CN101741555A - 身份认证和密钥协商方法及系统 - Google Patents

Abstract

本发明公开了一种身份认证和密钥协商方法及系统，其中，该方法包括：MS根据公钥广播协议从多个VLR中选择一个VLR，获取选择的VLR的公钥，并选择第一随机数；MS将其公钥、HLR的标识、第一随机数、以及利用选择的VLR的公钥加密的MS的国际移动用户识别码即IMSI发送给选择的VLR；选择的VLR利用其私钥解密得到IMSI，利用选择的VLR与HLR的共享密钥对解密的IMSI加密并发送至HLR，并且生成第二随机数，将第二随机数发送给MS；MS利用其私钥、第一随机数、第二随机数构造中间变量，并将中间变量发送给选择的VLR，选择的VLR通过中间变量对MS进行认证。

Description

身份认证和密钥协商方法及系统

技术领域

本发明涉及通信领域，并且特别地，涉及一种身份认证和密钥协商方法及系统。

背景技术

认证和密钥协商(Authentication.and Key Agreement，简称为AKA)或可扩展的认证协议-AKA(Extensible Authentication Protocol-Authentication.and Key Agreement，简称为EAP-AKA)是基于挑战-应答机制和对称密码机制，该机制运行在用户身份识别模块上，基于AKA的认证与密钥分发协议需要三方参与：移动站(MobileStation)，拜访局(VLR)，归属局(HLR)。EAP-AKA协议由VLR发起，VLR首先向MS发送一个EAP请求/身份标志消息，然后就开始了认证与密钥分配过程。下面对相关协议进行描述：

(1)MS→VLR：IMSI，HLR；

(2)VLR→HLR：IMSI；

(3)HLR→VLR：AV＝RAND||XRES||CK||IK||AUTN；

(4)VLR→MS：RAND||AUTN；

(5)MS→VLR：RES。

认证中心AuC产生认证向量组的流程如图1所示，其中，国际移动用户识别码(IMSI)为用户的永久身份识别，AV为认证向量，SQN为序列号，AMF认证管理域，

为认证令牌，MAC＝f1_K(SQN，RAND，AMF)为消息认证码，用于认证消息的正确性，XRES＝f2_K(RAND)为期望的认证回答，CK＝f3_K(RAND)为加密密钥，IK＝f4_K(RAND)为完整性密钥，AK＝f5_K(RAND)为匿名密钥，用于隐藏序列号，RES＝f2_K(RAND)为认证回答，XMAC＝f1_K(SQN，RAND，AMF)为期望的消息认证码，f1至f5为单向陷门函数。

具体地，在MS收到RAND||AUTN后将会计算XMAC并和AUTN中的MAC比较，若两者不同，则向VLR发送拒绝认证消息，认证失败；若两者相同，则MS验证SQN是否为新鲜，如果不能通过验证，MS会向VLR发送同步接收失败消息，此时认证失败；如果上述两项都通过验证，则MS向VLR发送到RES，VLR收到RES后，比较XRES和RES，若不同，认证失败，如果相同则通过认证，认证过程结束。

在上述流程完成后，MS用户与网络之间就实现了双向认证。并且，MS与VLR之间共享了会话密钥，这些密钥可用于通信中的机密性和一致性保护。

具体地，在图1中，f0是一个伪随机数生成函数，只存放于AuC中，用于生成随机数RAND。认证向量中有一个“认证令牌”，即，AUTN，其中包含了一个序列号，使得用户可以避免受到重传攻击。其中，因为序列号可能会暴露用户的身份和位置信息，所以将AK用于在AUTN中隐藏序列号。

当认证中心HLR收到VLR的认证请求时，会发送N个认证向量组给VLR。在VLR中，每个用户的N个认证向量组，按照“先入先出”(FIFO)的规则发送给移动台，用于鉴权认证。

