一种身份位置的绑定更新方法及装置与流程

本申请涉及通信技术领域，尤其涉及一种身份位置的绑定更新方法及装置。

背景技术：

身份网络(id-orientednetworking，ion)是一种面向未来网络的新型网络架构。

ion网络架构中，使用一个唯一不变的身份标识(identity，id)代表通信设备的身份，使用位置(locator或ipaddress)代表通信设备所在的网络位置。ion网络架构中，通信设备的位置改变将引起locator的变化，而id保持不变。如图1所示，以通信设备为移动节点(mobilenode，mn)为例进行说明，mn从位置a移动到位置b时，id保持不变，仍为id_john，locator从2.2.2.2变为1.1.1.1，即id和locator的映射关系发生了改变。为了后续链接的重新建立，mn需要将更新后的id/locator通知到对端节点(correspondentnode，cn)，这个过程称之为身份位置的绑定更新(banding-update，bu)。

ion网络架构中，将移动ipv6(mobileipv6，mipv6)通信协议，作为基于id和locator分离的移动通信网络协议。在mipv6中，id即为hoa(homeaddress)，locator即为coa(care-ofaddress)，并定义了mn和cn之间的通信流程。mipv6中，通信设备间可通过更新的id/locator映射关系的发送实现身份位置的绑定更新过程，例如，mn可将更新的id/locator映射关系加密后发送至对端节点(cn)，绑定更新过程在端与端之间执行，但此种方式，需要mn与其通信的每个cn都要单独执行该绑定更新过程，计算开销和网络开销都较大。

ion网络架构中，还建立了一个统一的控制管理层(genericresilientidservices，grids)用于管理相关的服务，该控制管理层分布式部署在网络中，用于对主机的身份、位置等信息进行统一管理，例如可提供身份与位置映射的管理服务(mapping/locationservice)。基于grids可提供身份与位置映射的管理服务，节点间可采用pub/sub(订阅/发布)模式实现绑定更新。例如图2中，节点ue_d向grids订阅其需要通信的节点(如节点ue_s)的id/locator映射关系，当节点ue_s的位置发生改变时，ue_s向grids汇报更新后的位置信息。grids向所有订阅了节点ue_s的通信设备(如节点ue_d)发布ue_s的位置信息。基于pub/sub模式实现绑定更新过程，相对于端到端的绑定更新过程，可减少节点的操作，降低绑定更新过程中的计算和网络开销。但是基于pub/sub模式实现绑定更新过程中，采用简单上报位置的方式，会产生较大的安全隐患。

技术实现要素：

本申请实施例提供一种身份位置的绑定更新方法及装置，以提高基于订阅发布模式实现绑定更新过程的安全性。

第一方面，本申请实施例提供一种身份位置的绑定更新系统，在该系统中包括grids和通信设备，其中，grids用于生成挑战消息，并向通信设备发送挑战消息。通信设备用于接收grids发送的挑战消息，并确定挑战应答消息，向grids发送挑战应答消息，所述挑战应答消息中包括挑战消息中包括的挑战内容，并且所述挑战应答消息中还包括挑战结果以及通信设备更新的身份位置映射关系。grids接收通信设备发送的挑战应答消息，并基于挑战内容和挑战结果验证挑战应答消息的有效性，若挑战应答消息有效，则保存通信设备更新的身份位置映射关系。

本申请实施例中通过grids发送挑战消息，通信设备反馈挑战应答消息的方式实现grids对发送更新的身份位置映射关系的通信设备的认证，能够防护通信设备对grids的dos/ddos攻击，并且挑战应答消息中包括挑战内容和挑战结果，使得grids无需保存会话状态信息，故可避免重放攻击。通过本申请实施例提供的身份位置的绑定更新方法，能够提高绑定更新过程的安全性。

其中，更新的身份位置映射关系可以是加密的或明文的。

一种可能的实施方式中，挑战内容中包括通信设备的身份标识、grids为通信设备生成的随机数以及grids利用本地密钥为挑战内容生成的消息验证码。grids可验证所述挑战内容中包括的消息验证码的有效性，若所述消息验证码有效，则进一步确定所述挑战结果是否为所述挑战内容的挑战结果。

进一步的，所述挑战内容中还包括所述挑战内容的时间戳以及所述挑战内容的难度系数中的至少一项。若所述挑战内容中包括所述挑战内容的时间戳，所述grids确定所述挑战结果是否为所述挑战内容的挑战结果之前，可依据所述挑战内容的时间戳，确定所述挑战内容在有效期内。若所述挑战内容中不包括所述挑战内容的时间戳，则无需确定挑战内容是否在有效期内，可直接确定所述挑战结果是否为所述挑战内容的挑战结果。

若所述挑战内容中包括所述挑战内容的难度系数，则所述grids可通过确认所述挑战结果与所述随机数的哈希运算结果的低k位是否为0，确定所述挑战结果是否为所述挑战内容的挑战结果，所述k为所述难度系数。若所述挑战内容中不包括所述挑战内容的难度系数，则所述grids可通过确认所述挑战结果与所述随机数的哈希运算结果是否为0，确定所述挑战结果是否为所述挑战内容的挑战结果。

另一种可能的实施方式中，通信设备向grids发送身份位置绑定更新请求，grids接收通信设备发送的身份位置绑定更新请求。该身份位置绑定更新请求中包括序列号，序列号用于标识所述通信设备发送的身份位置绑定更新请求消息。grids向通信设备发送的挑战消息中还包括序列号。通信设备向grids发送挑战应答消息之前，确定所述挑战消息中包括的序列号与所述通信设备发送身份位置绑定更新请求中包括的序列号是否一致，在确定挑战消息中包括的序列号与所述通信设备发送身份位置绑定更新请求中包括的序列号一致的情况下，再进行挑战结果的计算以及挑战应答信息的发送，以确保接收到的挑战消息是针对该通信设备发送的挑战消息，防止恶意攻击者仿冒grids造成对通信设备的仿冒攻击。

又一种可能的实施方式中，grids接收通信设备发送的挑战应答消息之后，可生成于对所述通信设备后续发送的身份位置绑定更新消息进行验证的密钥以及密钥的有效期，并保存生成的密钥以及密钥的有效期。grids向通信设备发送密钥消息，密钥消息中包括所述密钥以及所述密钥的有效期。通信设备接收所述grids发送的密钥消息，并保存密钥消息中包括的密钥以及所述密钥的有效期，以便通信设备后续向grids发送更新的身份位置映射关系时，可确定密钥是否在有效期内，若在有效期内，则可直接发送身份位置绑定更新消息，而无需再通过挑战-应答的方式进行安全性验证。

具体的，grids可利用通信设备的公钥，加密密钥消息，并向通信设备发送加密的密钥消息，以进一步提高安全性。

进一步的，通信设备保存所述密钥以及所述密钥的有效期之后，若确定需要向grids发送更新的身份位置映射关系，则通信设备确定所述密钥是否在所述有效期内，若在有效期内则利用所述密钥生成消息认证码。通信设备向grids发送身份位置绑定更新消息，所述身份位置绑定更新消息中包括所述消息认证码和所述通信设备后续更新的身份位置映射关系。grids接收通信设备发送的身份位置绑定更新消息，利用保存的密钥验证所述消息认证码，若验证通过，则保存所述通信设备后续更新的身份位置映射关系。

