一密钥。具体地，可以将LMF支持的多个密钥称为“第一密钥集合”，AMF可以根据第一终端的定位方式和第一映射关系从该第一密钥集合中选择出包括一个或多个密钥的第二密钥集合，根据第一终端所属的跟踪区和第二映射关系从该第一密钥集合中选择出包括一个或多个密钥的第三密钥集合，将第一密钥集合和第二密钥集合中相同的密钥作为该第一密钥。或者AMF根据第一终端所属的跟踪区和第一映射关系从该第一密钥集合中确定第二密钥集合，再根据第一终端的定位方式和第二映射关系从该第二密钥集合中确定该第一密钥。或者AMF根据第一终端所属的跟踪区和第二映射关系从第一密钥集合中确定出包括一个或多个密钥的第二密钥集合，再根据第一终端的定位方式和第一映射关系，从第二密钥集合中确定出第一密钥。

需要说明的是，同一个密钥可以对应一个或多种定位方式，同一个密钥也可以对应一个或多个跟踪区。

应理解，上述的映射关系可以是通过表格实现，此外，上述第一映射关系、第二映射关系可以在不同的表格(例如，第一映射关系和第二映射关系分别为包括两列的表格)，也可以在同一个表格中(例如，第一映射关系和第二映射关系在同一个包括三列的表格)，本申请对此不进行限定。

可选地，该第一消息还可以包括LMF支持的多个定位方式，AMF可以从该多个定位方式中选择一个作为第一终端的定位方式。

可选地，在AMF能够获知终端的定位能力信息和LMF支持的定位方式的情况下，AMF可以结合第一终端支持的定位方式和LMF支持的定位方式确定该第一终端的定位方式。

可选地，AMF获取的第一终端的定位能力信息和跟踪区标识可以携带在第二消息中，该第二消息可以用于请求接入AMF，相应地，第一密钥可以携带在该第二消息的响应消息中。这样不需要第一终端专门发送该定位能力信息和该跟踪区标识，AMF也不需要专门发送该第一密钥，通过携带在第二消息和第二消息的响应消息中，节省了信令开销。此外，本申请实施例中，密钥的分发也可以是由该第二消息触发，即本申请实施例提供了一种能够触发密钥分发的方式。

应理解，该第二消息可以是“附着请求”。

可选地，步骤401还可以是AMF接收第三消息，该第三消息可以用于请求更新跟踪区，该第三消息包括跟踪区标识，相应地，该第一密钥携带在该第三消息的响应消息中。这样不需要第一终端专门发送该第三消息，AMF也不需要专门发送该第一密钥，通过携带在第三消息和第三消息的响应消息中，节省了信令开销。此外，本申请实施例提供了另一种能够触发密钥分发的方式。

应理解，该第三消息可以是“TAU请求”。

需要说明的是，在5G中，attach请求和TAU请求可以是通过一条消息携带，例如，注册请求(registration request)，初始注册(initial registration)请求对应attach请求，移动注册更新(mobility registration update)请求对应TAU请求。或者，该registration request可以同时具有attach请求和TAU请求的功能，本申请对此不进行限定。此外，该注册请求还可以携带注册类型信元。

可选地，该AMF还可以向第一终端发送有效期限、指示信息中的一项或多项，该有效期限用于指示该第一终端能够使用该第一密钥的时长阈值或能够使用该第一密钥的次数阈值，该指示信息用于指示该AMF是否支持辅助信息。

具体地，该指示信息可以用于指示AMF是否支持辅助信息，若该AMF不支持辅助信息，则后续AMF也不会通过接入网设备向第一终端发送辅助信息。

具体的，该AMF可以通过一个消息发送有效期限、指示信息中的一项或多项(即该消息可以包括有效期限、指示信息中的一项或多项)。应理解，该消息可以与第二消息的响应消息为同一个消息，也就是说，有效期限、指示信息中的一项或多项可以携带在该第二消息的响应消息中。或者与第三消息的响应消息为同一个消息，本申请对此不进行限定。

可选地，该AMF在向第一终端发送第一密钥之前，该AMF还可以从UDM中获取辅助信息设置，该辅助信息设置用于指示第一终端是否签约了辅助信息，若第一终端签约了辅助信息，则AMF向第一终端发送第一密钥，若第一终端没有签约辅助信息，则AMF不向第一终端发送第一密钥，这样本申请实施例能够为以后的商业应用创造条件，例如，可以实现高精度的定位收费。

可选地，AMF可以向UDM发送定位设置请求，该定位设置请求可以用于请求第一终端的辅助信息设置，UDM向AMF反馈定位设置请求的响应消息，该定位设置请求的响应消息包括该辅助信息设置。可选地，该定位设置请求可以包括该第一终端的标识。

403，AMF向该第一终端发送第一密钥。相应地，第一终端接收该AMF发送的第一密钥。

具体地，AMF通过接入网设备将该第一密钥发送给第一终端，进而第一终端可以根据该第一密钥解密辅助信息，提高了辅助信息的安全性能。

应理解，AMF确定第一终端在当前所属的跟踪区的第一密钥，则可以通过该第一终端当前所属的跟踪区中的接入网设备发送该第一密钥。

可选地，AMF可以通过接入网设备向终端发送辅助信息。

需要说明的是，AMF可以向管理的所有接入网设备发送该第一终端的辅助信息。

可选地，AMF从LMF接收第四消息，该第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系，该至少一个区域列表中的每个区域列表对应该AMF管理的多个接入网设备中的部分接入网设备，AMF根据该第三映射关系可以确定出该至少一个区域列表中的第一区域列表对应的第一辅助信息，进而通过该第一区域列表对应的接入网设备发送该第一辅助信息。

具体地，LMF向AMF发送第四消息，该第四消息包括至少一个区域列表和至少一个辅助信息，且该至少一个区域列表和至少一个辅助信息具有映射关系(即第三映射关系)，这样AMF可以根据该第三映射关系，确定出任意一个区域列表(例如，第一区域列表)对应的辅助信息，这样AMF可以通过第一区域列表对应的接入网设备向接入网设备覆盖的终端广播第一辅助信息，也就是说，AMF发送不同的辅助信息可以通过不同的区域列表对应的接入网设备，相对于传统方案中AMF通过覆盖的所有接入网设备发送辅助信息，节省了信令开销。此外，本申请实施例能够减少不相关辅助信息对第一终端的辅助信息的干扰，提高了辅助信息传输效率。

需要说明的是，区域列表包括能够用于终端和该AMF进行通信的一个或多个接入网设备所属的跟踪区。例如，以接入网设备为gNB为例进行说明，gNB1、gNB2和gNB3能够用于终端和该AMF进行通信，该gNB1属于TA1，gNB2和gNB3属于TA2，则该区域列表包括TA1和TA2。

