CN101359990A - 时分同步码分多址与自组织网络融合的认证方法 - Google Patents

Abstract

本发明涉及移动通信领域，给出了一种时分同步码分多址与自组织网络融合的认证方法，使得处于基站覆盖区外的用户可以单跳或多跳的方式实现与蜂窝网的双向认证。当用户邻近网关时，可以单跳的方式通过网关、基站实现对VLR和HLR的认证，同时也实现VLR对用户的认证，另外还通过随机数和加密的方式保证用户的IMSI不会以明文的方式在无线链路中传送，防止伪用户的存在和重传攻击等。当用户离网关较远时，可以多跳的方式通过中间用户、网关和基站实现与蜂窝网的双向认证，并且利用迭代消息认证码的方式，保证消息的长度不变，节省带宽。

Description

时分同步码分多址与自组织网络融合的认证方法

技术领域

本发明涉及一种TD-SCDMA(时分同步码分多址)与自组织网络融合的用户认证方法。

背景技术

TD-SCDMA作为由中国主导提出的第三代移动通信标准，使用了时分双工、上行同步、联合检测、接力切换和智能天线等技术。使用TD-SCDMA空中接口构建自组织网络，既可以利用其时分双工的特点，无需对接口作大的修改，又可以扩大TD-SCDMA蜂窝小区的覆盖范围，提高系统容量。

安全通信需求在移动通信系统，尤其是第三代移动通信系统中显得越来越重要，而身份认证是实现正常安全通信，保护用户与运营商利益的重要保证。在TD-SCDMA中，网络和用户间采用相互鉴权的方法实现了用户对归属位置寄存器(HLR，Home Location Register)的认证和访问位置寄存器(VLR，VisitorLocation Register)对用户的认证，同时得到了加密密钥CK和完整性密钥IK。但是该认证方法仍然存在一定的缺陷，如它没能实现用户对VLR的认证，可能遭受伪VLR的攻击；而且在初始认证过程中，用户的国际移动用户标识(IMSI，International Mobile Subscriber Identity)是以明文的方式在无线链路中传送，可能被窃取，从而导致伪用户的产生。

因此在对TD-SCDMA与自组织网络融合中的用户进行认证时，必须尽量避免IMSI以明文方式在无线链路中传送，同时也要实现用户对VLR的认证。

在现有研究中，蜂窝网中的认证和自组织网络中的认证一般是分开进行的。蜂窝网的认证方法是基于可信任的认证中心的，而且假设用户在基站覆盖范围内；自组织网络是一个分布式的无中心网络，无法保证单个用户能够固定的作为可信中心。在TD-SCDMA与自组织网络融合中，对用户的认证可以基于蜂窝网的认证中心，但是用户可能不在基站覆盖范围内，必须通过多跳才能到达基站。因此，如何在TD-SCDMA与自组织网络融合中设计一种既能利用蜂窝网的认证中心，又能对位于基站覆盖区之外的用户进行安全认证的方法成为一个亟待解决的问题。

发明内容

技术问题：本发明的目的是给出一种对TD-SCDMA与自组织网络融合中的用户进行认证的方法，能够实现位于基站覆盖区外的用户与蜂窝网的双向认证，避免用户的IMSI在无线链路中以明文方式传送，从而防止伪用户的存在。

技术方案：本发明能够利用蜂窝网中的认证中心对位于基站覆盖区外的用户进行安全认证，实现用户对VLR和HLR的认证，VLR对用户的认证，保证用户的IMSI不以明文的方式在无线链路中传送，防止重传攻击等。

本发明中的自组织网络是基于TD-SCDMA空中接口形成的。在该自组织网络中，有一个网关用户位于基站覆盖区内，工作在网关模式下，它既可以与基站直接通信，也可以与自组织网络中的其他用户进行通信。其余的用户都位于基站覆盖区外，工作在自组织模式下，可以通过网关接入基站。假设网关与基站间的传输速率在144kbps/s下，此时网关的TS1至TS6时隙中，至少存在两个空闲时隙，假设为TS3和TS4，则网关可以在这两个时隙中与自组织网络中的用户进行通信。工作在自组织模式的用户可以在TS1至TS6这6个时隙中的任何一个时隙内发送消息，但为了减少冲突，用户在发送消息前需要预约一个时隙，预约成功后就可以发送消息了。

对系统作如下假设：

1.基于TD-SCDMA空中接口的自组织网络已经完成全网同步，并存在公共广播信道；

2.自组织网络中的用户已经成功预约了时隙；

3.用户与HLR共享主密钥K，HLR与VLR共享密钥K_HV；

4.基站与VLR之间的通信是安全的；

5.基站有一对公私钥，分别为K_BS/K^-1 _BS；

6.自组织网络中用户的移动速度较低。

本发明的时分同步码分多址与自组织网络融合的认证方法有单跳认证：即邻近网关的用户以单跳的方式通过网关、基站实现与蜂窝网的双向认证；多跳认证：即远离网关的用户以多跳的方式通过中间用户、网关和基站实现与蜂窝网的双向认证，

其中，单跳认证的具体实现包括以下步骤：

步骤一：位于蜂窝网中的用户切换到网关模式后，周期性的在广播信道上发送消息，该消息格式为[SEQ_GW‖ID_cell‖ID_GW‖K_BS‖T_life‖Hop‖N_GW]。其中，SEQ_GW是消息序列号，用于区分消息；ID_cell是网关所在的小区ID；ID_GW是网关的ID，K_BS是基站的公钥；T_life是网关的生存时间，当用户收到一个新的广播消息后，都要刷新该时间；Hop是跳数门限；该消息每经过一跳，其跳数门限值减1，当该值为0时，用户不再转发该消息；该门限的值可以根据网关的中转能力设定；N_GW是网关产生的只使用一次的随机数，用于防止重传攻击；符号“‖”表示字符串的串联，下文中的该符号都表示这个含义；

步骤二：自组织网络中未通过认证的用户收到网关的广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，在预约的时隙内向网关发送认证请求的消息[SEQ‖ID_GW‖{N1}K_BS‖TID‖{N2}K‖N_MS]；其中，SEQ是消息序列号，用于区分消息；ID_GW是网关ID；N1是用户产生的随机数；{N1}K_BS表示用基站的公钥对N1进行加密；TID＝N1⊕IMSI，表示N1与用户的IMSI异或，从而防止IMSI在无线链路上以明文传送，IMSI是用户的国际移动用户标识；N2是用户产生的另一随机数，作为与VLR(访问位置寄存器)共享的密钥；K是用户与HLR(归属位置寄存器)共享的密钥；{N2}K表示以用户与HLR共享的密钥对N2进行加密，这是为了实现用户对VLR的认证；N_MS是用户产生的只使用一次的随机数，用于防止重传攻击；

步骤三：网关收到用户的认证请求消息后，首先根据N_MS判断消息是否是最

新收到的，如果不是，则视为重传消息，丢弃；否则，向基站发送消息 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{GW}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_{\mathrm{GWS}}\right].$ 其中CK_GW表示网关的加密密钥，

表示用网关的加密密钥CK_GW对TID加密，进一步保护IMSI，防止其在无线链路中以明文传送，MAC_GWS是消息认证码，且 ${\mathrm{MAC}}_{\mathrm{GWS}}=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|\left\{N1\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{GW}}}\left|\right|\left\{N2\right\}K\left|\right|N_{\mathrm{MS}}>{\mathrm{IK}}_{\mathrm{GW}},$ 其中IK_GW是网关的完整性密钥。

步骤四：基站收到网关的消息后，首先根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，利用网关的完整性密钥对消息进行认证码计算，将最后计算出的消息认证码MAC_BS，与MAC_GWS比较，如果两者不相等，说明消息被篡改或者存在伪网关，丢弃；否则，说明消息是完整的，网关是合法的；此时，基站用自己的私钥K_BS对{N1}K_BS进行解密，得到N1；再用网关的加密密钥CK_GW对解密，得到TID＝N1⊕IMSI；再将TID与N1进行异或，得到IMSI＝TID⊕N1＝(N1⊕IMSI)⊕N1，最后向VLR发送如下的消息[IMSI‖{N2}K‖N_MS]；

步骤五：VLR收到基站的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，再根据IMSI找到用户的HLR，向HLR发送如下的消息[{IMSI‖{N2}K}K_HV‖N_MS]，其中K_HV是HLR与VLR的共享密钥。

