CN109768861B - 一种海量d2d匿名发现认证与密钥协商方法 - Google Patents

Abstract

本发明属于通信网络安全技术领域，公开了一种海量D2D匿名发现认证与密钥协商方法；初始化认证阶段；基于前缀加密的匿名设备发现阶段；基于批量验证的相互认证及密钥协商阶段；密钥确认阶段。本发明根据3GPP标准进行的方案设计，因而无需改变标准中的通信设备，可以应用于所有LTE‑A/5G移动场景的网络；本发明所提出的设备发现和认证机制的通用结构可以实现邻近设备发现、相互认证、密钥协商、身份隐私保护；本发明所提出的基于CRT机制的快速密钥确认方法，有效减少了信令数量；减少了信令开销、通信开销、传输开销；可以直接实现海量D2D设备之间的直接相互认证，并能抵抗目前已知的所有攻击。

Description

一种海量D2D匿名发现认证与密钥协商方法

技术领域

本发明属于通信网络安全技术领域，尤其涉及一种海量D2D匿名发现认证与密钥协商方法。

背景技术

目前，业内常用的现有技术是这样的：随着智能终端的发展和无线通信数据量的爆炸式增长，为了满足更高的速度，更低的延迟，更大的无线区域容量和更低的单位服务能耗，3GPP提出第五代移动通信技术(5G)。5G无线网络往往通过与LTE-A，WLAN，WiMAX和其他无线接入技术相结合，形成高密度的异构网络(HetNet)，提高网络容量，提供高速覆盖和无缝用户体验。然而复杂宏、小小区、微蜂窝之间的相互干扰限制了通信容量的增加。D2D通信技术，通过两邻近设备的直接通信，可以应用于3GPP网络中移动蜂窝网络覆盖场景，从而有效减轻HetNet基站的压力，提高通信容量；可以应用于移动蜂窝网络的边缘，以扩展覆盖范围；可以应用于无网络覆盖情况，以实现信号的无缝覆盖和频谱资源的重用。然而由于D2D通信复杂的应用场景，和邻近设备直接建立连接的特性，D2D通信容易受到各种被动或主动攻击，例如窃听，数据篡改，伪造身份和隐私暴露等。

当前的3GPP标准仅设计了UE设备和LTE-A/5G核心网之间的接入认证机制，如通过3GPP接入网的5G-AKA，EPS-AKA，和通过其他非3GPP接入网的EAP-AKA，没有考虑支持D2D通信的安全接入认证。另外，漫游/非漫游D2D直接通信包括了许多不同的应用场景和通信方法，而在5G HetNet中，应用场景将变得更加复杂和多样化，例如两个漫游设备通过不同的接入技术接入不同的访问网络后通信，该情形目前同样没有被考虑。此外，公共安全场景下一对多通信在D2D通信中也具有广泛的应用。一对多通信与群组组通信不同，它不是为一个群组建立会话密钥，而是为每个设备建立一个单独的安全信道，面对一对多的D2D通信场景，如何有效建立安全可靠的连接也是一个亟待解决的问题。然而不同应用场景下不同安全机制的使用可能会增加整个系统的复杂性，因此，3GPP 5G HetNet需要一种集成一对一D2D通信和一对多D2D通信的具有隐私保护的统一发现认证和密钥协商机制，以确保D2D通信的安全性。

迄今为止，只有很少的方案考虑D2D设备安全发现、安全通信、漫游通信及一对多通信。而且这些方案都没有考虑将多种通信场景和安全机制统一糅合的方案。目前还没有针对D2D通信设计统一的安全通信方式，使其能应用于漫游/非漫游、异构/非异构、一对一/一对多通信场景。鉴于D2D通信在5G中的重要性，这是亟待解决的问题。

综上所述，现有技术存在的问题是：

(1)现有技术没有考虑将多种通信场景和安全机制统一糅合的方案。

(2)现有技术针对D2D通信设计统一的安全通信方式，使其能应用于漫游/非漫游、异构/非异构、一对一/一对多通信场景。

解决上述技术问题的难度：

目前还没有针对D2D通信设计统一的安全通信方式，使其能应用于漫游/非漫游、异构/非异构、一对一/一对多通信场景。

解决上述技术问题的意义：

D2D通信在5G中的重要性，这是亟待解决的问题。

发明内容

针对现有技术存在的问题，本发明提供了一种海量D2D匿名发现认证与密钥协商方法。

本发明是这样实现的，一种海量D2D匿名发现认证与密钥协商方法，所述海量D2D匿名发现认证与密钥协商方法包括：使用基于无证书的批量验证方式，实现海量D2D设备轻量级相互认证与密钥协商；使用中国剩余定理，实现海量D2D设备快速密钥确认；每个设备在进入新的访问网络VN时执行设备与访问网络之间的相互认证及公共参数分发；随后使用基于身份的前缀加密广播包含UID的设备发现消息，使得只有满足身份前缀的D2D用户才能解密广播消息，实现设备发现；随后海量D2D设备与广播设备之间将执行批量验证的轻量级相互认证与密钥协商；最后由广播设备广播基于中国剩余定理计算的密钥确认消息，使会话密钥生效。

