一种密钥更新方法、网络设备及终端与流程

本发明涉及通信应用的技术领域，尤其涉及一种密钥更新方法、网络设备及终端。

背景技术：

相比4g网络，5g网络提供了多注册的场景，即ue(userequipment，用户设备或者终端)可以通过3gpp和非3gpp同时接入相同或者不同的plmn(publiclandmobilenetwork，公共陆地移动网络)的服务网络中。

当ue通过3gpp接入和非3gpp接入同时注册到相同plmn的接入和移动管理功能amf时，ue通过两种接入方式建立的nas连接将使用相同的密钥，即根密钥kamf相同。当源amf更新一个新的kamf并发给目标kamf时，ue也会同步更新kamf，同时ue和amf会同步计算用于3gpp接入建立的接入层(accessstratum，as)的密钥kgnb，且新的密钥标识与当前使用的密钥标识ngksi相同，而并没有更新当前非3gpp接入使用的as密钥kn3iwf，这样就导致了在ue和amf中，相同的ngksi标识着两套不同的密钥而产生的密钥不同步问题，而目前标准中多注册场景下缺少非3gpp接入密钥更新的处理描述。

技术实现要素：

本发明的目的在于提供密钥更新方法、网络设备及终端，用以解决目前标准中多注册场景下缺少非3gpp接入密钥更新的处理方式的问题。

为了实现上述目的，本发明实施例提供了一种密钥更新方法，应用于接入和移动管理功能amf，包括：

在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；

将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf。

其中，所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥；

或者，所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程。

其中，当所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥时；

所述获取更新后的用于非3gpp接入的接入层密钥，包括：

接收源amf发送的根密钥更新指示以及更新后的根密钥；

根据更新后的根密钥，计算更新后的非接入层密钥；

如果目标amf从源amf获取到n3iwf信息，则目标amf与n3iwf建立连接，并获取更新后的接入层密钥。

其中，将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，包括：

向所述n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

其中，将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，包括：

在创建的非接入层安全容器添加非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数；

将所述非接入层安全容器通过安全上下文更新消息发送给源amf，并通过源amf将所述非接入层安全容器发送给终端；

在所述终端根据所述非接入层安全容器完成预设连接接口切换后，向n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

其中，当所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程时；

将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，包括：

将更新后的用于非3gpp接入的接入层密钥通过安全上下文更新消息发送给n3iwf。

为了实现上述目的，本发明实施例还提供了一种密钥更新方法，应用于非3gpp交互网络功能n3iwf，包括：

在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数。

其中，向终端发送非3gpp密钥更新指示以及计算参数，包括：

通过预设消息向终端发送非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

为了实现上述目的，本发明实施例还提供了一种密钥更新方法，应用于终端，包括：

获取n3iwf发送的非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数；

根据所述非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥。

其中，获取更新后的用于非3gpp接入的接入层密钥之后，还包括：

通过告知交换消息通知n3iwf完成非3gpp密钥更新。

其中，获取n3iwf发送的非3gpp密钥更新指示以及计算参数，包括：

通过预设消息获取非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

为了实现上述目的，本发明实施例还提供了一种网络设备，所述网络设备为接入和移动管理功能amf，包括：收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现以下步骤：

在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；

将更新后的用于非3gpp接入的接入层密钥通过收发机发送给非3gpp交互网络功能n3iwf。

其中，所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥；

或者，所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程。

其中，当所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥时；

所述处理器执行所述程序时还实现以下步骤：

接收源amf发送的根密钥更新指示以及更新后的根密钥；

根据更新后的根密钥，计算更新后的非接入层密钥；

如果目标amf从源amf获取到n3iwf信息，则目标amf与n3iwf建立连接，并获取更新后的接入层密钥。

其中，所述处理器执行所述程序时还实现以下步骤：

向所述n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

其中，所述处理器执行所述程序时还实现以下步骤：

在创建的非接入层安全容器添加非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数；

将所述非接入层安全容器通过安全上下文更新消息发送给源amf，并通过源amf将所述非接入层安全容器发送给终端；

在所述终端根据所述非接入层安全容器完成预设连接接口切换后，向n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

其中，当所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程时；

所述处理器执行所述程序时还实现以下步骤：

将更新后的用于非3gpp接入的接入层密钥通过安全上下文更新消息发送给n3iwf。

为了实现上述目的，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上所述密钥更新方法的步骤。

为了实现上述目的，本发明实施例还提供了一种网络设备，所述网络设备为非3gpp交互网络功能n3iwf，包括：收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现以下步骤：

