СПОСОБ ОБНОВЛЕНИЯ КЛЮЧА И УСТРОЙСТВО Российский патент 2022 года по МПК H04L9/08 H04W12/06 H04W12/433 

Описание патента на изобретение RU2783597C2

Область техники, к которой относится изобретение

Настоящее изобретение относится к области технологий связи и, в частности, к способу обновления ключа и устройству.

Уровень техники

В системе 5-го поколения (5th generation, 5G) оконечное устройство может получить доступ к узлу функции управления доступом и мобильностью (access and mobility management function, AMF), одновременно используя как технологию доступа проекта партнерства 3-го поколения (3rd generation partnership project, 3GPP), так и технологию доступа non-3GPP (non-3GPP). Когда оконечное устройство обращается к AMF узлу, используя одновременно технологию доступа 3GPP и технологию доступа non-3GPP, AMF узел поддерживает машину состояния управления регистрацией (registration management, RM) и машину состояния управления соединением (connection management, CM) для технологии доступа 3GPP и технологии доступа non-3GPP, соответственно.

Машина состояния управления регистрацией соответствует RM состоянию (RM state), и RM состояние включает в себя RM состояние регистрации (RM-registration state) и RM состояние отмены регистрации (RM-deregistration state). Машина состояния управления соединением соответствует CM состоянию (CM state), и CM состояние включает в себя CM подключенное состояние (CM-connected state) и CM состояние ожидания (CM-idle state). После входа в подключенное состояние из состояния ожидания оконечное устройство может инициировать процедуру регистрации. После завершения процедуры регистрации оконечное устройство может переключиться из состояния отмены регистрации в состояние регистрации. В этом случае оконечное устройство имеет контекстную информацию безопасности, такую как ключ уровня без доступа (non-access stratum, NAS) и алгоритм безопасности. Когда оконечное устройство возвращается в состояние ожидания или состояние отмены регистрации, оконечное устройство все еще имеет NAS ключ и алгоритм безопасности.

Хотя AMF узел может отдельно поддерживать машину состояния для 3GPP технологии доступа и машину состояния для non-3GPP технологии доступа, оконечное устройство и AMF узел могут совместно использовать набор NAS ключей при обмене данными с использованием двух технологий доступа. Когда AMF узлу необходимо выполнить повторную аутентификацию на оконечном устройстве с использованием любой из технологий доступа, процесс повторной аутентификации включает в себя обновление NAS ключа. Однако, когда оконечное устройство и AMF узел обмениваются данными с помощью другой технологии доступа, оконечному устройству и AMF по-прежнему необходимо использовать общий NAS ключ, или оконечное устройство и AMF узел обмениваются данными с помощью общего NAS ключа. В этом случае обновление NAS ключа в процессе, в котором AMF узел выполняет повторную аутентификацию на оконечном устройстве с использованием одной технологии доступа, может повлиять на нормальную связь, которая выполняется между оконечным устройством и AMF узлом с использованием другой технологии доступа.

Раскрытие сущности изобретения

Варианты осуществления настоящего раскрытия обеспечивают способ обновления ключа и устройство для решения технической задачи, заключающейся в том, что обновление NAS ключа в процессе, в котором AMF узел выполняет повторную аутентификацию на оконечном устройстве с использованием одной технологии доступа, влияет на обеспечение нормальной связи, которая выполняется между оконечным устройством и AMF узлом с использованием другой технологии доступа.

Согласно первому аспекту вариант осуществления настоящего раскрытия обеспечивается способ обновления ключа, применяемый к системе связи. Система связи включает в себя оконечное устройство и основное сетевое устройство. Оконечное устройство обращается к основному сетевому устройству, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Способ включает в себя: выполнение основным сетевым устройством повторной аутентификации на оконечном устройстве через первое соединение, соответствующее первой технологии доступа; и, если условие запуска выполнено, обновление основным сетевым устройством ключа для второго соединения, соответствующего второй технологии доступа. Согласно этому способу, основное сетевое устройство может выполнять повторную аутентификацию на оконечном устройстве через первое соединение, и ключ для первого соединения может быть обновлен в процессе повторной аутентификации. Когда выполняется первое условие запуска, основное сетевое устройство может обновить ключ для второго соединения. Когда выполняется второе условие запуска, оконечное устройство может обновить ключ для второго соединения. Таким образом, когда оконечное устройство обращается к AMF узлу с использованием множества технологий доступа, повторная аутентификация может выполняться на оконечном устройстве через первое соединение при условии влияния на нормальную связь, которая выполняется между оконечным устройством и AMF узлом через второе соединение, и обновляются ключи двух соединений.

В возможной реализации условие запуска представляет собой состояние второго соединения, и состояние второго соединения является состоянием подключения или состоянием ожидания.

Согласно способу, если определение, что повторная аутентификация должна быть выполнена на оконечном устройстве через первое соединение, основное сетевое устройство дополнительно должно определить состояние второго соединения, выполнить повторную аутентификацию на оконечном устройстве через первое соединение только тогда, когда второе соединение находится в состоянии ожидания, и обновить ключи для первого соединения и второго соединения. Поскольку второе соединение находится в состоянии ожидания, процесс обновления ключа не влияет на нормальное использование второго соединения оконечным устройством и основным сетевым устройством.

В возможной реализации условием запуска является то, что второе соединение находится в состоянии ожидания; и, если основное сетевое устройство определяет выполнить повторную аутентификацию на оконечном устройстве через первое соединение, и второе соединение находится в подключенном состоянии, основное сетевое устройство передает первое сообщение на оконечное устройство через первое соединение, где первое сообщение используется для указания оконечному устройству приостановить использование первого соединения. Согласно этому способу, если оконечное устройство продолжает передавать NAS сообщение в основное сетевое устройство через первое соединение, NAS подсчет может циклически повторяться. В этом случае оконечное устройство вовремя уведомляется о приостановке использования первого соединения.

В возможной реализации условием запуска является то, что второе соединение находится в состоянии ожидания; и основное сетевое устройство получает первый идентификатор ключа в процессе выполнения повторной аутентификации на оконечном устройстве через первое соединение, где первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения.

В возможной реализации, после выполнения повторной аутентификации на оконечном устройстве через первое соединение, соответствующее первой технологии доступа, основное сетевое устройство может передавать информацию инструкции в оконечное устройство через первое соединение, где информация инструкции используется для указания оконечному устройству обновить ключ, соответствующий второму подключению. Согласно этому способу, после обновления ключа, соответствующего второму соединению, основное сетевое устройство своевременно инструктирует оконечное устройство обновить ключ для второго соединения. Следовательно, можно гарантировать, что основное сетевое устройство и оконечное устройство выполняют защиту безопасности сообщения, используя один и тот же ключ при последующей передаче сообщения через второе соединение.

В качестве варианта, информация инструкции может быть первым идентификатором ключа. После приема первого идентификатора ключа оконечное устройство может обновить ключ для второго соединения до ключа, идентифицированного первым идентификатором ключа.

В возможной реализации условием запуска является то, что второе соединение находится в подключенном состоянии; и способ обновления с помощью основного сетевого устройства, ключ для второго соединения, соответствующего второй технологии доступа: приостановка основным сетевым устройством с использованием второго соединения; и затем обновление основным сетевым устройством ключа для второго соединения. Согласно этому способу, основное сетевое устройство приостанавливает использование второго подключения, и затем обновляет ключ для второго подключения. Это позволяет избежать влияния процедуры обновления ключа на нормальный обмен данными, который выполняется основным сетевым устройством через второе соединение.

В возможной реализации, в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство может получить первый идентификатор ключа и сохранить второй идентификатор ключа и ключ для второго соединения, которое используется перед обновлением, где первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения, и второй идентификатор ключа используется для идентификации ключа для второго соединения, которое используется перед обновлением.

В возможной реализации, после выполнения повторной аутентификации на оконечном устройстве через первое соединение, соответствующее первой технологии доступа, основное сетевое устройство может запустить таймер.

В возможной реализации условием запуска является:

основное сетевое устройство принимает, до истечения таймера, второе сообщение, которое передается оконечным устройством через второе соединение, и верификацию безопасности, которая выполняется основным сетевым устройством во втором сообщении с использованием ключа для второго подключения, которое используется до успешного обновления;

время таймера истекает, и основное сетевое устройство не принимает, до истечения таймера, второе сообщение, которое передается оконечным устройством через второе соединение;

после истечения таймера основное сетевое устройство принимает второе сообщение, которое передается оконечным устройством через второе соединение и для которого защита безопасности не выполняется; или

после истечения таймера основное сетевое устройство принимает второе сообщение, которое передается оконечным устройством через второе соединение, и проверка безопасности, выполняемая основным сетевым устройством для второго сообщения с использованием обновленного ключа для второго соединения, завершается успешно.

В возможной реализации основное сетевое устройство может передавать третье сообщение на оконечное устройство через первое соединение, где третье сообщение включает в себя первый идентификатор ключа, второй идентификатор ключа или информацию инструкции, и информация инструкции используется для указания оконечному устройству указания запустить таймер. Согласно этому способу, когда основное сетевое устройство определяет, что повторная аутентификация должна быть выполнена через первое соединение, если второе соединение находится в подключенном состоянии, основное сетевое устройство может напрямую выполнить повторную аутентификацию на оконечном устройстве через первое соединение; в процессе повторной аутентификации может быть сохранен ключ для второго соединения, который использовался перед обновлением. Таким образом, даже, если основное сетевое устройство обновляет ключ для первого соединения, выполняя повторную аутентификацию на оконечном устройстве через первое соединение, когда основное сетевое устройство и оконечное устройство связываются друг с другом через второе соединение, ключ для второго соединения, которое использовалось до обновления, все еще может использоваться, и это не влияет на нормальную связь через второе соединение. Дополнительно, в этом способе первое соединение и второе соединение разъединены. При выполнении аутентификации на оконечном устройстве через первое соединение основному сетевому устройству не нужно определять состояние второго соединения. После истечения таймера и основное сетевое устройство, и оконечное устройство могут активно обновлять ключ для второго соединения, тем самым, уменьшая накладные расходы на сигнализацию взаимодействия между основным сетевым устройством и оконечным устройством и упрощая реализацию.

В возможной реализации после того, как основное сетевое устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа, основное сетевое устройство может удалить ключ для второго соединения, которое используется перед обновлением, и второй идентификатор ключа.

В возможной реализации, если второе соединение находится в подключенном состоянии, после того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа, основное сетевое устройство может установить первую метку, где первая метка используется для обозначения, что основное сетевое устройство повторно аутентифицировало оконечное устройство через первое соединение, или используется для указания обновить ключ для второго соединения.

В возможной реализации условием запуска является то, что второе соединение переключается в состояние ожидания, и основное сетевое устройство определяет, что существует первая метка.

В возможной реализации условием запуска является то, что основное сетевое устройство определяет, что первая метка существует; и способ обновления с помощью основного сетевого устройства ключа для второго соединения, соответствующего второй технологии доступа, включает в себя: если второе соединение находится в состоянии соединения, приостановку основным сетевым устройством с использованием второго соединения; и затем обновление основным сетевым устройством ключа для второго соединения.

В возможной реализации, после того, как основное сетевое устройство обновляет ключ для второго подключения, соответствующий второй технологии доступа, основное сетевое устройство может получить третий идентификатор ключа, где третий идентификатор ключа используется для идентификации обновленного ключа для первого подключения и обновленный ключ для второго подключения; и затем основное сетевое устройство передает третий идентификатор ключа в оконечное устройство.

В возможной реализации, после выполнения повторной аутентификации на оконечном устройстве через первое соединение, соответствующее первой технологии доступа, основное сетевое устройство передает информацию инструкции на оконечное устройство, где информация инструкции используется для указания оконечному устройству обновить ключ для второго подключения.

В возможной реализации условием запуска является то, что основное сетевое устройство определяет, что существует вторая метка, и второе соединение находится в состоянии ожидания; и после того, как основное сетевое устройство выполнит повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство может установить вторую метку, где вторая метка используется для указания обновить ключ для второго соединения.

Согласно второму аспекту вариант осуществления настоящего раскрытия обеспечивает способ обновления ключа, применяемый к системе связи. Система связи включает в себя оконечное устройство и основное сетевое устройство. Оконечное устройство обращается к основному сетевому устройству, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Способ включает в себя: выполнение оконечным устройством повторной аутентификации через первое соединение, соответствующее первой технологии доступа; и, если условие запуска выполнено, обновление оконечным устройством ключа для второго соединения, соответствующего второй технологии доступа. Согласно этому способу, оконечное устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа, только когда выполняется условие запуска, так что повторная аутентификация может быть выполнена на оконечном устройстве через первое соединение при условии отсутствия влияния на нормальную связь, которая выполняется между оконечным устройством и AMF узлом через второе соединение.

В возможной реализации условием запуска является то, что состояние второго соединения является состоянием ожидания.

В возможной реализации выполнение оконечным устройством повторной аутентификации через первое соединение, соответствующее первой технологии доступа, включает в себя: в процессе выполнения повторной аутентификации через первое соединение, сохранение оконечным устройством идентификатора ключа и ключ для второго соединения, которое используется перед обновлением, где идентификатор ключа используется для определения ключа для второго соединения, которое используется перед обновлением.

В возможной реализации условием запуска является истечение таймера; и после выполнения повторной аутентификации через первое соединение, соответствующее первой технологии доступа, оконечное устройство может запустить таймер.

В возможной реализации, после запуска оконечным устройством таймера, способ дополнительно включает в себя: до истечения таймера отправку оконечным устройством сообщения основному сетевому устройству через второе соединение, где защита безопасности выполняется для сообщения с помощью ключа для второго соединения, которое используется перед обновлением; после истечения таймера, отправку оконечным устройством сообщения в основное сетевое устройство через второе соединение, при этом защита сообщения не выполняется; или после истечения таймера отправку оконечным устройством сообщения основному сетевому устройству через второе соединение, где для сообщения выполняется защита безопасности с использованием обновленного ключа для второго соединения.

В возможной реализации, после обновления оконечным устройством ключа для второго соединения, соответствующего второй технологии доступа, способ дополнительно включает в себя: удаление оконечным устройством ключа для второго соединения, которое использовалось до обновления и идентификатор ключа.

Согласно третьему аспекту вариант осуществления настоящего раскрытия обеспечивает устройство, и устройство имеет функцию реализации действий основного сетевого устройства в вышеупомянутой реализации способа. Функция может быть реализована аппаратным обеспечением или может быть реализована аппаратным обеспечением путем выполнения соответствующего программного обеспечения. Аппаратное или программное обеспечение включает в себя один или несколько модулей, соответствующих вышеуказанной функции. Например, устройство может быть основным сетевым устройством или может быть микросхемой в основном сетевым устройстве.

В возможной реализации устройство является основным сетевым устройством, и основное сетевое устройство включает в себя процессор. Процессор выполнен с возможностью поддерживать основное сетевое устройство при выполнении соответствующей функции в вышеупомянутом способе. Кроме того, основное сетевое устройство может дополнительно включать в себя передатчик и приемник, при этом передатчик и приемник выполнены с возможностью поддерживать связь между основным сетевым устройством и оконечным устройством. Кроме того, основное сетевое устройство может дополнительно включать в себя память, и эта память выполнена с возможностью быть подключенной к процессору и хранить программные инструкции и данные, необходимые для оконечного устройства.

Согласно четвертому аспекту вариант осуществления настоящего раскрытия обеспечивает устройство, и устройство имеет функцию реализации действий оконечного устройства в вышеупомянутой реализации способа. Функция может быть реализована аппаратным обеспечением или может быть реализована аппаратным обеспечением путем выполнения соответствующего программного обеспечения. Аппаратное или программное обеспечение включает в себя один или несколько модулей, соответствующих вышеуказанной функции. Например, устройство может быть оконечным устройством или может быть микросхемой в оконечном устройстве.

В возможной реализации устройство представляет собой оконечное устройство, и оконечное устройство включает в себя процессор. Процессор выполнен с возможностью поддерживать оконечное устройство в выполнении соответствующей функции в вышеупомянутом способе. Кроме того, оконечное устройство может дополнительно включать в себя передатчик и приемник, при этом передатчик и приемник выполнены с возможностью поддерживать связь между оконечным устройством и основным сетевым устройством. Кроме того, оконечное устройство может дополнительно включать в себя память, и память выполнена с возможностью подключаться к процессору и хранения программных инструкций и данных, необходимых для оконечного устройства.

Согласно пятому аспекту вариант осуществления настоящего раскрытия обеспечивает систему связи, в которой система включает в себя оконечное устройство и основное сетевое устройство, описанные в вышеупомянутых аспектах. В качестве варианта, система может дополнительно включать в себя базовую станцию, N3IWF узел и оконечное устройство, и основное сетевое устройство, описанные в вышеупомянутых аспектах.

Согласно шестому аспекту вариант осуществления настоящего раскрытия обеспечивает машиночитаемый носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую указанным выше основным сетевым устройством. Машиночитаемый носитель данных содержит программу, предназначенную для выполнения первого аспекта.

Согласно седьмому аспекту вариант осуществления настоящего раскрытия обеспечивает машиночитаемый носитель данных, выполненный с возможностью хранить инструкции компьютерного программного обеспечения, используемые вышеупомянутым оконечным устройством. Инструкции компьютерного программного обеспечения включают в себя программу, предназначенную для выполнения второго аспекта.

Согласно восьмому аспекту вариант осуществления настоящего раскрытия обеспечивает машиночитаемый программный продукт, включающий в себя инструкции. Когда машиночитаемый программный продукт запущен на компьютере, компьютер получает возможность выполнять способ, описанный в первом аспекте.

Согласно девятому аспекту вариант осуществления настоящего раскрытия обеспечивает машиночитаемый программный продукт, включающий в себя инструкции. Когда машиночитаемый программный продукт запускается на компьютере, компьютер получает возможность выполнять способ, описанный во втором аспекте.

Согласно десятому аспекту вариант осуществления настоящего раскрытия обеспечивает систему микросхем, применяемую к основному сетевому устройству. Система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом линиями связи. По меньшей мере, одна память хранит инструкции. Инструкции выполняется процессором для выполнения операций основного сетевого устройства в способе, описанном в первом аспекте.

Согласно одиннадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает систему микросхем, применяемую в оконечном устройстве. Система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом линиями связи. По меньшей мере, одна память хранит инструкции. Инструкции выполняются процессором для выполнения операций оконечного устройства в способе, описанном во втором аспекте.

