WO2019134704A1

WO2019134704A1 - 一种更新密钥的方法及装置

Info

Publication number: WO2019134704A1
Application number: PCT/CN2019/070709
Authority: WO
Inventors: 李�赫; 陈璟
Original assignee: 华为技术有限公司
Priority date: 2018-01-08
Filing date: 2019-01-07
Publication date: 2019-07-11
Also published as: CN113660660A; BR112020013611A2; AU2019205078B2; EP3737032A4; JP7095095B2; RU2020126333A3; MX2020007292A; US11595206B2; RU2020126333A; EP3737032A1; CN110022206B; JP2021510262A; EP3737032B1; EP4131845A1; CN110022206A; US20200336305A1; AU2019205078A1

Abstract

本申请的实施例提供一种更新密钥的方法，涉及通信技术领域，可以解决AMF节点通过一种接入技术对终端进行重鉴权的过程涉及的NAS密钥的更新，影响终端与AMF节点之间通过另一种接入技术的正常通信的问题。该方法包括：通信系统包括终端和核心网设备，终端分别通过第一接入技术和第二接入技术同时接入核心网设备，包括：核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权；若满足触发条件，则核心网设备更新第二接入技术对应的第二连接的密钥。

Description

一种更新密钥的方法及装置

本申请要求于2018年1月8日提交中国专利局、申请号为201810016762.9、发明名称为“一种更新密钥的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种更新密钥的方法及装置。

背景技术

在第五代(5th generation，5G)系统中，终端可以同时通过第三代合作伙伴计划(3rd generation partnership project,3GPP)接入技术和非3GPP(non-3GPP)接入技术接入到接入和移动性管理功能(access and mobility management function,AMF)节点。在终端同时通过3GPP接入技术和非3GPP接入技术接入AMF节点的情况下，AMF节点分别为3GPP接入技术和非3GPP接入技术维护注册管理(registration management，RM)的状态机和连接管理(connection management,CM)的状态机。

其中，注册管理的状态机对应RM态(RM state)，RM态分为RM注册态(RM-registration state)和RM去注册态(RM-deregistration state)。连接管理的状态机对应CM态(CM state),CM态分为CM连接态(CM-connected state)和CM空闲态(CM-idle state)。终端由空闲态进入连接态之后，可以发起注册流程。完成注册流程后，终端即可由去注册态切换至注册态，此时终端具有非接入层(non-access stratum，NAS)密钥和安全算法等安全上下文信息。当终端再次回到空闲态或去注册态时，终端仍然具有NAS密钥和安全算法。

虽然AMF节点可以分别为3GPP接入技术和非3GPP接入技术单独维护状态机，但是终端和AMF节点通过这两种接入技术进行通信时可能共用一套NAS密钥。当AMF节点需要通过其中一种接入技术对终端进行重鉴权时，重鉴权的过程会涉及NAS密钥的更新。然而，终端和AMF节点通过另一种接入技术进行通信时仍然需要使用上述共用的NAS密钥，或者终端和AMF节点正在使用上述共用的NAS密钥进行通信。这种情况下，AMF节点通过一种接入技术对终端进行重鉴权的过程涉及的NAS密钥的更新，可能会影响终端与AMF节点之间通过另一种接入技术的正常通信。

发明内容

本申请的实施例提供一种更新密钥的方法及装置，用以解决AMF节点通过一种接入技术对终端进行重鉴权的过程涉及的NAS密钥的更新，影响终端与AMF节点之间通过另一种接入技术的正常通信的问题。

第一方面，本申请的实施例提供一种更新密钥的方法，应用于通信系统，该通信系统包括终端和核心网设备，终端分别通过第一接入技术和第二接入技术同时接入核心网设备，包括：核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权；若满足触发条件，则核心网设备更新第二接入技术对应的第二连接的密钥。采用该方法，核心网设备可通过第一连接对终端进行重鉴权，重鉴权过程中可更新第一连接的密钥，当满足第一触发条件时，核心网设备可更新第二连接的密钥，当满足第二触发条件时，终端可更新第二连接的密钥，实现了终端同时通过多种接入技术接入AMF节点的情况下，可以在不影响终端与AMF节点之间通过第二连接进行正常通信的前提下，通过第一连接对终端进行重鉴权，且实现了两条连接的密钥更新。

在一种可能的设计中，触发条件为第二连接的状态，第二连接的状态为连接态或空闲态。

采用该方法，若核心网设备确定需要通过第一连接对终端进行重鉴权时，还需判断第二连接的状态，在第二连接处于空闲态的情况下才会通过第一连接对终端进行重鉴权，并更新第一连接和第二连接的密钥，由于第二连接处于空闲态，所以更新密钥的过程不会影响终端与核心网设备对第二连接的正常使用。

在一种可能的设计中，触发条件为第二连接处于空闲态；若核心网设备确定通过第一连接对终端进行重鉴权，且第二连接处于连接态，则核心网设备通过第一连接向终端发送第一消息，第一消息用于指示终端暂停使用第一连接。采用该方法，若终端继续通过第一连接向核心网设备发送NAS消息，可能会导致NAS COUNT翻转，所以及时通知终端暂停使用第一连接。

在一种可能的设计中，触发条件为第二连接处于空闲态；核心网设备在通过第一连接对终端进行重鉴权的过程中，获取第一密钥标识符，第一密钥标识符用于标识第一连接的更新后的密钥。

在一种可能的设计中，在核心网设备通过第一接入技术对应的第一连接对所述终端进行重鉴权之后，核心网设备可以通过第一连接向终端发送指示信息，该指示信息用于指示终端更新第二连接对应的密钥。采用该方法，在核心网设备更新第二连接对应的密钥后，及时通知终端更新第二连接的密钥，可以保证后续核心网设备与终端通过第二连接传输消息时使用相同的密钥对消息进行安全保护。

可选地，该指示信息可以为第一密钥标识符。终端接收到第一密钥标识符之后，可将第二连接的密钥更新为第一密钥标识符标识的密钥。

在一种可能的设计中，触发条件为第二连接处于连接态；核心网设备更新第二接入技术对应的第二连接的密钥的方法为：核心网设备暂停使用第二连接，然后核心网设备更新第二连接的密钥。采用该方法，核心网设备暂停使用第二连接，然后再更新第二连接的密钥，可以避免密钥更新流程影响核心网设备使用第二连接的正常通信。

在一种可能的设计中，在核心网设备通过第一连接对终端进行重鉴权的过程中，核心网设备可以获取第一密钥标识符，保留第二密钥标识符和第二连接的更新前的密钥，第一密钥标识符用于标识第一连接的更新后的密钥，第二密钥标识符用于标识第二连接的更新前的密钥。

在一种可能的设计中，在核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权之后，核心网设备可以启动计时器。

在一种可能的设计中，触发条件为：

核心网设备在计时器超时前接收到终端通过第二连接发送的第二消息，且核心网设备通过第二连接的更新前的密钥对第二消息进行安全验证成功；或者，

计时器超时，且核心网设备在计时器超时前未接收到终端通过第二连接发送的第二消息；或者，

计时器超时后，核心网设备接收到终端通过第二连接发送的未进行安全保护的第二消息；或者，

计时器超时后，核心网设备接收到终端通过第二连接发送的第二消息，且核心网设备通过第二连接的更新后的密钥对第二消息进行安全验证成功。

在一种可能的设计中，核心网设备可通过第一连接向终端发送第三消息，第三消息包括第一密钥标识符、第二密钥标识符或者指示信息，该指示信息用于指示终端启动计时器。采用该方法，在核心网确定需要通过第一连接进行重鉴权时，若第二连接处于连接态，核心网设备可以直接通过第一连接对终端进行重鉴权，重鉴权过程中可以保留第二连接的更新前的密钥，这样即使核心网设备通过第一连接对终端进行重鉴权更新了第一连接的密钥，核心网设备和终端之间通过第二连接进行通信时，仍然可以使用第二连接的更新前的密钥，不会影响第二连接的正常通信，且该方法实现了第一连接和第二连接的解耦，核心网设备通过第一连接对终端进行鉴权时无需检测第二连接的状态，在计时器超时后，核心网设备和终端均可主动更新第二连接的密钥，减少了核心网设备和终端之间的信令交互开销，实现更为简单。

在一种可能的设计中，在核心网设备更新第二接入技术对应的第二连接的密钥之后，核心网设备可以删除第二连接的更新前的密钥和第二密钥标识符。

在一种可能的设计中，若第二连接处于连接态，则在核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权之后，核心网设备可以设置第一标记，第一标记用于标记核心网设备已通过第一连接对终端进行重鉴权，或用于指示更新第二连接的密钥。

在一种可能的设计中，触发条件为第二连接切换至空闲态，且核心网设备确定存在第一标记。

在一种可能的设计中，触发条件为核心网设备确定存在第一标记；核心网设备更新第二接入技术对应的第二连接的密钥的方法包括：若第二连接处于连接态，则核心网设备暂停使用第二连接，然后核心网设备更新第二连接的密钥。

在一种可能的设计中，在核心网设备更新第二接入技术对应的第二连接的密钥之后，核心网设备可获取第三密钥标识符，第三密钥标识符用于标识第一连接的更新后的密钥和第二连接的更新后的密钥，然后核心网设备向终端发送第三密钥标识符。

在一种可能的设计中，在核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权之后，核心网设备向终端发送指示信息，该指示信息用于指示终端更新第二连接的密钥。

在一种可能的设计中，触发条件为核心网设备确定存在第二标记，且第二连接处于空闲态；在核心网设备通过第一连接对终端进行重鉴权之后，核心网设备可设置第二标记，第二标记用于指示更新第二连接的密钥。

第二方面，本申请的实施例提供一种更新密钥的方法，应用于通信系统，通信系统包括终端和核心网设备，终端分别通过第一接入技术和第二接入技术同时接入核心网设备，该方法包括：终端通过第一接入技术对应的第一连接进行重鉴权，若满足触发条件，则终端更新第二接入技术对应的第二连接的密钥。采用该方法，终端在满足触发条件时才会更新第二接入技术对应的第二连接的密钥，可以在不影响终端与AMF节点指甲通过第二连接进行正常通信的前提下，通过第一连接对终端进行重鉴权。

在一种可能的设计中，触发条件为第二连接的状态为空闲态。

在一种可能的设计中，终端通过第一接入技术对应的第一连接进行重鉴权，包括：在终端通过第一连接进行重鉴权的过程中，保留密钥标识符和第二连接的更新前的密钥，密钥标识符用于标识第二连接的更新前的密钥。

在一种可能的设计中，触发条件为计时器超时；在终端通过第一接入技术对应的第一连接进行重鉴权之后，终端可以启动计时器。

在一种可能的设计中，在终端启动计时器之后，该方法还包括：终端在计时器超时前，通过第二连接向核心网设备发送消息，该消息通过第二连接的更新前的密钥进行安全保护；或者，终端在计时器超时后，通过第二连接向核心网设备发送未进行安全保护的消息；或者；终端在计时器超时后，通过第二连接向核心网设备发送消息，该消息通过第二连接的更新后的密钥进行安全保护。

在一种可能的设计中，在终端更新第二接入技术对应的第二连接的密钥之后，该方法还包括：终端删除第二连接的更新前的密钥和密钥标识符。

第三方面，本申请实施例提供一种装置，该装置具有实现上述方法设计中核心网设备行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如，该装置可以为核心网设备，或者可以为核心网设备中的芯片。

在一种可能的设计中，该装置为核心网设备，核心网设备包括处理器，所述处理器被配置为支持核心网设备执行上述方法中相应的功能。进一步地，核心网设备还可以包括发射器和接收器，所述发射器和接收器用于支持核心网设备与终端之间的通信。进一步的，核心网设备还可以包括存储器，所述存储器用于与处理器耦合，其保存终端必要的程序指令和数据。

第四方面，本申请实施例提供一种装置，该装置具有实现上述方法设计中终端行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如，该装置可以为终端，或者可以为终端中的芯片。