应理解，区域列表包括的跟踪区对应的接入网设备为能够用于终端和AMF进行通信的接入网设备。

可选地，该第四消息还包括多个定位方式和至少一个辅助信息的第四映射关系，AMF可以根据该第四映射关系确定该至少一个定位方式中的第一定位方式对应的至少一个辅助信息，并从该第一定位方式对应的至少一个辅助信息中确定该第一辅助信息。

具体地，该第四消息还可以包括多个定位方式和至少一个辅助信息，且该至少一个定位方式和至少一个辅助信息具有映射关系。在一个定位方式对应多个辅助信息，或者一个区域列表对应多个辅助信息的情况下，AMF还可以根据第一定位方式对应的至少一个辅助信息中结合第一区域列表框对应的辅助信息确定出第一辅助信息，从而更进一步准确的广播辅助信息。

应理解，该第一辅助信息为加密后的辅助信息。

还应理解，该第四消息可以是“定位消息”。

可选地，LMF生成该至少一个辅助信息，并向AMF发送第四消息。

具体地，LMF采用密钥对辅助信息加密，并通过第四消息发送该AMF，AMF根据第一映射关系和第二映射关系确定出不同区域列表和/或不同终端的定位方式的辅助信息(例如，第一辅助信息)采用的(第一密钥)，并将该第一密钥发送给已经签约了该第一辅助信息的终端(例如第一终端)，这样第一终端在接收到接入网设备广播的多个辅助信息后，采用该第一密钥能够解析该第一辅助信息，提高了辅助信息的安全性能。

可选地，LMF生成第一辅助信息具体可以是LMF根据LMF支持的至少一个辅助信息中的第二辅助信息和第三映射关系，确定该第二辅助信息对应的第一区域列表，并根据区域列表和密钥的对应关系确定出该第一区域列表对应的第一密钥，进而通过该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。也就是说，LMF根据发送的第一消息中携带的映射关系为不同区域列表对应的辅助信息分配密钥，相应地，AMF也根据该第一消息中的映射关系确定不同区域列表对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

可选地，LMF生成第一辅助信息具体还以是LMF根据LMF支持的至少一个辅助信息中的第二辅助信息和第四映射关系确定该第二辅助信息对应的第一定位方式，根据第一区域列表和第一定位方式确定出第一密钥，进而根据该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。也就是说，LMF根据发送的第一消息中携带的映射关系为根据区域列表和定位方式为对应的辅助信息分配密钥，相应地，AMF也根据该第一消息中的映射关系确定不同区域列表和定位方式对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

可选地，AMF可以在获知第一密钥失效的情况下，获取第二密钥，即将第一密钥更新为第二密钥，并向第一终端发送该第二密钥，这样AMF可以采用第二密钥对辅助信息进行加密，第一终端可以采用第二密钥对辅助信息进行解密，即及时的更新密钥，更进一步提高辅助信息的安全性能。

具体地，第一密钥失效可以是AMF确定的。或者该第一密钥也可以是第一终端确定的，还可以是LMF确定的，进而告知该AMF。

应理解，本申请实施例中AMF为第一终端确定第二密钥的方式可以与确定第一密钥的方式相同，为避免赘述，在此不进行重复。

可选地，第一终端可以根据第一密钥的有效期限检测第一密钥是否过期，其中，第一终端具体可以检测使用第一密钥的时长是否超过时长阈值，在使用第一密钥的时长超过时长阈值的情况下确定该第一密钥过期，否则第一密钥没有过期；或第一终端可以检测使用第一密钥的次数是否超过次数阈值，若使用第一密钥的次数超过次数阈值，则第一密钥过期，否则第一密钥过期。

可选地，第一终端还可以接收第五消息，该第五消息用于请求第一终端的位置信息，第一终端可以根据该第五消息启动检测第一密钥是否过期。即该第五消息用于触发该第一终端检测第一密钥是否过期。

应理解，该第五密钥可以是“定位服务请求”，还可以是网络侧的其他“服务请求”，本申请对此不进行限定。

在一个实施例中，第一终端在检测到第一密钥过期的情况下，通过接入网设备向AMF发送第六消息，该第六消息可以用于请求更新密钥。相应地，AMF接收该第六消息，并根据该第六消息，将第二密钥发送该第一终端。即第六消息可以用于触发该AMF发送该第二密钥。相应地，该第二密钥可以携带在该第六消息的响应消息中。

应理解，该第六消息可以是“密钥更新请求”，第六消息的响应消息可以是“密钥更新请求的响应消息”。

应理解，若第一终端直接向AMF发送密钥更新请求，则该密钥更新请求可以是NAS消息。若第一终端通过接入网设备向AMF发送密钥更新请求，则在第一终端向接入网设备发送密钥更新请求时，该密钥更新请求可以是RRC连接重配消息，在接入网设备向AMF发送该密钥更新请求时，该密钥更新请求可以是N2消息。

在另一个实施例中，AMF可以接收第五消息，该第五消息可以用于请求第一终端的位置信息，AMF根据该第五消息，向第一终端发送该第二密钥，例如，该第五消息用于触发该第一终端发送该第二密钥。

需要说明的是，该第五消息可以是“定位服务请求”，其中，该定位服务请求可以用于请求用户永久标识(subscription permanent identifier，SUPI)、客户类型、需求的Qos等。

还需要说明的是，定位服务请求可以是网关移动定位中心(gateway mobilelocation center，GMLC)向AMF发送的。例如，外部客户端(external client)向GMLC发起定位服务请求，该定位服务请求的请求内容包括Qos、客户类型等。GMLC向UDM请求第一终端的位置和隐私设置，UDM向GMLC反馈服务该第一终端的AMF的网络地址和隐私设置等，进而GMLC可以向该AMF发送定位服务请求。

应理解，AMF在接收到定位服务请求之后，在第一终端处于空闲态的状况下，向第一终端发送网络侧的定位服务请求进而建立和第一终端之间的信令交互。

可选地，AMF可以向第一终端发送第七消息，该第七消息携带该第二密钥，第一终端接收到该第二密钥后向AMF反馈第七消息的响应消息，以指示该第一终端接收到该第二密钥，这样第一终端可以根据该第二密钥对该辅助信息进行解密，从而更进一步提高了辅助信息的安全性能。

应理解，该第七消息可以是“密钥更新请求”，该第七消息的响应消息可以是“密钥更新请求的响应消息”。

需要说明的是，AMF在确定和第一终端确定密钥更新完成之后，还可以选择LMF，并向选中的LMF请求第一终端当前的位置信息，LMF对第一终端的位置进行测量和计算，并将计算得到的第一终端的位置信息发送给AMF，AMF再向GMLC上报第一终端的位置信息，GMLC将第一终端的位置信息上报到外部客户端。其中，第一终端的位置信息可以包括定位服务(location service，LCS)相关标识、估计的位置、精度、定位方式中的至少一项。