步骤六：HLR收到VLR的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{IMSI‖{N2}K}K_HV进行解密，根据得到的IMSI，找到对应用户的密钥K，再对{N2}K进行解密，得到N2，然后生成用户的认证向量AV，AV＝RAND‖XRES‖CK‖IK‖AUTN，最后向VLR发送消息[{AV‖N2}K_HV‖N_HLR]，其中，RAND是HLR产生的随机数，XRES是期望收到的用户的回复，CK是用户的加密密钥，IK是用户的完整性密钥，AUTN是认证令牌环，N_HLR是HLR产生的随机数，用于防止重传攻击；

步骤七：VLR收到HLR的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{AV‖N2}K_HV进行解密，得到AV和N2，然后VLR向基站发送消息[{RAND‖AUTN}N2‖N_HLR]；

步骤八：基站收到VLR的消息后，首先根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用网关的完整性密钥对消息计算认证码，得到MAC_GWS′＝<{RAND‖AUTN}N2‖N_HLR>IK_GW，然后向网关发送消息[{RAND‖AUTN}N2‖N_HLR‖MAC_GWS′]；

步骤九：网关收到基站的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用自己的完整性密钥对消息计算认证码，即MAC_GW″＝<{RAND‖AUTN}N2‖N_HLR>IK_GW，再判断MAC_GW″与MAC_GWS′是否相等，如果不相等，说明消息被篡改，丢弃；否则，向用户发送消息[{RAND‖AUTN}N2‖N_HLR]；

步骤十：未通过认证的用户收到返回的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用N2对{RAND‖AUTN}N2进行解密，得到RAND和AUTN，然后根据AUTN计算出序列号SQN，判断SQN是否在正确的范围内，如果不在，则认证失败；否则，再计算出消息认证码XMAC，与AUTN中的消息认证码MAC进行比较，如果不相等，则认证失败；否则表示VLR使用的密钥就是用户发送的N2，从而说明VLR是合法的，实现对VLR的认证；而XMAC＝MAC，也说明了MAC就是HLR用主密钥K计算得到的，从而实现了用户对HLR的认证，进一步计算出参数RES，并用N2对其进行加密并添加另一随机数，通过网关和基站发送到VLR；

步骤十一：VLR收到用户的消息后，判断消息是否是最新的，如果不是，则丢弃，否则，将收到的RES与XRES进行比较，如果不相等，则认证失败，否则就认证成功，证实了用户的合法性，即实现了VLR对用户的认证；

步骤十二：用户计算出加密密钥CK和完整性密钥IK，完成认证过程；

多跳认证的具体实现包括以下步骤：

步骤十三：位于蜂窝网中的用户切换到网关模式后，周期性的在广播信道上发送消息，该消息格式为[SEQ_GW‖ID_cell‖ID_GW‖K_BS‖T_life‖Hop‖N_GW]；其中，SEQ_GW是消息序列号，用于区分消息；ID_cell是网关所在的小区ID；ID_GW是网关的ID；K_BS是基站的公钥；T_life是网关的生存时间，当用户收到一个新的广播消息后，都要刷新该时间；Hop是跳数门限；该消息每经过一跳，其跳数门限值减1，当该值为0时，用户不再转发该消息；该门限的值可以根据网关的中转能力设定；N_GW是网关产生的只使用一次的随机数，用于防止重传攻击；

步骤十四：通过认证的中间用户收到网关的广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，读取跳数Hop，并将其减1，再判断结果是否大于0，如果不大于0，说明消息传播的跳数已经达到门限，用户将不再广播；否则，说明消息传播的跳数还没有到达门限，可以继续广播，此时，用户在已经预约的时隙上转发广播消息，格式为[SEQ_GW‖ID_cell‖ID_GW‖ID_inter1‖K_BS‖T_life‖Hop-1‖N_GW]，其中，ID_inter1表示中间用户的ID，Hop-1表示将收到的消息中的跳数减1；

步骤十五：每一个用户收到广播消息后，都进行如同步骤二的判断，并将自己的ID加入到消息中，且修改跳数；假设消息的格式为[SEQ_GW‖ID_cell‖ID_GW‖ID_inter1‖...‖ID_interi‖K_BS‖T_life‖Hop-i‖N_GW]，其中，ID_interi表示第i个用户的ID；

步骤十六：未通过认证的用户收到广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，沿着广播消息路径的逆方向，在预约的时隙内向网关发送认证请求的消息[SEQ‖ID_GW‖ID_inter1‖...‖ID_interi‖{N1}K_BS‖TID‖{N2}K‖N_MS]；其中，SEQ是消息序列号，用于区分消息，ID_GW是网关ID。ID_inter1和ID_interi是中间用户的ID，N1是用户产生的随机数，{N1}K_BS表示用基站的公钥对N1进行加密，TID＝N1⊕IMSI，表示N1与用户的IMSI异或，从而防止IMSI在无线链路上以明文传送，N2是用户产生的另一随机数，作为与VLR共享的密钥，{N2}K表示以用户与HLR共享的密钥对N2进行加密，这是为了实现用户对VLR的认证，N_MS是用户产生的只使用一次的随机数，用于防止重传攻击；

步骤十七：邻近未通过认证的用户的第一个中间用户收到认证请求消息后，根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向下一中间用户转发如下的消息 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_i\right];$ 其中，

表示用中间用户ID_interi的加密密钥CK_interi对TID加密，进一步保护IMSI，防止其在无线链路上以明文传送，MAC_i是消息认证码，且 ${\mathrm{MAC}}_i=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}>{\mathrm{IK}}_{\mathrm{interi}},$ 表示用中间用户ID_interi的完整性密钥IK_interi对消息计算认证码，保证消息的完整性；

步骤十八：其余的中间节点收到认证请求消息后，首先根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，用自己的完整性密钥对收到的消息计算消息认证码MAC_j，并将其叠加在消息的后面，即 ${\mathrm{MAC}}_j=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|{\mathrm{MAC}}_{j+1}>{\mathrm{IK}}_{\mathrm{interj}},$ 表示中间用户ID_interj的消息认证码，IK_interj是中间用户ID_interj的完整性密钥，节点转发的消息格式为 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N3\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right|\left|\right\{N4\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_j\right],$ 通过对消息认证码进行迭代，可以保证每个消息的后部只含有一个消息认证码，使得消息在传递过程中，并不会增加长度，从而可以节省带宽；

步骤十九：网关收到用户的认证请求消息后，首先根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向基站发送消息，消息格式为 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_{\mathrm{GWM}}\right],$ 其中

表示用网关的加密密钥CK_GW对TID加密，进一步保护IMSI，防止其在无线链路中以明文传送，其中 ${\mathrm{MAC}}_{\mathrm{GWM}}=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N1\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N2\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|{\mathrm{MAC}}_1>{\mathrm{IK}}_{\mathrm{GW}},$ IK_GW是网关的完整性密钥；

步骤二十：基站收到网关的消息后，首先根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，获取从未认证用户到基站的路径上的所有节点的ID，然后依次使用这些用户的完整性密钥对消息进行认证码计算，将最后计算出的消息认证码MAC_BS，与MAC_GWM比较，如果两者不相等，说明消息被篡改或者存在伪用户，丢弃；否则，说明消息是完整的，而且中间用户都是合法的，此时，基站用自己的私钥对{N1}K_BS进行解密，得到N1；然后用ID_interi的加密密钥CK_interi对

进行解密，得到TID＝N1⊕IMSI；再将TID与N1进行异或，得到IMSI＝TID⊕N1＝(N1⊕IMSI)⊕N1；最后向VLR发送如下的消息[IMSI‖{N2}K‖N_MS]；

步骤二十一：VLR收到基站的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，再根据IMSI找到用户的HLR，向HLR发送如下的消息[{IMSI‖{N2}K}K_HV‖N_MS]，K_HV是HLR与VLR的共享密钥；

步骤二十二：HLR收到VLR的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{IMSI‖{N2}K}K_HV进行解密，根据得到的IMSI，找到对应用户的密钥K，再对{N2}K进行解密，得到N2，然后生成用户的认证向量AV，AV＝RAND‖XRES‖CK‖IK‖AUTN，最后向VLR发送消息[{AV‖N2}K_HV‖N_HLR]，其中，RAND是HLR产生的随机数，XRES是期望收到的用户的回复，CK是用户的加密密钥，IK是用户的完整性密钥，AUTN是认证令牌环，N_HLR是HLR产生的随机数，用于防止重传攻击；