在一种可能的设计中，该装置为终端，终端包括处理器，所述处理器被配置为支持终端执行上述方法中相应的功能。进一步地，终端还可以包括发射器和接收器，所述发射器和接收器用于支持终端与核心网设备之间的通信。进一步的，终端还可以包括存储器，所述存储器用于与处理器耦合，其保存终端必要的程序指令和数据。

第五方面，本申请实施例提供一种通信系统，该系统包括上述方面所述的终端和核心网设备，可选地，该系统还可以包括基站、N3IWF节点以及上述方面所述的终端和核心网设备。

第六方面，本申请实施例提供一种计算机存储介质，用于储存为上述用于核心网设备所用的计算机软件指令，其包含用于执行上述第一方面所设计的程序。

第七方面，本申请实施例提供一种计算机存储介质，用于储存为上述用于终端所用的计算机软件指令，其包含用于执行上述第二方面所设计的程序。

第八方面，本申请的实施例提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述第一方面所述的方法。

第九方面，本申请的实施例提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如上述第二方面所述的方法。

第十方面，本申请的实施例提供一种芯片系统，应用于核心网设备中，所述芯片系统包括至少一个处理器，存储器和收发电路，所述存储器、所述收发电路和所述至少一个处理器通过线路互联，所述至少一个存储器中存储有指令；所述指令被所述处理器执行，以执行上述第一方面所述的方法中所述核心网设备的操作。

第十一方面，本申请的实施例提供一种芯片系统，应用于终端中，所述芯片系统包括至少一个处理器，存储器和收发电路，所述存储器、所述收发电路和所述至少一个处理器通过线路互联，所述至少一个存储器中存储有指令；所述指令被所述处理器执行，以执行上述第二方面所述的方法中所述终端的操作。

本申请的实施例提供的方法，核心网设备可通过第一连接对终端进行重鉴权，重鉴权过程中可更新第一连接的密钥，当满足第一触发条件时，核心网设备可更新第二连接的密钥，当满足第二触发条件时，终端可更新第二连接的密钥，实现了终端同时通过多种接入技术接入AMF节点的情况下，可以在不影响终端与AMF节点之间通过第二连接进行正常通信的前提下，通过第一连接对终端进行重鉴权，且实现了两条连接的密钥更新。

附图说明

图1为本申请的实施例提供的一种可能的网络架构示意图；

图2为本申请的实施例提供的另一种可能的网络架构示意图；

图3为本申请的实施例提供的一种密钥架构示意图；

图4为本申请的实施例提供的一种生成密钥的方法的流程图；

图5为本申请的实施例提供的另一种生成密钥的方法的流程图；

图6为本申请的实施例提供的另一种生成密钥的方法的流程图；

图7为本申请的实施例提供的另一种生成密钥的方法的流程图；

图8为本申请的实施例提供的另一种生成密钥的方法的流程图；

图9为本申请的实施例提供的另一种生成密钥的方法的流程图；

图10为本申请的实施例提供的另一种生成密钥的方法的流程图；

图11为本申请的实施例提供的另一种生成密钥的方法的流程图；

图12为本申请的实施例提供的另一种生成密钥的方法的流程图；

图13为本申请的实施例提供的另一种生成密钥的方法的流程图；

图14为本申请的实施例提供的一种装置的结构示意图；

图15为本申请的实施例提供的一种核心网设备的结构示意图；

图16为本申请的实施例提供的另一种装置的结构示意图；

图17为本申请的实施例提供的一种装置的结构示意图。

具体实施方式

下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中，在本申请的描述中，除非另有说明， “多个”的含义是两个或两个以上。

本申请描述的系统架构及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对于本申请提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本申请提供的技术方案对于类似的技术问题，同样适用。

需要说明的是，本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本申请的实施例可以应用于支持终端同时通过至少两种接入技术接入网络的通信系统。示例性的，该通信系统可以是下一代无线通信系统，例如5G通信系统，如图1所示，图1示出了本申请的一种可能的网络架构示意图，该网络架构中包括：

AMF节点：为负责移动性管理的网元，可以用于实现移动性管理实体(mobility management entity，MME)功能中除会话管理之外的其它功能，例如合法监听，接入授权等功能。

会话管理功能(session management function，SMF)节点：用于为用户面分配会话资源。

鉴权服务功能(authentication server function，AUSF)节点：当AUSF对终端进行鉴权的时候，负责验证传递待认证参数和认证终端的真实性。主要功能包括：接收安全锚点功能(security anchor function，SEAF)节点发送的鉴权请求；选择鉴权方法。在使用可扩展鉴权协议鉴权和密钥协商(extensible authentication protocol authentication and key agreement,EAP-AKA’)鉴权方法的时候，AUSF节点可以完成网络侧对终端的鉴权。

SEAF节点：SEAF节点可以是AMF节点的一部分，也可以是独立的网元，主要负责向AUSF发起鉴权请求，在演进分组系统鉴权和密钥协商(evolved packet system authentication and key agreement,EPS-AKA*)鉴权过程中完成网络侧对终端的认证。

用户面功能(user plane function，UPF)节点：为用户面数据的出口，用于连接外部网络。

数据网络(data network，DN)：用于提供外部数据的网络，例如因特网(internet)等。

(无线)接入网((radio)access network，(R)AN)节点：(R)AN可以采用不同的接入技术。目前的无线接入技术有2种类型：3GPP接入技术(例如3G、4G或5G系统中采用的无线接入技术)和non-3GPP接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术，采用3GPP接入技术的接入网称为无线接入网(RAN)，其中，5G系统中的接入网设备称为下一代基站节点(next generation node basestation，gNB)。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以wifi接入点(access point，AP)为代表的空口技术。

终端：本申请所称的终端，是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。该终端可以包括各种类型的用户设备(user equipment， UE)、手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、无线数据卡、虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、机器类型通信(machine type communication,MTC)的终端设备，工业控制(industrial control)中的终端设备、无人驾驶(self driving)中的终端设备、远程医疗(remote medical)中的终端设备、智能电网(smart grid)中的终端设备、运输安全(transportation safety)中的终端设备、智慧城市(smart city)中的终端设备，以及可穿戴设备(如智能手表，智能手环，计步器等)等等。在采用不同的无线接入技术的系统中，具备相类似无线通信功能的终端的名称可能会有所不同，仅为描述方便，本申请实施例中，上述具有无线收发通信功能的装置统称为终端。

具体地，本申请中的终端中存储有长期密钥和相关函数，终端在与核心网节点(如AMF节点、AUSF节点、SEAF节点等)进行双向鉴权时，可使用长期密钥和相关函数对验证网络的真实性。

接入网设备：本申请实施例所涉及到的接入网设备是一种为终端提供无线通信功能的装置。例如，接入网设备可以是基站(base station，BS)，所述基站可以包括各种形式的宏基站，微基站，中继站，接入点等等。在采用不同的无线接入技术的系统中，具备基站功能的设备的名称可能会有所不同，例如在5G系统中，称为下一代基站节点，可表示为gNB，在长期演进(long term evolution，LTE)系统中，称为演进的节点B(evolved NodeB，eNB或eNodeB)，在第三代(3rd generation，3G)通信系统中，称为节点B(Node B)等等。为方便描述，本发明实施例中，上述为终端提供无线通信功能的装置统称为接入网设备。

网络能力开放功能(network exposure function，NEF)节点：主要用于与第三方交互，使第三方可以间接与某些3GPP网络内部的网元进行交互。

网络功能存储(network function repository function，NRF)节点：用于网元间发现，维护网络功能(network function，NF)。

策略控制功能(policy control function，PCF)节点：PCF节点中存储有最新的服务质量(quality of service，QoS)规则，基站可根据SMF节点提供的QoS规则，为用户面传输通道分配合适的资源。

统一的数据管理(unified data management，UDM)节点：用于存储用户的签约信息。

应用功能(application function，AF)节点：AF节点可以位于DN内部，属于部署在第三方的功能网元，此网元主要作用是告知PCF节点最新的第三方企业对于某个应用的业务要求。PCF节点可根据业务要求生成相应的QoS规则，确保网络提供的服务满足第三方所提出的要求。

在本申请的实施例中，终端可以通过至少两种接入技术接入AMF节点，以至少两种接入技术包括3GPP接入技术和非3GPP接入技术为例，本申请实施例还提供了一种可能的网络架构示意图，如图2所示，该网络架构中包括AMF节点、AUSF节点、SMF节点、UPF节点、UDM节点(或认证凭证存储和处理功能(authentication credential repository and processing function，APRF)节点)、终端和非3GPP互通功能(non-3GPP interworking function，N3IWF)节点。

其中，AMF节点、AUSF节点、SMF节点、UPF节点、UDM节点和终端可参考图1中的描述，此处不再赘述。

其中，N3IWF节点用于支持终端通过非3GPP接入技术接入AMF节点。

结合图2所示的网络架构，终端可以同时通过3GPP接入技术和非3GPP接入技术接入AMF节点。其中，3GPP接入技术中的接入网设备可以是5G网络的基站，4G网络的基站，或者未来电信网络所使用的基站。非3GPP接入技术可以是wifi网络，固网网络等非电信网络所使用的网络接入技术。其中，3GPP接入技术可以简单表示为3GPP，非3GPP接入技术可以简单表示为非3GPP或non-3GPP。图2中的路径1为终端通过3GPP接入AMF节点的路径，路径2为终端通过非3GPP接入AMF节点的路径。终端可通过相应接入技术对应的网关，以及与网关共同部署的功能实体或者具有网关功能的实体接入AMF节点。其中，非3GPP技术对应的网关可能是N3IWF节点，还可能是终端通过固网接入技术接入到AMF节点时所使用的网关，比如BNG(broadband network gateway固定网络网关)。具有网关功能实体是指与AMF节点连接的对端，比如5G网络N2接口的另一端，4G网络S1接口的另一端。

在终端同时通过3GPP和非3GPP接入AMF节点的情况下，若终端需要向AMF节点发送NAS消息，在一种可能的实现方式中，NAS消息可以被拆分为至少两个消息块，一部分消息块通过3GPP传输，另一部分消息块通过非3GPP传输，示例性地，可以将NAS消息划分为1、2、3、4、5这五个消息块，其中2、4消息块通过3GPP传输，1、3、5消息块通过非3GPP传输。在另一种可能的实现方式中，终端可以通过3GPP传输一整条NAS消息，通过非3GPP传输另一整条NAS消息。

首先对本申请实施例涉及到的相关术语进行解释说明。

(1)、RM态

RM用于控制终端和网络，RM态包括注册态和去注册态两种状态。

当终端处于去注册态时，终端可以通过向核心网设备(例如AMF节点)发送注册流程尝试进入注册态，当终端接收到AMF节点回复的注册接受(registration accept)消息后，终端即进入注册态。当终端关机，或者终端注册失败的情况下，终端则返回去注册态。

在终端处于注册态的情况下，AMF节点中有终端的位置信息，路由信息以及安全上下文信息，终端中有安全上下文信息。

在终端处于去注册态的情况下，AMF节点没有终端的位置信息，路由信息，AMF节点和终端均有安全上下文信息。其中，安全上下文信息包括NAS密钥和相关算法，若终端是由注册态回到了去注册态，则终端不仅保存安全上下文信息，还保存上次注册时，AMF节点分配的临时身份信息，使得终端再次注册到网络时，可以不发起鉴权流程，降低接入网络的时延。

(2)、CM态

CM态包括连接态和空闲态。

当终端处于连接态的时候，终端和网络之间有通信连接，即终端和AMF节点之间正在交换数据。

当终端处于空闲态的时候，终端和网络之间无通信连接，即终端和AMF节点之间当前没有交换任何数据。

(3)、状态切换

在终端没有接入过网络的情况下，终端处于空闲态和去注册态，此时终端与AMF节点之间没有安全上下文信息，终端首先由空闲态切换至连接态，然后终端可发起注册流程，由去注册态切换至注册态，此时终端具有NAS密钥和安全算法。如果终端后续不需要与网络进行交互数据，则终端可以回到空闲态，在终端回到空闲态后，仍处于注册态。

其中，在终端由连接态回到空闲态时，终端保存的安全上下文信息为NAS密钥和安全算法。在终端由注册态回到非注册态时，终端保存NAS密钥、安全算法和上次注册时AMF分配的临时身份信息。