可选地，该第七消息还可以携带该第二密钥的有效期限，该有效期限也可以是用于指示该第一终端能够使用该第二密钥的时长阈值或能够使用该第二密钥的次数阈值。

应理解，若第一终端直接向AMF发送密钥更新请求的响应消息，则该密钥更新请求的响应性消息可以是非接入层(non-access stratum，NAS)消息。若第一终端通过接入网设备向AMF发送密钥更新请求的响应消息，则在第一终端向接入网设备发送密钥更新请求的响应消息时，该密钥更新请求的响应性消息可以是无线资源控制(radio resourcecontrol，RRC)连接重配消息，在接入网设备向AMF发送该密钥更新请求的响应消息时，该密钥更新请求的响应消息可以是N2消息。

可选地，该密钥更新请求还可以携带该第二密钥的有效期限，该有效期限也可以是用于指示该第一终端能够使用该第二密钥的时长阈值或能够使用该第二密钥的次数阈值。

MME可以通过该MME能够管理的所有接入网设备广播发送辅助信息，这样造成了信令开销比较大，相应地，某一个终端(例如，第一终端)也会接收到不相关的辅助信息，即第一终端的辅助信息收到其他不相关辅助信息的干扰也比较大，因此，辅助信息的传输效率较低。

图5示出了本申请一个具体实施例的传输辅助信息的方法的示意性流程图。

501，LMF生成至少一个辅助信息。

在一个实施例中，LMF根据辅助信息和区域列表的映射关系(即第一映射关系)，确定LMF支持的至少一个辅助信息中的第二辅助信息对应的第一区域列表，并根据区域列表和密钥的对应关系确定出该第一区域列表对应的第一密钥，进而通过该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。也就是说，LMF根据发送的第一消息中携带的映射关系为不同区域列表对应的辅助信息分配密钥，相应地，AMF也根据该第一消息中的映射关系确定不同区域列表对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

在另一个实施例中，LMF根据辅助信息和定位方式的映射关系(即第二映射关系)，确定LMF支持的至少一个辅助信息中的第二辅助信息对应的第一定位方式，根据第一区域列表和第一定位方式确定出第一密钥，进而根据该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。也就是说，LMF根据发送的第一消息中携带的映射关系为根据区域列表和定位方式为对应的辅助信息分配密钥，相应地，AMF也根据该第一消息中的映射关系确定不同区域列表和定位方式对应的辅助信息的密钥，并将确定出的密钥发送给终端，使得终端能够解密该辅助信息，进一步提高了辅助信息的安全性能。

需要说明的是，本申请实施例中的“第一消息”与图4所述的实施例中的“第四消息”表示的含义相同，本申请实施例中的“第一映射关系”与图4所述的实施例中的“第三映射关系”相同，本申请实施例中的“第二映射关系”与图4所述的实施例中的“第四映射关系”相同，其他与图4所示的实施例中的相同术语表示的含义相同。

502，LMF向AMF发送第一消息，该第一消息包括至少一个区域列表和至少一个辅助信息的第一映射关系，所述至少一个区域列表中的每个区域列表对应所述AMF管理的多个接入网设备中的部分接入网设备。

应理解，该第一映射关系和该第二映射关系分别可以是一个表格，或者该第一映射关系和该第二映射关系在一个表格中。

503，AMF根据该第一映射关系，确定该至少一个区域列表中的第一区域列表对应的第一辅助信息。

504，AMF通过第一区域列表对应的接入网设备发送该第一辅助信息。

具体地，LMF采用密钥对辅助信息加密，并通过第一消息发送该AMF，AMF确定某一个辅助信息(例如，第一辅助信息)采用的第一密钥，并将该第一密钥发送给已经签约了该第一辅助信息的终端(例如第一终端)，这样第一终端在接收到接入网设备广播的多个辅助信息后，采用该第一密钥能够解析该第一辅助信息，提高了辅助信息的安全性能。

应理解，步骤504之后，AMF确定每个辅助信息采用的密钥，并将该密钥发送给对应的终端的步骤与图4所示的实施例的步骤相同，为避免重复，在此不进行赘述。

图6示出了本申请另一个具体实施例的保护辅助信息的方法的示意性流程图。

需要说明的是，本申请实施例中与图4所示的实施例中的相同术语表示的含义相同，本申请实施例对此不进行限定。

601，AMF从LMF中接收密钥消息，该密钥消息包括LMF支持的多个密钥，LMF支持的多个定位方式和该多个密钥对应的至少一个区域列表。

602，AMF存储该密钥消息。

603，第一终端在附着过程中，向接入网设备发起附着请求，该附着请求包括第一终端的定位能力信息和区域标识，该区域标识用于指示该第一终端所属的区域。

604，接入网设备向AMF发送该附着请求。

605，AMF向UDM发送定位设置请求。

606，AMF从UDM中获取定位设置响应，该定位设置响应包括辅助信息设置。

607，AMF根据第一终端的定位能力信息和LMF支持的定位方式，确定第一终端的第一密钥。

608，AMF向接入网设备发送附着请求的响应消息，该响应消息包括有效期限、指示信息和辅助信息中的至少一项，还包括第一密钥。

609，接入网设备向AMF发送该附着请求的响应消息。

因此，本申请实施例中，AMF根据LMF支持的定位方式和第一终端的定位能力信息确定出适合当前第一终端的第一密钥，并将该第一密钥发送该第一终端，使得第一终端根据该第一密钥解析辅助信息，从而提高了辅助信息的安全性能。此外，第一终端的能力信息和区域标识可以携带在附着请求中，第一密钥可以携带在附着请求的响应消息中，即不需要专门发送，从而节省了信令开销。

图7示出了本申请又一个具体实施例的保护辅助信息的方法的示意性流程图。

需要说明的是，本申请实施例中与图4所示的实施例中的相同术语表示的含义相同，本申请实施例对此不进行限定。

701，AMF从LMF中接收密钥消息，该密钥消息包括LMF支持的多个密钥，LMF支持的多个定位方式和该多个密钥对应的至少一个区域列表。

702，AMF存储该密钥消息。

703，第一终端在TAU过程中，向接入网设备发起TAU请求，该TAU请求包括第一终端的定位能力信息和区域标识，该区域标识用于指示该第一终端所属的区域。

704，接入网设备向AMF发送该TAU请求。

705，AMF向UDM发送定位设置请求。

706，AMF从UDM中获取定位设置响应，该定位设置响应包括辅助信息设置。

707，AMF根据第一终端的定位能力信息和LMF支持的定位方式，确定第一终端的第一密钥。

708，AMF向接入网设备发送TAU请求的响应消息，该响应消息包括有效期限、指示信息和辅助信息中的至少一项，还包括第一密钥。

709，接入网设备向AMF发送该TAU请求的响应消息。

因此，本申请实施例中，AMF根据LMF支持的定位方式和第一终端的定位能力信息确定出适合当前第一终端的第一密钥，并将该第一密钥发送该第一终端，使得第一终端根据该第一密钥解析辅助信息，从而提高了辅助信息的安全性能。此外，第一终端的能力信息和区域标识可以携带在TAU请求中，第一密钥可以携带在TAU请求的响应消息中，即不需要专门发送，从而节省了信令开销。