Согласно способу, обеспеченному в вариантах осуществления настоящего раскрытия, основное сетевое устройство может выполнять повторную аутентификацию на оконечном устройстве через первое соединение, и ключ для первого соединения может быть обновлен в процессе повторной аутентификации. Когда выполняется первое условие запуска, основное сетевое устройство может обновить ключ для второго соединения. Когда выполняется второе условие запуска, оконечное устройство может обновить ключ для второго соединения. Таким образом, когда оконечное устройство обращается к AMF узлу с использованием множества технологий доступа, повторная аутентификация может выполняться на оконечном устройстве через первое соединение при условии влияния на нормальную связь, которая выполняется между оконечным устройством и AMF узлом через второе соединение, и ключи двух соединений обновляются.

Краткое описание чертежей

Фиг. 1 является схемой возможной сетевой архитектуры согласно варианту осуществления настоящего раскрытия;

Фиг. 2 является схемой другой возможной сетевой архитектуры согласно варианту осуществления настоящего раскрытия;

Фиг. 3 является схемой архитектуры ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 4 является блок-схемой алгоритма способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 5 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 6 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 7 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 8 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 9 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 10 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 11 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 12 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 13 является блок-схемой алгоритма другого способа генерирования ключа согласно варианту осуществления настоящего раскрытия;

Фиг. 14 является блок-схемой устройства согласно варианту осуществления настоящего раскрытия;

Фиг. 15 является блок-схемой основного сетевого устройства согласно варианту осуществления настоящего раскрытия;

Фиг. 16 является блок-схемой другого устройства согласно варианту осуществления настоящего раскрытия; и

Фиг. 17 является блок-схемой устройства согласно варианту осуществления настоящего раскрытия.

Осуществление изобретения

Нижеследующее дополнительно подробно описывает настоящее изобретение со ссылкой на прилагаемые чертежи. Конкретный способ работы в вариантах осуществления способа также может применяться к варианту осуществления устройства или варианту осуществления системы. В описании настоящего раскрытия, если не указано иное, «множество» означает два или более двух.

Системные архитектуры и сценарии обслуживания, описанные в настоящем документе, предназначены для более четкого описания технических решений в настоящем изобретении, но не предназначены для ограничения технических решений, представленных в этом документе. Специалист в данной области техники может знать, что по мере развития архитектуры системы и появления нового сценария обслуживания технические решения, представленные в настоящем документе, применимы к аналогичной технической задаче.

Следует отметить, что в настоящем изобретении слова «пример» или «например» используются для представления примера, иллюстрации или описания. Любой вариант осуществления или реализации, описанные как «пример» или «например» в настоящем изобретении, не следует объяснять как более предпочтительные или имеющие больше преимуществ, чем другой вариант осуществления или реализация. Точнее, использование слова «пример» или «например» или тому подобное предназначено для представления относительной концепции особым образом.

Варианты осуществления настоящего раскрытия могут быть применены к системе связи, которая поддерживает доступ оконечного устройства к сети с использованием, по меньшей мере, двух технологий доступа. Например, система связи может быть системой беспроводной связи следующего поколения, например, 5G системой связи. Фиг. 1 является схемой возможной архитектуры сети в соответствии с настоящим изобретении. Архитектура сети включает в себя следующее:

AMF узел: AMF узел является сетевым элементом, ответственным за управление мобильностью, и может быть выполнен с возможностью реализации функций, отличных от управления сеансом, в функциях объекта управления мобильностью (mobility management entity, MME), например, таких функций, как законный перехват и авторизация доступа.

Узел функции управления сеансом (session management function, SMF): SMF узел выполнен с возможностью выделения ресурса сеанса плоскости пользователя.

Узел функции сервера аутентификации (authentication server function, AUSF): при выполнении аутентификации на оконечном устройстве AUSF выполнен с возможностью выполнять аутентификацию и передачу параметра, подлежащего аутентификации, и выполнять аутентификацию на аутентичность оконечного устройства. Основные функции включают в себя прием запроса аутентификации, отправленного узлом функции привязки безопасности (security anchor function, SEAF), и выбор способа аутентификации. Когда используется способ аутентификации с расширяемым протоколом аутентификации и согласованием ключей (extensible authentication protocol authentication and key agreement, EAP-AKA'), AUSF узел может завершить аутентификацию, выполняемую сетевой стороной на оконечном устройстве.

SEAF узел: SEAF узел может быть частью AMF узла или может быть независимым сетевым элементом. SEAF узел, в основном, выполнен с возможностью инициировать запрос аутентификации для AUSF и завершать аутентификацию, выполняемую сетевой стороной на оконечном устройстве в процессе аутентификации усовершенствованной пакетной системы и согласованием ключей (evolved packet system authentication and key agreement, EPS-AKA*).

Узел функции плоскости пользователя (user plane function, UPF): UPF узел является выходом данных плоскости пользователя и выполнен с возможностью подключения к внешней сети.

Сеть передачи данных (data network, DN): DN является сетью, используемая для предоставления внешних данных, например, интернет (internet).

Узел сети (радио) доступа ((radio) access network (R)AN)): (R)AN может использовать разные технологии доступа. В настоящее время существует два типа технологий радиодоступа: 3GPP технология доступа (например, технология радиодоступа, используемая в 3G, 4G или 5G системах) и технология доступа non-3GPP. 3GPP технология доступа является технологией доступа, соответствующая спецификации 3GPP стандарта. Сеть доступа, использующая 3GPP технологию доступа, называется сетью радиодоступа (RAN), и сетевое устройство доступа в 5G системе упоминается как узловая базовая станция следующего поколения (next generation node base-station, gNB). Non-3GPP технология доступа является технологией доступа, которая не соответствует спецификации 3GPP стандарта, например, технология радиоинтерфейса, представленная WiFi точкой доступа (access point, AP).

Оконечное устройство: оконечное устройство в настоящем изобретении представляет собой устройство, имеющее функции приема и отправки по беспроводной связи, и может быть развернуто на суше, в том числе в помещении или на открытом воздухе, портативном или в транспортном средстве. Его также можно развернуть на воде (например, на кораблях) или в воздухе (например, на самолетах, воздушных шарах и спутниках). Оконечное устройство может включать в себя различные типы устройства пользователя (user equipment, UE), мобильные телефоны (mobile phone), планшетные компьютеры (pad), компьютеры с функциями беспроводного приема и отправки, беспроводные карты данных, оконечное устройство виртуальной реальности (virtual reality, VR) устройства дополненной реальности (augmented reality, AR), оконечные устройства машинного типа связи (machine type communication, MTC), оконечные устройства в промышленном управлении (industrial control), оконечные устройства в системе автономного управления (self-driving), оконечные устройства в системе удаленного медицинского обслуживания (remote medical), оконечные устройства в интеллектуальной энергосети (smart grid), оконечные устройства в системе транспортной безопасности (transportation safety), оконечные устройства в системе «умный город» (smart city), носимые устройства (такие как умные часы, смарт-браслет и шагомер) и тому подобное. В системах, использующих разные технологии радиодоступа, названия оконечных устройств, имеющих аналогичные функции беспроводной связи, могут быть разными. Только для простоты описания в вариантах осуществления настоящего раскрытия вышеупомянутые устройства, имеющие функции беспроводной связи для приема и отправки, все вместе называются оконечными устройствами.

В частности, оконечное устройство в настоящем изобретении хранит ключ долговременного использования и связанную функцию. При выполнении двунаправленной аутентификации с основным сетевым устройством (например, AMF узлом, AUSF узлом или SEAF узлом) оконечное устройство может проверять подлинность сети с помощью пары ключа долговременного использования и связанной функции.

Сетевое устройство доступа: сетевое устройство доступа в вариантах осуществления настоящего раскрытия представляет собой устройство, которое обеспечивает функцию беспроводной связи для оконечное устройства. Например, сетевое устройство доступа может быть базовой станцией (base station, BS), и базовая станция может включать в себя различные формы макробазовых станций, микробазовых станций, ретрансляционных станций, точек доступа и тому подобное. В системах, использующих разные технологии радиодоступа, названия устройств, выполняющих функцию базовой станции, могут быть разными. Например, в 5G системе устройство упоминается, как узловая базовая станция следующего поколения, которая может быть представлена как gNB. В системе долгосрочного развития (Long Term Evolution, LTE) устройство называется развитым NodeB (evolved NodeB, eNB или eNodeB). В системе связи 3-го поколения (3rd generation, 3G) устройство упоминается как узел B (Node B) и так далее. Для простоты описания в вариантах осуществления настоящего раскрытия вышеупомянутые устройства, которые обеспечивают функцию беспроводной связи для оконечного устройства, совместно именуются сетевыми устройствами доступа.

Узел функции экспозиции сети (network exposure function, NEF): NEF узел, в основном, выполнен с возможностью взаимодействовать с третьей стороной, так что третья сторона может косвенно взаимодействовать с некоторыми сетевыми элементами в 3GPP сети.

Узел функции сетевого хранилища (network repository function, NRF): NRF узел выполнен с возможностью обнаружения конкретного сетевого элемента и поддержания сетевой функции (network function, NF).

Узел функции управления политикой (policy control function, PCF): PCF узел хранит последнее правило качества обслуживания (quality of service, QoS). Базовая станция может выделять соответствующий ресурс каналу передачи плоскости пользователя на основании правила QoS, предоставленного SMF узлом.

Узел управления унифицированными данными (unified data management, UDM): UDM узел выполнен с возможностью хранить информацию подписки пользователя.

Узел прикладной функции (application function, AF): AF узел может быть расположен в пределах DN и принадлежит функциональному сетевому элементу, развернутому в третьей стороне. Этот сетевой элемент, в основном, используется для уведомления PCF узла о последних сервисных требованиях для приложения третьей стороны. PCF узел может генерировать соответствующее правило QoS на основании сервисного требования, чтобы гарантировать, что услуга, предоставляемая сетью, соответствует требованию, предложенному третьей стороной.

В вариантах осуществления настоящего раскрытия оконечное устройство может получить доступ к AMF узлу, используя, по меньшей мере, две технологии доступа. Например, по меньшей мере, две технологии доступа включают в себя 3GPP технологию доступа и non-3GPP технологию доступа. Варианты осуществления настоящего раскрытия дополнительно обеспечивают схему возможной сетевой архитектуры, как показано на фиг. 2. Сетевая архитектура включает в себя AMF узел, AUSF узел, SMF узел, UPF узел, UDM узел (или узел функции хранения и обработки учетных данных аутентификации (authentication credential storage and processing function, APRF)), оконечное устройство, и non-3GPP узел функции межсетевого взаимодействия (non-3GPP interworking function, N3IWF).

Для AMF узла, AUSF узла, SMF узла, UPF узла, UDM узла и оконечного устройства см. описание на фиг. 1. Подробности здесь снова не описываются.

N3IWF узел выполнен с возможностью поддержки оконечного устройства в доступе к AMF узлу с использованием non-3GPP технологии доступа.

Что касается сетевой архитектуры, показанной на фиг. 2, оконечное устройство может получить доступ к AMF узлу, используя одновременно 3GPP технологию доступа и non-3GPP технологию доступа. Сетевое устройство доступа в 3GPP технологии доступа может быть базовой станцией в 5G сети, базовой станцией в 4G сети или базовой станцией, используемой в будущей телекоммуникационной сети. non-3GPP технология доступа может быть технологией доступа к сети, используемой нетелекоммуникационной сетью, такой как сеть Wi-Fi или фиксированная сеть. 3GPP технология доступа может быть просто представлена как 3GPP, и non-3GPP технология доступа может быть просто представлена как non-3GPP. Путь 1 на фиг. 2 является маршрутом, по которому оконечное устройство обращается к AMF узлу с использованием 3GPP технологии доступа, и путь 2 является маршрутом, по которому оконечное устройство обращается к AMF узлу с использованием non-3GPP технологии доступа. Оконечное устройство может получить доступ к AMF узлу с использованием шлюза, соответствующего соответствующей технологии доступа, функционального объекта, совместно развернутого со шлюзом, или объекта, имеющего функцию шлюза. Шлюз, соответствующий non-3GPP технологии, может быть N3IWF узлом или может быть шлюзом, используемым, когда оконечное устройство обращается к AMF узлу, используя технологию доступа к фиксированной сети, например BNG (шлюз широкополосной сети, шлюз фиксированной сети). Объект, выполняющий функцию шлюза, является одноранговым концом, подключенным к AMF узлу, например, другим концом интерфейса N2 в 5G сети и другим концом интерфейса S1 в 4G сети.

Когда оконечное устройство обращается к AMF узлу, используя одновременно 3GPP и non-3GPP технологию доступа, если оконечному устройству необходимо отправить NAS сообщение в AMF узел, в возможной реализации NAS сообщение может быть разделено на, по меньшей мере, два блока сообщений. Некоторые блоки сообщений передаются с использованием 3GPP технологии доступа, и некоторые другие блоки сообщений передаются с использованием non-3GPP технологии доступа. Например, NAS сообщение может быть разделено на пять блоков сообщений: 1, 2, 3, 4 и 5. Блоки 2 и 4 сообщений передаются с использованием 3GPP технологии доступа, и блоки 1, 3 и 5 сообщений передаются с использованием non-3GPP технологии доступа. В другой возможной реализации оконечное устройство может передавать все NAS сообщение, используя 3GPP технологию доступа, и передавать другое полное NAS сообщение, используя non-3GPP технологию доступа.

Сначала объясняются термины, относящиеся к вариантам осуществления настоящего раскрытия.

(1) RM состояние

RM используется для управления оконечным устройством и сетью. RM состояние включает в себя два состояния: состояние регистрации и состояние отмены регистрации.

Когда оконечное устройство находится в состоянии отмены регистрации, оконечное устройство может попытаться войти в состояние регистрации, посылая процедуру регистрации на основное сетевое устройство (например, AMF узел). После приема сообщения подтверждения регистрации (registration accept), на которое отвечает AMF узел, оконечное устройство переходит в состояние регистрации. Когда оконечное устройство выключено или не проходит в состояние регистрации, оконечное устройство возвращается в состояние отмены регистрации.

Когда оконечное устройство находится в состоянии регистрации, AMF узел имеет информацию о местоположении, информацию о маршрутизации и информацию о контексте безопасности оконечного устройства и оконечное устройство имеет информацию о контексте безопасности.

Когда оконечное устройство находится в состоянии отмены регистрации, AMF узел не имеет информации о местоположении или информации о маршрутизации оконечного устройства, и как AMF узел, так и оконечное устройство имеют информацию о контексте безопасности. Информация о контексте безопасности включает в себя NAS ключ и связанный алгоритм. Если оконечное устройство возвращается из состояния регистрации в состояние отмены регистрации, то не только сохраняет информацию о контексте безопасности, но также сохраняет временную идентификационную информацию, выделенную AMF узлом во время предшествующей регистрации, чтобы оконечное устройство не могло инициировать процедуру аутентификации, когда оконечное устройство снова регистрируется в сети, тем самым, сокращая задержку доступа к сети.

(2) CM состояние

CM состояние включает в себя подключенное состояние и состояние ожидания.

Когда оконечное устройство находится в подключенном состоянии, между оконечным устройством и сетью существует коммуникационное соединение, то есть, происходит обмен данными между оконечным устройством и AMF узлом.

Когда оконечное устройство находится в состоянии ожидания, между оконечным устройством и сетью отсутствует коммуникационное соединение, то есть, в настоящее время между оконечным устройством и AMF узлом не происходит обмен данными.

(3) Переключение состояний

Когда оконечное устройство не получил доступа к сети, оконечное устройство находится в состоянии ожидания и состоянии отмены регистрации. В этом случае между оконечное устройством и AMF узлом отсутствует информация о контексте безопасности. Оконечное устройство сначала переключается из состояния ожидания в состояние подключения, а затем оконечное устройство может инициировать процедуру регистрации и переключается из состояния отмены регистрации в состояние регистрации. В этом случае у оконечного устройства есть NAS ключ и алгоритм безопасности. Если оконечному устройству не требуется впоследствии обмениваться данными с сетью, оконечное устройство может вернуться в состояние ожидания, и оконечное устройство все еще находится в состоянии регистрации после возврата в состояние ожидания.

Когда оконечное устройство возвращается из подключенного состояния в состояние ожидания, информация о контексте безопасности, хранимая оконечным устройством, представляет собой NAS ключ и алгоритм безопасности. Когда оконечное устройство возвращается из состояния регистрации в состояние отсутствия регистрации, оконечное устройство сохраняет NAS ключ, алгоритм безопасности и временную идентификационную информацию, выделенную AMF во время предшествующей регистрации.

Следует отметить, что переключение состояний в настоящем изобретении означает, что СМ состояние оконечного устройства в основном сетевым устройстве возвращается из одного состояния в другое состояние. Например, переключение из состояния подключения в состояние ожидания означает, что СМ состояние оконечного устройства в основном сетевым устройстве возвращается из состояния подключения в состояние ожидания. Например, когда оконечное устройство передает сообщение запроса регистрации в основное сетевое устройство, оконечное устройство находится в подключенном состоянии. После того, как основное сетевое устройство передает в оконечное устройство сообщение о завершении регистрации, если оконечное устройство не передает сразу сообщение в основное сетевое устройство или оконечное устройство не передает сообщение в основное сетевое устройство в течение определенного периода времени, контролируемого таймером, оконечное устройство возвращается в состояние ожидания.

Дополнительно, время, используемое для действия «переключения», не ограничено в вариантах осуществления настоящего раскрытия. В частности, время, необходимое для переключения второго соединения из подключенного состояния в состояние ожидания, может контролироваться таймером или может контролироваться процедурой переключения. Это не ограничено в настоящем изобретении.

(4) Первая технология доступа и вторая технология доступа.

Оконечное устройство поддерживает доступ к сети, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Первая технология доступа представляет собой 3GPP технологию доступа, и вторая технология доступа является non-3GPP технологией доступа. В качестве альтернативы первая технология доступа является non-3GPP технологией доступа, и вторая технология доступа является 3GPP технологией доступа. Разумеется, настоящее изобретение этим не ограничивается. Первая технология доступа и вторая технология доступа могут альтернативно быть другой технологией доступа, поддерживаемой, когда оконечное устройство обменивается данными с основным сетевым устройством.

Первое соединение является соединением, через которое оконечное устройство получает доступ к первому основному сетевому устройству с использованием первой технологии доступа.

Второе соединение является соединением, через которое оконечное устройство получает доступ ко второму основному сетевому устройству с использованием второй технологии доступа.

