RU2783597C2 - Method for key update and device - Google Patents

Method for key update and device Download PDF

Info

Publication number
RU2783597C2
RU2783597C2 RU2020126333A RU2020126333A RU2783597C2 RU 2783597 C2 RU2783597 C2 RU 2783597C2 RU 2020126333 A RU2020126333 A RU 2020126333A RU 2020126333 A RU2020126333 A RU 2020126333A RU 2783597 C2 RU2783597 C2 RU 2783597C2
Authority
RU
Russia
Prior art keywords
connection
key
network device
message
nas
Prior art date
Application number
RU2020126333A
Other languages
Russian (ru)
Other versions
RU2020126333A3 (en
RU2020126333A (en
Inventor
Хэ ЛИ
Цзин ЧЭНЬ
Original Assignee
Хуавей Текнолоджиз Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from CN201810016762.9A external-priority patent/CN110022206B/en
Application filed by Хуавей Текнолоджиз Ко., Лтд. filed Critical Хуавей Текнолоджиз Ко., Лтд.
Publication of RU2020126333A publication Critical patent/RU2020126333A/en
Publication of RU2020126333A3 publication Critical patent/RU2020126333A3/ru
Application granted granted Critical
Publication of RU2783597C2 publication Critical patent/RU2783597C2/en

Links

Images

Abstract

FIELD: communication.
SUBSTANCE: invention relates to key update means. A terminal device performs access to the main network device, using both the first access technology and the second access technology at the same time. The main network device performs repeated authentication on the terminal device via the first connection corresponding to the first access technology, and, if a start condition is met, the main network device updates the key for the second connection corresponding the second access technology.
EFFECT: provision of update of NAS key in a process, in which AMF node performs repeated authentication on a terminal device, using one access technology, which impacts on normal communication, which is performed between the terminal device and AMF node, using another access technology.
24 cl, 17 dwg

Description

Область техники, к которой относится изобретениеThe field of technology to which the invention belongs

Настоящее изобретение относится к области технологий связи и, в частности, к способу обновления ключа и устройству.The present invention relates to the field of communication technologies and, in particular, to a key renewal method and apparatus.

Уровень техникиState of the art

В системе 5-го поколения (5th generation, 5G) оконечное устройство может получить доступ к узлу функции управления доступом и мобильностью (access and mobility management function, AMF), одновременно используя как технологию доступа проекта партнерства 3-го поколения (3rd generation partnership project, 3GPP), так и технологию доступа non-3GPP (non-3GPP). Когда оконечное устройство обращается к AMF узлу, используя одновременно технологию доступа 3GPP и технологию доступа non-3GPP, AMF узел поддерживает машину состояния управления регистрацией (registration management, RM) и машину состояния управления соединением (connection management, CM) для технологии доступа 3GPP и технологии доступа non-3GPP, соответственно.In a 5 th generation (5G) system, an end device can access an access and mobility management function (AMF) node while simultaneously using the 3 rd generation partnership project access technology. partnership project, 3GPP) and non-3GPP access technology (non-3GPP). When an end device accesses an AMF node using both 3GPP access technology and non-3GPP access technology, the AMF node maintains a registration management (RM) state machine and a connection management (CM) state machine for 3GPP access technology and technology. non-3GPP access, respectively.

Машина состояния управления регистрацией соответствует RM состоянию (RM state), и RM состояние включает в себя RM состояние регистрации (RM-registration state) и RM состояние отмены регистрации (RM-deregistration state). Машина состояния управления соединением соответствует CM состоянию (CM state), и CM состояние включает в себя CM подключенное состояние (CM-connected state) и CM состояние ожидания (CM-idle state). После входа в подключенное состояние из состояния ожидания оконечное устройство может инициировать процедуру регистрации. После завершения процедуры регистрации оконечное устройство может переключиться из состояния отмены регистрации в состояние регистрации. В этом случае оконечное устройство имеет контекстную информацию безопасности, такую как ключ уровня без доступа (non-access stratum, NAS) и алгоритм безопасности. Когда оконечное устройство возвращается в состояние ожидания или состояние отмены регистрации, оконечное устройство все еще имеет NAS ключ и алгоритм безопасности.The registration management state machine corresponds to the RM state, and the RM state includes the RM registration state and the RM deregistration state. The connection control state machine corresponds to the CM state, and the CM state includes the CM connected state and the CM idle state. Upon entering the connected state from the idle state, the end device may initiate the registration procedure. Upon completion of the registration procedure, the terminal may switch from the unregistration state to the registration state. In this case, the end device has security context information such as a non-access stratum (NAS) key and a security algorithm. When the end device returns to the idle state or the deregistration state, the end device still has the NAS key and security algorithm.

Хотя AMF узел может отдельно поддерживать машину состояния для 3GPP технологии доступа и машину состояния для non-3GPP технологии доступа, оконечное устройство и AMF узел могут совместно использовать набор NAS ключей при обмене данными с использованием двух технологий доступа. Когда AMF узлу необходимо выполнить повторную аутентификацию на оконечном устройстве с использованием любой из технологий доступа, процесс повторной аутентификации включает в себя обновление NAS ключа. Однако, когда оконечное устройство и AMF узел обмениваются данными с помощью другой технологии доступа, оконечному устройству и AMF по-прежнему необходимо использовать общий NAS ключ, или оконечное устройство и AMF узел обмениваются данными с помощью общего NAS ключа. В этом случае обновление NAS ключа в процессе, в котором AMF узел выполняет повторную аутентификацию на оконечном устройстве с использованием одной технологии доступа, может повлиять на нормальную связь, которая выполняется между оконечным устройством и AMF узлом с использованием другой технологии доступа.Although the AMF node may separately support the state machine for 3GPP access technology and the state machine for non-3GPP access technology, the terminal device and the AMF node may share a set of NAS keys when exchanging data using two access technologies. When an AMF node needs to re-authenticate with an end device using any of the access technologies, the re-authentication process includes updating the NAS key. However, when the end device and the AMF node communicate using a different access technology, the end device and the AMF still need to use a common NAS key, or the end device and the AMF node communicate using a common NAS key. In this case, updating the NAS key in a process in which an AMF node re-authenticates an end device using one access technology may affect the normal communication that is performed between the end device and the AMF node using a different access technology.

Раскрытие сущности изобретенияDisclosure of the essence of the invention

Варианты осуществления настоящего раскрытия обеспечивают способ обновления ключа и устройство для решения технической задачи, заключающейся в том, что обновление NAS ключа в процессе, в котором AMF узел выполняет повторную аутентификацию на оконечном устройстве с использованием одной технологии доступа, влияет на обеспечение нормальной связи, которая выполняется между оконечным устройством и AMF узлом с использованием другой технологии доступа.Embodiments of the present disclosure provide a key renewal method and apparatus for solving the technical problem that a NAS key renewal in a process in which an AMF node performs re-authentication at a terminal device using a single access technology affects the normal communication that is performed between the end device and the AMF node using a different access technology.

Согласно первому аспекту вариант осуществления настоящего раскрытия обеспечивается способ обновления ключа, применяемый к системе связи. Система связи включает в себя оконечное устройство и основное сетевое устройство. Оконечное устройство обращается к основному сетевому устройству, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Способ включает в себя: выполнение основным сетевым устройством повторной аутентификации на оконечном устройстве через первое соединение, соответствующее первой технологии доступа; и, если условие запуска выполнено, обновление основным сетевым устройством ключа для второго соединения, соответствующего второй технологии доступа. Согласно этому способу, основное сетевое устройство может выполнять повторную аутентификацию на оконечном устройстве через первое соединение, и ключ для первого соединения может быть обновлен в процессе повторной аутентификации. Когда выполняется первое условие запуска, основное сетевое устройство может обновить ключ для второго соединения. Когда выполняется второе условие запуска, оконечное устройство может обновить ключ для второго соединения. Таким образом, когда оконечное устройство обращается к AMF узлу с использованием множества технологий доступа, повторная аутентификация может выполняться на оконечном устройстве через первое соединение при условии влияния на нормальную связь, которая выполняется между оконечным устройством и AMF узлом через второе соединение, и обновляются ключи двух соединений.According to a first aspect, an embodiment of the present disclosure provides a key renewal method applied to a communication system. The communication system includes a terminal device and a main network device. The target device accesses the underlying network device using both the first access technology and the second access technology simultaneously. The method includes: performing by the main network device re-authentication on the terminal device through the first connection corresponding to the first access technology; and, if the trigger condition is met, updating the key for the second connection corresponding to the second access technology by the host network device. According to this method, the main network device can re-authenticate with the terminal device through the first connection, and the key for the first connection can be updated during the re-authentication process. When the first trigger condition is met, the underlying network device can renew the key for the second connection. When the second trigger condition is met, the end device may renew the key for the second connection. Thus, when a terminal device accesses an AMF node using a plurality of access technologies, re-authentication can be performed at the terminal device through the first connection under the condition of affecting the normal communication that is performed between the terminal device and the AMF node through the second connection, and the keys of the two connections are updated .

В возможной реализации условие запуска представляет собой состояние второго соединения, и состояние второго соединения является состоянием подключения или состоянием ожидания.In an exemplary implementation, the trigger condition is the second connection state, and the second connection state is the connected state or the idle state.

Согласно способу, если определение, что повторная аутентификация должна быть выполнена на оконечном устройстве через первое соединение, основное сетевое устройство дополнительно должно определить состояние второго соединения, выполнить повторную аутентификацию на оконечном устройстве через первое соединение только тогда, когда второе соединение находится в состоянии ожидания, и обновить ключи для первого соединения и второго соединения. Поскольку второе соединение находится в состоянии ожидания, процесс обновления ключа не влияет на нормальное использование второго соединения оконечным устройством и основным сетевым устройством.According to the method, if it is determined that re-authentication should be performed at the terminal device via the first connection, the underlying network device must additionally determine the state of the second connection, perform re-authentication at the terminal device via the first connection only when the second connection is in an idle state, and update the keys for the first connection and the second connection. Since the second connection is in a pending state, the key renewal process does not affect the normal use of the second connection by the end device and the main network device.

В возможной реализации условием запуска является то, что второе соединение находится в состоянии ожидания; и, если основное сетевое устройство определяет выполнить повторную аутентификацию на оконечном устройстве через первое соединение, и второе соединение находится в подключенном состоянии, основное сетевое устройство передает первое сообщение на оконечное устройство через первое соединение, где первое сообщение используется для указания оконечному устройству приостановить использование первого соединения. Согласно этому способу, если оконечное устройство продолжает передавать NAS сообщение в основное сетевое устройство через первое соединение, NAS подсчет может циклически повторяться. В этом случае оконечное устройство вовремя уведомляется о приостановке использования первого соединения.In a possible implementation, the trigger condition is that the second connection is in a pending state; and, if the underlying network device determines to re-authenticate to the terminal device via the first connection and the second connection is in an online state, the underlying network device sends a first message to the terminal device via the first connection, where the first message is used to instruct the terminal device to suspend use of the first connection . According to this method, if the end device continues to send the NAS message to the main network device via the first connection, the NAS counting may be cycled. In this case, the end device is notified in time to suspend the use of the first connection.

В возможной реализации условием запуска является то, что второе соединение находится в состоянии ожидания; и основное сетевое устройство получает первый идентификатор ключа в процессе выполнения повторной аутентификации на оконечном устройстве через первое соединение, где первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения.In a possible implementation, the trigger condition is that the second connection is in a pending state; and the host network device obtains the first key ID in the process of re-authenticating the terminal device through the first connection, where the first key ID is used to identify the updated key for the first connection.

В возможной реализации, после выполнения повторной аутентификации на оконечном устройстве через первое соединение, соответствующее первой технологии доступа, основное сетевое устройство может передавать информацию инструкции в оконечное устройство через первое соединение, где информация инструкции используется для указания оконечному устройству обновить ключ, соответствующий второму подключению. Согласно этому способу, после обновления ключа, соответствующего второму соединению, основное сетевое устройство своевременно инструктирует оконечное устройство обновить ключ для второго соединения. Следовательно, можно гарантировать, что основное сетевое устройство и оконечное устройство выполняют защиту безопасности сообщения, используя один и тот же ключ при последующей передаче сообщения через второе соединение.In an exemplary implementation, after performing re-authentication at the terminal device via the first connection corresponding to the first access technology, the host network device may send instruction information to the terminal device via the first connection, where the instruction information is used to instruct the terminal device to update the key corresponding to the second connection. According to this method, after updating the key corresponding to the second connection, the main network device promptly instructs the terminal device to update the key for the second connection. Therefore, it can be ensured that the main network device and the terminal device perform message security protection using the same key when the message is subsequently transmitted via the second connection.

В качестве варианта, информация инструкции может быть первым идентификатором ключа. После приема первого идентификатора ключа оконечное устройство может обновить ключ для второго соединения до ключа, идентифицированного первым идентификатором ключа.Alternatively, the instruction information may be the first key identifier. Upon receiving the first key identifier, the terminal may update the key for the second connection to the key identified by the first key identifier.

В возможной реализации условием запуска является то, что второе соединение находится в подключенном состоянии; и способ обновления с помощью основного сетевого устройства, ключ для второго соединения, соответствующего второй технологии доступа: приостановка основным сетевым устройством с использованием второго соединения; и затем обновление основным сетевым устройством ключа для второго соединения. Согласно этому способу, основное сетевое устройство приостанавливает использование второго подключения, и затем обновляет ключ для второго подключения. Это позволяет избежать влияния процедуры обновления ключа на нормальный обмен данными, который выполняется основным сетевым устройством через второе соединение.In a possible implementation, the trigger condition is that the second connection is in the connected state; and an update method using the main network device, the key for the second connection corresponding to the second access technology: suspension by the main network device using the second connection; and then updating the key for the second connection by the main network device. According to this method, the main network device suspends the use of the second connection, and then renews the key for the second connection. This avoids the impact of the key renewal procedure on the normal communication that is performed by the main network device through the second connection.

В возможной реализации, в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство может получить первый идентификатор ключа и сохранить второй идентификатор ключа и ключ для второго соединения, которое используется перед обновлением, где первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения, и второй идентификатор ключа используется для идентификации ключа для второго соединения, которое используется перед обновлением.In a possible implementation, in a process in which the underlying network device re-authenticates the terminal device through the first connection, the underlying network device may obtain the first key identifier and store the second key identifier and the key for the second connection that is used before the update, where the first key identifier is used to identify the updated key for the first connection, and the second key identifier is used to identify the key for the second connection, which is used before the update.

В возможной реализации, после выполнения повторной аутентификации на оконечном устройстве через первое соединение, соответствующее первой технологии доступа, основное сетевое устройство может запустить таймер.In an exemplary implementation, after performing re-authentication at the terminal device through the first connection corresponding to the first access technology, the underlying network device may start a timer.

В возможной реализации условием запуска является:In a possible implementation, the trigger condition is:

основное сетевое устройство принимает, до истечения таймера, второе сообщение, которое передается оконечным устройством через второе соединение, и верификацию безопасности, которая выполняется основным сетевым устройством во втором сообщении с использованием ключа для второго подключения, которое используется до успешного обновления;the main network device receives, before the timer expires, the second message that is transmitted by the terminal device through the second connection, and the security verification that is performed by the main network device in the second message using the key for the second connection, which is used until the update is successful;

время таймера истекает, и основное сетевое устройство не принимает, до истечения таймера, второе сообщение, которое передается оконечным устройством через второе соединение;the timer expires and the host network device does not receive, until the timer expires, the second message that is transmitted by the terminal device through the second connection;

после истечения таймера основное сетевое устройство принимает второе сообщение, которое передается оконечным устройством через второе соединение и для которого защита безопасности не выполняется; илиafter the expiration of the timer, the main network device receives a second message, which is transmitted by the end device through the second connection, and for which security protection is not performed; or

после истечения таймера основное сетевое устройство принимает второе сообщение, которое передается оконечным устройством через второе соединение, и проверка безопасности, выполняемая основным сетевым устройством для второго сообщения с использованием обновленного ключа для второго соединения, завершается успешно.after the expiration of the timer, the main network device receives the second message that is transmitted by the end device through the second connection, and the security check performed by the main network device for the second message using the updated key for the second connection succeeds.

В возможной реализации основное сетевое устройство может передавать третье сообщение на оконечное устройство через первое соединение, где третье сообщение включает в себя первый идентификатор ключа, второй идентификатор ключа или информацию инструкции, и информация инструкции используется для указания оконечному устройству указания запустить таймер. Согласно этому способу, когда основное сетевое устройство определяет, что повторная аутентификация должна быть выполнена через первое соединение, если второе соединение находится в подключенном состоянии, основное сетевое устройство может напрямую выполнить повторную аутентификацию на оконечном устройстве через первое соединение; в процессе повторной аутентификации может быть сохранен ключ для второго соединения, который использовался перед обновлением. Таким образом, даже, если основное сетевое устройство обновляет ключ для первого соединения, выполняя повторную аутентификацию на оконечном устройстве через первое соединение, когда основное сетевое устройство и оконечное устройство связываются друг с другом через второе соединение, ключ для второго соединения, которое использовалось до обновления, все еще может использоваться, и это не влияет на нормальную связь через второе соединение. Дополнительно, в этом способе первое соединение и второе соединение разъединены. При выполнении аутентификации на оконечном устройстве через первое соединение основному сетевому устройству не нужно определять состояние второго соединения. После истечения таймера и основное сетевое устройство, и оконечное устройство могут активно обновлять ключ для второго соединения, тем самым, уменьшая накладные расходы на сигнализацию взаимодействия между основным сетевым устройством и оконечным устройством и упрощая реализацию.In an exemplary implementation, the underlying network device may transmit a third message to the terminal device over the first connection, where the third message includes a first key identifier, a second key identifier, or instruction information, and the instruction information is used to instruct the terminal device to start a timer. According to this method, when the main network device determines that re-authentication should be performed through the first connection, if the second connection is in the connected state, the main network device can directly perform re-authentication to the terminal device through the first connection; during the re-authentication process, the key for the second connection that was used before the update can be stored. Thus, even if the main network device updates the key for the first connection by re-authenticating the terminal device through the first connection, when the main network device and the end device communicate with each other through the second connection, the key for the second connection that was used before the update, can still be used and it does not affect normal communication through the second connection. Additionally, in this method, the first connection and the second connection are disconnected. When performing authentication at the end device through the first connection, the underlying network device does not need to determine the state of the second connection. After the expiration of the timer, both the main network device and the terminal device can actively update the key for the second connection, thereby reducing the overhead of signaling the interaction between the main network device and the terminal device and simplifying the implementation.

В возможной реализации после того, как основное сетевое устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа, основное сетевое устройство может удалить ключ для второго соединения, которое используется перед обновлением, и второй идентификатор ключа.In an exemplary implementation, after the host network device renews the key for the second connection corresponding to the second access technology, the host network device may delete the key for the second connection that is in use before the update and the second key identifier.

В возможной реализации, если второе соединение находится в подключенном состоянии, после того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа, основное сетевое устройство может установить первую метку, где первая метка используется для обозначения, что основное сетевое устройство повторно аутентифицировало оконечное устройство через первое соединение, или используется для указания обновить ключ для второго соединения.In an exemplary implementation, if the second connection is in the connected state, after the primary network device re-authenticates the terminal device through the first connection corresponding to the first access technology, the primary network device may set a first label, where the first label is used to indicate that the host network device has re-authenticated the target device through the first connection, or is used to indicate a key update for the second connection.

В возможной реализации условием запуска является то, что второе соединение переключается в состояние ожидания, и основное сетевое устройство определяет, что существует первая метка.In an exemplary implementation, the trigger condition is that the second connection switches to idle state and the underlying network device determines that the first label exists.

В возможной реализации условием запуска является то, что основное сетевое устройство определяет, что первая метка существует; и способ обновления с помощью основного сетевого устройства ключа для второго соединения, соответствующего второй технологии доступа, включает в себя: если второе соединение находится в состоянии соединения, приостановку основным сетевым устройством с использованием второго соединения; и затем обновление основным сетевым устройством ключа для второго соединения.In a possible implementation, the trigger condition is that the underlying network device determines that the first label exists; and a method for updating, by the main network device, a key for the second connection corresponding to the second access technology, including: if the second connection is in a connected state, suspending by the main network device using the second connection; and then updating the key for the second connection by the main network device.

В возможной реализации, после того, как основное сетевое устройство обновляет ключ для второго подключения, соответствующий второй технологии доступа, основное сетевое устройство может получить третий идентификатор ключа, где третий идентификатор ключа используется для идентификации обновленного ключа для первого подключения и обновленный ключ для второго подключения; и затем основное сетевое устройство передает третий идентификатор ключа в оконечное устройство.In an exemplary implementation, after the host network device updates the key for the second connection corresponding to the second access technology, the host network device can obtain a third key identifier, where the third key identifier is used to identify the updated key for the first connection and the updated key for the second connection; and then the main network device transmits the third key ID to the terminal device.

В возможной реализации, после выполнения повторной аутентификации на оконечном устройстве через первое соединение, соответствующее первой технологии доступа, основное сетевое устройство передает информацию инструкции на оконечное устройство, где информация инструкции используется для указания оконечному устройству обновить ключ для второго подключения.In an exemplary implementation, after performing re-authentication at the terminal device through the first connection corresponding to the first access technology, the underlying network device sends instruction information to the terminal device, where the instruction information is used to instruct the terminal device to renew the key for the second connection.

В возможной реализации условием запуска является то, что основное сетевое устройство определяет, что существует вторая метка, и второе соединение находится в состоянии ожидания; и после того, как основное сетевое устройство выполнит повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство может установить вторую метку, где вторая метка используется для указания обновить ключ для второго соединения.In a possible implementation, the trigger condition is that the underlying network device determines that a second label exists and the second connection is idle; and after the primary network device re-authenticates the terminal device through the first connection, the primary network device may set a second label, where the second label is used to indicate a key update for the second connection.

Согласно второму аспекту вариант осуществления настоящего раскрытия обеспечивает способ обновления ключа, применяемый к системе связи. Система связи включает в себя оконечное устройство и основное сетевое устройство. Оконечное устройство обращается к основному сетевому устройству, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Способ включает в себя: выполнение оконечным устройством повторной аутентификации через первое соединение, соответствующее первой технологии доступа; и, если условие запуска выполнено, обновление оконечным устройством ключа для второго соединения, соответствующего второй технологии доступа. Согласно этому способу, оконечное устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа, только когда выполняется условие запуска, так что повторная аутентификация может быть выполнена на оконечном устройстве через первое соединение при условии отсутствия влияния на нормальную связь, которая выполняется между оконечным устройством и AMF узлом через второе соединение.According to a second aspect, an embodiment of the present disclosure provides a key renewal method applied to a communication system. The communication system includes a terminal device and a main network device. The target device accesses the underlying network device using both the first access technology and the second access technology simultaneously. The method includes: performing re-authentication by the terminal device through the first connection corresponding to the first access technology; and, if the trigger condition is met, updating the key for the second connection corresponding to the second access technology by the terminal device. According to this method, the terminal only renews the key for the second connection corresponding to the second access technology when the trigger condition is met, so that re-authentication can be performed at the terminal through the first connection, provided that the normal communication that takes place between the terminal and the terminal is not affected. AMF node through the second connection.

В возможной реализации условием запуска является то, что состояние второго соединения является состоянием ожидания.In an exemplary implementation, the trigger condition is that the state of the second connection is an idle state.

В возможной реализации выполнение оконечным устройством повторной аутентификации через первое соединение, соответствующее первой технологии доступа, включает в себя: в процессе выполнения повторной аутентификации через первое соединение, сохранение оконечным устройством идентификатора ключа и ключ для второго соединения, которое используется перед обновлением, где идентификатор ключа используется для определения ключа для второго соединения, которое используется перед обновлением.In an exemplary implementation, performing a re-authentication by the end device over a first connection corresponding to a first access technology includes: in the process of re-authenticating over the first connection, storing by the end device a key identifier and a key for a second connection that is used before updating where the key identifier is used to determine the key for the second connection, which is used before the update.

В возможной реализации условием запуска является истечение таймера; и после выполнения повторной аутентификации через первое соединение, соответствующее первой технологии доступа, оконечное устройство может запустить таймер.In a possible implementation, the trigger condition is a timer expiration; and after performing re-authentication through the first connection corresponding to the first access technology, the terminal may start a timer.

В возможной реализации, после запуска оконечным устройством таймера, способ дополнительно включает в себя: до истечения таймера отправку оконечным устройством сообщения основному сетевому устройству через второе соединение, где защита безопасности выполняется для сообщения с помощью ключа для второго соединения, которое используется перед обновлением; после истечения таймера, отправку оконечным устройством сообщения в основное сетевое устройство через второе соединение, при этом защита сообщения не выполняется; или после истечения таймера отправку оконечным устройством сообщения основному сетевому устройству через второе соединение, где для сообщения выполняется защита безопасности с использованием обновленного ключа для второго соединения.In an exemplary implementation, after the terminal device starts the timer, the method further includes: before the timer expires, the terminal device sends a message to the underlying network device via the second connection, where security is performed on the keyed message for the second connection that is used before the update; after the expiration of the timer, sending the message to the main network device via the second connection by the end device, while the message is not protected; or after the timer has expired, the end device sending the message to the underlying network device via the second connection, where the message is secured using the updated key for the second connection.

В возможной реализации, после обновления оконечным устройством ключа для второго соединения, соответствующего второй технологии доступа, способ дополнительно включает в себя: удаление оконечным устройством ключа для второго соединения, которое использовалось до обновления и идентификатор ключа.In an exemplary implementation, after the terminal device updates the key for the second connection corresponding to the second access technology, the method further includes: deleting by the terminal device the key for the second connection that was in use prior to the update and the key identifier.

Согласно третьему аспекту вариант осуществления настоящего раскрытия обеспечивает устройство, и устройство имеет функцию реализации действий основного сетевого устройства в вышеупомянутой реализации способа. Функция может быть реализована аппаратным обеспечением или может быть реализована аппаратным обеспечением путем выполнения соответствующего программного обеспечения. Аппаратное или программное обеспечение включает в себя один или несколько модулей, соответствующих вышеуказанной функции. Например, устройство может быть основным сетевым устройством или может быть микросхемой в основном сетевым устройстве.According to a third aspect, an embodiment of the present disclosure provides a device, and the device has a function of realizing the actions of the main network device in the above implementation of the method. The function may be implemented in hardware, or may be implemented in hardware by executing appropriate software. The hardware or software includes one or more modules corresponding to the above function. For example, the device may be a core network device or may be a chip in a core network device.

В возможной реализации устройство является основным сетевым устройством, и основное сетевое устройство включает в себя процессор. Процессор выполнен с возможностью поддерживать основное сетевое устройство при выполнении соответствующей функции в вышеупомянутом способе. Кроме того, основное сетевое устройство может дополнительно включать в себя передатчик и приемник, при этом передатчик и приемник выполнены с возможностью поддерживать связь между основным сетевым устройством и оконечным устройством. Кроме того, основное сетевое устройство может дополнительно включать в себя память, и эта память выполнена с возможностью быть подключенной к процессору и хранить программные инструкции и данные, необходимые для оконечного устройства.In an exemplary implementation, the device is a primary network device, and the primary network device includes a processor. The processor is configured to support the main network device while performing the corresponding function in the above method. In addition, the host network device may further include a transmitter and a receiver, wherein the transmitter and receiver are configured to communicate between the host network device and the terminal device. In addition, the main network device may further include a memory, and this memory is configured to be connected to the processor and store program instructions and data necessary for the terminal device.

Согласно четвертому аспекту вариант осуществления настоящего раскрытия обеспечивает устройство, и устройство имеет функцию реализации действий оконечного устройства в вышеупомянутой реализации способа. Функция может быть реализована аппаратным обеспечением или может быть реализована аппаратным обеспечением путем выполнения соответствующего программного обеспечения. Аппаратное или программное обеспечение включает в себя один или несколько модулей, соответствующих вышеуказанной функции. Например, устройство может быть оконечным устройством или может быть микросхемой в оконечном устройстве.According to a fourth aspect, an embodiment of the present disclosure provides a device, and the device has a function of realizing the actions of a terminal device in the above implementation of the method. The function may be implemented in hardware, or may be implemented in hardware by executing appropriate software. The hardware or software includes one or more modules corresponding to the above function. For example, the device may be a terminal device, or may be a chip in a terminal device.

В возможной реализации устройство представляет собой оконечное устройство, и оконечное устройство включает в себя процессор. Процессор выполнен с возможностью поддерживать оконечное устройство в выполнении соответствующей функции в вышеупомянутом способе. Кроме того, оконечное устройство может дополнительно включать в себя передатчик и приемник, при этом передатчик и приемник выполнены с возможностью поддерживать связь между оконечным устройством и основным сетевым устройством. Кроме того, оконечное устройство может дополнительно включать в себя память, и память выполнена с возможностью подключаться к процессору и хранения программных инструкций и данных, необходимых для оконечного устройства.In an exemplary implementation, the device is a terminal device, and the terminal device includes a processor. The processor is configured to support the terminal device in performing the corresponding function in the above method. In addition, the terminal device may further include a transmitter and a receiver, wherein the transmitter and receiver are configured to communicate between the terminal device and the underlying network device. In addition, the terminal device may further include a memory, and the memory is configured to be connected to the processor and store program instructions and data necessary for the terminal device.

Согласно пятому аспекту вариант осуществления настоящего раскрытия обеспечивает систему связи, в которой система включает в себя оконечное устройство и основное сетевое устройство, описанные в вышеупомянутых аспектах. В качестве варианта, система может дополнительно включать в себя базовую станцию, N3IWF узел и оконечное устройство, и основное сетевое устройство, описанные в вышеупомянутых аспектах.According to a fifth aspect, an embodiment of the present disclosure provides a communication system in which the system includes a terminal device and a host network device described in the above aspects. Alternatively, the system may further include a base station, an N3IWF node and a terminal device, and a main network device described in the above aspects.

Согласно шестому аспекту вариант осуществления настоящего раскрытия обеспечивает машиночитаемый носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую указанным выше основным сетевым устройством. Машиночитаемый носитель данных содержит программу, предназначенную для выполнения первого аспекта.According to a sixth aspect, an embodiment of the present disclosure provides a computer-readable storage medium configured to store a computer software instruction used by the above main network device. The computer-readable storage medium contains a program for performing the first aspect.

Согласно седьмому аспекту вариант осуществления настоящего раскрытия обеспечивает машиночитаемый носитель данных, выполненный с возможностью хранить инструкции компьютерного программного обеспечения, используемые вышеупомянутым оконечным устройством. Инструкции компьютерного программного обеспечения включают в себя программу, предназначенную для выполнения второго аспекта.According to a seventh aspect, an embodiment of the present disclosure provides a computer-readable storage medium configured to store computer software instructions used by the aforementioned terminal. The computer software instructions include a program for performing the second aspect.