更进一步的，grids向通信设备发送的密钥消息中还可包括grids的签名，终端接收到grids发送的密钥消息，可利用所述grids的签名对所述密钥消息进行认证。通信设备向grids发送的挑战应答消息中也可包括通信设备的签名，grids接收到通信设备发送的挑战应答消息后，可利用挑战应答消息中包括的通信设备的签名对所述挑战应答消息进行认证。通过上述签名认证的方式，可使通信设备和grids实现相互认证。

更进一步的，所述挑战应答消息中还包括所述通信设备的公钥证书，所述密钥消息中还包括所述grids的公钥证书。grids接收到挑战应答消息后，可验证挑战应答消息中包括的通信设备公钥证书，并获取通信设备的公钥，利用通信设备的公钥实现对通信设备的签名的认证。通信设备接收到密钥消息后，可验证密钥消息中包括的grids的公钥证书，并获取grids的公钥，利用grids的公钥实现对grids的签名的认证。

更进一步的，所述挑战应答消息中还包括所述通信设备的会话密钥协商参数，所述密钥消息中还包括所述grids的会话密钥协商参数。通信设备通过挑战应答消息向grids发送会话密钥协商参数，使grids可基于通信设备的会话密钥协商参数以及grids的会话密钥协商参数生成密钥。grids通过密钥消息向通信设备发送生成密钥使用的会话密钥协商参数，使通信设备可基于通信设备的会话密钥协商参数以及grids的会话密钥协商参数生成密钥。

第二方面，本申请实施例提供一种身份位置的绑定更新方法，该方法可以应用于grids、当然也可以应用于grids中的芯片。应用于grids时，在该方法中，grids生成挑战消息并向通信设备发送挑战消息，所述挑战消息中包括挑战内容。grids接收所述通信设备发送的挑战应答消息，所述挑战应答消息中包括所述挑战内容、挑战结果以及所述通信设备更新的身份位置映射关系，所述身份为所述通信设备的身份标识，所述位置为所述通信设备的网络地址。grids基于所述挑战内容和所述挑战结果，验证所述挑战应答消息的有效性，若所述挑战应答消息有效，则保存所述通信设备更新的身份位置映射关系。

本申请实施例中通过grids发送挑战消息，通信设备反馈挑战应答消息的方式实现grids对发送更新的身份位置映射关系的通信设备的认证，能够防护通信设备对grids的dos/ddos攻击，并且挑战应答消息中包括挑战内容和挑战结果，使得grids无需保存会话状态信息，故可避免重放攻击。通过本申请实施例提供的身份位置的绑定更新方法，能够提高绑定更新过程的安全性。

本申请实施例中涉及的身份位置映射关系为加密的或明文的。

一种可能的设计中，所述挑战内容中包括所述通信设备的身份标识、所述grids为所述通信设备生成的随机数以及所述grids利用本地密钥为所述挑战内容生成的消息验证码。所述grids基于所述挑战内容和所述挑战结果，验证所述挑战应答消息的有效性时，验证所述挑战内容中包括的消息验证码的有效性，若所述消息验证码有效，则确定所述挑战结果是否为所述挑战内容的挑战结果。

另一种可能的设计中，所述挑战内容中还包括所述挑战内容的时间戳以及所述挑战内容的难度系数中的至少一项。若所述挑战内容中包括所述挑战内容的时间戳，则所述grids确定所述挑战结果是否为所述挑战内容的挑战结果之前，依据所述挑战内容的时间戳，确定所述挑战内容在有效期内。若所述挑战内容中包括所述挑战内容的难度系数，则grids在确定所述挑战结果是否为所述挑战内容的挑战结果时，确认所述挑战结果与所述随机数的哈希运算结果的低k位是否为0，所述k为所述难度系数。

又一种可能的设计中，grids生成挑战消息之前还可接收通信设备发送的身份位置绑定更新请求，所述身份位置绑定更新请求中包括序列号，所述序列号用于标识所述通信设备发送的身份位置绑定更新请求消息，并在发送的挑战消息中包括所述序列号，以使通信设备向grids发送挑战应答消息之前，确定所述挑战消息中包括的序列号与所述通信设备发送身份位置绑定更新请求中包括的序列号是否一致，在确定挑战消息中包括的序列号与所述通信设备发送身份位置绑定更新请求中包括的序列号一致的情况下，再进行挑战结果的计算以及挑战应答信息的发送，以确保接收到的挑战消息是针对该通信设备发送的挑战消息，防止恶意攻击者仿冒grids造成对通信设备的仿冒攻击。

又一种可能的设计中，所述grids接收所述通信设备发送的挑战应答消息之后，grids可生成并保存密钥以及所述密钥的有效期，所述密钥用于对所述通信设备后续发送的身份位置绑定更新消息进行验证，所述grids向所述通信设备发送密钥消息，所述密钥消息中包括所述密钥以及所述密钥的有效期，以便通信设备后续向grids发送更新的身份位置映射关系时，可确定密钥是否在有效期内，若在有效期内，则可直接发送身份位置绑定更新消息，而无需再通过挑战-应答的方式进行安全性验证。

其中，所述密钥消息为所述grids利用通信设备的公钥加密的消息。

进一步的，所述grids向所述通信设备发送密钥消息之后，所述grids可接收所述通信设备发送的身份位置绑定更新消息，所述身份位置绑定更新消息中包括消息认证码以及所述通信设备后续更新的身份位置映射关系，所述消息认证码是所述通信设备基于所述密钥生成的。grids利用保存的密钥验证所述消息认证码，若验证通过，则保存所述通信设备后续更新的身份位置映射关系。

更进一步的，所述挑战应答消息中还可包括所述通信设备的签名，所述通信设备的签名用于所述grids对所述挑战应答消息进行认证。所述密钥消息中还可包括所述grids的签名，所述grids的签名用于所述通信设备对所述密钥消息进行认证。挑战应答消息中包括所述通信设备的签名，密钥消息中包括grids的签名，可使通信设备和grids采用签名认证的方式，实现相互认证。

更进一步的，所述挑战应答消息中还包括所述通信设备的证书，所述密钥消息中还包括所述grids的证书，以使grids接收到挑战应答消息后，可验证挑战应答消息中包括的通信设备公钥证书，并获取通信设备的公钥，利用通信设备的公钥实现对通信设备的签名的认证。通信设备接收到密钥消息后，可验证密钥消息中包括的grids的公钥证书，并获取grids的公钥，利用grids的公钥实现对grids的签名的认证。