进一步，所述海量D2D匿名发现认证与密钥协商方法具体包括以下步骤：

第一步，初始化认证阶段；

第二步，基于前缀加密的匿名设备发现阶段；

第三步，基于批量验证的相互认证及密钥协商阶段；

第四步，密钥确认阶段。

进一步，所述第一步中初始化认证阶段具体包括：

(1)任意D2D通信设备漫游UE_i至新的访问网络下，分别向所属访问网络VN_i发送接入认证请求，执行EPS-AKA认证；设备选取秘密值

随后计算公共参数

随后发送接入认证请求，包括：设备身份信息UID_i，所属家庭网络身份信息HID_i，及公共参数

(2)收到该请求的VN首先检查HID_i是否有效，若有效，VN将自身身份信息VID_i加入接入认证请求中，发送给HN；

(3)HN收到接入认证请求，首先检查UDI_i和VID_i的合法性，然后为UE_i生成认证向量AVs和基于身份前缀加密的加密私钥

随后生成批验证参数：随机选取秘密值

计算公开值P_UID＝t_i·P，批验证公钥

将计算出的

和身份信息一起使用归属网络VN的公钥PK_VN加密发送给VN；

(4)VN利用从HN获得的AVS执行5GAKA或EAPAKA认证；

(5)UE设备执行5GAKA或EAPAKA认证过程，认证完成，协商出会话密钥K_AMF；

(6)由VN将

及该VN可信VN向量组V使用会话密钥K_AMF加密发送至UE，完成初始化认证及系统参数初始化工作；

(7)UE设备接收到分发参数后，使用共享会话密钥K_AMF解密，后验证公式：

进一步，所述第二步中基于前缀加密的匿名设备发现阶段的设备UE₁试图与其他设备通信，执行以下步骤：

(1)首先选择秘密随机数

随机选择广播id号

(2)计算a·p；

(3)对自身身份信息UID₁，所属访问网络VID₁，当前时间戳TS，及选取计算的bid，aP进行ECDSA签名，签名私钥为

SIGN₁＝sign(bid，UID₁，VID₁，TS，aP)；

(4)利用公钥UID₁计算PE.Enc(UID₁，VID₁，aP，TS，SIGN₁)；

(5)广播TAG₁，bid，PE.Enc(UID₁，VID₁，aP，TS，SIGN₁)。

进一步，所述第三步中基于批量验证的相互认证及密钥协商阶段具体包括：

步骤一，其他任意设备UE_i监听到标志为TAG₁的广播消息后，使用基于前缀的解密，对广播消息进行解密，获取信息。具体执行以下步骤：

(1)检查自身身份UID_i是否符合密文中UID₁的接入策略，若符合，则可以通过自身私钥

成功解密PE.Enc(UID₁，VID₁，aP，TS，SIGN₁)；

(2)检查获取到的VID₁是否属于UID_i所归属的VN_i的可信向量组V_i，如果属于，则进行下一步；

(3)检查获取的时间戳TS是否有效，利用获取的UID₁检查SIGN₁＝sign(bid，UID₁，VID₁，TS)是否正确，若正确，则UE_i对UE₁认证成功，进行下一步；