在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数。

其中，所述处理器执行所述程序时还实现以下步骤：

通过预设消息向终端发送非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

为了实现上述目的，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上所述密钥更新方法的步骤。

为了实现上述目的，本发明实施例还提供了一种终端，包括：收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现以下步骤：

获取n3iwf发送的非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数；

根据所述非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥。

其中，所述处理器执行所述程序时还实现以下步骤：

通过告知交换消息通知n3iwf完成非3gpp密钥更新。

其中，所述处理器执行所述程序时还实现以下步骤：

通过预设消息获取非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

为了实现上述目的，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上所述密钥更新方法的步骤。

为了实现上述目的，本发明实施例还提供了一种网络设备，所述网络设备为接入和移动管理功能amf，包括：

第一获取模块，用于在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；

第一发送模块，用于将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf。

其中，所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥；

或者，所述特定密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程。

其中，当所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥时；

所述第一获取模块包括：

接收子模块，用于接收源amf发送的根密钥更新指示以及更新后的根密钥；

计算子模块，用于根据更新后的根密钥，计算更新后的非接入层密钥；

获取子模块，用于如果目标amf从源amf获取到n3iwf信息，则目标amf与n3iwf建立连接，并获取更新后的接入层密钥。

其中，所述第一发送模块用于向所述n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

其中，所述第一发送模块包括：

添加模块，用于在创建的非接入层安全容器添加非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数；

第一发送子模块，用于将所述非接入层安全容器通过安全上下文更新消息发送给源amf，并通过源amf将所述非接入层安全容器发送给终端；

第二发送子模块，用于在所述终端根据所述非接入层安全容器完成预设连接接口切换后，向n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

其中，当所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程时；

所述第一发送模块用于将更新后的用于非3gpp接入的接入层密钥通过安全上下文更新消息发送给n3iwf。

为了实现上述目的，本发明实施例还提供了一种网络设备，所述网络设备为非3gpp交互网络功能n3iwf，包括：

第二发送模块，用于在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数。

其中，所述第二发送模块用于通过预设消息向终端发送非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

为了实现上述目的，本发明实施例还提供了一种终端，包括：

第二获取模块，用于获取n3iwf发送的非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数；

第三获取模块，用于根据所述非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥。

其中，上述终端还包括：

通知模块，用于通过告知交换消息通知n3iwf完成非3gpp密钥更新。

其中，所述第二获取模块用于通过预设消息获取非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

本发明实施例具有以下有益效果：

本发明实施例的上述技术方案，在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，从而实现了多注册场景下非3gpp接入层密钥的更新。

附图说明

图1为本发明实施例的密钥更新方法的流程图示意图之一；

图2为本发明实施例中终端与网络设备的第一交互示意图；

图3为本发明实施例中终端与网络设备的第二交互示意图；

图4为本发明实施例中终端与网络设备的第三交互示意图；

图5为本发明实施例的密钥更新方法的流程图示意图之二；

图6为本发明实施例的密钥更新方法的流程图示意图之三；

图7为本发明实施例中网络设备amf的结构框图；

图8为本发明实施例中网络设备amf的模块示意图；

图9为本发明实施例中网络设备n3iwf的结构框图；

图10为本发明实施例中网络设备n3iwf的模块示意图；

图11为本发明实施例的终端的结构框图；

图12为本发明实施例的终端的模块示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合具体实施例及附图进行详细描述。

5g网络中提供了几种切换的场景：系统间切换、xn切换(系统内基站gnb之间的切换)和n2切换(系统内接入和移动管理功能amf之间的切换)。n2切换是指切换至目标gnb时需要借助新的合适的amf实现。n2为5g接入网与接入移动管理功能之间的接口或参考点，n2切换的流程，包括：

(1)源gnb给源amf发送切换请求handoverrequired消息。

该切换请求消息包含目标targetid，源到目标透明容器(sourcetotargettransparentcontainer)，会话管理n2信息列表(smn2infolist)，协议数据单元会话标识(pdusessionids)，系统内切换指示。