或者，所述挑战应答消息中还包括所述通信设备的会话密钥协商参数，以使通信设备通过挑战应答消息向grids发送会话密钥协商参数，使grids可基于通信设备的会话密钥协商参数以及grids的会话密钥协商参数生成密钥。所述密钥消息中还包括所述grids的会话密钥协商参数，以使grids通过密钥消息向通信设备发送生成密钥使用的会话密钥协商参数，使通信设备可基于通信设备的会话密钥协商参数以及grids的会话密钥协商参数生成密钥。

第三方面，本申请实施例提供一种身份位置的绑定更新方法，该方法可应用于通信设备，也可以应用于通信设备中的芯片。应用于通信设备时，在该方法中，通信设备接收grids发送的挑战消息，所述挑战消息包括挑战内容。所述通信设备向所述grids发送挑战应答消息，所述挑战应答消息中包括所述挑战内容、挑战结果以及所述通信设备更新的身份位置映射关系。

本申请实施例汇总，通信设备接收挑战消息并发送挑战应答消息，可以使grids对发送更新的身份位置映射关系的通信设备的认证，能够防护通信设备对grids的dos/ddos攻击，并且挑战应答消息中包括挑战内容和挑战结果，使得grids无需保存会话状态信息，故可避免重放攻击。通过本申请实施例提供的身份位置的绑定更新方法，能够提高绑定更新过程的安全性。

一种可能的设计中，所述挑战内容中包括所述通信设备的身份标识、所述grids为所述通信设备生成的随机数以及所述grids利用本地密钥为所述挑战内容生成的消息验证码。

进一步的，所述挑战内容中还包括所述挑战内容的时间戳以及所述挑战内容的难度系数中的至少一项。

另一种可能的设计中，通信设备接收grids发送的挑战消息之前还可向grids发送身份位置绑定更新请求，身份位置绑定更新请求中包括序列号，所述序列号用于标识所述通信设备发送的身份位置绑定更新请求消息。所述挑战消息中还包括所述序列号。通信设备向grids发送挑战应答消息之前可确定所述挑战消息中包括的序列号与所述通信设备发送身份位置绑定更新请求中包括的序列号一致，在确定挑战消息中包括的序列号与所述通信设备发送身份位置绑定更新请求中包括的序列号一致的情况下，再进行挑战结果的计算以及挑战应答信息的发送，以确保接收到的挑战消息是针对该通信设备发送的挑战消息，防止恶意攻击者仿冒grids造成对通信设备的仿冒攻击。

又一种可能的设计中，通信设备向grids发送挑战应答消息之后还可接收grids发送的密钥消息，保存所述密钥以及所述密钥的有效期，以便通信设备后续向grids发送更新的身份位置映射关系时，可确定密钥是否在有效期内，若在有效期内，则可直接发送身份位置绑定更新消息，而无需再通过挑战-应答的方式进行安全性验证。其中，密钥消息中包括密钥以及密钥的有效期，所述密钥为grids为所述通信设备生成并用于对所述通信设备后续更新的身份位置映射关系进行验证。

其中，密钥消息为grids利用通信设备的公钥加密的消息。

进一步的，通信设备保存所述密钥以及所述密钥的有效期之后，可确定所述密钥在所述有效期内时，利用所述密钥生成消息认证码，并向grids发送身份位置绑定更新消息，所述身份位置绑定更新消息中包括所述消息认证码和所述通信设备后续更新的身份位置映射关系，以使grids利用保存的密钥验证所述消息认证码，若验证通过，则保存所述通信设备后续更新的身份位置映射关系。

进一步的，所述挑战应答消息中还包括所述通信设备的签名，所述通信设备的签名用于所述grids对所述挑战应答消息进行认证。所述密钥消息中还包括所述grids的签名，所述grids的签名用于所述通信设备对所述密钥消息进行认证。挑战应答消息中包括所述通信设备的签名，密钥消息中包括grids的签名，可使通信设备和grids采用签名认证的方式，实现相互认证。

更进一步的，所述挑战应答消息中还包括所述通信设备的证书，所述密钥消息中还包括所述grids的证书，以使grids接收到挑战应答消息后，可验证挑战应答消息中包括的通信设备公钥证书，并获取通信设备的公钥，利用通信设备的公钥实现对通信设备的签名的认证。通信设备接收到密钥消息后，可验证密钥消息中包括的grids的公钥证书，并获取grids的公钥，利用grids的公钥实现对grids的签名的认证。

或者，所述挑战应答消息中还包括所述通信设备的会话密钥协商参数，以使通信设备通过挑战应答消息向grids发送会话密钥协商参数，使grids可基于通信设备的会话密钥协商参数以及grids的会话密钥协商参数生成密钥。所述密钥消息中还包括所述grids的会话密钥协商参数，以使grids通过密钥消息向通信设备发送生成密钥使用的会话密钥协商参数，使通信设备可基于通信设备的会话密钥协商参数以及grids的会话密钥协商参数生成密钥。

第四方面，本申请实施例提供一种身份位置的绑定更新装置，该绑定更新装置可以是grids，也可以是grids内部的芯片。grids或grids内部的芯片具有实现上述第二方面或第二方面涉及的任意一种可能设计中的grids执行身份位置的绑定更新方法的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。

其中，grids包括发送单元、接收单元和处理单元。所述发送单元和所述接收单元可以是收发器，所述收发器中可包括射频电路，所述处理单元例如可以是处理器。可选地，所述grids还包括存储单元，所述存储单元例如可以是存储器。当所述grids包括处理单元和存储单元时，所述存储单元用于存储计算机执行指令，所述处理单元与所述存储单元连接，所述处理单元执行所述存储单元存储的计算机执行指令，以使所述grids执行第二方面或第二方面任意可能的设计中的身份位置的绑定更新方法。

其中，芯片包括发送单元、接收单元和处理单元。所述发送单元和所述接收单元可以是所述芯片上的输入/输出接口、管脚或电路等。所述处理单元例如可以是处理器。可选地，所述芯片还包括存储单元，所述存储单元例如可以是存储器。所述处理单元可执行存储单元存储的计算机执行指令，以使所述芯片执行第二方面或第二方面任意可能的设计中的身份位置的绑定更新方法。

可选地，所述存储单元可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元还可以是所述grids内的位于所述芯片外部的存储单元(例如，只读存储器)或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器)等。

第五方面，本申请实施例提供一种身份位置的绑定更新装置，该绑定更新装置可以是通信设备，也可以是通信设备内部的芯片，通信设备或通信设备内部的芯片具有实现上述第三方面或第三方面涉及的任意一种可能设计中的通信设备执行身份位置的绑定更新方法的功能所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。

其中，通信设备包括接收单元和处理单元。可选的，通信设备还可包括发送单元，或者也还可包括存储单元。其中，所述发送单元和所述接收单元可以是收发器，所述收发器中可包括射频电路，所述处理单元例如可以是处理器。所述存储单元例如可以是存储器。当所述通信设备包括处理单元和存储单元时，所述存储单元用于存储计算机执行指令，所述处理单元与所述存储单元连接，所述处理单元执行所述存储单元存储的计算机执行指令，以使所述通信设备执行第三方面或第三方面任意可能的设计中的身份位置的绑定更新方法。