Согласно восьмому аспекту вариант осуществления настоящего раскрытия обеспечивает машиночитаемый программный продукт, включающий в себя инструкции. Когда машиночитаемый программный продукт запущен на компьютере, компьютер получает возможность выполнять способ, описанный в первом аспекте.According to an eighth aspect, an embodiment of the present disclosure provides a computer-readable program product including instructions. When the computer-readable software product is running on the computer, the computer is enabled to perform the method described in the first aspect.

Согласно девятому аспекту вариант осуществления настоящего раскрытия обеспечивает машиночитаемый программный продукт, включающий в себя инструкции. Когда машиночитаемый программный продукт запускается на компьютере, компьютер получает возможность выполнять способ, описанный во втором аспекте.According to a ninth aspect, an embodiment of the present disclosure provides a computer-readable program product including instructions. When the computer-readable software product is run on the computer, the computer is enabled to perform the method described in the second aspect.

Согласно десятому аспекту вариант осуществления настоящего раскрытия обеспечивает систему микросхем, применяемую к основному сетевому устройству. Система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом линиями связи. По меньшей мере, одна память хранит инструкции. Инструкции выполняется процессором для выполнения операций основного сетевого устройства в способе, описанном в первом аспекте.According to a tenth aspect, an embodiment of the present disclosure provides a chip system applied to a mainstream network device. The chip system includes at least one processor, memory, and a transceiver circuit. The memory, the transceiver circuitry, and at least one processor are connected to each other by communication lines. At least one memory stores instructions. The instructions are executed by the processor to perform the operations of the main network device in the manner described in the first aspect.

Согласно одиннадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает систему микросхем, применяемую в оконечном устройстве. Система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом линиями связи. По меньшей мере, одна память хранит инструкции. Инструкции выполняются процессором для выполнения операций оконечного устройства в способе, описанном во втором аспекте.According to an eleventh aspect, an embodiment of the present disclosure provides a chip system applied in a terminal device. The chip system includes at least one processor, memory, and a transceiver circuit. The memory, the transceiver circuitry, and at least one processor are connected to each other by communication lines. At least one memory stores instructions. The instructions are executed by the processor to perform terminal operations in the manner described in the second aspect.

Согласно способу, обеспеченному в вариантах осуществления настоящего раскрытия, основное сетевое устройство может выполнять повторную аутентификацию на оконечном устройстве через первое соединение, и ключ для первого соединения может быть обновлен в процессе повторной аутентификации. Когда выполняется первое условие запуска, основное сетевое устройство может обновить ключ для второго соединения. Когда выполняется второе условие запуска, оконечное устройство может обновить ключ для второго соединения. Таким образом, когда оконечное устройство обращается к AMF узлу с использованием множества технологий доступа, повторная аутентификация может выполняться на оконечном устройстве через первое соединение при условии влияния на нормальную связь, которая выполняется между оконечным устройством и AMF узлом через второе соединение, и ключи двух соединений обновляются.According to the method provided in the embodiments of the present disclosure, the underlying network device may re-authenticate with the terminal device through the first connection, and the key for the first connection may be updated during the re-authentication process. When the first trigger condition is met, the underlying network device can renew the key for the second connection. When the second trigger condition is met, the end device may renew the key for the second connection. Thus, when a terminal device accesses an AMF node using a plurality of access technologies, re-authentication can be performed at the terminal device through the first connection under the condition of affecting the normal communication that is performed between the terminal device and the AMF node through the second connection, and the keys of the two connections are updated .

Краткое описание чертежейBrief description of the drawings

Фиг. 1 является схемой возможной сетевой архитектуры согласно варианту осуществления настоящего раскрытия;Fig. 1 is a diagram of a possible network architecture according to an embodiment of the present disclosure;

Фиг. 2 является схемой другой возможной сетевой архитектуры согласно варианту осуществления настоящего раскрытия;Fig. 2 is a diagram of another possible network architecture according to an embodiment of the present disclosure;

Фиг. 3 является схемой архитектуры ключа согласно варианту осуществления настоящего раскрытия;Fig. 3 is a diagram of a key architecture according to an embodiment of the present disclosure;

Фиг. 4 является блок-схемой алгоритма способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 4 is a flowchart of a key generation method according to an embodiment of the present disclosure;

Фиг. 5 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 5 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 6 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 6 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 7 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 7 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 8 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 8 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 9 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 9 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 10 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 10 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 11 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 11 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 12 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 12 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 13 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;Fig. 13 is a flowchart of another key generation method according to an embodiment of the present disclosure;

Фиг. 14 является блок-схемой устройства согласно варианту осуществления настоящего раскрытия;Fig. 14 is a block diagram of an apparatus according to an embodiment of the present disclosure;

Фиг. 15 является блок-схемой основного сетевого устройства согласно варианту осуществления настоящего раскрытия;Fig. 15 is a block diagram of a main network device according to an embodiment of the present disclosure;

Фиг. 16 является блок-схемой другого устройства согласно варианту осуществления настоящего раскрытия; иFig. 16 is a block diagram of another device according to an embodiment of the present disclosure; and

Фиг. 17 является блок-схемой устройства согласно варианту осуществления настоящего раскрытия.Fig. 17 is a block diagram of an apparatus according to an embodiment of the present disclosure.

Осуществление изобретенияImplementation of the invention

Нижеследующее дополнительно подробно описывает настоящее изобретение со ссылкой на прилагаемые чертежи. Конкретный способ работы в вариантах осуществления способа также может применяться к варианту осуществления устройства или варианту осуществления системы. В описании настоящего раскрытия, если не указано иное, «множество» означает два или более двух.The following describes the present invention in further detail with reference to the accompanying drawings. The particular mode of operation in the method embodiments may also apply to a device embodiment or a system embodiment. In the description of the present disclosure, unless otherwise indicated, "multiple" means two or more than two.

Системные архитектуры и сценарии обслуживания, описанные в настоящем документе, предназначены для более четкого описания технических решений в настоящем изобретении, но не предназначены для ограничения технических решений, представленных в этом документе. Специалист в данной области техники может знать, что по мере развития архитектуры системы и появления нового сценария обслуживания технические решения, представленные в настоящем документе, применимы к аналогичной технической задаче.The system architectures and service scenarios described in this document are intended to more clearly describe the technical solutions in the present invention, but are not intended to limit the technical solutions presented in this document. One skilled in the art may be aware that as the system architecture evolves and a new service scenario emerges, the technical solutions presented in this document are applicable to a similar technical problem.

Следует отметить, что в настоящем изобретении слова «пример» или «например» используются для представления примера, иллюстрации или описания. Любой вариант осуществления или реализации, описанные как «пример» или «например» в настоящем изобретении, не следует объяснять как более предпочтительные или имеющие больше преимуществ, чем другой вариант осуществления или реализация. Точнее, использование слова «пример» или «например» или тому подобное предназначено для представления относительной концепции особым образом.It should be noted that in the present invention, the words "example" or "for example" are used to represent an example, illustration or description. Any embodiment or implementations described as "example" or "for example" in the present invention should not be explained as preferable or having more advantages than another embodiment or implementation. More precisely, the use of the word "example" or "for example" or the like is intended to represent a relative concept in a particular way.

Варианты осуществления настоящего раскрытия могут быть применены к системе связи, которая поддерживает доступ оконечного устройства к сети с использованием, по меньшей мере, двух технологий доступа. Например, система связи может быть системой беспроводной связи следующего поколения, например, 5G системой связи. Фиг. 1 является схемой возможной архитектуры сети в соответствии с настоящим изобретении. Архитектура сети включает в себя следующее:Embodiments of the present disclosure may be applied to a communication system that supports terminal device access to a network using at least two access technologies. For example, the communication system may be a next generation wireless communication system, such as a 5G communication system. Fig. 1 is a diagram of a possible network architecture in accordance with the present invention. The network architecture includes the following:

AMF узел: AMF узел является сетевым элементом, ответственным за управление мобильностью, и может быть выполнен с возможностью реализации функций, отличных от управления сеансом, в функциях объекта управления мобильностью (mobility management entity, MME), например, таких функций, как законный перехват и авторизация доступа.AMF node: An AMF node is a network element responsible for mobility management, and may be configured to implement functions other than session management in functions of a mobility management entity (MME), such as functions such as lawful interception and access authorization.

Узел функции управления сеансом (session management function, SMF): SMF узел выполнен с возможностью выделения ресурса сеанса плоскости пользователя.Session management function (SMF) node: The SMF node is configured to allocate a user plane session resource.

Узел функции сервера аутентификации (authentication server function, AUSF): при выполнении аутентификации на оконечном устройстве AUSF выполнен с возможностью выполнять аутентификацию и передачу параметра, подлежащего аутентификации, и выполнять аутентификацию на аутентичность оконечного устройства. Основные функции включают в себя прием запроса аутентификации, отправленного узлом функции привязки безопасности (security anchor function, SEAF), и выбор способа аутентификации. Когда используется способ аутентификации с расширяемым протоколом аутентификации и согласованием ключей (extensible authentication protocol authentication and key agreement, EAP-AKA'), AUSF узел может завершить аутентификацию, выполняемую сетевой стороной на оконечном устройстве.Authentication server function (AUSF) node: When performing authentication on the terminal device, the AUSF is configured to perform authentication and transmission of a parameter to be authenticated, and perform authentication for the authenticity of the terminal device. The main functions include receiving an authentication request sent by a security anchor function (SEAF) node and selecting an authentication method. When an extensible authentication protocol authentication and key agreement (EAP-AKA') authentication method is used, the AUSF node can complete the authentication performed by the network side at the end device.

SEAF узел: SEAF узел может быть частью AMF узла или может быть независимым сетевым элементом. SEAF узел, в основном, выполнен с возможностью инициировать запрос аутентификации для AUSF и завершать аутентификацию, выполняемую сетевой стороной на оконечном устройстве в процессе аутентификации усовершенствованной пакетной системы и согласованием ключей (evolved packet system authentication and key agreement, EPS-AKA*).SEAF node: A SEAF node may be part of an AMF node or may be an independent network element. The SEAF node is generally configured to initiate an authentication request for the AUSF and complete the authentication performed by the network side at the terminal in an evolved packet system authentication and key agreement (EPS-AKA*) process.

Узел функции плоскости пользователя (user plane function, UPF): UPF узел является выходом данных плоскости пользователя и выполнен с возможностью подключения к внешней сети.User plane function (UPF) node: The UPF node is a user plane data output and is configured to be connected to an external network.

Сеть передачи данных (data network, DN): DN является сетью, используемая для предоставления внешних данных, например, интернет (internet).Data network (DN): A DN is a network used to provide external data, such as the internet.

Узел сети (радио) доступа ((radio) access network (R)AN)): (R)AN может использовать разные технологии доступа. В настоящее время существует два типа технологий радиодоступа: 3GPP технология доступа (например, технология радиодоступа, используемая в 3G, 4G или 5G системах) и технология доступа non-3GPP. 3GPP технология доступа является технологией доступа, соответствующая спецификации 3GPP стандарта. Сеть доступа, использующая 3GPP технологию доступа, называется сетью радиодоступа (RAN), и сетевое устройство доступа в 5G системе упоминается как узловая базовая станция следующего поколения (next generation node base-station, gNB). Non-3GPP технология доступа является технологией доступа, которая не соответствует спецификации 3GPP стандарта, например, технология радиоинтерфейса, представленная WiFi точкой доступа (access point, AP).A (radio) access network (R)AN node): A (R)AN may use different access technologies. Currently, there are two types of radio access technologies: 3GPP access technology (eg, radio access technology used in 3G, 4G or 5G systems) and non-3GPP access technology. 3GPP access technology is an access technology conforming to the 3GPP standard specification. The access network using 3GPP access technology is called a radio access network (RAN), and the network access device in the 5G system is referred to as a next generation node base-station (gNB). Non-3GPP access technology is an access technology that does not comply with the specification of the 3GPP standard, such as the air interface technology represented by a WiFi access point (AP).

Оконечное устройство: оконечное устройство в настоящем изобретении представляет собой устройство, имеющее функции приема и отправки по беспроводной связи, и может быть развернуто на суше, в том числе в помещении или на открытом воздухе, портативном или в транспортном средстве. Его также можно развернуть на воде (например, на кораблях) или в воздухе (например, на самолетах, воздушных шарах и спутниках). Оконечное устройство может включать в себя различные типы устройства пользователя (user equipment, UE), мобильные телефоны (mobile phone), планшетные компьютеры (pad), компьютеры с функциями беспроводного приема и отправки, беспроводные карты данных, оконечное устройство виртуальной реальности (virtual reality, VR) устройства дополненной реальности (augmented reality, AR), оконечные устройства машинного типа связи (machine type communication, MTC), оконечные устройства в промышленном управлении (industrial control), оконечные устройства в системе автономного управления (self-driving), оконечные устройства в системе удаленного медицинского обслуживания (remote medical), оконечные устройства в интеллектуальной энергосети (smart grid), оконечные устройства в системе транспортной безопасности (transportation safety), оконечные устройства в системе «умный город» (smart city), носимые устройства (такие как умные часы, смарт-браслет и шагомер) и тому подобное. В системах, использующих разные технологии радиодоступа, названия оконечных устройств, имеющих аналогичные функции беспроводной связи, могут быть разными. Только для простоты описания в вариантах осуществления настоящего раскрытия вышеупомянутые устройства, имеющие функции беспроводной связи для приема и отправки, все вместе называются оконечными устройствами.Terminal device: The terminal device in the present invention is a device having functions of receiving and sending wirelessly, and can be deployed on land, including indoors or outdoors, portable or in a vehicle. It can also be deployed on water (such as ships) or in the air (such as aircraft, balloons, and satellites). The terminal device may include various types of user equipment (user equipment, UE), mobile phones (mobile phones), tablet computers (pad), computers with wireless receiving and sending functions, wireless data cards, virtual reality terminal device (virtual reality, VR) augmented reality (AR) devices, machine type communication (MTC) terminal devices, industrial control terminal devices, self-driving terminal devices, remote medical system, smart grid terminal devices, transportation safety terminal devices, smart city terminal devices, wearable devices (such as smart watches) , smart bracelet and pedometer) and the like. In systems using different radio access technologies, the names of terminal devices with similar wireless communication functions may be different. For ease of description only, in the embodiments of the present disclosure, the aforementioned devices having wireless communication functions for receiving and sending are collectively referred to as terminal devices.

В частности, оконечное устройство в настоящем изобретении хранит ключ долговременного использования и связанную функцию. При выполнении двунаправленной аутентификации с основным сетевым устройством (например, AMF узлом, AUSF узлом или SEAF узлом) оконечное устройство может проверять подлинность сети с помощью пары ключа долговременного использования и связанной функции.In particular, the tag in the present invention stores a durable key and an associated function. When performing bi-directional authentication with a primary network device (eg, AMF node, AUSF node, or SEAF node), the end device can authenticate the network with a durable key pair and associated function.

Сетевое устройство доступа: сетевое устройство доступа в вариантах осуществления настоящего раскрытия представляет собой устройство, которое обеспечивает функцию беспроводной связи для оконечное устройства. Например, сетевое устройство доступа может быть базовой станцией (base station, BS), и базовая станция может включать в себя различные формы макробазовых станций, микробазовых станций, ретрансляционных станций, точек доступа и тому подобное. В системах, использующих разные технологии радиодоступа, названия устройств, выполняющих функцию базовой станции, могут быть разными. Например, в 5G системе устройство упоминается, как узловая базовая станция следующего поколения, которая может быть представлена как gNB. В системе долгосрочного развития (Long Term Evolution, LTE) устройство называется развитым NodeB (evolved NodeB, eNB или eNodeB). В системе связи 3-го поколения (3rd generation, 3G) устройство упоминается как узел B (Node B) и так далее. Для простоты описания в вариантах осуществления настоящего раскрытия вышеупомянутые устройства, которые обеспечивают функцию беспроводной связи для оконечного устройства, совместно именуются сетевыми устройствами доступа.Network access device: The network access device in the embodiments of the present disclosure is a device that provides a wireless communication function to a terminal device. For example, the network access device may be a base station (base station, BS), and the base station may include various forms of macro base stations, micro base stations, relay stations, access points, and the like. In systems using different radio access technologies, the names of devices that perform the function of a base station may be different. For example, in a 5G system, the device is referred to as a next generation node base station, which can be represented as a gNB. In a Long Term Evolution (LTE) system, a device is called an evolved NodeB (evolved NodeB, eNB or eNodeB). In the 3rd generation (3G) communication system, the device is referred to as Node B, and so on. For ease of description, in embodiments of the present disclosure, the aforementioned devices that provide a wireless communication function for a terminal device are collectively referred to as network access devices.

Узел функции экспозиции сети (network exposure function, NEF): NEF узел, в основном, выполнен с возможностью взаимодействовать с третьей стороной, так что третья сторона может косвенно взаимодействовать с некоторыми сетевыми элементами в 3GPP сети.Network exposure function (NEF) node: The NEF node is generally configured to interoperate with a third party such that the third party can indirectly interact with some network elements in a 3GPP network.

Узел функции сетевого хранилища (network repository function, NRF): NRF узел выполнен с возможностью обнаружения конкретного сетевого элемента и поддержания сетевой функции (network function, NF).Network repository function (NRF) node: The NRF node is configured to discover a specific network element and maintain a network function (NF).

Узел функции управления политикой (policy control function, PCF): PCF узел хранит последнее правило качества обслуживания (quality of service, QoS). Базовая станция может выделять соответствующий ресурс каналу передачи плоскости пользователя на основании правила QoS, предоставленного SMF узлом.Policy control function (PCF) node: The PCF node stores the latest quality of service (QoS) rule. The base station may allocate an appropriate resource to the user plane transmission channel based on the QoS rule provided to the SMF by the node.

Узел управления унифицированными данными (unified data management, UDM): UDM узел выполнен с возможностью хранить информацию подписки пользователя.Unified data management (UDM) node: The UDM node is configured to store user subscription information.

Узел прикладной функции (application function, AF): AF узел может быть расположен в пределах DN и принадлежит функциональному сетевому элементу, развернутому в третьей стороне. Этот сетевой элемент, в основном, используется для уведомления PCF узла о последних сервисных требованиях для приложения третьей стороны. PCF узел может генерировать соответствующее правило QoS на основании сервисного требования, чтобы гарантировать, что услуга, предоставляемая сетью, соответствует требованию, предложенному третьей стороной.Application function node (AF): An AF node may be located within a DN and belongs to a functional network element deployed to a third party. This NE is primarily used to notify the host PCF of the latest service requirements for a third party application. The PCF node may generate an appropriate QoS rule based on the service requirement to ensure that the service provided by the network meets the requirement proposed by the third party.

В вариантах осуществления настоящего раскрытия оконечное устройство может получить доступ к AMF узлу, используя, по меньшей мере, две технологии доступа. Например, по меньшей мере, две технологии доступа включают в себя 3GPP технологию доступа и non-3GPP технологию доступа. Варианты осуществления настоящего раскрытия дополнительно обеспечивают схему возможной сетевой архитектуры, как показано на фиг. 2. Сетевая архитектура включает в себя AMF узел, AUSF узел, SMF узел, UPF узел, UDM узел (или узел функции хранения и обработки учетных данных аутентификации (authentication credential storage and processing function, APRF)), оконечное устройство, и non-3GPP узел функции межсетевого взаимодействия (non-3GPP interworking function, N3IWF).In embodiments of the present disclosure, a terminal may access an AMF node using at least two access technologies. For example, at least two access technologies include 3GPP access technology and non-3GPP access technology. Embodiments of the present disclosure further provide a diagram of a possible network architecture as shown in FIG. 2. The network architecture includes an AMF node, an AUSF node, an SMF node, a UPF node, a UDM node (or an authentication credential storage and processing function (APRF) node), an end device, and a non-3GPP node of the interworking function (non-3GPP interworking function, N3IWF).

Для AMF узла, AUSF узла, SMF узла, UPF узла, UDM узла и оконечного устройства см. описание на фиг. 1. Подробности здесь снова не описываются.For AMF node, AUSF node, SMF node, UPF node, UDM node, and terminal, see the description in FIG. 1. Details are not described here again.

N3IWF узел выполнен с возможностью поддержки оконечного устройства в доступе к AMF узлу с использованием non-3GPP технологии доступа.The N3IWF node is configured to support the tag to access the AMF node using non-3GPP access technology.

Что касается сетевой архитектуры, показанной на фиг. 2, оконечное устройство может получить доступ к AMF узлу, используя одновременно 3GPP технологию доступа и non-3GPP технологию доступа. Сетевое устройство доступа в 3GPP технологии доступа может быть базовой станцией в 5G сети, базовой станцией в 4G сети или базовой станцией, используемой в будущей телекоммуникационной сети. non-3GPP технология доступа может быть технологией доступа к сети, используемой нетелекоммуникационной сетью, такой как сеть Wi-Fi или фиксированная сеть. 3GPP технология доступа может быть просто представлена как 3GPP, и non-3GPP технология доступа может быть просто представлена как non-3GPP. Путь 1 на фиг. 2 является маршрутом, по которому оконечное устройство обращается к AMF узлу с использованием 3GPP технологии доступа, и путь 2 является маршрутом, по которому оконечное устройство обращается к AMF узлу с использованием non-3GPP технологии доступа. Оконечное устройство может получить доступ к AMF узлу с использованием шлюза, соответствующего соответствующей технологии доступа, функционального объекта, совместно развернутого со шлюзом, или объекта, имеющего функцию шлюза. Шлюз, соответствующий non-3GPP технологии, может быть N3IWF узлом или может быть шлюзом, используемым, когда оконечное устройство обращается к AMF узлу, используя технологию доступа к фиксированной сети, например BNG (шлюз широкополосной сети, шлюз фиксированной сети). Объект, выполняющий функцию шлюза, является одноранговым концом, подключенным к AMF узлу, например, другим концом интерфейса N2 в 5G сети и другим концом интерфейса S1 в 4G сети.With regard to the network architecture shown in FIG. 2, a terminal can access an AMF node using both 3GPP access technology and non-3GPP access technology. The network access device in 3GPP access technology may be a base station in a 5G network, a base station in a 4G network, or a base station used in a future telecommunications network. The non-3GPP access technology may be a network access technology used by a non-telecommunications network such as a Wi-Fi network or a fixed network. A 3GPP access technology may simply be represented as 3GPP, and a non-3GPP access technology may simply be represented as non-3GPP. Path 1 in FIG. 2 is the route that the terminal device accesses the AMF node using 3GPP access technology, and path 2 is the route that the terminal device accesses the AMF node using non-3GPP access technology. The terminal may access the AMF node using a gateway corresponding to the appropriate access technology, a functional entity co-deployed with the gateway, or an entity having a gateway function. The non-3GPP technology compliant gateway may be an N3IWF node, or may be a gateway used when an end device accesses an AMF node using a fixed network access technology such as BNG (Broadband Network Gateway, Fixed Network Gateway). The gateway entity is a peer connected to an AMF node, such as the other end of the N2 interface in a 5G network and the other end of an S1 interface in a 4G network.

Когда оконечное устройство обращается к AMF узлу, используя одновременно 3GPP и non-3GPP технологию доступа, если оконечному устройству необходимо отправить NAS сообщение в AMF узел, в возможной реализации NAS сообщение может быть разделено на, по меньшей мере, два блока сообщений. Некоторые блоки сообщений передаются с использованием 3GPP технологии доступа, и некоторые другие блоки сообщений передаются с использованием non-3GPP технологии доступа. Например, NAS сообщение может быть разделено на пять блоков сообщений: 1, 2, 3, 4 и 5. Блоки 2 и 4 сообщений передаются с использованием 3GPP технологии доступа, и блоки 1, 3 и 5 сообщений передаются с использованием non-3GPP технологии доступа. В другой возможной реализации оконечное устройство может передавать все NAS сообщение, используя 3GPP технологию доступа, и передавать другое полное NAS сообщение, используя non-3GPP технологию доступа.When a tag accesses an AMF node using both 3GPP and non-3GPP access technology, if the tag needs to send a NAS message to the AMF node, in an exemplary implementation the NAS message can be split into at least two message blocks. Some message blocks are sent using 3GPP access technology and some other message blocks are sent using non-3GPP access technology. For example, a NAS message may be divided into five message blocks: 1, 2, 3, 4, and 5. Message blocks 2 and 4 are transmitted using 3GPP access technology, and message blocks 1, 3, and 5 are transmitted using non-3GPP access technology. . In another possible implementation, the terminal may send the entire NAS message using 3GPP access technology and send another full NAS message using non-3GPP access technology.

Сначала объясняются термины, относящиеся к вариантам осуществления настоящего раскрытия.First, terms related to embodiments of the present disclosure are explained.

(1) RM состояние(1) RM condition

RM используется для управления оконечным устройством и сетью. RM состояние включает в себя два состояния: состояние регистрации и состояние отмены регистрации.RM is used to manage the end device and the network. The RM state includes two states: a registration state and a deregistration state.

Когда оконечное устройство находится в состоянии отмены регистрации, оконечное устройство может попытаться войти в состояние регистрации, посылая процедуру регистрации на основное сетевое устройство (например, AMF узел). После приема сообщения подтверждения регистрации (registration accept), на которое отвечает AMF узел, оконечное устройство переходит в состояние регистрации. Когда оконечное устройство выключено или не проходит в состояние регистрации, оконечное устройство возвращается в состояние отмены регистрации.When the terminal is in the deregistration state, the terminal may attempt to enter the registration state by sending a registration procedure to the underlying network device (eg, an AMF node). Upon receipt of a registration accept message, to which the node responds with an AMF, the terminal enters the registration state. When the tag is turned off or fails to enter the registration state, the tag returns to the unregister state.

Когда оконечное устройство находится в состоянии регистрации, AMF узел имеет информацию о местоположении, информацию о маршрутизации и информацию о контексте безопасности оконечного устройства и оконечное устройство имеет информацию о контексте безопасности.When the terminal is in the registration state, the AMF node has location information, routing information, and security context information of the terminal, and the terminal has security context information.

Когда оконечное устройство находится в состоянии отмены регистрации, AMF узел не имеет информации о местоположении или информации о маршрутизации оконечного устройства, и как AMF узел, так и оконечное устройство имеют информацию о контексте безопасности. Информация о контексте безопасности включает в себя NAS ключ и связанный алгоритм. Если оконечное устройство возвращается из состояния регистрации в состояние отмены регистрации, то не только сохраняет информацию о контексте безопасности, но также сохраняет временную идентификационную информацию, выделенную AMF узлом во время предшествующей регистрации, чтобы оконечное устройство не могло инициировать процедуру аутентификации, когда оконечное устройство снова регистрируется в сети, тем самым, сокращая задержку доступа к сети.When the terminal is in the deregistration state, the AMF node has no location or routing information of the terminal, and both the AMF node and the terminal have security context information. The security context information includes the NAS key and the associated algorithm. If the tag returns from the registration state to the deregistration state, then not only saves the security context information, but also saves the temporary identity information allocated by the AMF node during the previous registration so that the tag cannot initiate the authentication procedure when the tag registers again on the network, thereby reducing network access latency.

(2) CM состояние(2) CM state

CM состояние включает в себя подключенное состояние и состояние ожидания.The CM state includes a connected state and an idle state.

Когда оконечное устройство находится в подключенном состоянии, между оконечным устройством и сетью существует коммуникационное соединение, то есть, происходит обмен данными между оконечным устройством и AMF узлом.When the end device is in the connected state, there is a communication connection between the end device and the network, i.e., data is exchanged between the end device and the AMF node.

Когда оконечное устройство находится в состоянии ожидания, между оконечным устройством и сетью отсутствует коммуникационное соединение, то есть, в настоящее время между оконечным устройством и AMF узлом не происходит обмен данными.When the terminal device is idle, there is no communication connection between the terminal device and the network, i.e., there is currently no communication between the terminal device and the AMF node.

(3) Переключение состояний(3) State switching

Когда оконечное устройство не получил доступа к сети, оконечное устройство находится в состоянии ожидания и состоянии отмены регистрации. В этом случае между оконечное устройством и AMF узлом отсутствует информация о контексте безопасности. Оконечное устройство сначала переключается из состояния ожидания в состояние подключения, а затем оконечное устройство может инициировать процедуру регистрации и переключается из состояния отмены регистрации в состояние регистрации. В этом случае у оконечного устройства есть NAS ключ и алгоритм безопасности. Если оконечному устройству не требуется впоследствии обмениваться данными с сетью, оконечное устройство может вернуться в состояние ожидания, и оконечное устройство все еще находится в состоянии регистрации после возврата в состояние ожидания.When the terminal device has not gained access to the network, the terminal device is in the idle state and the deregistration state. In this case, there is no security context information between the end device and the AMF node. The terminal device first switches from the idle state to the connected state, and then the terminal device can initiate the registration procedure and switches from the deregistration state to the registration state. In this case, the target device has a NAS key and a security algorithm. If the terminal does not subsequently need to communicate with the network, the terminal may return to the idle state and the terminal is still in the registration state after returning to the idle state.

Когда оконечное устройство возвращается из подключенного состояния в состояние ожидания, информация о контексте безопасности, хранимая оконечным устройством, представляет собой NAS ключ и алгоритм безопасности. Когда оконечное устройство возвращается из состояния регистрации в состояние отсутствия регистрации, оконечное устройство сохраняет NAS ключ, алгоритм безопасности и временную идентификационную информацию, выделенную AMF во время предшествующей регистрации.When the end device returns from the connected state to the idle state, the security context information stored by the end device is the NAS key and the security algorithm. When the tag returns from the registration state to the non-registration state, the tag stores the NAS key, security algorithm, and temporary identification information allocated by the AMF during the previous registration.

Следует отметить, что переключение состояний в настоящем изобретении означает, что СМ состояние оконечного устройства в основном сетевым устройстве возвращается из одного состояния в другое состояние. Например, переключение из состояния подключения в состояние ожидания означает, что СМ состояние оконечного устройства в основном сетевым устройстве возвращается из состояния подключения в состояние ожидания. Например, когда оконечное устройство передает сообщение запроса регистрации в основное сетевое устройство, оконечное устройство находится в подключенном состоянии. После того, как основное сетевое устройство передает в оконечное устройство сообщение о завершении регистрации, если оконечное устройство не передает сразу сообщение в основное сетевое устройство или оконечное устройство не передает сообщение в основное сетевое устройство в течение определенного периода времени, контролируемого таймером, оконечное устройство возвращается в состояние ожидания.It should be noted that state switching in the present invention means that the SM state of the terminal device in the main network device returns from one state to another state. For example, switching from the connected state to the idle state means that the SM state of the terminal device in the main network device returns from the connected state to the idle state. For example, when the tag sends a registration request message to the underlying network device, the tag is in an online state. After the host network device sends a registration complete message to the terminal device, if the terminal device does not immediately send a message to the main network device or the terminal device does not send a message to the main network device within a certain period of time controlled by a timer, the terminal device returns to waiting state.