图8示出了本申请又一个具体实施例的保护辅助信息的方法的示意性流程图。

需要说明的是，本申请实施例中与图4所示的实施例中的相同术语表示的含义相同，本申请实施例对此不进行限定。

801，AMF可以接收第二密钥，并对第二密钥进行存储，以备后续需要时进行解析。

802，GMLC从外部客户端接收LCS请求。

803，GMLC向AMF发送LCS请求。

804，AMF向第一终端发送LCS请求。

应理解，该LCS请求还可以是其他服务请求，本申请对此不进行限定。

805，第一终端在接收到LCS请求之后，检测第一密钥是否过期。

可选地，第一终端具体可以检测使用第一密钥的时长是否超过时长阈值，在使用第一密钥的时长超过时长阈值的情况下确定该第一密钥过期，否则第一密钥没有过期；或第一终端可以检测使用第一密钥的次数是否超过次数阈值，若使用第一密钥的次数超过次数阈值，则第一密钥过期，否则第一密钥过期。

806，第一终端在检测到第一终端过期之后，向接入网设备发送密钥更新请求。

807，接入网设备向AMF发送密钥更新请求。

808，AMF在第一密钥失效时，获取第二密钥。

具体地，AMF可以提前获知在步骤805中第一终端检测到的第一密钥失效，并在接收到密钥更新请求的情况下，向第一终端发送第二密钥。

应理解，该步骤808可以在步骤805之后，且在步骤809之前，本申请对此不进行限定。

809，AMF向接入网设备发送第二密钥，该第二密钥可以携带在密钥更新请求的响应消息中。

810，接入网设备向第一终端发送该密钥更新请求的响应消息。

因此，第一终端在接收到LCS请求之后，进行检测第一密钥是否过期，在检测到第一密钥过期的情况下，通过接入网设备向AMF发送密钥更新请求，AMF在确定第一密钥失效的情况下获取第二密钥，并在接收到密钥更新请求的情况下向第一终端发送该第二密钥，这样第一终端能够在LCS请求的触发下，检测当前密钥是否合适，且通过密钥更新请求触发AMF向第一终端发送第二密钥，使得第一终端和AMF采用合适的密钥保护辅助信息，从而提高了辅助信息的安全性能。

图9示出了本申请又一个具体实施例的保护辅助信息的方法的示意性流程图。

需要说明的是，本申请实施例中与图4所示的实施例中的相同术语表示的含义相同，本申请实施例对此不进行限定。

901，AMF可以接收第二密钥，并对第二密钥进行存储，以备后续需要时进行解析。

902，GMLC从外部客户端接收LCS请求。

903，GMLC向AMF发送LCS请求。

904，AMF在确定第一密钥失效的情况下，解析第二密钥。

905，AMF向接入网设备发送密钥更新请求，该密钥更新请求包括第二密钥。

906，接入网设备向第一终端发送该密钥更新请求。

907，第一终端向AMF发送该密钥更新请求的响应消息。

908，AMF根据该响应消息，选择LMF。

909，AMF向LMF发送位置请求。

910，LMF计算第一终端的位置。

911，LMF向外部客户端发送第一终端的位置信息。

因此，AMF在确定第一密钥失效的情况下，获取第二密钥，并在接收到LCS请求之后，向第一终端发送第二密钥，这样AMF能够在LCS请求的触发下，向第一终端发送该第二密钥，使得第一终端和AMF采用合适的密钥保护辅助信息，从而提高了辅助信息的安全性能。

图10示出了本申请实施例的用于保护辅助信息的装置的示意性框图。

应理解，该装置1000可以对应于图4所示的实施例中的AMF，可以具有方法中的AMF的任意功能。该装置1000，包括收发模块1010和处理模块1020。

该收发模块1010，用于接收第一终端所属的跟踪区标识，该跟踪区标识用于指示第一终端所属的跟踪区；

该处理模块1020，用于根据该第一终端所属的跟踪区，确定为该第一终端分配的第一密钥，该第一密钥用于保护辅助信息；

该收发模块1010，还用于向该第一终端发送该第一密钥。

可选地，该收发模块1010，还用于获取该第一终端的定位方式；

该处理模块1020具体用于：

根据该第一终端的定位方式和该第一终端所属的跟踪区，确定该第一密钥。

可选地，该收发模块1010，还用于从位置管理功能网元LMF接收第一消息，该第一消息包括该LMF支持的多个密钥，以及该多个密钥中的每个密钥对应的定位方式和跟踪区；

该处理模块1020具体用于：

根据该第一终端的定位方式和该第一终端所属的跟踪区，从该LMF支持的多个密钥中确定该第一密钥。

可选地，该第一消息还包括该LMF支持的多个定位方式，该收发模块1010，还用于获取该第一终端的定位能力信息，该定位能力信息用于指示该第一终端支持的定位方式；

该收发模块1010具体用于：

根据该第一终端支持的定位方式和该LMF支持的多个定位方式，确定该第一终端的定位方式。

可选地，该定位能力信息和该跟踪区的标识携带在第二消息中，该第二消息用于请求接入该AMF，该收发模块1010具体用于：

向该第一终端发送该第二消息的响应消息，该第二消息的响应消息包括该第一密钥。

可选地，该收发模块1010具体用于：

接收第三消息，该第三消息用于请求更新跟踪区，该第三消息包括该跟踪区标识；

该收发模块1010具体用于：

向该第一终端发送该第三消息的响应消息，该第三消息的响应消息包括该第一密钥。

可选地，该收发模块1010，还用于向该第一终端发送有效期限、指示信息中的一项或者多项，该有效期限用于指示该第一终端能够使用该第一密钥的时长阈值或能够使用该第一密钥的次数阈值，该指示信息用于指示该AMF在该第一终端所属的跟踪区是否支持辅助信息。

可选地，在该AMF向该第一终端发送该第一密钥之前，该收发模块1010，还用于从统一数据管理网元UDM中获取该辅助信息设置，该辅助信息设置用于指示该第一终端是否签约辅助信息；

该处理模块1020，还用于在该辅助信息设置指示该第一终端签约辅助信息的情况下，确定向该第一终端发送该第一密钥。

可选地，该收发模块1010，还用于接收第四消息，该第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系；