需要说明的是，本申请中的状态切换是指终端在核心网设备中的CM态由一种状态回到另一种状态，例如由连接态切换至空闲态是指终端在核心网设备的中的CM态从连接态回到了空闲态。比如，当终端发送注册请求消息给核心网设备的时候，终端处于连接态。在核心网设备向终端发送注册完成消息后，如果终端没有立刻向核心网设备发送消息，或者终端在由定时器控制的某个特定时间段内没有想核心网设备发送消息，则终端会回到空闲态。

另外，本申请实施例不限制“切换”动作的时间，即第二连接由连接态切换至空闲态所需要的时间可以由计时器控制，也可以由切换流程控制，本申请对此不作限定。

(4)、第一接入技术、第二接入技术

终端支持通过第一接入技术和第二接入技术同时接入网络，其中，第一接入技术为3GPP接入技术，第二接入技术为非3GPP接入技术，或者，第一接入技术为非3GPP接入技术，第二接入技术为3GPP接入技术。当然本申请并不限于此，第一接入技术和第二接入技术还可以为终端与核心网设备通信时支持的其他接入技术。

第一连接为终端通过第一接入技术接入第一核心网设备的连接。

第二连接为终端通过第二接入技术接入第二核心网设备的连接。

其中，使用第一连接和第二连接的终端为同一终端，但是第一核心网设备和第二核心网设备可以相同，也可以不同。本申请中以终端支持同时通过第一连接和第二连接接入同一个核心网设备为例。

另外，本申请中的第一连接和第二连接可以是终端与核心网设备之间的直接连接，也可以是间接连接。例如，第二连接为终端通过第二接入技术接入到网关设备，通过网关设备接入到核心网网元的连接。以图2为例，终端可通过3GPP接入技术接入AMF节点，第一连接可以理解为终端使用3GPP接入技术时与AMF节点之间的通信路径，即路径1，或者，终端也可以通过非3GPP接入技术接入AMF节点，在终端通过非3GPP接入技术接入AMF节点时，终端并不是直接与AMF节点进行通信，而是通过N3IWF节点与AMF节点进行通信，第二连接为终端与N3IWF节点之间的连接和N3IWF节点和AMF节点之间的连接，也可以理解为第二连接为路径2。

(5)、重鉴权

重鉴权，是指当核心网设备发现某种参数即将无法使用，比如NAS COUNT即将翻转，或者根据运营商的配置要求，达到了核心网设备对终端再次进行鉴权的触发条件。核心网设备对终端进行重鉴权的过程中，核心网设备和终端进会行消息交互，终端和核心网设备分别将对方提供的待验证参数，与自己生成的另一个参数进行对比，若对方提供的待验证参数与自身生成的参数相同，则终端和核心网设备之间的鉴权验证通过。

示例性地，鉴权验证流程可以为5G网络的5G AKA流程，EAP-AKA’流程，或者是LTE网络的EPS AKA流程。

可选地，本申请实施例中的重鉴权流程可以包括鉴权验证流程和密钥激活流程，即在鉴权验证流程中，核心网设备和终端可以互相验证对方发送的待验证信息是否正确，在密钥激活流程即核心网设备向终端发送NAS安全模式命令(security mode command，SMC)消息，以及接收来自终端的NAS安全模式完成(security mode complete,SMP)消息的过程。

(6)、核心网设备

其中，核心网设备，是区别于接入网设备的3GPP网络的设备。核心网设备可以是AMF节点,SMF节点,还可以是SEAF节点，AUSF节点，UDM节点等网络设备。

其中，核心网设备不限制于对终端进行验证的设备，比如5G网络中的AUSF节点。核心网设备也可以为参与鉴权流程的设备，比如在鉴权流程中用于转发消息的设备(例如AMF节点)。可选地核心网设备还可以具有与核心网设备部署在一起的独立的功能比如SEAF功能。

另外，对终端发起重鉴权流程的核心网设备可以与对终端进行鉴权验证的核心网设备相同，也可以不同。其中，鉴权验证是指核心网设备验证终端发送的待认证信息是否是正确的。比如在5G AKA场景下，发起重鉴权流程的核心网设备为AMF节点，或者为与AMF节点部署在一起的SEAF节点，在此场景下，发起重鉴权流程的核心网设备可以是AMF节点，对终端进行鉴权验证的核心网设备是AMF节点中的SEAF节点，此时可认为对终端发起重鉴权流程的核心网设备和对终端进行鉴权验证的核心网设备是相同的，均为AMF节点。在此场景下，如果SEAF节点未与AMF节点部署在一起，即SEAF节点也是一个独立的核心网设备，那么对终端发起重鉴权流程的核心网设备和对终端进行鉴权验证的设备就是不同的。

再比如，在5G EAP-AKA’的场景下，发起重鉴权流程的核心网设备可以是AMF节点，而对终端进行鉴权验证的设备是AUSF节点。此时，对终端发起重鉴权流程的核心网设备和对终端进行鉴权验证的核心网设备就是不同的。

(7)、密钥

第一连接的密钥和第二连接的密钥均为NAS密钥，NAS密钥包括加密密钥和完整性保护密钥，第一连接的密钥用于对终端与核心网设备之间通过第一连接之间传输的消息进行安全保护，第二连接的密钥用于对终端与核心网之间通过第二连接之间传输的消息进行安全保护。

本申请的实施例涉及到的密钥架构如图3所示，在图3中，上一层的密钥可以作为下一层的密钥的生成参数，可选地，在重鉴权过程中可以生成用于第一连接的密钥和其他用于衍生第一连接的密钥，例如在图3中，除了第一层的K之外的密钥在重鉴权过程中都会被更新。示例性地，第一连接的密钥可以为KNASint,KNASenc, KRRCint,KRRCenc,KUPint,KUPenc等。

可选地，在若更新密钥的过程中需要保留旧的密钥，被保留的旧密钥可以为KNASint,KNASenc,KgNB,NH,KRRCint,KRRCenc,KUPint,KUPenc,KN3IWF中的至少1个。可选的，KAMF，KSEAF，KAUSF也被保留下来。

结合图1至图3，本申请的实施例提供一种更新密钥的方法，应用于通信系统，通信系统包括核心网设备和终端，其中，该终端分别通过第一接入技术和第二接入技术同时接入到核心网设备。如图4所示，该方法包括：

步骤401、核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权，相应地，终端通过第一接入技术对应的第一连接对核心网设备进行重鉴权。

其中，核心网设备通过第一连接对终端进行重鉴权的过程中，核心网设备和终端均可以更新第一连接的密钥，例如核心网设备和终端设备会为第一连接生成新的密钥，比如KAUSF，KSEAF，KAMF，KNASint,KNASenc等密钥。

可选地，在核心网设备通过第一连接对终端进行重鉴权的过程中，核心网设备还可以获取第一密钥标识符，第一密钥标识符用于标识第一连接的更新后的密钥。在核心网节点为AMF节点时，AMF节点获取第一密钥标识符的方法包括以下三种：

第一种：AMF节点生成第一密钥标识符。

第二种：AMF节点从其他核心网设备处获取第一密钥标识符。比如，从SEAF节点获取第一密钥标识符。

第三种：AMF节点从其他核心网设备处获取用于生成第一密钥标识符的信息，然后根据用于生成第一密钥标识符的信息生成第一密钥标识符。

可选地，在重鉴权过程中，核心网设备可将第一密钥标识符发送给终端。

可以理解的是，终端接收到第一密钥标识符后，可将第一连接的密钥更新为第一密钥标识符标识的密钥。

步骤402、若满足第一触发条件，则核心网设备更新第二接入技术对应的第二连接的密钥。

可选地，第一触发条件可以为第二连接的状态，第二连接的状态可以为空闲态或连接态。

可选地，第一触发条件还可以为第二连接处于去注册态，若核心网设备确定第二连接处于去注册态，说明核心网设备和终端当前未使用第二连接，所以对终端进行重鉴权的过程以及更新第二连接的密钥的过程均不会影响核心网设备和终端对第二连接的使用。

步骤403、若满足第二触发条件，则终端更新第二接入技术对应的第二连接的密钥。

可以理解的，终端或核心网设备可以执行上述实施例中的部分或全部步骤，这些步骤或操作仅是示例，本发明实施例还可以执行其它操作或者各种操作的变形。此外，各个步骤可以按照上述实施例呈现的不同的顺序来执行，并且有可能并非要执行上述实施例中的全部操作。

结合图4所示的实施例，在一种可能的实施场景下，第一触发条件为第二连接处于空闲态。若核心网设备确定需要通过第一连接对终端进行重鉴权，但此时第二连接处于连接态，如图5所示，该方法包括：步骤501至步骤505。

501、核心网设备通过第一连接向终端发送第一消息，第一消息用于指示终端暂停使用第一连接。相应地，终端通过第一连接接收来自核心网设备的第一消息。

可以理解的是，在第二连接处于连接态时，为了避免重鉴权过程对终端与核心网设备通过第二连接进行的通信产生影响，可以暂缓通过第一连接对终端进行重鉴权，待第二连接由连接态切换至空闲态后，再通过第一连接对终端进行重鉴权。由于在终端使用的NAS COUNT即将翻转等原因，所以核心网设备才需要对终端进行重鉴权，若终端继续通过第一连接向核心网设备发送NAS消息，可能会导致NAS COUNT翻转，所以核心网设备可指示终端暂停使用第一连接。可选地，若第一连接的安全上下文还可以使用一次，则核心网设备可指示终端在重鉴权之前只能通过第一连接或第二连接向核心网设备发送一条使用现有的第一连接的安全上下文保护的NAS消息。

步骤502、在第二连接由连接态切换至空闲态后，核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权。相应地，终端通过第一接入技术对应的第一连接进行重鉴权。

可选地，在第二连接由连接态切换至空闲态后，若第一连接仍处于连接态，则按步骤502的方法执行。

可选地，在第二连接由连接态切换至空闲态后，若第一连接处于空闲态，则核心网设备可通过第一接入技术对应的第一连接或通过第二接入技术对应的第二连接对终端进行重鉴权。可以理解的是，由于两个连接都处于空闲态，所以终端可以通过任意一个连接再次接入网络。当这种情况发生时，我们可以认为第二连接变为本申请实施例中的第一连接，原来的第一连接则变换为第二连接。

可选地，在通过第一连接对终端进行重鉴权的过程中，核心网设备还可以更新第二连接的密钥，并获取第三密钥标识符，第三密钥标识符用于标识第二连接的更新后的密钥。需要说明的是，若第一连接和第二连接共用一套NAS密钥，则第三密钥标识符和第一密钥标识符相同，或者也可以理解为，核心网设备无需获取第三密钥标识符，第一密钥标识符还可以用于标识第二连接的更新后的密钥。

在另一种可能的实现方式中，终端检测到第二连接回到了空闲态后，可通过第一连接或第二连接向核心网设备发送一条消息，触发核心网设备对终端发起重鉴权。在又一种可能的实现方式中，终端在第一连接处于空闲态，在第二连接收到了某一流程的结束消息后，在没有回到空闲态前，终端可向核心网设备发送消息，触发核心网设备通过第二连接对终端设备进行重鉴权。在这种情况下，可以认为第二连接变为本申请中的第一连接，原来的第一连接则变换为第二连接。

或者，还可以在核心网设备通过第一连接对终端进行重鉴权之后，更新第二连接的密钥，即在步骤502之后还可以执行步骤503。

步骤503、核心网设备更新第二接入技术对应的第二连接的密钥。

具体地，第二连接处于空闲态，则核心网设备在重鉴权之后，可能更新第二接入技术对应的第二连接的密钥。

可选地，核心网设备还可以获取第三密钥标识符。

步骤504、核心网设备通过第一连接向终端发送第一指示信息。

其中，第一连接用于指示终端更新第二连接的密钥。

可选地，第一指示信息可以为第一密钥标识符或第二密钥标识符。或者第一指示信息还可以为第一密钥标识符和第二密钥标识符。

步骤505、终端更新第二连接的密钥。

可以理解的是，第二触发条件为终端通过第一连接接收到了来自核心网设备的第一指示信息。

可选地，若第一指示信息为第一密钥标识符，则终端可将第二连接的密钥更新为第一密钥标识符指示的密钥，若第一指示信息为第二密钥标识符，则终端可将第二连接的密钥更新为第二密钥标识符指示的密钥。