Оконечное устройство, использующее первое соединение и второе соединение, является одним и тем же оконечным устройством, но первое основное сетевое устройство и второе основное сетевое устройство могут быть одинаковыми или разными. В этом документе используется пример, в котором оконечное устройство поддерживает доступ к одному и тому же основному сетевому устройству, используя одновременно первое и второе соединение.

Дополнительно, первое соединение и второе соединение в настоящем изобретении могут быть прямыми соединениями или косвенными соединениями между оконечным устройством и основным сетевым устройством. Например, второе соединение является соединением, через которое оконечное устройство получает доступ к шлюзовому устройству с использованием второй технологии доступа и обращается к элементу базовой сети с помощью шлюзового устройства. Фиг. 2 используется в качестве примера. Оконечное устройство может получить доступ к AMF узлу, используя 3GPP технологию доступа. Первое соединение может пониматься как маршрут связи между оконечным устройством и AMF узлом, когда оконечное устройство использует 3GPP технологию доступа, то есть, путь 1. В качестве альтернативы оконечное устройство может получить доступ к AMF узлу, используя non-3GPP технологию доступа/ Когда оконечное устройство обращается к AMF узлу с использованием non-3GPP технологии доступа, оконечное устройство не взаимодействует напрямую с AMF узлом, и связывается с AMF узлом с помощью N3IWF узла. Второе соединение является соединением между оконечным устройством и N3IWF узлом и соединение между N3IWF узлом и AMF узлом, и его также можно рассматривать, как путь 2.

(5) Повторная аутентификация

Повторная аутентификация означает, что: когда основное сетевое устройство обнаруживает, что тип параметра ожидается быть недоступным, например, NAS COUNT собирается зацикливаться, или условие запуска выполняется на основе требования конфигурации оператора, основное сетевое устройство снова выполняет аутентификацию на оконечном устройстве. В процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве, основное сетевое устройство обменивается сообщением с оконечным устройством. Оконечное устройство сравнивает подлежащий проверке параметр, предоставленный базовой сетью, с другим параметром, сгенерированным оконечным устройством, и основное сетевое устройство сравнивает подлежащий проверке параметр, предоставленный оконечным устройством, с другим параметром, сгенерированным основным сетевым устройством. Если параметр, подлежащий проверке, предоставленный основным сетевым устройством, совпадает с параметром, сгенерированным оконечным устройством, или, если параметр, подлежащий проверке, предоставленный оконечным устройством, совпадает с параметром, сгенерированным основным сетевым устройством проверка аутентификации, выполняемая между оконечным устройством и основным сетевым устройством, завершается успешно.

Например, процедура проверки аутентификации может быть 5G AKA процедурой в 5G сети, EAP-AKA' процедурой или EPS AKA процедурой в LTE сети.

В качестве варианта, процедура повторной аутентификации в вариантах осуществления настоящего раскрытия может включать в себя процедуру проверки аутентификации и процедуру активации ключа. В частности, в процедуре проверки аутентификации основное сетевое устройство и оконечное устройство могут проверять правильность информации, подлежащей проверке, отправленной друг другом. В процедуре активации ключа основное сетевое устройство передает в оконечное устройство сообщение команды режима безопасности NAS (security mode command, SMC) и принимает сообщение о завершении режима безопасности NAS (security mode complete, SMP) из оконечного устройства.

(6) Основное сетевое устройство

Основное сетевое устройство представляет собой устройство в 3GPP сети, отличное от устройства сети доступа. Основное сетевое устройство может быть AMF узлом, SMF узлом или может быть сетевым устройством, таким как SEAF узел, AUSF узел или UDM узел.

Основное сетевое устройство не ограничивается устройством, которое проверяет оконечное устройство, например, AUSF узел в 5G сети. В качестве альтернативы основное сетевое устройство может быть устройством, участвующим в процедуре аутентификации, например, устройством (например, AMF узлом), выполненным с возможностью пересылать сообщения в процедуре аутентификации. В качестве варианта, основное сетевое устройство может дополнительно иметь независимую функцию, например функцию SEAF, развернутую вместе с основным сетевым устройством.

Дополнительно, основное сетевое устройство, которое инициирует процедуру повторной аутентификации для оконечного устройства, может быть таким же или отличаться от основного сетевого устройства, которое выполняет проверку аутентификации на оконечном устройстве. Проверка аутентификации означает, что основное сетевое устройство проверяет правильность информации, подлежащей аутентификации, отправленной оконечным устройством. Например, в сценарии 5G AKA основным сетевым устройством, которое инициирует процедуру повторной аутентификации, является AMF узел или SEAF узел, развернутый вместе с AMF узлом. В этом сценарии основное сетевое устройство, которое инициирует процедуру повторной аутентификации, может быть AMF узлом, и основное сетевое устройство, которое выполняет проверку аутентификации на оконечном устройстве, является SEAF узлом в AMF узле. В этом случае можно считать, что основное сетевое устройство, которое инициирует процедуру повторной аутентификации для оконечного устройства, такое же, как основное сетевое устройство, которое выполняет проверку аутентификации на оконечном устройстве, и оба являются AMF узлами. В этом сценарии, если SEAF узел не развернут вместе с AMF узлом, то есть, SEAF узел также является независимым основным сетевым устройством, основное сетевое устройство, которое инициирует процедуру повторной аутентификации для оконечного устройства, отличается от устройства. которое выполняет проверку аутентификации на оконечном устройстве.

Для другого примера, в сценарии 5G EAP-AKA', основное сетевое устройство, которое инициирует процедуру повторной аутентификации, может быть AMF узлом, и устройство, которое выполняет проверку аутентификации на оконечном устройстве, является AUSF узлом. В этом случае основное сетевое устройство, которое инициирует процедуру повторной аутентификации для оконечного устройства, отличается от основного сетевого устройства, которое выполняет проверку аутентификации на оконечном устройстве.

(7) Ключ

И ключ для первого соединения и ключ для второго соединения являются NAS ключами. NAS ключ включает в себя ключ шифрования и ключ защиты целостности. Ключ для первого соединения используется для защиты сообщения, которое передается между оконечным устройством и основным сетевым устройством через первое соединение, и ключ для второго соединения используется для защиты передаваемого сообщения между оконечным устройством и основным сетевым устройством через второе соединение.

Ключевая архитектура в вариантах осуществления настоящего раскрытия показана на фиг. 3. На фиг. 3, ключ верхнего уровня может использоваться как параметр генерирования ключа нижнего уровня. В качестве варианта, в процессе повторной аутентификации могут быть сгенерированы ключ для первого соединения и другой ключ, используемый для получения первого соединения. Например, на фиг. 3, все ключи, кроме ключа первого уровня, K, обновляются в процессе повторной аутентификации. Например, ключ для первого подключения может быть KNASint, KNASenc, KRRCint, KRRCenc, KUPint, KUPenc и т.п.

В качестве варианта, если старый ключ необходимо сохранить в процессе обновления ключа, сохраненный старый ключ может быть, по меньшей мере, одним из KNASint, KNASenc, KgNB, NH, KRRCint, KRRCenc, KUPint, KUPenc или KN3IWF. Возможно также сохраняются KAMF, KSEAF или KAUSF.

Со ссылкой на фиг. 1-фиг. 3 вариант осуществления настоящего раскрытия обеспечивает способ обновления ключей, применяемый к системе связи. Система связи включает в себя основное сетевое устройство и оконечное устройство. Оконечное устройство обращается к основному сетевому устройству, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Как показано на фиг. 4, способ включает в себя следующие этапы.

Этап 401. Основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа; соответственно, оконечное устройство выполняет повторную аутентификацию на основном сетевым устройстве через первое соединение, соответствующее первой технологии доступа.

В процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, как основное сетевое устройство, так и оконечное устройство могут обновлять ключ для первого подключения. Например, основное сетевое устройство и оконечное устройство могут генерировать новые ключи для первого соединения, например такие ключи, как KAUSF, KSEAF, KAMF, KNASint или KNASenc.

В качестве варианта, в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство может дополнительно получить первый идентификатор ключа, где первый идентификатор ключа используется для идентификации обновленного ключа для первого подключения. Когда основной сетевой узел является AMF узлом, существуют следующие три способа для получения первого идентификатора ключа AMF узлом:

Способ 1: AMF узел генерирует первый идентификатор ключа.

Способ 2: AMF узел получает идентификатор первого ключа из другого основного сетевого устройства. Например, первый идентификатор ключа получается из SEAF узла.

Способ 3: AMF узел получает из другого основного сетевого устройства информацию, используемую для генерирования идентификатора первого ключа, и затем генерирует идентификатор первого ключа на основании информации, используемой для генерирования идентификатора первого ключа.

В качестве варианта, в процессе повторной аутентификации, основное сетевое устройство может отправить первый идентификатор ключа в оконечное устройство.

Можно понять, что после приема первого идентификатора ключа оконечное устройство может обновить ключ для первого соединения до ключа, идентифицированного первым идентификатором ключа.

Этап 402. Если выполняется первое условие запуска, основное сетевое устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа.

В качестве варианта, первое условие запуска может быть состоянием второго соединения, и состояние второго соединения может быть состоянием ожидания или состоянием подключения.

В качестве варианта, первое условие запуска может альтернативно состоять в том, что второе соединение находится в состоянии отмены регистрации. Если основное сетевое устройство определяет, что второе соединение находится в состоянии отмены регистрации, это указывает, что основное сетевое устройство и оконечное устройство в настоящее время не используют второе соединение. В этом случае ни процесс повторной аутентификации, выполняемый на оконечном устройстве, ни процесс обновления ключа для второго соединения не влияют на использование второго соединения основным сетевым устройством и оконечным устройством.

Этап 403. Если выполняется второе условие запуска, оконечное устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа.

Согласно способу, предоставленному в этом варианте осуществления настоящего раскрытия, основное сетевое устройство может выполнять повторную аутентификацию на оконечном устройстве через первое соединение, и ключ для первого соединения может обновляться в процессе повторной аутентификации. Когда выполняется первое условие запуска, основное сетевое устройство может обновить ключ для второго соединения. Когда выполняется второе условие запуска, оконечное устройство может обновить ключ для второго соединения. Таким образом, когда оконечное устройство обращается к AMF узлу с использованием множества технологий доступа, повторная аутентификация может выполняться на оконечном устройстве через первое соединение при условии отсутствия влияния на нормальную связь, которая выполняется между оконечным устройством и AMF узлом через второе соединение, и ключи двух соединений обновляются.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Дополнительно, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.

Что касается варианта осуществления, показанного на фиг. 4, в возможном сценарии реализации первое условие запуска состоит в том, что второе соединение находится в состоянии ожидания. Если основное сетевое устройство определяет, что основному сетевому устройству необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение, но второе соединение в это время находится в состоянии подключения, как показано на фиг. 5, способ включает в себя этапы с 501 по 505.

501. Основное сетевое устройство передает первое сообщение в оконечное устройство через первое соединение, где первое сообщение используется для указания оконечному устройству приостановить использование первого соединения. Соответственно, оконечное устройство принимает первое сообщение от основного сетевого устройства через первое соединение.

Можно понять, что, когда второе соединение находится в подключенном состоянии, чтобы избежать воздействия процесса повторной аутентификации на связь, которая выполняется между оконечным устройством и основным сетевым устройством через второе соединение, повторная аутентификация оконечное устройство через первое соединение может быть приостановлена. После того, как второе соединение переключается из подключенного состояния в состояние ожидания, повторная аутентификация выполняется на оконечном устройстве через первое соединение. Из-за таких причин, как то, что NAS COUNT, используемый оконечным устройством, вот-вот изменится, основному сетевому устройству необходимо выполнить повторную аутентификацию на оконечном устройстве. Если оконечное устройство продолжает передавать NAS сообщение в основное сетевое устройство через первое соединение, NAS COUNT может продолжаться. В этом случае основное сетевое устройство может дать оконечному устройству команду приостановить работу с использованием первого соединения. В качестве варианта, если контекст безопасности первого соединения может быть дополнительно использован один раз, основное сетевое устройство может дать команду оконечному устройству отправить в основное сетевое устройство только через первое соединение или второе соединение, NAS сообщение, защищенное с помощью контекста безопасности, существующего первого подключения до выполнения повторной аутентификации.

Этап 502. После того, как второе соединение переключается из состояния подключения в состояние ожидания, основное сетевое устройство выполняет повторную аутентификацию в оконечном устройстве через первое соединение, соответствующее первой технологии доступа. Соответственно, оконечное устройство выполняет повторную аутентификацию через первое соединение, соответствующее первой технологии доступа.

В качестве варианта, после того как второе соединение переключается из состояния подключения в состояние ожидания, если первое соединение все еще находится в подключенном состоянии, выполняется способ этапа 502.

В качестве варианта, после того, как второе соединение переключается из состояния подключения в состояние ожидания, если первое соединение находится в состоянии ожидания, основное сетевое устройство может выполнить повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа или второе соединение, соответствующее второй технологии доступа. Можно понять, что, поскольку оба соединения находятся в состоянии ожидания, оконечное устройство может снова получить доступ к сети, используя любое соединение. Когда возникает этот случай, можно считать, что второе соединение становится первым соединением в этом варианте осуществления настоящего раскрытия, и исходное первое соединение становится вторым соединением.

В качестве варианта, в процессе выполнения повторной аутентификации на оконечном устройстве через первое соединение, основное сетевое устройство может дополнительно обновить ключ для второго соединения и получить третий идентификатор ключа, где третий идентификатор ключа используется для определения обновленного ключа для второго подключения. Следует отметить, что, если первое соединение и второе соединение совместно используют набор NAS ключей, третий идентификатор ключа совпадает с идентификатором первого ключа, или можно понять, что основному сетевому устройству не нужно получать третий идентификатор ключа, и идентификатор первого ключа может дополнительно использоваться для идентификации обновленного ключа для второго соединения.

В другой возможной реализации, после обнаружения, что второе соединение возвращается в состояние ожидания, оконечное устройство может отправить сообщение в основное сетевое устройство через первое соединение или второе соединение, чтобы инициировать повторное инициирование основным сетевым устройством аутентификации на оконечном устройстве. В еще одной возможной реализации, когда первое соединение находится в состоянии ожидания, после того, как оконечное устройство принимает сообщение о завершении процедуры через второе соединение, и до того, как второе соединение переключается в состояние ожидания, оконечное устройство может отправить сообщение на основное сетевое устройство, чтобы запустить основное сетевое устройство для выполнения повторной аутентификации на оконечном устройстве через второе соединение. В этом случае можно считать, что второе соединение становится первым соединением в настоящем изобретении, и исходное первое соединение становится вторым соединением.

В качестве альтернативы, ключ для второго соединения может быть обновлен после того, как основное сетевое устройство выполнит повторную аутентификацию на оконечном устройстве через первое соединение, то есть, после этапа 502 может быть дополнительно выполнен этап 503.

Этап 503. Основное сетевое устройство обновляет ключ для второго соединения, соответствующего второй технологии доступа.

В частности, если второе соединение находится в состоянии ожидания, основное сетевое устройство может обновить ключ для второго соединения, соответствующего второй технологии доступа, после повторной аутентификации.

В качестве варианта, основное сетевое устройство может дополнительно получить третий идентификатор ключа.

Этап 504. Основное сетевое устройство передает первую информацию инструкции в оконечное устройство через первое соединение.

Первое соединение используется для указания оконечному устройству обновить ключ для второго соединения.

В качестве варианта, информация первой инструкции может быть идентификатором первого ключа или идентификатором второго ключа. В качестве альтернативы первая информация инструкции может быть идентификатором первого ключа и идентификатором второго ключа.

Этап 505. Оконечное устройство обновляет ключ для второго соединения.

Можно понять, что второе условие запуска состоит в том, что оконечное устройство принимает информацию о первой инструкции от основного сетевого устройства через первое соединение.

В качестве варианта, если информация первой инструкции является идентификатором первого ключа, оконечное устройство может обновить ключ для второго соединения до ключа, указанного первым идентификатором ключа; или, если первая информация инструкции является вторым идентификатором ключа, оконечное устройство может обновить ключ для второго соединения до ключа, указанного вторым идентификатором ключа.

Следует отметить, что в любом варианте осуществления настоящего раскрытия, если основное сетевое устройство дает команду оконечному устройству путем отправки идентификатора ключа в оконечное устройство обновить ключ для второго соединения, оконечное устройство может обновить ключ для второго соединения ключом, указанным идентификатором ключа, отправленным основным сетевым устройством.

Согласно способу обновления ключа, предоставленному в этом варианте осуществления настоящего раскрытия, если определяется, что повторная аутентификация должна быть выполнена на оконечном устройстве через первое соединение, основное сетевое устройство дополнительно должно определить состояние второго соединения, выполняет повторную аутентификацию на оконечном устройстве через первое соединение, только когда второе соединение находится в состоянии ожидания, и обновляет ключи для первого и второго соединения. Поскольку второе соединение находится в состоянии ожидания, процесс обновления ключа не влияет на нормальное использование второго соединения оконечным устройством и основным сетевым устройством.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления, и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.

Что касается способа, показанного на фиг. 4, в качестве варианта, в другом возможном сценарии реализации, первое условие запуска состоит в том, что второе соединение находится в подключенном состоянии. Когда основное сетевое устройство определяет, что основное сетевое устройство должно выполнить повторную аутентификацию на оконечном устройстве через первое соединение, если второе соединение находится в подключенном состоянии, основное сетевое устройство может приостановить использование второго соединения, и затем выполнить повторную аутентификацию на оконечном устройстве через первое соединение, для обновления ключей для первого соединения и второго соединения.

В качестве варианта, в другом возможном сценарии реализации, таймер может быть предварительно сконфигурирован для AMF узла и оконечного устройства. После того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение и обновляет ключ для первого соединения, если второе соединение находится в подключенном состоянии, основное сетевое устройство и оконечное устройство могут запустить таймер. После того, как базовая сеть и оконечное устройство определяют, что таймер истекает, старый ключ для второго соединения не может быть использован. С другой стороны,

после того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение и обновляет ключ для первого соединения, если второе соединение находится в подключенном состоянии, основное сетевое устройство запускает таймер после завершения повторной аутентификации; и оконечное устройство автоматически запускает таймер. После того, как базовая сеть определит, что таймер истек, старый ключ для второго соединения больше не может использоваться. Аналогично, после определения того, что таймер истекает, оконечное устройство не может в дальнейшем использовать старый ключ для второго соединения. С другой стороны,

в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение или после завершения повторной аутентификации, основное сетевое устройство передает первый идентификатор ключа оконечному устройству, и затем основное сетевое устройство и оконечное устройство каждое устанавливает информацию метки, чтобы отметить, что если второе соединение переключается в состояние ожидания, основное сетевое устройство и оконечное устройство обновляют ключ для второго соединения.