该处理模块1010，还用于根据该第三映射关系，确定该至少一个区域列表中的第一区域列表对应的第一辅助信息；

该收发模块1010，还用于通过该第一区域列表对应的接入网设备发送该第一辅助信息。

可选地，该第四消息还包括至少一个定位方式和该至少一个辅助信息的第四映射关系，该处理模块1020，还用于根据该第四映射关系，确定该至少一个定位方式中的第一定位方式对应的至少一个辅助信息；

该处理模块1020具体用于：

根据该第三映射关系，从该第一定位方式对应的至少一个辅助信息中确定该第一辅助信息。

可选地，该收发模块1010，还用于当第一终端的第一密钥失效时，获取第二密钥；

该收发模块1010，还用于向该第一终端发送该第二密钥。

可选地，该第四消息还包括至少一个定位方式和该至少一个辅助信息的第四映射关系，该处理模块，还用于根据该第四映射关系，确定该至少一个定位方式中的第一定位方式对应的至少一个辅助信息；

该处理模块1020具体用于：

根据该第三映射关系，从该第一定位方式对应的至少一个辅助信息中确定该第一辅助信息。

可选地，该收发模块1010，还用于当第一终端的第一密钥失效时，获取第二密钥；

该收发模块1010，还用于向该第一终端发送该第二密钥。

可选地，该收发模块1010，还用于接收第五消息，该第五消息用于请求该第一终端的位置信息；

该收发模块1010具体用于：

根据该第五消息，向该第一终端发送该第二密钥。

可选地，该收发模块1010，还用于接收来自该第一终端的第六消息，该第六消息用于请求更新密钥；

该收发模块1010具体用于：

根据该第六消息，向该第一终端发送该第二密钥。

因此，本申请实施例的AMF，通过接收用于指示第一终端所属的跟踪区的跟踪区标识，进而根据第一终端所属的跟踪区为第一终端分配密钥(即第一密钥)，并将该第一密钥发送给第一终端，相对于传统方案中，移动性管理网元为终端统一分配密钥，本申请实施例能够为第一终端分配合适的密钥，并通过该密钥保护该第一终端的辅助信息，从而提高了辅助信息的安全性能。

图11示出了本申请实施例提供的用于保护辅助信息的装置1100的示意框图，该装置1100可以为图4所述的AMF。该装置可以采用如图11所示的硬件架构。该装置可以包括处理器1110和收发器1120，可选地，该装置还可以包括存储器1130，该处理器1110、收发器1120和存储器1130通过内部连接通路互相通信。图10中的处理模块1020所实现的相关功能可以由处理器1110来实现，收发模块1011所实现的相关功能可以由处理器1110控制收发器1120来实现。

可选地，该处理器1110可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，专用处理器，或一个或多个用于执行本申请实施例技术方案的集成电路。或者，处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对用于保护辅助信息的装置(如，基站、终端、或芯片等)进行控制，执行软件程序，处理软件程序的数据。

可选地，该处理器1110可以包括是一个或多个处理器，例如包括一个或多个中央处理单元(central processing unit，CPU)，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该收发器1120用于发送和接收数据和/或信号，以及接收数据和/或信号。该收发器可以包括发射器和接收器，发射器用于发送数据和/或信号，接收器用于接收数据和/或信号。

该存储器1130包括但不限于是随机存取存储器(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程存储器(erasable programmable readonly memory，EPROM)、只读光盘(compact disc read-only memory，CD-ROM)，该存储器1130用于存储相关指令及数据。

存储器1130用于存储AMF的程序代码和数据，可以为单独的器件或集成在处理器1110中。

具体地，所述处理器1110用于控制收发器与终端进行信息传输。具体可参见方法实施例中的描述，在此不再赘述。

可以理解的是，图11仅仅示出了用于保护辅助信息的装置的简化设计。在实际应用中，该装置还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器等，而所有可以实现本申请的AMF都在本申请的保护范围之内。

在一种可能的设计中，该装置1100可以是芯片，例如可以为可用于AMF中的通信芯片，用于实现AMF中处理器1110的相关功能。该芯片可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，网络处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。该芯片中，可选的可以包括一个或多个存储器，用于存储程序代码，当所述代码被执行时，使得处理器实现相应的功能。

在具体实现中，作为一种实施例，装置1100还可以包括输出设备和输入设备。输出设备和处理器1110通信，可以以多种方式来显示信息。例如，输出设备可以是液晶显示器(liquid crystal display，LCD)，发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备和处理器601通信，可以以多种方式接收用户的输入。例如，输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。

图12示出了本申请实施例的用于保护辅助信息的装置1200的示意性框图。

应理解，该装置1200可以对应于图4所示的实施例中的终端，可以具有方法中的终端的任意功能。该装置1200，包括收发模块1210。

该收发模块1210，用于向接入与移动性管理功能网元AMF发送跟踪区标识，该跟踪区标识用于指示第一终端所属的跟踪区；

该处理模块1210，还用于接收第一密钥，该第一密钥是由该AMF根据该第一终端所属的跟踪区确定的，且该第一密钥用于保护辅助信息。

可选地，该收发模块1210，还用于接收加密后的辅助信息；

处理模块1220，用于根据该第一密钥，解密该加密后的辅助信息。

可选地，该收发模块，还用于向该AMF发送定位能力信息，该定位能力信息用于指示该第一终端支持的定位方式。

可选地，该收发模块1210具体用于：

向该AMF发送第二消息，该第二消息包括定位能力信息，且该第二消息用于请求接入该AMF；

接收该第二消息的响应消息，该响应消息包括该第一密钥。

可选地，该收发模块1210具体用于：

向该AMF发送第三消息，该第三消息用于请求更新跟踪区，且该第三消息包括该跟踪区标识；

接收该第三消息的响应消息，该响应消息包括该第一密钥。

可选地，该收发模块1210，还用于从该AMF接收有效期限和指示信息中的一项或者多项，该有效期限用于指示该第一终端能够使用该第一密钥的时长阈值或能够使用该第一密钥的次数阈值，该指示信息用于指示该AMF在该第一终端所属的跟踪区是否支持辅助信息。

可选地，该处理模块1220具体用于：

根据该有效期限，确定该第一密钥是否失效；

该收发模块1210，还用于在确定该第一密钥失效的情况下，向该AMF发送第六消息，该第六消息用于请求更新密钥；

该收发模块1210，还用于接收该第六消息的响应消息，该第六消息的响应消息包括第二密钥；

该处理模块1220，还用于根据该第二密钥，解密该加密后的辅助信息。

可选地，该处理模块1220具体用于：

在确定该第一终端使用该第一密钥的时长大于该时长阈值的情况下，确定该第一密钥失效；或

在确定该第一终端使用该第一密钥的次数大于该次数阈值的情况下，确定该第一密钥失效。

可选地，该收发模块1210，还用于在确定该第一密钥失效的情况下，从该AMF接收第二密钥；

该处理模块1220，还用于根据该第二密钥，解密从该AMF接收到的辅助信息。

因此，本申请实施例的第一终端，向AMF发送用于指示该第一终端所属的跟踪区的跟踪区标识，该第一终端所属的跟踪区的跟踪区标识用于AMF确定用于保护辅助信息的第一密钥，该第一终端从该AMF获取该第一密钥，也就是说，本申请实施例能够为第一终端分配更加合适的密钥，并通过该第一密钥保护该第一终端的辅助信息，从而提高了辅助信息的安全性能。