需要说明的是，在本申请的任一实施例中，若核心网设备通过向终端发送密钥标识符来指示终端更新第二连接的密钥，终端均可将第二连接的密钥更新为核心网设备发送的密钥标识符指示的密钥。

本申请的实施例提供的更新密钥的方法，若核心网设备确定需要通过第一连接对终端进行重鉴权时，还需判断第二连接的状态，在第二连接处于空闲态的情况下才会通过第一连接对终端进行重鉴权，并更新第一连接和第二连接的密钥，由于第二连接处于空闲态，所以更新密钥的过程不会影响终端与核心网设备对第二连接的正常使用。

结合图4所示的方法，可选地，在另一种可能的实施场景下，第一触发条件为第二连接处于连接态。在核心网设备确定需要通过第一连接对终端进行重鉴权时，若第二连接处于连接态，则核心网设备可以暂停使用第二连接，然后通过第一连接对终端进行重鉴权，更新第一连接的密钥和第二连接的密钥。

可选地，在另一种可能的实施场景下，AMF节点和终端可预先配置计时器，在核心网设备通过第一连接对终端进行重鉴权并更新第一连接的密钥后，若第二连接处于连接态，则核心网设备和终端会启动计时器，核心网和终端确定计时器超时后，第二连接的旧密钥无法使用。或者，

在核心网设备通过第一连接对终端进行重鉴权并更新第一连接的密钥后，若第二连接处于连接态，在重鉴权完成后，核心网设备启动计时器；终端自动启动定时器。核心网确定计时器超时后，第二连接的旧密钥无法继续使用，同样，终端确定计时器超时后，也无法继续使用第二连接的旧密钥。或者，

在核心网设备通过第一连接对终端进行重鉴权过程中，或者完成重鉴权之后，核心网设备向终端发送第一密钥标识符，然后核心网设备和终端各自为自身设置一个标记信息，用于标记若第二连接切换至空闲态，则更新第二连接的密钥。

结合图4，可选地，在另一种可能的实施场景下，第一触发条件为计时器或者标记信息，如图6所示，该方法包括：

步骤601、核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权。相应地，终端通过第一接入技术对应的第一连接对核心网设备进行重鉴权。

可选地，在核心网设备通过第一连接对终端进行重鉴权的过程中，核心网设备获取第一密钥标识符，保留第二密钥标识符和第二连接的更新前的密钥，第一密钥标识符用于标识第一连接的更新后的密钥，第二密钥标识符用于标识第二连接的更新前的密钥。

相应地，在终端通过第一连接进行重鉴权的过程中，保留第二密钥标识符和第二连接的更新前的密钥，第二密钥标识符用于标识第二连接的更新前的密钥。

需要说明的是，本申请的实施例中涉及到的第二连接的更新前的密钥为第二连接的旧密钥，第二连接的更新后的密钥为第二连接的新密钥。第二连接的新密钥与终端设备通过第一连接重鉴权过程中生成的密钥相关。

步骤602、核心网设备启动计时器。

其中，使得计时器超时的值可以是现有的某个正在使用的计时器的值，比如与non-3GPP接入技术相关的计时器的值，如去注册计时器(degistration timer)的值，还可以是3GPP接入技术相关的计时器的值，比如周期更新定时器(periodic registration timer)的值。当核心网设备启动计时器的时候，可以直接使用某个正在倒计时的计时器的值，也可以设置一个比某个正在倒计时的计时器值小的值，也可以设置一个与已经存在的计时器的值无关的值。或者可以运营商可以预配置计时器超时的值，使得计时器超时的值代表第二连接的更新前的密钥的有效时长，即第二连接的更新前的密钥可以被继续使用的时长。

步骤603、核心网设备通过第一连接向终端发送第二消息。相应地，终端接收第二消息。

可选地，第二消息携带指示信息，指示信息用于指示终端启动计时器。可选地，第二消息可以为NAS SMC消息。

可选地，第二消息还携带有第一密钥标识符或第二密钥标识符。

步骤604、终端启动计时器。

可选地，若终端接收的第二消息携带第一密钥标识符或第二密钥标识符，则终端可确定需要更新第二连接的密钥，进而启动计时器，或者，若终端接收的第二消息携带指示信息，则终端可根据指示信息启动计时器。

可选地，终端启动的计时器的超时值与核心网设备启动的计时器的超时值可以相同，也可以不同。若不同，则终端启动的计时器的超时值要小于核心网启动的计时器的超时值。终端启动计时器的超时值，可以是现有的某个正在使用的计时器的值，比如与non-3GPP接入技术相关的计时器的值，比如去注册计时器(degistration timer)的值，还可以是3GPP接入技术相关的计时器的值，比如周期更新定时器(periodic registration timer)的值。当核心网设备启动计时器的时候，可以直接使用某个正在倒计时的计时器的值，也可以设置一个比某个正在倒计时的计时器小的值，也可以设置一个与已经存在的计时器无关的值。或者运营商可以预配置计时器超时的值，使得计时器超时的值代表第二连接的更新前的密钥的有效时长，即第二连接的更新前的密钥可以被继续使用的时长。

步骤605、若满足第二触发条件，则终端更新第二连接的密钥。

可选的，第二触发条件可以为终端的计时器超时。在计时器超时后，终端可以丢弃第二连接更新前的密钥，或者终端根据重鉴权过程中产生的新密钥，更新第二连接使用的密钥。比如将重鉴权过程中新生产的NAS层密钥作为新密钥，或者利用重鉴权过程中新生成的某个密钥衍生新的NAS层密钥。如Kamf。

需要说明的是，本申请不限制步骤605至步骤606的执行顺序，步骤605可能在步骤606之前执行，也可能在步骤606和步骤607之后执行，图6中以先执行步骤605为例。

步骤606、终端通过第二连接向核心网设备发送第三消息。相应地，核心网设备通过第二连接接收来自终端的第三消息。

其中，第三消息为NAS消息，例如可以为注册请求消息，会话创建请求消息等。终端通过第二连接向核心网设备发送第三消息至少包括以下几种情况：

情况一：终端在计时器超时前，通过第二连接向核心网设备发送第三消息，第三消息通过第二连接的更新前的密钥进行安全保护。

情况二：终端在计时器超时后，通过第二连接向核心网设备发送未进行安全保护的第三消息。可以理解的是，在这种情况下，若计时器超时后，终端可以不主动更新第二连接的密钥。可选的，终端可以向第二连接发送第三消息，进而执行步骤607，在步骤607之后，核心网设备可通过第二连接向终端发送用于更新、激活新密钥的消息，比如消息中携带指示终端更新第二连接的密钥的指示信息或第三密钥标识符，进而终端执行步骤605。对应于此情况，步骤605中的第二触发条件为终端接收到该指示信息或第三密钥标识符。或者，在这种情况下，终端也可以在向核心网设备发送第三消息后更新第二连接的密钥，即第二触发条件为终端的计时器超时，即在步骤606后执行步骤605。

情况三：终端在计时器超时后，通过第二连接向核心网设备发送第三消息，第三消息通过第二连接的更新后的密钥进行安全保护。

可选地，在情况三中，在计时器超时后，终端可主动更新第二连接的密钥，即在步骤606之后执行步骤605，对应于此情况，步骤605中的第二触发条件为终端的计时器超时。

步骤607、若满足第一触发条件，则核心网设备更新第二连接的密钥。

其中，对应于步骤605中的三种情况，第一触发条件也可以包括三种：

对应于上述情况一，第一种触发条件为：核心网设备在计时器超时前接收到终端通过第二连接发送的第三消息，且核心网设备通过第二连接的更新前的密钥对第三消息进行安全验证成功。

可选的，在这种情况下，终端在向核心网设备发送第三消息前，未更新第二连接的密钥，所以在核心网设备更新第二连接的密钥后，可以指示终端更新第二连接的密钥。比如，通过随后的密钥激活流程更新第二连接的密钥。比如NAS SMC流程。

可选地，核心网设备在处理第三消息的过程中，计时器超时，核心网设备可向终端发送失败消息，失败消息可以携带失败原因值，原因值用于告知终端的第二连接的更新前的密钥超期。

可选地，核心网设备在处理第三消息的过程中，若计时器超时，核心网设备后续向终端发送的消息可通过更新后的第二连接的密钥进行安全保护，由于终端的计时器超时后，终端会更新第二连接的密钥，所以终端可以对计时器超期后，通过第二连接接收到的消息使用更新后的第二连接的密钥进行安全验证。

对应于上述情况二，第二种触发条件为：计时器超时后，核心网设备接收到终端通过第二连接发送的未进行安全保护的第三消息。在这种情况下，核心网设备会通过随后的密钥激活流程启用第二连接的更新后的密钥，比如NAS SMC流程。

对应于上述情况三，第三种触发条件为：计时器超时后，核心网设备接收到终端通过第二连接发送的第三消息，第三消息通过第二连接的更新后的密钥进行安全保护。对应的，核心网设备使用更新后第二连接的密钥对第三消息进行安全验证。

可选的，还包括第四种触发条件：计时器超时，且核心网设备在计时器超时前未接收到终端通过第二连接发送的第三消息。

对于第四种触发条件，即从核心网设备的计时器开始计时一直到核心网的计时器超时，终端均未向核心网设备发送第三消息，则在核心网设备的计时器超时后，核心网设备丢弃第二连接更新前的密钥。可选地，核心网设备还更新第二连接的密钥。可选地，核心网设备指示终端更新第二连接的密钥。

可选地，若计时器超时后，第二连接没有马上回到空闲态。在计时器超时到第二连接回到空闲态的时间段内，若终端向核心网设备发送了注册请求消息，则核心网设备可以对终端进行重鉴权。

需要说明的是，在计时器超时前，若核心网设备已经更新了第二连接的密钥，则核心网设备可关闭计时器，同样若终端在计时器超时前更新了第二连接的密钥，终端也可以关闭计时器。

步骤608、核心网设备删除第二连接的更新前的密钥和第二密钥标识符。

可以理解的，在步骤607，核心网设备更新第二连接的密钥之后即可执行步骤608。

步骤609、终端删除第二连接的更新前的密钥和第二密钥标识符。

可以理解的，在步骤605，终端更新第二连接的密钥之后即可执行步骤609。

本申请的实施例提供的更新密钥的方法，在核心网确定需要通过第一连接进行重鉴权时，若第二连接处于连接态，核心网设备可以直接通过第一连接对终端进行重鉴权，重鉴权过程中可以保留第二连接的更新前的密钥，这样即使核心网设备通过第一连接对终端进行重鉴权更新了第一连接的密钥，核心网设备和终端之间通过第二连接进行通信时，仍然可以使用第二连接的更新前的密钥，不会影响第二连接的正常通信，且该方法实现了第一连接和第二连接的解耦，核心网设备通过第一连接对终端进行鉴权时无需检测第二连接的状态，在计时器超时后，核心网设备和终端均可主动更新第二连接的密钥，减少了核心网设备和终端之间的信令交互开销，实现更为简单。

可选地，结合图4，在另一种可能的实施场景下，在核心网确定需要通过第一连接对终端进行重鉴权时，如图7所示，该方法包括：

步骤701、核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权，相应地，终端通过第一接入技术对应的第一连接对核心网设备进行重鉴权。