Со ссылкой на фиг. 4, в качестве варианта, в другом возможном сценарии реализации, первое условие запуска представляет собой информацию таймера или метки. Как показано на фиг. 6, способ включает в себя следующие этапы.

Этап 601. Основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа. Соответственно, оконечное устройство выполняет повторную аутентификацию на основном сетевым устройстве через первое соединение, соответствующее первой технологии доступа.

В качестве варианта, в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство получает первый идентификатор ключа и сохраняет второй идентификатор ключа и ключ для второго подключения, которое используется перед обновлением, где первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения, и второй идентификатор ключа используется для идентификации ключа для второго соединения, которое используется перед обновлением.

Соответственно, в процессе выполнения повторной аутентификации через первое соединение, оконечное устройство сохраняет второй идентификатор ключа и ключ для второго соединения, который используется перед обновлением, где второй идентификатор ключа используется для идентификации ключа для второго соединения, которое используется перед обновлением.

Следует отметить, что в этом варианте осуществления настоящего раскрытия ключ для второго соединения, который используется перед обновлением, является старым ключом для второго соединения, и обновленный ключ для второго соединения является новым ключом для второго соединения. Новый ключ для второго соединения связан с ключом, сгенерированным в процессе повторной аутентификации оконечного устройства через первое соединение.

Этап 602. Основное сетевое устройство запускает таймер.

Значение, которое побуждает таймер истекать, может быть значением таймера, который используется в данный момент, например, значением таймера, относящимся к non-3GPP технологии доступа, например, значением таймера отмены регистрации (deregistration timer), или может быть значением таймера, относящегося к 3GPP технологии доступа, например, значением таймера периодического обновления (periodic registration timer). При запуске таймера основное сетевое устройство может напрямую использовать значение таймера, который ведет обратный отсчет, может устанавливать значение меньше, чем значение таймера, который ведет обратный отсчет, или может устанавливать значение, не связанное со значением существующего таймера. В качестве альтернативы оператор может предварительно сконфигурировать значение, при котором истекает таймер, чтобы значение, при котором истекает таймер, представляло действительную продолжительность ключа для второго соединения, которое используется перед обновлением, то есть, продолжительность в которой ключ для второго соединения, которое использовалось до обновления, все еще можно использовать.

Этап 603. Основное сетевое устройство передает второе сообщение на оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает второе сообщение.

В качестве варианта, второе сообщение передает информацию инструкции, и информация инструкции используется для указания оконечному устройству запустить таймер. В качестве варианта, второе сообщение может быть NAS SMC сообщением.

В качестве варианта, второе сообщение дополнительно передает идентификатор первого ключа или идентификатор второго ключа.

Этап 604. Оконечное устройство запускает таймер.

В качестве варианта, если второе сообщение, принятое оконечным устройством, передает идентификатор первого ключа или идентификатор второго ключа, оконечное устройство может определить, что ключ для второго соединения необходимо обновить, и затем запустить таймер; или, если второе сообщение, принятое оконечным устройством, передает информацию инструкции, оконечное устройство может запустить таймер в соответствии с информацией инструкции.

В качестве варианта, значение, при котором таймер, запущенный оконечным устройством, истекает, может быть таким же или отличаться от значения, при котором истекает таймер, запущенный основным сетевым устройством. Если значения различаются, значение, при котором таймер, запущенный оконечным устройством, истекает, может быть меньше, чем значение, при котором истекает таймер, запущенный основным сетевым устройством. Значение, при котором таймер, запущенный оконечным устройством, истекает, может быть значением таймера, который используется в данный момент, например, значением таймера, относящимся к non-3GPP технологии доступа, например, значением таймера отмены регистрации (deregistration timer), или может быть значением таймера, относящегося к 3GPP технологии доступа, например, значением таймера периодического обновления (periodic registration timer). При запуске таймера основное сетевое устройство может напрямую использовать значение таймера, который ведет обратный отсчет, может устанавливать значение меньше, чем значение таймера, который ведет обратный отсчет, или может устанавливать значение, не связанное со значением существующего таймера. В качестве альтернативы, оператор может предварительно сконфигурировать значение, при котором истекает таймер, чтобы значение, при котором истекает таймер, представляло действительную продолжительность ключа для второго соединения, которое используется перед обновлением, то есть, продолжительность, для которой ключ для второго соединение, которое использовалось до обновления, все еще можно использовать.

Этап 605. Если выполняется второе условие запуска, оконечное устройство обновляет ключ для второго соединения.

В качестве варианта, второе условие запуска может заключаться в том, что таймер оконечного устройства истекает. По истечении таймера, оконечное устройство может сбросить ключ для второго соединения, которое используется перед обновлением, или оконечное устройство обновляет на основании нового ключа, сгенерированного в процессе повторной аутентификации, ключ, используемого для второго соединения. Например, ключ NAS уровня, вновь созданный в процессе повторной аутентификации, используется в качестве нового ключа, или новый ключ NAS уровня выводится с использованием ключа, вновь созданного в процессе повторной аутентификации, например, Kamf.

Следует отметить, что последовательность выполнения этапа 605 и этапа 606 не ограничена в настоящем изобретении. Этап 605 может выполняться перед этапом 606 или может выполняться после этапа 606 и этапа 607. На фиг. 6, в качестве примера используется этап 605, который выполняется первым.

Этап 606. Оконечное устройство передает третье сообщение в основное сетевое устройство через второе соединение. Соответственно, основное сетевое устройство принимает третье сообщение от оконечного устройства через второе соединение.

Третье сообщение является NAS сообщением и может быть, например, сообщением запроса регистрации или сообщением запроса установления сеанса. Существует, по меньшей мере, несколько следующих случаев, в которых оконечное устройство передает третье сообщение основному сетевому устройству через второе соединение:

Случай 1. Перед тем, как таймер истечет, оконечное устройство передает третье сообщение основному сетевому устройству через второе соединение, где защита безопасности выполняется для третьего сообщения с использованием ключа для второго соединения, который используется перед обновлением.

Случай 2: по истечении таймера оконечное устройство передает третье сообщение основному сетевому устройству через второе соединение, где для третьего сообщения не выполняется защита безопасности. Можно понять, что в этом случае, если таймер истекает, оконечное устройство не может активно обновлять ключ для второго соединения. В качестве варианта, оконечное устройство может отправить третье сообщение через второе соединение, и затем выполнить этап 607. После этапа 607 основное сетевое устройство может отправить в оконечное устройство через второе соединение сообщение, используемое для обновления и активации нового ключа. Например, сообщение содержит информацию инструкции для указания оконечному устройству обновить ключ для второго соединения или третий идентификатор ключа, и затем оконечное устройство выполняет этап 605. В соответствии с этим случаем второе условие запуска на этапе 605 состоит в том, что оконечное устройство принимает информацию инструкции или третий идентификатор ключа. В качестве альтернативы, в этом случае оконечное устройство может обновить ключ для второго соединения после отправки третьего сообщения на основное сетевое устройство, то есть, второе условие запуска состоит в том, что таймер оконечного устройства истекает, то есть, оконечное устройство выполняет этап 605 после этапа 606.

Случай 3: после истечения таймера оконечное устройство передает третье сообщение основному сетевому устройству через второе соединение, где для третьего сообщения выполняется защита безопасности с использованием обновленного ключа для второго соединения.

В качестве варианта, в случае 3, после истечения таймера, оконечное устройство может активно обновлять ключ для второго соединения, то есть, этап 605 выполняется после этапа 606. В соответствии с этим случаем второе условие запуска на этапе 605 заключается в том, что таймер оконечного устройства истекает.

Этап 607. Если первое условие запуска выполняется, основное сетевое устройство обновляет ключ для второго соединения.

В соответствии с тремя случаями на этапе 605, есть также три типа условий первого запуска:

В соответствии со случаем 1 первым типом условия запуска является: основное сетевое устройство принимает до истечения таймера третье сообщение, которое передается оконечным устройством через второе соединение, и проверка безопасности, выполняемая основным сетевым устройством в третьем сообщении, используя ключ для второго подключения, которое используется до успешного обновления.

В качестве варианта, в этом случае оконечное устройство не обновляет ключ для второго соединения перед отправкой третьего сообщения в основное сетевое устройство. Следовательно, после обновления ключа для второго соединения основное сетевое устройство может дать оконечному устройству команду обновить ключ для второго соединения, например, обновить ключ для второго соединения в последующей процедуре активации ключа, например, NAS SMC процесс.

В качестве варианта, в процессе, в котором основное сетевое устройство обрабатывает третье сообщение, таймер истекает, и основное сетевое устройство может отправить сообщение об ошибке в оконечное устройство. Сообщение об ошибке может содержать значение причины сбоя, и значение причины используется для уведомления оконечного устройства о том, что ключ для второго соединения используется до истечения срока действия обновления.

В качестве варианта, в процессе, в котором основное сетевое устройство обрабатывает третье сообщение, если таймер истекает, защита безопасности может быть выполнена с использованием обновленного ключа для второго соединения для сообщения, впоследствии отправленного основным сетевым устройством в оконечное устройство. Поскольку оконечное устройство обновляет ключ для второго соединения после истечения таймера оконечного устройства, оконечное устройство может выполнять, используя обновленный ключ для второго соединения, проверку безопасности сообщения, принятого через второе соединение после истечения таймера.

В соответствии со случаем 2, второй тип условия запуска: после истечения таймера основное сетевое устройство принимает третье сообщение, которое передается оконечным устройством через второе соединение и на котором не выполняется защита безопасности. В этом случае основное сетевое устройство включает в себя обновленный ключ для второго соединения в последующей процедуре активации ключа, например, NAS SMC процедуре.

В соответствии со случаем 3, третий тип условия запуска: после истечения таймера основное сетевое устройство принимает третье сообщение, которое передается оконечным устройством через второе соединение, где защита безопасности выполняется для третьего сообщения посредством использования обновленного ключа для второго подключения. Соответственно, основное сетевое устройство выполняет проверку безопасности третьего сообщения, используя обновленный ключ для второго соединения.

В качестве варианта, дополнительно может быть использован четвертый тип условия запуска: таймер истекает, и основное сетевое устройство не принимает, прежде чем истечет таймер, третье сообщение, которое передается оконечным устройством через второе соединение.

Для четвертого типа условия запуска, то есть, оконечное устройство не передает третье сообщение в основное сетевое устройство с момента, когда таймер основного сетевого устройства запускается, до момента, когда таймер базовой сети истекает, основное сетевое устройство сбрасывает ключ для второго соединения, которое используется перед обновлением, после истечения таймера основного сетевого устройства. В качестве варианта, основное сетевое устройство дополнительно обновляет ключ для второго подключения. В качестве варианта, основное сетевое устройство инструктирует оконечное устройство обновить ключ для второго соединения.

В качестве варианта, после истечения таймера второе соединение не возвращается немедленно в состояние ожидания. В период времени от момента, когда таймер истекает, до момента, когда второе соединение возвращается в состояние ожидания, если оконечное устройство передает сообщение запроса регистрации в основное сетевое устройство, основное сетевое устройство может выполнить повторную аутентификацию на оконечном устройстве.

Следует отметить, что до истечения таймера, если основное сетевое устройство обновило ключ для второго соединения, основное сетевое устройство может остановить таймер. Аналогично, если оконечное устройство обновляет ключ для второго соединения до истечения таймера, оконечное устройство также может остановить таймер.

Этап 608. Основное сетевое устройство удаляет ключ для второго соединения, которое используется перед обновлением, и второй идентификатор ключа.

Можно понять, что на этапе 607 после обновления ключа для второго соединения основное сетевое устройство может выполнить этап 608.

Этап 609. Оконечное устройство удаляет ключ для второго соединения перед обновлением и второй идентификатор ключа.

Можно понять, что на этапе 605, после обновления ключа для второго соединения, оконечное устройство может выполнить этап 609.

Согласно способу обновления ключа, предоставленному в этом варианте осуществления настоящего раскрытия, когда базовая сеть определяет, что базовая сеть должна выполнить повторную аутентификацию через первое соединение, если второе соединение находится в подключенном состоянии, основное сетевое устройство может напрямую выполнять повторную аутентификацию на оконечном устройстве через первое соединение и может сохранять ключ для второго соединения, который используется перед обновлением в процессе повторной аутентификации. Таким образом, даже если основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение и обновляет ключ для первого подключения, когда основное сетевое устройство и оконечное устройство связываются друг с другом через второе соединение, ключ для второго соединения, который использовался до обновления, все еще может использоваться, и это не влияет на нормальную связь через второе соединение. Дополнительно, в этом способе первое соединение и второе соединение разъедены. При выполнении аутентификации на оконечном устройстве через первое соединение основному сетевому устройству не нужно определять состояние второго соединения. После истечения таймера и основное сетевое устройство, и оконечное устройство могут активно обновлять ключ для второго соединения, тем самым, уменьшая накладные расходы на служебную сигнализацию между основным сетевым устройством и оконечным устройством, и упрощая реализацию.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.

В качестве варианта, как показано на фиг. 4, в другом возможном сценарии реализации, когда базовая сеть определяет, что базовой сети необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение, как показано на фиг. 7, способ включает в себя следующие этапы.

Этап 701. Основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа; соответственно, оконечное устройство выполняет повторную аутентификацию на основном сетевом устройстве через первое соединение, соответствующее первой технологии доступа.

Этап 702. Основное сетевое устройство устанавливает первую метку. В качестве варианта, второе соединение находится в подключенном состоянии.

Первая метка используется для обозначения того, что основное сетевое устройство выполнило повторную аутентификацию на оконечном устройстве через первое соединение, или используется для указания обновить ключ для второго соединения.

Следует отметить, что, если первая метка используется для обозначения, что основное сетевое устройство выполнило повторную аутентификацию на оконечном устройстве через первое соединение, она также неявно отмечает, что основному сетевому устройству необходимо обновить ключ для второго соединения.

Этап 703. Если выполняется первое условие запуска, основное сетевое устройство обновляет ключ для второго соединения.

В качестве варианта, в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, второе соединение может вернуться в состояние ожидания. На основании этого, первое условие запуска состоит в том, что второе соединение находится в состоянии ожидания, и основное сетевое устройство определяет наличие первой метки.

В качестве альтернативы, после того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, и второе соединение все еще находится в подключенном состоянии, первое условие запуска в этом случае состоит в том, что основное сетевое устройство определяет, что первая метка существует, и соответствующий способ обновления ключа для второго подключения основным сетевым устройством: если второе подключение находится в состоянии подключения, сначала приостанавливается основным сетевым устройством с использованием второго подключения, и затем обновляется ключ для второго соединения. В качестве альтернативы, прежде чем ответить оконечному устройству сообщением через второе соединение, основное сетевое устройство сначала обменивается процедурой обновления ключа и активации с оконечным устройством, чтобы обновить ключ для второго соединения. Затем основное сетевое устройство передает ответное сообщение в оконечное устройство. Например, ключ для второго соединения обновляется в NAS SMC процедуре.

Следует отметить, что, если второе соединение возвращается в состояние ожидания в процессе, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, основное сетевое устройство может обновить ключ для второго соединения, когда основное сетевое устройство снова принимает NAS сообщение, например сообщение с запросом регистрации, которое передается оконечным устройством через второе соединение, и основное сетевое устройство определяет наличие первой метки. Например, ключ для второго подключения обновляется путем обмена процедурой обновления ключа и активации с оконечным устройством.

В качестве варианта, основное сетевое устройство может определять на основании информации идентификатора ключа, переносимой в сообщении, отправленном оконечным устройством, конкретный набор ключей, используемых оконечным устройством. В этом случае основное сетевое устройство определяет ключи на основании идентификатора ключа и проверяет, используя ключи, соответствующие идентификатору ключа, сообщение, отправленное оконечным устройством. После успешной проверки набор ключей используется как обновленные ключи для второго соединения.

Можно понять, что: после обновления ключа для второго соединения основное сетевое устройство может возобновить использование второго соединения; и при последующей отправке NAS сообщения через второе соединение основное сетевое устройство может выполнять защиту целостности NAS сообщения, используя обновленный ключ для второго соединения.

Этап 704. Основное сетевое устройство получает третий идентификатор ключа.

Третий идентификатор ключа используется для идентификации обновленного ключа для второго соединения.

В качестве варианта, если первое соединение и второе соединение совместно используют набор NAS ключей, основное сетевое устройство может не получить первый идентификатор ключа в процессе повторной аутентификации, но получит третий идентификатор ключа после обновления ключа для второго соединения. В этом случае третий идентификатор ключа может использоваться для идентификации обновленного ключа для первого соединения и обновленного ключа для второго соединения.

В качестве варианта, если первое соединение и второе соединение совместно используют набор NAS ключей, основное сетевое устройство может не получить третий идентификатор ключа, но напрямую использует идентификатор первого ключа, полученный в процессе повторной аутентификации. Другими словами, первый идентификатор ключа, полученный в процессе повторной аутентификации, может использоваться для идентификации обновленного ключа для первого соединения и обновленного ключа для второго соединения.

Этап 705. Основное сетевое устройство передает третий идентификатор ключа в оконечное устройство. Соответственно, оконечное устройство принимает от основного сетевого устройства третий идентификатор ключа.

Следует отметить, что после того, как основное сетевое устройство обновляет ключ для второго соединения, если второе соединение находится в состоянии подключения, основное сетевое устройство может отправить третий идентификатор ключа оконечному устройству через второе соединение, где защита целостности выполняется для третьего идентификатора ключа с использованием обновленного ключа для второго соединения; если второе соединение находится в состоянии ожидания, основное сетевое устройство может отправить третий идентификатор ключа оконечному устройству через первое соединение, и для третьего идентификатора ключа выполняется защита целостности с использованием обновленного ключа для первого соединения.

В качестве варианта, если первое соединение и второе соединение совместно используют набор NAS ключей, и основное сетевое устройство не получает третий идентификатор ключа, основное сетевое устройство может отправить первый идентификатор ключа оконечному устройству.

В качестве варианта, основное сетевое устройство может дополнительно передавать в оконечное устройство, по меньшей мере, один параметр, используемый для обновления ключа для второго соединения, например, алгоритм шифрования и алгоритм защиты целостности, которые выбираются, когда основное сетевое устройство обновляет ключ для второго подключения и тип технологии доступа.