其中，芯片包括接收单元和处理单元。可选的，通信设备还可包括发送单元，或者也还可包括存储单元。所述发送单元和所述接收单元可以是所述芯片上的输入/输出接口、管脚或电路等。所述处理单元例如可以是处理器。所述存储单元例如可以是存储器。所述处理单元可执行存储单元存储的计算机执行指令，以使所述芯片执行第二方面或第二方面任意可能的设计中的身份位置的绑定更新方法。

可选地，所述存储单元可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元还可以是所述通信设备内的位于所述芯片外部的存储单元(例如，只读存储器)或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器)等。

本申请实施例提供的身份位置的绑定更新方法及装置，通过grids发送挑战消息，通信设备反馈挑战应答消息的方式，进行身份位置的绑定更新，能够提高绑定更新过程的安全性。并且，本申请实施例中挑战应答消息中包括挑战内容以及挑战内容的挑战结果，使得grids无需保存会话状态信息，故可避免重放攻击。

附图说明

图1为通信设备间通过绑定更新消息的发送实现绑定更新过程示意图；

图2为通信设备间基于订阅发布模式实现绑定更新过程示意图；

图3为本申请实施例应用的系统架构图；

图4为本申请实施例提供的一种身份位置的绑定更新方法实施流程图；

图5为本申请实施例提供的另一种身份位置的绑定更新方法实施流程图；

图6为本申请实施例提供的又一种身份位置的绑定更新方法实施流程图；

图7为本申请实施例提供的又一种身份位置的绑定更新方法实施流程图；

图8为本申请实施例提供的又一种身份位置的绑定更新方法实施流程图；

图9为本申请实施例提供的又一种身份位置的绑定更新方法实施流程图；

图10为本申请实施例提供的一种身份位置的绑定更新装置的结构示意图；

图11为本申请实施例提供的一种身份位置的绑定更新装置的结构示意图；

图12为本申请实施例提供的另一种身份位置的绑定更新装置的结构示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。

本申请实施例提供一种身份位置的绑定更新方法及装置，该方法可应用于图3所示的ion网络架构。参阅图3所示，ion网络架构中包括通信设备(也可称为通信节点或节点设备)和ion统一控制管理层(genericresilientidservices，grids)。通信设备可以理解为是ion网络架构的数据面，ion网络架构中的通信设备之间可进行端到端通信，例如图1中通信设备间可通过无线接入网络(radioaccessnetwork，ran)、用户面功能(userplanfunction，upf)以及互联网(internet)进行端到端通信。数据面的各通信设备进行端到端通信时支持身份与位置分离的协议，即协议栈中包括物理层(phylayer)、链路层(linklayer)、ip层(iplayer或者locator)、身份标识层(idlayer)、传输层(transport)以及应用层(app)。grids可以理解为是ion网络架构的控制面，grids分布式部署在ion网络架构中，用于对通信设备的身份标识以及位置等信息进行统一管理，例如可以提供身份的管理服务(identityservice)、身份与位置映射的管理服务(mapping/locationservice)、身份关系的管理服务(groupingservice)以及元数据的管理服务(metadataservice)。身份位置映射关系发生改变的通信设备向grids的软件通信模块发送身份位置绑定更新请求，为grids的软件通信模块提供身份位置映射关系的上报，grids将更新的身份位置映射关系发送到与订阅通信设备身份位置映射关系的其它通信设备，完成绑定更新过程。

目前，身份位置映射关系发生改变的通信设备向grids上报身份位置映射关系时，进行简单的位置上报，会存在较大的安全隐患，例如：在通信设备上报身份位置信息进行身份位置映射关系更新过程中，若grids保持会话状态，则恶意通信设备若大量发起会话连接，则会造成拒绝服务(denialofservice，dos)/分布式拒绝服务(distributeddenialofservice，ddos)攻击。再例如，若恶意通信设备仿冒其它通信设备上报身份位置信息，上报不属于自身id的位置信息，则会造成仿冒攻击。又例如，恶意通信设备使用其它通信设备的合法签名信息不断重复向grids发送身份位置信息，将大量消耗grids的网络资源和计算资源，造成重放攻击。

有鉴于此，本申请实施例提供一种身份位置的绑定更新方法，在该方法中，利用挑战-应答的认证方式实现grids对通信设备的认证。其中，挑战-应答的认证方式可以理解为是一个计算过程，具体的，可以理解为是由grids发起一个计算请求，在该计算请求中包括计算的内容，通信设备接收该计算请求，并依据计算请求中包括的计算内容进行计算(如通过穷举方式计算)，得到计算结果，将该计算结果发送给grids，grids接收计算结果，并验证计算结果是否正确。其中，计算请求可以理解为是挑战消息，计算内容可以理解为是挑战内容，计算结果可以理解为是挑战应答消息。

本申请实施例中应用挑战-应答的认证方式实现grids对通信设备的认证时，通信设备向grids发送身份位置绑定更新请求，grids接收通信设备发送的身份位置更新请求，生成挑战消息，并向通信设备发送挑战消。通信设备接收所述grids发送的挑战消息，并确定挑战应答消息，向grids发送挑战应答消息，所述挑战应答消息中包括挑战消息中包括的挑战内容、挑战结果以及通信设备更新的身份位置映射关系。grids接收通信设备发送的挑战应答消息，并基于挑战内容和挑战结果验证挑战应答消息的有效性，若挑战应答消息有效，则保存通信设备更新的身份位置映射关系。本申请实施例中通过grids发送挑战消息，通信设备反馈挑战应答消息的方式，实现grids对通信设备的认证，能够防护通信设备对grids的dos/ddos攻击，并且挑战应答消息中包括所述挑战内容、所述挑战内容的挑战结果，使得grids无需保存会话状态信息，故可避免重放攻击。通过本申请实施例提供的身份位置的绑定更新方法，能够提高绑定更新过程的安全性。

可以理解的是，本申请实施例中涉及的通信设备需支持身份与位置分离的协议，例如可以是支持身份与位置分离协议的终端，该终端又称之为用户设备(userequipment，ue)、移动台(mobilestation，ms)、移动终端(mobileterminal，mt)等，可以包括手机、平板电脑、笔记本电脑、移动互联网设备(mobileinternetdevice，mid)、可穿戴设备(例如智能手表、智能手环、计步器等)等，还可以包括支持身份与位置分离协议的其他通信设备。本申请实施例中涉及的通信设备也可以是持身份与位置分离协议的网关(gateway)等网络设备。

