Trong quá trình phân quyền lại (reauthorization) hay khi TEK hết hạn thì MS và BS không cần thực hiện toàn bộ quá trình RSA hoặc quá trình nhận thực EAP mà thay vào đó ngay khi AK chưa hết hạn thì MS và BS có thể sử dụng quá trình bắt tay 3 đường để làm mới lại TEK. Nếu nonce không được sử dụng trong việc tạo ra khoá thì KEK và khoá toàn vẹn sẽ không thay đổi. (Nonce là một số hoặc một chuỗi bit được sử dụng chỉ 1 lần) chuẩn 802.16 cũnng định nghĩa một bản tin cập nhật TEK để cập nhật TEK một cách hiệu quả. Bản tin này chứa số thứ tự của AK hiện tại, các thuộc tính mới của TEK (thời gian sống, Bộ mã, IV) và một thuộc tính HMAC/CMAC để bảo vệ bản tin cập nhật TEK. Khoá TEK. Khoá TEK tự nó cũng được mã hoá sử dụng khoá KEK. Để làm mới các khoá GTEKs thì BS phát quảng bá (Multicast) một bân tin cập nhật GTEK có chứa một khoá GTEK mới. Bản tin cập nhật GTEK là một bản tin quảng bá đơn giản từ một BS đến tất cả các MS trong một nhóm an toàn. Khoá GTEK được bảo vệ bởi khoá GKEK. Một bộ đếm luôn tăng để bảo vệ phát lại, mỗi một MS khởi động bộ đếm bắt đầu từ zero khi khoá GKEK được nhận lần đầu tiên từ BS. OMAC hoặc HMAC sẽ bảo vệ bản tin cập nhật. Tuy nhiên lưu ý rằng việc nhận thực dựa vào khoá đối xứng (Symmetric – key based authentication) sử dụng một khoá nhóm (Group key) chỉ cung cấp một sự bảo vệ có giới hạn trong khi đó thì bất kỳ MS nào trong nhóm cũng có thể dễ dàng trở thành BS và gửi một bản tin cập nhật giả mạo. Do đó bản tin câp nhật phải được chứng thực số bởi BS để toàn vẹn bản tin.
Chuẩn 802.16 cũng cho phép một MS yêu cầu một GTEK mới, đây là quá trình bắt tay 2 chiều (2- Way exchange) giữa MS và BS. Bản tin yêu cầu khoá GSA chứa một GSAID (GSA message ID) luông tăng, GSAID này được bảo vệ toàn vẹn bằng cách sử dụng Unicast KEK. BS đáp ứng bằng bản tin trả lời khoá
yêu cầu và trả về GTEK và các tham số liên kết được bảo vệ bằng KEK. BS đáp ứng bằng bản tin trả lời khoá GSA với cùng số thứ tự bản tin (message ID) như trong bản tin yêu cầu và trả về GTEL và các tham số liên kết được bảo vệ bằng KEK.Bản tin này cũng được bảo vệ toàn vẹn bằng khoá Downlink CMAC/HMAC. Bộ đếm thứ tự bản tin (message ID Counter) sẽ bảo vệ quá trình bắt tay trên nhằm bảo vệ phát lại (replay). Bộ đếm được khởi tạo tại zero khi khoá KEK được thiết lập lần đầu tiên.