步骤702、核心网设备设置第一标记。可选地，第二连接处于连接态。

其中，第一标记用于标记核心网设备已通过第一连接对终端进行重鉴权，或用于指示更新第二连接的密钥。

需要说明的是，若第一标记用于标记核心网设备已通过第一连接对终端进行重鉴权，也隐含标记了核心网设备需要更新第二连接的密钥。

步骤703、若满足第一触发条件，则核心网设备更新第二连接的密钥。

可选的，在核心网设备通过第一连接对终端进行重鉴权的过程中，第二连接可能回到空闲态，基于此，第一触发条件为第二连接处于空闲态，且核心网设备确定存在第一标记。

或者，若终端通过第一连接对终端进行重鉴权后，第二连接仍处于连接态，此时第一触发条件为核心网设备确定存在第一标记，对应的核心网设备更新第二连接的密钥的方法为：若第二连接处于连接态，则核心网设备先暂停使用第二连接，然后更新第二连接的密钥。或者，核心网设备在通过第二连接回复终端消息前，先通过与终端设备交互密钥更新、激活流程，更新第二连接的密钥，再发送回复消息给终端。比如，通过NAS SMC流程更新第二连接的密钥。

需要说明的是，若核心网设备通过第一连接对终端进行重鉴权的过程中，第二连接回到空闲态，核心网设备可以在再次接收到终端通过第二连接发送的NAS消息，比如注册请求消息，且核心网设备确定存在第一标记的情况下更新第二连接的密钥。比如，通过与终端设备交互密钥更新、激活流程，更新第二连接的密钥。

可选地，核心网设备可以通过终端设备发送的消息中携带的密钥标识符信息确定终端设备使用的是哪套密钥。此时，核心网设备根据密钥标识符确定密钥，并使用密钥标识符对应的密钥验证终端发送的消息。验证成功后，将这套密钥作为第二连接的更新的密钥。

可以理解的是，在核心网设备更新第二连接的密钥后，可以恢复使用第二连接，后续使用第二连接发送NAS消息时，可通过更新后的第二连接的密钥对NAS消息进行完整性保护。

步骤704、核心网设备获取第三密钥标识符。

其中，第三密钥标识符用于标识第二连接更新后的密钥。

可选的，若第一连接和第二连接共用一套NAS密钥，则核心网设备在重鉴权过程中可以不获取第一密钥标识符，而是在更新第二连接的密钥后获取第三密钥标识符，则第三密钥标识符可以用于标识第一连接的更新后的密钥和第二连接的更新后的密钥。

可选的，若第一连接和第二连接共用一套NAS密钥，则核心网设备可以不获取第三密钥标识符，直接使用重鉴权过程中获取的第一密钥标识符，即重鉴权过程中获取的第一密钥标识符可以用于标识第一连接的更新后的密钥和第二连接的更新后的密钥。

步骤705、核心网设备向终端发送第三密钥标识符。相应的，终端接收来自终端的第三密钥标识符。

需要说明的是，在核心网设备更新第二连接的密钥后，若第二连接处于连接态，则核心网设备可通过第二连接向终端发送第三密钥标识符，第三密钥标识符通过更新后的第二连接的密钥进行完整性保护；若第二连接处于空闲态，则核心网设备可通过第一连接向终端发送第三密钥标识符，第三密钥标识符通过更新后的第一连接的密钥进行完整性保护。

可选的，若第一连接和第二连接共用一套NAS密钥，且核心网设备未获取第三密钥标识符，则核心网设备可向终端发送第一密钥标识符。

可选的，核心网设备还可以向终端发送至少一个用于更新第二连接的密钥的参数，比如核心网设备更新第二连接的密钥时选择的加密算法和完整性保护算法。再比如，接入技术类型。

步骤706、终端更新第二连接的密钥。

可以理解的是，此时第二触发条件为终端接收到来自核心网设备的第三密钥标识符。

可选的，第三密钥标识符可以被携带在NAS消息中，若终端通过第二连接接收到第三密钥标识符，则终端可以根据第三密钥标识符更新第二连接的密钥，即将第二连接的密钥更新为第三密钥标识符标识的密钥，并通过更新后的第二连接的密钥对该NAS消息进行完整性保护验证，验证通过后第二连接的更新后的密钥生效；若终端通过第一连接接收到第三密钥标识符，则终端可通过第一连接的更新后的密钥对该NAS消息进行完整性保护验证，验证通过后更新第二连接的密钥。

本申请的实施例提供的生成密钥的方法，无论第二连接是否处于空闲态，核心网设备均可先更新第一连接的密钥，在更新完第一连接的密钥后，若第二连接回到空闲态，则可在终端下次通过第二连接向终端发送注册请求消息后更新第二连接的密钥，若第二连接仍处于连接态，为了避免核心网设备与终端通过第二连接传输消息时仍使用更新前的第二连接的密钥进行安全保护，会导致对消息的安全验证失败，核心网设备可以暂停使用第二连接，即先暂停核心网设备与终端之间通过第二连接进行的NAS消息交互，之后更新第二连接的密钥，更新之后核心网设备和终端之间即可恢复通过第二连接进行NAS消息交互，此时的NAS消息均使用第二连接的更新后的密钥进行安全保护，在核心网设备通过第一连接对终端进行重鉴权之后，避免了第二连接传输的消息出现安全验证失败的情况。

结合图4，在上一种可能的实施场景下，在核心网确定需要通过第一连接对终端进行重鉴权时，若第二连接处于连接态，本申请的实施例还提供了另一种可能的实现方式，如图8所示，该方法包括：

步骤801、核心网设备通过第一接入技术对应的第一连接对终端进行重鉴权，相应地，终端通过第一接入技术对应的第一连接对核心网设备进行重鉴权。

步骤802、核心网设备通过第一连接向终端发送第二指示信息。相应的，终端接收来自核心网设备的第二指示信息。

其中，第二指示信息用于指示终端更新第二连接的密钥。

其中，本实现方法不限制第二连接密钥的更新时机，即不限制终端设备在收到第二指示信息后立刻更新密钥，还是在收到第二指示信息后的一段时间后更新密钥。本方法强调的是终端在收到第二指示信息用，终端有更新第二连接的密钥的动作。

步骤803、核心网设备设置第二标记。

其中，第二标记用于指示更新第二连接的密钥。

需要说明的是，本申请不限制步骤802和步骤803之间的执行顺序，这两个步骤可以同时执行，或者其中任意一个步骤先执行。

步骤804、终端设置第三标记。

其中，第三标记用于指示更新第二连接的密钥。

步骤805、若核心网设备确定存在第二标记，且第二连接切换至空闲态，则核心网设备更新第二连接的密钥。

可以理解的是，此时第一触发条件为核心网设备确定存在第二标记，且第二连接切换至空闲态。

步骤806、若终端确定存在第三标记，且第二连接切换至空闲态，则终端更新第二连接的密钥。

可以理解的是，此时第二触发条件为终端确定存在第三标记，且第二连接切换至空闲态。

可选的，终端也可以不设置第三标记，在核心网设备更新第二连接的密钥后，可向终端发送指示信息，指示终端更新第二连接的密钥。

或者，在第二连接切换至空闲态后，终端可以暂时不更新第二连接的密钥，待终端需要通过第二连接向核心网设备发送消息时，若确定存在第三标记，则更新第二连接的密钥。

可以理解的，在终端更新第二连接的密钥后，终端通过第二连接向核心网设备发送的NAS消息可以通过第二连接的更新后的密钥进行完整性保护。

本申请的实施例提供的更新密钥的方法，核心网设备确定需要通过第一连接对终端进行重鉴权时，若第二连接处于连接态，则核心网设备可先通过第一连接对终端进行重鉴权，重鉴权之后，核心网设备可设置第二标记，终端可设置第三标记，在第二连接切换至空闲态后，核心网设备和终端均可根据自身设置的标记更新第二连接的密钥，减少了更新第二连接的密钥过程中产生的信令开销。

以下结合具体场景对本申请实施例提供的生成密钥的方法进行描述，结合图4和图6，在图6对应的实施场景下，如图9所示，该方法具体包括：

步骤901、终端通过第一连接向AMF节点发送NAS消息。相应地，AMF节点通过第一连接接收NAS消息。

示例性地，NAS消息可以为注册请求消息、服务请求消息或者PDU会话建立请求消息，或者还可以为其他NAS消息，本申请对此不作限定。

其中，NAS消息携带有用于标识第一连接的密钥的密钥标识符，该NAS消息用第一连接的密钥进行保护。

步骤902、AMF节点对NAS消息进行完整性验证成功，且确定需要通过第一支路对终端进行重鉴权。

其中，AMF节点根据NAS消息中携带的密钥标识符确定第一连接的密钥，AMF节点使用根据密钥标识符确定的第一连接的密钥对NAS消息完整性验证成功后，可以判断是否需要对终端进行重鉴权，示例性地，当AMF节点确定终端使用的NAS COUNT即将发生翻转时，则确定需要对终端进行重鉴权，或者AMF节点还可以根据运营商的配置信息确定是否需要对终端进行重鉴权，当然本申请并不限制于例举的这两种确定是否需要对终端进行重鉴权的方法。

步骤903、AMF节点通过第一连接向终端发起重鉴权。相应地，终端通过第一连接进行重鉴权。

其中，重鉴权包括鉴权验证流程和密钥激活流程。

步骤904、AMF节点更新第一连接对应的密钥，并获取第一密钥标识符。

其中，第一密钥标识符可以是在鉴权过程中获得的，第一密钥标识符用于标识第一连接的更新后的密钥。

需要说明的是，若第一连接和第二连接使用的是不同的密钥，则AMF节点更新第一连接的密钥后，可删除第一连接的更新前的密钥，保留第二连接的密钥和第二密钥标识符，第二密钥标识符用于标识第二连接的更新前的密钥；或者，

若第一连接和第二连接共用一套密钥，则AMF节点更新第一连接的密钥时，可选地，AMF节点仍需为第二连接保留第一连接的更新前的密钥和第二密钥标识符，第二密钥标识符用于标识第二连接的更新前的密钥，可以理解的是，第二连接的更新前的密钥和第一连接的更新前的密钥相同。具体地，若第二连接处于连接态，或者在AMF节点设置了标识信息或计时器值的方法下，AMF节点仍需为第二连接保留第一连接的更新前的密钥和第二密钥标识符。

步骤905、AMF节点通过第一连接向终端发送NAS SMC消息。相应地，终端通过第一连接接收来自AMF节点的NAS SMC消息。

其中，该NAS SMC消息相当于步骤603中的第二消息。可选地，NAS SMC消息携带第一密钥标识符、第二密钥标识符或者指示信息，该指示信息用于指示终端启动计时器。

可选地，终端接收到的NAS SMC消息携带用于指示终端启动计时器的指示信息，则终端启动计时器。或者，终端确定接收到的NAS SMC消息携带第一密钥标识符或第二密钥标识符，终端也可以启动计时器。

或者，当确定选择使用计时器方法的时候，即使在NAS SMC中没有携带第一密钥标识符、第二密钥标识符或者指示信息的情况下，终端可以在验证完NAS SMC的完整性保护正确后，或者发送NAS SMP消息后，启动计时器。其中，启动计时器是终端可以在验证完NAS SMC的完整性保护正确后，或者发送NAS SMP消息后的极短的时间内进行的。比如，验证完NAS SMC后立刻启动，或者在发送完NAS SMP后立即启动。在此方法下，第一密钥标识符已经在鉴权流程中传递给了终端。

需要说明的是，AMF节点在也可以在执行上述步骤905之前启动计时器，或者在步骤908之后启动计时器。

其中，使得计时器超时的值为第二连接的更新前的密钥的有效时长，示例性地，若第一连接和第二连接共用一套密钥，在计时器超时之前，第一连接的更新前的密钥仍可被第二连接使用，但是在计时器超时之后，AMF节点与终端之间通过第二连接传输的消息将无法使用第一连接的更新前的密钥进行安全保护。

步骤906、终端更新第一连接的密钥。

可以理解的是，终端在重鉴权过程中通过第一连接接收到来自AMF节点的NAS SMC消息，会更新第一连接对应的密钥。

则终端更新第一连接的密钥后，可删除第一连接的更新前的密钥，保留第二连接的密钥和第二密钥标识符。其中，删除第一连接的更新前的密钥，意味着这个密钥不可以再被第一连接使用，这个行为只跟第一连接相关，与第二连接无关。