本申请实施例中为描述方便，以下以通信设备为ue为例进行说明。

图4所示为本申请实施例提供的一种身份位置的绑定更新方法实施流程图，参阅图4所示，该方法包括：

s101：ue向grids发送身份位置绑定更新请求。

本申请实施例中ue的位置若发生变化，则ue可向grids发送身份位置绑定更新请求消息，以向grids上报身份位置绑定更新。本申请实施例中为描述方便可将该身份位置绑定更新请求消息用u1表示，在u1中携带的参数包括消息类型(message_type)和序列号(seq_number)，其中，message_type为身份位置绑定更新请求类型(update_request_type)用于标识ue向grids发送的身份位置绑定更新请求。seq_number为ue当前上报身份位置绑定更新请求消息的序列号，可由ue指定，用于标识ue发送的身份位置绑定更新请求消息。

s102：grids生成挑战消息。

具体的，本申请实施例中，grids可在接收到ue发送的身份位置绑定更新请求后，生成挑战消息。其中，挑战消息中包括挑战内容(challenge)，grids可为ue构造挑战内容，该挑战内容用于ue计算对应的挑战结果(solution)。

一种可能的实施方式中，grids可为每个发送身份位置绑定更新请求的ue构造挑战内容。grids构造的挑战内容中可包括ue的身份标识(id)、grids为ue生成的随机数(random)以及grids利用本地密钥为挑战内容生成的消息验证码。其中，ue的id用于标识该挑战内容所针对的ue，random为计算挑战内容对应的挑战结果时所使用的随机数参数，grids利用本地密钥为挑战内容生成的消息验证码可用于在挑战应答消息中实现对挑战内容的认证，防止ue仿冒挑战内容。

进一步的，本申请实施例中grids构造的挑战内容中还可包括挑战内容的时间戳(timestamp)以及挑战内容的难度系数(k)中的至少一项。其中，通过timestamp可以标识挑战内容的有效期。通过难度系数用于设定挑战结果的计算难度，例如，可为不同的ue设置不同的难度系数k。

进一步的，本申请实施例中grids生成挑战消息之前，可对ue的身份进行认证，若认证通过，则可生成挑战消息，若认证未通过，则可丢弃收到的身份位置绑定更新请求消息。

具体的，本申请实施例中grids可通过验证ue的身份标识(id)是否在预设的黑名单中，对ue的身份进行认证。

s103：grids向ue发送挑战消息，在挑战消息中包括挑战内容。

具体的，本申请实施例中为描述方便可将挑战消息用g1表示。g1中携带的参数可包括消息类型(message_type)以及挑战内容(challenge)。其中，g1中携带的message_type标识此消息为挑战消息，challenge为grids为ue构造的挑战内容。

进一步的，g1中还可包括序列号(seq_number)，且该seq_number为u1中携带的序列号，以防止恶意攻击者仿冒grids造成对ue的旁路攻击。

s104：ue接收grids发送的挑战消息，并计算挑战内容的挑战结果(solution)，向grids发送挑战应答消息。

本申请实施例中可通过穷举计算生成challenge对应的solution，将该solution通过挑战应答消息发送给grids。

本申请实施例中ue向grids发送的挑战应答消息中还包括有challenge，将challenge和solution一同发送给grids，可使grids无需保存challenge的会话状态信息，故可避免恶意攻击者的重放攻击。

进一步的，本申请实施例中ue还将更新的身份位置映射关系，与challenge和solution一同发送给grids，以通过挑战-应答的方式将更新的身份位置映射关系(id/locator映射信息)发送给grids，实现身份位置的绑定更新，并可在一定程度上提高身份位置绑定更新过程的安全性。

具体的，本申请实施例中为描述方便，可将挑战应答消息用u2表示，该u2中携带的参数包括message_type、challenge、solution以及id/locator映射信息。其中，u2中携带的message_type为challenge_response，用于标识挑战应答消息。challenge为g1消息中的challenge，solution为challenge对应的挑战结果，id/locator映射信息标识身份位置的绑定更新内容。

进一步的，本申请实施例中，ue可确定g1中包括的seq_number，与u1中携带的seq_number是否一致，在确定g1中包括的seq_number与u1中携带的seq_number一致的情况下，再进行挑战结果的计算以及挑战应答信息的发送，以确保接收到的挑战消息是针对该ue发送的挑战消息，防止恶意攻击者仿冒grids造成对ue的攻击。

s105：grids接收ue发送的挑战应答消息，基于挑战应答消息中包括的challenge和solution，验证挑战应答消息的有效性，若挑战应答消息有效，则保存ue更新的身份位置映射关系。若挑战应答消息无效，则可不保存ue更新的身份位置映射关系，提高身份位置绑定更新过程的安全性。

本申请实施例中，若challenge中包括ue的id，grids为ue生成的随机数以及grids利用本地密钥为challenge生成的消息验证码，则grids可验证challenge中包括的消息验证码，验证该challenge是否为grids发送的challenge，进而确定接收到的挑战应答消息中的solution是否为challenge对应的solution。若grids验证challenge中包括的消息验证码有效，则可确定接收到的挑战应答消息中的solution为challenge对应的solution。

进一步的，本申请实施例中若challenge中包括timestamp，则依据timestamp确定挑战应道消息中包括的challenge是否在有效期内，若challenge在有效期内，则可进一步确定接收到的挑战应答消息中的solution是否为challenge对应的solution。若challenge中不包括timestamp，则可无需确定challenge是否在有效期内，直接确定接收到的挑战应答消息中的solution是否为challenge对应的solution。

更进一步的，本申请实施例中若challenge中包括难度系数k，则grids可利用grids为ue生成的random与solution进行哈希运算，若哈希运算结果的低k位为0，则可确定接收到的挑战应答消息中的solution为challenge对应的solution。若challenge中不包括难度系数k，则grids可利用grids为ue生成的random与solution进行哈希运算，grids可通过确认哈希运算结果是否为0，确定接收到的挑战应答消息中的solution为challenge对应的solution。若哈希运算结果为0，则可确定接收到的挑战应答消息中的solution为challenge对应的solution。若哈希运算结果不为0，则可确定接收到的挑战应答消息中的solution不是challenge对应的solution。

本申请实施例通过上述验证solution有效性的方式，可确定挑战应答消息中包括的challenge为grids发送的challenge，并确定挑战应答消息中包括的solution为challenge对应的solution，在确定challenge为grids发送的challenge且solution有效的情况下，保存ue更新的身份位置映射关系，可提高绑定更新过程的安全性。

更进一步的，本申请实施例中grids可验证ue的签名，在验证通过的情况下保存ue更新的身份位置映射关系，进一步提高绑定更新过程的安全性。

本申请实施例中通过grids发送挑战消息，ue反馈挑战应答消息的方式，进行身份位置的绑定更新，能够提高绑定更新过程的安全性。并且，本申请实施例中挑战应答消息中包括挑战内容以及挑战内容的挑战结果，使得grids无需保存会话状态信息，故可避免重放攻击。

本申请的一种可能的实施方式中，grids通过上述挑战-应答方式保存ue上报的更新的身份位置映射关系后，grids可生成并保存密钥(token)以及密钥的有效期(timer)，该token以及timer用于ue后续更新的身份位置映射关系的验证。grids将token以及timer发送给ue，ue接收并保存grids发送的token以及timer。ue若向grids发送后续更新的身份位置映射关系，可确定token是否在有效期内，若在有效期内，则可直接发送后续更新的身份位置绑定更新消息，而无需再通过上述挑战-应答的方式进行安全性验证。