(2)目标amf选择。当源amf不能再服务于ue，源amf将按照标准中的规定选择目标amf。

(3)源amf给目标amf发送amf通信创建ue上下文请求(namf_communication_createuecontextrequest)消息。

该namf_communication_createuecontextrequest消息中包含了n2消息information，ue上下文信息。源amf通过给目标amf发送namf_communication_createuecontext服务发起切换资源分配流程。

其中，n2消息包括：targetid，sourcetotargettransparentcontainer，smn2informationlist，pdusessionids，服务区限制；

ue上下文信息包括：签约用户永久标识(supi)，网络切片选择辅助信息(allowednssaiforeachaccesstypeifavailable)，被允许的接入类型允许的网络切片接入标识(thelistofpdusessionids)以及相应的smfinformation和相应的单个网络切片选择辅助信息(s-nssai(s))，策略控制功能(pcfid)以及数据网络名称(dnn)。

(4)：目标amf向会话管理功能smf发送smfpdu会话更新会话上下文(nsmf_pdusession_updatesmcontext)消息。

该nsmf_pdusession_updatesmcontext消息包含pdusessionid，目标targetid，目标amfid。

(5)基于targetid，smf验证是否n2handover所指示的pdusession可以被接收。thesmf按照upf选择标准验证，如果ue移动范围超出upf的范围，则smf将选择一个新的upf。

(6)smf给目标amf发送smfpdu会话更新会话上下文响应(nsmf_pdusession_updatesmcontextresponse)消息，其中包含了pdusessionid，n2sminformation和不接受的原因。

(7)目标amf向目标gnb发送handoverrequest，其中包含了sourcetotargettransparentcontainer，n2移动性信息(n2mminformation)，n2会话信息列表(n2sminformationlist)，切换限制列表(handoverrestrictionlist)，非允许的pdu会话列表(non-acceptedpdusessionlist)。

(8)目标gnb向目标amf发送切换请求确认handoverrequestacknowledge。

该切换请求确认包含了targettosourcetransparentcontainer，n2smresponselist，pdu会话建立失败列表(pdusessionsfailedtobesetuplist)，目标基站会话管理n3接口转发信息列表(目标gnbsmn3forwardinginformationlist)。

(9)目标amf向smf发送smfpdu会话更新sm上下文请求(nsmf_pdusession_updatesmcontextrequest)，包含pdusessionid，n2smresponse，目标gnbsmn3forwardinginformationlist。

(10)smf向目标amf发送smfpdu会话更新会话上下文响应(nsmf_pdusession_updatesmcontextresponse)，即n2sminformation。对每个pdu会话，smf发送smfpdu会话更新会话上下文响应(nsmf_pdusession_updatesmcontextresponse)消息给目标amf。

(11)目标amf给源amf发送namf_communication_createuecontextresponse。

n2必要信息(n2informationnecessary)用于源amf发送切换命令handovercommand给源gnb，其中包含了targettosourcetransparentcontainer，pdusessionsfailedtobesetuplist，n2sminformation(n3dlforwardinginformation)。

(12)源amf给源gnb发送handovercommand消息，其中包含了targettosourcetransparentcontainer，协议数据单元会话失败建立列表(pdusessionsfailedtobesetuplist)，smforwardinginfolist。当从源amf接收即转发targettosourcetransparentcontainer。smforwardinginfolist包含了目标gnbsmn3forwardinginfolist或者源用户面功能会话管理n3转发信息列表(s-upfsmn3forwardinginfolist)用于数据的直接转发和间接转发。源gnb通过pdusessionsfailedtobesetuplist和theindicatedreasonforfailure来决定是否进行n2切换流程。

(13)源gnb给ue发送切换命令(handovercommand)，其中包含uecontainer。uecontainer是targettosourcetransparentcontainer的ue部分，targettosourcetransparentcontainer被透明的从目标gnb通过amf发给源gnb并由源gnb发给ue。

(14)ue给目标gnb发送切换确认(handoverconfirm)消息。当ue成功与目标消息同步，它将发送handoverconfirm消息给目标gnb，通过本条消息认为切换已经成功在ue中完成。

(15)目标gnb发送handovernotify消息给目标amf，到本消息说明切换已经在目标gnb成功完成。

同时ts33.501中对n2切换过程安全保护的现有技术的描述为：当接收到ngaphandoverrequired消息，源amf将本地保存的ncc值增加1，并且计算一个新的nh。源amf将使用当前激活的5gsnas安全中的kamf计算新的nh。源amf将通过namf_communication_createuecontextrequest发送{nh，ncc}给目标amf。在namf_communication_createuecontextrequest消息中将额外包含用于计算{nh，ncc}的kamf以及对应的ngksi。