Этап 706. Оконечное устройство обновляет ключ для второго соединения.

Можно понять, что в этом случае второе условие запуска состоит в том, что оконечное устройство принимает третий идентификатор ключа от основного сетевого устройства.

В качестве варианта, третий идентификатор ключа может переноситься в NAS сообщении. Если оконечное устройство принимает третий идентификатор ключа через второе соединение, оконечное устройство может обновить ключ для второго соединения на основании идентификатора третьего ключа, то есть, обновить ключ для второго соединения до ключа, идентифицированного третьим идентификатором ключа, и выполнить проверку защиты целостности NAS сообщения, используя обновленный ключ для второго соединения. После успешной проверки обновленный ключ для второго соединения становится действительным. Если оконечное устройство принимает третий идентификатор ключа через первое соединение, оконечное устройство может выполнить проверку защиты целостности для NAS сообщения, используя обновленный ключ для второго соединения, и обновить ключ для второго соединения после успешной проверки.

Согласно способу генерирования ключа, предоставленному в этом варианте осуществления настоящего раскрытия, независимо от того, находится ли второе соединение в состоянии ожидания, основное сетевое устройство может сначала обновить ключ для первого соединения. После обновления ключа для первого соединения, если второе соединение возвращается в состояние ожидания, ключ для второго соединения может быть обновлен после того, как оконечное устройство в следующий раз отправит сообщение запроса регистрации на основное сетевое устройство через второе соединение. Если второе соединение все еще находится в подключенном состоянии, чтобы избежать того, чтобы основное сетевое устройство и оконечное устройство выполняли защиту безопасности, по-прежнему используя ключ для второго подключения, который используется перед обновлением при передаче сообщения друг другу через второе соединение и поэтому проверка безопасности сообщения завершается неудачно, основное сетевое устройство может приостановить использование второго соединения, то есть, сначала приостановить обмен NAS сообщениями, который выполняется между основным сетевым устройством и оконечным устройством через второе соединение, и затем обновить ключ для второго соединения. После обновления обмен NAS сообщениями, выполняемый между основным сетевым устройством и оконечным устройством, может быть возобновлен через второе соединение. В этом случае защита безопасности выполняется для NAS сообщения с использованием обновленного ключа для второго соединения. После того, как основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, предотвращается сбой проверки безопасности сообщения, которое передается через второе соединение.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления, и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.

Со ссылкой на фиг. 4, в предшествующем возможном сценарии реализации, когда базовая сеть определяет, что базовая сеть должна выполнить повторную аутентификацию на оконечном устройстве через первое соединение, если второе соединение находится в подключенном состоянии, вариант осуществления настоящего раскрытия дополнительно обеспечивает другую возможную реализацию. Как показано на фиг. 8, способ включает в себя следующие этапы.

Этап 801. Основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа; соответственно, оконечное устройство выполняет повторную аутентификацию на основном сетевым устройстве через первое соединение, соответствующее первой технологии доступа.

Этап 802. Основное сетевое устройство передает вторую информацию инструкции в оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает вторую информацию инструкции от основного сетевого устройства.

Информация о второй инструкции используется для указания оконечному устройству обновить ключ для второго соединения.

В этом способе реализации возможность обновления ключа для второго соединения не ограничивается. Чтобы быть конкретным, не ограничивается, обновляет ли оконечное устройство ключ сразу после приема второй информации инструкции или обновляет ключ через период времени после приема второй информации инструкции. Этот способ подчеркивает, что оконечное устройство выполняет действие по обновлению ключа для второго соединения после приема второй информации инструкции.

Этап 803. Основное сетевое устройство устанавливает вторую метку.

Вторая метка используется для указания обновить ключ для второго соединения.

Следует отметить, что последовательность выполнения этапа 802 и этапа 803 не ограничена в настоящем изобретении. Два этапа могут выполняться одновременно, или любой из этих двух этапов выполняется первым.

Этап 804. Оконечное устройство устанавливает третью метку.

Третья метка используется для указания обновить ключ для второго соединения.

Этап 805. Если основное сетевое устройство определяет наличие второй метки, и второе соединение переключается в состояние ожидания, основное сетевое устройство обновляет ключ для второго соединения.

Можно понять, что в этом случае первое условие запуска состоит в том, что основное сетевое устройство определяет наличие второй метки, и второе соединение переключается в состояние ожидания.

Этап 806. Если оконечное устройство определяет наличие третьей метки и второе соединение переключается в состояние ожидания, оконечное устройство обновляет ключ для второго соединения.

Можно понять, что в этом случае второе условие запуска состоит в том, что оконечное устройство определяет наличие третьей метки, и второе соединение переключается в состояние ожидания.

В качестве варианта, оконечное устройство может не устанавливать третью метку. После обновления ключа для второго соединения основное сетевое устройство может отправить информацию инструкции в оконечное устройство, чтобы дать оконечному устройству команду обновить ключ для второго соединения.

В качестве альтернативы после того, как второе соединение переключается в состояние ожидания, оконечное устройство может временно не обновлять ключ для второго соединения. Когда оконечному устройству необходимо отправить сообщение основному сетевому устройству через второе соединение, если определено, что существует третья метка, оконечное устройство обновляет ключ для второго соединения.

Можно понять, что после того, как оконечное устройство обновит ключ для второго соединения, защита целостности может быть выполнена с использованием обновленного ключа для второго соединения в NAS сообщении, которое передается оконечный устройством в основное сетевое устройство через второе соединение.

Согласно способу обновления ключа, предоставленному в этом варианте осуществления настоящего раскрытия, когда основное сетевое устройство определяет, что основному сетевому устройству необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение, если второе соединение находится в подключенном состоянии, основное сетевое устройство может сначала выполнить повторную аутентификацию на оконечном устройстве через первое соединение. После повторной аутентификации основное сетевое устройство может установить вторую метку, и оконечное устройство может установить третью метку. После того, как второе соединение переключается в состояние ожидания, как основное сетевое устройство, так и оконечное устройство могут обновлять ключ для второго подключения на основе меток, установленных основным сетевым устройством и оконечным устройством, тем самым, уменьшая служебные данные, генерируемые в процессе обновление ключа для второго соединения.

Можно понять, что оконечное устройство или основное сетевое устройство может выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.

Способ генерирования ключа, предусмотренный в вариантах осуществления настоящего раскрытия, описывается ниже со ссылкой на конкретный сценарий. Со ссылкой на фиг. 4 и фиг. 6, в сценарии реализации, соответствующем фиг. 6, как показано на фиг. 9, способ, в частности, включает следующие этапы.

Этап 901. Оконечное устройство передает NAS сообщение в AMF узел через первое соединение. Соответственно, AMF узел принимает NAS сообщение через первое соединение.

Например, NAS сообщение может быть сообщением запроса регистрации, сообщением запроса услуги или сообщением запроса установления PDU сеанса, или может быть другим NAS сообщением. Это не ограничено в настоящем изобретении.

NAS сообщение содержит идентификатор ключа, используемый для идентификации ключа для первого соединения, и NAS сообщение защищено с помощью ключа для первого соединения.

Этап 902. AMF узел выполняет проверку целостности NAS сообщения, где проверка завершается успешно, и определяет, что AMF узлу необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение.

AMF узел определяет ключ для первого соединения на основании идентификатора ключа, переносимого в NAS сообщении. После проверки целостности NAS сообщения с использованием ключа для первого соединения, которое определяется на основании идентификатора ключа, когда проверка завершается успешно, AMF узел может определить, требуется ли повторная аутентификация на оконечном устройстве. Например, при определении того, что NAS COUNT, используемый оконечным устройством, вот-вот изменится, AMF узел определяет, что на оконечном устройстве должна быть выполнена повторная аутентификация. В качестве альтернативы AMF узел может определять на основании информации о конфигурации оператора, нужно ли выполнять повторную аутентификацию на оконечном устройстве. Конечно, настоящее изобретение не ограничивается двумя перечисленными способами определения необходимости повторной аутентификации на оконечном устройстве.

Этап 903. AMF узел инициирует повторную аутентификацию на оконечном устройстве через первое соединение. Соответственно, оконечное устройство выполняет повторную аутентификацию через первое соединение.

Повторная аутентификация включает в себя процедуру проверки аутентификации и процедуру активации ключа.

Этап 904. AMF узел обновляет ключ, соответствующий первому соединению, и получает первый идентификатор ключа.

Первый идентификатор ключа может быть получен в процессе аутентификации, и первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения.

Следует отметить, что, если первое соединение и второе соединение используют разные ключи, после обновления ключа для первого соединения AMF узел может удалить ключ для первого соединения, которое используется перед обновлением, и сохранить ключ для второго соединения и второй идентификатор ключа, где второй идентификатор ключа используется для идентификации ключа для второго соединения, который используется перед обновлением; или

если первое соединение и второе соединение совместно используют набор ключей, когда AMF узел обновляет ключ для первого соединения, в качестве варианта, AMF узел все равно должен сохранить для второго соединения ключ для первого используемого соединения перед обновлением и второй идентификатор ключ. Второй идентификатор ключа используется для определения ключа для второго соединения, который используется перед обновлением. Можно понять, что ключ для второго соединения, который используется перед обновлением, совпадает с ключом для первого соединения, которое используется перед обновлением. В частности, если второе соединение находится в подключенном состоянии, в способе, в котором AMF узел устанавливает идентификационную информацию или значение таймера, AMF узел по-прежнему должен сохранять для второго соединения ключ для первого используемого соединения до обновления и второй идентификатор ключа.

Этап 905. AMF узел передает NAS сообщение SMC в оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает NAS сообщение SMC от AMF узла через первое соединение.

NAS сообщение SMC эквивалентно второму сообщению на этапе 603. В качестве варианта, NAS сообщение SMC содержит первый идентификатор ключа, второй идентификатор ключа или информацию индикации, где информация индикации используется, чтобы указать оконечному устройству для запуска таймера.

В качестве варианта, если NAS сообщение SMC, принятое оконечным устройством, содержит информацию инструкции, которая используется для указания оконечному устройству запустить таймер, оконечное устройство запускает таймер. В качестве альтернативы, если оконечное устройство определяет, что принятое NAS сообщение SMC содержит идентификатор первого ключа или второй идентификатор ключа, оконечное устройство может запустить таймер.

В качестве альтернативы, когда используется способ таймера, даже, если NAS сообщение SMC не содержит идентификатор первого ключа, идентификатор второго ключа или информацию инструкции, оконечное устройство может запустить таймер после проверки этой защиты целостности NAS SMC верен или после отправки SMP NAS сообщения. Запуск таймера может быть выполнен оконечным устройством через очень короткое время после того, как оконечное устройство подтвердит правильность защиты целостности NAS SMC сообщения или после того, как оконечное устройство отправит NAS сообщение SMP. Например, таймер запускается сразу после проверки NAS SMC сообщения или сразу после отправки SMP NAS. В этом способе первый идентификатор ключа был передан оконечному устройству в процедуре аутентификации.

Следует отметить, что AMF узел может альтернативно запустить таймер перед выполнением этапа 905 или запустить таймер после этапа 908.

Значение, которое заставляет таймер истекать, является действительной продолжительностью ключа для второго соединения, которое используется перед обновлением. Например, предполагается, что первое соединение и второе соединение имеют общий набор ключей. До истечения таймера ключ для первого соединения, который используется перед обновлением, все еще может использоваться вторым соединением; после истечения таймера ключ для первого соединения, который использовался перед обновлением, не может использоваться для защиты сообщения, передаваемого между AMF узлом и оконечным устройством через второе соединение.

Этап 906. Оконечное устройство обновляет ключ для первого соединения.

Можно понять, что в процессе повторной аутентификации оконечное устройство принимает NAS сообщение SMC от AMF узла через первое соединение и обновляет ключ, соответствующий первому соединению.

После обновления ключа для первого соединения оконечное устройство может удалить ключ для первого соединения, который используется перед обновлением, и сохранить ключ для второго соединения и второй идентификатор ключа. Удаление ключа для первого соединения, которое использовалось перед обновлением, означает, что ключ не может быть снова использован первым соединением. Это действие относится только к первому соединению и не связано со вторым соединением.

Этап 907. Оконечное устройство передает SMP NAS сообщение в AMF узел через первое соединение. Соответственно, AMF узел принимает SMP NAS сообщение.

NAS SMP узел выполняет защиту целостности, используя обновленный ключ для первого соединения.

Следует отметить, что этапы с 904 по этап 907 также можно понимать как процесс, в котором основное сетевое устройство выполняет повторную аутентификацию на оконечном устройстве через первое соединение.

Этап 908. AMF узел передает сообщение завершения в оконечное устройство через первое соединение; соответственно, оконечное устройство принимает сообщение завершения из AMF узла.

Сообщение завершения является ответным сообщением NAS сообщения на этапе 901. Например, если NAS сообщение на этапе 901 является сообщением запроса регистрации, NAS сообщение является сообщением о завершении регистрации.

Этап 909. Оконечное устройство передает NAS сообщение в AMF узел через второе соединение. Соответственно, AMF узел принимает NAS сообщение через второе соединение.

NAS сообщение содержит второй идентификатор ключа, и NAS сообщение защищено с помощью ключа для второго соединения, которое используется перед обновлением.

В качестве варианта, NAS сообщение дополнительно содержит первый идентификатор ключа.

Точно так же NAS сообщение может альтернативно быть сообщением запроса регистрации, сообщением запроса услуги или сообщением запроса установления сеанса PDU. Разумеется, настоящее изобретение этим не ограничивается.

NAS сообщение эквивалентно третьему сообщению на этапе 606. В случае, когда оконечное устройство передает NAS сообщение в AMF узел через второе соединение, см. описание этапа 606. Подробности здесь снова не описываются.

Этап 910. AMF узел обновляет ключ для второго соединения.

AMF узел может обновлять ключ для второго соединения только тогда, когда выполняется первое условие запуска. Описание первого условия запуска может быть понятно из соответствующего описания этапа 607. Подробности здесь снова не описываются.

В качестве варианта, AMF узел может получить третий идентификатор ключа, соответствующий обновленному ключу для второго соединения, где третий идентификатор ключа используется для идентификации обновленного ключа для второго соединения. В качестве альтернативы, если первое соединение и второе соединение совместно используют набор NAS ключей, AMF узел может не генерировать третий идентификатор ключа, но использует первый идентификатор ключа для идентификации обновленного ключа для первого соединения и обновленного ключа для второго соединения.

Следует отметить, что после обновления ключа для второго соединения AMF узел может удалить ключ для второго соединения, который используется перед обновлением, и идентификатор ключа, используемый для идентификации ключа для второго соединения, который использовался до обновления. В качестве альтернативы AMF узел может выбрать, на основе различных условий запуска, удалить ключ для второго соединения, который используется перед обновлением, и идентификатор ключа, используемый для идентификации ключа для второго соединения, который используется перед обновлением, до обновления ключа для второго соединения.

Этап 911. AMF узел передает NAS SMC сообщение в оконечное устройство через второе соединение. Соответственно, оконечное устройство принимает NAS SMC сообщение от узла AMF через второе соединение.

Если первое соединение и второе соединение совместно используют набор ключей, NAS SMC сообщение содержит идентификатор первого ключа.

В качестве варианта, если первое соединение и второе соединение используют разные ключи, NAS SMC сообщение содержит третий идентификатор ключа.

Этап 912. Оконечное устройство обновляет ключ для второго соединения.

В качестве варианта, после приема NAS SMC сообщения оконечное устройство обновляет ключ для второго соединения. В качестве варианта, ключ для второго соединения может быть обновлен на основании первого идентификатора ключа или третьего идентификатора ключа, переносимого в NAS SMC сообщении.

Возможно после того, как оконечное устройство запускает таймер, если таймер оконечного устройства не истекает, оконечное устройство останавливает таймер после обновления ключа для второго соединения.

После обновления ключа для второго соединения оконечное устройство может удалить ключ для второго соединения, который используется перед обновлением, и идентификатор ключа, используемый для идентификации ключа для второго соединения, который используется перед обновлением.

Этап 913. Оконечное устройство передает NAS SMP сообщение в AMF узел через второе соединение. Соответственно, AMF узел принимает NAS SMP сообщение через второе соединение.

Защита целостности NAS SMP сообщения выполняется на основании обновленного ключа.

В качестве варианта, после того как основное сетевое устройство запускает таймер, если таймер основного сетевого устройства не истекает, основное сетевое устройство останавливает таймер после обновления ключа для второго соединения.

Этап 914. AMF узел передает сообщение завершения в оконечное устройство через второе соединение. Соответственно, через второе соединение оконечное устройство принимает сообщение завершения.

Сообщение завершения является ответным сообщением NAS сообщения на этапе 901. Например, если NAS сообщение на этапе 901 является сообщением запроса регистрации, сообщение завершения является сообщением о завершении регистрации.

Можно понять, что оконечное устройство или основное сетевое устройство может выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.

В качестве варианта, в сценарии реализации, соответствующем фиг. 5, когда AMF узел определяет, что AMF узел должен выполнить повторную аутентификацию на оконечном устройстве через первое соединение, AMF узел должен определить состояние второго соединения и может выполнить повторную аутентификацию на оконечном устройстве через первое соединение только тогда, когда состояние второго соединения является состоянием ожидания. Как показано на фиг. 10, способ включает этапы с 1001 по 1012.

Этапы 1001-1002 аналогичны этапам 901-902, и подробности здесь снова не описываются.

Этап 1003. AMF узел определяет состояние второго соединения.

Когда AMF узел определяет, что AMF узел должен выполнить повторную аутентификацию на оконечном устройстве, способ повторной аутентификации, используемый, когда второе соединение находится в подключенном состоянии, отличается от способа аутентификации, используемого, когда второе соединение находится в состоянии ожидания или состоянии отсутствия регистрации. Следовательно, AMF узлу необходимо определить, находится ли второе соединение в подключенном состоянии.

В качестве варианта, например, оконечное устройство поддерживает доступ к AMF узлу, используя одновременно 3GPP технологию доступа и non-3GPP технологию доступа. AMF узел может сначала определить, получает ли оконечное устройство доступ к AMF узлу, используя 3GPP технологию доступа и non-3GPP технологию доступа. Если оконечное устройство обращается к AMF узлу, используя одновременно 3GPP технологию доступа и non-3GPP технологию доступа, это указывает, что второе соединение существует между AMF узлом и оконечным устройством, и затем определяется, находится ли второе соединение оконечного устройства в подключенном состоянии.