步骤907、终端通过第一连接向AMF节点发送NAS SMP消息。相应地，AMF节点接收NAS SMP消息。

其中，NAS SMP节点通过第一连接的更新后的密钥进行完整性保护。

需要说明的是，步骤904至步骤907也可以理解为核心网设备通过第一连接对终端进行重鉴权的流程。

步骤908、AMF节点通过第一连接向终端发送完成消息，相应地，终端接收来自AMF节点的完成消息。

其中，该完成消息为步骤901中的NAS消息的响应消息，示例性地，若步骤901中的NAS消息为注册请求消息，则该NAS消息为注册完成消息。

步骤909、终端通过第二连接向AMF节点发送NAS消息。相应地，AMF节点通过第二连接接收NAS消息。

其中，NAS消息携带有第二密钥标识符，该NAS消息用第二连接的更新前的密钥进行保护。

可选地，NAS消息还携带第一密钥标识符。

同样，该NAS消息也可以为注册请求消息，或服务请求消息，或PDU会话建立请求消息，当然本申请不限于此。

其中，该NAS消息相当于步骤606中的第三消息，终端通过第二连接向AMF节点发送NAS消息的情况可参考步骤606中的描述，此处不再赘述。

步骤910、AMF节点更新第二连接的密钥。

其中，AMF节点在满足第一触发条件时才可以更新第二连接的密钥，关于第一触发条件的描述可参考上述步骤607中的相关描述，此处不再赘述。

可选地，AMF节点可以获取与更新的第二连接的密钥对应的第三密钥标识符，第三密钥标识符用于标识第二连接的更新后的密钥，或者，若第一连接和第二连接共用一套NAS密钥，AMF节点可以不生成第三密钥标识符，而是使用第一密钥标识符标识第一连接的更新后的密钥和第二连接的更新后的密钥。

需要说明的是，AMF节点更新第二连接的密钥后，可删除第二连接的更新前的密钥和用于标识第二连接的更新前的密钥的密钥标识符。或者，AMF节点也可以因为触发条件的不同，选择在第二连接的密钥更新前，删除第二连接的更新前的密钥和用于标识第二连接的更新前的密钥的密钥标识符。

步骤911、AMF节点通过第二连接向终端发送NAS SMC消息。相应地，终端通过第二连接接收来自AMF节点的NAS SMC消息。

其中，若第一连接和第二连接共用一套密钥，则NAS SMC消息携带第一密钥标识符。

可选地，若第一连接和第二连接使用不同的密钥，则NAS SMC消息携带第三密钥标识符。

步骤912、终端更新第二连接的密钥。

可选地，终端在接收到NAS SMC消息后，更新第二连接的密钥。可选地，可根据NAS SMC消息中携带的第一密钥标识符或第三密钥标识符更新第二连接的密钥。

可选地，在终端启动计时器后，若终端的计时器未超时，则终端更新第二连接的密钥后，停止计时器。

终端更新第二连接的密钥后，可删除第二连接的更新前的密钥和用于标识第二连接的更新前的密钥的密钥标识符。

步骤913、终端通过第二连接向AMF节点发送NAS SMP消息。相应地，AMF节点通过第二连接接收NAS SMP消息。

其中，计算NAS SMP的完整性保护是根据更新后的密钥得出的。

可选地，在核心网设备启动计时器后，若核心网设备计时器未超时，则核心网设备更新第二连接的密钥后，停止计时器。

步骤914、AMF节点通过第二连接向终端发送完成消息。相应地，终端通过第二连接接收完成消息。

其中，该完成消息为步骤901中的NAS消息的响应消息，示例性地，若步骤901中的NAS消息为注册请求消息，则该完成消息为注册完成消息。

可选地，在上述图5对应的实施场景下，在AMF节点确定需要通过第一连接对终端进行重鉴权时，需要判断第二连接的状态，在第二连接的状态为空闲态的情况下才可以通过第一连接对终端进行重鉴权，如图10所示，该方法包括：步骤1001至步骤1012。

其中，步骤1001至步骤1002与上述步骤901至步骤902相同，此处不再赘述。

步骤1003、AMF节点确定第二连接的状态。

其中，当AMF节点确定需要对终端进行重鉴权时，在第二连接处于连接状态下的重鉴权方法和第二连接处于空闲态或非注册态时的鉴权方法不同，所以AMF节点需确定第二连接是否处于连接态。

可选地，以终端支持通过3GPP接入技术和非3GPP接入技术同时接入AMF节点为例，AMF节点可先确定终端是否同时使用3GPP接入技术和非3GPP接入技术接入AMF节点，若终端同时使用3GPP接入技术和非3GPP接入技术接入AMF节点，则说明AMF节点与终端之间存在第二连接，进而确定终端在第二连接是否处于连接态。

为了快速确定第二连接是否处于连接态，AMF节点可先确定终端在第二连接是否处于注册态，若确定终端在第二连接处于去注册态，则可确定终端在第二连接不可能处于连接态，若确定终端在第二连接处于注册态，则进一步确定终端在第二连接是否处于连接态。

其中，AMF节点确定终端是否同时使用两种接入技术接入AMF节点至少包括以下三种方法：

(1)、上述步骤1001的NAS消息中携带用于指示终端在第二连接处于注册态的指示信息，AMF节点可根据该指示信息确定终端在第二连接处于注册态，即终端同时通过两种接入技术接入AMF节点。

采用这种方法，AMF节点可直接根据接收到的指示信息确定终端在第二连接的状态，方便快捷，无需AMF节点进行其他查询工作。

(2)、AMF节点通过查询自身维护的终端的状态机确定终端还存在一个注册态与除第一连接对应的接入技术之外的另一种接入技术关联。

采用这种方法，AMF节点可通过简单的查询操作确定第二连接的状态，无需终端额外在NAS消息中添加用于指示第二连接的状态的指示信息。

(3)、AMF节点中存储用于指示终端同时使用两种接入技术接入的指示信息。

例如，在终端已经通过一种接入技术(例如3GPP接入技术)接入的情况下，若AMF节点确定终端通过另外一种接入技术(例如非3GPP接入技术)接入成功，则AMF节点可在终端的上下文中设置一个标识，该标识用于表示当前终端通过几种接入技术接入，例如该标识为0时，代表终端通过一种接入技术接入，该标识为1时，代表终端同时通过两种接入技术接入，或者代表终端处于双注册状态。其中，双注册状态为终端同时通过两种接入技术注册到AMF节点的状态。

再例如，AMF节点可为两种接入技术共享的文件设置一个指示信息，用于指示该共享文件中的内容是被两种接入技术共享使用的，在该文件中的内容被删除或更改前，需要确定该文件中的内容是否正在被使用。其中，该文件中的内容可以是两种接入技术公用的NAS密钥和相关安全算法，AMF节点可根据该文件对应的指示信息确定终端同时使用两种接入技术接入AMF节点。

此外，AMF节点确定终端在第二连接是否处于连接态至少包括以下三种可能的实现方式：

(1)、AMF节点确定自身正在通过第二连接与终端通信。

示例性地，AMF节点正在通过第二连接向终端发送NAS消息，或者AMF节点正在通过第二连接寻呼终端。

(2)、AMF节点通过查询自身维护的终端的状态机确定终端在第二连接处于连接态。

(3)、AMF节点通过自身存储的指示信息确定终端在第二连接处于连接态。

例如，若AMF节点发现自身存储的终端处于双注册态或双连接态的标识，例如发现标识为1，则确定终端在第二连接处于连接态。

再例如，若AMF节点发现自身存储的文件对应的指示信息指示文件中的内容被两种接入技术共用，且文件中的内容无法被更改，说明文件中的内容正在被第二连接使用，进而可确定终端在第二连接处于连接态。

在本实施例中，以第二连接的状态为连接态为例进行说明。

步骤1004、AMF节点通过第一连接向终端发送拒绝消息或接受消息。

其中，步骤501中的第一消息可以为本步骤中的拒绝消息或接受消息。拒绝消息表示AMF节点拒绝步骤1001中终端发送的NAS消息，例如拒绝终端发送的注册请求消息。可选地，拒绝消息携带原因值，原因值用于告知终端拒绝原因为第二连接处于连接态，所以此时无法对终端进行重鉴权。可选地，原因值还用于表示AMF节点对步骤1101中终端发送的NAS消息进行完整性验证成功。

可选地，若第一连接对应的NAS COUNT暂时不会发生翻转，AMF节点还允许终端继续通过终端发送指定数量的NAS消息，或者终端通过第一连接向AMF节点发送的是周期注册消息，则AMF节点可通过第一连接向终端发送接受消息。

接受消息中携带重鉴权标识位信息，重鉴权标识位信息用于告知终端需要第终端进行重鉴权，但是由于第二连接处于连接态而暂时无法发起重鉴权。终端接收到重鉴权标识位后，终端的行为将受到限制，例如重鉴权标识符可用于指示终端暂停使用第一连接，或者终端只可使用第一连接发送用户面数据，或者终端只可以通过第一连接发送指定数量的(例如一条)NAS消息(相当于第一连接的安全上下文还可以使用一次)，或者终端只可以通过第一连接发送未进行完整性保护的注册请求消息。

重鉴权标识位信息还可以是计时器信息，如果终端在计时器到期前还没有被重新鉴权，则AMF节点会使终端处于去注册状态，可选地，AMF节点会删掉这个终端的所有安全上下文以使得终端在下次入网时，必须进行重鉴权。

步骤1005、终端确定第二连接切换至空闲态。

步骤1006、终端通过任意一条连接向AMF节点发送NAS消息。相应地，AMF节点接收NAS消息。发送NAS消息的连接成为本发明的第一连接。

可选地，该NAS消息可以为注册请求消息。

若终端在步骤1004中接收到的是拒绝消息，则终端可通过任何一个连接向AMF节点发送NAS消息。

若终端在步骤1004中接收到的是接受消息，且重鉴权标识位指示终端可通过第一连接发送指定数量的NAS消息，则终端可通过第一连接向AMF节点发送一条具有完整性保护的NAS消息。若重鉴权标识位指示终端可以发送未进行安全保护的注册请求消息，则终端可通过第一连接或第二连接向终端发送未进行安全保护的注册请求消息。

可以理解的是，若AMF节点接收到的为经过完整性保护的NAS消息，则先对NAS 消息进行完整性保护验证。

步骤1005和步骤1006为可选步骤，即在步骤1004之后，也可以直接执行步骤1007。

步骤1007、AMF节点确定第二连接处于空闲态。

其中，AMF节点确定第二连接的状态的方法可参考步骤1003中的相关描述，此处不再赘述。

步骤1008、AMF节点通过第一连接对终端进行重鉴权。

可选地，若步骤1006中，终端通过第二连接向AMF节点发送NAS消息，则本步骤中AMF节点可通过第二连接对终端进行重鉴权，以下均AMF节点通过第一连接对终端进行重鉴权为例进行说明。

可选地，在本步骤中，AMF节点可更新第一连接的密钥和第二连接的密钥，终端可更新第一连接的密钥。可选地，若第一连接和第二连接共用一套NAS密钥，则AMF节点在对终端进行重鉴权过程中可获取第一密钥标识符，第一密钥标识符用于标识第一连接的更新后的密钥和第二连接的更新后的密钥。

或者，若第一连接和第二连接分别使用不同的NAS密钥，则AMF节点在对终端进行重鉴权的过程中可获取第一密钥标识符，可选地，AMF节点还可以获取第三密钥标识符。此时第一密钥标识符用于标识第一连接的更新后的密钥，第三密钥标识符用于表示第二连接的更新后的密钥。