步骤二十三：VLR收到HLR的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{AV‖N2}K_HV进行解密，得到AV和N2，然后VLR向基站发送消息[{RAND‖AUTN}N2‖N_HLR]；

步骤二十四：基站收到VLR的消息后，首先根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，基站依次用网关、ID_inter1...ID_interi的完整性密钥对收到的消息计算认证码，依次得到MAC_GWM′、MAC₁′、...、MAC_i′，即MAC_GWM′＝<{RAND‖AUTN}N2‖N_HLR>IK_GW，MAC_i′＝<{RAND‖AUTN}N2‖N_HLR>IK_interi，然后向网关发送消息[{RAND‖AUTN}N2‖N_HLR‖MAC_GWM′‖MAC₁′‖...‖MAC_i′]，IK_interi是中间用户ID_interi的完整性密钥。

步骤二十五：网关收到基站的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用自己的完整性密钥对消息计算认证码，即MAC_GW″＝<{RAND‖AUTN}N2‖N_HLR>IK_GW，再判断MAC_GW″与MAC_GWM′是否相等，如果不相等，则说明消息被篡改，丢弃；否则，向ID_inter1发送消息[{RAND‖AUTN}N2‖N_HLR‖MAC₁′‖...‖MAC_i′]；

步骤二十六：中间用户收到返回的消息后，进行如同步骤十三的操作，即用自己的完整性密钥对消息计算认证码，判断和收到的认证码是否相等，如果不相等，说明消息被篡改，丢弃；否则，往下一用户发送消息，如果消息都是完整的，则最后，用户ID_interi向未通过认证用户发送消息[{RAND‖AUTN}N2‖N_HLR]；

步骤二十七：未通过认证的用户收到返回的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用N2对{RAND‖AUTN}N2进行解密，得到RAND和AUTN，然后根据AUTN计算出序列号SQN，判断SQN是否在正确的范围内，如果不在，则认证失败；否则，再计算出消息认证码XMAC，与AUTN中的消息认证码MAC进行比较，如果不相等，则认证失败；否则表示VLR使用的密钥就是用户发送的N2，从而说明VLR是合法的，实现对VLR的认证；而XMAC＝MAC，也说明了MAC就是HLR用主密钥K计算得到的，从而实现了用户对HLR的认证，进一步计算出RES，并用N2对其进行加密并添加另一随机数，通过中间用户、网关和基站发送到VLR；

步骤二十八：VLR收到用户的消息后，判断消息是否是最新的，如果不是，则丢弃，否则，将收到的RES与XRES进行比较，如果不相等，则认证失败，否则就认证成功，证实了用户的合法性，即实现了VLR对用户的认证；

步骤二十九：用户计算出加密密钥CK和完整性密钥IK，完成认证过程。

有益效果：本发明设计了融合TD-SCDMA与自组织网络的认证方法，具有如下优点：

①能够对位于基站覆盖区外的用户通过单跳或多跳的方式进行安全认证，使他们能够享受蜂窝网的安全服务；

②通过采用随机数和加密的方式对用户的国际移动标识IMSI进行保护，避免了IMSI在无线链路中以明文的方式传送，防止用户身份被窃取；

③实现了用户对VLR的认证，克服了蜂窝网中用户不能对VLR认证的缺陷，同时防止了伪VLR攻击和中间人攻击；

④通过引入随机数，防止重传攻击；

⑤在多跳认证过程中，通过引入迭代消息认证码，保持消息的长度不变，节省了带宽。

附图说明

图1是用户认证流程图；

图2是认证的应用场景之一；

图3是单跳认证的信令流程图；

图4是两跳认证的信令流程图。

具体实施方式

该认证方法有单跳认证：即邻近网关的用户以单跳的方式通过网关、基站实现与蜂窝网的双向认证；多跳认证：即远离网关的用户以多跳的方式通过中间用户、网关和基站实现与蜂窝网的双向认证，

其中，单跳认证的具体实现包括以下步骤：

步骤一：位于蜂窝网中的用户切换到网关模式后，周期性的在广播信道上发送消息，该消息格式为[SEQ_GW‖ID_cell‖ID_GW‖K_BS‖T_life‖Hop‖N_GW]。其中，SEQ_GW是消息序列号，用于区分消息；ID_cell是网关所在的小区ID；ID_GW是网关的ID，K_BS是基站的公钥；T_life是网关的生存时间，当用户收到一个新的广播消息后，都要刷新该时间；Hop是跳数门限；该消息每经过一跳，其跳数门限值减1，当该值为0时，用户不再转发该消息；该门限的值可以根据网关的中转能力设定；N_GW是网关产生的只使用一次的随机数，用于防止重传攻击；符号“‖”表示字符串的串联，下文中的该符号都表示这个含义；

步骤二：自组织网络中未通过认证的用户收到网关的广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，在预约的时隙内向网关发送认证请求的消息[SEQ‖ID_GW‖{N1}K_BS‖TID‖{N2}K‖N_MS]；其中，SEQ是消息序列号，用于区分消息；ID_GW是网关ID；N1是用户产生的随机数；{N1}K_BS表示用基站的公钥对N1进行加密；TID＝N1⊕IMSI，表示N1与用户的IMSI异或，从而防止IMSI在无线链路上以明文传送，IMSI是用户的国际移动用户标识；N2是用户产生的另一随机数，作为与VLR(访问位置寄存器)共享的密钥；K是用户与HLR(归属位置寄存器)共享的密钥；{N2}K表示以用户与HLR共享的密钥对N2进行加密，这是为了实现用户对VLR的认证；N_MS是用户产生的只使用一次的随机数，用于防止重传攻击；

步骤三：网关收到用户的认证请求消息后，首先根据N_MS判断消息是否是最

新收到的，如果不是，则视为重传消息，丢弃；否则，向基站发送消息 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{GW}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_{\mathrm{GWS}}\right].$ 其中CK_GW表示网关的加密密钥，

表示用网关的加密密钥CK_GW对TID加密，进一步保护IMSI，防止其在无线链路中以明文传送，MAC_GWS是消息认证码，且 ${\mathrm{MAC}}_{\mathrm{GWS}}=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|\left\{N1\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{GW}}}\left|\right|\left\{N2\right\}K\left|\right|N_{\mathrm{MS}}>{\mathrm{IK}}_{\mathrm{GW}},$ 其中IK_GW是网关的完整性密钥。

步骤四：基站收到网关的消息后，首先根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，利用网关的完整性密钥对消息进行认证码计算，将最后计算出的消息认证码MAC_BS，与MAC_GWS比较，如果两者不相等，说明消息被篡改或者存在伪网关，丢弃；否则，说明消息是完整的，网关是合法的；此时，基站用自己的私钥K_BS对{N1}K_BS进行解密，得到N1；再用网关的加密密钥CK_GW对

解密，得到TID＝N1⊕IMSI；再将TID与N1进行异或，得到IMSI＝TID⊕N1＝(N1⊕IMSI)⊕N1，最后向VLR发送如下的消息[IMSI‖{N2}K‖N_MS]；

步骤五：VLR收到基站的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，再根据IMSI找到用户的HLR，向HLR发送如下的消息[{IMSI‖{N2}K}K_HV‖N_MS]，其中K_HV是HLR与VLR的共享密钥。

步骤六：HLR收到VLR的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{IMSI‖{N2}K}K_HV进行解密，根据得到的IMSI，找到对应用户的密钥K，再对{N2}K进行解密，得到N2，然后生成用户的认证向量AV，AV＝RAND‖XRES‖CK‖IK‖AUTN，最后向VLR发送消息[{AV‖N2}K_HV‖N_HLR]，其中，RAND是HLR产生的随机数，XRES是期望收到的用户的回复，CK是用户的加密密钥，IK是用户的完整性密钥，AUTN是认证令牌环，N_HLR是HLR产生的随机数，用于防止重传攻击；

步骤七：VLR收到HLR的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{AV‖N2}K_HV进行解密，得到AV和N2，然后VLR向基站发送消息[{RAND‖AUTN}N2‖N_HLR]；