图13示出了本申请实施例提供的用于保护辅助信息的装置1300，该装置1300可以为图4中所述的终端。该装置可以采用如图13所示的硬件架构。该装置可以包括处理器1310和收发器1320，可选地，该装置还可以包括存储器1330，该处理器1310、收发器1320和存储器1330通过内部连接通路互相通信。图13中的处理模块1320所实现的相关功能可以由处理器1310来实现，收发模块1310所实现的相关功能可以由处理器1310控制收发器1320来实现。

可选地，处理器1310可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，专用处理器，或一个或多个用于执行本申请实施例技术方案的集成电路。或者，处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对用于保护辅助信息的装置(如，基站、终端、或芯片等)进行控制，执行软件程序，处理软件程序的数据。

可选地，该处理器1310可以包括是一个或多个处理器，例如包括一个或多个中央处理单元(central processing unit，CPU)，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该收发器1320用于发送和接收数据和/或信号，以及接收数据和/或信号。该收发器可以包括发射器和接收器，发射器用于发送数据和/或信号，接收器用于接收数据和/或信号。

该存储器1330包括但不限于是随机存取存储器(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程存储器(erasable programmable readonly memory，EPROM)、只读光盘(compact disc read-only memory，CD-ROM)，该存储器1330用于存储相关指令及数据。

存储器1330用于存储终端的程序代码和数据，可以为单独的器件或集成在处理器1310中。

具体地，所述处理器1310用于控制收发器与终端进行信息传输。具体可参见方法实施例中的描述，在此不再赘述。

在具体实现中，作为一种实施例，装置1300还可以包括输出设备和输入设备。输出设备和处理器1310通信，可以以多种方式来显示信息。例如，输出设备可以是液晶显示器(liquid crystal display，LCD)，发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备和处理器601通信，可以以多种方式接收用户的输入。例如，输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。

可以理解的是，图13仅仅示出了用于保护辅助信息的装置的简化设计。在实际应用中，该装置还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器等，而所有可以实现本申请的终端都在本申请的保护范围之内。

在一种可能的设计中，该装置1300可以是芯片，例如可以为可用于终端中的通信芯片，用于实现终端中处理器1310的相关功能。该芯片可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，网络处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。该芯片中，可选的可以包括一个或多个存储器，用于存储程序代码，当所述代码被执行时，使得处理器实现相应的功能。

本申请实施例还提供一种装置，该装置可以是终端也可以是电路。该装置可以用于执行上述方法实施例中由终端所执行的动作。

图14示出了本申请实施例的用于保护辅助信息的装置1400的示意性框图。

应理解，该装置1400可以对应于图4所示的实施例中的LMF，可以具有方法中的LMF的任意功能。该装置1400，包括处理模块1410和收发模块1420。

该处理模块1410，用于确定第一消息，该第一消息包括LMF支持的多个密钥，以及该多个密钥分别对应的跟踪区；

该收发模块1420，用于向接入与移动性管理功能网元AMF发送该第一消息。

可选地，该第一消息还包括该多个密钥分别对应的定位方式。

可选地，该处理模块1410，还用于生成至少一个辅助信息；

该收发模块1410，还用于发送第四消息，该第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系。

可选地，该第四消息还包括多个定位方式和该至少一个辅助信息的第四映射关系。

可选地，该处理模块1420具体用于：

根据该至少一个辅助信息中的第二辅助信息和该第三映射关系，确定该第二辅助信息对应的第一区域列表；

根据该第一区域列表，确定该第一区域列表对应的第一密钥；

通过该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。

可选地，该处理模块1420具体用于：

根据该至少一个辅助信息中的第二辅助信息和该第三映射关系，确定该第二辅助信息对应的第一区域列表；

根据该第二辅助信息和该第四映射关系，确定该第二辅助信息对应的第一定位方式；

根据该第一区域列表和该第一定位方式，确定第一密钥；

通过该第一密钥对该第二辅助信息进行加密生成该第一辅助信息。

图15示出了本申请实施例提供的用于保护辅助信息的装置1500，该装置1500可以为图4中所述的终端。该装置可以采用如图15所示的硬件架构。该装置可以包括处理器1510和收发器1520，可选地，该装置还可以包括存储器1530，该处理器1510、收发器1520和存储器1530通过内部连接通路互相通信。图15中的处理模块1520所实现的相关功能可以由处理器1510来实现，收发模块1510所实现的相关功能可以由处理器1510控制收发器1520来实现。

可选地，处理器1510可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，专用处理器，或一个或多个用于执行本申请实施例技术方案的集成电路。或者，处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理，中央处理器可以用于对用于保护辅助信息的装置(如，基站、终端、或芯片等)进行控制，执行软件程序，处理软件程序的数据。

可选地，该处理器1510可以包括是一个或多个处理器，例如包括一个或多个中央处理单元(central processing unit，CPU)，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该收发器1520用于发送和接收数据和/或信号，以及接收数据和/或信号。该收发器可以包括发射器和接收器，发射器用于发送数据和/或信号，接收器用于接收数据和/或信号。

该存储器1530包括但不限于是随机存取存储器(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程存储器(erasable programmable readonly memory，EPROM)、只读光盘(compact disc read-only memory，CD-ROM)，该存储器1530用于存储相关指令及数据。

存储器1530用于存储终端的程序代码和数据，可以为单独的器件或集成在处理器1510中。

具体地，所述处理器1510用于控制收发器与终端进行信息传输。具体可参见方法实施例中的描述，在此不再赘述。

在具体实现中，作为一种实施例，装置1500还可以包括输出设备和输入设备。输出设备和处理器1510通信，可以以多种方式来显示信息。例如，输出设备可以是液晶显示器(liquid crystal display，LCD)，发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备和处理器601通信，可以以多种方式接收用户的输入。例如，输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。

可以理解的是，图15仅仅示出了用于保护辅助信息的装置的简化设计。在实际应用中，该装置还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器等，而所有可以实现本申请的终端都在本申请的保护范围之内。

在一种可能的设计中，该装置1500可以是芯片，例如可以为可用于终端中的通信芯片，用于实现终端中处理器1510的相关功能。该芯片可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，网络处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。该芯片中，可选的可以包括一个或多个存储器，用于存储程序代码，当所述代码被执行时，使得处理器实现相应的功能。