值得注意的是，与lte网络中不同的是，在单注册场景下，5g网络的n2切换场景考虑了切换与源amf密钥更新同时发生的场景，即源amf会更新kamf并发给目标amf，或者目标amf由于策略需要启用新的kamf密钥。

amf的处理描述：如果源amf已经通过一个新的kamf激活了新的5gnas安全上下文，该新安全上下文与当前5gas安全上下文为基础的不同，namf_communication_createuecontextrequest消息将额外包含一个k_amf_ci(kamfchangeindicator)，意味着发送的kamf是一个新的密钥。源amf使用本地策略决定是否执行水平的kamf推演。如果执行，则namf_communication_createuecontextrequest一个指示说明kamf已经被重新计算，并且downlinknascount将用于计算发送的kamf。新的kamf的ngksi与当前密钥的ngksi具有相同的值，源amf将会包含ngksi在namf_communication_createuecontextrequest中，源amf将downlinknascount增加1。如果targetamf接收到一个指示说明一个新的kamf已经被计算,将必须创建一个nasc(nascontainer)包含了k_amf_changeflag,接收的下行连接非接入层计数器值(downlinknascount),ngksi,所选的非接入层安全算法(selectednassecurityalgorithms),ue的安全能力(uesecuritycapabilities)，和<非接入层的校验值(nasmac)>。nasc被包含在下一代应用协议切换请求(ngaphandoverrequest)发给targetgnb。

gnb的处理：目标gnb将在切换命令(hocommandmessage)包含{nh,ncc}对中的ncc值，以及nasc(如果接收了)，发给ue删除当前未使用的{nh,ncc}对。如果目标gnb已经接收了根密钥变化指示k_amf_ci,则必须设置hocommand消息中的密钥变化指示(keychangeindicator)域为真。

ue的处理：ue将会基于收到的kamf进一步计算kamf并分配ngksi给新的kamf至nas安全上下文，并选择nasc中的nas安全算法。ue将进一步验证nasc中的<nasmac>，如果验证成功，ue将使用获取的kamf以及为0的nascount计算临时的kgnb密钥(temporarykgnb)。

另外，标准中对于kn3iwf的密钥的描述：kn3iwf将被一直用于ue通过非3gpp到5gc的接入除非进行了重认证。对于5g网络提供的多注册场景，在ts33.501中，对该场景的描述为：如果ue通过3gpp和非3gpp同时注册到不同plmn的服务网络中，则ue将独立维护并使用两套不同的安全上下文。如果ue通过3gpp和非3gpp同时注册到相同plmn的服务网络中，接入和移动管理功能amf和ue将建立一套通用的非接入层(non-accessstratum，nas)安全上下文，该安全上下文是在首次注册时建立的，包含了一组nas密钥和算法。amf和ue还会在通用的nas安全上下文中包含每个nas连接的特定参数，即一对上下行nascount值和对每个连接唯一的nas连接标识。对于3gpp接入建立的nas连接标识为0，对于非3gpp接入建立的nas连接标识为1。

按照密钥的同步原则，如果网络中的nas密钥变化，则接入层(accessstratum，as)密钥也应该变化，否则将导致信令和数据的无法加密、无法完整性保护以及无法完成解密或完整性验证。目前33.501标准中在非3gpp接入时，5gas的密钥为kn3iwf，其产生方法类似于kgnb，基于kamf以及nascount等参数。对kn3iwf的应用，目前的描述是：非3gpp交互网络功能n3iwf将使用kn3iwf作为msk用于ue与n3iwf之间ikev2流程。在ikev2协议中，msk被称为主会话密钥，用于ikev2流程中建立ike、esp/ahsa时的认证，即在建立ipsecsa的过程中会通过因特网密钥交换认证请求ike_authexchange交互实现，而消息payload中的认证(authentication，auth)参数是通过msk计算得到，而如果msk变化将导致无法对ikev2消息的认证。然而当ue通过3gpp接入和非3gpp接入同时注册到相同plmn的接入和移动管理功能amf时，目标标准中缺少非3gpp接入密钥更新的处理方式。