步骤八：基站收到VLR的消息后，首先根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用网关的完整性密钥对消息计算认证码，得到MAC_GWS′＝<{RAND‖AUTN}N2‖N_HLR>IK_GW，然后向网关发送消息[{RAND‖AUTN}N2‖N_HLR‖MAC_GWS′]；

步骤九：网关收到基站的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用自己的完整性密钥对消息计算认证码，即MAC_GW″＝<{RAND‖AUTN}N2‖N_HLR>IK_GW，再判断MAC_GW″与MAC_GWS′是否相等，如果不相等，说明消息被篡改，丢弃；否则，向用户发送消息[{RAND‖AUTN}N2‖N_HLR]；

步骤十：未通过认证的用户收到返回的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用N2对{RAND‖AUTN}N2进行解密，得到RAND和AUTN，然后根据AUTN计算出序列号SQN，判断SQN是否在正确的范围内，如果不在，则认证失败；否则，再计算出消息认证码XMAC，与AUTN中的消息认证码MAC进行比较，如果不相等，则认证失败；否则表示VLR使用的密钥就是用户发送的N2，从而说明VLR是合法的，实现对VLR的认证；而XMAC＝MAC，也说明了MAC就是HLR用主密钥K计算得到的，从而实现了用户对HLR的认证，进一步计算出参数RES，并用N2对其进行加密并添加另一随机数，通过网关和基站发送到VLR；

步骤十一：VLR收到用户的消息后，判断消息是否是最新的，如果不是，则丢弃，否则，将收到的RES与XRES进行比较，如果不相等，则认证失败，否则就认证成功，证实了用户的合法性，即实现了VLR对用户的认证；

步骤十二：用户计算出加密密钥CK和完整性密钥IK，完成认证过程；

多跳认证的具体实现包括以下步骤：

步骤十三：位于蜂窝网中的用户切换到网关模式后，周期性的在广播信道上发送消息，该消息格式为[SEQ_GW‖ID_cell‖ID_GW‖K_BS‖T_life‖Hop‖N_GW]；其中，SEQ_GW是消息序列号，用于区分消息；ID_cell是网关所在的小区ID；ID_GW是网关的ID；K_BS是基站的公钥；T_life是网关的生存时间，当用户收到一个新的广播消息后，都要刷新该时间；Hop是跳数门限；该消息每经过一跳，其跳数门限值减1，当该值为0时，用户不再转发该消息；该门限的值可以根据网关的中转能力设定；N_GW是网关产生的只使用一次的随机数，用于防止重传攻击；

步骤十四：通过认证的中间用户收到网关的广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，读取跳数Hop，并将其减1，再判断结果是否大于0，如果不大于0，说明消息传播的跳数已经达到门限，用户将不再广播；否则，说明消息传播的跳数还没有到达门限，可以继续广播，此时，用户在已经预约的时隙上转发广播消息，格式为[SEQ_GW‖ID_cell‖ID_GW‖ID_inter1‖K_BS‖T_life‖Hop-1‖N_GW]，其中，ID_inter1表示中间用户的ID，Hop-1表示将收到的消息中的跳数减1；

步骤十五：每一个用户收到广播消息后，都进行如同步骤二的判断，并将自己的ID加入到消息中，且修改跳数；假设消息的格式为[SEQ_GW‖ID_cell‖ID_GW‖ID_inter1‖...‖ID_interi‖K_BS‖T_life‖Hop-i‖N_GW]，其中，ID_interi表示第i个用户的ID；

步骤十六：未通过认证的用户收到广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，沿着广播消息路径的逆方向，在预约的时隙内向网关发送认证请求的消息[SEQ‖ID_GW‖ID_inter1‖...‖ID_interi‖{N1}K_BS‖TID‖{N2}‖N_MS]；其中，SEQ是消息序列号，用于区分消息，ID_GW是网关ID。ID_inter1和ID_interi是中间用户的ID，N1是用户产生的随机数，{N1}K_BS表示用基站的公钥对N1进行加密，TID＝N1⊕IMSI，表示N1与用户的IMSI异或，从而防止IMSI在无线链路上以明文传送，N2是用户产生的另一随机数，作为与VLR共享的密钥，{N2}K表示以用户与HLR共享的密钥对N2进行加密，这是为了实现用户对VLR的认证，N_MS是用户产生的只使用一次的随机数，用于防止重传攻击；

步骤十七：邻近未通过认证的用户的第一个中间用户收到认证请求消息后，根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向下一中间用户转发如下的消息 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_i\right];$ 其中，

表示用中间用户ID_interi的加密密钥CK_interi对TID加密，进一步保护IMSI，防止其在无线链路上以明文传送，MAC_i是消息认证码，且 ${\mathrm{MAC}}_i=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}>{\mathrm{IK}}_{\mathrm{interi}},$ 表示用中间用户ID_interi的完整性密钥IK_interi对消息计算认证码，保证消息的完整性；

步骤十八：其余的中间节点收到认证请求消息后，首先根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，用自己的完整性密钥对收到的消息计算消息认证码MAC_j，并将其叠加在消息的后面，即 ${\mathrm{MAC}}_j=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|{\mathrm{MAC}}_{j+1}>{\mathrm{IK}}_{\mathrm{interj}},$ 表示中间用户ID_interj的消息认证码，IK_interj是中间用户ID_interj的完整性密钥，节点转发的消息格式为 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N3\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right|\left|\right\{N4\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_j\right],$ 通过对消息认证码进行迭代，可以保证每个消息的后部只含有一个消息认证码，使得消息在传递过程中，并不会增加长度，从而可以节省带宽；

步骤十九：网关收到用户的认证请求消息后，首先根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向基站发送消息，消息格式为 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_{\mathrm{GWM}}\right],$ 其中

表示用网关的加密密钥CK_GW对TID加密，进一步保护IMSI，防止其在无线链路中以明文传送，其中 ${\mathrm{MAC}}_{\mathrm{GWM}}=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N1\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N2\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|{\mathrm{MAC}}_1>{\mathrm{IK}}_{\mathrm{GW}},$ IK_GW是网关的完整性密钥；

步骤二十：基站收到网关的消息后，首先根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，获取从未认证用户到基站的路径上的所有节点的ID，然后依次使用这些用户的完整性密钥对消息进行认证码计算，将最后计算出的消息认证码MAC_BS，与MAC_GWM比较，如果两者不相等，说明消息被篡改或者存在伪用户，丢弃；否则，说明消息是完整的，而且中间用户都是合法的，此时，基站用自己的私钥对{N1}K_BS进行解密，得到N1；然后用ID_interi的加密密钥CK_interi对进行解密，得到TID＝N1⊕IMSI；再将TID与N1进行异或，得到IMSI＝TID⊕N1＝(N1⊕IMSI)⊕N1；最后向VLR发送如下的消息[IMSI‖{N2}K‖N_MS]；

步骤二十一：VLR收到基站的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，再根据IMSI找到用户的HLR，向HLR发送如下的消息[{IMSI‖{N2}K}K_HV‖N_MS]，K_HV是HLR与VLR的共享密钥；

步骤二十二：HLR收到VLR的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{IMSI‖{N2}K}K_HV进行解密，根据得到的IMSI，找到对应用户的密钥K，再对{N2}K进行解密，得到N2，然后生成用户的认证向量AV，AV＝RAND‖XRES‖CK‖IK‖AUTN，最后向VLR发送消息[{AV‖N2}K_HV‖N_HLR]，其中，RAND是HLR产生的随机数，XRES是期望收到的用户的回复，CK是用户的加密密钥，IK是用户的完整性密钥，AUTN是认证令牌环，N_HLR是HLR产生的随机数，用于防止重传攻击；

步骤二十三：VLR收到HLR的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{AV‖N2}K_HV进行解密，得到AV和N2，然后VLR向基站发送消息[{RAND‖AUTN}N2‖N_HLR]；

步骤二十四：基站收到VLR的消息后，首先根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，基站依次用网关、ID_inter1...ID_interi的完整性密钥对收到的消息计算认证码，依次得到MAC_GWM′、MAC₁′、...、MAC_i′，即MAC_GWM′＝<{RAND‖AUTN}N2‖N_HLR>IK_GW，MAC_i′＝<{RAND‖AUTN}N2‖N_HLR>IK_interi，然后向网关发送消息[{RAND‖AUTN}N2‖N_HLR‖MAC_GWM′‖MAC₁′‖...‖MAC_i′]，IK_interi是中间用户ID_interi的完整性密钥。