在发送向量组的过程中，VLR会初始化一个认证过程，选择一个认证向量组，发送其中的RAND和AUTN给用户。用户收到RAND||AUTN后，在用户端的身份认证模块中进行如图2所示操作。在图2所示的MS所进行的操作中，MS同样需要根据与AuC中相同的函数f0-f5来进行验证，其处理方式与AuC中的处理过程对应，这里不再重复。

然而，在目前采用的鉴权和密钥协商过程中，存在如下两个问题。

(一)明文传输IMSI或临时移动用户识别码(TMSI)

通过上述过程可以看出，当用户首次注册到网络、或者网络无法从TMSI恢复出IMSI的时候(比如VLR的数据库错误)，拜访地VLR会向用户请求IMSI，用户将向网络以明文形式发送IMSI，此时IMSI的传输非常不安全，很容易导致IMSI被窃听，遭到中间人的攻击。

目前，在3G中可选择使用保密的用户身份来增强用户身份的机密性。MS/USIM在收到VLR的身份请求后，由MS将IMSI加密后嵌入HE-message中，并且用HE-id来向VLR指明可以解密该HE-message的HE/UIC的地址。VLR收到HE-message后，根据HE-id再将该消息传送到相应的HE/UIC，HE/UIC解密后将用户的IMSI传递给VLR。在收到用户的IMSI后，就可以启动TMSI分配过程，此后将使用TMSI来识别移动用户身份。

尽管这种增强型身份加密机制在一定程度上加强了用户身份的机密性，但该方法增加了消息在信道中传输的过程，导致传输时延增加；另一方面，该方法只是将原来由无线接入部分传送明文IMSI的过程变成在网络内传送明文IMSI，并不能彻底解决IMSI安全性的问题；并且，对于移动用户的临时身份TMSI，如果泄漏了，就有可能获得与永久身份标识IMSI之间的映射关系，如果进而获得用户的具体位置信息，这样就可能会发生针对特定用户的拒绝服务攻击。

(二)在目前采用的鉴权和密钥协商过程中，MS和HLR都没有对VLR进行认证。

无线网络处在比较开放的环境中，鉴权和密钥协商协议实现了用户与网络之间的相互认证，即MS和HLR之间的双向认证，以及VLR对MS的认证，但双方都没有对VLR的身份进行认证。因此攻击者X可在MS与VLR之间发起中间人攻击，例如，攻击过程如下：

(1)MS→X：IMSI；

(2)X→VLR：IMSI；

(3)VLR→HLR：IMSI；

(4)HLR→VLR：AV＝RAND||XRES||CK||IK||AUTN；

(5)VLR→X：RAND||AUTN；

(6)X→MS：RAND||AUTN；

(7)MS→X：RES；

(8)X→VLR：RES。

这样，由于HLR将无线网通信中机密性和完整性保护的会话密钥直接以明文的形式发送给VLR，攻击者X就可以假冒该MS入网，此时，由于CK与IK未在无线接口中传输，所以攻击者无法获得这些密钥而进行正常的通信，但是如果攻击者X对VLR与HLR之间的信息进行窃听，就可能获得HLR传给VLR的认证向量AV，进而获得CK与IK。此后攻击者X再假冒该MS入网，即，可实现正常的保密通信，而合法用户传送的信息也就失去了保密性。另外，由于用户在不同的公共陆地移动网络(Public Land Mobile Network，简称为PLMN)之间漫游，这些不同的PLMN甚至可以位于不同的国家，为了对用户进行鉴权认证，HLR(用户的本地网络)会将用户的鉴权五元组发送到用户当前漫游的网络的VLR，在这个过程中，用户鉴权向量组将穿过不同的网络，因此很容易受到攻击。

如果攻击者首先利用某种方式(如DoS攻击)攻陷VLR，然后假冒成VLR则可以获取无线网的会话密钥，这样就使得无线网的通信失去了保密性。

针对相关技术中IMSI和密钥传输保密性差的问题，目前尚未提出有效的解决方案。

发明内容

考虑到上述IMSI和密钥传输保密性差的问题而做出本发明，为此，本发明的主要目的在于提供一种身份认证和密钥协商方法和系统。

根据本发明的一个方面，提供了一种身份认证和密钥协商方法，该方法可应用于包括证书授权中心即CA、归属局即HLR、多个拜访局即VLR、以及隶属于HLR的移动站即MS的系统，其中，CA用于为HLR、多个VLR、以及MS颁发公钥和私钥。