Чтобы быстро определить, находится ли второе соединение в подключенном состоянии, AMF узел может сначала определить, находится ли второе соединение оконечного устройства в состоянии регистрации. Если определено, что второе соединение оконечного устройства находится в состоянии отмены регистрации, AMF узел может определить, что второе соединение оконечного устройства не может находиться в подключенном состоянии. Если определяется, что второе соединение оконечного устройства находится в состоянии регистрации, AMF узел дополнительно определяет, находится ли второе соединение оконечного устройства в подключенном состоянии.

Используют, по меньшей мере, следующие три способа для AMF узла для определения, получает ли оконечное устройство доступ к AMF узлу, используя одновременно две технологии доступа:

(1) NAS сообщение на этапе 1001 содержит информацию индикации, используемую для указания, что второе соединение оконечного устройства находится в состоянии регистрации, и AMF узел может определить на основании информации индикации, что второе соединение оконечного устройства находится в состоянии регистрации, то есть, оконечное устройство обращается к AMF узлу с использованием двух технологий доступа.

В этом способе AMF узел может напрямую определять состояние второго соединения оконечного устройства на основании принятой информации индикации. Это удобно и быстро, и AMF узлу не нужно выполнять другие запросы.

(2) AMF узел определяет, запрашивая машину состояния оконечного устройства, которая поддерживается AMF узлом, что оконечное устройство все еще имеет другое состояние регистрации, ассоциированное с другой технологией доступа, отличной от технологии доступа, соответствующей первому соединению.

В этом способе AMF узел может определять состояние второго соединения с помощью простой операции запроса, и оконечному устройству не нужно дополнительно добавлять к NAS сообщению информацию индикации, используемую для указания состояния второго соединения.

(3) AMF узел хранит информацию инструкции, используемую для указания оконечному устройству использовать две технологии доступа одновременно для доступа.

Например, когда оконечное устройство получило доступ к AMF узлу с помощью технологии доступа (например, 3GPP технологии доступа), если AMF узел определяет, что оконечное устройство успешно обращается к AMF узлу, используя другую технологию доступа (например, non-3GPP технологию доступа), AMF узел может установить идентификатор в контексте оконечного устройства. Идентификатор используется для указания количества технологий доступа, с помощью которых оконечное устройство в настоящее время обращается к AMF узлу. Например, когда идентификатор равен 0, это указывает, что оконечное устройство обращается к AMF узлу с использованием одной технологии доступа. Когда идентификатор равен 1, это указывает, что оконечное устройство обращается к AMF узлу, используя одновременно две технологии доступа, или указывает, что оконечное устройство находится в состоянии двойной регистрации. Состояние двойной регистрации является состоянием, в котором оконечное устройство регистрируется в AMF узле с использованием двух технологий доступа.

В качестве другого примера AMF узел может установить информацию индикации для файла, совместно используемого двумя технологиями доступа, чтобы указать, что контент в совместно используемом файле совместно используется двумя технологиями доступа. Перед тем, как контент файла будет удален или изменен, необходимо определить, используется ли контент файла. Контент файла может быть NAS ключом и связанным алгоритмом безопасности, совместно используемым двумя технологиями доступа. AMF узел может определить на основании информации индикации, соответствующей файлу, что оконечное устройство обращается к AMF узлу, используя две технологии доступа одновременно.

Дополнительно, существует, по меньшей мере, три следующих возможных реализаций для AMF узла для определения, находится ли второе соединение оконечного устройства в подключенном состоянии:

(1) AMF узел определяет, что AMF узел обменивается данными с оконечным устройством через второе соединение.

Например, AMF узел передает NAS сообщение в оконечное устройство через второе соединение, или AMF узел осуществляет поисковый вызов оконечного устройства через второе соединение.

(2) AMF узел определяет, запрашивая машину состояния оконечного устройства, которая поддерживается AMF узлом, что второе соединение оконечного устройства находится в подключенном состоянии.

(3) AMF узел определяет, используя информацию индикации, хранящуюся в AMF узле, что второе соединение оконечного устройства находится в подключенном состоянии.

Например, если AMF узел обнаруживает идентификатор, который хранится AMF узлом и который указывает, что оконечное устройство находится в состоянии двойной регистрации или состоянии двойного подключения, например, обнаруживает идентификатор, который равен 1, AMF узел определяет, что второе соединение оконечного устройства находится в подключенном состоянии.

Для другого примера, если AMF узел обнаруживает, что информация индикации, соответствующая файлу, хранящемуся в AMF узле, указывает, что контент файла совместно используется двумя технологиями доступа, и контент файла не может быть изменен, это указывает, что контент файла используется вторым соединением, и AMF узел может дополнительно определить, что второе соединение оконечного устройства находится в подключенном состоянии.

В этом варианте осуществления для описания используется пример, в котором состояние второго соединения является подключенным состоянием.

Этап 1004. AMF узел передает в оконечное устройство сообщение об отклонении или сообщение о принятии через первое соединение.

Первое сообщение на этапе 501 может быть сообщением об отклонении или сообщением о принятии на этом этапе. Сообщение об отклонении указывает, что AMF узел отклоняет NAS сообщение, отправленное оконечным устройством на этапе 1001, например, отклоняет сообщение запроса регистрации, отправленное оконечным устройством. В качестве варианта, сообщение об отклонении содержит значение причины, и значение причины используется для уведомления оконечного устройства, что причиной отклонения является то, что второе соединение находится в подключенном состоянии. В этом случае повторная аутентификация на оконечном устройстве невозможна. В качестве варианта, значение причины дополнительно используется для указания, что проверка целостности, выполненная AMF узлом в NAS сообщении, отправленном оконечным устройством на этапе 1101, прошла успешно.

В качестве варианта, если NAS COUNT, соответствующий первому соединению, временно не переходит в цикл, AMF узел дополнительно позволяет оконечному устройству продолжать передавать заданное количество NAS сообщений, или оконечное устройство передает периодическое сообщение регистрации в AMF узел через первое соединение AMF узел может отправить оконечному устройству сообщение о принятии через первое соединение.

Сообщение о принятии содержит информацию о битах флага повторной аутентификации, и информация о битах флага повторной аутентификации используется для уведомления оконечного устройства, что на оконечном устройстве должна быть выполнена повторная аутентификация. Однако, поскольку второе соединение находится в подключенном состоянии, повторная аутентификация не может быть временно инициирована. После того, как оконечное устройство принимает бит флага повторной аутентификации, действие оконечного устройства ограничивается. Например, идентификатор повторной аутентификации может использоваться для указания оконечному устройству приостановить использование первого соединения, или оконечное устройство может передавать данные плоскости пользователя только через первое соединение, или оконечное устройство может отправить определенное количество (например, одно) NAS сообщений только через первое соединение (что означает, что контекст безопасности первого соединения может дополнительно использоваться один раз), или оконечное устройство может передавать только через первое соединение сообщение с запросом регистрации, для которого не выполняется защита целостности.

Информация бита флага повторной аутентификации альтернативно может быть информацией таймера. Если повторная аутентификация не выполняется на оконечном устройстве до истечения таймера, AMF узел переводит оконечное устройство в состояние отмены регистрации. В качестве варианта, AMF узел удаляет весь контекст безопасности оконечного устройства, так что оконечному устройству необходимо выполнить повторную аутентификацию при доступе к сети в следующий раз.

Этап 1005. Оконечное устройство определяет, что второе соединение переключено в состояние ожидания.

Этап 1006. Оконечное устройство передает NAS сообщение в AMF узел, используя любое соединение. Соответственно, AMF узел принимает NAS сообщение. Соединение для отправки NAS сообщения становится первым соединением в настоящем изобретении.

В качестве варианта, NAS сообщение может быть сообщением запроса регистрации.

Если оконечное устройство принимает сообщение об отклонении на этапе 1004, оконечное устройство может отправить NAS сообщение в AMF узел, используя любое соединение.

Если оконечное устройство принимает сообщение о принятии на этапе 1004, и бит флага повторной аутентификации указывает, что оконечное устройство может отправить указанное количество NAS сообщений через первое соединение, оконечное устройство может отправить в AMF узел через первое соединение одно NAS сообщение, для которого выполняется защита целостности. Если бит флага повторной аутентификации указывает, что оконечное устройство может отправить сообщение с запросом регистрации, для которого защита безопасности не выполняется, оконечное устройство может отправить на основное сетевое устройство через первое или второе соединение сообщение с запросом регистрации, в котором защита безопасности не выполняется.

Можно понять, что, если AMF узел принимает NAS сообщение, для которого выполняется защита целостности, AMF узел сначала выполняет проверку защиты целостности для NAS сообщения.

Этап 1005 и этап 1006 являются возможными этапами, то есть, после этапа 1004 этап 1007 может выполняться непосредственно.

Этап 1007. AMF узел определяет, что второе соединение находится в состоянии ожидания.

Для способа определения состояния второго соединения AMF узлом см. соответствующее описание этапа 1003. Подробности здесь снова не описываются.

Этап 1008. AMF узел выполняет повторную аутентификацию на оконечном устройстве через первое соединение.

В качестве варианта, если оконечное устройство передает NAS сообщение в AMF узел через второе соединение на этапе 1006, AMF узел может выполнить повторную аутентификацию на оконечном устройстве через второе соединение на этом этапе. Ниже для описания используется пример, в котором AMF узел выполняет повторную аутентификацию на оконечном устройстве через первое соединение.

В качестве варианта, на этом этапе AMF узел может обновить ключ для первого соединения и ключ для второго соединения, и оконечное устройство может обновить ключ для первого соединения. В качестве варианта, если первое соединение и второе соединение совместно используют набор NAS ключей, AMF узел может получить идентификатор первого ключа в процессе выполнения повторной аутентификации на оконечном устройстве, где первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения и обновленный ключ для второго соединения.

В качестве альтернативы, если первое соединение и второе соединение по отдельности используют разные NAS ключи, AMF узел может получить первый идентификатор ключа в процессе выполнения повторной аутентификации на оконечном устройстве. В качестве варианта, AMF узел может дополнительно получить третий идентификатор ключа. В этом случае первый идентификатор ключа используется для идентификации обновленного ключа для первого соединения, и третий идентификатор ключа используется для указания обновленного ключа для второго соединения.

Этап 1009. AMF узел передает NAS SMC сообщение в оконечное устройство. Соответственно, оконечное устройство принимает NAS SMC сообщение.

В качестве варианта, NAS SMC сообщение может передавать первую информацию инструкции на этапе 504.

Первая информация инструкции используется для указания оконечному устройству обновить ключ для второго соединения.

В качестве варианта, первая информация инструкции может быть первым идентификатором ключа или вторым идентификатором ключа. В качестве альтернативы первая информация инструкции может быть первым идентификатором ключа и вторым идентификатором ключа.

Защита целостности может выполняться для NAS SMC сообщения с использованием обновленного ключа для первого соединения, и оконечное устройство может выполнять проверку защиты целостности для NAS SMC сообщения, используя обновленный ключ для первого соединения.

Этап 1010. Оконечное устройство обновляет ключ для второго соединения на основании первой информации инструкции.

Этап 1011. Оконечное устройство передает NAS SMP сообщение в AMF узел через первое соединение; соответственно, AMF узел принимает NAS SMP сообщение через первое соединение.

Защита целостности выполняется в NAS SMP сообщении с использованием обновленного ключа для первого соединения.

В качестве варианта, оконечное устройство может дополнительно отправить NAS SMP сообщение в AMF узел через второе соединение. В этом случае для NAS SMP сообщения выполняется защита целостности с использованием обновленного ключа для второго соединения.

Этап 1012. AMF узел передает сообщение завершения в оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает сообщение завершения из AMF узла через первое соединение.

Сообщение завершения является ответным сообщением NAS сообщения на этапе 1001. Например, если NAS сообщение на этапе 1001 является сообщением с запросом регистрации, сообщение завершения является сообщением о завершении регистрации.

Можно понять, что, если оконечное устройство впоследствии передает NAS сообщение в оконечное устройство через второе соединение, защита целостности может выполняться для NAS сообщения с использованием обновленного ключа для второго соединения.

Можно понять, что оконечное устройство или основное сетевое устройство могут выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления, и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.

В качестве варианта, в сценариях реализации, соответствующих фиг. 7 и фиг. 8, когда AMF узел определяет, что AMF узлу необходимо выполнить повторную аутентификацию на оконечном устройстве через первое соединение, если вторая ветвь находится в подключенном состоянии, основное сетевое устройство может сначала выполнить повторную аутентификацию на оконечном устройстве через первое подключение. Как показано на фиг. 11, способ включает в себя этапы 1101-1115.

Этапы 1101-1103 аналогичны этапам 1001-1003, и подробности здесь снова не описываются.

Этап 1104. AMF узел выполняет повторную аутентификацию на оконечном устройстве через первое соединение.

AMF узел и оконечное устройство могут обновлять ключ для первого соединения в процессе повторной аутентификации.

Этап 1105. AMF узел передает NAS SMC сообщение в оконечное устройство через первое соединение. Соответственно, оконечное устройство принимает NAS SMC сообщение от AMF узла через первое соединение.

Защита целостности выполняется в NAS SMC сообщении с использованием обновленного ключа для первого соединения, и оконечное устройство может выполнять проверку защиты целостности в NAS SMC сообщении, используя обновленный ключ для первого соединения.

В качестве варианта, NAS SMC сообщение содержит вторую информацию инструкции на этапе 802, где вторая информация инструкции используется для указания оконечному устройству обновить ключ для второго соединения, или вторая информация инструкции может использоваться для указания оконечному устройству не обновлять ключ для второго соединения.

Этап 1106. Оконечное устройство передает NAS SMP сообщение в AMF узел через первое соединение.

Этап 1107. AMF узел устанавливает первую метку.

Первая метка используется для обозначения, что основное сетевое устройство выполнило повторную аутентификацию на оконечном устройстве через первое соединение, или используется для указания обновления ключа для второго соединения.

Этап 1108. Оконечное устройство устанавливает вторую метку.

Вторая метка используется для указания обновить ключ для второго соединения.

В качестве варианта, этап 1108 должен выполняться только тогда, когда вторая информация инструкции, принятая оконечным устройством, используется для указания оконечному устройству обновить ключ для второго соединения.

Этап 1109. AMF узел передает оконечному устройству сообщение о принятии регистрации через первое соединение. Соответственно, оконечное устройство принимает сообщение принятия регистрации из AMF узла через первое соединение.

Этап 1110. Оконечное устройство определяет, что второе соединение переключено в состояние ожидания. Если определяется наличие третьей метки, оконечное устройство обновляет ключ для второго соединения.

В качестве варианта, если оконечное устройство не устанавливает третью отметку, этап 1111 должен быть выполнен, когда второе соединение переключается в состояние ожидания.

Этап 1111. AMF узел определяет, что второе соединение переключено в состояние ожидания. Если определяется наличие первой метки, AMF узел обновляет ключ для второго соединения.

В качестве варианта, если второе соединение все еще находится в подключенном состоянии, AMF узел может приостановить использование второго соединения. В качестве альтернативы, при обработке NAS сообщения, которое передается оконечным устройством через второе соединение, если AMF узел обнаруживает первую метку, AMF узел может приостановить использование второго соединения, затем обновить ключ для второго соединения и используемый идентификатор ключа для идентификации обновленного ключа для второго соединения и отправку NAS SMC сообщения в оконечное устройство через второе соединение. NAS SMC сообщение содержит идентификатор ключа, используемый для идентификации обновленного ключа для второго соединения, так что оконечное устройство может обновлять ключ для второго соединения на основании идентификатора ключа. Можно понять, что после того, как и AMF узел, и оконечное устройство обновят ключ для второго соединения, AMF узел может возобновить использование второго соединения и выполнить, используя обновленный ключ для второго соединения, защиту целостности NAS сообщения, переданное через второе соединение.

Этап 1112. Оконечное устройство передает сообщение запроса регистрации в AMF узел через второе соединение. Соответственно, AMF узел принимает сообщение запроса регистрации из оконечного устройства через второе соединение.

Защита целостности выполняется в сообщении с запросом на регистрацию с использованием обновленного ключа для второго соединения.

Этап 1113. AMF узел передает NAS SMC сообщение в оконечное устройство через второе соединение. Соответственно, оконечное устройство принимает NAS SMC сообщение из AMF узла через второе соединение.

NAS SMC сообщение содержит идентификатор ключа, используемый для идентификации обновленного ключа для второго соединения. В качестве варианта, NAS SMP сообщение может дополнительно содержать, по меньшей мере, один параметр, используемый для обновления ключа для второго соединения.

Этап 1114. Оконечное устройство передает NAS SMP сообщение в AMF узел через второе соединение. Соответственно, AMF узел принимает NAS SMP сообщение из оконечного устройства через второе соединение.

Защита целостности выполняется в NAS SMP сообщении с использованием обновленного ключа для второго соединения.

Этап 1115. AMF узел отвечает оконечному устройству сообщением о принятии регистрации через второе соединение. Соответственно, оконечное устройство принимает сообщение о принятии регистрации из AMF узла через второе соединение.

Защита целостности выполняется для сообщения принятия регистрации с использованием обновленного ключа для второго соединения.

Можно понять, что оконечное устройство или основное сетевое устройство может выполнять некоторые или все этапы в вышеупомянутом варианте осуществления. Эти этапы или операции являются просто примерами. В вариантах осуществления настоящего раскрытия могут быть дополнительно выполнены другие операции или варианты различных операций. Кроме того, этапы могут выполняться в последовательности, отличной от последовательности, представленной в предшествующем варианте осуществления, и, в качестве варианта, не все операции в предшествующем варианте осуществления необходимо выполнять.

В другом возможном сценарии реализации условие для запуска обновления ключа для второго соединения связано с таймером и состоянием второго соединения. Как показано на фиг. 12, способ включает в себя этапы 1201-1212.

На этапах 1201-1208 оконечное устройство устанавливает связь с основным сетевым устройством через первое соединение.

Этап 1201. Оконечное устройство передает сообщение с запросом на регистрацию в основное сетевое устройство через первое соединение; соответственно, AMF узел принимает сообщение запроса регистрации.

В качестве варианта, сообщение запроса регистрации может альтернативно быть NAS сообщением на этапе 901. Подробнее см. в соответствующем описании этапа 901. Подробности здесь снова не описываются.

Этап 1202. Основное сетевое устройство запускает повторную аутентификацию.