为了解决目前标准中多注册场景下缺少非3gpp接入密钥更新的处理方式的问题，如图1所示，本发明实施例提供了一种密钥更新方法，应用于接入和移动管理功能amf，该amf具体为目标amf，该方法包括：

步骤101：在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥。

该预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥；

或者，所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程。

上述预设连接接口为n2，n2为5g接入网与接入移动管理功能之间的接口或参考点。

需要说明的是，源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程，会使根密钥发生变化。

步骤102：将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf。

具体的，可通过上下文更新消息将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf。

本发明实施例的密钥更新方法，在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，从而实现了多注册场景下非3gpp接入层密钥的更新。

在上述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥时，上述步骤101中获取更新后的用于非3gpp接入的接入层密钥，包括：

接收源amf发送的根密钥更新指示以及更新后的根密钥；

根据更新后的根密钥，计算更新后的非接入层密钥；

如果目标amf从源amf获取到n3iwf信息，则目标amf与n3iwf建立连接，并获取更新后的接入层密钥。

基于此，作为第一种可选的实现方式，上述步骤102将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，包括：

向所述n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

该第一种实现方式中，ue在多注册场景下通过3gpp接入技术发生预设连接接口切换，则ue将通过非3gpp接入的nas连接切换到新的目标amf中，n3iwf与目标amf将建立新的连接，目标amf获取更新后的根密钥kamf后，将需要基于kamf推演kn3iwf，并通过上下文更新消息发给n3iwf，这样使得ue通过两种接入方式的密钥同步更新，避免了密钥不同的问题。

下面对该第一种实现方式的具体流程进行如下说明。

如图2所示，该流程包括：

步骤201：ue通过3gpp和非3gpp两种接入技术注册到相同plmn的服务网络。

即ue的两个nas连接相同的amf，并使用公共的nas安全上下文保证安全。

步骤202：由于ue位置变换，ue通过3gpp接入技术切换到目标amf，此时，ue将通过非3gpp接入的nas连接切换到目标amf中。

该目标amf与源amf具有相同的plmn。

步骤203：源amf发生了密钥更新。

这里的密钥更新具体是指根密钥kamf的更新。

步骤204：目标amf接收到密钥更新指示以及更新后的kamf，并计算更新后的nas密钥。

步骤205：如果目标amf从源amf中获取到n3iwf的信息，则与n3iwf建立连接。

步骤206：目标amf将根据本地的nascount值计算新的kn3iwf。

步骤207：目标amf向n3iwf发送密钥更新指示以及新的kn3iwf。

步骤208：n3iwf向目标amf发送响应消息。

步骤209：n3iwf接收新的kn3iwf并删除旧的kn3iwf。

步骤210：n3iwf通过ike_authrequest信息携带kn3iwf变化指示以及nascount，并发送给ue。

步骤211：ue基于新的kamf及接收到的nascount计算新的kn3iwf，并删除旧的kn3iwf。

步骤212：ue告知n3iwf完成非3gppas密钥的更新。

在本实施例中增加了目标amf与n3iwf之间的安全上下文更新的消息交互流程，将密钥更新指示以及新的密钥的由目标amf发送给n3iwf，即在ue与n3iwf之间增加更新非3gppas密钥的过程。