根据本发明的身份认证和密钥协商方法包括：MS根据公钥广播协议从多个VLR中选择一个VLR，获取选择的VLR的公钥，并选择第一随机数；MS将其公钥、HLR的标识、第一随机数、以及利用选择的VLR的公钥加密的MS的国际移动用户识别码即IMSI发送给选择的VLR；选择的VLR利用其私钥解密得到IMSI，利用选择的VLR与HLR的共享密钥对解密的IMSI加密并发送至HLR，并且生成第二随机数，将第二随机数发送给MS；MS利用其私钥、第一随机数、第二随机数构造中间变量，并将中间变量发送给选择的VLR，选择的VLR通过中间变量对MS进行认证。

其中，在VLR向MS发送第二随机数时，该方法可进一步包括：选择的VLR利用第一随机数以预定加密方式对HLR的身份令牌、第二随机数、以及MS的临时移动用户识别码进行加密并发送至MS。优选地，预定加密方式为异或操作。

之后，在HLR接收到IMSI之后，该方法可进一步包括：HLR利用共享密钥解密得到IMSI，生成多个认证向量组，并利用共享密钥对多个认证向量组加密并发送至选择的VLR；选择的VLR利用共享密钥解密得到认证向量组，并从中选择一个认证向量组发送给MS。

此外，在MS首次通过认证的情况下，该方法还可以进一步包括：MS利用其TMSI替代IMSI。

其中，在MS通过首次认证后，该方法可进一步包括：选择的VLR产生新的TMSI，用于在MS进行下次认证的情况下分配给MS以替代原有的TMSI。

优选地，CA可根据以下公式生成MS的公钥：

${\mathrm{PK}}_{\mathrm{MS}}={(g^{{-\mathrm{SK}}_{\mathrm{MS}}}-\mathrm{IMSI}-{\mathrm{ID}}_H)}^d\mathrm{mod}n$

其中，PK_MS为MS的公钥；n为CA的长度为1024bit以上的模数；g为基元，且g为整数；d为CA的签字私钥；e为CA的验证公钥；SK_MS为CA为用户随机选取的私钥，其长度为160bit以上；ID_H为HLR的标识；IMSI为MS的国际移动用户识别码。

并且，MS可根据以下公式得到中间变量：

Y＝N_MS+N_V×SK_MS

其中，y为中间变量，NU为第一随机数，NMS为第二随机数，SKMS为MS的私钥。

其中，VLR可根据以下公式对MS进行认证：

$H\left[g^y{({{\mathrm{PK}}_{\mathrm{MS}}}^e+\mathrm{IMSI}+{\mathrm{ID}}_H)}^{N_V}\mathrm{mod}n\right]=x$

其中，在该公式成立的情况下，确定MS通过认证，否则确定MS未通过认证；

g为基元，且g为整数；y为中间变量；PK_MS为MS的公钥；IMSI为MS的国际移动用户识别码；ID_H为HLR的标识；n为CA的长度为1024bit以上的模数；x等于

H为hash运算。

根据本发明的另一方面，提供了一种身份认证和密钥协商系统。

根据本发明的身份认证和密钥协商系统包括证书授权中心即CA、归属局即HLR、多个拜访局即VLR、以及隶属于HLR的移动站即MS的系统，其中，CA用于为HLR、多个VLR、以及MS颁发公钥和私钥。

其中，MS用于根据公钥广播协议从多个VLR中选择一个VLR，并随机选择第一随机数；利用选择的VLR的公钥对MS的国际移动用户识别码即IMSI进行第一加密，并将MS的公钥、HLR的标识、第一随机数、以及第一加密的IMSI发送给选择的VLR，以及利用MS的私钥、第一随机数、选择的VLR返回的第二随机数构造中间变量；