Дополнительно, время, используемое для действия «переключения», не ограничено в вариантах осуществления настоящего раскрытия. В частности, время, необходимое для переключения второго соединения из подключенного состояния в состояние ожидания, может контролироваться таймером или может контролироваться процедурой переключения. Это не ограничено в настоящем изобретении.Additionally, the time used for the "switch" action is not limited in the embodiments of the present disclosure. In particular, the time required to switch the second connection from the connected state to the idle state may be controlled by a timer or may be controlled by a switching procedure. This is not limited in the present invention.

(4) Первая технология доступа и вторая технология доступа.(4) First access technology and second access technology.

Оконечное устройство поддерживает доступ к сети, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Первая технология доступа представляет собой 3GPP технологию доступа, и вторая технология доступа является non-3GPP технологией доступа. В качестве альтернативы первая технология доступа является non-3GPP технологией доступа, и вторая технология доступа является 3GPP технологией доступа. Разумеется, настоящее изобретение этим не ограничивается. Первая технология доступа и вторая технология доступа могут альтернативно быть другой технологией доступа, поддерживаемой, когда оконечное устройство обменивается данными с основным сетевым устройством.The terminal device supports network access using both the first access technology and the second access technology at the same time. The first access technology is a 3GPP access technology, and the second access technology is a non-3GPP access technology. Alternatively, the first access technology is a non-3GPP access technology and the second access technology is a 3GPP access technology. Of course, the present invention is not limited to this. The first access technology and the second access technology may alternatively be another access technology supported when the terminal communicates with the underlying network device.

Первое соединение является соединением, через которое оконечное устройство получает доступ к первому основному сетевому устройству с использованием первой технологии доступа.The first connection is a connection through which the terminal device accesses the first underlying network device using the first access technology.

Второе соединение является соединением, через которое оконечное устройство получает доступ ко второму основному сетевому устройству с использованием второй технологии доступа.The second connection is a connection through which a terminal device accesses a second underlying network device using a second access technology.

Оконечное устройство, использующее первое соединение и второе соединение, является одним и тем же оконечным устройством, но первое основное сетевое устройство и второе основное сетевое устройство могут быть одинаковыми или разными. В этом документе используется пример, в котором оконечное устройство поддерживает доступ к одному и тому же основному сетевому устройству, используя одновременно первое и второе соединение.The terminal device using the first connection and the second connection is the same terminal device, but the first primary network device and the second primary network device may be the same or different. This document uses an example where the end device supports access to the same underlying network device using both the first and the second connection.

Дополнительно, первое соединение и второе соединение в настоящем изобретении могут быть прямыми соединениями или косвенными соединениями между оконечным устройством и основным сетевым устройством. Например, второе соединение является соединением, через которое оконечное устройство получает доступ к шлюзовому устройству с использованием второй технологии доступа и обращается к элементу базовой сети с помощью шлюзового устройства. Фиг. 2 используется в качестве примера. Оконечное устройство может получить доступ к AMF узлу, используя 3GPP технологию доступа. Первое соединение может пониматься как маршрут связи между оконечным устройством и AMF узлом, когда оконечное устройство использует 3GPP технологию доступа, то есть, путь 1. В качестве альтернативы оконечное устройство может получить доступ к AMF узлу, используя non-3GPP технологию доступа/ Когда оконечное устройство обращается к AMF узлу с использованием non-3GPP технологии доступа, оконечное устройство не взаимодействует напрямую с AMF узлом, и связывается с AMF узлом с помощью N3IWF узла. Второе соединение является соединением между оконечным устройством и N3IWF узлом и соединение между N3IWF узлом и AMF узлом, и его также можно рассматривать, как путь 2.Additionally, the first connection and the second connection in the present invention may be direct connections or indirect connections between a terminal device and a main network device. For example, the second connection is a connection through which the terminal device accesses the gateway device using the second access technology and accesses the core network element using the gateway device. Fig. 2 is used as an example. The terminal device can access the AMF node using 3GPP access technology. The first connection can be understood as a communication path between the terminal device and the AMF node when the terminal device uses 3GPP access technology, that is, path 1. Alternatively, the terminal device can access the AMF node using non-3GPP access technology / When the terminal device accesses the AMF node using a non-3GPP access technology, the end device does not communicate directly with the AMF node, and communicates with the AMF node using the N3IWF node. The second connection is the connection between the end device and the N3IWF node and the connection between the N3IWF node and the AMF node, and can also be considered as path 2.

(5) Повторная аутентификация(5) Reauthentication

Повторная аутентификация означает, что: когда основное сетевое устройство обнаруживает, что тип параметра ожидается быть недоступным, например, NAS COUNT собирается зацикливаться, или условие запуска выполняется на основе требования конфигурации оператора, основное сетевое устройство снова выполняет аутентификацию на оконечном устройстве. В процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве, основное сетевое устройство обменивается сообщением с оконечным устройством. Оконечное устройство сравнивает подлежащий проверке параметр, предоставленный базовой сетью, с другим параметром, сгенерированным оконечным устройством, и основное сетевое устройство сравнивает подлежащий проверке параметр, предоставленный оконечным устройством, с другим параметром, сгенерированным основным сетевым устройством. Если параметр, подлежащий проверке, предоставленный основным сетевым устройством, совпадает с параметром, сгенерированным оконечным устройством, или, если параметр, подлежащий проверке, предоставленный оконечным устройством, совпадает с параметром, сгенерированным основным сетевым устройством проверка аутентификации, выполняемая между оконечным устройством и основным сетевым устройством, завершается успешно.Re-authentication means that: when the main network device detects that the parameter type is expected to be unavailable, for example, NAS COUNT is about to loop, or the start condition is met based on the operator's configuration requirement, the main network device authenticates to the end device again. In a process in which the core network device performs re-authentication with the terminal device, the core network device exchanges a message with the terminal device. The tag compares the verifiable parameter provided by the core network with another parameter generated by the tag, and the core network device compares the verifiable parameter provided by the tag with another parameter generated by the core network device. If the parameter to be verified provided by the main network device matches the parameter generated by the target device, or if the parameter to be verified provided by the end device matches the parameter generated by the main network device authentication verification performed between the end device and the main network device , completes successfully.

Например, процедура проверки аутентификации может быть 5G AKA процедурой в 5G сети, EAP-AKA' процедурой или EPS AKA процедурой в LTE сети.For example, the authentication verification procedure may be a 5G AKA procedure in a 5G network, an EAP-AKA' procedure, or an EPS AKA procedure in an LTE network.

В качестве варианта, процедура повторной аутентификации в вариантах осуществления настоящего раскрытия может включать в себя процедуру проверки аутентификации и процедуру активации ключа. В частности, в процедуре проверки аутентификации основное сетевое устройство и оконечное устройство могут проверять правильность информации, подлежащей проверке, отправленной друг другом. В процедуре активации ключа основное сетевое устройство передает в оконечное устройство сообщение команды режима безопасности NAS (security mode command, SMC) и принимает сообщение о завершении режима безопасности NAS (security mode complete, SMP) из оконечного устройства.Alternatively, the re-authentication procedure in embodiments of the present disclosure may include an authentication verification procedure and a key activation procedure. In particular, in the authentication verification procedure, the main network device and the terminal device can check whether the information to be verified sent by each other is correct. In the key activation procedure, the host network device sends a NAS (security mode command, SMC) message to the end device and receives a security mode complete (SMP) NAS message from the end device.

(6) Основное сетевое устройство(6) Main network device

Основное сетевое устройство представляет собой устройство в 3GPP сети, отличное от устройства сети доступа. Основное сетевое устройство может быть AMF узлом, SMF узлом или может быть сетевым устройством, таким как SEAF узел, AUSF узел или UDM узел.The core network device is a device in the 3GPP network other than the access network device. The underlying network device may be an AMF node, an SMF node, or may be a network device such as a SEAF node, AUSF node, or UDM node.

Основное сетевое устройство не ограничивается устройством, которое проверяет оконечное устройство, например, AUSF узел в 5G сети. В качестве альтернативы основное сетевое устройство может быть устройством, участвующим в процедуре аутентификации, например, устройством (например, AMF узлом), выполненным с возможностью пересылать сообщения в процедуре аутентификации. В качестве варианта, основное сетевое устройство может дополнительно иметь независимую функцию, например функцию SEAF, развернутую вместе с основным сетевым устройством.The main network device is not limited to the device that checks the end device, such as an AUSF node in a 5G network. Alternatively, the underlying network device may be a device participating in the authentication procedure, such as a device (eg, an AMF node) configured to forward messages in the authentication procedure. Alternatively, the core network device may further have an independent function, such as SEAF, deployed with the core network device.

Дополнительно, основное сетевое устройство, которое инициирует процедуру повторной аутентификации для оконечного устройства, может быть таким же или отличаться от основного сетевого устройства, которое выполняет проверку аутентификации на оконечном устройстве. Проверка аутентификации означает, что основное сетевое устройство проверяет правильность информации, подлежащей аутентификации, отправленной оконечным устройством. Например, в сценарии 5G AKA основным сетевым устройством, которое инициирует процедуру повторной аутентификации, является AMF узел или SEAF узел, развернутый вместе с AMF узлом. В этом сценарии основное сетевое устройство, которое инициирует процедуру повторной аутентификации, может быть AMF узлом, и основное сетевое устройство, которое выполняет проверку аутентификации на оконечном устройстве, является SEAF узлом в AMF узле. В этом случае можно считать, что основное сетевое устройство, которое инициирует процедуру повторной аутентификации для оконечного устройства, такое же, как основное сетевое устройство, которое выполняет проверку аутентификации на оконечном устройстве, и оба являются AMF узлами. В этом сценарии, если SEAF узел не развернут вместе с AMF узлом, то есть, SEAF узел также является независимым основным сетевым устройством, основное сетевое устройство, которое инициирует процедуру повторной аутентификации для оконечного устройства, отличается от устройства. которое выполняет проверку аутентификации на оконечном устройстве.Additionally, the underlying network device that initiates the re-authentication procedure for the terminal device may be the same or different from the main network device that performs the authentication check on the terminal device. Authentication verification means that the main network device checks the correctness of the information to be authenticated sent by the end device. For example, in the 5G AKA scenario, the main network device that initiates the re-authentication procedure is an AMF node or a SEAF node deployed along with an AMF node. In this scenario, the primary network device that initiates the re-authentication procedure may be the AMF node, and the primary network device that performs the authentication check on the terminal device is the SEAF node in the AMF node. In this case, it can be considered that the main network device that initiates the re-authentication procedure for the end device is the same as the main network device that performs the authentication check on the end device, and both are AMF nodes. In this scenario, if the SEAF node is not deployed along with the AMF node, that is, the SEAF node is also an independent primary network device, the primary network device that initiates the re-authentication procedure for the end device is different from the device. which performs an authentication check on the end device.

Для другого примера, в сценарии 5G EAP-AKA', основное сетевое устройство, которое инициирует процедуру повторной аутентификации, может быть AMF узлом, и устройство, которое выполняет проверку аутентификации на оконечном устройстве, является AUSF узлом. В этом случае основное сетевое устройство, которое инициирует процедуру повторной аутентификации для оконечного устройства, отличается от основного сетевого устройства, которое выполняет проверку аутентификации на оконечном устройстве.For another example, in a 5G EAP-AKA' scenario, the main network device that initiates the re-authentication procedure may be an AMF node, and the device that performs authentication checks at the terminal device is an AUSF node. In this case, the main network device that initiates the re-authentication procedure for the end device is different from the main network device that performs the authentication check on the end device.

(7) Ключ(7) Key

И ключ для первого соединения и ключ для второго соединения являются NAS ключами. NAS ключ включает в себя ключ шифрования и ключ защиты целостности. Ключ для первого соединения используется для защиты сообщения, которое передается между оконечным устройством и основным сетевым устройством через первое соединение, и ключ для второго соединения используется для защиты передаваемого сообщения между оконечным устройством и основным сетевым устройством через второе соединение.Both the key for the first connection and the key for the second connection are NAS keys. The NAS key includes an encryption key and an integrity protection key. The key for the first connection is used to protect the message that is sent between the end device and the main network device through the first connection, and the key for the second connection is used to protect the message being sent between the end device and the main network device through the second connection.

Ключевая архитектура в вариантах осуществления настоящего раскрытия показана на фиг. 3. На фиг. 3, ключ верхнего уровня может использоваться как параметр генерирования ключа нижнего уровня. В качестве варианта, в процессе повторной аутентификации могут быть сгенерированы ключ для первого соединения и другой ключ, используемый для получения первого соединения. Например, на фиг. 3, все ключи, кроме ключа первого уровня, K, обновляются в процессе повторной аутентификации. Например, ключ для первого подключения может быть KNASint, KNASenc, KRRCint, KRRCenc, KUPint, KUPenc и т.п.The key architecture in embodiments of the present disclosure is shown in FIG. 3. In FIG. 3, the high level key may be used as a low level key generation parameter. Alternatively, the re-authentication process may generate a key for the first connection and another key used to obtain the first connection. For example, in FIG. 3, all keys except the first level key, K, are updated during the re-authentication process. For example, the key for the first connection could be KNASint, KNASenc, KRRCint, KRRCenc, KUPint, KUPenc, and so on.

В качестве варианта, если старый ключ необходимо сохранить в процессе обновления ключа, сохраненный старый ключ может быть, по меньшей мере, одним из KNASint, KNASenc, KgNB, NH, KRRCint, KRRCenc, KUPint, KUPenc или KN3IWF. Возможно также сохраняются KAMF, KSEAF или KAUSF.Alternatively, if the old key needs to be preserved during the key renewal process, the stored old key may be at least one of KNASint, KNASenc, KgNB, NH, KRRCint, KRRCenc, KUPint, KUPenc, or KN3IWF. Possibly KAMF, KSEAF or KAUSF are also retained.

Со ссылкой на фиг. 1-фиг. 3 вариант осуществления настоящего раскрытия обеспечивает способ обновления ключей, применяемый к системе связи. Система связи включает в себя основное сетевое устройство и оконечное устройство. Оконечное устройство обращается к основному сетевому устройству, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Как показано на фиг. 4, способ включает в себя следующие этапы.With reference to FIG. 1-fig. 3 embodiment of the present disclosure provides a key renewal method applied to a communication system. The communication system includes a main network device and a terminal device. The target device accesses the underlying network device using both the first access technology and the second access technology simultaneously. As shown in FIG. 4, the method includes the following steps.

Этап 401. Основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа; соответственно, оконечное устройство выполняет повторную аутентификацию на основном сетевым устройстве через первое соединение, соответствующее первой технологии доступа.Step 401: The main network device performs re-authentication at the terminal device through the first connection corresponding to the first access technology; accordingly, the terminal device performs re-authentication on the main network device through the first connection corresponding to the first access technology.

В процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, как основное сетевое устройство, так и оконечное устройство могут обновлять ключ для первого подключения. Например, основное сетевое устройство и оконечное устройство могут генерировать новые ключи для первого соединения, например такие ключи, как KAUSF, KSEAF, KAMF, KNASint или KNASenc.In a process in which the main network device re-authenticates the terminal device through the first connection, both the main network device and the end device can renew the key for the first connection. For example, the host network device and end device can generate new keys for the first connection, such as keys such as KAUSF, KSEAF, KAMF, KNASint, or KNASenc.

В качестве варианта, в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство может дополнительно получить первый идентификатор ключа, где первый идентификатор ключа используется для идентификации обновленного ключа для первого подключения. Когда основной сетевой узел является AMF узлом, существуют следующие три способа для получения первого идентификатора ключа AMF узлом:Alternatively, in a process in which the host network device re-authenticates the terminal device through the first connection, the host network device may further obtain a first key identifier, where the first key identifier is used to identify the updated key for the first connection. When the primary network node is an AMF node, there are three ways for the node to obtain the first AMF key ID:

Способ 1: AMF узел генерирует первый идентификатор ключа.Method 1: The AMF node generates the first key identifier.

Способ 2: AMF узел получает идентификатор первого ключа из другого основного сетевого устройства. Например, первый идентификатор ключа получается из SEAF узла.Method 2: The AMF node obtains the first key ID from another primary network device. For example, the first key ID is obtained from the node's SEAF.

Способ 3: AMF узел получает из другого основного сетевого устройства информацию, используемую для генерирования идентификатора первого ключа, и затем генерирует идентификатор первого ключа на основании информации, используемой для генерирования идентификатора первого ключа.Method 3: The AMF node obtains from the other main network device the information used to generate the first key ID, and then generates the first key ID based on the information used to generate the first key ID.

В качестве варианта, в процессе повторной аутентификации, основное сетевое устройство может отправить первый идентификатор ключа в оконечное устройство.Alternatively, during the re-authentication process, the underlying network device may send the first key identifier to the end device.

Можно понять, что после приема первого идентификатора ключа оконечное устройство может обновить ключ для первого соединения до ключа, идентифицированного первым идентификатором ключа.It can be understood that upon receiving the first key identifier, the terminal may update the key for the first connection to the key identified by the first key identifier.

Этап 402. Если выполняется первое условие запуска, основное сетевое устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа.Step 402: If the first trigger condition is met, the host network device updates the key for the second connection corresponding to the second access technology.

В качестве варианта, первое условие запуска может быть состоянием второго соединения, и состояние второго соединения может быть состоянием ожидания или состоянием подключения.Alternatively, the first trigger condition may be a second connection state, and the second connection state may be an idle state or a connected state.

В качестве варианта, первое условие запуска может альтернативно состоять в том, что второе соединение находится в состоянии отмены регистрации. Если основное сетевое устройство определяет, что второе соединение находится в состоянии отмены регистрации, это указывает, что основное сетевое устройство и оконечное устройство в настоящее время не используют второе соединение. В этом случае ни процесс повторной аутентификации, выполняемый на оконечном устройстве, ни процесс обновления ключа для второго соединения не влияют на использование второго соединения основным сетевым устройством и оконечным устройством.Alternatively, the first trigger condition may alternatively be that the second connection is in a deregistration state. If the primary network device determines that the second connection is in a deregistration state, this indicates that the primary network device and the terminal device are not currently using the second connection. In this case, neither the re-authentication process performed on the end device nor the key renewal process for the second connection affects the use of the second connection by the main network device and the end device.

Этап 403. Если выполняется второе условие запуска, оконечное устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа.Step 403: If the second trigger condition is met, the terminal updates the key for the second connection corresponding to the second access technology.

Согласно способу, предоставленному в этом варианте осуществления настоящего раскрытия, основное сетевое устройство может выполнять повторную аутентификацию на оконечном устройстве через первое соединение, и ключ для первого соединения может обновляться в процессе повторной аутентификации. Когда выполняется первое условие запуска, основное сетевое устройство может обновить ключ для второго соединения. Когда выполняется второе условие запуска, оконечное устройство может обновить ключ для второго соединения. Таким образом, когда оконечное устройство обращается к AMF узлу с использованием множества технологий доступа, повторная аутентификация может выполняться на оконечном устройстве через первое соединение при условии отсутствия влияния на нормальную связь, которая выполняется между оконечным устройством и AMF узлом через второе соединение, и ключи двух соединений обновляются.According to the method provided in this embodiment of the present disclosure, the main network device may re-authenticate with the terminal device through the first connection, and the key for the first connection may be updated during the re-authentication process. When the first trigger condition is met, the underlying network device can renew the key for the second connection. When the second trigger condition is met, the end device may renew the key for the second connection. Thus, when a terminal device accesses an AMF node using a plurality of access technologies, re-authentication can be performed at the terminal device through the first connection, as long as the normal communication that takes place between the terminal device and the AMF node through the second connection is not affected, and the keys of the two connections are updated.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Дополнительно, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.It can be understood that a terminal device or a host network device may perform some or all of the steps in the above embodiment. These steps or operations are merely examples. In embodiments of the present disclosure, other operations or variants of various operations may additionally be performed. Additionally, the steps may be performed in a different order from the sequence shown in the previous embodiment, and alternatively, not all operations in the previous embodiment need be performed.

Что касается варианта осуществления, показанного на фиг. 4, в возможном сценарии реализации первое условие запуска состоит в том, что второе соединение находится в состоянии ожидания. Если основное сетевое устройство определяет, что основному сетевому устройству необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение, но второе соединение в это время находится в состоянии подключения, как показано на фиг. 5, способ включает в себя этапы с 501 по 505.With respect to the embodiment shown in FIG. 4, in an exemplary implementation scenario, the first trigger condition is that the second connection is in a pending state. If the main network device determines that the main network device needs to re-authenticate the terminal device through the first connection, but the second connection is in a connected state at the time, as shown in FIG. 5, the method includes steps 501 to 505.

501. Основное сетевое устройство передает первое сообщение в оконечное устройство через первое соединение, где первое сообщение используется для указания оконечному устройству приостановить использование первого соединения. Соответственно, оконечное устройство принимает первое сообщение от основного сетевого устройства через первое соединение.501. The main network device sends the first message to the terminal device through the first connection, where the first message is used to instruct the terminal device to suspend use of the first connection. Accordingly, the terminal device receives the first message from the main network device through the first connection.

Можно понять, что, когда второе соединение находится в подключенном состоянии, чтобы избежать воздействия процесса повторной аутентификации на связь, которая выполняется между оконечным устройством и основным сетевым устройством через второе соединение, повторная аутентификация оконечное устройство через первое соединение может быть приостановлена. После того, как второе соединение переключается из подключенного состояния в состояние ожидания, повторная аутентификация выполняется на оконечном устройстве через первое соединение. Из-за таких причин, как то, что NAS COUNT, используемый оконечным устройством, вот-вот изменится, основному сетевому устройству необходимо выполнить повторную аутентификацию на оконечном устройстве. Если оконечное устройство продолжает передавать NAS сообщение в основное сетевое устройство через первое соединение, NAS COUNT может продолжаться. В этом случае основное сетевое устройство может дать оконечному устройству команду приостановить работу с использованием первого соединения. В качестве варианта, если контекст безопасности первого соединения может быть дополнительно использован один раз, основное сетевое устройство может дать команду оконечному устройству отправить в основное сетевое устройство только через первое соединение или второе соединение, NAS сообщение, защищенное с помощью контекста безопасности, существующего первого подключения до выполнения повторной аутентификации.It can be understood that when the second connection is in the connected state, in order to avoid the impact of the re-authentication process on the communication that is performed between the end device and the main network device through the second connection, the re-authentication of the end device through the first connection can be suspended. After the second connection switches from the connected state to the idle state, re-authentication is performed at the end device through the first connection. Due to reasons such as that the NAS COUNT used by the end device is about to change, the main network device needs to re-authenticate with the end device. If the end device continues to send the NAS message to the primary network device via the first connection, the NAS COUNT may continue. In this case, the underlying network device can instruct the terminal device to suspend using the first connection. Alternatively, if the security context of the first connection can be additionally used once, the underlying network device may instruct the terminal device to send to the underlying network device, only over the first connection or the second connection, the NAS message protected with the security context of the existing first connection before performing re-authentication.

Этап 502. После того, как второе соединение переключается из состояния подключения в состояние ожидания, основное сетевое устройство выполняет повторную аутентификацию в оконечном устройстве через первое соединение, соответствующее первой технологии доступа. Соответственно, оконечное устройство выполняет повторную аутентификацию через первое соединение, соответствующее первой технологии доступа.Step 502: After the second connection switches from the connected state to the idle state, the host network device re-authenticates the terminal device through the first connection corresponding to the first access technology. Accordingly, the terminal performs re-authentication through the first connection corresponding to the first access technology.

В качестве варианта, после того как второе соединение переключается из состояния подключения в состояние ожидания, если первое соединение все еще находится в подключенном состоянии, выполняется способ этапа 502.Alternatively, after the second connection switches from the connected state to the idle state, if the first connection is still in the connected state, the method of step 502 is performed.

В качестве варианта, после того, как второе соединение переключается из состояния подключения в состояние ожидания, если первое соединение находится в состоянии ожидания, основное сетевое устройство может выполнить повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа или второе соединение, соответствующее второй технологии доступа. Можно понять, что, поскольку оба соединения находятся в состоянии ожидания, оконечное устройство может снова получить доступ к сети, используя любое соединение. Когда возникает этот случай, можно считать, что второе соединение становится первым соединением в этом варианте осуществления настоящего раскрытия, и исходное первое соединение становится вторым соединением.Alternatively, after the second connection switches from the connected state to the idle state, if the first connection is in the idle state, the underlying network device may re-authenticate the terminal device through the first connection corresponding to the first access technology or the second connection corresponding to the second access technologies. It can be appreciated that since both connections are in the idle state, the end device can access the network again using either connection. When this case occurs, the second connection can be considered to become the first connection in this embodiment of the present disclosure, and the original first connection becomes the second connection.

В качестве варианта, в процессе выполнения повторной аутентификации на оконечном устройстве через первое соединение, основное сетевое устройство может дополнительно обновить ключ для второго соединения и получить третий идентификатор ключа, где третий идентификатор ключа используется для определения обновленного ключа для второго подключения. Следует отметить, что, если первое соединение и второе соединение совместно используют набор NAS ключей, третий идентификатор ключа совпадает с идентификатором первого ключа, или можно понять, что основному сетевому устройству не нужно получать третий идентификатор ключа, и идентификатор первого ключа может дополнительно использоваться для идентификации обновленного ключа для второго соединения.Alternatively, in the process of performing re-authentication at the terminal device through the first connection, the host network device may further update the key for the second connection and obtain a third key identifier, where the third key identifier is used to determine the updated key for the second connection. It should be noted that if the first connection and the second connection share a set of NAS keys, the third key ID is the same as the first key ID, or it can be understood that the main network device does not need to obtain the third key ID, and the first key ID can be further used to identify updated key for the second connection.

В другой возможной реализации, после обнаружения, что второе соединение возвращается в состояние ожидания, оконечное устройство может отправить сообщение в основное сетевое устройство через первое соединение или второе соединение, чтобы инициировать повторное инициирование основным сетевым устройством аутентификации на оконечном устройстве. В еще одной возможной реализации, когда первое соединение находится в состоянии ожидания, после того, как оконечное устройство принимает сообщение о завершении процедуры через второе соединение, и до того, как второе соединение переключается в состояние ожидания, оконечное устройство может отправить сообщение на основное сетевое устройство, чтобы запустить основное сетевое устройство для выполнения повторной аутентификации на оконечном устройстве через второе соединение. В этом случае можно считать, что второе соединение становится первым соединением в настоящем изобретении, и исходное первое соединение становится вторым соединением.In another possible implementation, upon detecting that the second connection is returning to the idle state, the terminal may send a message to the primary network device over the first connection or the second connection to cause the primary network device to re-initiate authentication at the terminal. In yet another possible implementation, when the first connection is in the idle state, after the end device receives a procedure completion message over the second connection, and before the second connection switches to the idle state, the end device may send a message to the underlying network device. to start the main network device to perform re-authentication on the target device through the second connection. In this case, the second connection can be considered to become the first connection in the present invention, and the original first connection becomes the second connection.

В качестве альтернативы, ключ для второго соединения может быть обновлен после того, как основное сетевое устройство выполнит повторную аутентификацию на оконечном устройстве через первое соединение, то есть, после этапа 502 может быть дополнительно выполнен этап 503.Alternatively, the key for the second connection may be updated after the primary network device re-authenticates the terminal device through the first connection, i.e., after step 502, step 503 can be additionally performed.

Этап 503. Основное сетевое устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа.Step 503: The main network device updates the key for the second connection corresponding to the second access technology.

В частности, если второе соединение находится в состоянии ожидания, основное сетевое устройство может обновить ключ для второго соединения, соответствующего второй технологии доступа, после повторной аутентификации.In particular, if the second connection is in the idle state, the main network device can renew the key for the second connection corresponding to the second access technology after re-authentication.

В качестве варианта, основное сетевое устройство может дополнительно получить третий идентификатор ключа.Alternatively, the underlying network device may further obtain a third key ID.

Этап 504. Основное сетевое устройство передает первую информацию инструкции в оконечное устройство через первое соединение.Step 504: The main network device transmits the first instruction information to the terminal device through the first connection.

Первое соединение используется для указания оконечному устройству обновить ключ для второго соединения.The first connection is used to tell the end device to update the key for the second connection.

В качестве варианта, информация первой инструкции может быть идентификатором первого ключа или идентификатором второго ключа. В качестве альтернативы первая информация инструкции может быть идентификатором первого ключа и идентификатором второго ключа.Alternatively, the first instruction information may be a first key identifier or a second key identifier. Alternatively, the first instruction information may be a first key identifier and a second key identifier.

Этап 505. Оконечное устройство обновляет ключ для второго соединения.Step 505: The terminal updates the key for the second connection.

Можно понять, что второе условие запуска состоит в том, что оконечное устройство принимает информацию о первой инструкции от основного сетевого устройства через первое соединение.It can be understood that the second trigger condition is that the target device receives information about the first instruction from the main network device through the first connection.

В качестве варианта, если информация первой инструкции является идентификатором первого ключа, оконечное устройство может обновить ключ для второго соединения до ключа, указанного первым идентификатором ключа; или, если первая информация инструкции является вторым идентификатором ключа, оконечное устройство может обновить ключ для второго соединения до ключа, указанного вторым идентификатором ключа.Alternatively, if the first instruction information is a first key identifier, the terminal may update the key for the second connection to the key indicated by the first key identifier; or, if the first instruction information is the second key identifier, the terminal may update the key for the second connection to the key indicated by the second key identifier.

Следует отметить, что в любом варианте осуществления настоящего раскрытия, если основное сетевое устройство дает команду оконечному устройству путем отправки идентификатора ключа в оконечное устройство обновить ключ для второго соединения, оконечное устройство может обновить ключ для второго соединения ключом, указанным идентификатором ключа, отправленным основным сетевым устройством.It should be noted that in any embodiment of the present disclosure, if the host network device instructs the terminal device by sending a key identifier to the terminal device to update the key for the second connection, the terminal device may update the key for the second connection with the key indicated by the key identifier sent by the primary network device. .

Согласно способу обновления ключа, предоставленному в этом варианте осуществления настоящего раскрытия, если определяется, что повторная аутентификация должна быть выполнена на оконечном устройстве через первое соединение, основное сетевое устройство дополнительно должно определить состояние второго соединения, выполняет повторную аутентификацию на оконечном устройстве через первое соединение, только когда второе соединение находится в состоянии ожидания, и обновляет ключи для первого и второго соединения. Поскольку второе соединение находится в состоянии ожидания, процесс обновления ключа не влияет на нормальное использование второго соединения оконечным устройством и основным сетевым устройством.According to the key renewal method provided in this embodiment of the present disclosure, if it is determined that re-authentication should be performed at the terminal device through the first connection, the main network device further needs to determine the state of the second connection, performs re-authentication at the terminal device through the first connection, only when the second connection is pending, and updates the keys for the first and second connections. Since the second connection is in a pending state, the key renewal process does not affect the normal use of the second connection by the end device and the main network device.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления, и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.It can be understood that a terminal device or a host network device may perform some or all of the steps in the above embodiment. These steps or operations are merely examples. In embodiments of the present disclosure, other operations or variants of various operations may additionally be performed. In addition, the steps may be performed in a different order from the sequence shown in the previous embodiment, and alternatively, not all operations in the previous embodiment need to be performed.