步骤二十五：网关收到基站的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用自己的完整性密钥对消息计算认证码，即MAC_GW″＝<{RAND‖AUTN}N2‖N_HLR>IK_GW，再判断MAC_GW″与MAC_GWM′是否相等，如果不相等，则说明消息被篡改，丢弃；否则，向ID_inter1发送消息[{RAND‖AUTN}N2‖N_HLR‖MAC₁′‖...‖MAC_i′]；

步骤二十六：中间用户收到返回的消息后，进行如同步骤十三的操作，即用自己的完整性密钥对消息计算认证码，判断和收到的认证码是否相等，如果不相等，说明消息被篡改，丢弃；否则，往下一用户发送消息，如果消息都是完整的，则最后，用户ID_interi向未通过认证用户发送消息[{RAND‖AUTN}N2‖N_HLR]；

步骤二十七：未通过认证的用户收到返回的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用N2对{RAND‖AUTN}N2进行解密，得到RAND和AUTN，然后根据AUTN计算出序列号SQN，判断SQN是否在正确的范围内，如果不在，则认证失败；否则，再计算出消息认证码XMAC，与AUTN中的消息认证码MAC进行比较，如果不相等，则认证失败；否则表示VLR使用的密钥就是用户发送的N2，从而说明VLR是合法的，实现对VLR的认证；而XMAC＝MAC，也说明了MAC就是HLR用主密钥K计算得到的，从而实现了用户对HLR的认证，进一步计算出RES，并用N2对其进行加密并添加另一随机数，通过中间用户、网关和基站发送到VLR；

步骤二十八：VLR收到用户的消息后，判断消息是否是最新的，如果不是，则丢弃，否则，将收到的RES与XRES进行比较，如果不相等，则认证失败，否则就认证成功，证实了用户的合法性，即实现了VLR对用户的认证；

步骤二十九：用户计算出加密密钥CK和完整性密钥IK，完成认证过程。

完成认证过程。整个认证过程的流程图如图1所示。

本发明的目的是为了实现TD-SCDMA与自组织网络融合中的用户通过单跳或多跳的方式与蜂窝网进行双向安全认证。图1是应用场景之一。下面分别给出单跳和两跳的认证实例。

本发明的实例一是位于基站覆盖区外的用户以单跳的方式通过网关、基站向蜂窝网请求认证，从而实现双向认证的过程，如图2中的链路1。整个认证过程的信令流程如图3所示。

首先网关(GW)已经通过了网络的认证，并且获得了基站的公钥K_BS和自身的加密密钥CK和完整性密钥IK，切换到网关模式并周期性的在广播信道上发送消息，消息格式为[SEQ_GW‖ID_cell‖ID_GW‖K_BS‖T_life‖Hop‖N_GW]。其中，SEQ_GW是消息序列号，用于区分消息。ID_cell是网关所在的小区ID。ID_GW是网关的ID。K_BS是基站的公钥。T_life是网关的生存时间，当用户收到一个新的广播消息后，都要刷新该时间。Hop是跳数门限，这里取Hop＝2，该消息每经过一跳，其跳数门限值减1，当该值为0时，用户不再转发该消息。N_GW是网关产生的只使用一次的随机数，用于防止重传攻击。

未通过认证的用户(MS)收到网关的广播消息后，通过T_life判断该消息是否有效，无效则丢弃，否则再根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，在预约的时隙内向网关发送认证请求的消息[SEQ‖ID_GW‖{N1}K_BS‖TID‖{N2}K‖N_MS]。其中，SEQ是消息序列号，用于区分消息。ID_GW是网关ID。N1是用户产生的随机数，{N1}K_BS表示用基站的公钥对N1进行加密。TID＝N1⊕IMSI，表示N1与用户的IMSI异或，从而防止IMSI在无线链路上以明文传送。N2是用户产生的另一随机数，作为与VLR共享的密钥，{N2}K表示以用户与HLR共享的密钥对N2进行加密，这是为了实现用户对VLR的认证。N_MS是用户产生的只使用一次的随机数，用于防止重传攻击。

网关收到用户的认证请求后，根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向基站转发消息 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{GW}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|\mathrm{MAC}1\right].$ 其中，TID＝N1⊕IMSI，表示N1与用户的IMSI异或，

表示用网关的加密密钥CK_GW对TID加密，进一步对IMSI进行保护，防止其在无线链路上以明文传送。MAC1是消息认证码，且 $\mathrm{MAC}1=<{\mathrm{ID}}_{\mathrm{GW}}\left|\right|\left\{N1\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{GW}}}\left|\right|\left\{N2\right\}K\left|\right|N_{\mathrm{MS}}>\mathrm{IK},$ 表示用网关的完整性密钥IK对消息进行加密，保证消息的完整性。

基站(BS)收到网关的消息后，判断消息是否是最新的，如果不是，则丢弃；否则，用网关的完整性密钥IK对收到的消息进行计算，如果计算出来的值不等于MAC1，表示消息已被篡改，丢弃；否则继续判断N_MS是否是最新收到的，如果不是，则视为重传消息，丢弃；否则用自己的私钥对{N1}K_BS进行解密，得到N1；然后用网关的加密密钥CK_GW对

进行解密，得到TID＝N1⊕IMSI；再将TID与N1进行异或，得到IMSI＝TID⊕N1＝(N1⊕IMSI)⊕N1。通过利用网关的加密密钥CK和完整性密钥IK来计算，也可以验证网关的合法性，从而防止伪网关攻击。最后向VLR发送如下的消息[IMSI‖{N2}K‖N_MS]。

VLR收到基站的消息后，判断消息是否是最新的，如果不是，则丢弃；否则，根据IMSI找到用户的HLR，向HLR发送如下的消息[{IMSI‖{N2}K}K_HV‖N_MS]。

HLR收到VLR的消息后，判断消息是否是最新的，如果不是则丢弃，否则，用K_HV对{IMSI‖{N2}K}K_HV进行解密，得到IMSI，再用与用户的共享密钥K对{N2}K进行解密，得到N2。然后生成用户的认证向量AV，AV＝RAND‖XRES‖CK‖IK‖AUTN，最后向VLR发送消息[{AV‖N2}K_HV‖N_HLR]，N_HLR是HLR产生的随机数，用于防止重传攻击。

VLR收到HLR的消息后，根据N_HLR判断消息是否是最新的，如果不是则丢弃，否则，用K_HV对{AV‖N2}K_HV进行解密，得到AV和N2，然后VLR向基站发送消息[{RAND‖AUTN}N2‖N_HLR]。

基站判断消息是否是最新的，如果不是则丢弃；否则，用网关的完整性密钥IK对收到的消息进行计算，得到MAC2＝<{RAND‖AUTN}N2‖N_HLR>IK，再向网关发送消息[{RAND‖AUTN}N2‖N_HLR‖MAC2]。

网关收到基站的消息后，判断消息是否是最新的，如果不是则丢弃；否则，用自己的完整性密钥IK对消息进行计算，如果计算结果不等于MAC2，表示消息已被篡改，丢弃；否则向用户发送消息[{RAND‖AUTN}N2‖N_HLR]。

用户收到网关的消息后，判断消息是否是最新的，如果不是则丢弃；否则，用N2对{RAND‖AUTN}N2进行解密，得到RAND和AUTN，接着根据AUTN计算出SQN，判断其是否在正确的范围内，如果不在正确范围内，则认证失败，否则再计算出XMAC，与AUTN中的MAC进行比较，如果不相等，则认证失败；否则表示VLR使用的密钥就是用户发送的N2，从而说明VLR是合法的，实现了对VLR的认证，而XMAC＝MAC，也说明了MAC就是HLR用主密钥K计算得到的，从而实现了用户对HLR的认证。进一步计算出RES，并用N2对其进行加密，然后添加另一随机数，通过网关、基站发送到VLR。

VLR收到用户的消息后，判断消息是否是最新的，如果不是，则丢弃；否则，将收到的RES与XRES进行比较，如果不等，则认证失败，否则就认证成功，证实了用户的合法性，实现了对用户的认证。用户计算出加密密钥CK和完整性密钥IK，完成认证过程。从该过程可以看出，它实现了用户对VLR和HLR的认证以及VLR对用户的认证。