步骤二，UE_i构造消息，试图与UE₁建立连接。具体执行以下步骤：

(1)随机选取

和大素数

(2)计算U_i＝r_iP，K_i＝r_iaP；

(3)计算

(4)计算h_i＝H₂(UID_i，message_i，U_i)；

(5)计算

(6)计算

(7)SIGN_2i＝U_i||s_i；

(8)向UE₁发送TAG₂，bid，sid，message_i，SIGN_2i；

步骤三，UE₁检查收到标志为TAG₂的消息条数，若为1，则执行以下单一验证：

(1)计算K_i＝aU_i，解密message_i，获取身份信息；

(2)UE₁检查解密出的UID₁是否是自己身份信息，VID_i是否属于VN₁的可信向量组V₁，若检查正确，则进行下一步；

(3)计算

(4)计算h′_i＝H₂(UID_i，meSsage_i，U_i)；

(5)计算

(6)验证

若正确，则UE₁对UE_i认证成功，并协商出会话密钥K_i，跳转至UE₁对单一UE_i认证成功，执行以下步骤进行密钥确认；

步骤四，UE₁检查收到标志为TAG₂的消息条数，若多于1，则执行以下批量验证：

(1)分别计算K_i＝aU_i，解密message_i，获取身份信息；

(2)UE₁分别检查解密出的UID₁是否是自己身份信息，VID_i是否属于VN₁的可信向量组V₁，若检查正确，则进行下一步；

(3)计算

(4)计算h′_i＝H₂(UID_i，message_i，U_i)；

(5)计算

(6)验证

若正确，则UE₁对所有UE_i认证成功，并协商出会话密钥K_i，跳转至UE_i收到标志为TAG₃的信息，执行以下步骤进行密钥确认。

进一步，所述第四步的密钥确认阶段具体包括：

步骤一，UE₁对单一UE_i认证成功，执行以下步骤进行密钥确认：

(1)计算Z＝H_k(K_i，UID_i)；

(2)UE₁向UE_i发送TAG₃，bid，sid，Z；

步骤二，UE₁对海量UE_i认证成功，执行以下步骤进行密钥确认：

(1)计算

(2)计算

(3)UE₁向UE_i发送TAG₃，bid，sid，Z；

步骤三，UE_i收到标志为TAG₃的信息，执行以下步骤进行密钥确认：

(1)检查bid，sid，确认Z属于当前会话；

(2)检查H_k(K_i，UID_i)＝Z mod m_i，若正确，则K_i生效。

本发明的另一目的在于提供一种应用所述海量D2D匿名发现认证与密钥协商方法的通信网络安全平台。

本发明的另一目的在于提供一种应用所述海量D2D匿名发现认证与密钥协商方法的智能终端。

综上所述，本发明的优点及积极效果为：在3GPP现有的LTE-A/5G网络体系下，使用基于身份的前缀加密技术，实现匿名D2D设备发现；使用基于无证书的批量验证方式，实现海量D2D设备轻量级相互认证与密钥协商；使用中国剩余定理，实现海量D2D设备快速密钥确认。由于D2D通信设备的移动性，每个设备在进入新的访问网络VN时执行设备与访问网络之间的相互认证及公共参数分发。随后使用基于身份的前缀加密广播包含UID的设备发现消息，使得只有满足身份前缀的D2D用户才能解密广播消息，实现设备发现。随后海量D2D设备与广播设备之间将执行批量验证的轻量级相互认证与密钥协商。最后由广播设备广播基于中国剩余定理计算的密钥确认消息，使会话密钥生效。该方法大大减少了D2D设备之间的通信开销、计算开销、信令开销，同时D2D通信过程中不需要第三方的参与，降低受到攻击的可能性；实现D2D设备之间相互认证，可以抵挡当前所有已知协议攻击。

本发明根据3GPP标准进行的方案设计，因而无需改变标准中的通信设备，可以应用于所有LTE-A/5G移动场景的网络；本发明所提出的设备发现和认证机制的通用结构可以实现邻近设备发现、相互认证、密钥协商、身份隐私保护；本发明所提出的基于CRT机制的快速密钥确认方法，有效减少了信令数量。

本发明所提出的方法可以适用于所有漫游/非漫游、异构/非异构、一对一/一对多通信场景，同时减少了信令开销、通信开销、传输开销；本发明所提出的方法可以直接实现海量D2D设备之间的直接相互认证，并能抵抗目前已知的所有攻击。

附图说明

图1是本发明实施例提供的海量D2D匿名发现认证与密钥协商方法流程图。

图2是本发明实施例提供的LTE-A/5G网络中基于前缀加密和批量验证的海量D2D匿名相互认证与密钥协商过程总流程图。

图3是本发明实施例提供的LTE-A/5G网络中D2D通信设备接入网络的系统初始化认证流程图。

图4是本发明实施例提供的LTE-A/5G网络中基于前缀加密和批量验证的海量D2D匿名设备发现、双向认证、密钥协商、密钥确认过程流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明的方法可以为D2D通信提供一种通用的安全方案，使其适用于所有D2D通信场景，同时大幅度减少信令开销和通信开销，实现D2D安全通信机制。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的基于前缀加密和批量验证海量D2D匿名发现认证与密钥协商方法包括以下步骤：