Что касается способа, показанного на фиг. 4, в качестве варианта, в другом возможном сценарии реализации, первое условие запуска состоит в том, что второе соединение находится в подключенном состоянии. Когда основное сетевое устройство определяет, что основное сетевое устройство должно выполнить повторную аутентификацию на оконечном устройстве через первое соединение, если второе соединение находится в подключенном состоянии, основное сетевое устройство может приостановить использование второго соединения, и затем выполнить повторную аутентификацию на оконечном устройстве через первое соединение, для обновления ключей для первого соединения и второго соединения.With respect to the method shown in FIG. 4, alternatively, in another possible implementation scenario, the first trigger condition is that the second connection is in the connected state. When the main network device determines that the main network device should re-authenticate to the end device through the first connection, if the second connection is in the connected state, the main network device may suspend the use of the second connection, and then re-authenticate to the end device through the first connection, to update the keys for the first connection and the second connection.

В качестве варианта, в другом возможном сценарии реализации, таймер может быть предварительно сконфигурирован для AMF узла и оконечного устройства. После того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение и обновляет ключ для первого соединения, если второе соединение находится в подключенном состоянии, основное сетевое устройство и оконечное устройство могут запустить таймер. После того, как базовая сеть и оконечное устройство определяют, что таймер истекает, старый ключ для второго соединения не может быть использован. С другой стороны,Alternatively, in another possible implementation scenario, the timer may be pre-configured for the node and terminal AMF. After the core network device re-authenticates the terminal device through the first connection and renews the key for the first connection, if the second connection is in an online state, the core network device and the terminal device can start a timer. Once the core network and end device determine that the timer has expired, the old key for the second connection cannot be used. On the other hand,

после того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение и обновляет ключ для первого соединения, если второе соединение находится в подключенном состоянии, основное сетевое устройство запускает таймер после завершения повторной аутентификации; и оконечное устройство автоматически запускает таймер. После того, как базовая сеть определит, что таймер истек, старый ключ для второго соединения больше не может использоваться. Аналогично, после определения того, что таймер истекает, оконечное устройство не может в дальнейшем использовать старый ключ для второго соединения. С другой стороны,after the main network device re-authenticates the terminal device through the first connection and renews the key for the first connection, if the second connection is in the connected state, the main network device starts a timer after re-authentication is completed; and the terminal automatically starts the timer. Once the core network determines that the timer has expired, the old key for the second connection can no longer be used. Likewise, after determining that the timer expires, the end device can no longer use the old key for the second connection. On the other hand,

в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение или после завершения повторной аутентификации, основное сетевое устройство передает первый идентификатор ключа оконечному устройству, и затем основное сетевое устройство и оконечное устройство каждое устанавливает информацию метки, чтобы отметить, что если второе соединение переключается в состояние ожидания, основное сетевое устройство и оконечное устройство обновляют ключ для второго соединения.in a process in which the main network device re-authenticates the terminal device through the first connection or after the re-authentication is completed, the main network device transmits the first key ID to the terminal device, and then the main network device and the terminal device each set label information to indicate that if the second connection switches to the idle state, the main network device and the end device update the key for the second connection.

Со ссылкой на фиг. 4, в качестве варианта, в другом возможном сценарии реализации, первое условие запуска представляет собой информацию таймера или метки. Как показано на фиг. 6, способ включает в себя следующие этапы.With reference to FIG. 4, alternatively, in another possible implementation scenario, the first trigger condition is timer or label information. As shown in FIG. 6, the method includes the following steps.

Этап 601. Основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа. Соответственно, оконечное устройство выполняет повторную аутентификацию на основном сетевым устройстве через первое соединение, соответствующее первой технологии доступа.Step 601: The main network device re-authenticates with the terminal device through the first connection corresponding to the first access technology. Accordingly, the terminal device performs re-authentication on the main network device through the first connection corresponding to the first access technology.

В качестве варианта, в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство получает первый идентификатор ключа и сохраняет второй идентификатор ключа и ключ для второго подключения, которое используется перед обновлением, где первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения, и второй идентификатор ключа используется для идентификации ключа для второго соединения, которое используется перед обновлением.Alternatively, in a process in which the primary network device re-authenticates the terminal device through the first connection, the primary network device obtains the first key ID and stores the second key ID and key for the second connection that is used before the update where the first key ID is used to identify the updated key for the first connection, and the second key identifier is used to identify the key for the second connection, which is used before the update.

Соответственно, в процессе выполнения повторной аутентификации через первое соединение, оконечное устройство сохраняет второй идентификатор ключа и ключ для второго соединения, который используется перед обновлением, где второй идентификатор ключа используется для идентификации ключа для второго соединения, которое используется перед обновлением.Accordingly, in the process of re-authenticating over the first connection, the terminal stores the second key ID and the key for the second connection that is used before the update, where the second key ID is used to identify the key for the second connection that is used before the update.

Следует отметить, что в этом варианте осуществления настоящего раскрытия ключ для второго соединения, который используется перед обновлением, является старым ключом для второго соединения, и обновленный ключ для второго соединения является новым ключом для второго соединения. Новый ключ для второго соединения связан с ключом, сгенерированным в процессе повторной аутентификации оконечного устройства через первое соединение.It should be noted that in this embodiment of the present disclosure, the key for the second connection that is used before the update is the old key for the second connection, and the updated key for the second connection is the new key for the second connection. The new key for the second connection is associated with the key generated during the re-authentication of the end device through the first connection.

Этап 602. Основное сетевое устройство запускает таймер.Step 602: The underlying network device starts a timer.

Значение, которое побуждает таймер истекать, может быть значением таймера, который используется в данный момент, например, значением таймера, относящимся к non-3GPP технологии доступа, например, значением таймера отмены регистрации (deregistration timer), или может быть значением таймера, относящегося к 3GPP технологии доступа, например, значением таймера периодического обновления (periodic registration timer). При запуске таймера основное сетевое устройство может напрямую использовать значение таймера, который ведет обратный отсчет, может устанавливать значение меньше, чем значение таймера, который ведет обратный отсчет, или может устанавливать значение, не связанное со значением существующего таймера. В качестве альтернативы оператор может предварительно сконфигурировать значение, при котором истекает таймер, чтобы значение, при котором истекает таймер, представляло действительную продолжительность ключа для второго соединения, которое используется перед обновлением, то есть, продолжительность в которой ключ для второго соединения, которое использовалось до обновления, все еще можно использовать.The value that causes the timer to expire may be a timer value that is currently in use, such as a non-3GPP access technology related timer value, such as a deregistration timer value, or may be a timer value related to 3GPP access technology, for example, by the value of the periodic registration timer. When starting the timer, the underlying network device may directly use the value of the timer that is counting down, may set a value less than the value of the timer that is counting down, or may set a value unrelated to the value of an existing timer. Alternatively, the operator may pre-configure the value at which the timer expires so that the value at which the timer expires represents the actual key duration for the second connection that is in use before the update, i.e., the duration at which the key for the second connection that was in use before the update , can still be used.

Этап 603. Основное сетевое устройство передает второе сообщение на оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает второе сообщение.Step 603: The host network device transmits the second message to the terminal device via the first connection. Accordingly, the terminal device receives the second message.

В качестве варианта, второе сообщение передает информацию инструкции, и информация инструкции используется для указания оконечному устройству запустить таймер. В качестве варианта, второе сообщение может быть NAS SMC сообщением.Alternatively, the second message conveys instruction information, and the instruction information is used to instruct the tag to start the timer. Alternatively, the second message may be a NAS SMC message.

В качестве варианта, второе сообщение дополнительно передает идентификатор первого ключа или идентификатор второго ключа.Alternatively, the second message further conveys a first key identifier or a second key identifier.

Этап 604. Оконечное устройство запускает таймер.Step 604: The terminal starts a timer.

В качестве варианта, если второе сообщение, принятое оконечным устройством, передает идентификатор первого ключа или идентификатор второго ключа, оконечное устройство может определить, что ключ для второго соединения необходимо обновить, и затем запустить таймер; или, если второе сообщение, принятое оконечным устройством, передает информацию инструкции, оконечное устройство может запустить таймер в соответствии с информацией инструкции.Alternatively, if the second message received by the terminal transmits a first key identifier or a second key identifier, the terminal may determine that the key for the second connection needs to be updated and then start a timer; or, if the second message received by the terminal conveys instruction information, the terminal may start the timer in accordance with the instruction information.

В качестве варианта, значение, при котором таймер, запущенный оконечным устройством, истекает, может быть таким же или отличаться от значения, при котором истекает таймер, запущенный основным сетевым устройством. Если значения различаются, значение, при котором таймер, запущенный оконечным устройством, истекает, может быть меньше, чем значение, при котором истекает таймер, запущенный основным сетевым устройством. Значение, при котором таймер, запущенный оконечным устройством, истекает, может быть значением таймера, который используется в данный момент, например, значением таймера, относящимся к non-3GPP технологии доступа, например, значением таймера отмены регистрации (deregistration timer), или может быть значением таймера, относящегося к 3GPP технологии доступа, например, значением таймера периодического обновления (periodic registration timer). При запуске таймера основное сетевое устройство может напрямую использовать значение таймера, который ведет обратный отсчет, может устанавливать значение меньше, чем значение таймера, который ведет обратный отсчет, или может устанавливать значение, не связанное со значением существующего таймера. В качестве альтернативы, оператор может предварительно сконфигурировать значение, при котором истекает таймер, чтобы значение, при котором истекает таймер, представляло действительную продолжительность ключа для второго соединения, которое используется перед обновлением, то есть, продолжительность, для которой ключ для второго соединение, которое использовалось до обновления, все еще можно использовать.Alternatively, the value at which the timer started by the terminal device expires may be the same or different from the value at which the timer started by the underlying network device expires. If the values differ, the value at which the timer started by the terminal device expires may be less than the value at which the timer started by the underlying network device expires. The value at which the timer started by the terminal expires may be a timer value that is currently in use, such as a non-3GPP access technology related timer value, such as a deregistration timer value, or may be a timer value related to the 3GPP access technology, for example, a periodic update timer value (periodic registration timer). When starting the timer, the underlying network device may directly use the value of the timer that is counting down, may set a value less than the value of the timer that is counting down, or may set a value unrelated to the value of an existing timer. Alternatively, the operator may pre-configure the value at which the timer expires so that the value at which the timer expires represents the actual key duration for the second connection that is in use before the update, i.e., the duration for which the key for the second connection that was in use before the update, you can still use it.

Этап 605. Если выполняется второе условие запуска, оконечное устройство обновляет ключ для второго соединения.Step 605: If the second trigger condition is met, the terminal updates the key for the second connection.

В качестве варианта, второе условие запуска может заключаться в том, что таймер оконечного устройства истекает. По истечении таймера, оконечное устройство может сбросить ключ для второго соединения, которое используется перед обновлением, или оконечное устройство обновляет на основании нового ключа, сгенерированного в процессе повторной аутентификации, ключ, используемого для второго соединения. Например, ключ NAS уровня, вновь созданный в процессе повторной аутентификации, используется в качестве нового ключа, или новый ключ NAS уровня выводится с использованием ключа, вновь созданного в процессе повторной аутентификации, например, Kamf.Alternatively, the second trigger condition may be that the tag's timer expires. After the timer expires, the terminal may reset the key for the second connection that is used before the update, or the terminal may update, based on the new key generated during the re-authentication process, the key used for the second connection. For example, the NAS tier key newly generated during the re-authentication process is used as the new key, or the new NAS tier key is derived using the key newly generated during the re-authentication process, such as Kamf.

Следует отметить, что последовательность выполнения этапа 605 и этапа 606 не ограничена в настоящем изобретении. Этап 605 может выполняться перед этапом 606 или может выполняться после этапа 606 и этапа 607. На фиг. 6, в качестве примера используется этап 605, который выполняется первым.It should be noted that the sequence of step 605 and step 606 is not limited in the present invention. Step 605 may be performed before step 606, or may be performed after step 606 and step 607. In FIG. 6, step 605 is used as an example, which is performed first.

Этап 606. Оконечное устройство передает третье сообщение в основное сетевое устройство через второе соединение. Соответственно, основное сетевое устройство принимает третье сообщение от оконечного устройства через второе соединение.Step 606: The tag sends the third message to the underlying network device via the second connection. Accordingly, the host network device receives the third message from the terminal device via the second connection.

Третье сообщение является NAS сообщением и может быть, например, сообщением запроса регистрации или сообщением запроса установления сеанса. Существует, по меньшей мере, несколько следующих случаев, в которых оконечное устройство передает третье сообщение основному сетевому устройству через второе соединение:The third message is a NAS message and may be, for example, a registration request message or a session establishment request message. There are at least several of the following cases in which the end device sends the third message to the main network device via the second connection:

Случай 1. Перед тем, как таймер истечет, оконечное устройство передает третье сообщение основному сетевому устройству через второе соединение, где защита безопасности выполняется для третьего сообщения с использованием ключа для второго соединения, который используется перед обновлением.Case 1: Before the timer expires, the end device sends the third message to the main network device via the second connection, where security protection is performed on the third message using the key for the second connection, which is used before the update.

Случай 2: по истечении таймера оконечное устройство передает третье сообщение основному сетевому устройству через второе соединение, где для третьего сообщения не выполняется защита безопасности. Можно понять, что в этом случае, если таймер истекает, оконечное устройство не может активно обновлять ключ для второго соединения. В качестве варианта, оконечное устройство может отправить третье сообщение через второе соединение, и затем выполнить этап 607. После этапа 607 основное сетевое устройство может отправить в оконечное устройство через второе соединение сообщение, используемое для обновления и активации нового ключа. Например, сообщение содержит информацию инструкции для указания оконечному устройству обновить ключ для второго соединения или третий идентификатор ключа, и затем оконечное устройство выполняет этап 605. В соответствии с этим случаем второе условие запуска на этапе 605 состоит в том, что оконечное устройство принимает информацию инструкции или третий идентификатор ключа. В качестве альтернативы, в этом случае оконечное устройство может обновить ключ для второго соединения после отправки третьего сообщения на основное сетевое устройство, то есть, второе условие запуска состоит в том, что таймер оконечного устройства истекает, то есть, оконечное устройство выполняет этап 605 после этапа 606.Case 2: After the timer expires, the end device sends the third message to the main network device through the second connection, where no security protection is performed for the third message. It can be understood that in this case, if the timer expires, the terminal cannot actively renew the key for the second connection. Alternatively, the tag may send a third message over the second connection, and then perform step 607. After step 607, the underlying network device may send a message to the tag over the second connection used to update and activate the new key. For example, the message contains instruction information for instructing the tag to update the second connection key or the third key identifier, and then the tag performs step 605. According to this case, the second trigger condition in step 605 is that the tag receives the instruction information or third key identifier. Alternatively, in this case, the terminal may renew the key for the second connection after sending the third message to the primary network device, i.e., the second trigger condition is that the terminal's timer expires, i.e., the terminal executes step 605 after step 606.

Случай 3: после истечения таймера оконечное устройство передает третье сообщение основному сетевому устройству через второе соединение, где для третьего сообщения выполняется защита безопасности с использованием обновленного ключа для второго соединения.Case 3: After the timer expires, the end device sends the third message to the main network device via the second connection, where the third message is secured with the updated key for the second connection.

В качестве варианта, в случае 3, после истечения таймера, оконечное устройство может активно обновлять ключ для второго соединения, то есть, этап 605 выполняется после этапа 606. В соответствии с этим случаем второе условие запуска на этапе 605 заключается в том, что таймер оконечного устройства истекает.Alternatively, in case 3, after the timer expires, the terminal may actively renew the key for the second connection, i.e., step 605 is performed after step 606. According to this case, the second trigger condition in step 605 is that the terminal's timer device expires.

Этап 607. Если первое условие запуска выполняется, основное сетевое устройство обновляет ключ для второго соединения.Step 607: If the first trigger condition is met, the underlying network device updates the key for the second connection.

В соответствии с тремя случаями на этапе 605, есть также три типа условий первого запуска:According to the three cases at step 605, there are also three types of first trigger conditions:

В соответствии со случаем 1 первым типом условия запуска является: основное сетевое устройство принимает до истечения таймера третье сообщение, которое передается оконечным устройством через второе соединение, и проверка безопасности, выполняемая основным сетевым устройством в третьем сообщении, используя ключ для второго подключения, которое используется до успешного обновления.According to case 1, the first type of trigger condition is: the main network device receives before the expiration of the timer the third message, which is transmitted by the terminal device through the second connection, and the security check performed by the main network device in the third message, using the key for the second connection, which is used until successful update.

В качестве варианта, в этом случае оконечное устройство не обновляет ключ для второго соединения перед отправкой третьего сообщения в основное сетевое устройство. Следовательно, после обновления ключа для второго соединения основное сетевое устройство может дать оконечному устройству команду обновить ключ для второго соединения, например, обновить ключ для второго соединения в последующей процедуре активации ключа, например, NAS SMC процесс.Alternatively, in this case, the end device does not renew the key for the second connection before sending the third message to the main network device. Therefore, after updating the key for the second connection, the main network device can instruct the terminal device to update the key for the second connection, for example, update the key for the second connection in a subsequent key activation procedure, for example, NAS SMC process.

В качестве варианта, в процессе, в котором основное сетевое устройство обрабатывает третье сообщение, таймер истекает, и основное сетевое устройство может отправить сообщение об ошибке в оконечное устройство. Сообщение об ошибке может содержать значение причины сбоя, и значение причины используется для уведомления оконечного устройства о том, что ключ для второго соединения используется до истечения срока действия обновления.Alternatively, in the process in which the main network device processes the third message, the timer expires and the main network device can send an error message to the terminal device. The error message may contain a failure reason value, and the reason value is used to notify the end device that the key for the second connection is in use before the update expires.

В качестве варианта, в процессе, в котором основное сетевое устройство обрабатывает третье сообщение, если таймер истекает, защита безопасности может быть выполнена с использованием обновленного ключа для второго соединения для сообщения, впоследствии отправленного основным сетевым устройством в оконечное устройство. Поскольку оконечное устройство обновляет ключ для второго соединения после истечения таймера оконечного устройства, оконечное устройство может выполнять, используя обновленный ключ для второго соединения, проверку безопасности сообщения, принятого через второе соединение после истечения таймера.Alternatively, in a process in which the host network device processes the third message, if the timer expires, security protection may be performed using the updated key for the second connection for the message subsequently sent by the host network device to the terminal device. Since the tag updates the key for the second connection after the tag's timer expires, the tag can perform, using the updated key for the second connection, a security check on the message received over the second connection after the timer expires.

В соответствии со случаем 2, второй тип условия запуска: после истечения таймера основное сетевое устройство принимает третье сообщение, которое передается оконечным устройством через второе соединение и на котором не выполняется защита безопасности. В этом случае основное сетевое устройство включает в себя обновленный ключ для второго соединения в последующей процедуре активации ключа, например, NAS SMC процедуре.According to case 2, the second type of triggering condition: after the timer expires, the main network device receives the third message, which is transmitted by the terminal device through the second connection and on which security protection is not performed. In this case, the main network device includes an updated key for the second connection in a subsequent key activation procedure, such as a NAS SMC procedure.

В соответствии со случаем 3, третий тип условия запуска: после истечения таймера основное сетевое устройство принимает третье сообщение, которое передается оконечным устройством через второе соединение, где защита безопасности выполняется для третьего сообщения посредством использования обновленного ключа для второго подключения. Соответственно, основное сетевое устройство выполняет проверку безопасности третьего сообщения, используя обновленный ключ для второго соединения.According to case 3, the third type of trigger condition: after the timer expires, the main network device receives the third message, which is transmitted by the end device through the second connection, where security protection is performed for the third message by using the renewed key for the second connection. Accordingly, the underlying network device performs a security check on the third message using the updated key for the second connection.

В качестве варианта, дополнительно может быть использован четвертый тип условия запуска: таймер истекает, и основное сетевое устройство не принимает, прежде чем истечет таймер, третье сообщение, которое передается оконечным устройством через второе соединение.Alternatively, a fourth type of trigger condition may additionally be used: the timer expires and the host network device does not receive, before the timer expires, the third message that is transmitted by the terminal device over the second connection.

Для четвертого типа условия запуска, то есть, оконечное устройство не передает третье сообщение в основное сетевое устройство с момента, когда таймер основного сетевого устройства запускается, до момента, когда таймер базовой сети истекает, основное сетевое устройство сбрасывает ключ для второго соединения, которое используется перед обновлением, после истечения таймера основного сетевого устройства. В качестве варианта, основное сетевое устройство дополнительно обновляет ключ для второго подключения. В качестве варианта, основное сетевое устройство инструктирует оконечное устройство обновить ключ для второго соединения.For the fourth type of trigger condition, that is, the end device does not send a third message to the core network device from the time the core network device timer starts until the time the core network timer expires, the core network device resets the key for the second connection, which is used before update, after the timer of the main network device has expired. Alternatively, the primary network device further renews the key for the second connection. Alternatively, the host network device instructs the terminal device to renew the key for the second connection.

В качестве варианта, после истечения таймера второе соединение не возвращается немедленно в состояние ожидания. В период времени от момента, когда таймер истекает, до момента, когда второе соединение возвращается в состояние ожидания, если оконечное устройство передает сообщение запроса регистрации в основное сетевое устройство, основное сетевое устройство может выполнить повторную аутентификацию на оконечном устройстве.Alternatively, after the timer expires, the second connection does not immediately return to the pending state. In the time period from when the timer expires to when the second connection returns to the idle state, if the terminal device sends a registration request message to the main network device, the main network device may re-authenticate with the terminal device.

Следует отметить, что до истечения таймера, если основное сетевое устройство обновило ключ для второго соединения, основное сетевое устройство может остановить таймер. Аналогично, если оконечное устройство обновляет ключ для второго соединения до истечения таймера, оконечное устройство также может остановить таймер.It should be noted that before the timer expires, if the primary network device has updated the key for the second connection, the primary network device may stop the timer. Similarly, if the end device renews the key for the second connection before the timer expires, the end device may also stop the timer.

Этап 608. Основное сетевое устройство удаляет ключ для второго соединения, которое используется перед обновлением, и второй идентификатор ключа.Step 608: The underlying network device deletes the key for the second connection that is in use before the update and the second key identifier.

Можно понять, что на этапе 607 после обновления ключа для второго соединения основное сетевое устройство может выполнить этап 608.It can be understood that at step 607, after the key update for the second connection, the main network device can perform step 608.

Этап 609. Оконечное устройство удаляет ключ для второго соединения перед обновлением и второй идентификатор ключа.Step 609: The terminal deletes the key for the second pre-renewal connection and the second key identifier.

Можно понять, что на этапе 605, после обновления ключа для второго соединения, оконечное устройство может выполнить этап 609.It can be understood that at step 605, after updating the key for the second connection, the terminal may perform step 609.

Согласно способу обновления ключа, предоставленному в этом варианте осуществления настоящего раскрытия, когда базовая сеть определяет, что базовая сеть должна выполнить повторную аутентификацию через первое соединение, если второе соединение находится в подключенном состоянии, основное сетевое устройство может напрямую выполнять повторную аутентификацию на оконечном устройстве через первое соединение и может сохранять ключ для второго соединения, который используется перед обновлением в процессе повторной аутентификации. Таким образом, даже если основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение и обновляет ключ для первого подключения, когда основное сетевое устройство и оконечное устройство связываются друг с другом через второе соединение, ключ для второго соединения, который использовался до обновления, все еще может использоваться, и это не влияет на нормальную связь через второе соединение. Дополнительно, в этом способе первое соединение и второе соединение разъедены. При выполнении аутентификации на оконечном устройстве через первое соединение основному сетевому устройству не нужно определять состояние второго соединения. После истечения таймера и основное сетевое устройство, и оконечное устройство могут активно обновлять ключ для второго соединения, тем самым, уменьшая накладные расходы на служебную сигнализацию между основным сетевым устройством и оконечным устройством, и упрощая реализацию.According to the key renewal method provided in this embodiment of the present disclosure, when the core network determines that the core network should perform re-authentication through the first connection, if the second connection is in the connected state, the core network device can directly perform re-authentication to the terminal device through the first connection and may store the key for the second connection, which is used before updating during the re-authentication process. Thus, even if the main network device re-authenticates the terminal device through the first connection and updates the key for the first connection, when the main network device and the end device communicate with each other through the second connection, the key for the second connection that was used before the update is all can still be used and it does not affect normal communication through the second connection. Additionally, in this method, the first connection and the second connection are severed. When performing authentication at the end device through the first connection, the underlying network device does not need to determine the state of the second connection. After the expiration of the timer, both the main network device and the terminal device can actively renew the key for the second connection, thereby reducing the signaling overhead between the main network device and the terminal device, and simplifying the implementation.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.It can be understood that a terminal device or a host network device may perform some or all of the steps in the above embodiment. These steps or operations are merely examples. In embodiments of the present disclosure, other operations or variants of various operations may additionally be performed. In addition, the steps may be performed in a different order from the sequence shown in the previous embodiment, and alternatively, not all operations in the previous embodiment need be performed.

В качестве варианта, как показано на фиг. 4, в другом возможном сценарии реализации, когда базовая сеть определяет, что базовой сети необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение, как показано на фиг. 7, способ включает в себя следующие этапы.Alternatively, as shown in FIG. 4, in another possible implementation scenario, when the core network determines that the core network needs to re-authenticate at the terminal device through the first connection, as shown in FIG. 7, the method includes the following steps.

Этап 701. Основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа; соответственно, оконечное устройство выполняет повторную аутентификацию на основном сетевом устройстве через первое соединение, соответствующее первой технологии доступа.Step 701: The main network device performs re-authentication at the terminal device through the first connection corresponding to the first access technology; accordingly, the terminal performs re-authentication on the main network device through the first connection corresponding to the first access technology.

Этап 702. Основное сетевое устройство устанавливает первую метку. В качестве варианта, второе соединение находится в подключенном состоянии.Step 702: The primary network device sets the first label. Alternatively, the second connection is in the connected state.

Первая метка используется для обозначения того, что основное сетевое устройство выполнило повторную аутентификацию на оконечном устройстве через первое соединение, или используется для указания обновить ключ для второго соединения.The first label is used to indicate that the underlying network device has re-authenticated to the terminal device through the first connection, or is used to indicate a key update for the second connection.

Следует отметить, что, если первая метка используется для обозначения, что основное сетевое устройство выполнило повторную аутентификацию на оконечном устройстве через первое соединение, она также неявно отмечает, что основному сетевому устройству необходимо обновить ключ для второго соединения.It should be noted that if the first label is used to indicate that the primary network device has re-authenticated at the end device through the first connection, it also implicitly indicates that the primary network device needs to renew the key for the second connection.

Этап 703. Если выполняется первое условие запуска, основное сетевое устройство обновляет ключ для второго соединения.Step 703: If the first trigger condition is met, the host network device updates the key for the second connection.

В качестве варианта, в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, второе соединение может вернуться в состояние ожидания. На основании этого, первое условие запуска состоит в том, что второе соединение находится в состоянии ожидания, и основное сетевое устройство определяет наличие первой метки.Alternatively, in a process in which the host network device re-authenticates the terminal device through the first connection, the second connection may return to the idle state. Based on this, the first trigger condition is that the second connection is in the pending state and the underlying network device detects the presence of the first label.

В качестве альтернативы, после того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, и второе соединение все еще находится в подключенном состоянии, первое условие запуска в этом случае состоит в том, что основное сетевое устройство определяет, что первая метка существует, и соответствующий способ обновления ключа для второго подключения основным сетевым устройством: если второе подключение находится в состоянии подключения, сначала приостанавливается основным сетевым устройством с использованием второго подключения, и затем обновляется ключ для второго соединения. В качестве альтернативы, прежде чем ответить оконечному устройству сообщением через второе соединение, основное сетевое устройство сначала обменивается процедурой обновления ключа и активации с оконечным устройством, чтобы обновить ключ для второго соединения. Затем основное сетевое устройство передает ответное сообщение в оконечное устройство. Например, ключ для второго соединения обновляется в NAS SMC процедуре.Alternatively, after the primary network device re-authenticates the end device through the first connection and the second connection is still connected, the first trigger condition in this case is that the primary network device determines that the first label exists, and the corresponding way to update the key for the second connection by the main network device: if the second connection is in the connecting state, it is first suspended by the main network device using the second connection, and then the key for the second connection is updated. Alternatively, before replying to the end device with a message over the second connection, the host network device first exchanges a key update and activation procedure with the end device to renew the key for the second connection. The host network device then sends a response message to the end device. For example, the key for the second connection is updated in the NAS SMC procedure.

Следует отметить, что, если второе соединение возвращается в состояние ожидания в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство может обновить ключ для второго соединения, когда основное сетевое устройство снова принимает NAS сообщение, например сообщение с запросом регистрации, которое передается оконечным устройством через второе соединение, и основное сетевое устройство определяет наличие первой метки. Например, ключ для второго подключения обновляется путем обмена процедурой обновления ключа и активации с оконечным устройством.It should be noted that if the second connection is returned to the idle state in a process in which the main network device re-authenticates the end device through the first connection, the main network device can update the key for the second connection when the main network device receives the NAS message again, for example a registration request message that is sent by the end device over the second connection, and the underlying network device determines the presence of the first label. For example, the key for the second connection is updated by exchanging the key renewal and activation procedure with the end device.

В качестве варианта, основное сетевое устройство может определять на основании информации идентификатора ключа, переносимой в сообщении, отправленном оконечным устройством, конкретный набор ключей, используемых оконечным устройством. В этом случае основное сетевое устройство определяет ключи на основании идентификатора ключа и проверяет, используя ключи, соответствующие идентификатору ключа, сообщение, отправленное оконечным устройством. После успешной проверки набор ключей используется как обновленные ключи для второго соединения.Alternatively, the host network device may determine, based on the key identifier information carried in the message sent by the terminal device, the particular set of keys used by the terminal device. In this case, the host network device determines the keys based on the key ID and verifies, using the keys corresponding to the key ID, the message sent by the terminal device. After successful validation, the key set is used as the updated keys for the second connection.