多个VLR中的每个VLR，用于在其被MS选择的情况下，利用其私钥对来自MS的第一加密后的IMSI进行解密得到IMSI，利用VLR与HLR的共享密钥对解密的IMSI进行第二加密，将第二加密后的IMSI发送至HLR，并将生成的第二随机数发送至MS，以及根据MS生成的中间变量对MS进行认证；

HLR用于利用共享密钥对加密的IMSI进行解密。

优选地，MS可以进一步包括：选择模块，用于根据公钥广播协议从多个VLR中选择所选的VLR，并随机选择第一随机数；获取模块，用于获取选择的VLR的公钥；第一加密模块，用于利用选择的VLR的公钥进行第一加密；第一发送模块，用于将MS的公钥、HLR的标识、第一随机数、以及第一加密的IMSI发送给选择的VLR；构造模块，用于利用MS的私钥、第一随机数、选择的VLR返回的第二随机数构造中间变量。

另外，VLR可以进一步包括：第一解密模块，用于利用其所在的VLR的私钥对第一加密后的IMSI进行解密得到IMSI；第二加密模块，用于利用其所在的VLR与HLR的共享密钥对解密的IMSI进行第二加密；第二发送模块，用于将第二加密模块加密后的IMSI发送至HLR；生成模块，用于生成第二随机数，并将第二随机数发送至MS；认证模块，用于根据MS构造的中间变量对MS进行认证。

此外，上述的VLR可以进一步包括：第二解密模块，用于利用共享密钥对第二加密的IMSI进行解密。

借助本发明的上述技术方案，通过引入可信的CA来分配公钥和私钥，实现了基于自验证公钥的密钥交互方法，能够有效解决相关技术中IMSI和TMSI明文传输所带来的用户身份和位置信息被泄漏的安全隐患，并且解决了由于缺乏对VLR的认证而导致容易被伪基站或中间人攻击的问题，本发明增加了少量加解密和异或的运算量，有效保证了IMSI和TMSI传输的安全性，并且能够保证系统的效率不受影响。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是相关技术中认证中心AuC产生认证向量组的示意图；

图2是相关技术中MS的认证模块中进行的操作示意图；

图3是根据本发明方法实施例的身份认证和密钥协商方法的流程图；

图4是根据本发明方法实施例的身份认证和密钥协商方法的详细处理过程的信令流程图；

图5是根据本发明系统实施例的身份认证和密钥协商系统的框图。

具体实施方式

功能概述

本发明考虑到相关技术中IMSI和密钥传输保密性差的问题，本发明采用公钥广播协议(Public Key Broadcast Protocol-PKBP)，在网络中引入了可信的证书授权中心(Certificate Authority，CA)对VLR和HLR生成私钥并颁发公钥，借助自验证公钥的身份认证方案有效提高了IMSI和密钥传输的保密性。

方法实施例

在本实施例中，提供了一种身份认证和密钥协商方法，应用于包括CA、HLR、多个VLR、以及隶属于HLR的MS的系统，其中，CA可为HLR、多个VLR、以及MS颁发公钥和私钥。

如图3所示，根据本实施例的身份认证和密钥协商方法包括：

步骤S302，MS根据公钥广播协议从多个VLR中选择一个VLR，获取该选择的VLR的公钥，并选择第一随机数；

步骤S304，MS将其公钥、HLR的标识、第一随机数、以及利用所选的VLR的公钥加密的MS的国际移动用户识别码即IMSI发送给VLR；

步骤S306，所选的VLR利用其私钥解密得到IMSI，利用该所选的VLR与HLR的共享密钥对解密的IMSI加密并发送至HLR，并且生成第二随机数，将第二随机数发送给MS；