本申请实施例还提供一种装置，该装置可以是终端也可以是电路。该装置可以用于执行上述方法实施例中由终端所执行的动作。

可选地，本实施例中的装置为终端时，图16示出了一种简化的终端的结构示意图。便于理解和图示方便，图16中，终端以手机作为例子。如图16所示，终端包括处理器、存储器、射频电路、天线以及输入输出装置。处理器主要用于对通信协议以及通信数据进行处理，以及对终端进行控制，执行软件程序，处理软件程序的数据等。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置，例如触摸屏、显示屏，键盘等主要用于接收用户输入的数据以及对用户输出数据。需要说明的是，有些种类的终端可以不具有输入输出装置。

当需要发送数据时，处理器对待发送的数据进行基带处理后，输出基带信号至射频电路，射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端时，射频电路通过天线接收到射频信号，将射频信号转换为基带信号，并将基带信号输出至处理器，处理器将基带信号转换为数据并对该数据进行处理。为便于说明，图16中仅示出了一个存储器和处理器。在实际的终端产品中，可以存在一个或多个处理器和一个或多个存储器。存储器也可以称为存储介质或者存储设备等。存储器可以是独立于处理器设置，也可以是与处理器集成在一起，本申请实施例对此不做限制。

在本申请实施例中，可以将具有收发功能的天线和射频电路视为终端的收发单元，将具有处理功能的处理器视为终端的处理单元。如图16所示，终端包括收发单元1610和处理单元1620。收发单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将收发单元1610中用于实现接收功能的器件视为接收单元，将收发单元1610中用于实现发送功能的器件视为发送单元，即收发单元1610包括接收单元和发送单元。收发单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。

应理解，收发单元1610用于执行上述方法实施例中终端侧的发送操作和接收操作，处理单元1620用于执行上述方法实施例中终端上除了收发操作之外的其他操作。

例如，在一种实现方式中，处理单元1620用于执行图4中的步骤402和步骤403中的操作，和/或处理单元1620还用于执行本申请实施例中终端侧的其他处理步骤。收发单元1610，用于执行图4中的步骤401和/或步骤404中的收发操作，和/或收发单元1610还用于执行本申请实施例中终端侧的其他收发步骤。

当该用于保护辅助信息的装置为芯片时，该芯片包括收发单元和处理单元。其中，收发单元可以是输入输出电路、通信接口；处理单元为该芯片上集成的处理器或者微处理器或者集成电路。

可选地，该装置为终端时，还可以参照图17所示的设备。作为一个例子，该设备可以完成类似于图16中处理器1610的功能。在图17中，该设备包括处理器1701，发送数据处理器1703，接收数据处理器1705。上述实施例中的处理模块1220可以是图17中的该处理器1701，并完成相应的功能。上述实施例中的收发模块1210可以是图17中的发送数据处理器1703和接收数据处理器1705。虽然图17中示出了信道编码器、信道解码器，但是可以理解这些模块并不对本实施例构成限制性说明，仅是示意性的。

图18示出本实施例的另一种形式。处理装置1800中包括调制子系统、中央处理子系统、周边子系统等模块。本实施例中的通信设备可以作为其中的调制子系统。具体的，该调制子系统可以包括处理器1803，接口1804。其中处理器1803完成上述处理模块1220的功能，接口1804完成上述收发模块1210的功能。作为另一种变形，该调制子系统包括存储器1806、处理器1803及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现实施例一至五之一所述方法。需要注意的是，所述存储器1806可以是非易失性的，也可以是易失性的，其位置可以位于调制子系统内部，也可以位于处理装置1800中，只要该存储器1806可以连接到所述处理器1803即可。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者接入网设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (30)

1.一种用于保护辅助信息的方法，其特征在于，包括：

接入与移动性管理功能网元接收第一终端所属的跟踪区标识，所述跟踪区标识用于指示第一终端所属的跟踪区；

所述移动性管理功能网元根据所述第一终端所属的跟踪区，确定为所述第一终端分配的第一密钥，所述第一密钥用于保护辅助信息；

所述移动性管理功能网元向所述第一终端发送所述第一密钥。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述移动性管理功能网元获取所述第一终端的定位方式；

其中，所述移动性管理功能网元根据所述第一终端所属的跟踪区，确定为所述第一终端分配的第一密钥包括：

所述移动性管理功能网元根据所述第一终端的定位方式和所述第一终端所属的跟踪区，确定所述第一密钥。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述移动性管理功能网元从位置管理功能网元接收第一消息，所述第一消息包括所述位置管理功能网元支持的多个密钥，以及所述多个密钥中的每个密钥对应的定位方式和跟踪区；

其中，所述移动性管理功能网元根据所述第一终端的定位方式和所述第一终端所属的跟踪区，确定为所述第一终端分配的第一密钥包括：

所述移动性管理功能网元根据所述第一终端的定位方式和所述第一终端所属的跟踪区，从所述位置管理功能网元支持的多个密钥中确定所述第一密钥。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述方法还包括：

所述移动性管理功能网元向所述第一终端发送有效期限、指示信息中的一项或者多项，所述有效期限用于指示所述第一终端能够使用所述第一密钥的时长阈值或能够使用所述第一密钥的次数阈值，所述指示信息用于指示所述移动性管理功能网元在所述第一终端所属的跟踪区是否支持辅助信息。

5.根据权利要求1至4中任一项所述的方法，其特征在于，在所述移动性管理功能网元向所述第一终端发送所述第一密钥之前，所述方法还包括：

所述移动性管理功能网元从统一数据管理网元中获取辅助信息设置，所述辅助信息设置用于指示所述第一终端是否签约辅助信息；

所述移动性管理功能网元在所述辅助信息设置指示所述第一终端签约辅助信息的情况下，确定向所述第一终端发送所述第一密钥。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述方法还包括：

所述移动性管理功能网元接收来自位置管理功能网元的第四消息，所述第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系；

所述移动性管理功能网元根据所述第三映射关系，确定所述至少一个区域列表中的第一区域列表对应的第一辅助信息；

所述移动性管理功能网元通过所述第一区域列表对应的接入网设备发送所述第一辅助信息。

7.根据权利要求1至6中任一项所述的方法，其特征在于，所述方法还包括：

当第一终端的第一密钥失效时，所述移动性管理功能网元获取第二密钥；

所述移动性管理功能网元向所述第一终端发送所述第二密钥。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

所述移动性管理功能网元接收第五消息，所述第五消息用于请求所述第一终端的位置信息；

其中，所述移动性管理功能网元向所述第一终端发送所述第二密钥包括：

所述移动性管理功能网元根据所述第五消息，向所述第一终端发送所述第二密钥。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