Можно понять, что: после обновления ключа для второго соединения основное сетевое устройство может возобновить использование второго соединения; и при последующей отправке NAS сообщения через второе соединение основное сетевое устройство может выполнять защиту целостности NAS сообщения, используя обновленный ключ для второго соединения.It can be understood that: after the key update for the second connection, the main network device can resume using the second connection; and when the NAS message is subsequently sent via the second connection, the underlying network device can perform integrity protection of the NAS message using the updated key for the second connection.

Этап 704. Основное сетевое устройство получает третий идентификатор ключа.Step 704: The main network device obtains the third key identifier.

Третий идентификатор ключа используется для идентификации обновленного ключа для второго соединения.The third key identifier is used to identify the updated key for the second connection.

В качестве варианта, если первое соединение и второе соединение совместно используют набор NAS ключей, основное сетевое устройство может не получить первый идентификатор ключа в процессе повторной аутентификации, но получит третий идентификатор ключа после обновления ключа для второго соединения. В этом случае третий идентификатор ключа может использоваться для идентификации обновленного ключа для первого соединения и обновленного ключа для второго соединения.Alternatively, if the first connection and the second connection share a set of NAS keys, the primary network device may not obtain the first key ID during the re-authentication process, but will receive the third key ID after the key update for the second connection. In this case, the third key identifier may be used to identify the updated key for the first connection and the updated key for the second connection.

В качестве варианта, если первое соединение и второе соединение совместно используют набор NAS ключей, основное сетевое устройство может не получить третий идентификатор ключа, но напрямую использует идентификатор первого ключа, полученный в процессе повторной аутентификации. Другими словами, первый идентификатор ключа, полученный в процессе повторной аутентификации, может использоваться для идентификации обновленного ключа для первого соединения и обновленного ключа для второго соединения.Alternatively, if the first connection and the second connection share a set of NAS keys, the main network device may not obtain the third key ID, but directly use the first key ID obtained during the re-authentication process. In other words, the first key identifier obtained during the re-authentication process can be used to identify the updated key for the first connection and the updated key for the second connection.

Этап 705. Основное сетевое устройство передает третий идентификатор ключа в оконечное устройство. Соответственно, оконечное устройство принимает от основного сетевого устройства третий идентификатор ключа.Step 705: The main network device transmits the third key identifier to the terminal device. Accordingly, the terminal device receives the third key identifier from the main network device.

Следует отметить, что после того, как основное сетевое устройство обновляет ключ для второго соединения, если второе соединение находится в состоянии подключения, основное сетевое устройство может отправить третий идентификатор ключа оконечному устройству через второе соединение, где защита целостности выполняется для третьего идентификатора ключа с использованием обновленного ключа для второго соединения; если второе соединение находится в состоянии ожидания, основное сетевое устройство может отправить третий идентификатор ключа оконечному устройству через первое соединение, и для третьего идентификатора ключа выполняется защита целостности с использованием обновленного ключа для первого соединения.It should be noted that after the main network device updates the key for the second connection, if the second connection is in the connecting state, the main network device can send the third key identifier to the terminal device through the second connection, where integrity protection is performed for the third key identifier using the updated key for the second connection; if the second connection is pending, the main network device can send the third key ID to the end device via the first connection, and integrity protection is performed on the third key ID using the updated key for the first connection.

В качестве варианта, если первое соединение и второе соединение совместно используют набор NAS ключей, и основное сетевое устройство не получает третий идентификатор ключа, основное сетевое устройство может отправить первый идентификатор ключа оконечному устройству.Alternatively, if the first connection and the second connection share a set of NAS keys, and the primary network device does not receive the third key ID, the primary network device may send the first key ID to the terminal device.

В качестве варианта, основное сетевое устройство может дополнительно передавать в оконечное устройство, по меньшей мере, один параметр, используемый для обновления ключа для второго соединения, например, алгоритм шифрования и алгоритм защиты целостности, которые выбираются, когда основное сетевое устройство обновляет ключ для второго подключения и тип технологии доступа.Alternatively, the host network device may further send to the terminal at least one parameter used to update the key for the second connection, such as an encryption algorithm and an integrity protection algorithm, which are selected when the host network device updates the key for the second connection. and type of access technology.

Этап 706. Оконечное устройство обновляет ключ для второго соединения.Step 706: The terminal updates the key for the second connection.

Можно понять, что в этом случае второе условие запуска состоит в том, что оконечное устройство принимает третий идентификатор ключа от основного сетевого устройства.It can be understood that in this case, the second trigger condition is that the target device receives the third key ID from the main network device.

В качестве варианта, третий идентификатор ключа может переноситься в NAS сообщении. Если оконечное устройство принимает третий идентификатор ключа через второе соединение, оконечное устройство может обновить ключ для второго соединения на основании идентификатора третьего ключа, то есть, обновить ключ для второго соединения до ключа, идентифицированного третьим идентификатором ключа, и выполнить проверку защиты целостности NAS сообщения, используя обновленный ключ для второго соединения. После успешной проверки обновленный ключ для второго соединения становится действительным. Если оконечное устройство принимает третий идентификатор ключа через первое соединение, оконечное устройство может выполнить проверку защиты целостности для NAS сообщения, используя обновленный ключ для второго соединения, и обновить ключ для второго соединения после успешной проверки.Alternatively, a third key identifier may be carried in the NAS message. If the terminal device receives the third key identifier over the second connection, the terminal device may update the key for the second connection based on the third key identifier, that is, update the key for the second connection to the key identified by the third key identifier, and perform a NAS message integrity protection check using updated key for the second connection. After successful validation, the updated key for the second connection becomes valid. If the terminal device receives the third key identifier via the first connection, the terminal device may perform an integrity check on the NAS message using the updated key for the second connection, and update the key for the second connection after successful verification.

Согласно способу генерирования ключа, предоставленному в этом варианте осуществления настоящего раскрытия, независимо от того, находится ли второе соединение в состоянии ожидания, основное сетевое устройство может сначала обновить ключ для первого соединения. После обновления ключа для первого соединения, если второе соединение возвращается в состояние ожидания, ключ для второго соединения может быть обновлен после того, как оконечное устройство в следующий раз отправит сообщение запроса регистрации на основное сетевое устройство через второе соединение. Если второе соединение все еще находится в подключенном состоянии, чтобы избежать того, чтобы основное сетевое устройство и оконечное устройство выполняли защиту безопасности, по-прежнему используя ключ для второго подключения, который используется перед обновлением при передаче сообщения друг другу через второе соединение и поэтому проверка безопасности сообщения завершается неудачно, основное сетевое устройство может приостановить использование второго соединения, то есть, сначала приостановить обмен NAS сообщениями, который выполняется между основным сетевым устройством и оконечным устройством через второе соединение, и затем обновить ключ для второго соединения. После обновления обмен NAS сообщениями, выполняемый между основным сетевым устройством и оконечным устройством, может быть возобновлен через второе соединение. В этом случае защита безопасности выполняется для NAS сообщения с использованием обновленного ключа для второго соединения. После того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, предотвращается сбой проверки безопасности сообщения, которое передается через второе соединение.According to the key generation method provided in this embodiment of the present disclosure, regardless of whether the second connection is in the idle state, the main network device may first renew the key for the first connection. After updating the key for the first connection, if the second connection returns to the pending state, the key for the second connection may be updated after the tag next sends a registration request message to the primary network device via the second connection. If the second connection is still in the connected state, in order to avoid the main network device and the end device to perform security protection, still using the key for the second connection, which is used before the update when sending a message to each other over the second connection and therefore the security check message fails, the main network device can suspend the use of the second connection, that is, first suspend the NAS messaging that is performed between the main network device and the end device through the second connection, and then renew the key for the second connection. After the upgrade, NAS messaging between the main network device and the end device can be resumed through the second connection. In this case, security protection is performed on the NAS message using the updated key for the second connection. After the underlying network device performs re-authentication at the end device via the first connection, the security check of the message that is transmitted via the second connection is prevented from failing.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления, и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.It can be understood that a terminal device or a host network device may perform some or all of the steps in the above embodiment. These steps or operations are merely examples. In embodiments of the present disclosure, other operations or variants of various operations may additionally be performed. In addition, the steps may be performed in a different order from the sequence shown in the previous embodiment, and alternatively, not all operations in the previous embodiment need to be performed.

Со ссылкой на фиг. 4, в предшествующем возможном сценарии реализации, когда базовая сеть определяет, что базовая сеть должна выполнить повторную аутентификацию на оконечном устройстве через первое соединение, если второе соединение находится в подключенном состоянии, вариант осуществления настоящего раскрытия дополнительно обеспечивает другую возможную реализацию. Как показано на фиг. 8, способ включает в себя следующие этапы.With reference to FIG. 4, in the foregoing exemplary implementation scenario, when the core network determines that the core network should re-authenticate at the terminal through the first connection if the second connection is in the connected state, an embodiment of the present disclosure further provides another possible implementation. As shown in FIG. 8, the method includes the following steps.

Этап 801. Основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа; соответственно, оконечное устройство выполняет повторную аутентификацию на основном сетевым устройстве через первое соединение, соответствующее первой технологии доступа.Step 801: The main network device performs re-authentication at the terminal device through the first connection corresponding to the first access technology; accordingly, the terminal device performs re-authentication on the main network device through the first connection corresponding to the first access technology.

Этап 802. Основное сетевое устройство передает вторую информацию инструкции в оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает вторую информацию инструкции от основного сетевого устройства.Step 802: The host network device transmits the second instruction information to the terminal device via the first connection. Accordingly, the terminal device receives the second instruction information from the main network device.

Информация о второй инструкции используется для указания оконечному устройству обновить ключ для второго соединения.The second instruction information is used to instruct the end device to renew the key for the second connection.

В этом способе реализации возможность обновления ключа для второго соединения не ограничивается. Чтобы быть конкретным, не ограничивается, обновляет ли оконечное устройство ключ сразу после приема второй информации инструкции или обновляет ключ через период времени после приема второй информации инструкции. Этот способ подчеркивает, что оконечное устройство выполняет действие по обновлению ключа для второго соединения после приема второй информации инструкции.In this implementation, the ability to update the key for the second connection is not limited. To be specific, it is not limited whether the tag updates the key immediately after receiving the second instruction information or updates the key after a period of time after receiving the second instruction information. This method emphasizes that the terminal device performs a key renewal action for the second connection after receiving the second instruction information.

Этап 803. Основное сетевое устройство устанавливает вторую метку.Step 803: The primary network device sets the second label.

Вторая метка используется для указания обновить ключ для второго соединения.The second label is used to indicate to update the key for the second connection.

Следует отметить, что последовательность выполнения этапа 802 и этапа 803 не ограничена в настоящем изобретении. Два этапа могут выполняться одновременно, или любой из этих двух этапов выполняется первым.It should be noted that the sequence of step 802 and step 803 is not limited in the present invention. The two steps may be performed simultaneously, or either of the two steps is performed first.

Этап 804. Оконечное устройство устанавливает третью метку.Step 804: The terminal sets the third label.

Третья метка используется для указания обновить ключ для второго соединения.The third label is used to indicate to update the key for the second connection.

Этап 805. Если основное сетевое устройство определяет наличие второй метки, и второе соединение переключается в состояние ожидания, основное сетевое устройство обновляет ключ для второго соединения.Step 805: If the underlying network device detects the presence of the second label and the second connection switches to idle state, the core network device updates the key for the second connection.

Можно понять, что в этом случае первое условие запуска состоит в том, что основное сетевое устройство определяет наличие второй метки, и второе соединение переключается в состояние ожидания.It can be understood that in this case, the first trigger condition is that the underlying network device detects the presence of the second label, and the second connection switches to the idle state.

Этап 806. Если оконечное устройство определяет наличие третьей метки и второе соединение переключается в состояние ожидания, оконечное устройство обновляет ключ для второго соединения.Step 806: If the tag determines the presence of the third label and the second connection switches to idle state, the tag updates the key for the second connection.

Можно понять, что в этом случае второе условие запуска состоит в том, что оконечное устройство определяет наличие третьей метки, и второе соединение переключается в состояние ожидания.It can be understood that in this case the second trigger condition is that the terminal detects the presence of the third label and the second connection switches to the idle state.

В качестве варианта, оконечное устройство может не устанавливать третью метку. После обновления ключа для второго соединения основное сетевое устройство может отправить информацию инструкции в оконечное устройство, чтобы дать оконечному устройству команду обновить ключ для второго соединения.Alternatively, the terminal may not set the third label. After updating the key for the second connection, the host network device may send instruction information to the terminal device to instruct the terminal device to update the key for the second connection.

В качестве альтернативы после того, как второе соединение переключается в состояние ожидания, оконечное устройство может временно не обновлять ключ для второго соединения. Когда оконечному устройству необходимо отправить сообщение основному сетевому устройству через второе соединение, если определено, что существует третья метка, оконечное устройство обновляет ключ для второго соединения.Alternatively, after the second connection switches to the idle state, the terminal may temporarily not renew the key for the second connection. When the tag needs to send a message to the main network device over the second connection, if it is determined that a third label exists, the tag updates the key for the second connection.

Можно понять, что после того, как оконечное устройство обновит ключ для второго соединения, защита целостности может быть выполнена с использованием обновленного ключа для второго соединения в NAS сообщении, которое передается оконечный устройством в основное сетевое устройство через второе соединение.It can be understood that after the end device updates the key for the second connection, integrity protection can be performed using the updated key for the second connection in the NAS message that is transmitted by the end device to the main network device via the second connection.

Согласно способу обновления ключа, предоставленному в этом варианте осуществления настоящего раскрытия, когда основное сетевое устройство определяет, что основному сетевому устройству необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение, если второе соединение находится в подключенном состоянии, основное сетевое устройство может сначала выполнить повторную аутентификацию на оконечном устройстве через первое соединение. После повторной аутентификации основное сетевое устройство может установить вторую метку, и оконечное устройство может установить третью метку. После того, как второе соединение переключается в состояние ожидания, как основное сетевое устройство, так и оконечное устройство могут обновлять ключ для второго подключения на основе меток, установленных основным сетевым устройством и оконечным устройством, тем самым, уменьшая служебные данные, генерируемые в процессе обновление ключа для второго соединения.According to the key renewal method provided in this embodiment of the present disclosure, when the main network device determines that the main network device needs to re-authenticate to the terminal device through the first connection, if the second connection is in the connected state, the main network device can first re-authenticate on the end device via the first connection. After re-authentication, the host network device may set a second label, and the terminal device may set a third label. After the second connection switches to the idle state, both the main network device and the end device can update the key for the second connection based on the labels set by the main network device and the end device, thereby reducing the overhead generated during the key update process. for the second connection.

Можно понять, что оконечное устройство или основное сетевое устройство может выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.It can be understood that a terminal device or a host network device may perform some or all of the steps in the above embodiment. These steps or operations are merely examples. In embodiments of the present disclosure, other operations or variants of various operations may additionally be performed. In addition, the steps may be performed in a different order from the sequence shown in the previous embodiment, and alternatively, not all operations in the previous embodiment need be performed.

Способ генерирования ключа, предусмотренный в вариантах осуществления настоящего раскрытия, описывается ниже со ссылкой на конкретный сценарий. Со ссылкой на фиг. 4 и фиг. 6, в сценарии реализации, соответствующем фиг. 6, как показано на фиг. 9, способ, в частности, включает следующие этапы.The key generation method provided in the embodiments of the present disclosure is described below with reference to a specific scenario. With reference to FIG. 4 and FIG. 6 in the implementation scenario corresponding to FIG. 6 as shown in FIG. 9, the method specifically includes the following steps.

Этап 901. Оконечное устройство передает NAS сообщение в AMF узел через первое соединение. Соответственно, AMF узел принимает NAS сообщение через первое соединение.Step 901: The tag sends the NAS message to the AMF node via the first connection. Accordingly, the AMF node receives the NAS message through the first connection.

Например, NAS сообщение может быть сообщением запроса регистрации, сообщением запроса услуги или сообщением запроса установления PDU сеанса, или может быть другим NAS сообщением. Это не ограничено в настоящем изобретении.For example, the NAS message may be a Registration Request message, a Service Request message, or a Session PDU Establishment Request message, or may be another NAS message. This is not limited in the present invention.

NAS сообщение содержит идентификатор ключа, используемый для идентификации ключа для первого соединения, и NAS сообщение защищено с помощью ключа для первого соединения.The NAS message contains a key identifier used to identify the first connection key, and the NAS message is protected with the first connection key.

Этап 902. AMF узел выполняет проверку целостности NAS сообщения, где проверка завершается успешно, и определяет, что AMF узлу необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение.Step 902: The AMF node performs an integrity check on the NAS message, where the check succeeds, and determines that the AMF node needs to re-authenticate to the tag through the first connection.

AMF узел определяет ключ для первого соединения на основании идентификатора ключа, переносимого в NAS сообщении. После проверки целостности NAS сообщения с использованием ключа для первого соединения, которое определяется на основании идентификатора ключа, когда проверка завершается успешно, AMF узел может определить, требуется ли повторная аутентификация на оконечном устройстве. Например, при определении того, что NAS COUNT, используемый оконечным устройством, вот-вот изменится, AMF узел определяет, что на оконечном устройстве должна быть выполнена повторная аутентификация. В качестве альтернативы AMF узел может определять на основании информации о конфигурации оператора, нужно ли выполнять повторную аутентификацию на оконечном устройстве. Конечно, настоящее изобретение не ограничивается двумя перечисленными способами определения необходимости повторной аутентификации на оконечном устройстве.The AMF node determines the key for the first connection based on the key identifier carried in the NAS message. After verifying the integrity of the NAS message using the key for the first connection, which is determined based on the key identifier, when the verification succeeds, the AMF node can determine if re-authentication is required at the terminal device. For example, upon determining that the NAS COUNT used by the end device is about to change, the AMF node determines that the end device must be re-authenticated. As an alternative to AMF, the node may determine, based on the operator's configuration information, whether to perform re-authentication at the terminal. Of course, the present invention is not limited to the above two methods for determining whether a terminal needs to re-authenticate.

Этап 903. AMF узел инициирует повторную аутентификацию на оконечном устройстве через первое соединение. Соответственно, оконечное устройство выполняет повторную аутентификацию через первое соединение.Step 903: The AMF node initiates a re-authentication at the terminal through the first connection. Accordingly, the terminal performs re-authentication through the first connection.

Повторная аутентификация включает в себя процедуру проверки аутентификации и процедуру активации ключа.The re-authentication includes an authentication verification procedure and a key activation procedure.

Этап 904. AMF узел обновляет ключ, соответствующий первому соединению, и получает первый идентификатор ключа.Step 904: The AMF node updates the key corresponding to the first connection and obtains the first key identifier.

Первый идентификатор ключа может быть получен в процессе аутентификации, и первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения.The first key identifier may be obtained during the authentication process, and the first key identifier is used to identify the updated key for the first connection.

Следует отметить, что, если первое соединение и второе соединение используют разные ключи, после обновления ключа для первого соединения AMF узел может удалить ключ для первого соединения, которое используется перед обновлением, и сохранить ключ для второго соединения и второй идентификатор ключа, где второй идентификатор ключа используется для идентификации ключа для второго соединения, который используется перед обновлением; илиIt should be noted that if the first connection and the second connection use different keys, after updating the key for the first AMF connection, the node can delete the key for the first connection that is in use before the update, and keep the key for the second connection and the second key identifier, where the second key identifier used to identify the key for the second connection, which is used before the update; or

если первое соединение и второе соединение совместно используют набор ключей, когда AMF узел обновляет ключ для первого соединения, в качестве варианта, AMF узел все равно должен сохранить для второго соединения ключ для первого используемого соединения перед обновлением и второй идентификатор ключ. Второй идентификатор ключа используется для определения ключа для второго соединения, который используется перед обновлением. Можно понять, что ключ для второго соединения, который используется перед обновлением, совпадает с ключом для первого соединения, которое используется перед обновлением. В частности, если второе соединение находится в подключенном состоянии, в способе, в котором AMF узел устанавливает идентификационную информацию или значение таймера, AMF узел по-прежнему должен сохранять для второго соединения ключ для первого используемого соединения до обновления и второй идентификатор ключа.if the first connection and the second connection share a set of keys, when the AMF node renews the key for the first connection, alternatively, the AMF node must still save for the second connection the key for the first connection in use before the update and the second identifier key. The second key identifier is used to determine the key for the second connection, which is used before the update. It can be understood that the key for the second connection, which is used before the update, is the same as the key for the first connection, which is used before the update. In particular, if the second connection is in the connected state, in the manner in which the AMF node sets the identity information or the timer value, the AMF node still needs to store for the second connection the key for the first used connection before the update and the second key identifier.

Этап 905. AMF узел передает NAS сообщение SMC в оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает NAS сообщение SMC от AMF узла через первое соединение.Step 905: The AMF node sends an SMC message to the NAS via the first connection. Accordingly, the tag receives the NAS SMC message from the AMF node via the first connection.

NAS сообщение SMC эквивалентно второму сообщению на этапе 603. В качестве варианта, NAS сообщение SMC содержит первый идентификатор ключа, второй идентификатор ключа или информацию индикации, где информация индикации используется, чтобы указать оконечному устройству для запуска таймера.The SMC NAS message is equivalent to the second message in step 603. Alternatively, the SMC NAS message contains a first key identifier, a second key identifier, or indication information, where the indication information is used to instruct the tag to start the timer.

В качестве варианта, если NAS сообщение SMC, принятое оконечным устройством, содержит информацию инструкции, которая используется для указания оконечному устройству запустить таймер, оконечное устройство запускает таймер. В качестве альтернативы, если оконечное устройство определяет, что принятое NAS сообщение SMC содержит идентификатор первого ключа или второй идентификатор ключа, оконечное устройство может запустить таймер.Alternatively, if the NAS SMC message received by the tag contains instruction information that is used to direct the tag to start a timer, the tag starts the timer. Alternatively, if the terminal determines that the SMC message received by the NAS contains a first key identifier or a second key identifier, the terminal may start a timer.

В качестве альтернативы, когда используется способ таймера, даже, если NAS сообщение SMC не содержит идентификатор первого ключа, идентификатор второго ключа или информацию инструкции, оконечное устройство может запустить таймер после проверки этой защиты целостности NAS SMC верен или после отправки SMP NAS сообщения. Запуск таймера может быть выполнен оконечным устройством через очень короткое время после того, как оконечное устройство подтвердит правильность защиты целостности NAS SMC сообщения или после того, как оконечное устройство отправит NAS сообщение SMP. Например, таймер запускается сразу после проверки NAS SMC сообщения или сразу после отправки SMP NAS. В этом способе первый идентификатор ключа был передан оконечному устройству в процедуре аутентификации.Alternatively, when the timer method is used, even if the NAS SMC message does not contain a first key identifier, a second key identifier, or instruction information, the terminal may start the timer after checking that the NAS SMC integrity protection is correct or after sending the SMP NAS message. The start of the timer can be performed by the end device very short time after the end device confirms that the integrity of the NAS SMC message is properly protected, or after the end device sends an SMP message to the NAS. For example, the timer starts immediately after the NAS checks the SMC message, or immediately after the SMP NAS sends it. In this method, the first key identifier has been passed to the end device in the authentication procedure.

Следует отметить, что AMF узел может альтернативно запустить таймер перед выполнением этапа 905 или запустить таймер после этапа 908.Note that the AMF node may alternatively start the timer before executing step 905 or start the timer after step 908.

Значение, которое заставляет таймер истекать, является действительной продолжительностью ключа для второго соединения, которое используется перед обновлением. Например, предполагается, что первое соединение и второе соединение имеют общий набор ключей. До истечения таймера ключ для первого соединения, который используется перед обновлением, все еще может использоваться вторым соединением; после истечения таймера ключ для первого соединения, который использовался перед обновлением, не может использоваться для защиты сообщения, передаваемого между AMF узлом и оконечным устройством через второе соединение.The value that causes the timer to expire is the actual key duration for the second connection, which is used before the update. For example, it is assumed that the first connection and the second connection have a common set of keys. Until the timer expires, the key for the first connection that was in use before the update can still be used by the second connection; after the timer expires, the key for the first connection that was in use before the update cannot be used to secure the message sent between the AMF node and the end device over the second connection.

Этап 906. Оконечное устройство обновляет ключ для первого соединения.Step 906: The terminal updates the key for the first connection.

Можно понять, что в процессе повторной аутентификации оконечное устройство принимает NAS сообщение SMC от AMF узла через первое соединение и обновляет ключ, соответствующий первому соединению.It can be understood that in the re-authentication process, the end device receives the NAS SMC message from the AMF node through the first connection and renews the key corresponding to the first connection.

После обновления ключа для первого соединения оконечное устройство может удалить ключ для первого соединения, который используется перед обновлением, и сохранить ключ для второго соединения и второй идентификатор ключа. Удаление ключа для первого соединения, которое использовалось перед обновлением, означает, что ключ не может быть снова использован первым соединением. Это действие относится только к первому соединению и не связано со вторым соединением.After updating the key for the first connection, the terminal may delete the key for the first connection that was in use before the update and keep the key for the second connection and the second key identifier. Deleting the key for the first connection that was in use before the upgrade means that the key cannot be used again by the first connection. This action only applies to the first connection and is not related to the second connection.

Этап 907. Оконечное устройство передает SMP NAS сообщение в AMF узел через первое соединение. Соответственно, AMF узел принимает SMP NAS сообщение.Step 907: The tag sends an SMP NAS message to the AMF node over the first connection. Accordingly, the AMF node receives the SMP NAS message.

NAS SMP узел выполняет защиту целостности, используя обновленный ключ для первого соединения.The NAS SMP node performs integrity protection using the updated key for the first connection.

Следует отметить, что этапы с 904 по этап 907 также можно понимать как процесс, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение.It should be noted that steps 904 to step 907 can also be understood as a process in which the underlying network device performs re-authentication at the terminal device through the first connection.

Этап 908. AMF узел передает сообщение завершения в оконечное устройство через первое соединение; соответственно, оконечное устройство принимает сообщение завершения из AMF узла.Step 908: The AMF node sends a completion message to the terminal via the first connection; accordingly, the end device receives a completion message from the node's AMF.

Сообщение завершения является ответным сообщением NAS сообщения на этапе 901. Например, если NAS сообщение на этапе 901 является сообщением запроса регистрации, NAS сообщение является сообщением о завершении регистрации.The completion message is a response message to the NAS message in step 901. For example, if the NAS message in step 901 is a registration request message, the NAS message is a registration complete message.

Этап 909. Оконечное устройство передает NAS сообщение в AMF узел через второе соединение. Соответственно, AMF узел принимает NAS сообщение через второе соединение.Step 909: The tag sends the NAS message to the AMF node via the second connection. Accordingly, the AMF node receives the NAS message through the second connection.

NAS сообщение содержит второй идентификатор ключа, и NAS сообщение защищено с помощью ключа для второго соединения, которое используется перед обновлением.The NAS message contains a second key identifier, and the NAS message is secured with a key for the second connection, which is used before updating.

В качестве варианта, NAS сообщение дополнительно содержит первый идентификатор ключа.Alternatively, the NAS message further comprises a first key identifier.

Точно так же NAS сообщение может альтернативно быть сообщением запроса регистрации, сообщением запроса услуги или сообщением запроса установления сеанса PDU. Разумеется, настоящее изобретение этим не ограничивается.Similarly, the NAS message may alternatively be a Registration Request message, a Service Request message, or a Session Establishment Request PDU message. Of course, the present invention is not limited to this.

NAS сообщение эквивалентно третьему сообщению на этапе 606. В случае, когда оконечное устройство передает NAS сообщение в AMF узел через второе соединение, см. описание этапа 606. Подробности здесь снова не описываются.The NAS message is equivalent to the third message in step 606. In the case where the tag sends the NAS message to the AMF node via the second connection, see the description of step 606. Details are not described here again.

Этап 910. AMF узел обновляет ключ для второго соединения.Step 910: The AMF node updates the key for the second connection.

AMF узел может обновлять ключ для второго соединения только тогда, когда выполняется первое условие запуска. Описание первого условия запуска может быть понятно из соответствующего описания этапа 607. Подробности здесь снова не описываются.The AMF node can only renew the key for the second connection when the first trigger condition is met. The description of the first trigger condition can be understood from the corresponding description of step 607. Again, details are not described here.

В качестве варианта, AMF узел может получить третий идентификатор ключа, соответствующий обновленному ключу для второго соединения, где третий идентификатор ключа используется для идентификации обновленного ключа для второго соединения. В качестве альтернативы, если первое соединение и второе соединение совместно используют набор NAS ключей, AMF узел может не генерировать третий идентификатор ключа, но использует первый идентификатор ключа для идентификации обновленного ключа для первого соединения и обновленного ключа для второго соединения.Alternatively, the AMF node may obtain a third key identifier corresponding to the updated key for the second connection, where the third key identifier is used to identify the updated key for the second connection. Alternatively, if the first connection and the second connection share a set of NAS keys, the AMF node may not generate a third key ID, but uses the first key ID to identify the updated key for the first connection and the updated key for the second connection.

Следует отметить, что после обновления ключа для второго соединения AMF узел может удалить ключ для второго соединения, который используется перед обновлением, и идентификатор ключа, используемый для идентификации ключа для второго соединения, который использовался до обновления. В качестве альтернативы AMF узел может выбрать, на основе различных условий запуска, удалить ключ для второго соединения, который используется перед обновлением, и идентификатор ключа, используемый для идентификации ключа для второго соединения, который используется перед обновлением, до обновления ключа для второго соединения.It should be noted that after updating the key for the second AMF connection, the node may delete the key for the second connection that was used before the update and the key ID used to identify the key for the second connection that was used before the update. As an alternative to the AMF, the node may choose, based on various trigger conditions, to remove the key for the second connection that is used before the update and the key identifier used to identify the key for the second connection that is used before the update, before the key for the second connection is updated.

Этап 911. AMF узел передает NAS SMC сообщение в оконечное устройство через второе соединение. Соответственно, оконечное устройство принимает NAS SMC сообщение от узла AMF через второе соединение.Step 911: The AMF node sends the NAS SMC message to the tag through the second connection. Accordingly, the end device receives the NAS SMC message from the AMF node via the second connection.

Если первое соединение и второе соединение совместно используют набор ключей, NAS SMC сообщение содержит идентификатор первого ключа.If the first connection and the second connection share a set of keys, the NAS SMC message contains the identifier of the first key.

В качестве варианта, если первое соединение и второе соединение используют разные ключи, NAS SMC сообщение содержит третий идентификатор ключа.Alternatively, if the first connection and the second connection use different keys, the NAS SMC message contains a third key identifier.

Этап 912. Оконечное устройство обновляет ключ для второго соединения.Step 912: The terminal updates the key for the second connection.

В качестве варианта, после приема NAS SMC сообщения оконечное устройство обновляет ключ для второго соединения. В качестве варианта, ключ для второго соединения может быть обновлен на основании первого идентификатора ключа или третьего идентификатора ключа, переносимого в NAS SMC сообщении.Alternatively, upon receipt of the NAS SMC message, the end device renews the key for the second connection. Alternatively, the key for the second connection may be updated based on the first key ID or the third key ID carried in the NAS SMC message.