步骤1009、AMF节点向终端发送NAS SMC消息。相应地，终端接收NAS SMC消息。

可选地，NAS SMC消息中可携带步骤504中的第一指示信息。

其中，第一指示信息用于指示终端更新第二连接的密钥。

其中，NAS SMC消息可通过第一连接更新后的密钥进行完整性保护，终端可通过第一连接更新后的密钥对NAS SMC消息进行完整性保护验证。

步骤1010、终端根据第一指示信息更新第二连接的密钥。

步骤1011、终端通过第一连接向AMF节点发送NAS SMP消息，相应地，AMF节点通过第一连接接收NAS SMP消息。

其中，NAS SMP消息通过第一连接更新后的密钥进行完整性保护。

可选地，终端还可以通过第二连接向AMF节点发送NAS SMP消息，此时NAS SMP消息通过第二连接更新后的密钥进行完整性保护。

步骤1012、AMF节点通过第一连接向终端发送完成消息。相应地，终端通过第一连接接受来自AMF节点的完成消息。

该完成消息为步骤1001中的NAS消息的响应消息，示例性地，若步骤1001中的NAS消息为注册请求消息，则该完成消息为注册完成消息。

可以理解的是，若终端后续通过第二连接向终端发送NAS消息，则可通过更新后的第二连接的密钥对该NAS消息进行完整性保护。

可选地，在上述图7和图8对应的实施场景下，在AMF节点确定需要通过第一连接对终端进行重鉴权时，若第二支路处于连接态，核心网设备可先通过第一连接对终端进行重鉴权，如图11所示，该方法包括：步骤1101至步骤1115。

其中，步骤1101至步骤1103与上述步骤1001至步骤1003相同，此处不再赘述。

步骤1104、AMF节点通过第一连接对终端进行重鉴权。

其中，重鉴权过程中AMF节点和终端均可更新第一连接的密钥。

步骤1105、AMF节点通过第一连接向终端发送NAS SMC消息。相应地，终端通过第一连接接收来自AMF节点的NAS SMC消息。

其中，NAS SMC消息通过第一连接的更新后的密钥进行完整性保护，终端可通过第一连接的更新后的密钥对NAS SMC消息进行完整性保护验证。

可选地，NAS SMC消息携带步骤802中的第二指示信息，第二指示信息用于指示终端更新第二连接的密钥，或者第二指示信息也可用于指示终端不更新第二连接的密钥。

步骤1106、终端通过第一连接向AMF节点发送NAS SMP消息。

步骤1107、AMF节点设置第一标记。

步骤1108、终端设置第二标记。

其中，第三标记用于指示更新第二连接的密钥。

可选地，若终端接收到的第二指示信息用于指示终端更新第二连接的密钥的情况下，才需要执行步骤1108。

步骤1109、AMF节点通过第一连接向终端发送注册接受消息。相应地，终端通过第一连接接收来自AMF节点的注册接受消息。

步骤1110、终端确定第二连接切换至空闲态，若确定存在第三标记，则终端更新第二连接的密钥。

可选地，若终端未设置第三标记，则第二连接切换至空闲态时，需执行步骤1111。

步骤1111、AMF节点确定第二连接切换至空闲态，若确定存在第一标记，则AMF节点更新第二连接的密钥。

可选地，若第二连接仍处于连接态，则AMF节点可暂停使用第二连接，或者若AMF节点在处理终端通过第二连接发送的NAS消息时，若发现第一标记，也可以暂停使用第二连接，然后更新第二连接的密钥以及用于标识第二连接的更新后的密钥的密钥标识符，并通过第二连接向终端发送NAS SMC消息，NAS SMC消息携带用于标识第二连接的更新后的密钥的密钥标识符，进而终端可根据该密钥标识符更新第二连接的密钥。可以理解的是，AMF节点和终端均更新第二连接的密钥后，AMF节点可恢复使用第二连接，且使用更新后的第二连接的密钥对通过第二连接传输的NAS消息进行完整性保护。

步骤1112、终端通过第二连接向AMF节点发送注册请求消息。相应地，AMF节点通过第二连接接收来自终端的注册请求消息。

其中，注册请求消息通过第二连接的更新后的密钥进行完整性保护。

步骤1113、AMF节点通过第二连接向终端发送NAS SMC消息。相应地，终端通过第二连接接收来自AMF节点的NAS SMC消息。

其中，NAS SMC消息携带用于标识第二连接的更新后的密钥的密钥标识符，可选地，NAS SMC消息还可携带至少一个用于更新第二连接的密钥的参数。

步骤1114、终端通过第二连接向AMF节点发送NAS SMP消息。相应地，AMF节点通过第二连接接收来自终端的NAS SMP消息。

其中，NAS SMP消息通过更新后的第二连接的密钥进行完整性保护。

步骤1115、AMF节点通过第二连接向终端回复注册接受消息。相应地，终端通过第二连接接收来自AMF节点的注册接受消息。

其中，注册接受消息通过更新后的第二连接的密钥进行完整性保护。

在另一种可能的实施场景下，触发更新第二连接的密钥的条件与计时器和第二连接的状态有关，如图12所示，该方法包括：步骤1201至步骤1212。

其中，步骤1201至步骤1208终端与核心网设备通过第一连接进行通信。

步骤1201、终端通过第一连接向核心网设备发送注册请求消息，相应地，AMF节点接收注册请求消息。

可选地，该注册请求消息还可以为步骤901中的NAS消息，具体可参考步骤901中的相关描述，此处不再赘述。

步骤1202、核心网设备触发重鉴权。

步骤1203、核心网设备和终端进行重鉴权流程。

步骤1204、核心网设备向终端发送NAS SMC消息。相应地，终端接收NAS SMC消息。

步骤1205、终端激活第一连接的新密钥，并启动计时器。

其中，终端激活第一连接的新密钥是指第一连接的密钥已经被更新，终端之后通过第一连接向核心网设备发送的NAS消息使用第一连接的更新后的密钥进行安全保护。

步骤1206、终端向核心网设备发送NAS SMP消息。相应地，终端接收来自核心网设备的NAS SMP消息。

步骤1207、核心网设备激活第一连接的新密钥，并启动计时器。

其中，核心网设备激活第一连接的新密钥是指第一连接的密钥已经被更新，核心网设备之后通过第一连接向核心网设备发送的NAS消息使用第一连接的更新后的密钥进行安全保护。

步骤1208、核心网设备向终端发送注册完成消息。相应地，终端接收注册完成消息。

步骤1209至步骤1212终端与核心网设备通过第二连接进行通信。

步骤1209、在计时器超时前，若第二连接处于空闲态，终端删除第二连接的旧密钥和旧密钥标识符，启用第二连接的新密钥，并停止计时器。

其中，第一连接和第二连接共用一套密钥，则第二连接的新密钥与第一连接的新密钥相同。第一密钥标识符用于表示第一连接的新密钥和第二连接的新密钥。

可选地，在计时器超时前，若第二连接处于连接态，则终端可以继续使用第二连接的旧密钥。

步骤1210、终端向核心网设备发送注册请求消息。相应地，核心网设备接收注册请求消息。

其中，该注册请求消息通过第二连接的新密钥进行完整性保护，且注册请求消息中携带第一密钥标识符。

步骤1211、核心网设备根据第一密钥标识符确定启用第二连接的新密钥，删除第二连接的旧密钥，并停止计时器。

其中，核心网设备接收到注册请求消息后，可根据第一密钥标识符确定第二连接的新密钥与第一连接的新密钥相同，进而使用第二连接的新密钥对注册请求消息进行完整性验证，验证通过后，核心网设备删除第二连接的旧密钥，并停止计时器。

步骤1212、核心网设备向终端发送注册完成消息，相应地，终端接收来自核心网设备的注册完成消息。

其中，注册完成消息通过第二连接的新密钥进行完整性保护。

在另一种可能的实现方式中，如图13所示，触发更新第二连接的密钥的条件与第二连接的状态无关，如图13所示，该方法包括：步骤1301至步骤1314。

其中，步骤1301至步骤1308与步骤1201至步骤1208相同，此处不再赘述。

步骤1309至步骤1314终端与核心网设备通过第二连接进行通信。

步骤1309、在计时器超时前，终端确定使用第二连接的旧密钥。

其中，第二密钥标识符用于标识第二连接的旧密钥。可以理解的是，本申请实施例中的新密钥为更新后的密钥，旧密钥为更新前的密钥。在第一连接与第二连接共用一套密钥的情况下，第二连接的旧密钥与通过第一连接重鉴权之前的密钥相同。

步骤1310、终端向核心网设备发送通过第二连接的旧密钥进行完整性保护的注册请求消息，该注册请求消息携带第二密钥标识符。相应地，核心网设备接收注册请求消息。

步骤1311、核心网设备根据第二密钥标识符确定使用第二连接的旧密钥，通过第二连接的旧密钥对注册请求消息进行完整性验证。

步骤1312、核心网设备向终端发送注册完成消息。

步骤1313、终端在计时器超时后，删除第二连接的旧密钥和第二密钥标识符。

步骤1314、核心网设备在计时器超时后，删除第二连接的旧密钥和第二密钥标识符。

其中，终端和核心网设备删除第二连接的旧密钥和第二密钥标识符之后，可以将第一连接的新密钥作为第二连接的新密钥。

可选地，图13的方法流程中，在终端和核心网设备的计时器超时之前，若核心网设备又触发了重鉴权的流程，则终端和核心网设备的计时器可以继续计时，在计时器超时后，执行步骤1313和步骤1314。或者，终端和核心网设备可以重新开始计时，在计时器超时后，执行步骤1313和步骤1314。

上述主要从核心网设备与终端之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，终端和核心网设备为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的技术方案的范围。

本申请实施例可以根据上述方法示例对终端和核心网设备等进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图14示出了本发明实施例中提供的一种装置的示意性框图。该装置可以以软件的形式存在，也可以为核心网设备，还可以为核心网设备中的芯片。该装置1400包括：处理单元1402和通信单元1403。处理单元1402用于对装置1400的动作进行控制管理，例如，处理单元1402用于支持装置1400执行图4中的步骤401和步骤402，图5中的步骤502和步骤503，图6中的步骤601、602、607和608，图7中的步骤701、702、703、704，图8中的步骤801、803、805，图9中的步骤902、903、904、910，图10中的步骤1002、1003、1005、1007、1008，图11中的步骤1102、1103、1104、1107、1112，图12中的步骤1202、1203、1207、1211，以及图13中的步骤1302、1303、1307、1311、1314，和/或用于本文所描述的技术的其它过程。通信单元1403用于支持装置1400和其他网元(例如终端等)之间的通信，例如通信单元1403可以支持装置1400执行图5中的步骤501和504，图6中的步骤603，图7中的步骤705，图8中的步骤802，图9中的步骤905、908、911、914，图10中的步骤1004、1009、1014，图11中的步骤1105、1109、1113、1115，图12中的步骤1204、1208、1212，以及图13中的步骤1304、1308、1312。装置1400还可以包括存储单元1401，用于存储装置1400的程序代码和数据。

其中，处理单元1402可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元1403可以是通信接口，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口，例如可以包括：接入网设备与接入网设备之间的接口、接入网设备与核心网设备之间的接口和/或其他接口。存储单元1401可以是存储器。

当处理单元1402为处理器，通信单元1403为通信接口，存储单元1401为存储器时，本申请实施例所涉及的装置1400的结构可以是如图15所示的核心网设备的结构。

图15示出了本申请实施例提供的核心网设备的一种可能的结构示意图。

如图15所示，该核心网设备1500包括：处理器1502、通信接口1503、存储器1501。可选的，核心网设备1500还可以包括总线1504。其中，通信接口1503、处理器1502以及存储器1501可以通过总线1504相互连接；总线1504可以是PCI总线或EISA总线等。所述总线1504可以分为地址总线、数据总线、控制总线等。为便于表示，图15中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用集成的单元的情况下，图16示出了本申请实施例中提供的又一种装置的示意性框图。该装置1600可以以软件的形式存在，也可以为终端，还可以为终端中的芯片。装置1600包括：处理单元1602和通信单元1603。处理单元1602用于对装置1600的动作进行控制管理，例如，处理单元1602用于支持装置1600执行图4中的步骤401和403，图5中的步骤505，图6中的步骤604、605和609，图7中的步骤706，图8中的步骤801、804、806，图9中的步骤903、906、912，图10中的步骤1008和1010，图11中的步骤1104、1108、1110，图12中的步骤1205和1209，以及图13中的步骤1305、1309和1313，和/或用于本文所描述的技术的其它过程。通信单元1603用于支持装置1600和其他网元(例如核心网设备，N3IWF节点)之间的通信。例如，通信单元1603用于支持装置1600执行图6中的步骤606，图9中的步骤901、907、909、913，图10中的步骤1001、1006、1011，以及图11中的步骤1101、1106、1111、1114，图12中的步骤1201、1206、1210，以及图13中的步骤1301、1306和1310。装置1600还可以包括存储单元1601，用于存储装置1600的程序代码和数据。