S101：每个设备在进入新的访问网络VN时执行设备与访问网络之间的相互认证及公共参数分发；

S102：随后使用基于身份的前缀加密广播包含UID的设备发现消息，使得只有满足身份前缀的D2D用户才能解密广播消息，实现设备发现；随后海量D2D设备与广播设备之间将执行批量验证的轻量级相互认证与密钥协商；

S103：由广播设备广播基于中国剩余定理计算的密钥确认消息，使会话密钥生效。

下面结合附图对本发明的应用原理作进一步的描述。

UE：用户设备；VN：访问网络；HN：归属网络；E-UTRAN：演进的通用陆地无线接入网；LTE-A：长期演进技术。

如图2所示，本发明实施例提供的基于前缀加密和批量验证海量D2D匿名发现认证与密钥协商方法具体包括以下步骤：

第一步，初始化认证阶段；

第二步，基于前缀加密的匿名设备发现阶段；

第三步，基于批量验证的相互认证及密钥协商阶段；

第四步，密钥确认阶段。

在本发明的优选实施例中，第一步中初始化认证阶段具体包括：

(1)任意D2D通信设备漫游UE_i至新的访问网络下，分别向所属访问网络VN_i发送接入认证请求，执行EPS-AKA认证。设备首先选取秘密值

随后计算公共参数

随后发送接入认证请求，包括：设备身份信息UID_i，所属家庭网络身份信息HID_i，及公共参数

(2)收到该请求的VN首先检查HID_i是否有效，若有效，VN将自身身份信息VID_i加入接入认证请求中，发送给HN；

(3)HN收到接入认证请求，首先检查UID_i和VID_i的合法性，然后为UE_i生成认证向量AVs和基于身份前缀加密的加密私钥

随后生成批验证参数：随机选取秘密值

计算公开值P_UID＝t_i·P，批验证公钥

将计算出的

和身份信息一起使用归属网络VN的公钥PK_VN加密发送给VN；

(4)VN利用从HN获得的AVS执行5GAKA或EAPAKA认证；

(5)UE设备执行5GAKA或EAPAKA认证过程，认证完成，协商出会话密钥K_AMF；

(6)由VN将

及该VN可信VN向量组V使用会话密钥K_AMF加密发送至UE，完成初始化认证及系统参数初始化工作；

(7)UE设备接收到分发参数后，首先使用共享会话密钥K_AMF解密，后验证公式：

在本发明的优选实施例中，第二步中基于前缀加密的匿名设备发现阶段的设备UE₁试图与其他设备通信，执行以下步骤：

(1)首先选择秘密随机数

随机选择广播id号

(2)计算a·P；

(3)对自身身份信息UID₁，所属访问网络VID₁，当前时间戳TS，及选取计算的bid，aP进行ECDSA签名，签名私钥为

SIGN₁＝sign(bid，UID₁，VID₁，TS，aP)；

(4)利用公钥UID₁计算PE.Enc(UID₁，VID₁，aP，TS，SIGN₁)；

(5)广播TAG₁，bid，PE.Enc(UID₁，VID₁，aP，TS，SIGN₁)。

在本发明的优选实施例中，第三步中基于批量验证的相互认证及密钥协商阶段具体包括：

步骤一，其他任意设备UE_i监听到标志为TAG₁的广播消息后，使用基于前缀的解密，对广播消息进行解密，获取信息。具体执行以下步骤：

(1)检查自身身份UID_i是否符合密文中VID₁的接入策略，若符合，则可以通过自身私钥

成功解密PE.Enc(UID₁，VID₁，aP，TS，SIGN₁)；

(2)检查获取到的VID₁是否属于UID_i所归属的VN_i的可信向量组V_i，如果属于，则进行下一步；

(3)检查获取的时间戳TS是否有效，利用获取的UID₁检查SIGN₁＝sign(bid，UID₁，VID₁，TS)是否正确，若正确，则UE_i对UE₁认证成功，进行下一步；