Возможно после того, как оконечное устройство запускает таймер, если таймер оконечного устройства не истекает, оконечное устройство останавливает таймер после обновления ключа для второго соединения.Possibly after the end device starts the timer, if the end device timer does not expire, the end device stops the timer after re-keying for the second connection.

После обновления ключа для второго соединения оконечное устройство может удалить ключ для второго соединения, который используется перед обновлением, и идентификатор ключа, используемый для идентификации ключа для второго соединения, который используется перед обновлением.After updating the key for the second connection, the terminal may delete the key for the second connection that is used before the update and the key ID used to identify the key for the second connection that is used before the update.

Этап 913. Оконечное устройство передает NAS SMP сообщение в AMF узел через второе соединение. Соответственно, AMF узел принимает NAS SMP сообщение через второе соединение.Step 913: The tag sends the NAS SMP message to the AMF node over the second connection. Accordingly, the AMF node receives the NAS SMP message through the second connection.

Защита целостности NAS SMP сообщения выполняется на основании обновленного ключа.The integrity of the NAS SMP message is protected based on the updated key.

В качестве варианта, после того как основное сетевое устройство запускает таймер, если таймер основного сетевого устройства не истекает, основное сетевое устройство останавливает таймер после обновления ключа для второго соединения.Alternatively, after the primary network device starts a timer, if the primary network device timer does not expire, the primary network device stops the timer after the key update for the second connection.

Этап 914. AMF узел передает сообщение завершения в оконечное устройство через второе соединение. Соответственно, через второе соединение оконечное устройство принимает сообщение завершения.Step 914: The AMF node sends a completion message to the terminal via the second connection. Accordingly, the end device receives the completion message via the second connection.

Сообщение завершения является ответным сообщением NAS сообщения на этапе 901. Например, если NAS сообщение на этапе 901 является сообщением запроса регистрации, сообщение завершения является сообщением о завершении регистрации.The completion message is a response message to the NAS message in step 901. For example, if the NAS message in step 901 is a registration request message, the completion message is a registration completion message.

Можно понять, что оконечное устройство или основное сетевое устройство может выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.It can be understood that a terminal device or a host network device may perform some or all of the steps in the above embodiment. These steps or operations are merely examples. In embodiments of the present disclosure, other operations or variants of various operations may additionally be performed. In addition, the steps may be performed in a different order from the sequence shown in the previous embodiment, and alternatively, not all operations in the previous embodiment need be performed.

В качестве варианта, в сценарии реализации, соответствующем фиг. 5, когда AMF узел определяет, что AMF узел должен выполнить повторную аутентификацию на оконечном устройстве через первое соединение, AMF узел должен определить состояние второго соединения и может выполнить повторную аутентификацию на оконечном устройстве через первое соединение только тогда, когда состояние второго соединения является состоянием ожидания. Как показано на фиг. 10, способ включает этапы с 1001 по 1012.Alternatively, in the implementation scenario corresponding to FIG. 5, when the AMF node determines that the AMF node should re-authenticate to the terminal device via the first connection, the AMF node must determine the state of the second connection, and may re-authenticate to the terminal device via the first connection only when the second connection state is an idle state. As shown in FIG. 10, the method includes steps 1001 to 1012.

Этапы 1001-1002 аналогичны этапам 901-902, и подробности здесь снова не описываются.Steps 1001-1002 are similar to steps 901-902, and details are not described here again.

Этап 1003. AMF узел определяет состояние второго соединения.Step 1003: The AMF node determines the state of the second connection.

Когда AMF узел определяет, что AMF узел должен выполнить повторную аутентификацию на оконечном устройстве, способ повторной аутентификации, используемый, когда второе соединение находится в подключенном состоянии, отличается от способа аутентификации, используемого, когда второе соединение находится в состоянии ожидания или состоянии отсутствия регистрации. Следовательно, AMF узлу необходимо определить, находится ли второе соединение в подключенном состоянии.When the AMF node determines that the AMF node must re-authenticate with the terminal device, the re-authentication method used when the second connection is in the connected state is different from the authentication method used when the second connection is in the idle or unregistered state. Therefore, the AMF node needs to determine if the second connection is in the connected state.

В качестве варианта, например, оконечное устройство поддерживает доступ к AMF узлу, используя одновременно 3GPP технологию доступа и non-3GPP технологию доступа. AMF узел может сначала определить, получает ли оконечное устройство доступ к AMF узлу, используя 3GPP технологию доступа и non-3GPP технологию доступа. Если оконечное устройство обращается к AMF узлу, используя одновременно 3GPP технологию доступа и non-3GPP технологию доступа, это указывает, что второе соединение существует между AMF узлом и оконечным устройством, и затем определяется, находится ли второе соединение оконечного устройства в подключенном состоянии.Alternatively, for example, the terminal supports access to an AMF node using both 3GPP access technology and non-3GPP access technology. The AMF node may first determine if the terminal is accessing the AMF node using 3GPP access technology and non-3GPP access technology. If a terminal accesses an AMF node using both 3GPP access technology and non-3GPP access technology, it indicates that a second connection exists between the AMF node and the terminal device, and then it is determined whether the second connection of the terminal device is in the connected state.

Чтобы быстро определить, находится ли второе соединение в подключенном состоянии, AMF узел может сначала определить, находится ли второе соединение оконечного устройства в состоянии регистрации. Если определено, что второе соединение оконечного устройства находится в состоянии отмены регистрации, AMF узел может определить, что второе соединение оконечного устройства не может находиться в подключенном состоянии. Если определяется, что второе соединение оконечного устройства находится в состоянии регистрации, AMF узел дополнительно определяет, находится ли второе соединение оконечного устройства в подключенном состоянии.To quickly determine if the second connection is in the connected state, the AMF node may first determine if the second connection of the tag is in the registration state. If it is determined that the second tag connection is in a deregistration state, the AMF node may determine that the second tag connection cannot be in the connected state. If it is determined that the second terminal connection is in the registered state, the AMF node further determines whether the second terminal connection is in the connected state.

Используют, по меньшей мере, следующие три способа для AMF узла для определения, получает ли оконечное устройство доступ к AMF узлу, используя одновременно две технологии доступа:At least the following three methods are used for an AMF node to determine if a terminal is accessing an AMF node using two access technologies simultaneously:

(1) NAS сообщение на этапе 1001 содержит информацию индикации, используемую для указания, что второе соединение оконечного устройства находится в состоянии регистрации, и AMF узел может определить на основании информации индикации, что второе соединение оконечного устройства находится в состоянии регистрации, то есть, оконечное устройство обращается к AMF узлу с использованием двух технологий доступа.(1) The NAS message in step 1001 contains indication information used to indicate that the second connection of the terminal device is in the registration state, and the AMF node can determine based on the indication information that the second connection of the terminal device is in the registration state, that is, the terminal the device accesses the AMF node using two access technologies.

В этом способе AMF узел может напрямую определять состояние второго соединения оконечного устройства на основании принятой информации индикации. Это удобно и быстро, и AMF узлу не нужно выполнять другие запросы.In this AMF method, the node can directly determine the state of the second connection of the terminal based on the received indication information. This is convenient and fast, and the AMF node does not need to perform other requests.

(2) AMF узел определяет, запрашивая машину состояния оконечного устройства, которая поддерживается AMF узлом, что оконечное устройство все еще имеет другое состояние регистрации, ассоциированное с другой технологией доступа, отличной от технологии доступа, соответствующей первому соединению.(2) The AMF node determines, by querying the terminal state machine maintained by the AMF node, that the terminal still has a different registration state associated with a different access technology than the access technology corresponding to the first connection.

В этом способе AMF узел может определять состояние второго соединения с помощью простой операции запроса, и оконечному устройству не нужно дополнительно добавлять к NAS сообщению информацию индикации, используемую для указания состояния второго соединения.In this AMF method, the node can determine the state of the second connection with a simple query operation, and the terminal does not need to additionally add indication information to the NAS message used to indicate the state of the second connection.

(3) AMF узел хранит информацию инструкции, используемую для указания оконечному устройству использовать две технологии доступа одновременно для доступа.(3) The AMF node stores instruction information used to instruct the terminal device to use two access technologies simultaneously for access.

Например, когда оконечное устройство получило доступ к AMF узлу с помощью технологии доступа (например, 3GPP технологии доступа), если AMF узел определяет, что оконечное устройство успешно обращается к AMF узлу, используя другую технологию доступа (например, non-3GPP технологию доступа), AMF узел может установить идентификатор в контексте оконечного устройства. Идентификатор используется для указания количества технологий доступа, с помощью которых оконечное устройство в настоящее время обращается к AMF узлу. Например, когда идентификатор равен 0, это указывает, что оконечное устройство обращается к AMF узлу с использованием одной технологии доступа. Когда идентификатор равен 1, это указывает, что оконечное устройство обращается к AMF узлу, используя одновременно две технологии доступа, или указывает, что оконечное устройство находится в состоянии двойной регистрации. Состояние двойной регистрации является состоянием, в котором оконечное устройство регистрируется в AMF узле с использованием двух технологий доступа.For example, when a terminal has accessed an AMF node using an access technology (eg, 3GPP access technology), if the AMF node determines that the terminal successfully accesses the AMF node using a different access technology (eg, non-3GPP access technology), The AMF node may set the ID in the context of the end device. The identifier is used to indicate the number of access technologies with which the end device is currently accessing the AMF node. For example, when the ID is 0, it indicates that the terminal is accessing the AMF node using the same access technology. When the identifier is 1, it indicates that the terminal is accessing the AMF node using two access technologies at the same time, or indicates that the terminal is in a dual registration state. The dual registration state is a state in which a terminal registers with an AMF node using two access technologies.

В качестве другого примера AMF узел может установить информацию индикации для файла, совместно используемого двумя технологиями доступа, чтобы указать, что контент в совместно используемом файле совместно используется двумя технологиями доступа. Перед тем, как контент файла будет удален или изменен, необходимо определить, используется ли контент файла. Контент файла может быть NAS ключом и связанным алгоритмом безопасности, совместно используемым двумя технологиями доступа. AMF узел может определить на основании информации индикации, соответствующей файлу, что оконечное устройство обращается к AMF узлу, используя две технологии доступа одновременно.As another example of an AMF, a node may set indication information for a file shared by two access technologies to indicate that the content in the shared file is shared by the two access technologies. Before the content of a file can be deleted or changed, it must be determined whether the content of the file is in use. The content of the file may be a NAS key and an associated security algorithm shared by the two access technologies. The AMF node may determine, based on the indication information corresponding to the file, that the terminal is accessing the AMF node using two access technologies at the same time.

Дополнительно, существует, по меньшей мере, три следующих возможных реализаций для AMF узла для определения, находится ли второе соединение оконечного устройства в подключенном состоянии:Additionally, there are at least three of the following possible implementations for an AMF node to determine if a second terminal connection is in an online state:

(1) AMF узел определяет, что AMF узел обменивается данными с оконечным устройством через второе соединение.(1) The AMF node determines that the AMF node is communicating with the end device via the second connection.

Например, AMF узел передает NAS сообщение в оконечное устройство через второе соединение, или AMF узел осуществляет поисковый вызов оконечного устройства через второе соединение.For example, the AMF node sends a NAS message to the tag via the second connection, or the AMF node paging the tag via the second connection.

(2) AMF узел определяет, запрашивая машину состояния оконечного устройства, которая поддерживается AMF узлом, что второе соединение оконечного устройства находится в подключенном состоянии.(2) The AMF node determines, by querying the tag state machine maintained by the AMF node, that the second tag connection is in the connected state.

(3) AMF узел определяет, используя информацию индикации, хранящуюся в AMF узле, что второе соединение оконечного устройства находится в подключенном состоянии.(3) The AMF node determines, using the indication information stored in the AMF node, that the second terminal connection is in the connected state.

Например, если AMF узел обнаруживает идентификатор, который хранится AMF узлом и который указывает, что оконечное устройство находится в состоянии двойной регистрации или состоянии двойного подключения, например, обнаруживает идентификатор, который равен 1, AMF узел определяет, что второе соединение оконечного устройства находится в подключенном состоянии.For example, if the AMF node detects an identifier that is stored by the AMF node and that indicates that the terminal is in a dual registration state or a dual connected state, for example, detects an identifier that is 1, the AMF node determines that the terminal's second connection is in the connected condition.

Для другого примера, если AMF узел обнаруживает, что информация индикации, соответствующая файлу, хранящемуся в AMF узле, указывает, что контент файла совместно используется двумя технологиями доступа, и контент файла не может быть изменен, это указывает, что контент файла используется вторым соединением, и AMF узел может дополнительно определить, что второе соединение оконечного устройства находится в подключенном состоянии.For another example, if the AMF node detects that the indication information corresponding to a file stored in the AMF node indicates that the content of the file is shared by two access technologies and the content of the file cannot be changed, this indicates that the content of the file is being used by the second connection, and the AMF node may further determine that the second terminal connection is in the connected state.

В этом варианте осуществления для описания используется пример, в котором состояние второго соединения является подключенным состоянием.In this embodiment, an example is used for description in which the state of the second connection is the connected state.

Этап 1004. AMF узел передает в оконечное устройство сообщение об отклонении или сообщение о принятии через первое соединение.Step 1004: The AMF node sends a reject message or an accept message to the terminal over the first connection.

Первое сообщение на этапе 501 может быть сообщением об отклонении или сообщением о принятии на этом этапе. Сообщение об отклонении указывает, что AMF узел отклоняет NAS сообщение, отправленное оконечным устройством на этапе 1001, например, отклоняет сообщение запроса регистрации, отправленное оконечным устройством. В качестве варианта, сообщение об отклонении содержит значение причины, и значение причины используется для уведомления оконечного устройства, что причиной отклонения является то, что второе соединение находится в подключенном состоянии. В этом случае повторная аутентификация на оконечном устройстве невозможна. В качестве варианта, значение причины дополнительно используется для указания, что проверка целостности, выполненная AMF узлом в NAS сообщении, отправленном оконечным устройством на этапе 1101, прошла успешно.The first message in step 501 may be a reject message or an acceptance message in this step. The reject message indicates that the AMF node rejects the NAS message sent by the terminal in step 1001, eg, rejects the registration request message sent by the terminal. Alternatively, the reject message contains a reason value, and the reason value is used to notify the end device that the reject reason is that the second connection is in an online state. In this case, re-authentication on the end device is not possible. Alternatively, the cause value is further used to indicate that the integrity check performed by the AMF node in the NAS message sent by the tag in step 1101 was successful.

В качестве варианта, если NAS COUNT, соответствующий первому соединению, временно не переходит в цикл, AMF узел дополнительно позволяет оконечному устройству продолжать передавать заданное количество NAS сообщений, или оконечное устройство передает периодическое сообщение регистрации в AMF узел через первое соединение AMF узел может отправить оконечному устройству сообщение о принятии через первое соединение.Alternatively, if the NAS COUNT corresponding to the first connection does not temporarily go into a loop, the AMF node further allows the end device to continue to send the specified number of NAS messages, or the end device sends a periodic registration message to the AMF node over the first AMF connection, the node can send to the end device acceptance message over the first connection.

Сообщение о принятии содержит информацию о битах флага повторной аутентификации, и информация о битах флага повторной аутентификации используется для уведомления оконечного устройства, что на оконечном устройстве должна быть выполнена повторная аутентификация. Однако, поскольку второе соединение находится в подключенном состоянии, повторная аутентификация не может быть временно инициирована. После того, как оконечное устройство принимает бит флага повторной аутентификации, действие оконечного устройства ограничивается. Например, идентификатор повторной аутентификации может использоваться для указания оконечному устройству приостановить использование первого соединения, или оконечное устройство может передавать данные плоскости пользователя только через первое соединение, или оконечное устройство может отправить определенное количество (например, одно) NAS сообщений только через первое соединение (что означает, что контекст безопасности первого соединения может дополнительно использоваться один раз), или оконечное устройство может передавать только через первое соединение сообщение с запросом регистрации, для которого не выполняется защита целостности.The acceptance message contains information about the re-authentication flag bits, and the information about the re-authentication flag bits is used to notify the terminal device that re-authentication should be performed on the terminal device. However, since the second connection is in the connected state, re-authentication cannot be temporarily initiated. After the tag receives the re-authentication flag bit, the tag's action is restricted. For example, the reauthentication identifier may be used to instruct the end device to suspend use of the first connection, or the end device may only transmit user plane data over the first connection, or the end device may send a certain number (e.g., one) of NAS messages over the first connection only (which means that the security context of the first connection may additionally be used once), or the terminal may only send a registration request message over the first connection for which no integrity protection is performed.

Информация бита флага повторной аутентификации альтернативно может быть информацией таймера. Если повторная аутентификация не выполняется на оконечном устройстве до истечения таймера, AMF узел переводит оконечное устройство в состояние отмены регистрации. В качестве варианта, AMF узел удаляет весь контекст безопасности оконечного устройства, так что оконечному устройству необходимо выполнить повторную аутентификацию при доступе к сети в следующий раз.The re-authentication flag bit information may alternatively be timer information. If re-authentication is not performed on the end device before the timer expires, the AMF node puts the end device into a deregistration state. Alternatively, the AMF node removes the entire security context of the end device, so that the end device needs to re-authenticate the next time it accesses the network.

Этап 1005. Оконечное устройство определяет, что второе соединение переключено в состояние ожидания.Step 1005: The terminal determines that the second connection has been switched to the idle state.

Этап 1006. Оконечное устройство передает NAS сообщение в AMF узел, используя любое соединение. Соответственно, AMF узел принимает NAS сообщение. Соединение для отправки NAS сообщения становится первым соединением в настоящем изобретении.Step 1006: The tag sends the NAS message to the AMF node using any connection. Accordingly, the AMF node receives the NAS message. The connection to send the NAS message becomes the first connection in the present invention.

В качестве варианта, NAS сообщение может быть сообщением запроса регистрации.Alternatively, the NAS message may be a registration request message.

Если оконечное устройство принимает сообщение об отклонении на этапе 1004, оконечное устройство может отправить NAS сообщение в AMF узел, используя любое соединение.If the tag receives the reject message at 1004, the tag may send a NAS message to the AMF node using any connection.

Если оконечное устройство принимает сообщение о принятии на этапе 1004, и бит флага повторной аутентификации указывает, что оконечное устройство может отправить указанное количество NAS сообщений через первое соединение, оконечное устройство может отправить в AMF узел через первое соединение одно NAS сообщение, для которого выполняется защита целостности. Если бит флага повторной аутентификации указывает, что оконечное устройство может отправить сообщение с запросом регистрации, для которого защита безопасности не выполняется, оконечное устройство может отправить на основное сетевое устройство через первое или второе соединение сообщение с запросом регистрации, в котором защита безопасности не выполняется.If the tag receives an accept message in step 1004 and the re-authentication flag bit indicates that the tag can send the specified number of NAS messages over the first connection, the tag can send a single NAS message to the AMF node over the first connection for which integrity protection is performed. . If the re-authentication flag bit indicates that the terminal device can send a registration request message for which security is not secured, the terminal device may send a registration request message for which security is not performed to the primary network device via the first or second connection.

Можно понять, что, если AMF узел принимает NAS сообщение, для которого выполняется защита целостности, AMF узел сначала выполняет проверку защиты целостности для NAS сообщения.It can be understood that if an AMF node receives a NAS message for which integrity protection is performed, the AMF node first performs an integrity protection check on the NAS message.

Этап 1005 и этап 1006 являются возможными этапами, то есть, после этапа 1004 этап 1007 может выполняться непосредственно.Step 1005 and step 1006 are possible steps, that is, after step 1004, step 1007 can be performed directly.

Этап 1007. AMF узел определяет, что второе соединение находится в состоянии ожидания.Step 1007: The AMF node determines that the second connection is in an idle state.

Для способа определения состояния второго соединения AMF узлом см. соответствующее описание этапа 1003. Подробности здесь снова не описываются.For a method for determining the state of the second AMF connection by the node, see the corresponding description of step 1003. Again, details are not described here.

Этап 1008. AMF узел выполняет повторную аутентификацию на оконечном устройстве через первое соединение.Step 1008: The AMF node re-authenticates with the tag through the first connection.

В качестве варианта, если оконечное устройство передает NAS сообщение в AMF узел через второе соединение на этапе 1006, AMF узел может выполнить повторную аутентификацию на оконечном устройстве через второе соединение на этом этапе. Ниже для описания используется пример, в котором AMF узел выполняет повторную аутентификацию на оконечном устройстве через первое соединение.Alternatively, if the tag sends a NAS message to the AMF node via the second connection in step 1006, the AMF node may re-authenticate the tag via the second connection in this step. Below, an example is used for description in which the AMF node performs re-authentication at the end device through the first connection.

В качестве варианта, на этом этапе AMF узел может обновить ключ для первого соединения и ключ для второго соединения, и оконечное устройство может обновить ключ для первого соединения. В качестве варианта, если первое соединение и второе соединение совместно используют набор NAS ключей, AMF узел может получить идентификатор первого ключа в процессе выполнения повторной аутентификации на оконечном устройстве, где первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения и обновленный ключ для второго соединения.Alternatively, at this point in the AMF, the node may update the key for the first connection and the key for the second connection, and the terminal may update the key for the first connection. Alternatively, if the first connection and the second connection share a set of NAS keys, the AMF node may obtain the first key ID in the process of performing re-authentication at the end device, where the first key ID is used to identify the updated key for the first connection and the updated key for the second connection. .

В качестве альтернативы, если первое соединение и второе соединение по отдельности используют разные NAS ключи, AMF узел может получить первый идентификатор ключа в процессе выполнения повторной аутентификации на оконечном устройстве. В качестве варианта, AMF узел может дополнительно получить третий идентификатор ключа. В этом случае первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения, и третий идентификатор ключа используется для указания обновленного ключа для второго соединения.Alternatively, if the first connection and the second connection individually use different NAS keys, the AMF node may obtain the first key identifier in the process of performing re-authentication on the end device. Alternatively, the AMF node may additionally obtain a third key identifier. In this case, the first key identifier is used to identify the updated key for the first connection, and the third key identifier is used to indicate the updated key for the second connection.

Этап 1009. AMF узел передает NAS SMC сообщение в оконечное устройство. Соответственно, оконечное устройство принимает NAS SMC сообщение.Step 1009: The AMF node sends a NAS SMC message to the tag. Accordingly, the end device receives the NAS SMC message.

В качестве варианта, NAS SMC сообщение может передавать первую информацию инструкции на этапе 504.Alternatively, the NAS SMC message may convey the first instruction information at step 504.

Первая информация инструкции используется для указания оконечному устройству обновить ключ для второго соединения.The first instruction information is used to direct the terminal to update the key for the second connection.

В качестве варианта, первая информация инструкции может быть первым идентификатором ключа или вторым идентификатором ключа. В качестве альтернативы первая информация инструкции может быть первым идентификатором ключа и вторым идентификатором ключа.Alternatively, the first instruction information may be a first key identifier or a second key identifier. Alternatively, the first instruction information may be a first key identifier and a second key identifier.

Защита целостности может выполняться для NAS SMC сообщения с использованием обновленного ключа для первого соединения, и оконечное устройство может выполнять проверку защиты целостности для NAS SMC сообщения, используя обновленный ключ для первого соединения.Integrity protection may be performed on the NAS SMC message using the updated key for the first connection, and the end device may perform an integrity protection check on the NAS SMC message using the updated key for the first connection.

Этап 1010. Оконечное устройство обновляет ключ для второго соединения на основании первой информации инструкции.Step 1010: The tag updates the key for the second connection based on the first instruction information.

Этап 1011. Оконечное устройство передает NAS SMP сообщение в AMF узел через первое соединение; соответственно, AMF узел принимает NAS SMP сообщение через первое соединение.Step 1011: The tag sends a NAS SMP message to the AMF node via the first connection; accordingly, the AMF node receives the NAS SMP message through the first connection.

Защита целостности выполняется в NAS SMP сообщении с использованием обновленного ключа для первого соединения.Integrity protection is performed in the NAS SMP message using the updated key for the first connection.

В качестве варианта, оконечное устройство может дополнительно отправить NAS SMP сообщение в AMF узел через второе соединение. В этом случае для NAS SMP сообщения выполняется защита целостности с использованием обновленного ключа для второго соединения.Alternatively, the end device may optionally send a NAS SMP message to the AMF node via the second connection. In this case, the NAS SMP message is integrity protected using the updated key for the second connection.

Этап 1012. AMF узел передает сообщение завершения в оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает сообщение завершения из AMF узла через первое соединение.Step 1012: The AMF node sends a completion message to the terminal via the first connection. Accordingly, the end device receives a completion message from the node's AMF via the first connection.

Сообщение завершения является ответным сообщением NAS сообщения на этапе 1001. Например, если NAS сообщение на этапе 1001 является сообщением с запросом регистрации, сообщение завершения является сообщением о завершении регистрации.The completion message is a response message to the NAS message in step 1001. For example, if the NAS message in step 1001 is a registration request message, the completion message is a registration completion message.

Можно понять, что, если оконечное устройство впоследствии передает NAS сообщение в оконечное устройство через второе соединение, защита целостности может выполняться для NAS сообщения с использованием обновленного ключа для второго соединения.It can be appreciated that if the tag subsequently transmits the NAS message to the tag via the second connection, integrity protection may be performed on the NAS message using the updated key for the second connection.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления, и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.It can be understood that a terminal device or a host network device may perform some or all of the steps in the above embodiment. These steps or operations are merely examples. In embodiments of the present disclosure, other operations or variants of various operations may additionally be performed. In addition, the steps may be performed in a different order from the sequence shown in the previous embodiment, and alternatively, not all operations in the previous embodiment need to be performed.

В качестве варианта, в сценариях реализации, соответствующих фиг. 7 и фиг. 8, когда AMF узел определяет, что AMF узлу необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение, если вторая ветвь находится в подключенном состоянии, основное сетевое устройство может сначала выполнить повторную аутентификацию на оконечном устройстве через первое подключение. Как показано на фиг. 11, способ включает в себя этапы 1101-1115.Alternatively, in the implementation scenarios of FIG. 7 and FIG. 8, when the AMF node determines that the AMF node needs to re-authenticate with the terminal device through the first connection, if the second branch is in the connected state, the main network device may first re-authenticate with the terminal device through the first connection. As shown in FIG. 11, the method includes steps 1101-1115.

Этапы 1101-1103 аналогичны этапам 1001-1003, и подробности здесь снова не описываются.Steps 1101-1103 are similar to steps 1001-1003, and details are not described here again.

Этап 1104. AMF узел выполняет повторную аутентификацию на оконечном устройстве через первое соединение.Step 1104: The AMF node re-authenticates with the tag through the first connection.

AMF узел и оконечное устройство могут обновлять ключ для первого соединения в процессе повторной аутентификации.The AMF node and end device may renew the key for the first connection during the re-authentication process.

Этап 1105. AMF узел передает NAS SMC сообщение в оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает NAS SMC сообщение от AMF узла через первое соединение.Step 1105: The AMF node sends the NAS SMC message to the tag through the first connection. Accordingly, the end device receives the NAS SMC message from the AMF node through the first connection.

Защита целостности выполняется в NAS SMC сообщении с использованием обновленного ключа для первого соединения, и оконечное устройство может выполнять проверку защиты целостности в NAS SMC сообщении, используя обновленный ключ для первого соединения.Integrity protection is performed on the NAS SMC message using the updated key for the first connection, and the end device may perform integrity protection checks on the NAS SMC message using the updated key for the first connection.

В качестве варианта, NAS SMC сообщение содержит вторую информацию инструкции на этапе 802, где вторая информация инструкции используется для указания оконечному устройству обновить ключ для второго соединения, или вторая информация инструкции может использоваться для указания оконечному устройству не обновлять ключ для второго соединения.Alternatively, the NAS SMC message contains second instruction information in step 802, where the second instruction information is used to direct the tag to update the key for the second connection, or the second instruction information may be used to direct the tag not to update the key for the second connection.

Этап 1106. Оконечное устройство передает NAS SMP сообщение в AMF узел через первое соединение.Step 1106: The tag sends the NAS SMP message to the AMF node over the first connection.

Этап 1107. AMF узел устанавливает первую метку.Step 1107: The AMF node sets the first label.

Первая метка используется для обозначения, что основное сетевое устройство выполнило повторную аутентификацию на оконечном устройстве через первое соединение, или используется для указания обновления ключа для второго соединения.The first label is used to indicate that the underlying network device has re-authenticated to the terminal device through the first connection, or is used to indicate a key update for the second connection.

Этап 1108. Оконечное устройство устанавливает вторую метку.Step 1108: The terminal sets the second label.

Вторая метка используется для указания обновить ключ для второго соединения.The second label is used to indicate to update the key for the second connection.

В качестве варианта, этап 1108 должен выполняться только тогда, когда вторая информация инструкции, принятая оконечным устройством, используется для указания оконечному устройству обновить ключ для второго соединения.Alternatively, step 1108 should only be performed when the second instruction information received by the tag is used to direct the tag to update the key for the second connection.

Этап 1109. AMF узел передает оконечному устройству сообщение о принятии регистрации через первое соединение. Соответственно, оконечное устройство принимает сообщение принятия регистрации из AMF узла через первое соединение.Step 1109: The AMF node sends a registration acceptance message to the terminal over the first connection. Accordingly, the tag receives the registration accept message from the AMF node via the first connection.

Этап 1110. Оконечное устройство определяет, что второе соединение переключено в состояние ожидания. Если определяется наличие третьей метки, оконечное устройство обновляет ключ для второго соединения.Step 1110: The terminal determines that the second connection has been switched to the idle state. If a third label is determined, the terminal updates the key for the second connection.

В качестве варианта, если оконечное устройство не устанавливает третью отметку, этап 1111 должен быть выполнен, когда второе соединение переключается в состояние ожидания.Alternatively, if the terminal does not set the third flag, step 1111 should be performed when the second connection switches to the idle state.

Этап 1111. AMF узел определяет, что второе соединение переключено в состояние ожидания. Если определяется наличие первой метки, AMF узел обновляет ключ для второго соединения.Step 1111: The AMF node determines that the second connection has switched to idle state. If the presence of the first label is determined, the AMF node updates the key for the second connection.