Этап 1203. Основное сетевое устройство и оконечное устройство выполняют процедуру повторной аутентификации.

Этап 1204. Основное сетевое устройство передает NAS SMC сообщение в оконечное устройство. Соответственно, оконечное устройство принимает NAS SMC сообщение.

Этап 1205. Оконечное устройство активирует новый ключ для первого соединения и запускает таймер.

То, что оконечное устройство активирует новый ключ для первого соединения, означает, что ключ для первого соединения был обновлен, и затем оконечное устройство выполняет защиту безопасности, используя обновленный ключ для первого соединения, в передаваемом NAS сообщении оконечным устройством впоследствии к основному сетевому устройству через первое соединение.

Этап 1206. Оконечное устройство передает NAS SMP сообщение основному сетевому устройству. Соответственно, оконечное устройство принимает NAS SMP сообщение от основного сетевого устройства.

Этап 1207. Основное сетевое устройство активирует новый ключ для первого подключения и запускает таймер.

То, что основное сетевое устройство активирует новый ключ для первого подключения, означает, что ключ для первого подключения был обновлен, и затем основное сетевое устройство выполняет защиту безопасности, используя обновленный ключ для первого подключения, на NAS сообщение, которое передается основным сетевым устройством впоследствии оконечному устройству через первое соединение.

Этап 1208. Основное сетевое устройство передает оконечному устройству сообщение о завершении регистрации. Соответственно, оконечное устройство принимает сообщение о завершении регистрации.

На этапах 1209-1212 оконечное устройство устанавливает связь с основным сетевым устройством через второе соединение.

Этап 1209. Перед истечением таймера, если второе соединение находится в состоянии ожидания, оконечное устройство удаляет старый ключ для второго соединения и старый идентификатор ключа, активирует новый ключ для второго соединения и останавливает таймер.

Если первое соединение и второе соединение совместно используют набор ключей, новый ключ для второго соединения будет таким же, как новый ключ для первого соединения. Первый идентификатор ключа используется для указания нового ключа для первого соединения и нового ключа для второго соединения.

В качестве варианта, до истечения таймера, если второе соединение находится в подключенном состоянии, оконечное устройство все еще может использовать старый ключ для второго соединения.

Этап 1210. Оконечное устройство передает сообщение запроса регистрации на основное сетевое устройство. Соответственно, основное сетевое устройство получает сообщение запроса регистрации.

Защита целостности выполняется в сообщении запроса регистрации с использованием нового ключа для второго соединения, и сообщение запроса регистрации передает первый идентификатор ключа.

Этап 1211. Основное сетевое устройство определяет, на основании первого идентификатора ключа, активировать новый ключ для второго соединения, удаляет старый ключ для второго соединения и останавливает таймер.

После приема сообщения с запросом регистрации, основное сетевое устройство может определить на основании первого идентификатора ключа, что новый ключ для второго соединения совпадает с новым ключом для первого соединения, и дополнительно выполнить проверку целостности на сообщении с запросом на регистрацию с использованием нового ключа для второго подключения. После успешной проверки основное сетевое устройство удаляет старый ключ для второго подключения и останавливает таймер.

Этап 1212. Основное сетевое устройство передает оконечному устройству сообщение о завершении регистрации; соответственно, оконечное устройство принимает сообщение о завершении регистрации из основного сетевого устройства.

Защита целостности выполняется для сообщения о завершении регистрации с использованием нового ключа для второго соединения.

В другой возможной реализации, как показано на фиг. 13, условие для запуска обновления ключа для второго соединения не имеет отношения к состоянию второго соединения. Как показано на фиг. 13, способ включает в себя этапы 1301-1314.

Этапы 1301-1308 аналогичны этапам 1201-1208, и подробности здесь снова не описываются.

На этапах 1309-1314 оконечное устройство обменивается данными с основным сетевым устройством через второе соединение.

Этап 1309. Перед тем, как таймер истечет, оконечное устройство решает использовать старый ключ для второго соединения.

Второй идентификатор ключа используется для идентификации старого ключа для второго соединения. Можно понять, что в этом варианте осуществления настоящего раскрытия новый ключ является обновленным ключом, и старый ключ является ключом, который используется до обновления. Когда первое соединение и второе соединение совместно используют набор ключей, старый ключ для второго соединения совпадает с ключом до того, как первое соединение используется для повторной аутентификации.

Этап 1310. Оконечное устройство передает в основное сетевое устройство сообщение с запросом регистрации, для которого выполняется защита целостности с использованием старого ключа для второго соединения, где сообщение с запросом регистрации содержит второй идентификатор ключа. Соответственно, основное сетевое устройство принимает сообщение запроса регистрации.

Этап 1311. Основное сетевое устройство определяет на основании второго идентификатора ключа старый ключ для второго соединения и выполняет проверку целостности сообщения запроса регистрации, используя старый ключ для второго соединения.

Этап 1312. Основное сетевое устройство передает в оконечное устройство сообщение о завершении регистрации.

Этап 1313. После истечения таймера оконечное устройство удаляет старый ключ для второго соединения и второй идентификатор ключа.

Этап 1314. По истечении таймера основное сетевое устройство удаляет старый ключ для второго соединения и второй идентификатор ключа.

После удаления старого ключа для второго соединения и второго идентификатора ключа оконечное устройство и основное сетевое устройство могут использовать новый ключ для первого соединения в качестве нового ключа для второго соединения.

В качестве варианта, в процедуре способа на фиг. 13, до истечения таймеров оконечного устройства и основного сетевого устройства, если основное сетевое устройство снова запускает процедуру повторной аутентификации, таймеры оконечного устройства и основного сетевого устройства могут продолжать выполнять синхронизацию. По истечении таймеров, выполняются этапы 1313 и 1314. В качестве альтернативы, оконечное устройство и основное сетевое устройство могут перезапустить синхронизацию и после истечения таймера выполнить этап 1313 и этап 1314.

Вышеизложенное в основном описывает решения, предоставленные в вариантах осуществления настоящего раскрытия, с точки зрения взаимодействия между основным сетевым устройством и оконечным устройством. Можно понять, что для реализации вышеуказанных функций оконечное устройство и основное сетевое устройство включают в себя соответствующие аппаратные структуры и/или программные модули для выполнения этих функций. Что касается блоков и этапов алгоритма в примерах, описанных в вариантах осуществления, раскрытых в настоящем изобретении, варианты осуществления настоящего раскрытия могут быть реализованы в виде аппаратных средств или комбинации аппаратных средств и компьютерного программного обеспечения. Выполнение функции аппаратным или аппаратным обеспечением, управляемым компьютерным программным обеспечением, зависит от конкретных приложений и конструктивных ограничений технических решений. Специалист в данной области техники может использовать разные способы для реализации описанных функций для каждого конкретного приложения, но не следует учитывать, что реализация выходит за рамки технических решений в вариантах осуществления настоящего раскрытия.

В вариантах осуществления настоящего раскрытия разделение на функциональные блоки может выполняться на оконечном устройстве и основном сетевым устройстве на основе приведенных выше примеров способов. Например, каждый функциональный блок может быть получен путем разделения на основе соответствующей функции, или две или более функций могут быть интегрированы в один блок обработки. Интегрированный блок может быть реализован в виде аппаратных средств или может быть реализован в виде программного функционального блока. Следует отметить, что в вариантах осуществления настоящего раскрытия разделение на блоки используется в качестве примера и является просто разделением логических функций. В реальной реализации может использоваться другой способ разделения.

Когда используется интегрированный блок, фиг. 14 является блок-схемой устройства согласно варианту осуществления настоящего раскрытия. Устройство может быть реализовано в форме программного обеспечения, или может быть основным сетевым устройством, или может быть микросхемой в основном сетевым устройстве. Устройство 1400 включает в себя блок 1402 обработки и блок 1403 связи. Блок 1402 обработки выполнен с возможностью управлять работой устройства 1400. Например, блок 1402 обработки выполнен с возможностью поддержки устройства 1400 при выполнении этапов 401 и 402 на фиг. 4, этапы 502 и 503 на фиг. 5, этапы 601, 602, 607 и 608 на фиг. 6, этапы 701, 702, 703 и 704 на фиг. 7, этапы 801, 803 и 805 на фиг. 8, этапы 902, 903, 904 и 910 на фиг. 9, этапы 1002, 1003, 1005, 1007 и 1008 на фиг. 10 и этапы 1102, 1103, 1104, 1107 и 1112 на фиг. 11, этапы 1202, 1203, 1207 и 1211 на фиг. 12, этапы 1302, 1303, 1307, 1311 и 1314 на фиг. 13, и/или другой процесс технологии, описанной в данном описании. Блок 1403 связи выполнен с возможностью поддерживать связь между устройством 1400 и другим сетевым элементом (например, оконечное устройство). Например, блок 1403 связи может поддерживать устройство 1400 при выполнении этапов 501 и 504 на фиг. 5, этап 603 на фиг. 6, этап 705 на фиг. 7, этап 802 на фиг. 8, этапы 905, 908, 911 и 914 на фиг. 9, этапы 1004, 1009 и 1014 на фиг. 10, этапы 1105, 1109, 1113 и 1115 на фиг. 11, этапы 1204, 1208 и 1212 на фиг. 12 и этапы 1304, 1308 и 1312 на фиг. 13. Устройство 1400 может дополнительно включать в себя блок 1401 хранения, выполненный с возможностью хранить программный код и данные устройства 1400.

Блок 1402 обработки может быть процессором или контроллером, таким как центральный процессор (Central Processing Unit, CPU), универсальный процессор, цифровой сигнальный процессор (Digital Signal Processor, DSP), специализированная интегральная схема (Application-Specific Integrated Circuit, ASIC), программируемая вентильная матрица (Field Programmable Gate Array, FPGA) или другое программируемое логическое устройство, транзисторное логическое устройство, аппаратный компонент или их комбинация. Контроллер/процессор может реализовывать или выполнять различные примеры логических блоков, модулей и схем, описанных со ссылкой на контент, раскрытый в настоящем изобретении. Процессор может быть комбинацией процессоров, реализующих вычислительную функцию, например, комбинацией одного или нескольких микропроцессоров или комбинацией DSP и микропроцессора. Блок 1403 связи может быть интерфейсом связи, и интерфейс связи является общим термином. В конкретной реализации интерфейс связи может включать в себя множество интерфейсов и может включать в себя, например, интерфейс между сетевыми устройствами доступа, интерфейс между устройством сети доступа и основным сетевым устройством и/или другой интерфейс. Блок 1401 хранения может быть памятью.

Когда блок 1402 обработки является процессором, блок 1403 связи является интерфейсом связи, и блок 1401 хранения является памятью, структура устройства 1400 в этом варианте осуществления настоящего раскрытия может быть структурой основного сетевого устройства, показанное на фиг. 15.

На фиг. 15 показана возможная схема основного сетевого устройства согласно варианту осуществления настоящего раскрытия.

Как показано на фиг. 15, основное сетевое устройство 1500 включает в себя процессор 1502, интерфейс 1503 связи и память 1501. В качестве варианта, основное сетевое устройство 1500 может дополнительно включать в себя шину 1504. Интерфейс 1503 связи, процессор 1502 и память 1501 могут быть соединены друг с другом с помощью шины 1504. Шина 1504 может быть шиной PCI, шиной EISA и т.п. Шину 1504 можно разделить на адресную шину, шину данных, шину управления и тому подобное. Для простоты представления шина на фиг. 2 обозначается только одной толстой линией 15, но это не означает, что существует только одна шина или только один тип шины.

Когда используется интегрированный блок, фиг. 16 показывает схематическую блок-схему другого устройства согласно варианту осуществления настоящего раскрытия. Устройство 1600 может быть реализовано в форме программного обеспечения, или может быть оконечным устройством, или может быть микросхемой в оконечным устройстве. Устройство 1600 включает в себя: блок 1602 обработки и блок 1603 связи. Блок 1602 обработки выполнен с возможностью управления и управления работой устройства 1600. Например, блок 1602 обработки выполнен с возможностью поддержки устройства 1600 при выполнении этапов 401 и 403 на фиг. 4, этап 505 на фиг. 5, этапы 604, 605 и 609 на фиг. 6, этап 706 на фиг. 7 и этапы 801, 804 и 806 на фиг. 8, этапы 903, 906 и 912 на фиг. 9, этапы 1008 и 1010 на фиг. 10, этапы 1104, 1108 и 1110 на фиг. 11, этапы 1205 и 1209 на фиг. 12 и этапы 1305, 1309 и 1313 на фиг. 13 и/или другой процесс технологии, описанной в данном описании. Блок 1603 связи выполнен с возможностью поддерживать связь между устройством 1600 и другим сетевым элементом (таким как основное сетевое устройство и N3IWF узел). Например, блок 1603 связи выполнен с возможностью поддержки устройства 1600 при выполнении этапа 606 на фиг. 6, этапы 901, 907, 909 и 913 на фиг. 9, этапы 1001, 1006 и 1011 на фиг. 10, этапы 1101, 1106, 1111 и 1114 на фиг. 11, этапы 1201, 1206 и 1210 на фиг. 12 и этапы 1301, 1306 и 1310 на фиг. 13. Устройство 1600 может дополнительно включать в себя блок 1601 памяти, выполненный с возможностью хранить программный код и данные устройства 1600.

Блок 1602 обработки может быть процессором или контроллером, таким как центральный процессор (Central Processing Unit, CPU), универсальный процессор, цифровой сигнальный процессор (Digital Signal Processor, DSP), специализированная интегральная схема (Application-Specific Integrated Circuit, ASIC), программируемая вентильная матрица (Field Programmable Gate Array, FPGA) или другое программируемое логическое устройство, транзисторное логическое устройство, аппаратный компонент или их комбинация. Контроллер/процессор может реализовывать или выполнять различные примеры логических блоков, модулей и схем, описанных со ссылкой на контент, раскрытый в настоящем изобретении. Процессор может быть комбинацией процессоров, реализующих вычислительную функцию, например, комбинацией одного или нескольких микропроцессоров или комбинацией DSP и микропроцессора. Блок 1603 связи может быть приемопередатчиком, схемой приемопередатчика, интерфейсом связи и т.п. Блок 1601 хранения может быть памятью.

Когда блок 1602 обработки является процессором, блок 1603 связи является приемопередатчиком, и блок 1601 хранения является памятью, устройство 1600 в этом варианте осуществления настоящего раскрытия может быть оконечным устройством, показанным на фиг. 17.

На фиг. 17 показана упрощенная схема возможной конструктивной структуры оконечного устройства в варианте осуществления настоящего раскрытия. Оконечное устройство 1700 включает в себя передатчик 1701, приемник 1702 и процессор 1703. В качестве альтернативы процессор 1703 может быть контроллером и представлен как «контроллер/процессор 1703» на фиг. 17. В качестве варианта, оконечное устройство 1700 может дополнительно включать в себя процессор 1705 модема, и процессор 1705 модема может включать в себя кодер 1706, модулятор 1707, декодер 1708 и демодулятор 1709.

В примере передатчик 1701 настраивает (например, посредством аналогового преобразования, фильтрации, усиления и преобразования с повышением частоты) выходную выборку и генерирует сигнал восходящей линии связи. Сигнал восходящей линии связи передается антенной на базовую станцию в вышеупомянутых вариантах осуществления. В нисходящей линии связи антенна принимает сигнал нисходящей линии связи, передаваемый базовой станцией в вышеупомянутых вариантах осуществления. Приемник 1702 регулирует (например, посредством фильтрации, усиления, преобразования с понижением частоты и оцифровки) сигнал, принимаемый от антенны, и выдает входную выборку. В процессоре 1705 модема кодер 1706 принимает служебные данные и сигнальное сообщение, которое должно быть отправлено по восходящей линии связи, и обрабатывает (например, посредством форматирования, кодирования и перемежения) служебные данные и сигнальное сообщение. Модулятор 1707 дополнительно обрабатывает (например, посредством преобразования символов и модуляции) закодированные служебные данные и сообщение сигнализации и выдает выходной сигнал выборки. Демодулятор 1709 обрабатывает (например, посредством демодуляции) входную выборку и обеспечивает оценку символа. Декодер 1708 обрабатывает (например, посредством обратного перемежения и декодирования) оценку символа и предоставляет декодированные данные и сигнальное сообщение, которые отправляются на оконечное устройство 1700. Кодер 1706, модулятор 1707, демодулятор 1709 и декодер 1708 могут быть реализованы комбинированным процессором 1705 модема. Эти блоки выполняют обработку на основе технологии радиодоступа (например, технологии доступа LTE или другой эволюционной системы), используемой сетью радиодоступа. Следует отметить, что, когда оконечное устройство 1700 не включает в себя процессор 1705 модема, вышеупомянутые функции процессора 1705 модема могут альтернативно выполняться процессором 1703.

Процессор 1703 контролирует и управляет действиями оконечного устройства 1700 и выполнен с возможностью выполнять процедуры обработки, выполняемых оконечным устройством 1700 в вариантах осуществления настоящего раскрытия. Например, процессор 1703 дополнительно выполнен с возможностью выполнять процессы обработки оконечного устройства способами, показанными на фиг. 4 - фиг. 13 и/или другой процесс технических решений, описанных в настоящем изобретении.

Кроме того, оконечное устройство 1700 может дополнительно включать в себя память 1704, где память 1704 выполнена с возможностью хранить программный код и данные оконечного устройства 1700.

Этапы способа или алгоритма, описанные в сочетании с контентом, раскрытым в настоящем изобретении, могут быть реализованы аппаратным обеспечением или могут быть реализованы процессором путем выполнения программной инструкции. Программная инструкция может включать в себя соответствующий программный модуль. Программный модуль может храниться в оперативной памяти (Random Access Memory, RAM), флэш-памяти, постоянном запоминающем устройстве (Read Only Memory, ROM), стираемом программируемом постоянном запоминающем устройстве (Erasable Programmable ROM, EPROM), электрически стираемое программируемое постоянное запоминающее устройство (Electrically EPROM, EEPROM), регистр, жесткий диск, мобильный жесткий диск, постоянное запоминающее устройство для компакт-дисков (CD-ROM) или любой другой носитель информации, хорошо известный в данной области техники. Например, пример носителя данных связан с процессором, так что процессор может считывать информацию с носителя данных или записывать информацию на носитель данных. Конечно, носитель данных может быть компонентом процессора. Процессор и носитель данных могут быть расположены в ASIC. Дополнительно, ASIC может располагаться в основном сетевым устройстве или оконечном устройстве. Конечно, процессор и носитель данных могут быть установлены в основном сетевом устройстве или оконечном устройстве как дискретные компоненты.