所述移动性管理功能网元接收来自所述第一终端的第六消息，所述第六消息用于请求更新密钥；

其中，所述移动性管理功能网元向所述第一终端发送所述第二密钥包括：

所述移动性管理功能网元根据所述第六消息，向所述第一终端发送所述第二密钥。

10.一种用于保护辅助信息的方法，其特征在于，包括：

位置管理功能网元确定第一消息，所述第一消息包括所述位置管理功能网元支持的多个密钥，以及所述多个密钥分别对应的跟踪区；

所述位置管理功能网元向接入与移动性管理功能网元发送所述第一消息。

11.根据权利要求10所述的方法，其特征在于，所述方法还包括：

所述位置管理功能网元生成至少一个辅助信息；

所述位置管理功能网元发送第四消息，所述第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系。

12.一种用于保护定位辅助信息的方法，其特征在于，包括：

第一终端向接入与移动性管理功能网元发送跟踪区标识，所述跟踪区标识用于指示所述第一终端所属的跟踪区；

所述第一终端接收第一密钥，所述第一密钥是由所述移动性管理功能网元根据所述第一终端所属的跟踪区确定的，且所述第一密钥用于保护辅助信息。

13.根据权利要求12所述的方法，其特征在于，所述方法还包括：

所述第一终端接收加密后的辅助信息；

所述第一终端根据所述第一密钥，解密所述加密后的辅助信息。

14.一种传输辅助信息的方法，其特征在于，包括：

移动性管理功能网元获取第一消息，所述第一消息包括至少一个区域列表和至少一个辅助信息的第一映射关系；

所述移动性管理功能网元根据所述第一映射关系，确定所述至少一个区域列表中的第一区域列表对应的第一辅助信息；

所述移动性管理功能网元通过所述第一区域列表对应的接入网设备发送所述第一辅助信息。

15.一种传输辅助信息的方法，其特征在于，包括：

位置管理功能网元生成至少一个辅助信息；

所述位置管理功能网元发送第一消息，所述第一消息包括至少一个区域列表和至少一个辅助信息的第一映射关系，所述至少一个区域列表中的每个区域列表对应所述移动性管理功能网元管理的多个接入网设备中的部分接入网设备。

16.一种用于保护辅助信息的装置，其特征在于，包括：

收发模块，用于接收第一终端所属的跟踪区标识，所述跟踪区标识用于指示第一终端所属的跟踪区；

处理模块，用于根据所述第一终端所属的跟踪区，确定为所述第一终端分配的第一密钥，所述第一密钥用于保护辅助信息；

所述收发模块，还用于向所述第一终端发送所述第一密钥。

17.根据权利要求16所述的装置，其特征在于，所述收发模块，还用于获取所述第一终端的定位方式；

所述处理模块具体用于：

根据所述第一终端的定位方式和所述第一终端所属的跟踪区，确定所述第一密钥。

18.根据权利要求17所述的装置，其特征在于，所述收发模块，还用于从位置管理功能网元接收第一消息，所述第一消息包括所述位置管理功能网元支持的多个密钥，以及所述多个密钥中的每个密钥对应的定位方式和跟踪区；

所述处理模块具体用于：

根据所述第一终端的定位方式和所述第一终端所属的跟踪区，从所述位置管理功能网元支持的多个密钥中确定所述第一密钥。

19.根据权利要求16至18中任一项所述的装置，其特征在于，所述收发模块，还用于向所述第一终端发送有效期限、指示信息中的一项或者多项，所述有效期限用于指示所述第一终端能够使用所述第一密钥的时长阈值或能够使用所述第一密钥的次数阈值，所述指示信息用于指示所述移动性管理功能网元在所述第一终端所属的跟踪区是否支持辅助信息。

20.根据权利要求16至19中任一项所述的装置，其特征在于，在所述移动性管理功能网元向所述第一终端发送所述第一密钥之前，所述收发模块，还用于从统一数据管理网元中获取所述辅助信息设置，所述辅助信息设置用于指示所述第一终端是否签约辅助信息；

所述处理模块，还用于在所述辅助信息设置指示所述第一终端签约辅助信息的情况下，确定向所述第一终端发送所述第一密钥。

21.根据权利要求16至20中任一项所述的装置，其特征在于，所述收发模块，还用于接收第四消息，所述第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系；

所述处理模块，还用于根据所述第三映射关系，确定所述至少一个区域列表中的第一区域列表对应的第一辅助信息；

所述收发模块，还用于通过所述第一区域列表对应的接入网设备发送所述第一辅助信息。

22.根据权利要求16至21中任一项所述的装置，其特征在于，所述收发模块，还用于当第一终端的第一密钥失效时，获取第二密钥；

所述收发模块，还用于向所述第一终端发送所述第二密钥。

23.根据权利要求22所述的装置，其特征在于，所述收发模块，还用于接收第五消息，所述第五消息用于请求所述第一终端的位置信息；

所述收发模块具体用于：

根据所述第五消息，向所述第一终端发送所述第二密钥。

24.根据权利要求22所述的装置，其特征在于，所述收发模块，还用于接收来自所述第一终端的第六消息，所述第六消息用于请求更新密钥；

所述收发模块具体用于：

根据所述第六消息，向所述第一终端发送所述第二密钥。

25.一种用于保护辅助信息的装置，其特征在于，包括：

处理模块，用于确定第一消息，所述第一消息包括位置管理功能网元支持的多个密钥，以及所述多个密钥分别对应的跟踪区；

收发模块，用于向接入与移动性管理功能网元发送所述第一消息。

26.根据权利要求25所述的装置，其特征在于，所述处理模块，还用于生成至少一个辅助信息；

所述收发模块，还用于发送第四消息，所述第四消息包括至少一个区域列表和至少一个辅助信息的第三映射关系。

27.一种用于保护定位辅助信息的装置，其特征在于，包括：

收发模块，用于向接入与移动性管理功能网元发送跟踪区标识，所述跟踪区标识用于指示第一终端所属的跟踪区；

所述收发模块，还用于接收第一密钥，所述第一密钥是由所述移动性管理功能网元根据所述第一终端所属的跟踪区确定的，且所述第一密钥用于保护辅助信息。

28.根据权利要求27所述的装置，其特征在于，所述收发模块，还用于接收加密后的辅助信息；

处理模块，用于根据所述第一密钥，解密所述加密后的辅助信息。

29.一种传输辅助信息的装置，其特征在于，包括：

收发模块，用于获取第一消息，所述第一消息包括至少一个区域列表和至少一个辅助信息的第一映射关系；

处理模块，用于根据所述第一映射关系，确定所述至少一个区域列表中的第一区域列表对应的第一辅助信息；

所述收发模块，还用于通过所述第一区域列表对应的接入网设备发送所述第一辅助信息。

30.一种传输辅助信息的装置，其特征在于，包括：

处理模块，用于生成至少一个辅助信息；

收发模块，用于发送第一消息，所述第一消息包括至少一个区域列表和至少一个辅助信息的第一映射关系，所述至少一个区域列表中的每个区域列表对应接入与移动性管理功能网元管理的多个接入网设备中的部分接入网设备。

Images