В качестве варианта, если второе соединение все еще находится в подключенном состоянии, AMF узел может приостановить использование второго соединения. В качестве альтернативы, при обработке NAS сообщения, которое передается оконечным устройством через второе соединение, если AMF узел обнаруживает первую метку, AMF узел может приостановить использование второго соединения, затем обновить ключ для второго соединения и используемый идентификатор ключа для идентификации обновленного ключа для второго соединения и отправку NAS SMC сообщения в оконечное устройство через второе соединение. NAS SMC сообщение содержит идентификатор ключа, используемый для идентификации обновленного ключа для второго соединения, так что оконечное устройство может обновлять ключ для второго соединения на основании идентификатора ключа. Можно понять, что после того, как и AMF узел, и оконечное устройство обновят ключ для второго соединения, AMF узел может возобновить использование второго соединения и выполнить, используя обновленный ключ для второго соединения, защиту целостности NAS сообщения, переданное через второе соединение.Alternatively, if the second connection is still in the connected state, the AMF node may suspend use of the second connection. Alternatively, when the NAS is processing a message that is sent by the endpoint over the second connection, if the AMF node detects the first label, the AMF node may suspend use of the second connection, then update the key for the second connection and use a key ID to identify the updated key for the second connection, and sending the NAS SMC message to the end device via the second connection. The NAS SMC message contains a key ID used to identify the updated key for the second connection, so that the end device can update the key for the second connection based on the key ID. It can be understood that after both the AMF node and the terminal update the key for the second connection, the AMF node can resume using the second connection and perform, using the updated key for the second connection, integrity protection of the NAS message transmitted over the second connection.

Этап 1112. Оконечное устройство передает сообщение запроса регистрации в AMF узел через второе соединение. Соответственно, AMF узел принимает сообщение запроса регистрации из оконечного устройства через второе соединение.Step 1112: The tag sends a registration request message to the AMF node over the second connection. Accordingly, the AMF node receives a registration request message from the terminal via the second connection.

Защита целостности выполняется в сообщении с запросом на регистрацию с использованием обновленного ключа для второго соединения.Integrity protection is performed in the registration request message using the updated key for the second connection.

Этап 1113. AMF узел передает NAS SMC сообщение в оконечное устройство через второе соединение. Соответственно, оконечное устройство принимает NAS SMC сообщение из AMF узла через второе соединение.Step 1113: The AMF node sends the NAS SMC message to the tag through the second connection. Accordingly, the end device receives the NAS SMC message from the AMF node via the second connection.

NAS SMC сообщение содержит идентификатор ключа, используемый для идентификации обновленного ключа для второго соединения. В качестве варианта, NAS SMP сообщение может дополнительно содержать, по меньшей мере, один параметр, используемый для обновления ключа для второго соединения.The NAS SMC message contains a key identifier used to identify the updated key for the second connection. Alternatively, the NAS SMP message may further contain at least one parameter used to update the key for the second connection.

Этап 1114. Оконечное устройство передает NAS SMP сообщение в AMF узел через второе соединение. Соответственно, AMF узел принимает NAS SMP сообщение из оконечного устройства через второе соединение.Step 1114: The tag sends the NAS SMP message to the AMF node over the second connection. Accordingly, the AMF node receives the NAS SMP message from the tag through the second connection.

Защита целостности выполняется в NAS SMP сообщении с использованием обновленного ключа для второго соединения.Integrity protection is performed in the NAS SMP message using the updated key for the second connection.

Этап 1115. AMF узел отвечает оконечному устройству сообщением о принятии регистрации через второе соединение. Соответственно, оконечное устройство принимает сообщение о принятии регистрации из AMF узла через второе соединение.Step 1115: The AMF node responds to the terminal with a Registration Accept message over the second connection. Accordingly, the terminal receives the registration acceptance message from the AMF node via the second connection.

Защита целостности выполняется для сообщения принятия регистрации с использованием обновленного ключа для второго соединения.Integrity protection is performed on the registration accept message using the updated key for the second connection.

Можно понять, что оконечное устройство или основное сетевое устройство может выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления, и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.It can be understood that a terminal device or a host network device may perform some or all of the steps in the above embodiment. These steps or operations are merely examples. In embodiments of the present disclosure, other operations or variants of various operations may additionally be performed. In addition, the steps may be performed in a different order from the sequence shown in the previous embodiment, and alternatively, not all operations in the previous embodiment need to be performed.

В другом возможном сценарии реализации условие для запуска обновления ключа для второго соединения связано с таймером и состоянием второго соединения. Как показано на фиг. 12, способ включает в себя этапы 1201-1212.In another possible implementation scenario, the condition for triggering a key update for the second connection is related to the timer and the state of the second connection. As shown in FIG. 12, the method includes steps 1201-1212.

На этапах 1201-1208 оконечное устройство устанавливает связь с основным сетевым устройством через первое соединение.In steps 1201-1208, the terminal device communicates with the main network device through the first connection.

Этап 1201. Оконечное устройство передает сообщение с запросом на регистрацию в основное сетевое устройство через первое соединение; соответственно, AMF узел принимает сообщение запроса регистрации.Step 1201: The terminal device sends a registration request message to the main network device via the first connection; accordingly, the AMF node receives a registration request message.

В качестве варианта, сообщение запроса регистрации может альтернативно быть NAS сообщением на этапе 901. Подробнее см. в соответствующем описании этапа 901. Подробности здесь снова не описываются.Alternatively, the registration request message may alternatively be a NAS message in step 901. See the corresponding description of step 901 for details. Again, details are not described here.

Этап 1202. Основное сетевое устройство запускает повторную аутентификацию.Step 1202: The underlying network device triggers a re-authentication.

Этап 1203. Основное сетевое устройство и оконечное устройство выполняют процедуру повторной аутентификации.Step 1203: The main network device and the terminal device perform a re-authentication procedure.

Этап 1204. Основное сетевое устройство передает NAS SMC сообщение в оконечное устройство. Соответственно, оконечное устройство принимает NAS SMC сообщение.Step 1204: The primary network device sends the NAS SMC a message to the terminal device. Accordingly, the end device receives the NAS SMC message.

Этап 1205. Оконечное устройство активирует новый ключ для первого соединения и запускает таймер.Step 1205: The terminal activates the new key for the first connection and starts a timer.

То, что оконечное устройство активирует новый ключ для первого соединения, означает, что ключ для первого соединения был обновлен, и затем оконечное устройство выполняет защиту безопасности, используя обновленный ключ для первого соединения, в передаваемом NAS сообщении оконечным устройством впоследствии к основному сетевому устройству через первое соединение.The fact that the end device activates the new key for the first connection means that the key for the first connection has been updated, and then the end device performs security protection using the updated key for the first connection, in the message transmitted by the NAS from the end device subsequently to the main network device through the first compound.

Этап 1206. Оконечное устройство передает NAS SMP сообщение основному сетевому устройству. Соответственно, оконечное устройство принимает NAS SMP сообщение от основного сетевого устройства.Step 1206: The terminal device sends the NAS SMP message to the underlying network device. Accordingly, the end device receives the NAS SMP message from the main network device.

Этап 1207. Основное сетевое устройство активирует новый ключ для первого подключения и запускает таймер.Step 1207: The main network device activates the new key for the first connection and starts the timer.

То, что основное сетевое устройство активирует новый ключ для первого подключения, означает, что ключ для первого подключения был обновлен, и затем основное сетевое устройство выполняет защиту безопасности, используя обновленный ключ для первого подключения, на NAS сообщение, которое передается основным сетевым устройством впоследствии оконечному устройству через первое соединение.The fact that the primary network device activates the new key for the first connection means that the key for the first connection has been updated, and then the primary network device performs security protection using the updated first connection key on the NAS message, which is transmitted by the primary network device subsequently to the endpoint. device through the first connection.

Этап 1208. Основное сетевое устройство передает оконечному устройству сообщение о завершении регистрации. Соответственно, оконечное устройство принимает сообщение о завершении регистрации.Step 1208: The host network device sends a registration complete message to the terminal device. Accordingly, the terminal device receives a registration completed message.

На этапах 1209-1212 оконечное устройство устанавливает связь с основным сетевым устройством через второе соединение.In steps 1209-1212, the tag establishes communication with the main network device via the second connection.

Этап 1209. Перед истечением таймера, если второе соединение находится в состоянии ожидания, оконечное устройство удаляет старый ключ для второго соединения и старый идентификатор ключа, активирует новый ключ для второго соединения и останавливает таймер.Step 1209: Before the timer expires, if the second connection is pending, the terminal removes the old second connection key and the old key identifier, activates the new second connection key, and stops the timer.

Если первое соединение и второе соединение совместно используют набор ключей, новый ключ для второго соединения будет таким же, как новый ключ для первого соединения. Первый идентификатор ключа используется для указания нового ключа для первого соединения и нового ключа для второго соединения.If the first connection and the second connection share a set of keys, the new key for the second connection will be the same as the new key for the first connection. The first key identifier is used to specify the new key for the first connection and the new key for the second connection.

В качестве варианта, до истечения таймера, если второе соединение находится в подключенном состоянии, оконечное устройство все еще может использовать старый ключ для второго соединения.Alternatively, before the timer expires, if the second connection is in the connected state, the end device may still use the old key for the second connection.

Этап 1210. Оконечное устройство передает сообщение запроса регистрации на основное сетевое устройство. Соответственно, основное сетевое устройство получает сообщение запроса регистрации.Step 1210: The tag sends a registration request message to the host network device. Accordingly, the host network device receives the registration request message.

Защита целостности выполняется в сообщении запроса регистрации с использованием нового ключа для второго соединения, и сообщение запроса регистрации передает первый идентификатор ключа.Integrity protection is performed in the registration request message using the new key for the second connection, and the registration request message conveys the first key identifier.

Этап 1211. Основное сетевое устройство определяет, на основании первого идентификатора ключа, активировать новый ключ для второго соединения, удаляет старый ключ для второго соединения и останавливает таймер.Step 1211. The main network device determines, based on the first key ID, to activate a new key for the second connection, deletes the old key for the second connection, and stops the timer.

После приема сообщения с запросом регистрации, основное сетевое устройство может определить на основании первого идентификатора ключа, что новый ключ для второго соединения совпадает с новым ключом для первого соединения, и дополнительно выполнить проверку целостности на сообщении с запросом на регистрацию с использованием нового ключа для второго подключения. После успешной проверки основное сетевое устройство удаляет старый ключ для второго подключения и останавливает таймер.After receiving the registration request message, the host network device can determine, based on the first key ID, that the new key for the second connection matches the new key for the first connection, and further perform an integrity check on the registration request message using the new key for the second connection. . After successful verification, the main network device deletes the old key for the second connection and stops the timer.

Этап 1212. Основное сетевое устройство передает оконечному устройству сообщение о завершении регистрации; соответственно, оконечное устройство принимает сообщение о завершении регистрации из основного сетевого устройства.Step 1212: The host network device sends a registration complete message to the terminal device; accordingly, the terminal device receives a registration completion message from the main network device.

Защита целостности выполняется для сообщения о завершении регистрации с использованием нового ключа для второго соединения.Integrity protection is performed to report registration completion using the new key for the second connection.

В другой возможной реализации, как показано на фиг. 13, условие для запуска обновления ключа для второго соединения не имеет отношения к состоянию второго соединения. Как показано на фиг. 13, способ включает в себя этапы 1301-1314.In another possible implementation, as shown in FIG. 13, the condition for triggering the key update for the second connection is irrelevant to the state of the second connection. As shown in FIG. 13, the method includes steps 1301-1314.

Этапы 1301-1308 аналогичны этапам 1201-1208, и подробности здесь снова не описываются.Steps 1301-1308 are similar to steps 1201-1208, and the details are again not described here.

На этапах 1309-1314 оконечное устройство обменивается данными с основным сетевым устройством через второе соединение.In steps 1309-1314, the tag communicates with the underlying network device via the second connection.

Этап 1309. Перед тем, как таймер истечет, оконечное устройство решает использовать старый ключ для второго соединения.Step 1309: Before the timer expires, the terminal decides to use the old key for the second connection.

Второй идентификатор ключа используется для идентификации старого ключа для второго соединения. Можно понять, что в этом варианте осуществления настоящего раскрытия новый ключ является обновленным ключом, и старый ключ является ключом, который используется до обновления. Когда первое соединение и второе соединение совместно используют набор ключей, старый ключ для второго соединения совпадает с ключом до того, как первое соединение используется для повторной аутентификации.The second key identifier is used to identify the old key for the second connection. It can be understood that in this embodiment of the present disclosure, the new key is the updated key and the old key is the key that is in use prior to the update. When the first connection and the second connection share a set of keys, the old key for the second connection is the same as the key before the first connection is used for re-authentication.

Этап 1310. Оконечное устройство передает в основное сетевое устройство сообщение с запросом регистрации, для которого выполняется защита целостности с использованием старого ключа для второго соединения, где сообщение с запросом регистрации содержит второй идентификатор ключа. Соответственно, основное сетевое устройство принимает сообщение запроса регистрации.Step 1310: The tag sends a registration request message to the host network device that is integrity protected using the old key for the second connection, where the registration request message contains the second key identifier. Accordingly, the host network device receives the registration request message.

Этап 1311. Основное сетевое устройство определяет на основании второго идентификатора ключа старый ключ для второго соединения и выполняет проверку целостности сообщения запроса регистрации, используя старый ключ для второго соединения.Step 1311: Based on the second key ID, the main network device determines the old key for the second connection, and performs an integrity check on the registration request message using the old key for the second connection.

Этап 1312. Основное сетевое устройство передает в оконечное устройство сообщение о завершении регистрации.Step 1312: The host network device sends a registration complete message to the terminal device.

Этап 1313. После истечения таймера оконечное устройство удаляет старый ключ для второго соединения и второй идентификатор ключа.Step 1313: After the timer expires, the terminal removes the old key for the second connection and the second key identifier.

Этап 1314. По истечении таймера основное сетевое устройство удаляет старый ключ для второго соединения и второй идентификатор ключа.Step 1314: When the timer expires, the host network device deletes the old key for the second connection and the second key identifier.

После удаления старого ключа для второго соединения и второго идентификатора ключа оконечное устройство и основное сетевое устройство могут использовать новый ключ для первого соединения в качестве нового ключа для второго соединения.After deleting the old key for the second connection and the second key ID, the terminal device and the underlying network device can use the new key for the first connection as the new key for the second connection.

В качестве варианта, в процедуре способа на фиг. 13, до истечения таймеров оконечного устройства и основного сетевого устройства, если основное сетевое устройство снова запускает процедуру повторной аутентификации, таймеры оконечного устройства и основного сетевого устройства могут продолжать выполнять синхронизацию. По истечении таймеров, выполняются этапы 1313 и 1314. В качестве альтернативы, оконечное устройство и основное сетевое устройство могут перезапустить синхронизацию и после истечения таймера выполнить этап 1313 и этап 1314.Alternatively, in the method procedure of FIG. 13, before the timers of the terminal device and the main network device expire, if the main network device starts the re-authentication procedure again, the timers of the terminal device and the main network device can continue to synchronize. Upon expiration of the timers, steps 1313 and 1314 are performed. Alternatively, the terminal device and the host network device may restart synchronization and, after the timer expires, perform step 1313 and step 1314.

Вышеизложенное в основном описывает решения, предоставленные в вариантах осуществления настоящего раскрытия, с точки зрения взаимодействия между основным сетевым устройством и оконечным устройством. Можно понять, что для реализации вышеуказанных функций оконечное устройство и основное сетевое устройство включают в себя соответствующие аппаратные структуры и/или программные модули для выполнения этих функций. Что касается блоков и этапов алгоритма в примерах, описанных в вариантах осуществления, раскрытых в настоящем изобретении, варианты осуществления настоящего раскрытия могут быть реализованы в виде аппаратных средств или комбинации аппаратных средств и компьютерного программного обеспечения. Выполнение функции аппаратным или аппаратным обеспечением, управляемым компьютерным программным обеспечением, зависит от конкретных приложений и конструктивных ограничений технических решений. Специалист в данной области техники может использовать разные способы для реализации описанных функций для каждого конкретного приложения, но не следует учитывать, что реализация выходит за рамки технических решений в вариантах осуществления настоящего раскрытия.The foregoing mainly describes the solutions provided in the embodiments of the present disclosure in terms of interaction between a network core device and a terminal device. It can be understood that in order to implement the above functions, the terminal device and the underlying network device include respective hardware structures and/or software modules to perform these functions. With respect to the blocks and steps of the algorithm in the examples described in the embodiments disclosed in the present invention, the embodiments of the present disclosure may be implemented in hardware or a combination of hardware and computer software. The performance of a function by hardware or hardware controlled by computer software depends on the particular application and design constraints of the technical solutions. A person skilled in the art may use different methods to implement the described functions for each particular application, but it should not be understood that the implementation is beyond the technical solutions in the embodiments of the present disclosure.

В вариантах осуществления настоящего раскрытия разделение на функциональные блоки может выполняться на оконечном устройстве и основном сетевым устройстве на основе приведенных выше примеров способов. Например, каждый функциональный блок может быть получен путем разделения на основе соответствующей функции, или две или более функций могут быть интегрированы в один блок обработки. Интегрированный блок может быть реализован в виде аппаратных средств или может быть реализован в виде программного функционального блока. Следует отметить, что в вариантах осуществления настоящего раскрытия разделение на блоки используется в качестве примера и является просто разделением логических функций. В реальной реализации может использоваться другой способ разделения.In embodiments of the present disclosure, functional blocking may be performed at the terminal device and the main network device based on the method examples above. For example, each function block may be obtained by splitting based on a corresponding function, or two or more functions may be integrated into one processing block. An integrated block may be implemented in hardware or may be implemented in a software function block. It should be noted that in the embodiments of the present disclosure, block division is used as an example and is simply a division of logical functions. In a real implementation, a different partitioning method may be used.

Когда используется интегрированный блок, фиг. 14 является блок-схемой устройства согласно варианту осуществления настоящего раскрытия. Устройство может быть реализовано в форме программного обеспечения, или может быть основным сетевым устройством, или может быть микросхемой в основном сетевым устройстве. Устройство 1400 включает в себя блок 1402 обработки и блок 1403 связи. Блок 1402 обработки выполнен с возможностью управлять работой устройства 1400. Например, блок 1402 обработки выполнен с возможностью поддержки устройства 1400 при выполнении этапов 401 и 402 на фиг. 4, этапы 502 и 503 на фиг. 5, этапы 601, 602, 607 и 608 на фиг. 6, этапы 701, 702, 703 и 704 на фиг. 7, этапы 801, 803 и 805 на фиг. 8, этапы 902, 903, 904 и 910 на фиг. 9, этапы 1002, 1003, 1005, 1007 и 1008 на фиг. 10 и этапы 1102, 1103, 1104, 1107 и 1112 на фиг. 11, этапы 1202, 1203, 1207 и 1211 на фиг. 12, этапы 1302, 1303, 1307, 1311 и 1314 на фиг. 13, и/или другой процесс технологии, описанной в данном описании. Блок 1403 связи выполнен с возможностью поддерживать связь между устройством 1400 и другим сетевым элементом (например, оконечное устройство). Например, блок 1403 связи может поддерживать устройство 1400 при выполнении этапов 501 и 504 на фиг. 5, этап 603 на фиг. 6, этап 705 на фиг. 7, этап 802 на фиг. 8, этапы 905, 908, 911 и 914 на фиг. 9, этапы 1004, 1009 и 1014 на фиг. 10, этапы 1105, 1109, 1113 и 1115 на фиг. 11, этапы 1204, 1208 и 1212 на фиг. 12 и этапы 1304, 1308 и 1312 на фиг. 13. Устройство 1400 может дополнительно включать в себя блок 1401 хранения, выполненный с возможностью хранить программный код и данные устройства 1400.When an integrated block is used, FIG. 14 is a block diagram of an apparatus according to an embodiment of the present disclosure. The device may be implemented in the form of software, or may be a core network device, or may be a chip in a core network device. The device 1400 includes a processing unit 1402 and a communication unit 1403. Processing unit 1402 is configured to control the operation of device 1400. For example, processing unit 1402 is configured to support device 1400 in performing steps 401 and 402 in FIG. 4, steps 502 and 503 in FIG. 5, steps 601, 602, 607 and 608 in FIG. 6, steps 701, 702, 703, and 704 in FIG. 7, steps 801, 803 and 805 in FIG. 8, steps 902, 903, 904, and 910 in FIG. 9, steps 1002, 1003, 1005, 1007, and 1008 in FIG. 10 and steps 1102, 1103, 1104, 1107, and 1112 in FIG. 11, steps 1202, 1203, 1207, and 1211 in FIG. 12, steps 1302, 1303, 1307, 1311, and 1314 in FIG. 13 and/or another process of the technology described herein. The communication unit 1403 is configured to communicate between the device 1400 and another network element (eg, terminal). For example, communication unit 1403 may support device 1400 while executing steps 501 and 504 in FIG. 5, step 603 in FIG. 6, step 705 in FIG. 7, step 802 in FIG. 8, steps 905, 908, 911, and 914 in FIG. 9, steps 1004, 1009 and 1014 in FIG. 10, steps 1105, 1109, 1113 and 1115 in FIG. 11, steps 1204, 1208, and 1212 in FIG. 12 and steps 1304, 1308 and 1312 in FIG. 13. Device 1400 may further include a storage unit 1401 configured to store program code and data of device 1400.

Блок 1402 обработки может быть процессором или контроллером, таким как центральный процессор (Central Processing Unit, CPU), универсальный процессор, цифровой сигнальный процессор (Digital Signal Processor, DSP), специализированная интегральная схема (Application-Specific Integrated Circuit, ASIC), программируемая вентильная матрица (Field Programmable Gate Array, FPGA) или другое программируемое логическое устройство, транзисторное логическое устройство, аппаратный компонент или их комбинация. Контроллер/процессор может реализовывать или выполнять различные примеры логических блоков, модулей и схем, описанных со ссылкой на контент, раскрытый в настоящем изобретении. Процессор может быть комбинацией процессоров, реализующих вычислительную функцию, например, комбинацией одного или нескольких микропроцессоров или комбинацией DSP и микропроцессора. Блок 1403 связи может быть интерфейсом связи, и интерфейс связи является общим термином. В конкретной реализации интерфейс связи может включать в себя множество интерфейсов и может включать в себя, например, интерфейс между сетевыми устройствами доступа, интерфейс между устройством сети доступа и основным сетевым устройством и/или другой интерфейс. Блок 1401 хранения может быть памятью.Processing unit 1402 may be a processor or controller such as a Central Processing Unit (CPU), a general purpose processor, a Digital Signal Processor (DSP), an Application-Specific Integrated Circuit (ASIC), a programmable gate matrix (Field Programmable Gate Array, FPGA) or other programmable logic device, transistorized logic device, hardware component, or a combination of both. The controller/processor may implement or execute various examples of logical blocks, modules, and circuits described with reference to the content disclosed in the present invention. The processor may be a combination of processors that implement a computing function, such as a combination of one or more microprocessors, or a combination of a DSP and a microprocessor. The communication unit 1403 may be a communication interface, and communication interface is a general term. In a specific implementation, the communication interface may include a plurality of interfaces and may include, for example, an interface between access network devices, an interface between an access network device and a host network device, and/or another interface. The storage unit 1401 may be a memory.

Когда блок 1402 обработки является процессором, блок 1403 связи является интерфейсом связи, и блок 1401 хранения является памятью, структура устройства 1400 в этом варианте осуществления настоящего раскрытия может быть структурой основного сетевого устройства, показанное на фиг. 15.When the processing unit 1402 is a processor, the communication unit 1403 is a communication interface, and the storage unit 1401 is a memory, the structure of the device 1400 in this embodiment of the present disclosure may be that of a main network device shown in FIG. fifteen.

На фиг. 15 показана возможная схема основного сетевого устройства согласно варианту осуществления настоящего раскрытия.In FIG. 15 shows a possible diagram of a basic network device according to an embodiment of the present disclosure.

Как показано на фиг. 15, основное сетевое устройство 1500 включает в себя процессор 1502, интерфейс 1503 связи и память 1501. В качестве варианта, основное сетевое устройство 1500 может дополнительно включать в себя шину 1504. Интерфейс 1503 связи, процессор 1502 и память 1501 могут быть соединены друг с другом с помощью шины 1504. Шина 1504 может быть шиной PCI, шиной EISA и т.п. Шину 1504 можно разделить на адресную шину, шину данных, шину управления и тому подобное. Для простоты представления шина на фиг. 2 обозначается только одной толстой линией 15, но это не означает, что существует только одна шина или только один тип шины.As shown in FIG. 15, the main network device 1500 includes a processor 1502, a communication interface 1503, and a memory 1501. Alternatively, the main network device 1500 may further include a bus 1504. The communication interface 1503, the processor 1502, and the memory 1501 may be connected to each other. using bus 1504. Bus 1504 may be a PCI bus, an EISA bus, or the like. Bus 1504 can be divided into an address bus, a data bus, a control bus, and the like. For ease of presentation, the bus in FIG. 2 is indicated by only one thick line 15, but this does not mean that there is only one tire or only one type of tire.

Когда используется интегрированный блок, фиг. 16 показывает схематическую блок-схему другого устройства согласно варианту осуществления настоящего раскрытия. Устройство 1600 может быть реализовано в форме программного обеспечения, или может быть оконечным устройством, или может быть микросхемой в оконечным устройстве. Устройство 1600 включает в себя: блок 1602 обработки и блок 1603 связи. Блок 1602 обработки выполнен с возможностью управления и управления работой устройства 1600. Например, блок 1602 обработки выполнен с возможностью поддержки устройства 1600 при выполнении этапов 401 и 403 на фиг. 4, этап 505 на фиг. 5, этапы 604, 605 и 609 на фиг. 6, этап 706 на фиг. 7 и этапы 801, 804 и 806 на фиг. 8, этапы 903, 906 и 912 на фиг. 9, этапы 1008 и 1010 на фиг. 10, этапы 1104, 1108 и 1110 на фиг. 11, этапы 1205 и 1209 на фиг. 12 и этапы 1305, 1309 и 1313 на фиг. 13 и/или другой процесс технологии, описанной в данном описании. Блок 1603 связи выполнен с возможностью поддерживать связь между устройством 1600 и другим сетевым элементом (таким как основное сетевое устройство и N3IWF узел). Например, блок 1603 связи выполнен с возможностью поддержки устройства 1600 при выполнении этапа 606 на фиг. 6, этапы 901, 907, 909 и 913 на фиг. 9, этапы 1001, 1006 и 1011 на фиг. 10, этапы 1101, 1106, 1111 и 1114 на фиг. 11, этапы 1201, 1206 и 1210 на фиг. 12 и этапы 1301, 1306 и 1310 на фиг. 13. Устройство 1600 может дополнительно включать в себя блок 1601 памяти, выполненный с возможностью хранить программный код и данные устройства 1600.When an integrated block is used, FIG. 16 shows a schematic block diagram of another device according to an embodiment of the present disclosure. Device 1600 may be implemented in software, or may be a terminal device, or may be a chip in a terminal device. The device 1600 includes: a processing unit 1602 and a communication unit 1603. Processing unit 1602 is configured to direct and control the operation of device 1600. For example, processing unit 1602 is configured to support device 1600 while performing steps 401 and 403 in FIG. 4, step 505 in FIG. 5, steps 604, 605 and 609 in FIG. 6, step 706 in FIG. 7 and steps 801, 804 and 806 in FIG. 8, steps 903, 906 and 912 in FIG. 9, steps 1008 and 1010 in FIG. 10, steps 1104, 1108 and 1110 in FIG. 11, steps 1205 and 1209 in FIG. 12 and steps 1305, 1309 and 1313 in FIG. 13 and/or another process of the technology described in this specification. The communication unit 1603 is configured to communicate between the device 1600 and another network element (such as a core network device and an N3IWF node). For example, communication unit 1603 is configured to support device 1600 in step 606 of FIG. 6, steps 901, 907, 909 and 913 in FIG. 9, steps 1001, 1006 and 1011 in FIG. 10, steps 1101, 1106, 1111 and 1114 in FIG. 11, steps 1201, 1206 and 1210 in FIG. 12 and steps 1301, 1306 and 1310 in FIG. 13. Device 1600 may further include a memory unit 1601 configured to store program code and data of device 1600.

Блок 1602 обработки может быть процессором или контроллером, таким как центральный процессор (Central Processing Unit, CPU), универсальный процессор, цифровой сигнальный процессор (Digital Signal Processor, DSP), специализированная интегральная схема (Application-Specific Integrated Circuit, ASIC), программируемая вентильная матрица (Field Programmable Gate Array, FPGA) или другое программируемое логическое устройство, транзисторное логическое устройство, аппаратный компонент или их комбинация. Контроллер/процессор может реализовывать или выполнять различные примеры логических блоков, модулей и схем, описанных со ссылкой на контент, раскрытый в настоящем изобретении. Процессор может быть комбинацией процессоров, реализующих вычислительную функцию, например, комбинацией одного или нескольких микропроцессоров или комбинацией DSP и микропроцессора. Блок 1603 связи может быть приемопередатчиком, схемой приемопередатчика, интерфейсом связи и т.п. Блок 1601 хранения может быть памятью.Processing unit 1602 may be a processor or controller such as a Central Processing Unit (CPU), a general purpose processor, a Digital Signal Processor (DSP), an Application-Specific Integrated Circuit (ASIC), a programmable gate matrix (Field Programmable Gate Array, FPGA) or other programmable logic device, transistorized logic device, hardware component, or a combination of both. The controller/processor may implement or execute various examples of logical blocks, modules, and circuits described with reference to the content disclosed in the present invention. The processor may be a combination of processors that implement a computing function, such as a combination of one or more microprocessors, or a combination of a DSP and a microprocessor. The communication unit 1603 may be a transceiver, a transceiver circuit, a communication interface, or the like. The storage unit 1601 may be a memory.

Когда блок 1602 обработки является процессором, блок 1603 связи является приемопередатчиком, и блок 1601 хранения является памятью, устройство 1600 в этом варианте осуществления настоящего раскрытия может быть оконечным устройством, показанным на фиг. 17.When the processing unit 1602 is a processor, the communication unit 1603 is a transceiver, and the storage unit 1601 is a memory, the device 1600 in this embodiment of the present disclosure may be the terminal device shown in FIG. 17.

На фиг. 17 показана упрощенная схема возможной конструктивной структуры оконечного устройства в варианте осуществления настоящего раскрытия. Оконечное устройство 1700 включает в себя передатчик 1701, приемник 1702 и процессор 1703. В качестве альтернативы процессор 1703 может быть контроллером и представлен как «контроллер/процессор 1703» на фиг. 17. В качестве варианта, оконечное устройство 1700 может дополнительно включать в себя процессор 1705 модема, и процессор 1705 модема может включать в себя кодер 1706, модулятор 1707, декодер 1708 и демодулятор 1709.In FIG. 17 shows a simplified diagram of a possible structural structure of a terminal device in an embodiment of the present disclosure. Terminal 1700 includes a transmitter 1701, a receiver 1702, and a processor 1703. Alternatively, processor 1703 may be a controller, and is represented as "controller/processor 1703" in FIG. 17. Alternatively, tag 1700 may further include a modem processor 1705, and modem processor 1705 may include an encoder 1706, a modulator 1707, a decoder 1708, and a demodulator 1709.