本发明的实例二是位于基站覆盖区外的用户以两跳的方式通过中间用户、网关、基站向蜂窝网请求认证，从而实现双向认证的过程，如图2中的链路2。整个认证过程的信令流程如图4所示。

首先网关(GW)和中间用户(MS1)都通过了认证过程，并且得到了各自的加密密钥和完整性密钥。网络中存在公共广播信道，各用户都预约了自己的发送时隙。网关在广播信道上周期性的发送消息，该消息格式为[SEQ_GW‖ID_cell‖ID_GW‖K_BS‖T_life‖Hop‖N_GW]。这里取Hop＝2。

中间用户收到网关的消息后，通过T_life判断该消息是否有效，无效则丢弃；否则再根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，再读取跳数Hop，并将其减1，此时结果为1，大于0，说明消息传播的跳数还没有到达门限，可以继续广播，用户在广播信道上发送如下的消息[SEQ_GW‖ID_cell‖ID_GW‖ID_inter1‖K_BS‖T_life‖Hop-1‖N_GW]。其中ID_inter1是中间用户的ID。

未通过认证的用户(MS)收到中间用户的消息后，通过T_life判断该消息是否有效，无效则丢弃；否则再根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，在预约的时隙内向中间用户发送认证请求消息[SEQ‖ID_GW‖ID_inter1‖{N3}K_BS‖TID‖{N4}K‖N_MS]。其中，N3是用户产生的随机数，{N3}K_BS表示用基站的公钥对N3进行加密。TID＝N3⊕IMSI，表示N3与用户的IMSI异或，从而防止IMSI在无线链路上以明文传送。N4是用户产生的另一随机数，作为与VLR共享的密钥，{N4}K表示以用户与HLR共享的密钥对N4进行加密，这是为了实现用户对VLR的认证。N_MS是用户产生的只使用一次的随机数，用于防止重传攻击。

中间用户收到未通过认证的用户的认证请求消息后，根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向网关发送消 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right|\left|\right\{N3\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{inter}1}}\right|\left|\right\{N4\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_{\mathrm{inter}1}\right].$ 其中，

表示用中间用户的加密密钥CK_inter1对TID加密，从而防止IMSI在无线链路上以明文传送。MAC_inter1是消息认证码，且 ${\mathrm{MAC}}_{\mathrm{inter}1}=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{inter}1}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}>{\mathrm{IK}}_{\mathrm{inter}1},$ 表示用中间用户ID_inter1的完整性密钥IK_inter1对消息进行加密，保证消息的完整性。

网关收到中间用户的消息后，首先根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，用自己的完整性密钥对收到的消息计算消息认证码MAC_GW，并将其叠加在消息的后面，即 ${\mathrm{MAC}}_{\mathrm{GW}}=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{inter}1}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|\mathrm{MA}{C}_{\mathrm{inter}1}>{\mathrm{IK}}_{\mathrm{GW}},$ 网关向基站发送的消息为 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right|\left|\right\{N3\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{inter}1}}\right|\left|\right\{N4\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_{\mathrm{GW}}\right].$

基站(BS)收到网关的消息后，根据N_MS判断消息是否是最新收到的，如果不是则丢弃；否则，依次用中间用户和网关的完整性密钥对消息计算认证码，即先计算 ${{\mathrm{MAC}}_{\mathrm{inter}1}}^{*}=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}\left|\right|{\{\mathrm{TID}}_{{\mathrm{CK}}_{\mathrm{inter}1}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}>{\mathrm{IK}}_{\mathrm{inter}1},$ 再计算 ${{\mathrm{MAC}}_{\mathrm{GW}}}^{*}=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{inter}1}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|{{\mathrm{MAC}}_{\mathrm{inter}1}}^{*}>{\mathrm{IK}}_{\mathrm{GW}},$ 最后判断MAC_GW与MAC_GW ^*是否相等，如果不相等，说明消息被篡改，或者中间节点与网关存在伪节点，基站丢弃该消息；如果相等，说明消息是完整的，而且中间用户都是合法的，此时，基站用自己的私钥对{N3}K_BS进行解密，得到N3；然后用ID_inter1的加密密钥CK_inter对

进行解密，得到TID＝N3⊕IMSI；再将TID与N3进行异或，得到IMSI＝TID⊕N3＝(N3⊕IMSI)⊕N3。最后向VLR发送如下的消息[IMSI‖{N4}K‖N_MS]。

VLR收到基站的消息后，根据N_MS判断消息是否是最新的，如果不是则丢弃；否则，根据IMSI找到用户的HLR，向HLR发送如下的消息[{IMSI‖{N4}K}K_HV‖N_MS]。

HLR收到VLR的消息后，根据N_MS判断消息是否是最新的，如果不是则丢弃；否则，用K_HV对{IMSI‖{N4}K}K_HV进行解密，得到IMSI，再用与用户共享的密钥K对{N4}K进行解密，得到N4。然后生成用户的认证向量AV，AV＝RAND‖XRES‖CK‖IK‖AUTN，最后向VLR发送消息[{AV‖N4}K_HV‖N_HLR]，其中，N_HLR是HLR产生的随机数，用于防止重传攻击。

VLR收到HLR的消息后，根据N_HLR判断消息是否是最新的，如果不是则丢弃；否则，用K_HV对{AV‖N4}K_HV进行解密，得到AV和N4，然后VLR向基站发送消息[{RAND‖AUTN}N4‖N_HLR]。

基站收到消息后，根据N_HLR判断消息是否是最新的，如果不是则丢弃；否则，依次用网关和中间用户的完整性密钥对收到的消息计算认证码，依次得到MAC_GW′、MAC_inter1′，即MAC_GW′＝<{RAND‖AUTN}N4‖N_HLR>IK_GW，MAC_inter1′＝<{RAND‖AUTN}N4‖N_HLR>IK_inter1。然后基站向网关发送消息[{RAND‖AUTN}N4‖N_HLR‖MAC_GW′‖MAC_inter1′]。

网关收到基站的消息后，根据N_HLR判断消息是否是最新的，如果不是则丢弃；否则，用自己的完整性密钥对消息计算认证码，即MAC_GW ^**＝<{RAND‖AUTN}N4‖N_HLR>IK_GW，如果MAC_GW ^**≠MAC_GW′，则说明消息被篡改，丢弃；否则，向ID_inter1发送消息[{RAND‖AUTN}N4‖N_HLR‖MAC_inter1′]。

中间用户收到返回的消息后，根据N_HLR判断消息是否是最新的，如果不是则丢弃；否则，也用自己的完整性密钥对消息计算认证码，即MAC_inter1 ^**＝<{RAND‖AUTN}N4‖N_HLR>IK_inter1，如果MAC_inter1 ^**≠MAC_inter1′，则说明消息被篡改，丢弃；否则，向未通过认证的用户发送消息[{RAND‖AUTN}N4‖N_HLR]。

未通过认证的用户收到返回的消息后，根据N_HLR判断消息是否是最新的，如果不是则丢弃；否则，用N4对{RAND‖AUTN}N4进行解密，得到RAND和AUTN，根据AUTN计算出SQN，判断其是否在正确范围内，如果不在正确范围内，则认证失败；否则计算出XMAC，与AUTN中的MAC进行比较，如果不相等，则认证失败；否则表示VLR使用的密钥就是用户发送的N4，从而说明VLR是合法的，实现了对VLR的认证，而XMAC＝MAC，也说明了MAC就是HLR用主密钥K计算得到的，从而实现了用户对HLR的认证。进一步计算出RES，并用N4对其进行加密，添加另一个随机数，通过中间用户、网关和基站发送到VLR。

VLR收到用户的消息后，判断消息是否是最新的，如果不是则丢弃；否则，将收到的RES与XRES进行比较，如果不等，则认证失败，否则就认证成功，证实了用户的合法性，实现了对用户的认证。用户计算出加密密钥CK和完整性密钥IK，完成认证过程。从该过程可以看出，它实现了用户对VLR和HLR的认证以及VLR对用户的认证。

综上所述仅为本发明的两个实施例而已，并非用来限制本发明的实施范围。即凡依本发明申请专利范围的内容所做的等效变化与修饰，都应为本发明的技术范畴。

Claims (1)