故，本申请实施例在图4所示的方法基础上，还可包括如下步骤，参阅图5所示：

s106：grids生成并保存token以及timer。

具体的，grids可控制对部分ue生成并保存token以及timer，例如grids可为部分可信程度较高的ue生成并保存token以及timer。

s107：grids向ue发送密钥消息，密钥消息中包括token以及timer。

具体的，本申请实施例中为描述方便，可将grids向ue发送的密钥消息用g2描述。该g2中携带的参数包括message_type，token以及timer，其中，g2中包括的message_type用于标识密钥消息，token为grids为当前ue生成的密钥，timer为grids生成的token的有效期。

进一步的，grids可利用grids的私钥，对密钥消息进行签名，将签名发送给ue。

进一步的，grids可利用ue的公钥，对token以及timer进行加密，将加密后的token以及timer发送给ue，以提高安全性。

可以理解的是，本申请实施例中对密钥消息进行签名和对密钥消息进行加密的顺序，不做限定。

s108：ue接收grids发送的密钥消息，并保存密钥消息中包括的token以及timer。

更进一步的，若token以及timer采用ue的公钥加密，则ue可先使用ue的私钥解密token以及timer，然后保存解密得到的token以及timer，以用于ue向grids上报身份位置绑定后续更新内容。

后续ue再次向grids上报更新的身份位置映射关系(后续更新的身份位置映射关系)时，可采用图6所示的方法实施流程进行身份位置绑定更新后续更新内容的上报。

图6所示为本申请实施例提供的另一种身份位置的绑定更新方法实施流程图。参阅图6所示，该方法包括：

s201：ue确定token是否在有效期内。

具体的，若token在有效期内，则可执行s202。若token已过期，则可按照图4所示的方法流程，采用挑战-应答的方式进行身份位置绑定更新。

s202：ue利用token为更新的身份位置映射关系生成消息认证码。

s203：ue向grids发送身份位置绑定更新消息，该身份位置绑定更新消息中包括利用token生成的消息认证码，以及身份位置绑定后续更新内容。

本申请实施例中为描述方便，可将身份位置绑定更新消息用u3表示，该u3中携带的参数包括message_type、id/locator映射信息以及mac(token)。其中，message_type为身份位置绑定更新消息(update_type)，标识此消息为一条简化版的绑定更新上报消息。id/locator映射信息为ue身份位置绑定后续更新内容。mac(token)为基于整条消息用token生成的消息验证码。

进一步的，u3中还可包括seq_number。seq_number为ue此次上报身份位置绑定更新消息的序列号，可由ue指定。

s204：grids接收ue发送的身份位置绑定更新消息，并利用保存的token验证身份位置绑定更新消息中包括的消息认证码，若验证通过则保存ue上报后续更新的身份位置映射关系，若验证未通过，则可丢弃该身份位置绑定更新消息。

具体的，grids可通过ue的id确定验证消息认证码所用的token。

更进一步的，本申请实施例中grids还可向ue发送应答消息，在该应答消息中包括u3中包括的seq_number，以使ue确定grids是否已保存后续更新的身份位置映射关系。

s205：grids向ue发送应答消息，该应答消息中包括u3中包括的seq_number。

具体的，应答消息可通过g4表示，g4中携带的参数包括message_type和seq_number。其中，message_type为应答消息(ack_type)，标识此消息为一条回复消息。seq_number为u3消息中包括的序列号，以使ue确定grids对seq_number对应的后续更新的身份位置映射关系的保存结果。

其中，s205为可选步骤。

本申请实施例中，grids生成并保存token以及timer，并将token以及timer发送给ue，ue保存该token以及timer，在后续需要上报后续更新的身份位置映射关系时，若token在timer对应的有效期内，则可直接发送身份位置绑定更新消息，而无需再进行挑战-应答的过程，简化了交互流程。

本申请实施例的又一种可能的实施方式中，ue和grids可相互进行认证，以进一步提高安全性。

一种可能的实施方式中，ue和grids可通过验证私钥签名的方式，实现安全认证。

图7所示为本申请实施例提供的一种ue和grids基于签名进行安全认证，并实现身份位置绑定更新过程的实施流程图。

本申请实施例中图7所示的方法流程，与图5所示的实施方法流程类似，不同之处仅在于，ue需要向grid发送ue的签名，grids需要向ue发送grids的签名，并彼此进行安全认证。

具体的，ue可通过向grids发送的挑战应答消息发送ue的签名。ue将ue的签名发送给grids，可使grids利用ue的签名对挑战应答消息进行安全认证，进一步提高安全性。grids可在向ue发送的密钥消息中携带grids的签名。grids将grids的签名发送给ue，以用于ue对grids进行认证。进一步的，ue可利用grids的签名对密钥消息进行认证，若认证通过，则可保存token以及timer，若认证未通过，则可丢弃该密钥消息，进一步提高安全性。

一种可能的实施方式中，本申请实施例中ue和grids可基于证书体系的非对称密钥方案，获取对端公钥并利用对端公钥验证签名。

图8所示为本申请实施例提供的一种ue和grids基于证书进行安全认证并实现身份位置绑定更新过程的实施流程图。

本申请实施例中图8所示的方法流程，与图7所示的实施方法流程类似，不同之处仅在于，ue需要向grid发送ue的证书，grids需要向ue发送grids的证书，并彼此进行证书的验证。

具体的，ue可通过向grids发送的挑战应答消息发送ue的公钥证书。grids接收挑战应答消息后，可验证挑战应答消息中包括的ue公钥证书，并获取ue的公钥。grids可在向ue发送的密钥消息中携带grids的公钥证书。ue接收密钥消息后，可验证密钥消息中包括的grids的公钥证书，并获取grids的公钥。

一种可能的实施方式中，本申请实施例中ue可向grids发送迪菲-赫尔曼密钥交换(diffie–hellman，dh)会话密钥协商参数，使grids可基于ue的dh会话密钥协商参数以及grids的dh会话密钥协商参数生成token。grids向ue发送生成token使用的grids的dh会话密钥协商参数，使ue可基于ue的dh会话密钥协商参数以及grids的dh会话密钥协商参数生成token。

图9所示为本申请实施例提供的一种ue和grids基于dh会话密钥协商参数生成token，并实现身份位置绑定更新过程的实施流程图。

本申请实施例中图9所示的方法流程，与图7所示的实施方法流程类似，不同之处仅在于，ue需要向grid发送ue的dh会话密钥协商参数，grids需要向ue发送grids的dh会话密钥协商参数，并各自基于ue的dh会话密钥协商参数以及grids的dh会话密钥协商参数生成token。

具体的，ue可通过向grids发送的挑战应答消息发送ue的dh会话密钥协商参数。grids接收挑战应答消息后，可基于ue的dh会话密钥协商参数以及grids的dh会话密钥协商参数生成token。grids可通过向ue发送的密钥消息发送grids的dh会话密钥协商参数。ue接收密钥消息后，可基于ue的dh会话密钥协商参数以及grids的dh会话密钥协商参数生成token。