В примере передатчик 1701 настраивает (например, посредством аналогового преобразования, фильтрации, усиления и преобразования с повышением частоты) выходную выборку и генерирует сигнал восходящей линии связи. Сигнал восходящей линии связи передается антенной на базовую станцию в вышеупомянутых вариантах осуществления. В нисходящей линии связи антенна принимает сигнал нисходящей линии связи, передаваемый базовой станцией в вышеупомянутых вариантах осуществления. Приемник 1702 регулирует (например, посредством фильтрации, усиления, преобразования с понижением частоты и оцифровки) сигнал, принимаемый от антенны, и выдает входную выборку. В процессоре 1705 модема кодер 1706 принимает служебные данные и сигнальное сообщение, которое должно быть отправлено по восходящей линии связи, и обрабатывает (например, посредством форматирования, кодирования и перемежения) служебные данные и сигнальное сообщение. Модулятор 1707 дополнительно обрабатывает (например, посредством преобразования символов и модуляции) закодированные служебные данные и сообщение сигнализации и выдает выходной сигнал выборки. Демодулятор 1709 обрабатывает (например, посредством демодуляции) входную выборку и обеспечивает оценку символа. Декодер 1708 обрабатывает (например, посредством обратного перемежения и декодирования) оценку символа и предоставляет декодированные данные и сигнальное сообщение, которые отправляются на оконечное устройство 1700. Кодер 1706, модулятор 1707, демодулятор 1709 и декодер 1708 могут быть реализованы комбинированным процессором 1705 модема. Эти блоки выполняют обработку на основе технологии радиодоступа (например, технологии доступа LTE или другой эволюционной системы), используемой сетью радиодоступа. Следует отметить, что, когда оконечное устройство 1700 не включает в себя процессор 1705 модема, вышеупомянутые функции процессора 1705 модема могут альтернативно выполняться процессором 1703.In an example, transmitter 1701 adjusts (eg, through analog conversion, filtering, amplification, and upconversion) an output sample and generates an uplink signal. The uplink signal is transmitted by the antenna to the base station in the above embodiments. In the downlink, the antenna receives the downlink signal transmitted by the base station in the above embodiments. Receiver 1702 adjusts (eg, through filtering, amplifying, downconverting, and digitizing) the signal received from the antenna and provides an input sample. At modem processor 1705, encoder 1706 receives the overhead and signaling message to be sent on the uplink and processes (eg, through formatting, encoding, and interleaving) the overhead and signaling message. Modulator 1707 further processes (eg, through symbol mapping and modulation) the encoded overhead and the signaling message and provides a sample output signal. A demodulator 1709 processes (eg, through demodulation) the input sample and provides a symbol estimate. Decoder 1708 processes (eg, through deinterleaving and decoding) the symbol estimate and provides decoded data and a signaling message that is sent to terminal 1700. Encoder 1706, modulator 1707, demodulator 1709, and decoder 1708 may be implemented by modem composite processor 1705. These blocks perform processing based on the radio access technology (eg, LTE access technology or other evolutionary system) used by the radio access network. It should be noted that when tag 1700 does not include modem processor 1705, the aforementioned functions of modem processor 1705 may alternatively be performed by processor 1703.

Процессор 1703 контролирует и управляет действиями оконечного устройства 1700 и выполнен с возможностью выполнять процедуры обработки, выполняемых оконечным устройством 1700 в вариантах осуществления настоящего раскрытия. Например, процессор 1703 дополнительно выполнен с возможностью выполнять процессы обработки оконечного устройства способами, показанными на фиг. 4 - фиг. 13 и/или другой процесс технических решений, описанных в настоящем изобретении.The processor 1703 controls and controls the actions of the tag 1700 and is configured to perform processing procedures performed by the tag 1700 in the embodiments of the present disclosure. For example, processor 1703 is further configured to perform tag processing in the manners shown in FIG. 4 - fig. 13 and/or other process of technical solutions described in the present invention.

Кроме того, оконечное устройство 1700 может дополнительно включать в себя память 1704, где память 1704 выполнена с возможностью хранить программный код и данные оконечного устройства 1700.Additionally, tag 1700 may further include memory 1704, where memory 1704 is configured to store program code and data of tag 1700.

Этапы способа или алгоритма, описанные в сочетании с контентом, раскрытым в настоящем изобретении, могут быть реализованы аппаратным обеспечением или могут быть реализованы процессором путем выполнения программной инструкции. Программная инструкция может включать в себя соответствующий программный модуль. Программный модуль может храниться в оперативной памяти (Random Access Memory, RAM), флэш-памяти, постоянном запоминающем устройстве (Read Only Memory, ROM), стираемом программируемом постоянном запоминающем устройстве (Erasable Programmable ROM, EPROM), электрически стираемое программируемое постоянное запоминающее устройство (Electrically EPROM, EEPROM), регистр, жесткий диск, мобильный жесткий диск, постоянное запоминающее устройство для компакт-дисков (CD-ROM) или любой другой носитель информации, хорошо известный в данной области техники. Например, пример носителя данных связан с процессором, так что процессор может считывать информацию с носителя данных или записывать информацию на носитель данных. Конечно, носитель данных может быть компонентом процессора. Процессор и носитель данных могут быть расположены в ASIC. Дополнительно, ASIC может располагаться в основном сетевым устройстве или оконечном устройстве. Конечно, процессор и носитель данных могут быть установлены в основном сетевом устройстве или оконечном устройстве как дискретные компоненты.The steps of a method or algorithm described in conjunction with the content disclosed in the present invention may be implemented in hardware, or may be implemented by a processor by executing a software instruction. The program instruction may include a corresponding program module. A software module can be stored in Random Access Memory (RAM), Flash Memory, Read Only Memory (ROM), Erasable Programmable ROM (EPROM), Electrically Erasable Programmable Read Only Memory (EPROM). Electrically EPROM, EEPROM), register, hard drive, mobile hard drive, compact disc read only memory (CD-ROM), or any other storage medium well known in the art. For example, an example storage medium is coupled to the processor such that the processor can read information from, or write information to, the storage medium. Of course, the storage medium may be a component of the processor. The processor and storage medium may be located in an ASIC. Additionally, the ASIC may be located in the main network device or terminal device. Of course, the processor and the storage medium may be installed in the main network device or terminal device as discrete components.

В нескольких вариантах осуществления, представленных в настоящем изобретении, следует понимать, что раскрытые система, устройство и способ могут быть реализованы другими способами. Например, описанные варианты осуществления устройства являются просто примерами. Например, разделение на блоки представляет собой просто разделение логических функций и может быть другим разделением в реальной реализации. Например, множество блоков или компонентов могут быть объединены или интегрированы в другую систему, или некоторые функции могут игнорироваться или не выполняться. Дополнительно, отображаемые или обсуждаемые взаимные связи или прямые связи или коммуникационные соединения могут быть реализованы через некоторые интерфейсы. Непрямые соединения или коммуникационные соединения между устройствами или блоками могут быть реализованы в электрических или других формах.In several embodiments presented in the present invention, it should be understood that the disclosed system, device and method can be implemented in other ways. For example, the device embodiments described are merely examples. For example, the division into blocks is simply a division of logical functions and may be another division in the actual implementation. For example, many blocks or components may be combined or integrated into another system, or certain functions may be ignored or not performed. Additionally, displayed or discussed reciprocal links or direct links or communication connections can be implemented through some interfaces. Indirect connections or communication connections between devices or units may be implemented in electrical or other forms.

Блоки, описанные как отдельные части, могут быть или не могут быть физически отдельными, и части, отображаемые как блоки, могут быть или не могут быть физическими блоками, могут быть расположены в одной позиции или могут быть распределены на множестве сетевых устройств. Некоторые или все блоки могут быть выбраны на основании фактических требований для достижения целей решений вариантов осуществления.Blocks described as separate parts may or may not be physically separate, and parts displayed as blocks may or may not be physical blocks, may be located in the same position, or may be distributed over multiple network devices. Some or all of the blocks may be selected based on actual requirements to achieve the goals of the solutions of the embodiments.

Дополнительно, функциональные блоки в вариантах осуществления настоящего раскрытия могут быть интегрированы в один блок обработки, или каждый из функциональных блоков может существовать независимо, или два или более блока интегрированы в один блок. Интегрированный блок может быть реализован в виде аппаратных средств или может быть реализован в виде аппаратных средств в дополнение к программному функциональному блоку.Additionally, the functional blocks in the embodiments of the present disclosure may be integrated into one processing block, or each of the functional blocks may exist independently, or two or more blocks may be integrated into one block. The integrated block may be implemented in hardware, or may be implemented in hardware in addition to the software functional block.

Основываясь на вышеизложенном описании реализаций, специалист в данной области техники может ясно понять, что настоящее изобретение может быть реализовано с помощью программного обеспечения в дополнение к необходимому универсальному оборудованию или только с помощью оборудования. В большинстве случаев, предшествующее является реализацией. Основываясь на таком понимании, технические решения настоящего раскрытия, по существу, или его часть в предшествующем уровне техники, могут быть реализованы в форме программного продукта. Программный продукт хранится на читаемом носителе данных, таком как гибкий диск, жесткий диск или оптический диск компьютера, и включает в себя несколько инструкций для инструктирования компьютерного устройства (которым может быть персональный компьютер, сервер, сеть устройство или подобное) для выполнения способов, описанных в вариантах осуществления настоящего раскрытия.Based on the foregoing description of the implementations, one skilled in the art can clearly understand that the present invention can be implemented with software in addition to the required general hardware, or with hardware alone. In most cases, the preceding is the implementation. Based on this understanding, the technical solutions of the present disclosure, in essence, or part of it in the prior art, can be implemented in the form of a software product. The software product is stored on a readable storage medium, such as a floppy disk, hard disk, or optical disk of a computer, and includes several instructions for instructing a computing device (which may be a personal computer, a server, a network device, or the like) to perform the methods described in embodiments of the present disclosure.

Приведенные выше описания являются просто конкретными реализациями настоящего раскрытия, но не предназначены для ограничения объема защиты настоящего раскрытия. Любые изменения или замены в пределах технического объема, раскрытого в настоящем изобретении, подпадают под объем защиты настоящего раскрытия. Таким образом, объем защиты настоящего раскрытия должен соответствовать объему защиты формулы изобретения.The above descriptions are merely specific implementations of the present disclosure, but are not intended to limit the protection scope of the present disclosure. Any changes or substitutions within the technical scope disclosed in the present invention fall within the protection scope of this disclosure. Thus, the scope of the present disclosure should be that of the claims.

Claims (64)

1. Способ обновления ключа, реализуемый в системе связи, содержащей основное сетевое устройство, первое соединение, соответствующее первой технологии доступа, и второе соединение, соответствующее второй технологии доступа, между основным сетевым устройством и оконечным устройством, при этом первое соединение и второе соединение совместно используют первый ключ, содержащий этапы, на которых:1. A key renewal method implemented in a communication system comprising a main network device, a first connection corresponding to a first access technology, and a second connection corresponding to a second access technology between the main network device and a terminal device, wherein the first connection and the second connection share the first key containing the steps in which: обновляют (904), с помощью основного сетевого устройства, первый ключ для получения обновленного ключа для первого соединения и получения идентификатора первого ключа; причем идентификатор первого ключа идентифицирует обновленный ключ;update (904), using the main network device, the first key to obtain an updated key for the first connection and obtain the identifier of the first key; wherein the first key identifier identifies the updated key; сохраняют, с помощью основного сетевого устройства, первый ключ для второго соединения и второй идентификатор ключа, причем, когда второе соединение находится в подключенном состоянии, первый ключ все еще используется для второго соединения, при взаимодействии основного сетевого устройства с оконечным устройством через второе соединение перед обновлением первого ключа для второго соединения; при этом второй идентификатор ключа идентифицирует первый ключ.store, by the main network device, the first key for the second connection and the second key identifier, and when the second connection is in the connected state, the first key is still used for the second connection, when the main network device communicates with the terminal device through the second connection before updating the first key for the second connection; wherein the second key identifier identifies the first key. 2. Способ по п.1, дополнительно содержащий этапы, на которых:2. The method of claim 1, further comprising the steps of: передают (905), с помощью основного сетевого устройства, первое сообщение команды режима безопасности (SMC) уровня без доступа (NAS) на оконечное устройство через первое соединение; при этом первое NAS SMC сообщение содержит первый идентификатор ключа; иtransmitting (905), with the host network device, a first non-access layer (NAS) Security Mode Command (SMC) message to the terminal device via the first connection; wherein the first NAS SMC message contains the first key identifier; and принимают (907), с помощью основного сетевого устройства, первое NAS сообщение о завершении режима безопасности (SMP), от оконечного устройства через первое соединение, в котором выполняется защита целостности для первого NAS SMP сообщения на основании первого ключа. receiving (907), with the host network device, a first NAS Security Mode Completion (SMP) message from the terminal device via the first connection, in which integrity protection is performed for the first NAS SMP message based on the first key. 3. Способ по п.1 или 2, дополнительно содержащий этап, на котором:3. The method according to claim 1 or 2, further comprising the step of: обновляют (910), с помощью основного сетевого устройства, первый ключ для второго соединения, так, что первое соединение и второе соединение совместно используют обновленный ключ.updating (910), with the host network device, the first key for the second connection, so that the first connection and the second connection share the updated key. 4. Способ по п.3, дополнительно содержащий этап, на котором:4. The method of claim 3, further comprising the step of: запуск, с помощью основного сетевого устройства, когда второе соединение находится в подключенном состоянии, таймера, после обновления первого ключа для первого соединения; при этом этап обновления первого ключа для второго соединения с использованием обновленного ключа, содержит подэтап, на котором:starting, by the main network device, when the second connection is in the connected state, a timer after updating the first key for the first connection; wherein the step of updating the first key for the second connection using the updated key comprises a sub-step of: когда таймер истекает, обновление (910) основным сетевым устройством первого ключа для второго соединения с использованием обновленного ключа.when the timer expires, updating (910) by the main network device of the first key for the second connection using the updated key. 5. Способ по п.3 или 4, дополнительно содержащий этапы, на которых:5. The method according to claim 3 or 4, further comprising the steps of: передают (911), с помощью основного сетевого устройства, второе NAS SMC сообщение на оконечное устройство через второе соединение; причем второе NAS SMC сообщение содержит первый идентификатор ключа; иtransmitting (911), using the main network device, the second NAS SMC message to the terminal device through the second connection; wherein the second NAS SMC message contains the first key identifier; and принимают (913), с помощью основного сетевого устройства, второе NAS SMP сообщение от оконечного устройства через второе соединение, в котором выполняется защита целостности для второго NAS SMP сообщения на основании обновленного ключа.receive (913), with the main network device, the second NAS SMP message from the terminal device through the second connection, which performs integrity protection for the second NAS SMP message based on the updated key. 6. Способ по любому из пп.3-5, дополнительно содержащий этап, на котором:6. The method according to any one of claims 3 to 5, further comprising the step of: удаляют, с помощью основного сетевого устройства, первый ключ и второй идентификатор ключа, после обновления первого ключа для второго соединения.deleting, by the main network device, the first key and the second key identifier after updating the first key for the second connection. 7. Способ по любому из пп.1-6, дополнительно содержащий, перед этапом обновления ключа для первого соединения, этап, на котором:7. The method according to any one of claims 1-6, further comprising, before the step of updating the key for the first connection, the step of: определяют, с помощью основного сетевого устройства, в соответствии с информацией конфигурации оператора или NAS COUNT, используемым оконечным устройством, так, что происходит циклическое повторение, что оконечное устройство должно быть повторно аутентифицировано.it is determined, by the main network device, according to the configuration information of the operator or NAS COUNT used by the terminal device, so that a round-robin occurs that the terminal device must be re-authenticated. 8. Способ по любому из пп.1-7, дополнительно содержащий этап, на котором:8. The method according to any one of claims 1 to 7, further comprising the step of: определяют, с помощью основного сетевого устройства, что второе соединение находится в подключенном состоянии.determine, with the help of the main network device, that the second connection is in the connected state. 9. Способ обновления ключа, реализуемый системой связи, содержащей оконечное устройство, первое соединение, соответствующее первой технологии доступа, и второе соединение, соответствующее второй технологии доступа, между оконечным устройством и основным сетевым устройством, причем первое соединение и второе соединение совместно используют первый ключ, содержащий этапы, на которых:9. A key renewal method implemented by a communication system comprising a terminal device, a first connection corresponding to a first access technology, and a second connection corresponding to a second access technology between the terminal device and the main network device, wherein the first connection and the second connection share the first key, containing the steps in which: принимают (905), с помощью оконечного устройства, первое сообщение команды режима безопасности (SMC) уровня без доступа (NAS) от основного сетевого устройства через первое соединение; при этом первое NAS SMC сообщение содержит первый идентификатор ключа;receiving (905), by the terminal device, a first non-access layer (NAS) security mode command (SMC) message from the main network device via the first connection; wherein the first NAS SMC message contains the first key identifier; обновляют (906), с помощью оконечного устройства, первый ключ для получения обновленного ключа для первого соединения;update (906), using the terminal device, the first key to obtain an updated key for the first connection; передают (907), с помощью оконечного устройства, NAS сообщение о завершении первого режима безопасности (SMP), на основное сетевое устройство, через первое соединение, в котором выполняется защита целостности для первого NAS SMP сообщения на основании обновленного ключа;transmitting (907), by the tag, the NAS a first security mode completion (SMP) message to the underlying network device, via the first connection on which integrity protection is performed for the first NAS SMP message based on the updated key; принимают (911), с помощью оконечного устройства, второе NAS SMC сообщение, от основного сетевого устройства, через второе соединение; при этом второе NAS SMC сообщение содержит первый идентификатор ключа;receive (911), using the end device, the second NAS SMC message, from the main network device, through the second connection; wherein the second NAS SMC message contains the first key identifier; обновляют (912), с помощью оконечного устройства, первый ключ для второго соединения с использованием обновленного ключа; иupdate (912), using the terminal device, the first key for the second connection using the updated key; and передают (913), с помощью оконечного устройства второе NAS SMP сообщение на основное сетевое устройство через второе соединение, в котором выполняется защита целостности для второго NAS SMP сообщения на основании обновленного ключа.transmitting (913), by the end device, the second NAS SMP message to the main network device via the second connection, in which integrity protection is performed for the second NAS SMP message based on the updated key. 10. Способ по п.9, дополнительно содержащий этапы, на которых:10. The method of claim 9, further comprising the steps of: удаляют, с помощью оконечного устройства, первый ключ и второй идентификатор ключа, после обновления первого ключа для второго соединения с использованием обновленного ключа; причем второй идентификатор ключа идентифицирует первый ключ.deleting, by the terminal device, the first key and the second key identifier after updating the first key for the second connection using the updated key; wherein the second key identifier identifies the first key. 11. Способ по п.10, в котором первый ключ все еще используется для второго соединения, когда оконечное устройство обменивается данными с основным сетевым устройством через второе соединение перед обновлением первого ключа для второго соединения.11. The method of claim 10, wherein the first key is still used for the second connection when the terminal communicates with the primary network device over the second connection before updating the first key for the second connection. 12. Основное сетевое устройство для обновления ключа, содержащееся в системе связи, содержащей основное сетевое устройство, первое соединение, соответствующее первой технологии доступа, и второе соединение, соответствующее второй технологии доступа, между основным сетевым устройством и оконечным устройством, при этом первое соединение и второе соединение совместно используют первый ключ, а основное сетевое устройство содержит блок (1402) обработки, при этом блок (1402) обработки выполнен с возможностью:12. The main network device for updating the key contained in the communication system containing the main network device, the first connection corresponding to the first access technology, and the second connection corresponding to the second access technology, between the main network device and the terminal device, while the first connection and the second the connection shares the first key, and the underlying network device includes a processing unit (1402), wherein the processing unit (1402) is configured to: обновления первого ключа для получения обновленного ключа для первого соединения и получения первого идентификатора ключа; причем первый идентификатор ключа идентифицирует обновленный ключ;updating the first key to obtain an updated key for the first connection and obtain a first key identifier; wherein the first key identifier identifies the updated key; сохранения первого ключа для второго соединения и второго идентификатора ключа, когда второе соединение находится в подключенном состоянии; причем второй идентификатор ключа идентифицирует первый ключ; а первый ключ все еще используется для второго соединения, когда основное сетевое устройство обменивается данными с оконечным устройством через второе соединение перед обновлением первого ключа для второго соединения.storing a first key for the second connection and a second key identifier when the second connection is in a connected state; wherein the second key identifier identifies the first key; and the first key is still used for the second connection when the main network device communicates with the terminal device through the second connection before updating the first key for the second connection. 13. Основное сетевое устройство по п.12, дополнительно содержащее блок (1403) связи; причем блок (1403) связи выполнен с возможностью:13. The main network device according to claim 12, further comprising a communication unit (1403); wherein the communication unit (1403) is configured to: передачи первого сообщения команды режима безопасности (SMC) уровня без доступа (NAS) на оконечное устройство через первое соединение; причем первое NAS SMC сообщение содержит первый идентификатор ключа; иtransmitting a first non-access layer (NAS) Security Mode Command (SMC) message to the terminal via the first connection; wherein the first NAS SMC message contains a first key identifier; and приема первого NAS сообщения о завершении режима безопасности (SMP) от оконечного устройства через первое соединение, в котором выполняется защита целостности для первого NAS SMP сообщения на основании первого ключа.receiving a first NAS Security Mode Completion (SMP) message from the tag through a first connection in which integrity protection is performed for the first NAS SMP message based on the first key. 14. Основное сетевое устройство по п.12 или 13, в котором блок (1402) обработки дополнительно выполнен с возможностью:14. The main network device according to claim 12 or 13, wherein the processing unit (1402) is further configured to: обновления первого ключа для второго соединения, так, что первое соединение и второе соединение совместно используют обновленный ключ.updating the first key for the second connection such that the first connection and the second connection share the updated key. 15. Основное сетевое устройство по п.14, в котором блок (1402) обработки дополнительно выполнен с возможностью:15. The main network device of claim 14, wherein the processing unit (1402) is further configured to: запуска, когда второе соединение находится в подключенном состоянии, таймера, после обновления первого ключа для первого соединения; иstarting, when the second connection is in the connected state, a timer after updating the first key for the first connection; and обновления, по истечении таймера, первого ключа для второго соединения, с использованием обновленного ключа.update, after the expiration of the timer, the first key for the second connection, using the updated key. 16. Основное сетевое устройство по п.14 или 15, в котором блок (1403) связи дополнительно выполнен с возможностью:16. The main network device according to claim 14 or 15, in which the communication unit (1403) is further configured to: передачи второго NAS SMC сообщения на оконечное устройство через второе соединение; причем второе NAS SMC сообщение содержит первый идентификатор ключа; иtransmitting the second NAS SMC message to the end device via the second connection; wherein the second NAS SMC message contains the first key identifier; and приема второго NAS SMP сообщения от оконечного устройства через второе соединение, в котором выполняется защита целостности для второго NAS SMP сообщения на основании обновленного ключа.receiving a second NAS SMP message from the end device via a second connection in which integrity protection is performed for the second NAS SMP message based on the updated key. 17. Основное сетевое устройство по любому из пп.14-16, в котором блок (1402) обработки дополнительно выполнен с возможностью:17. The main network device according to any one of claims 14-16, wherein the processing unit (1402) is further configured to: удаления первого ключа и второго идентификатора ключа после обновления первого ключа для второго соединения.deleting the first key and the second key ID after updating the first key for the second connection. 18. Основное сетевое устройство по любому из пп.12-17, в котором блок (1402) обработки дополнительно выполнен с возможностью:18. The main network device according to any one of claims 12-17, wherein the processing unit (1402) is further configured to: определения, согласно информации о конфигурации оператора или NAS COUNT, используемому оконечным устройством, так, что происходит циклическое повторение, что оконечное устройство должно быть повторно аутентифицировано.determining, according to the operator configuration information or NAS COUNT used by the terminal device, such that a round-robin occurs that the terminal device must be re-authenticated. 19. Основное сетевое устройство по любому из пп.12-18, в котором блок (1402) обработки дополнительно выполнен с возможностью:19. The main network device according to any one of claims 12-18, wherein the processing unit (1402) is further configured to: определения, что второе соединение находится в подключенном состоянии.determining that the second connection is in the connected state. 20. Устройство связи, содержащееся в системе связи, содержащей указанное устройство, первое соединение, соответствующее первой технологии доступа, и второе соединение, соответствующее второй технологии доступа, между устройством и основным сетевым устройством, причем первое соединение и второе соединение совместно используют первый ключ, а устройство содержит блок (1602) обработки и блок (1603) связи, при этом:20. A communication device contained in a communication system comprising said device, a first connection corresponding to a first access technology, and a second connection corresponding to a second access technology between the device and the main network device, the first connection and the second connection sharing the first key, and the device comprises a processing unit (1602) and a communication unit (1603), wherein: блок (1603) связи выполнен с возможностью приема первого сообщения команды режима безопасности (SMC) уровня без доступа (NAS) от основного сетевого устройства через первое соединение; причем первое NAS SMC сообщение содержит первый идентификатор ключа;the communication unit (1603) is configured to receive a first non-access layer (NAS) security mode command (SMC) message from the main network device via the first connection; wherein the first NAS SMC message contains a first key identifier; блок (1602) обработки выполнен с возможностью обновления первого ключа для получения обновленного ключа для первого соединения;the processing unit (1602) is configured to update the first key to obtain an updated key for the first connection; блок (1603) связи дополнительно выполнен с возможностью:the communication unit (1603) is further configured to: передачи первого NAS сообщения о завершении режима безопасности (SMP) на основное сетевое устройство через первое соединение, в котором выполняется защита целостности для первого NAS SMP сообщения на основании обновленного ключа;transmitting the first NAS Security Mode Completion (SMP) message to the underlying network device via the first connection in which integrity protection is performed for the first NAS SMP message based on the updated key; приема второго NAS SMC сообщения от основного сетевого устройства через второе соединение; причем второе NAS SMC сообщение содержит первый идентификатор ключа;receiving a second NAS SMC message from the main network device via the second connection; wherein the second NAS SMC message contains the first key identifier; блок (1602) обработки дополнительно выполнен с возможностью обновления первого ключа для второго соединения с использованием обновленного ключа; иthe processing unit (1602) is further configured to update the first key for the second connection using the updated key; and блок (1603) связи дополнительно выполнен с возможностью передачи второго NAS SMP сообщения на основное сетевое устройство через второе соединение, в котором выполняется защита целостности для второго NAS SMP сообщения на основании обновленного ключа.the communication unit (1603) is further configured to transmit the second NAS SMP message to the main network device via the second connection, which performs integrity protection for the second NAS SMP message based on the updated key. 21. Устройство связи по п.20, в котором блок (1602) обработки дополнительно выполнен с возможностью удаления первого ключа и второго идентификатора ключа, после обновления первого ключа для второго соединения с использованием обновленного ключа; причем второй идентификатор ключа идентифицирует первый ключ.21. The communications device of claim 20, wherein the processing unit (1602) is further configured to delete the first key and the second key identifier after updating the first key for the second connection using the updated key; wherein the second key identifier identifies the first key. 22. Устройство связи по п.20 или 21, в котором первый ключ все еще используется для второго соединения, когда оконечное устройство осуществляет связь с основным сетевым устройством через второе соединение перед обновлением первого ключа для второго соединения.22. The communications device of claim 20 or 21, wherein the first key is still used for the second connection when the terminal communicates with the primary network device over the second connection before updating the first key for the second connection. 23. Устройство связи, содержащее:23. Communication device, containing: по меньшей мере один процессор; иat least one processor; and память, соединенную с указанным по меньшей мере одним процессором и хранящую программные инструкции, вызывающие, при исполнении по меньшей мере одним процессором, выполнение устройством способа по любому из пп.1-11.a memory coupled to said at least one processor and storing program instructions causing, when executed by the at least one processor, the device to execute the method according to any one of claims 1-11. 24. Машиночитаемый носитель данных, содержащий инструкции, вызывающие, при исполнении по меньшей мере одним процессором, выполнение устройством способа по любому из пп.1-11.24. A computer-readable storage medium containing instructions causing, when executed by at least one processor, the device to execute the method according to any one of claims 1-11.
RU2020126333A 2018-01-08 2019-01-07 Method for key update and device RU2783597C2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201810016762.9A CN110022206B (en) 2018-01-08 2018-01-08 Method and device for updating key
CN201810016762.9 2018-01-08
PCT/CN2019/070709 WO2019134704A1 (en) 2018-01-08 2019-01-07 Key updating method and apparatus

Publications (3)

Publication Number Publication Date
RU2020126333A RU2020126333A (en) 2022-02-10
RU2020126333A3 RU2020126333A3 (en) 2022-04-28
RU2783597C2 true RU2783597C2 (en) 2022-11-15

Family

ID=

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090316909A1 (en) * 2007-06-04 2009-12-24 Yuichi Futa Utilization apparatus, servicer apparatus, service utilization system, service utilization method, service utilization program, and integrated circuit
WO2011097890A1 (en) * 2010-02-12 2011-08-18 中兴通讯股份有限公司 Method for triggering re-authentication of terminal in idle state
RU2617836C2 (en) * 2012-09-27 2017-04-28 Хуавей Текнолоджиз Ко., Лтд. Method for keeping subscriber identity module cards on standby and terminal equipment
WO2017159970A1 (en) * 2016-03-17 2017-09-21 엘지전자(주) Method for performing security setting of terminal in wireless communication system and apparatus for same

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090316909A1 (en) * 2007-06-04 2009-12-24 Yuichi Futa Utilization apparatus, servicer apparatus, service utilization system, service utilization method, service utilization program, and integrated circuit
WO2011097890A1 (en) * 2010-02-12 2011-08-18 中兴通讯股份有限公司 Method for triggering re-authentication of terminal in idle state
RU2617836C2 (en) * 2012-09-27 2017-04-28 Хуавей Текнолоджиз Ко., Лтд. Method for keeping subscriber identity module cards on standby and terminal equipment
WO2017159970A1 (en) * 2016-03-17 2017-09-21 엘지전자(주) Method for performing security setting of terminal in wireless communication system and apparatus for same

Similar Documents

Publication Publication Date Title
JP7074847B2 (en) Security protection methods, devices and systems
JP7095095B2 (en) Key update method and device
JP7101775B2 (en) Security protection methods and equipment
US20210045050A1 (en) Communications method and apparatus
CN109819439B (en) Method for updating key and related entity
BR112020000870A2 (en) method of data transmission, device and system related to it
RU2783597C2 (en) Method for key update and device
RU2774435C2 (en) Method and device for security provision
WO2014169568A1 (en) Security context handling method and apparatus
CN116528234A (en) Virtual machine security and credibility verification method and device