步骤S308，MS利用其私钥、第一随机数、第二随机数构造中间变量，并将中间变量发送给所选的VLR，所选的VLR通过中间变量对MS进行认证。

针对各个VLR的公钥的获取，系统中相互临近的VLR利用BCCH(广播控制信道)将认证参数(公钥PK_V、网络标识ID_V和模数n_V)以联合广播的方式从BS发布。即，各个BS同时广播自己及其相邻基站归属的VLR的认证参数，最终形成一个无缝的覆盖。

在实际情况中，伪基站的数目远小于真实基站的数目，即便伪基站以很强的信号广播自己的公钥参数，但其数量远小于合法BS联合广播的参数。MS可在SIM卡中利用一个较小的存储区对一段时间内收到的参数予以缓存，统计出现次数较多的参数，再在其中选择对应信号最强的BS接入。如果一个参数在缓存中出现的次数很少，即便其对应的发射信号强度再大MS也不考虑接入。利用此方法，MS可抵抗伪基站攻击，并避免验证VLR公钥证书的合法性，从而避免验证公钥证书带来的网络拥塞。

并且，在上述步骤S302之前，CA可以根据以下公式(1)为MS产生公钥PK_MS：

${\mathrm{PK}}_{\mathrm{MS}}={(g^{{-\mathrm{SK}}_{\mathrm{MS}}}-\mathrm{IMSI}-{\mathrm{ID}}_H)}^d\mathrm{mod}n$ 公式(1)

其中，n是CA长度为1024bits以上的模数；g为基元，且g∈Z；d是CA的签字私钥；e是CA的验证公钥；SK_MS为CA对用户随机选取的长度为160bit以上的私钥；将g、SK_MS、PK_MS、ID_H(归属地HLR的网络标识号)和IMSI写入用户的SIM卡。随后，CA销毁SK_MS，并在自己的数据库中存储g，PK_MS，ID_MS。可选地，系统中用户可选用相同的g(选择相同的g并不会影响安全性)，且所有VLR和HLR都拥有CA的公钥证书。

下面将结合具体的处理实例描述本发明的处理过程。

参数说明：下文中出现的|X|表示X的长度；A、B、S为3个整数，且满足|B|＝32，|S|＝160，|A|＝|S|+|B|+80。

如图4所示，根据本发明实施例的密钥协商方法包括以下步骤：

步骤401，MS根据公钥广播协议，选择出合适的VLR(公钥PK_V、网络标识ID_V和模数n_V)；

步骤402，MS随机选择N_MS∈[0，A](第一随机数)，计算

(步骤401和步骤402对应于上述步骤S302)

步骤403，MS发送ID_H、PK_MS、

给VLR；(步骤403对应于上述步骤S304)

步骤404，VLR收到MS的消息后，用SK_V解密

获得IMSI和x，并产生随机数N_V∈[0，B](第二随机数)和TMSI；

步骤405，VLR发送

ID_V给HLR；

步骤406，HLR收到VLR的消息后，根据ID_V，找到与VLR之间的共享密钥K_HV，解密

获得IMSI，根据IMSI确定与MS之间的共享密钥K，然后产生m个认证向量组AV(1，2，...，m)，(AV(i)＝RAND||XRES||CK||IK|AUTN)；

步骤407，HLR将加密后的m个认证向量组

发送给VLR；

步骤408，VLR收到HLR的消息后，利用共享密钥K_HV解密获得多个认证向量组，然后选一认证向量组；

步骤409，VLR将HLR的随机数和HLR的身份令牌RAND||AUTN以及E_x′(N_V||TMSI||IMSI)一起发送给MS，其中x′为x的低128bit s，具体的加密方法可以是异或运算(可以减少运算量，保证系统效率)；(步骤404和步骤409对应于上述步骤S306)

步骤410，MS利用x还原IMSI，TMSI和N_V，如果收到的IMSI与自己发送的一致，则保存TMSI以备下次认证时使用，随后MS根据公式(2)进行计算，构造中间变量y：