需要说明的是，上述步骤208和步骤209不存在先后顺序的限定，即可以先执行步骤208，也可先执行步骤209。

此外，还可以通过因特网密钥告知交换消息ike_informationexchange完成n3iwf与ue之间消息的互通。

如图3所示，该流程还可以包括：

步骤301：ue通过3gpp和非3gpp两种接入技术注册到相同plmn的服务网络。

即ue的两个nas连接相同的amf，并使用公共的nas安全上下文保证安全。

步骤302：由于ue位置变换，ue通过3gpp接入技术切换到目标amf，此时，ue将通过非3gpp接入的nas连接切换到目标amf中。

该目标amf与源amf具有相同的plmn。

步骤303：源amf发生了密钥更新。

这里的密钥更新具体是指根密钥kamf的更新。

步骤304：目标amf接收到密钥更新指示以及更新后的kamf，并计算更新后的nas密钥。

步骤305：如果目标amf从源amf中获取到n3iwf的信息，则与n3iwf建立连接。

步骤306：目标amf将根据本地的nascount值计算新的kn3iwf。

步骤307：目标amf向n3iwf发送密钥更新指示以及新的kn3iwf。

步骤308：n3iwf向目标amf发送响应消息。

步骤309：n3iwf接收新的kn3iwf并删除旧的kn3iwf。

步骤310：n3iwf通过creatchildsarequest信息携带kn3iwf变化指示以及nascount，并发送给ue。

步骤311：ue基于新的kamf及接收到的nascount计算新的kn3iwf，并删除旧的kn3iwf。

步骤312：ue通过creatchildsareponse告知n3iwf完成非3gppas密钥的更新。

需要说明的是，上述步骤308和步骤309不存在先后顺序的限定，即可以先执行步骤308，也可先执行步骤309。

图3所示的流程与图2所示的流程的不同之处在于，ue与n3iwf之间的交互消息不同，即利用ikev2协议中提供的sa更新的流程，但n2消息的指示以及ue与amf的密钥更新方法相同。

进一步地，作为第二种可选的实现方式，上述步骤102：将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，包括：

在创建的非接入层安全容器添加非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数。

这里，计算接入层密钥的计算参数包括nascount。

将所述非接入层安全容器通过安全上下文更新消息发送给源amf，并通过源amf将所述非接入层安全容器发送给终端；

在所述终端根据所述非接入层安全容器完成预设连接接口切换后，向n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

该第二种实现方式中，当ue通过3gpp接入发生切换，且更新了根密钥kamf，可以在本次切换流程中更新ue与amf侧保存的用于非3gpp接入的kn3iwf，避免了ue与n3iwf之间使用额外的ikev2消息完成密钥的更新。

下面对该第二种实现方式的具体流程进行如下说明。

如图4所示，该流程包括：

步骤401：源gnb给源amf发送切换请求。

步骤402：源amf选择目标amf。

步骤403：源amf给目标amf发送namf_communication_createuecontextrequest消息。

步骤404：目标amf向会话管理功能smf发送nsmf_pdusession_updatesmcontext消息。

步骤405：基于targetid，smf验证是否n2handover所指示的pdusession可以被接收。

步骤406：smf给目标amf发送nsmf_pdusession_updatesmcontextresponse消息。

步骤407：目标amf向目标gnb发送handoverrequest。

步骤408：目标gnb向目标amf发送切换请求确认。

步骤409：目标amf向smf发送nsmf_pdusession_updatesmcontextrequest。

步骤410：smf向目标amf发送nsmf_pdusession_updatesmcontextresponse。

步骤411：目标amf给源amf发送namf_communication_createuecontextresponse，其中，包含非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数。

步骤412：源amf给源gnb发送切换命令，其中，包含非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数。

步骤413：源gnb给ue发送切换命令，其中，包含非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数。

步骤414：ue给目标gnb发送切换确认消息。

这里，ue通过获取的技术参数以及密钥更新指示计算用于非3gpp接入的as密钥kn3iwf。

步骤415：目标gnb发送handovernotify消息给目标amf。

步骤416：目标amf向n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

步骤417：终端与n3iwf之间通过交换消息通知完成非3gpp密钥的更新。

该实现方式中，当ue通过3gpp接入发生切换，且更新了根密钥kamf，可以在本次切换流程中更新ue与amf侧保存的用于非3gpp接入的kn3iwf，避免了ue与n3iwf之间使用额外的ikev2消息完成密钥的更新。

如果目标amf接收到源amf发送的kamf密钥更新指示，如果amf同时获取到非3gpp连接的信息，则在创建的nas安全容器中包含non-3gpp密钥的更新指示、计算出的新的kn3iwf密钥以及计算密钥的参数，该指示会通过后续的步骤411、412、413发送给ue。

ue通过获取的参数以及密钥更新指示计算用于非3gpp接入的as密钥kn3iwf。

n3iwf中密钥的更新通过目标amf发送ngap消息告知密钥更新指示以及更新后的密钥，具体可参见图2和图3所示的流程。

进一步地，上述步骤102所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程时；

上述步骤102将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，包括：

将更新后的用于非3gpp接入的接入层密钥通过安全上下文更新消息发送给n3iwf。

这里，在ue同时通过两种接入技术注册到同一个amf中，且通过一种接入方式发生认证并执行了安全上下文更新时，该流程中不涉及到切换的流程，但仍然可以通过安全上下文更新消息将核心网密钥更新的指示告知n3iwf来更新kn3iwf，同时需要考虑在ue侧与amf一侧推演新的kn3iwf，从而实现了多注册场景下非3gpp接入层密钥的更新。