步骤二，UE_i构造消息，试图与UE₁建立连接。具体执行以下步骤：

(1)随机选取

和大素数

(2)计算U_i＝r_iP，K_i＝r_iaP；

(3)计算

(4)计算h_i＝H₂(UID_i，message_i，U_i)；

(5)计算

(6)计算

(7)SIGN_2i＝U_i||s_i；

(8)向UE₁发送TAG₂，bid，sid，message_i，SIGN_2i；

步骤三，UE₁检查收到标志为TAG₂的消息条数，若为1，则执行以下单一验证：

(1)计算K_i＝aU_i，解密message_i，获取身份信息；

(2)UE₁检查解密出的UID₁是否是自己身份信息，VID_i是否属于VN₁的可信向量组V₁，若检查正确，则进行下一步；

(3)计算

(4)计算h′_i＝H₂(UID_i，message_i，U_i)；

(5)计算

(6)验证

若正确，则UE₁对UE_i认证成功，并协商出会话密钥K_i，跳转至UE₁对单一UE_i认证成功，执行以下步骤进行密钥确认；

步骤四，UE₁检查收到标志为TAG₂的消息条数，若多于1，则执行以下批量验证：

(1)分别计算K_i＝aU_i，解密message_i，获取身份信息；

(2)UE₁分别检查解密出的UID₁是否是自己身份信息，VID_i是否属于VN₁的可信向量组V₁，若检查正确，则进行下一步；

(3)计算

(4)计算h′₁＝H₂(UID_i，message_i，U_i)；

(5)计算

(6)验证

若正确，则UE₁对所有UE_i认证成功，并协商出会话密钥K_i，跳转至UE_i收到标志为TAG₃的信息，执行以下步骤进行密钥确认。

在本发明的优选实施例中，第四步的密钥确认阶段具体包括：

步骤一，UE₁对单一UE_i认证成功，执行以下步骤进行密钥确认：

(1)计算Z＝H_k(K_i，UID_i)；

(2)UE₁向UE_i发送TAG₃，bid，sid，Z；

步骤二，UE₁对海量UE_i认证成功，执行以下步骤进行密钥确认：

(1)计算

(2)计算

(3)UE₁向UE_i发送TAG₃,bid,sid,Z；

步骤三，UE_i收到标志为TAG₃的信息，执行以下步骤进行密钥确认：

(1)检查bid，sid，确认Z属于当前会话；

(2)检查H_k(K_i,UID_i)＝Z mod m_i,若正确，则K_i生效。

本发明根据3GPP标准进行的方案涉及，无需改变标准中的通信设备，可以应用于所有LTE-A/5G移动场景的网络；本发明所提出的设备发现和认证机制的通用结构可以实现邻近设备发现、相互认证、密钥协商、身份隐私保护；本发明所提出的基于CRT机制的快速密钥确认方法，有效减少了信令数量；本发明所提出的方法可以适用于所有漫游/非漫游、异构/非异构、一对一/一对多通信场景，同时减少了信令开销、通信开销、传输开销；本发明所提出的方法可以直接实现海量D2D设备之间的直接相互认证，并能抵抗目前已知的所有攻击。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种海量D2D匿名发现认证与密钥协商方法，其特征在于，所述海量D2D匿名发现认证与密钥协商方法包括：使用基于无证书的批量验证方式，实现海量D2D设备轻量级相互认证与密钥协商；使用中国剩余定理，实现海量D2D设备快速密钥确认；每个设备在进入新的访问网络VN时执行设备与访问网络之间的相互认证及公共参数分发；随后使用基于身份的前缀加密广播包含UID的设备发现消息，使得只有满足身份前缀的D2D用户才能解密广播消息，实现设备发现；随后海量D2D设备与广播设备之间将执行批量验证的轻量级相互认证与密钥协商；最后由广播设备广播基于中国剩余定理计算的密钥确认消息，使会话密钥生效；