Y＝N_MS+N_V×SK_MS           公式(2)；

此外，在步骤S410中，还需要判断SQN是否在正确范围内，以及判断MAC的正确性；

步骤411，MS向VLR发送消息：具体的加密方法可以是异或运算；

步骤412，VLR利用N_V和TMSI还原y和IMSI，若IMSI与消息(1)中包含的IMSI一致，则判断下面的公式(3)是否成立：

$H\left[g^y{({{\mathrm{PK}}_{\mathrm{MS}}}^e+\mathrm{IMSI}+{\mathrm{ID}}_H)}^{N_V}\mathrm{mod}n\right]=x$ 公式(3)

如公式(3)不成立，则中止处理过程；

步骤413，如果公式(3)成立，MS通过认证，MS计算CK和IK，这样MS和VLR就可以用CK和IK作为数据加密密钥和完整性密钥进行通信。(步骤410至步骤413对应于上述步骤S308)

并且，在首次认证通过后，MS可利用TMSI替代IMSI，以进一步提高系统的安全性；之后VLR再产生TMSI′，该TMSI′可用于对MS进行为下次认证，在下次MS进行认证时，MS就可以用TMSI′代替原有的TMSI。

此外，在步骤404中，MS通过公钥广播协议，可获得合法VLR的参数信息(公钥PK_V、网络标识ID_V和模数n_V)，VLR的身份也得到了认证，这样就可以解决伪基站攻击。步骤412中，对的验证，实际上就是通过证书颁发中心CA的公钥e来认证MS的合法性。

通过上述处理可以看出，用户的身份信息IMSI和TMSI等都是以加密方式传输的(例如在步骤403、405、409、411等步骤中)，增强了用户身份信息的机密性，有效防止了用户身份的泄漏和针对具体用户的DoS攻击。并且，在根据本发明的密钥协商处理过程中，认证消息传递次数并未增加，仅仅轻微增加了加解密和异或的运算量，并且上述处理中通过采用共享密钥加密和异或运算来尽可能减少运算量，从而保证系统的效率不受影响。

系统实施例

在本实施例中，提供了一种身份认证和密钥协商系统。如图5所示，根据本实施例的身份认证和密钥协商系统包括CA 10、HLR20、多个VLR 30、以及隶属于HLR 20的MS 40的系统，其中，CA 10用于为HLR 20、多个VLR 30、以及MS 40颁发公钥和私钥。

具体地，MS 40用于根据公钥广播协议从多个VLR 30中选择一个VLR 30，并随机选择第一随机数；利用选择的VLR 30的公钥对MS 40的国际移动用户识别码即IMSI进行第一加密，并将MS 40的公钥、HLR 20的标识、第一随机数、以及第一加密的IMSI发送给选择的VLR 30，以及利用MS 40的私钥、第一随机数、选择的VLR 30返回的第二随机数构造中间变量；

多个VLR 30中的每个VLR 30，用于在其被MS 40选择的情况下，利用其私钥对来自MS 40的第一加密后的IMSI进行解密得到IMSI，利用该所在VLR 30与HLR 20的共享密钥对解密的IMSI进行第二加密，将第二加密后的IMSI发送至HLR 20，并将生成的第二随机数发送至MS 40，以及根据MS 40生成的中间变量对MS进行认证；

HLR 20用于利用共享密钥对加密的IMSI进行解密。

图5进一步示出了HLR 20、VLR 30、MS 40的具体结构。如图5所示，MS 40包括：选择模块42，用于根据公钥广播协议从多个VLR 30中选择一个VLR 30，并随机选择第一随机数；获取模块44，用于获取所选的VLR的公钥；第一加密模块46，用于利用选择的VLR 30的公钥对IMSI进行第一加密；第一发送模块48，用于将MS 40的公钥、HLR 20的标识、第一随机数、以及第一加密的IMSI发送给所选的VLR 30；构造模块49，用于利用MS 40的私钥、第一随机数、选择的VLR 30返回的第二随机数构造中间变量。