如图5所示，本发明的实施例还提供了一种密钥更新方法，应用于n3iwf，包括：

步骤501：在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数。

该计算参数可具体包括nascount。

进一步地，向终端发送非3gpp密钥更新指示以及计算参数，包括：

通过预设消息向终端发送非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求ike_authrequest、创建子安全关联请求creatchildsarequest或告知交换消息informationexchange，该告知交换消息为ike_informationexchange。

本发明实施例的密钥更新方法，在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，以实现终端侧非3gpp接入层密钥的更新。

如图6所示，本发明的实施例还提供了一种密钥更新方法，应用于终端，包括：

步骤601：获取n3iwf发送的非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数。

该计算参数可具体包括nascount。

步骤602：根据所述非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥。

进一步地，获取更新后的用于非3gpp接入的接入层密钥之后，还包括：

通过告知交换消息通知n3iwf完成非3gpp密钥更新，该告知交换消息可以为ike_informationexchange。

这里，通过交换消息informationalexchange完成非3gpp密钥更新。

进一步地，获取n3iwf发送的非3gpp密钥更新指示以及计算参数，包括：

通过预设消息获取非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求ike_authrequest、创建子安全关联请求creatchildsarequest或告知交换消息，该告知交换消息为ike_informationexchange。

需要说明的是，终端以及n3iwf与目标amf之间的交互流程已在图2、图3及图4所示的流程中进行详细描述，此处不再赘述。

本发明实施例的密钥更新方法，终端根据n3iwf发送的非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥，从而实现终端侧非3gpp接入层密钥的更新。

如图7所示，本发明的实施例还提供了一种网络设备，该网络设备为接入和移动管理功能amf，包括储器720、处理器700、收发机710、总线接口及存储在存储器720上并可在处理器700上运行的计算机程序，所述处理器700用于读取存储器720中的程序，执行下列过程：

在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；

将更新后的用于非3gpp接入的接入层密钥通过收发机发送给非3gpp交互网络功能n3iwf。

其中，在图7中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器700代表的一个或多个处理器和存储器720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机710可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器700负责管理总线架构和通常的处理，存储器720可以存储处理器700在执行操作时所使用的数据。

可选的，所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥；

或者，所述特定密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程。

可选的，当所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥时；所述处理器700执行所述计算机程序时还可实现以下步骤：

接收源amf发送的根密钥更新指示以及更新后的根密钥；

根据更新后的根密钥，计算更新后的非接入层密钥；

如果目标amf从源amf获取到n3iwf信息，则目标amf与n3iwf建立连接，并获取更新后的接入层密钥。

可选的，所述处理器700执行所述计算机程序时还可实现以下步骤：

向所述n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

可选的，所述处理器700执行所述计算机程序时还可实现以下步骤：

在创建的非接入层安全容器添加非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数；

将所述非接入层安全容器通过安全上下文更新消息发送给源amf，并通过源amf将所述非接入层安全容器发送给终端；

在所述终端根据所述非接入层安全容器完成预设连接接口切换后，向n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

可选的，当所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程时；所述处理器700执行所述计算机程序时还可实现以下步骤：