其中，处理单元1602可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元1603可以是收发器、收发电路或通信接口等。存储单元1601可以是存储器。

当处理单元1602为处理器，通信单元1603为收发器，存储单元1601为存储器时，本申请实施例所涉及的装置1600可以为图17所示的终端。

图17示出了本申请实施例中所涉及的终端的一种可能的设计结构的简化示意图。所述终端1700包括发射器1701，接收器1702和处理器1703。其中，处理器1703也可以为控制器，图17中表示为“控制器/处理器1703”。可选的，所述终端1700还可以包括调制解调处理器1705，其中，调制解调处理器1705可以包括编码器1706、调制器1707、解码器1708和解调器1709。

在一个示例中，发射器1701调节(例如，模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号，该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上，天线接收上述实施例中基站发射的下行链路信号。接收器1702调节(例如，滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器1705中，编码器1706接收要在上行链路上发送的业务数据和信令消息，并对业务数据和信令消息进行处理(例如，格式化、编码和交织)。调制器1707进一步处理(例如，符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1709处理(例如，解调)该输入采样并提供符号估计。解码器1708处理(例如，解交织和解码)该符号估计并提供发送给终端1700的已解码的数据和信令消息。编码器1706、调制器1707、解调器1709和解码器1708可以由合成的调制解调处理器1705来实现。这些单元根据无线接入网采用的无线接入技术(例如，LTE及其他演进系统的接入技术)来进行处理。需要说明的是，当终端1700不包括调制解调处理器1705时，调制解调处理器1705的上述功能也可以由处理器1703完成。

处理器1703对终端1700的动作进行控制管理，用于执行上述本申请实施例中由终端1700进行的处理过程。例如，处理器1703还用于执行图4至图13所示方法中涉及终端的处理过程和/或本申请所描述的技术方案的其他过程。

进一步的，终端1700还可以包括存储器1704，存储器1704用于存储用于终端1700的程序代码和数据。

结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于核心网设备或终端中。当然，处理器和存储介质也可以作为分立组件存在于核心网设备或终端中。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络设备上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个功能单元独立存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种更新密钥的方法，应用于通信系统，所述通信系统包括终端和核心网设备，所述终端分别通过第一接入技术和第二接入技术同时接入所述核心网设备，其特征在于，包括：

所述核心网设备通过所述第一接入技术对应的第一连接对所述终端进行重鉴权；

若满足触发条件，则所述核心网设备更新所述第二接入技术对应的第二连接的密钥。
根据权利要求1所述的方法，其特征在于，所述触发条件为所述第二连接的状态，所述第二连接的状态为连接态或空闲态。
根据权利要求2所述的方法，其特征在于，所述触发条件为所述第二连接处于空闲态；所述方法还包括：

若所述核心网设备确定通过所述第一连接对所述终端进行重鉴权，且所述第二连接处于连接态，则所述核心网设备通过所述第一连接向所述终端发送第一消息，所述第一消息用于指示所述终端暂停使用所述第一连接。
根据权利要求2或3所述的方法，其特征在于，所述触发条件为所述第二连接处于空闲态；所述核心网设备通过所述第一接入技术对应的第一连接对所述终端进行重鉴权，包括：

所述核心网设备在通过所述第一连接对所述终端进行重鉴权的过程中，获取第一密钥标识符，所述第一密钥标识符用于标识所述第一连接的更新后的密钥。
根据权利要求2所述的方法，其特征在于，所述触发条件为所述第二连接处于连接态；所述核心网设备更新所述第二接入技术对应的第二连接的密钥，包括：

所述核心网设备暂停使用所述第二连接；

所述核心网设备更新所述第二连接的密钥。
根据权利要求1所述的方法，其特征在于，所述核心网设备通过所述第一接入技术对应的第一连接对所述终端进行重鉴权，包括：

在所述核心网设备通过所述第一连接对所述终端进行重鉴权的过程中，所述核心网设备获取第一密钥标识符，保留第二密钥标识符和所述第二连接的更新前的密钥，所述第一密钥标识符用于标识所述第一连接的更新后的密钥，所述第二密钥标识符用于标识所述第二连接的更新前的密钥。
根据权利要求6所述的方法，其特征在于，在所述核心网设备通过所述第一接入技术对应的第一连接对所述终端进行重鉴权之后，所述方法还包括：

所述核心网设备启动计时器。
根据权利要求7所述的方法，其特征在于，所述触发条件为：

所述核心网设备在所述计时器超时前接收到所述终端通过所述第二连接发送的第二消息，且所述核心网设备通过所述第二连接的更新前的密钥对所述第二消息进行安全验证成功；或者，

所述计时器超时，且所述核心网设备在所述计时器超时前未接收到所述终端通过所述第二连接发送的第二消息；或者，

所述计时器超时后，所述核心网设备接收到所述终端通过所述第二连接发送的未进行安全保护的第二消息；或者，

所述计时器超时后，所述核心网设备接收到所述终端通过所述第二连接发送的第二消息，且所述核心网设备通过所述第二连接的更新后的密钥对所述第二消息进行安全验证成功。
根据权利要求6至8中任一项所述的方法，其特征在于，在所述核心网设备更新所述第二接入技术对应的第二连接的密钥之后，所述方法还包括：

所述核心网设备删除所述第二连接的更新前的密钥和所述第二密钥标识符。
一种更新密钥的方法，应用于通信系统，所述通信系统包括终端和核心网设备，所述终端分别通过第一接入技术和第二接入技术同时接入所述核心网设备，其特征在于，包括：

所述终端通过所述第一接入技术对应的第一连接进行重鉴权；

若满足触发条件，则所述终端更新所述第二接入技术对应的第二连接的密钥。
根据权利要求10所述的方法，其特征在于，所述触发条件为所述第二连接的状态为空闲态。
根据权利要求10所述的方法，其特征在于，所述终端通过所述第一接入技术对应的第一连接进行重鉴权，包括：

在所述终端通过所述第一连接进行重鉴权的过程中，保留密钥标识符和所述第二连接的更新前的密钥，所述密钥标识符用于标识所述第二连接的更新前的密钥。
根据权利要求12所述的方法，其特征在于，所述触发条件为计时器超时；在所述终端通过所述第一接入技术对应的第一连接进行重鉴权之后，所述方法还包括：

所述终端启动所述计时器。
根据权利要求13所述的方法，其特征在于，在所述终端启动所述计时器之后，所述方法还包括：

所述终端在所述计时器超时前，通过所述第二连接向所述核心网设备发送消息，所述消息通过所述第二连接的更新前的密钥进行安全保护；或者，

所述终端在所述计时器超时后，通过所述第二连接向所述核心网设备发送未进行安全保护的消息；或者；

所述终端在所述计时器超时后，通过所述第二连接向所述核心网设备发送消息，所述消息通过所述第二连接的更新后的密钥进行安全保护。
根据权利要求12至14中任一项所述的方法，其特征在于，在所述终端更新所述第二接入技术对应的第二连接的密钥之后，所述方法还包括：

所述终端删除所述第二连接的更新前的密钥和所述密钥标识符。
一种装置，应用于通信系统，所述通信系统包括终端和所述装置，所述终端分别通过第一接入技术和第二接入技术同时接入所述装置，其特征在于，所述装置包括：

处理单元，用于通过所述第一接入技术对应的第一连接对所述终端进行重鉴权；还用于若满足触发条件，则更新所述第二接入技术对应的第二连接的密钥。
根据权利要求16所述的装置，其特征在于，所述触发条件为所述第二连接的状态，所述第二连接的状态为连接态或空闲态。
根据权利要求17所述的装置，其特征在于，所述触发条件为所述第二连接处于空闲态；所述装置还包括：通信单元；

所述通信单元，用于若所述处理单元确定通过所述第一连接对所述终端进行重鉴权，且所述第二连接处于连接态，则通过所述第一连接向所述终端发送第一消息，所述第一消息用于指示所述终端暂停使用所述第一连接。
根据权利要求17或18所述的装置，其特征在于，所述触发条件为所述第二连接处于空闲态；

所述处理单元，还用于在通过所述第一连接对所述终端进行重鉴权的过程中，获取第一密钥标识符，所述第一密钥标识符用于标识所述第一连接的更新后的密钥。
根据权利要求19所述的装置，其特征在于，所述触发条件为所述第二连接处于连接态；

所述处理单元，还用于暂停使用所述第二连接；更新所述第二连接的密钥。
根据权利要求16所述的装置，其特征在于，

所述处理单元，还用于在通过所述第一连接对所述终端进行重鉴权的过程中，获取第一密钥标识符，保留第二密钥标识符和所述第二连接的更新前的密钥，所述第一密钥标识符用于标识所述第一连接的更新后的密钥，所述第二密钥标识符用于标识所述第二连接的更新前的密钥。
根据权利要求21所述的装置，其特征在于，

所述处理单元，还用于启动计时器。
根据权利要求22所述的装置，其特征在于，所述装置还包括：通信单元；所述触发条件为：

所述通信单元在所述计时器超时前接收到所述终端通过所述第二连接发送的第二消息，且所述处理单元通过所述第二连接的更新前的密钥对所述通信单元接收到的第二消息进行安全验证成功；或者，

所述计时器超时，且所述通信单元在所述计时器超时前未接收到所述终端通过所述第二连接发送的第二消息；或者，

所述计时器超时后，所述通信单元接收到所述终端通过所述第二连接发送的未进行安全保护的第二消息；或者，

所述计时器超时后，所述通信单元接收到所述终端通过所述第二连接发送的第二消息，且所述处理单元通过所述第二连接的更新后的密钥对所述通信单元接收到的第二消息进行安全验证成功。
根据权利要求21至23中任一项所述的装置，其特征在于，

所述处理单元，还用于删除所述第二连接的更新前的密钥和所述第二密钥标识符。
一种装置，应用于通信系统，所述通信系统包括所述装置和核心网设备，所述装置分别通过第一接入技术和第二接入技术同时接入所述核心网设备，其特征在于，包括：

处理单元，用于通过所述第一接入技术对应的第一连接进行重鉴权；还用于若满足触发条件，则更新所述第二接入技术对应的第二连接的密钥。
根据权利要求25所述的装置，其特征在于，所述触发条件为所述第二连接的状态为空闲态。
根据权利要求25所述的装置，其特征在于，

所述处理单元，还用于在通过所述第一连接进行重鉴权的过程中，保留密钥标识符和所述第二连接的更新前的密钥，所述密钥标识符用于标识所述第二连接的更新前的密钥。
根据权利要求27所述的装置，其特征在于，所述触发条件为计时器超时；

所述处理单元，还用于启动所述计时器。
根据权利要求28所述的装置，其特征在于，所述装置还包括：通信单元；

所述通信单元，用于在所述计时器超时前，通过所述第二连接向所述核心网设备发送消息，所述消息通过所述第二连接的更新前的密钥进行安全保护；

所述通信单元，还用于在所述计时器超时后，通过所述第二连接向所述核心网设备发送未进行安全保护的消息；

所述通信单元，还用于在所述计时器超时后，通过所述第二连接向所述核心网设备发送消息，所述消息通过所述第二连接的更新后的密钥进行安全保护。
根据权利要求25至29中任一项所述的装置，其特征在于，

所述处理单元，还用于删除所述第二连接的更新前的密钥和所述密钥标识符。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当指令在计算机上运行时，使得计算机执行所述权利要求1-9中任意一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当指令在计算机上运行时，使得计算机执行所述权利要求10-15中任意一项所述的方法。
一种装置，其特征在于，包括：包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述装置执行上述权利要求1-9中任一项所述的方法。
一种装置，其特征在于，包括：包括存储器以及与该存储器耦合的处理器；

所述存储器中保存有程序指令，当所述处理器执行所述程序指令时，使得所述装置执行上述权利要求10-15中任一项所述的方法。