VLR 30包括：第一解密模块32，用于利用其所在的VLR 30的私钥对第一加密后的IMSI进行解密得到IMSI；第二加密模块34，用于利用其所在的VLR 30与HLR 20的共享密钥对解密的IMSI进行第二加密；第二发送模块36，用于将第二加密模块34加密后的IMSI发送至HLR；生成模块38，用于生成第二随机数，并将第二随机数发送至MS 40(具体地，可以发送至MS的构造模块49)；认证模块39，用于根据MS 40的构造模块49生成的中间变量对MS进行认证；

HLR 20包括：第二解密模块22，用于利用共享密钥对来自第二发送模块36的加密的IMSI进行解密。

该系统中各个实体间的交互过程可以参见图4，这里不再重复。

综上所述，借助于本发明的技术方案，通过引入可信的CA来对MS、HLR、VLR分配公钥和私钥，实现了基于自验证公钥的密钥交互方法，能够有效解决相关技术中IMSI和TMSI明文传输所带来的用户身份和位置信息被泄漏的安全隐患，并且解决了由于缺乏对VLR的认证而导致容易被伪基站或中间人攻击的问题，本发明增加了少量加解密和异或的运算量，有效保证了IMSI和TMSI传输的安全性，并且能够保证系统的效率不受影响。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (13)

1.一种身份认证和密钥协商方法，应用于包括证书授权中心即CA、归属局即HLR、多个拜访局即VLR、以及隶属于所述HLR的移动站即MS的系统，其中，所述CA用于为所述HLR、所述多个VLR、以及所述MS颁发公钥和私钥，其特征在于，所述方法包括：

所述MS根据公钥广播协议从所述多个VLR中选择一个VLR，获取选择的所述VLR的公钥，并选择第一随机数；

所述MS将其公钥、所述HLR的标识、所述第一随机数、以及利用选择的所述VLR的公钥加密的所述MS的国际移动用户识别码即IMSI发送给选择的所述VLR；

选择的所述VLR利用其私钥解密得到所述IMSI，利用选择的所述VLR与所述HLR的共享密钥对解密的所述IMSI加密并发送至所述HLR，并且生成第二随机数，将所述第二随机数发送给所述MS；

所述MS利用其私钥、所述第一随机数、所述第二随机数构造中间变量，并将所述中间变量发送给选择的所述VLR，选择的所述VLR通过所述中间变量对所述MS进行认证。

2.根据权利要求1所述的方法，其特征在于，在所述VLR向所述MS发送所述第二随机数时，进一步包括：

选择的所述VLR利用所述第一随机数以预定加密方式对所述HLR的身份令牌、所述第二随机数、以及所述MS的临时移动用户识别码进行加密并发送至所述MS。

3.根据权利要求2所述的方法，其特征在于，所述预定加密方式为异或操作。

4.根据权利要求1所述的方法，其特征在于，在所述HLR接收到所述IMSI之后，进一步包括：

所述HLR利用所述共享密钥解密得到所述IMSI，生成多个认证向量组，并利用所述共享密钥对所述多个认证向量组加密并发送至选择的所述VLR；

选择的所述VLR利用所述共享密钥解密得到所述认证向量组，并从中选择一个认证向量组发送给所述MS。

5.根据权利要求1所述的方法，其特征在于，在所述MS首次通过认证的情况下，进一步包括：

所述MS利用其TMSI替代所述IMSI。

6.根据权利要求5所述的方法，其特征在于，在MS通过首次认证后，进一步包括：

选择的所述VLR产生新的TMSI，用于在所述MS进行下次认证的情况下分配给所述MS以替代原有的TMSI。

7.根据权利要求1至6中任一项所述的方法，其特征在于，所述CA根据以下公式生成所述MS的公钥：

${\mathrm{PK}}_{\mathrm{MS}}={(g^{-{\mathrm{SK}}_{\mathrm{MS}}}-\mathrm{IMSI}-{\mathrm{ID}}_H)}^d\mathrm{mod}n$