将更新后的用于非3gpp接入的接入层密钥通过安全上下文更新消息发送给n3iwf。

在本发明的一些实施例中，还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：

在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；

将更新后的用于非3gpp接入的接入层密钥通过收发机发送给非3gpp交互网络功能n3iwf。

该程序被处理器执行时能实现上述应用于amf侧的方法实施例中的所有实现方式，为避免重复，此处不再赘述。

如图8所示，本发明的实施例还提供了一种网络设备，该网络设备为接入和移动管理功能amf，包括：

第一获取模块801，用于在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；

第一发送模块802，用于将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf。

本发明实施例的网络设备，所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥；

或者，所述特定密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程。

本发明实施例的网络设备，当所述预设密钥更新条件为终端通过3gpp接入技术发生预设连接接口切换，且源amf更新了根密钥，目标amf确定使用更新后的根密钥时；

所述第一获取模块包括：

接收子模块，用于接收源amf发送的根密钥更新指示以及更新后的根密钥；

计算子模块，用于根据更新后的根密钥，计算更新后的非接入层密钥；

获取子模块，用于如果目标amf从源amf获取到n3iwf信息，则目标amf与n3iwf建立连接，并获取更新后的接入层密钥。

本发明实施例的网络设备，所述第一发送模块用于向所述n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

本发明实施例的网络设备，所述第一发送模块包括：

添加模块，用于在创建的非接入层安全容器添加非3gpp密钥更新指示、更新后的用于非3gpp接入的接入层密钥以及用于计算所述接入层密钥的计算参数；

第一发送子模块，用于将所述非接入层安全容器通过安全上下文更新消息发送给源amf，并通过源amf将所述非接入层安全容器发送给终端；

第二发送子模块，用于在所述终端根据所述非接入层安全容器完成预设连接接口切换后，向n3iwf发送非3gpp密钥更新指示以及更新后的用于非3gpp接入的接入层密钥。

本发明实施例的网络设备，当所述预设密钥更新条件为源amf触发3gpp接入方式对应的安全上下文发生更新过程或触发非3gpp接入方式对应的安全上下文发生更新过程时；

所述第一发送模块用于将更新后的用于非3gpp接入的接入层密钥通过安全上下文更新消息发送给n3iwf。

本发明实施例的网络设备，在终端通过3gpp接入方式和非3gpp接入方式注册到相同公共陆地移动网络plmn的服务网络中，且满足预设密钥更新条件的情况下，获取更新后的用于非3gpp接入的接入层密钥；将更新后的用于非3gpp接入的接入层密钥发送给非3gpp交互网络功能n3iwf，从而实现了多注册场景下非3gpp接入层密钥的更新。

如图9所示，本发明的实施例还提供了一种网络设备，该网络设备为非3gpp交互网络功能n3iwf，包括储器920、处理器900、收发机910、总线接口及存储在存储器920上并可在处理器900上运行的计算机程序，所述处理器900用于读取存储器920中的程序，执行下列过程：

在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数。

其中，在图9中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器900代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机910可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器900负责管理总线架构和通常的处理，存储器920可以存储处理器900在执行操作时所使用的数据。

可选的，所述处理器900执行所述计算机程序时还可实现以下步骤：

通过预设消息向终端发送非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

在本发明的一些实施例中，还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：

在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数。

该程序被处理器执行时能实现上述应用于n3iwf侧的方法实施例中的所有实现方式，为避免重复，此处不再赘述。

如图10所示，本发明实施例还提供了一种网络设备，该网络设备为非3gpp交互网络功能n3iwf，包括：

第二发送模块1001，用于在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数。

本发明实施例的网络设备，所述第二发送模块用于通过预设消息向终端发送非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

本发明实施例的网络设备，在接收到目标amf发送的用于非3gpp接入的接入层密钥的情况下，向终端发送非3gpp密钥更新指示以及计算参数，以实现终端侧非3gpp接入层密钥的更新。

如图11所示，本发明实施例还提供了一种终端，包括：收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

获取n3iwf发送的非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数；

根据所述非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥。

其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1100代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1110可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备，用户接口1130还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。

处理器1100负责管理总线架构和通常的处理，存储器1120可以存储处理器1100在执行操作时所使用的数据。

可选的，处理器1100还用于读取存储器1120中的程序，执行如下步骤：

通过告知交换消息通知n3iwf完成非3gpp密钥更新。

可选的，处理器1100还用于读取存储器1120中的程序，执行如下步骤：

通过预设消息获取非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

在本发明的一些实施例中，还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：

获取n3iwf发送的非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数；

根据所述非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥。

该程序被处理器执行时能实现上述应用于终端侧的密钥更新方法实施例中的所有实现方式，为避免重复，此处不再赘述。

如图12所示，本发明实施例还提供了一种终端，包括：

第二获取模块1201，用于获取n3iwf发送的非3gpp密钥更新指示以及计算参数，所述计算参数为用于计算更新后的用于非3gpp接入的接入层密钥的参数；

第三获取模块1202，用于根据所述非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥。

本发明实施例的终端，还包括：

通知模块，用于通过告知交换消息通知n3iwf完成非3gpp密钥更新。

本发明实施例的终端，所述第二获取模块用于通过预设消息获取非3gpp密钥更新指示以及计算参数；

所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。

本发明实施例的终端，根据n3iwf发送的非3gpp密钥更新指示以及计算参数，获取更新后的用于非3gpp接入的接入层密钥，从而实现终端侧非3gpp接入层密钥的更新。

在本发明的各种实施例中，应理解，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。