上述主要从ue和grids交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，ue和grids为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的技术方案的范围。

本申请实施例可以根据上述方法示例对ue和grids进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

基于与上述方法实施例相同的构思，本申请实施例还提供了一种身份位置的绑定更新装置，该身份位置的绑定更新装置可应用于ue，也可应用于grids。

采用硬件的形式实现时，应用于ue的身份位置绑定更新装置和应用于grids的身份位置绑定更新装置，可以通过图10所示的身份位置绑定更新装置100来实现。

如图10所示，身份位置绑定更新装置100可包括至少一个处理器101，存储器103以及至少一个收发器104。这些部件可在一个或多个通信总线102上通信。

需要说明的，图10仅仅是本申请实施例的一种实现方式，实际应用中，身份位置绑定更新装置100还可以包括更多或更少的部件，这里不作限制。

收发器104用于接收和发送射频信号，耦合于身份位置绑定更新装置100的接收器和发射器。收发器104通过射频信号与通信网络和其他通信设备通信，如以太网(ethernet)，无线接入网(radioaccessnetwork，ran)，无线局域网(wirelesslocalareanetworks，wlan)等。具体实现中，收发器104支持的通信协议可包括但不限于：2g/3g、长期演进(longtermevolution，lte)、无线保真(wireless-fidelity，wi-fi)、5g新无线(newradio，nr)等等。

存储器103与处理器101耦合，用于存储各种软件程序和/或多组指令。具体实现中，存储器103可包括高速随机存取的存储器，并且也可包括非易失性存储器，例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。存储器103可以存储操作系统(下述简称系统)，例如android，ios，windows，或者linux等嵌入式操作系统。存储器103可用于存储本申请实施例的实现程序。存储器103还可以存储网络通信程序，该网络通信程序可用于与一个或多个附加设备，一个或多个终端设备，一个或多个网络设备进行通信。

处理器101可以是一个通用中央处理器(centralprocessingunit，cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制本申请方案程序执行的集成电路。

在一些实施例中，身份位置绑定更新装置100还可以包括输出设备105和输入设备106。输出设备105和处理器101通信，可以以多种方式来显示信息。例如，输出设备105可以是液晶显示器(liquidcrystaldisplay，lcd))，发光二级管(lightemittingdiode，led)显示设备，阴极射线管(cathoderaytube，crt)显示设备，或投影仪(projector)等。输入设备106和处理器101通信，可以以多种方式接收用户的输入。例如，输入设备106可以是鼠标、键盘、触摸屏设备或传感设备等。为了便于输出设备105和输入设备106的用户使用，在一些实施例中，存储器202还可以存储用户接口程序，该用户接口程序可以通过图形化的操作界面将应用程序的内容形象逼真的显示出来，并通过菜单、对话框以及按键等输入控件接收用户对应用程序的控制操作。当图10所示的身份位置绑定更新装置100实现ue的功能时，身份位置绑定更新装置100的存储器中可以存储一个或多个软件模块，可用于提供接收挑战消息、计算挑战应答消息并发送挑战应答消息等功能，具体可参考上述方法实施例。当图10所示的身份位置绑定更新装置100实现grids的功能时，身份位置绑定更新装置100的存储器中可以存储一个或多个软件模块，可用于提供生成挑战消息、验证挑战应答消息并保存更新的身份位置映射关系等功能，具体可参考上述方法实施例。

在采用软件功能单元的形式实现时，图11所示为本申请实施例提供的一种身份位置绑定的绑定更新装置的结构示意图。其中，身份位置的绑定更新装置1000可以是ue，也可以是ue内部的部件。参阅图11所示，身份位置的绑定更新装置1000包括接收单元1002和处理单元1003。

具体的，接收单元1002，用于接收所述grids发送的挑战消息，所述挑战消息包括挑战内容。处理单元1003，用于向所述grids发送挑战应答消息，所述挑战应答消息中包括所述挑战内容、挑战结果以及ue更新的身份位置映射关系。

具体的，所述挑战内容中包括所述ue的身份标识、所述grids为所述ue生成的随机数以及所述grids利用本地密钥为所述挑战内容生成的消息验证码。

进一步的，所述挑战内容中还包括所述挑战内容的时间戳以及所述挑战内容的难度系数中的至少一项。

一种可能的示例中，身份位置的绑定更新装置1000还包括发送单元1001。发送单元1001用于向grids发送身份位置绑定更新请求。所述身份位置绑定更新请求中包括序列号，所述序列号用于标识所述ue发送的身份位置绑定更新请求消息，所述挑战消息中还包括所述序列号。

所述处理单元1003还用于：在所述发送单元1001向所述grids发送挑战应答消息之前，确定所述挑战消息中包括的序列号与所述ue发送身份位置绑定更新请求中包括的序列号一致。

另一种可能的示例中，所述接收单元1002还用于：在所述发送单元1001向所述grids发送挑战应答消息之后，接收所述grids发送的密钥消息，保存所述密钥以及所述密钥的有效期。其中，所述密钥消息中包括密钥以及所述密钥的有效期，所述密钥为所述grids为所述ue生成并用于对所述ue后续发送的身份位置绑定更新消息进行验证。

进一步的，所述密钥消息为所述grids利用ue的公钥加密的消息。

又一种可能的示例中，所述处理单元1003，还用于：在所述接收单元1002保存所述密钥以及所述密钥的有效期之后，确定所述密钥在所述有效期内，利用所述密钥生成消息认证码。所述发送单元1001还用于：向所述grids发送身份位置绑定更新消息，所述身份位置绑定更新消息中包括所述ue后续更新的身份位置映射关系以及所述处理单元1003生成的消息认证码。

进一步的，所述挑战应答消息中还包括所述ue的签名，所述ue的签名用于所述grids对所述挑战应答消息进行认证。所述密钥消息中还包括所述grids的签名，所述grids的签名用于所述ue对所述密钥消息进行认证。

更进一步的，所述挑战应答消息中还包括所述ue的证书，所述密钥消息中还包括所述grids的证书。或者所述挑战应答消息中还包括所述ue的会话密钥协商参数，所述密钥消息中还包括所述grids的会话密钥协商参数。

具体的，本申请实施例中所述更新的身份位置映射关系为加密的或明文的。

进一步的，上述涉及的身份位置的绑定更新装置1000还可以包括存储单元。存储单元用于存储计算机执行指令，处理单元1003与存储单元连接，处理单元1003执行存储单元存储的计算机执行指令，以使身份位置的绑定更新装置1000执行上述方法实施例中ue所执行的身份位置绑定更新方法。

其中，在采用硬件形式实现时，所述发送单元1001和所述接收单元1002可以是通信接口、收发器等。所述收发器中可包括射频电路。通信接口是统称，可以包括一个或多个接口。所述处理单元1003例如可以是处理器或控制器。存储单元例如可以是存储器。