1.一种时分同步码分多址与自组织网络融合的认证方法，其特征在于该认证方法有单跳认证：即邻近网关的用户以单跳的方式通过网关、基站实现与蜂窝网的双向认证；多跳认证：即远离网关的用户以多跳的方式通过中间用户、网关和基站实现与蜂窝网的双向认证，

其中，单跳认证的具体实现包括以下步骤：

步骤一：位于蜂窝网中的用户切换到网关模式后，周期性的在广播信道上发送消息，该消息格式为[SEQ_GW||ID_cell||ID_GW||K_BS||T_life||Hop||N_GW]。其中，SEQ_GW是消息序列号，用于区分消息；ID_cell是网关所在的小区ID；ID_GW是网关的ID，K_BS是基站的公钥；T_life是网关的生存时间，当用户收到一个新的广播消息后，都要刷新该时间；Hop是跳数门限；该消息每经过一跳，其跳数门限值减1，当该值为0时，用户不再转发该消息；该门限的值可以根据网关的中转能力设定；N_GW是网关产生的只使用一次的随机数，用于防止重传攻击；符号“||”表示字符串的串联，下文中的该符号都表示这个含义；

步骤二：自组织网络中未通过认证的用户收到网关的广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，在预约的时隙内向网关发送认证请求的消息[SEQ||ID_GW||{N1}K_BS||TID||{N2}K||N_MS]；其中，SEQ是消息序列号，用于区分消息；ID_GW是网关ID；N1是用户产生的随机数；{N1}K_BS表示用基站的公钥对N1进行加密； $\mathrm{TID}=N1\&CirclePlus;\mathrm{IMSI}$ ，表示N1与用户的IMSI异或，从而防止IMSI在无线链路上以明文传送，IMSI是用户的国际移动用户标识；N2是用户产生的另一随机数，作为与VLR(访问位置寄存器)共享的密钥；K是用户与HLR(归属位置寄存器)共享的密钥；{N2}K表示以用户与HLR共享的密钥对N2进行加密，这是为了实现用户对VLR的认证；N_MS是用户产生的只使用一次的随机数，用于防止重传攻击；

步骤三：网关收到用户的认证请求消息后，首先根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向基站发送消息 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{GW}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_{\mathrm{GWS}}\right]$ 。其中CK_GW表示网关的加密密钥，

表示用网关的加密密钥CK_GW对TID加密，进一步保护IMSI，防止其在无线链路中以明文传送，MAC_GWS是消息认证码，且 ${\mathrm{MAC}}_{\mathrm{GWS}}=<$ $\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|\left\{N1\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{OW}}}\left|\right|\left\{N2\right\}K\left|\right|N_{\mathrm{MS}}>{\mathrm{IK}}_{\mathrm{GW}},$ 其中IK_GW是网关的完整性密钥。

步骤四：基站收到网关的消息后，首先根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，利用网关的完整性密钥对消息进行认证码计算，将最后计算出的消息认证码MAC_BS，与MAC_GWS比较，如果两者不相等，说明消息被篡改或者存在伪网关，丢弃；否则，说明消息是完整的，网关是合法的；此时，基站用自己的私钥K_BS对{N1}K_BS进行解密，得到N1；再用网关的加密密钥CK_GW对

解密，得到 $\mathrm{TID}=N1\&CirclePlus;\mathrm{IMSI}$ ；再将TID与N1进行异或，得到 $\mathrm{IMSI}=\mathrm{TID}\&CirclePlus;N1=(N1\&CirclePlus;\mathrm{IMSI})\&CirclePlus;N1$ ，最后向VLR发送如下的消息[IMSI||{N2}K||N_MS]；

步骤五：VLR收到基站的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，再根据IMSI找到用户的HLR，向HLR发送如下的消息[{IMSI||{N2}K}K_HV||N_MS]，其中K_HV是HLR与VLR的共享密钥。

步骤六：HLR收到VLR的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{IMSI||{N2}K}K_HV进行解密，根据得到的IMSI，找到对应用户的密钥K，再对{N2}K进行解密，得到N2，然后生成用户的认证向量AV，AV＝RAND||XRES||CK||IK||AUTN，最后向VLR发送消息[{AV||N2}K_HV||N_HLR]，其中，RAND是HLR产生的随机数，XRES是期望收到的用户的回复，CK是用户的加密密钥，IK是用户的完整性密钥，AUTN是认证令牌环，N_HLR是HLR产生的随机数，用于防止重传攻击；

步骤七：VLR收到HLR的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{AV||N2}K_HV进行解密，得到AV和N2，然后VLR向基站发送消息[{RAND||AUTN}N2||N_HLR]；

步骤八：基站收到VLR的消息后，首先根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用网关的完整性密钥对消息计算认证码，得到MAC_GWS′＝<{RAND||AUTN}N2||N_HLR>IK_GW，然后向网关发送消息[{RAND||AUTN}N2||N_HLR||MAC_GWS′]；

步骤九：网关收到基站的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用自己的完整性密钥对消息计算认证码，即MAC_GW″＝<{RAND||AUTN}N2||N_HLR>IK_GW，再判断MAC_GW″与MAC_GWS′是否相等，如果不相等，说明消息被篡改，丢弃；否则，向用户发送消息[{RAND||AUTN}N2||N_HLR]；

步骤十：未通过认证的用户收到返回的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用N2对{RAND||AUTN}N2进行解密，得到RAND和AUTN，然后根据AUTN计算出序列号SQN，判断SQN是否在正确的范围内，如果不在，则认证失败；否则，再计算出消息认证码XMAC，与AUTN中的消息认证码MAC进行比较，如果不相等，则认证失败；否则表示VLR使用的密钥就是用户发送的N2，从而说明VLR是合法的，实现对VLR的认证；而XMAC＝MAC，也说明了MAC就是HLR用主密钥K计算得到的，从而实现了用户对HLR的认证，进一步计算出参数RES，并用N2对其进行加密并添加另一随机数，通过网关和基站发送到VLR；

步骤十一：VLR收到用户的消息后，判断消息是否是最新的，如果不是，则丢弃，否则，将收到的RES与XRES进行比较，如果不相等，则认证失败，否则就认证成功，证实了用户的合法性，即实现了VLR对用户的认证；

步骤十二：用户计算出加密密钥CK和完整性密钥IK，完成认证过程；

多跳认证的具体实现包括以下步骤：

步骤十三：位于蜂窝网中的用户切换到网关模式后，周期性的在广播信道上发送消息，该消息格式为[SEQ_GW||ID_cell||ID_GW||K_BS||T_life||Hop||N_GW]；其中，SEQ_GW是消息序列号，用于区分消息；ID_cell是网关所在的小区ID；ID_GW是网关的ID；K_BS是基站的公钥；T_life是网关的生存时间，当用户收到一个新的广播消息后，都要刷新该时间；Hop是跳数门限；该消息每经过一跳，其跳数门限值减1，当该值为0时，用户不再转发该消息；该门限的值可以根据网关的中转能力设定；N_GW是网关产生的只使用一次的随机数，用于防止重传攻击；

步骤十四：通过认证的中间用户收到网关的广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，读取跳数Hop，并将其减1，再判断结果是否大于0，如果不大于0，说明消息传播的跳数已经达到门限，用户将不再广播；否则，说明消息传播的跳数还没有到达门限，可以继续广播，此时，用户在已经预约的时隙上转发广播消息，格式为[SEQ_GW||ID_cell||ID_GW||ID_inter1||K_BS||T_life||Hop-1||N_GW]，其中，ID_inter1表示中间用户的ID，Hop-1表示将收到的消息中的跳数减1；

步骤十五：每一个用户收到广播消息后，都进行如同步骤二的判断，并将自己的ID加入到消息中，且修改跳数；假设消息的格式为[SEQ_GW||ID_cell||ID_GW||ID_inter1||...||ID_interi||K_BS||T_life||Hop-i||N_GW]，其中，ID_interi表示第i个用户的ID；