В нескольких вариантах осуществления, представленных в настоящем изобретении, следует понимать, что раскрытые система, устройство и способ могут быть реализованы другими способами. Например, описанные варианты осуществления устройства являются просто примерами. Например, разделение на блоки представляет собой просто разделение логических функций и может быть другим разделением в реальной реализации. Например, множество блоков или компонентов могут быть объединены или интегрированы в другую систему, или некоторые функции могут игнорироваться или не выполняться. Дополнительно, отображаемые или обсуждаемые взаимные связи или прямые связи или коммуникационные соединения могут быть реализованы через некоторые интерфейсы. Непрямые соединения или коммуникационные соединения между устройствами или блоками могут быть реализованы в электрических или других формах.

Блоки, описанные как отдельные части, могут быть или не могут быть физически отдельными, и части, отображаемые как блоки, могут быть или не могут быть физическими блоками, могут быть расположены в одной позиции или могут быть распределены на множестве сетевых устройств. Некоторые или все блоки могут быть выбраны на основании фактических требований для достижения целей решений вариантов осуществления.

Дополнительно, функциональные блоки в вариантах осуществления настоящего раскрытия могут быть интегрированы в один блок обработки, или каждый из функциональных блоков может существовать независимо, или два или более блока интегрированы в один блок. Интегрированный блок может быть реализован в виде аппаратных средств или может быть реализован в виде аппаратных средств в дополнение к программному функциональному блоку.

Основываясь на вышеизложенном описании реализаций, специалист в данной области техники может ясно понять, что настоящее изобретение может быть реализовано с помощью программного обеспечения в дополнение к необходимому универсальному оборудованию или только с помощью оборудования. В большинстве случаев, предшествующее является реализацией. Основываясь на таком понимании, технические решения настоящего раскрытия, по существу, или его часть в предшествующем уровне техники, могут быть реализованы в форме программного продукта. Программный продукт хранится на читаемом носителе данных, таком как гибкий диск, жесткий диск или оптический диск компьютера, и включает в себя несколько инструкций для инструктирования компьютерного устройства (которым может быть персональный компьютер, сервер, сеть устройство или подобное) для выполнения способов, описанных в вариантах осуществления настоящего раскрытия.

Приведенные выше описания являются просто конкретными реализациями настоящего раскрытия, но не предназначены для ограничения объема защиты настоящего раскрытия. Любые изменения или замены в пределах технического объема, раскрытого в настоящем изобретении, подпадают под объем защиты настоящего раскрытия. Таким образом, объем защиты настоящего раскрытия должен соответствовать объему защиты формулы изобретения.

Похожие патенты RU2783597C2

название год авторы номер документа
СПОСОБ И УСТРОЙСТВО ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ 2018
  • Ли, Хэ
  • Чэнь, Цзин
RU2774435C2
СПОСОБ ОБРАБОТКИ ПРОЦЕДУРЫ УСТАНОВЛЕНИЯ СЕАНСА СВЯЗИ PDU И УЗЕЛ AMF 2018
  • Йоун, Миунгдзуне
  • Ким, Лаеянг
  • Ким, Дзаехиун
  • Ким, Хиунсоок
  • Рю, Дзинсоок
  • Парк, Сангмин
RU2727184C1
ОПЕРИРОВАНИЕ КОНТЕКСТОМ БЕЗОПАСНОСТИ В 5G В СОЕДИНЕННОМ РЕЖИМЕ 2018
  • Бен Хенда, Ноамен
  • Йост, Кристине
  • Норрман, Карл
  • Вивессон, Моника
RU2719772C1
ФУНКЦИЯ ПРИВЯЗКИ БЕЗОПАСНОСТИ В 5G-СИСТЕМАХ 2017
  • Бен Хенда, Ноамен
  • Вивессон, Моника
  • Йост, Кристине
  • Кастельянос Самора, Давид
  • Торвинен, Веса
RU2734873C1
СПОСОБ ФОРМИРОВАНИЯ КЛЮЧА, ПОЛЬЗОВАТЕЛЬСКОЕ ОБОРУДОВАНИЕ, УСТРОЙСТВО, СЧИТЫВАЕМЫЙ КОМПЬЮТЕРОМ НОСИТЕЛЬ ДАННЫХ И СИСТЕМА СВЯЗИ 2018
  • У, Жун
  • Чжан, Бо
  • Гань, Лу
RU2781250C2
СПОСОБ И УСТРОЙСТВО ПОЛУЧЕНИЯ КОНТЕКСТА БЕЗОПАСНОСТИ И СИСТЕМА СВЯЗИ 2020
  • Ли, Фей
  • Чжан, Бо
RU2793801C1
СПОСОБ ЗАЩИТЫ УСЕЧЕННОГО ПАРАМЕТРА, УСТРОЙСТВО, СЧИТЫВАЕМЫЙ КОМПЬЮТЕРОМ НОСИТЕЛЬ ДАННЫХ И МИКРОСХЕМА 2019
  • Ху, Ли
  • Хуан, Чжэнлэй
  • У, Жун
RU2805219C1
СПОСОБ И УСТРОЙСТВО ДОСТУПА К СЕГМЕНТУ СЕТИ 2019
  • Чжу, Фанюань
  • Ли, Янь
  • Ни, Хуэй
RU2794910C2
УПРАВЛЕНИЕ РАЗРЫВОМ УСЛУГИ ДЛЯ БЕСПРОВОДНОГО УСТРОЙСТВА 2018
  • Реннеке, Ханс, Бертил
  • Васс, Микаэль
RU2749750C1
СПОСОБЫ И УСТРОЙСТВА ДЛЯ СЕГМЕНТ-СПЕЦИФИЧЕСКОЙ АУТЕНТИФИКАЦИИ 2020
  • Ферди, Самир
  • Олвера-Эрнандез, Улисес
  • Ван, Гуаньчжоу
  • Ахмад, Саад
RU2804722C2

Иллюстрации к изобретению RU 2 783 597 C2

Реферат патента 2022 года СПОСОБ ОБНОВЛЕНИЯ КЛЮЧА И УСТРОЙСТВО

Изобретение относится к средствам обновления ключа. Технический результат заключается в обеспечении обновления NAS ключа в процессе, в котором AMF узел выполняет повторную аутентификацию на оконечном устройстве с использованием одной технологии доступа, который влияет на нормальную связь, которая выполняется между оконечным устройством и AMF узлом с использованием другой технологии доступа. Оконечное устройство осуществляет доступ к основному сетевому устройству, используя одновременно как первую технологию доступа, так и вторую технологию доступа. Выполняют основным сетевым устройством повторную аутентификацию на оконечном устройстве через первое соединение, соответствующее первой технологии доступа и, если условие запуска выполнено, обновление основным сетевым устройством ключа для второго соединения, соответствующего второй технологии доступа. 6 н. и 18 з.п. ф-лы, 17 ил.

Формула изобретения RU 2 783 597 C2

1. Способ обновления ключа, реализуемый в системе связи, содержащей основное сетевое устройство, первое соединение, соответствующее первой технологии доступа, и второе соединение, соответствующее второй технологии доступа, между основным сетевым устройством и оконечным устройством, при этом первое соединение и второе соединение совместно используют первый ключ, содержащий этапы, на которых:

обновляют (904), с помощью основного сетевого устройства, первый ключ для получения обновленного ключа для первого соединения и получения идентификатора первого ключа; причем идентификатор первого ключа идентифицирует обновленный ключ;

сохраняют, с помощью основного сетевого устройства, первый ключ для второго соединения и второй идентификатор ключа, причем, когда второе соединение находится в подключенном состоянии, первый ключ все еще используется для второго соединения, при взаимодействии основного сетевого устройства с оконечным устройством через второе соединение перед обновлением первого ключа для второго соединения; при этом второй идентификатор ключа идентифицирует первый ключ.

2. Способ по п.1, дополнительно содержащий этапы, на которых:

передают (905), с помощью основного сетевого устройства, первое сообщение команды режима безопасности (SMC) уровня без доступа (NAS) на оконечное устройство через первое соединение; при этом первое NAS SMC сообщение содержит первый идентификатор ключа; и

принимают (907), с помощью основного сетевого устройства, первое NAS сообщение о завершении режима безопасности (SMP), от оконечного устройства через первое соединение, в котором выполняется защита целостности для первого NAS SMP сообщения на основании первого ключа.

3. Способ по п.1 или 2, дополнительно содержащий этап, на котором:

обновляют (910), с помощью основного сетевого устройства, первый ключ для второго соединения, так, что первое соединение и второе соединение совместно используют обновленный ключ.

4. Способ по п.3, дополнительно содержащий этап, на котором:

запуск, с помощью основного сетевого устройства, когда второе соединение находится в подключенном состоянии, таймера, после обновления первого ключа для первого соединения; при этом этап обновления первого ключа для второго соединения с использованием обновленного ключа, содержит подэтап, на котором:

когда таймер истекает, обновление (910) основным сетевым устройством первого ключа для второго соединения с использованием обновленного ключа.

5. Способ по п.3 или 4, дополнительно содержащий этапы, на которых:

передают (911), с помощью основного сетевого устройства, второе NAS SMC сообщение на оконечное устройство через второе соединение; причем второе NAS SMC сообщение содержит первый идентификатор ключа; и

принимают (913), с помощью основного сетевого устройства, второе NAS SMP сообщение от оконечного устройства через второе соединение, в котором выполняется защита целостности для второго NAS SMP сообщения на основании обновленного ключа.

6. Способ по любому из пп.3-5, дополнительно содержащий этап, на котором:

удаляют, с помощью основного сетевого устройства, первый ключ и второй идентификатор ключа, после обновления первого ключа для второго соединения.

7. Способ по любому из пп.1-6, дополнительно содержащий, перед этапом обновления ключа для первого соединения, этап, на котором:

определяют, с помощью основного сетевого устройства, в соответствии с информацией конфигурации оператора или NAS COUNT, используемым оконечным устройством, так, что происходит циклическое повторение, что оконечное устройство должно быть повторно аутентифицировано.

8. Способ по любому из пп.1-7, дополнительно содержащий этап, на котором:

определяют, с помощью основного сетевого устройства, что второе соединение находится в подключенном состоянии.

9. Способ обновления ключа, реализуемый системой связи, содержащей оконечное устройство, первое соединение, соответствующее первой технологии доступа, и второе соединение, соответствующее второй технологии доступа, между оконечным устройством и основным сетевым устройством, причем первое соединение и второе соединение совместно используют первый ключ, содержащий этапы, на которых:

принимают (905), с помощью оконечного устройства, первое сообщение команды режима безопасности (SMC) уровня без доступа (NAS) от основного сетевого устройства через первое соединение; при этом первое NAS SMC сообщение содержит первый идентификатор ключа;

обновляют (906), с помощью оконечного устройства, первый ключ для получения обновленного ключа для первого соединения;

передают (907), с помощью оконечного устройства, NAS сообщение о завершении первого режима безопасности (SMP), на основное сетевое устройство, через первое соединение, в котором выполняется защита целостности для первого NAS SMP сообщения на основании обновленного ключа;

принимают (911), с помощью оконечного устройства, второе NAS SMC сообщение, от основного сетевого устройства, через второе соединение; при этом второе NAS SMC сообщение содержит первый идентификатор ключа;

обновляют (912), с помощью оконечного устройства, первый ключ для второго соединения с использованием обновленного ключа; и

передают (913), с помощью оконечного устройства второе NAS SMP сообщение на основное сетевое устройство через второе соединение, в котором выполняется защита целостности для второго NAS SMP сообщения на основании обновленного ключа.

10. Способ по п.9, дополнительно содержащий этапы, на которых:

удаляют, с помощью оконечного устройства, первый ключ и второй идентификатор ключа, после обновления первого ключа для второго соединения с использованием обновленного ключа; причем второй идентификатор ключа идентифицирует первый ключ.

11. Способ по п.10, в котором первый ключ все еще используется для второго соединения, когда оконечное устройство обменивается данными с основным сетевым устройством через второе соединение перед обновлением первого ключа для второго соединения.

12. Основное сетевое устройство для обновления ключа, содержащееся в системе связи, содержащей основное сетевое устройство, первое соединение, соответствующее первой технологии доступа, и второе соединение, соответствующее второй технологии доступа, между основным сетевым устройством и оконечным устройством, при этом первое соединение и второе соединение совместно используют первый ключ, а основное сетевое устройство содержит блок (1402) обработки, при этом блок (1402) обработки выполнен с возможностью:

обновления первого ключа для получения обновленного ключа для первого соединения и получения первого идентификатора ключа; причем первый идентификатор ключа идентифицирует обновленный ключ;

сохранения первого ключа для второго соединения и второго идентификатора ключа, когда второе соединение находится в подключенном состоянии; причем второй идентификатор ключа идентифицирует первый ключ; а первый ключ все еще используется для второго соединения, когда основное сетевое устройство обменивается данными с оконечным устройством через второе соединение перед обновлением первого ключа для второго соединения.

13. Основное сетевое устройство по п.12, дополнительно содержащее блок (1403) связи; причем блок (1403) связи выполнен с возможностью:

передачи первого сообщения команды режима безопасности (SMC) уровня без доступа (NAS) на оконечное устройство через первое соединение; причем первое NAS SMC сообщение содержит первый идентификатор ключа; и

приема первого NAS сообщения о завершении режима безопасности (SMP) от оконечного устройства через первое соединение, в котором выполняется защита целостности для первого NAS SMP сообщения на основании первого ключа.

14. Основное сетевое устройство по п.12 или 13, в котором блок (1402) обработки дополнительно выполнен с возможностью:

обновления первого ключа для второго соединения, так, что первое соединение и второе соединение совместно используют обновленный ключ.

15. Основное сетевое устройство по п.14, в котором блок (1402) обработки дополнительно выполнен с возможностью:

запуска, когда второе соединение находится в подключенном состоянии, таймера, после обновления первого ключа для первого соединения; и

обновления, по истечении таймера, первого ключа для второго соединения, с использованием обновленного ключа.

16. Основное сетевое устройство по п.14 или 15, в котором блок (1403) связи дополнительно выполнен с возможностью:

передачи второго NAS SMC сообщения на оконечное устройство через второе соединение; причем второе NAS SMC сообщение содержит первый идентификатор ключа; и

приема второго NAS SMP сообщения от оконечного устройства через второе соединение, в котором выполняется защита целостности для второго NAS SMP сообщения на основании обновленного ключа.

17. Основное сетевое устройство по любому из пп.14-16, в котором блок (1402) обработки дополнительно выполнен с возможностью:

удаления первого ключа и второго идентификатора ключа после обновления первого ключа для второго соединения.

18. Основное сетевое устройство по любому из пп.12-17, в котором блок (1402) обработки дополнительно выполнен с возможностью:

определения, согласно информации о конфигурации оператора или NAS COUNT, используемому оконечным устройством, так, что происходит циклическое повторение, что оконечное устройство должно быть повторно аутентифицировано.

19. Основное сетевое устройство по любому из пп.12-18, в котором блок (1402) обработки дополнительно выполнен с возможностью:

определения, что второе соединение находится в подключенном состоянии.

20. Устройство связи, содержащееся в системе связи, содержащей указанное устройство, первое соединение, соответствующее первой технологии доступа, и второе соединение, соответствующее второй технологии доступа, между устройством и основным сетевым устройством, причем первое соединение и второе соединение совместно используют первый ключ, а устройство содержит блок (1602) обработки и блок (1603) связи, при этом:

блок (1603) связи выполнен с возможностью приема первого сообщения команды режима безопасности (SMC) уровня без доступа (NAS) от основного сетевого устройства через первое соединение; причем первое NAS SMC сообщение содержит первый идентификатор ключа;

блок (1602) обработки выполнен с возможностью обновления первого ключа для получения обновленного ключа для первого соединения;

блок (1603) связи дополнительно выполнен с возможностью:

передачи первого NAS сообщения о завершении режима безопасности (SMP) на основное сетевое устройство через первое соединение, в котором выполняется защита целостности для первого NAS SMP сообщения на основании обновленного ключа;

приема второго NAS SMC сообщения от основного сетевого устройства через второе соединение; причем второе NAS SMC сообщение содержит первый идентификатор ключа;

блок (1602) обработки дополнительно выполнен с возможностью обновления первого ключа для второго соединения с использованием обновленного ключа; и

блок (1603) связи дополнительно выполнен с возможностью передачи второго NAS SMP сообщения на основное сетевое устройство через второе соединение, в котором выполняется защита целостности для второго NAS SMP сообщения на основании обновленного ключа.

21. Устройство связи по п.20, в котором блок (1602) обработки дополнительно выполнен с возможностью удаления первого ключа и второго идентификатора ключа, после обновления первого ключа для второго соединения с использованием обновленного ключа; причем второй идентификатор ключа идентифицирует первый ключ.

22. Устройство связи по п.20 или 21, в котором первый ключ все еще используется для второго соединения, когда оконечное устройство осуществляет связь с основным сетевым устройством через второе соединение перед обновлением первого ключа для второго соединения.

23. Устройство связи, содержащее:

по меньшей мере один процессор; и

память, соединенную с указанным по меньшей мере одним процессором и хранящую программные инструкции, вызывающие, при исполнении по меньшей мере одним процессором, выполнение устройством способа по любому из пп.1-11.

24. Машиночитаемый носитель данных, содержащий инструкции, вызывающие, при исполнении по меньшей мере одним процессором, выполнение устройством способа по любому из пп.1-11.

Документы, цитированные в отчете о поиске Патент 2022 года RU2783597C2

Колосоуборка 1923
  • Беляков И.Д.
SU2009A1
Автомобиль-сани, движущиеся на полозьях посредством устанавливающихся по высоте колес с шинами 1924
  • Ф.А. Клейн
SU2017A1
Способ приготовления лака 1924
  • Петров Г.С.
SU2011A1
СПОСОБ И ОКОНЕЧНОЕ УСТРОЙСТВО ДЛЯ ПОДДЕРЖАНИЯ КАРТЫ МОДУЛЯ ИДЕНТИФИКАЦИИ АБОНЕНТА В СОСТОЯНИИ ГОТОВНОСТИ 2013
  • Бай Чжидун
  • Чжу Чуньси
  • Пэн Чэнхуэй
  • Чжао Юйцин
RU2617836C2

RU 2 783 597 C2

Авторы

Ли, Хэ

Чэнь, Цзин

Даты

2022-11-15Публикация

2019-01-07Подача