具体的，当发送单元1001和所述接收单元1002是收发器，处理单元1003是处理器，存储单元是存储器时，身份位置的绑定更新装置1000可以是图10所示的身份位置的绑定更新装置100，该身份位置的绑定更新装置100应用于ue，用于执行图4至图9中ue所执行的方法。

当采用芯片形式实现时，本申请实施例中涉及的身份位置的绑定更新装置1000可以应用于ue内的芯片，所述芯片具有实现上述方法实施例中ue执行身份位置的绑定更新方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。例如所述芯片包括：接收单元1002和处理单元1003。可选的，通信设备还可包括发送单元1003，或者也还可包括存储单元。所述发送单元1001和所述接收单元1002可以是所述芯片上的输入/输出接口、管脚或电路等。所述处理单元1003例如可以是处理器。所述存储单元例如可以是存储器。所述处理单元1003可执行存储单元存储的计算机执行指令，以使所述芯片执行上述方法实施例中涉及的ue执行的身份位置的绑定更新方法。可选地，所述存储单元可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元还可以是所述ue内的位于所述芯片外部的存储单元(例如，只读存储器(read-onlymemory，rom))或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器(randomaccessmemory，ram))等。

在采用软件功能单元的形式实现时，图12示出了本申请实施例提供的一种身份位置绑定的绑定更新装置200的结构。身份位置绑定的绑定更新装置200可以是grids，也可以是grids内的部件。参阅图12所示，身份位置的绑定更新装置2000包括发送单元2001、接收单元2002和处理单元2003。

具体的，发送单元2001，用于向ue发送所述处理单元2003生成的挑战消息，所述挑战消息中包括挑战内容。接收单元2002，用于接收ue发送的挑战应答消息，所述挑战应答消息中包括挑战结果、所述ue更新的身份位置映射关系以及所述发送单元2001发送的挑战消息中所包括的挑战内容。所述处理单元2003，用于生成挑战消息，所述挑战消息中包括挑战内容，并基于所述接收单元2002接收的挑战应答消息中包括的所述挑战内容和所述挑战结果，验证所述挑战应答消息的有效性，若所述挑战应答消息有效，则保存所述ue更新的身份位置映射关系。

具体的，所述挑战内容中包括所述ue的身份标识、所述grids为所述ue生成的随机数以及所述grids利用本地密钥为所述挑战内容生成的消息验证码。

所述处理单元2003验证所述挑战内容中包括的消息验证码的有效性，若所述消息验证码有效，则确定所述挑战结果是否为所述挑战内容的挑战结果。

进一步的，所述挑战内容中还包括所述挑战内容的时间戳以及所述挑战内容的难度系数中的至少一项。所述处理单元2003，还用于：若所述挑战内容中包括所述挑战内容的时间戳，则确定所述挑战结果是否为所述挑战内容的挑战结果之前，依据所述挑战内容的时间戳，确定所述挑战内容在有效期内。若所述挑战内容中包括所述挑战内容的难度系数，则确认所述挑战结果与所述随机数的哈希运算结果的低k位是否为0，所述k为所述难度系数。

一种可能的示例中，所述接收单元2002，还用于：在所述处理单元2003生成挑战消息之前，接收ue发送的身份位置绑定更新请求，所述身份位置绑定更新请求中包括序列号，所述序列号用于标识所述ue发送的身份位置绑定更新请求消息。其中，所述挑战消息中还包括所述序列号。

又一种可能的示例中，所述处理单元2003，还用于：在所述接收单元2002接收ue发送的挑战应答消息之后，生成并保存密钥以及所述密钥的有效期，所述密钥用于对所述ue后续发送的身份位置绑定更新消息进行验证。所述发送单元2001，还用于：向所述ue发送密钥消息，所述密钥消息中包括所述密钥以及所述密钥的有效期。

进一步的，所述处理单元2003，还用于利用ue的公钥加密所述密钥消息；所述发送单元2001发送加密的密钥消息。

又一种可能的示例中，所述接收单元2002，还用于：在所述发送单元2001向所述ue发送密钥消息之后，接收所述ue发送的身份位置绑定更新消息，所述身份位置绑定更新消息中包括消息认证码以及所述ue后续更新的身份位置映射关系，所述消息认证码是所述ue基于所述密钥生成的。所述处理单元2003，还用于：利用所述接收单元2002保存的密钥验证所述消息认证码，若验证通过，则保存所述ue后续更新的身份位置映射关系。

一种可能的实施方式中，所述挑战应答消息中还包括所述ue的签名，所述ue的签名用于所述grids对所述挑战应答消息进行认证。所述密钥消息中还包括所述grids的签名，所述grids的签名用于所述ue对所述密钥消息进行认证。

另一种可能的实施方式中，所述挑战应答消息中还包括所述ue的证书，所述密钥消息中还包括所述grids的证书；或者所述挑战应答消息中还包括所述ue的会话密钥协商参数，所述密钥消息中还包括所述grids的会话密钥协商参数。

进一步的，上述涉及的身份位置的绑定更新装置2000还可以包括存储单元。存储单元用于存储计算机执行指令，处理单元2003与存储单元连接，处理单元2003执行存储单元存储的计算机执行指令，以使身份位置的绑定更新装置2000执行上述方法实施例中grids所执行的身份位置绑定更新方法。

其中，在采用硬件形式实现时，所述发送单元2001和所述接收单元2002可以是收发器，也可以是通信接口。其中，所述收发器中可包括射频电路。所述通信接口是统称，可以包括一个或多个接口。所述处理单元2003例如可以是处理器或控制器。

当发送单元2001和所述接收单元2002是收发器，处理单元2003是处理器，存储单元是存储器时，身份位置的绑定更新装置2000可以是图10所示的身份位置的绑定更新装置100，该身份位置的绑定更新装置100应用于grids，用于执行图4至图9中grids所执行的方法。

当采用芯片形式实现时，本申请实施例中涉及的身份位置的绑定更新装置2000可以应用于grids内的芯片，所述芯片具有实现上述方法实施例中grids执行身份位置的绑定更新方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。例如所述芯片包括：发送单元2001、接收单元2002和处理单元2003。所述发送单元2001和所述接收单元2002可以是所述芯片上的输入/输出接口、管脚或电路等。所述处理单元2003例如可以是处理器。可选地，所述芯片还包括存储单元，所述存储单元例如可以是存储器。所述处理单元2003可执行存储单元存储的计算机执行指令，以使所述芯片执行上述方法实施例中涉及的grids执行的身份位置的绑定更新方法。可选地，所述存储单元可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元还可以是所述grids内的位于所述芯片外部的存储单元(例如，只读存储器)或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器)等。

本申请实施例中，身份位置的绑定更新装置1000和身份位置的绑定更新装置2000所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

本申请实施例还提供一种身份位置的绑定更新系统，在该系统中包括上述涉及的grids以及ue，grids和ue具有实现上述方法实施例中涉及的各自对应的功能。