其中，PK_MS为所述MS的公钥；n为所述CA的长度为1024bit以上的模数；g为基元，且g为整数；d为所述CA的签字私钥；e为所述CA的验证公钥；SK_MS为所述CA为用户随机选取的私钥，其长度为160bit以上；ID_H为所述HLR的标识；IMSI为所述MS的国际移动用户识别码。

8.根据权利要求1至6中任一项所述的方法，其特征在于，所述MS根据以下公式得到所述中间变量：

Y＝N_MS+N_V×SK_MS

其中，y为所述中间变量，N_U为所述第一随机数，N_MS为所述第二随机数，SK_MS为所述MS的私钥。

9.根据权利要求8所述的方法，其特征在于，所述VLR根据以下公式对所述MS进行认证：

$H\left[g^y{({{\mathrm{PK}}_{\mathrm{MS}}}^e+\mathrm{IMSI}+{\mathrm{ID}}_H)}^{N_V}\mathrm{mod}n\right]=x$

其中，在该公式成立的情况下，确定所述MS通过认证，否则确定所述MS未通过认证；

g为基元，且g为整数；y为所述中间变量；PK_MS为所述MS的公钥；IMSI为所述MS的国际移动用户识别码；ID_H为所述HLR的标识；n为所述CA的长度为1024bit以上的模数；x等于

H为hash运算。

10.一种身份认证和密钥协商系统，包括证书授权中心即CA、归属局即HLR、多个拜访局即VLR、以及隶属于所述HLR的移动站即MS的系统，其中，所述CA用于为所述HLR、所述多个VLR、以及所述MS颁发公钥和私钥，其特征在于，

所述MS用于根据公钥广播协议从所述多个VLR中选择一个VLR，并随机选择第一随机数；利用选择的所述VLR的公钥对所述MS的国际移动用户识别码即IMSI进行第一加密，并将所述MS的公钥、所述HLR的标识、所述第一随机数、以及第一加密的所述IMSI发送给选择的所述VLR，以及利用所述MS的私钥、所述第一随机数、选择的所述VLR返回的第二随机数构造中间变量；

所述多个VLR中的每个VLR，用于在其被所述MS选择的情况下，利用其私钥对来自所述MS的第一加密后的IMSI进行解密得到所述IMSI，利用所述VLR与所述HLR的共享密钥对解密的所述IMSI进行第二加密，将第二加密后的所述IMSI发送至所述HLR，并将生成的所述第二随机数发送至所述MS，以及根据所述MS生成的所述中间变量对所述MS进行认证；

所述HLR用于利用所述共享密钥对加密的所述IMSI进行解密。

11.根据权利要求10所述的系统，其特征在于，所述MS进一步包括：

选择模块，用于根据所述公钥广播协议从所述多个VLR中选择所选的所述VLR，并随机选择所述第一随机数；

获取模块，用于获取选择的所述VLR的公钥；

第一加密模块，用于利用选择的所述VLR的公钥进行所述第一加密；

第一发送模块，用于将所述MS的公钥、所述HLR的标识、所述第一随机数、以及第一加密的所述IMSI发送给选择的所述VLR；

构造模块，用于利用所述MS的私钥、所述第一随机数、选择的所述VLR返回的第二随机数构造所述中间变量。

12.根据权利要求10所述的系统，其特征在于，所述VLR包括：

第一解密模块，用于利用其所在的VLR的私钥对第一加密后的所述IMSI进行解密得到所述IMSI；

第二加密模块，用于利用其所在的VLR与所述HLR的共享密钥对解密的所述IMSI进行所述第二加密；

第二发送模块，用于将所述第二加密模块加密后的所述IMSI发送至所述HLR；

生成模块，用于生成所述第二随机数，并将所述第二随机数发送至所述MS；

认证模块，用于根据所述MS构造的所述中间变量对所述MS进行认证。

13.根据权利要求10所述的系统，其特征在于，所述VLR包括：

第二解密模块，用于利用所述共享密钥对第二加密的所述IMSI进行解密。

Images