步骤十六：未通过认证的用户收到广播消息后，通过判断T_life是否在有效范围内来确定该消息是否有效，无效则丢弃，否则根据N_GW判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，沿着广播消息路径的逆方向，在预约的时隙内向网关发送认证请求的消息[SEQ||ID_GW||ID_inter1||...||ID_interi||{N1}K_BS||TID||{N2}K||N_MS]；其中，SEQ是消息序列号，用于区分消息，ID_GW是网关ID。ID_inter1和ID_interi是中间用户的ID，N1是用户产生的随机数，{N1}K_BS表示用基站的公钥对N1进行加密， $\mathrm{TID}=N1\&CirclePlus;\mathrm{IMSI},$ 表示N1与用户的IMSI异或，从而防止IMSI在无线链路上以明文传送，N2是用户产生的另一随机数，作为与VLR共享的密钥，{N2}K表示以用户与HLR共享的密钥对N2进行加密，这是为了实现用户对VLR的认证，N_MS是用户产生的只使用一次的随机数，用于防止重传攻击；

步骤十七：邻近未通过认证的用户的第一个中间用户收到认证请求消息后，根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向下一中间用户转发如下的消息 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_i\right]$ ；其中，表示用中间用户ID_interi的加密密钥CK_interi对TID加密，进一步保护IMSI，防止其在无线链路上以明文传送，MAC_i是消息认证码，且 ${\mathrm{MAC}}_i=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}>{\mathrm{IK}}_{\mathrm{interi}},$ 表示用中间用户ID_interi的完整性密钥IK_interi对消息计算认证码，保证消息的完整性；

步骤十八：其余的中间节点收到认证请求消息后，首先根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，用自己的完整性密钥对收到的消息计算消息认证码MAC_j，并将其叠加在消息的后面，即 ${\mathrm{MAC}}_j=<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N3\right\}{K}_{\mathrm{BS}}{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|{\mathrm{MAC}}_{j+1}>$ ${\mathrm{IK}}_{\mathrm{interj}},$ 表示中间用户ID_interj的消息认证码，IK_interj是中间用户ID_interj的完整性密钥，节点转发的消息格式为 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N3\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right||$ $\left\{N4\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|{\mathrm{MAC}}_j],$ 通过对消息认证码进行迭代，可以保证每个消息的后部只含有一个消息认证码，使得消息在传递过程中，并不会增加长度，从而可以节省带宽；

步骤十九：网关收到用户的认证请求消息后，首先根据N_MS判断消息是否是最新收到的，如果不是，则视为重传消息，丢弃；否则，向基站发送消息，消息格式为 $\left[\mathrm{SEQ}\right|\left|{\mathrm{ID}}_{\mathrm{GW}}\right|\left|{\mathrm{ID}}_{\mathrm{inter}1}\right||...|\left|{\mathrm{ID}}_{\mathrm{interi}}\right|\left|\right\{N1\left\}{K}_{\mathrm{BS}}\right|\left|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\right|\left|\right\{N2\left\}K\right|\left|N_{\mathrm{MS}}\right|\left|{\mathrm{MAC}}_{\mathrm{GWM}}\right],$ 其中

表示用网关的加密密钥CK_GW对TID加密，进一步保护IMSI，防止其在无线链路中以明文传送，其中 ${\mathrm{MAC}}_{\mathrm{GWM}}=$ $<\mathrm{SEQ}\left|\right|{\mathrm{ID}}_{\mathrm{GW}}\left|\right|{\mathrm{ID}}_{\mathrm{inter}1}\left|\right|...\left|\right|{\mathrm{ID}}_{\mathrm{interi}}\left|\right|\left\{N1\right\}{K}_{\mathrm{BS}}\left|\right|{\left\{\mathrm{TID}\right\}}_{{\mathrm{CK}}_{\mathrm{interi}}}\left|\right|\left\{N2\right\}K\left|\right|N_{\mathrm{MS}}\left|\right|{\mathrm{MAC}}_1>{\mathrm{IK}}_{\mathrm{GW}},$ IK_GW是网关的完整性密钥；

步骤二十：基站收到网关的消息后，首先根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，获取从未认证用户到基站的路径上的所有节点的ID，然后依次使用这些用户的完整性密钥对消息进行认证码计算，将最后计算出的消息认证码MAC_BS，与MAC_GWM比较，如果两者不相等，说明消息被篡改或者存在伪用户，丢弃；否则，说明消息是完整的，而且中间用户都是合法的，此时，基站用自己的私钥对{N1}K_BS进行解密，得到N1；然后用ID_interi的加密密钥CK_interi对进行解密，得到 $\mathrm{TID}=N1\&CirclePlus;\mathrm{IMSI};$ 再将TID与N1进行异或，得到 $\mathrm{IMSI}=\mathrm{TID}\&CirclePlus;N1=(N1\&CirclePlus;\mathrm{IMSI})\&CirclePlus;N1;$ 最后向VLR发送如下的消息[IMSI||{N2}K||N_MS]；

步骤二十一：VLR收到基站的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，再根据IMSI找到用户的HLR，向HLR发送如下的消息[{IMSI||{N2}K}K_HV||N_MS]，K_HV是HLR与VLR的共享密钥；

步骤二十二：HLR收到VLR的消息后，根据N_MS判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{IMSI||{N2}K}K_HV进行解密，根据得到的IMSI，找到对应用户的密钥K，再对{N2}K进行解密，得到N2，然后生成用户的认证向量AV，AV＝RAND||XRES||CK||IK||AUTN，最后向VLR发送消息[{AV||N2}K_HV||N_HLR]，其中，RAND是HLR产生的随机数，XRES是期望收到的用户的回复，CK是用户的加密密钥，IK是用户的完整性密钥，AUTN是认证令牌环，N_HLR是HLR产生的随机数，用于防止重传攻击；

步骤二十三：VLR收到HLR的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用K_HV对{AV||N2}K_HV进行解密，得到AV和N2，然后VLR向基站发送消息[{RAND||AUTN}N2||N_HLR]；

步骤二十四：基站收到VLR的消息后，首先根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，基站依次用网关、ID_inter1...ID_interi的完整性密钥对收到的消息计算认证码，依次得到MAC_GWM′、MAC₁′、...、MAC_i′，即MAC_GWM′＝<{RAND||AUTN}N2||N_HLR>IK_GW，MAC_i′＝<{RAND||AUTN}N2||N_HLR>IK_interi，然后向网关发送消息[{RAND||AUTN}N2||N_HLR||MAC_GWM′||MAC₁′||...||MAC_i′]，IK_interi是中间用户ID_interi的完整性密钥。

步骤二十五：网关收到基站的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用自己的完整性密钥对消息计算认证码，即MAC_GW″＝<{RAND||AUTN}N2||N_HLR>IK_GW，再判断MAC_GW″与MAC_GWM′是否相等，如果不相等，则说明消息被篡改，丢弃；否则，向ID_inter1发送消息[{RAND||AUTN}N2||N_HLR||MAC₁′||...||MAC_i′]；

步骤二十六：中间用户收到返回的消息后，进行如同步骤十三的操作，即用自己的完整性密钥对消息计算认证码，判断和收到的认证码是否相等，如果不相等，说明消息被篡改，丢弃；否则，往下一用户发送消息，如果消息都是完整的，则最后，用户ID_interi向未通过认证用户发送消息[{RAND||AUTN}N2||N_HLR]；

步骤二十七：未通过认证的用户收到返回的消息后，根据N_HLR判断消息是否是最新的，如果不是，则丢弃；否则，用N2对{RAND||AUTN}N2进行解密，得到RAND和AUTN，然后根据AUTN计算出序列号SQN，判断SQN是否在正确的范围内，如果不在，则认证失败；否则，再计算出消息认证码XMAC，与AUTN中的消息认证码MAC进行比较，如果不相等，则认证失败；否则表示VLR使用的密钥就是用户发送的N2，从而说明VLR是合法的，实现对VLR的认证；而XMAC＝MAC，也说明了MAC就是HLR用主密钥K计算得到的，从而实现了用户对HLR的认证，进一步计算出RES，并用N2对其进行加密并添加另一随机数，通过中间用户、网关和基站发送到VLR；

步骤二十八：VLR收到用户的消息后，判断消息是否是最新的，如果不是，则丢弃，否则，将收到的RES与XRES进行比较，如果不相等，则认证失败，否则就认证成功，证实了用户的合法性，即实现了VLR对用户的认证；

步骤二十九：用户计算出加密密钥CK和完整性密钥IK，完成认证过程。

Images