所述海量D2D匿名发现认证与密钥协商方法具体包括以下步骤：

第一步，初始化认证阶段；

第二步，基于前缀加密的匿名设备发现阶段；

第三步，基于批量验证的相互认证及密钥协商阶段；

第四步，密钥确认阶段；

所述第一步中初始化认证阶段具体包括：

(1)任意D2D通信设备漫游UE_i至新的访问网络下，分别向所属访问网络VN_i发送接入认证请求，执行EPS-AKA认证；设备选取秘密值

随后计算公共参数

随后发送接入认证请求，包括：设备身份信息UID_i，所属家庭网络身份信息HID_i，及公共参数

(2)收到该请求的VN_i首先检查HID_i是否有效，若有效，VN将自身身份信息VID_i加入接入认证请求中，发送给HN；

(3)HN收到接入认证请求，首先检查UID_i和VID_i的合法性，然后为UE_i生成认证向量AVs和基于身份前缀加密的加密私钥

随后生成批验证参数：随机选取秘密值

计算公开值P_UID＝t_i·P，批验证公钥

将计算出的AVs，

和身份信息一起使用归属网络VN的公钥PK_VN加密发送给VN；

(4)VN利用从HN获得的AVS执行5GAKA或EAPAKA认证；

(5)UE设备执行5GAKA或EAPAKA认证过程，认证完成，协商出会话密钥K_AMF；

(6)由VN将

及该VN可信VN向量组V使用会话密钥K_AMF加密发送至UE，完成初始化认证及系统参数初始化工作；

(7)UE设备接收到分发参数后，使用共享会话密钥K_AMF解密，后验证公式：

所述第二步中基于前缀加密的匿名设备发现阶段的设备UE₁试图与其他设备通信，执行以下步骤：

(1)首先选择秘密随机数

随机选择广播id号

(2)计算a·P；

(3)对自身身份信息UID₁，所属访问网络VID₁，当前时间戳TS，及选取计算的bid,aP进行ECDSA签名，签名私钥为

SIGN₁＝sign(bid，UID₁，VID₁,TS，aP)；

(4)利用公钥UID₁计算PE.Enc(UID₁，VID₁，aP，TS,SIG N₁)；

(5)广播TAG₁，bid,PE.Enc(UID₁，VID₁，aP，TS,SIG N₁)；

所述第三步中基于批量验证的相互认证及密钥协商阶段具体包括：

步骤一，其他任意设备UE_i监听到标志为TAG₁的广播消息后，使用基于前缀的解密，对广播消息进行解密，获取信息，具体执行以下步骤：

(1)检查自身身份UID_i是否符合密文中UID₁的接入策略，若符合，则可以通过自身私钥

成功解密PE.Enc(UID₁，VID₁,aP，TS,SIG N₁)；

(2)检查获取到的VID₁是否属于UID_i所归属的VN_i的可信向量组V_i，如果属于，则进行下一步；

(3)检查获取的时间戳TS是否有效，利用获取的UID₁检查SIGN₁＝sign(bid，UID₁，VID₁，TS)是否正确，若正确，则UE_i对UE₁认证成功，进行下一步；

步骤二，UE_i构造消息，试图与UE₁建立连接，具体执行以下步骤：

(1)随机选取

和大素数

(2)计算U_i＝r_iP，K_i＝r_iaP；

(3)计算

(4)计算h_i＝H₂(UID_i，messag e_i，U_i)；

(5)计算

(6)计算

(7)SIGN_2i＝U_i||s_i；

(8)向UE₁发送TAG₂，bid，sid，messag e_i，SIG N_2i；

步骤三，UE₁检查收到标志为TAG₂的消息条数，若为1，则执行以下单一验证：

(1)计算K_i＝aU_i，解密message_i，获取身份信息；

(2)UE₁检查解密出的UID₁是否是自己身份信息，VID_i是否属于VN₁的可信向量组V₁，若检查正确，则进行下一步；

(3)计算

(4)计算h′_i＝H₂(UID_i，messag e_i，U_i)；

(5)计算

(6)验证

若正确，则UE₁对UE_i认证成功，并协商出会话密钥K_i，跳转至UE₁对单一UE_i认证成功，执行以下步骤进行密钥确认；

步骤四，UE₁检查收到标志为TAG₂的消息条数，若多于1，则执行以下批量验证：

(1)分别计算K_i＝aU_i，解密message_i，获取身份信息；

(2)UE₁分别检查解密出的UID₁是否是自己身份信息，VID_i是否属于VN₁的可信向量组V₁，若检查正确，则进行下一步；

(3)计算

(4)计算h′_i＝H₂(UID_i,messag e_i，U_i)；

(5)计算

(6)验证

若正确，则UE₁对所有UE_i认证成功，并协商出会话密钥K_i，跳转至UE_i收到标志为TAG₃的信息，执行以下步骤进行密钥确认；

所述第四步的密钥确认阶段具体包括：

步骤一，UE₁对单一UE_i认证成功，执行以下步骤进行密钥确认：

(1)计算Z＝H_k(K_i，UID_i)；

(2)UE₁向UE_i发送TAG₃，bid，sid，Z；

步骤二，UE₁对海量UE_i认证成功，执行以下步骤进行密钥确认：

(1)计算

(2)计算

(3)UE₁向UE_i发送TAG₃，bid，sid，Z；

步骤三，UE_i收到标志为TAG₃的信息，执行以下步骤进行密钥确认：

(1)检查bid，sid，确认Z属于当前会话；

(2)检查H_k(K_i，UID_i)＝Z mod m_i，若正确，则K_i生效。

Images