CN111586685A

CN111586685A - 一种基于格的匿名漫游认证方法

Info

Publication number: CN111586685A
Application number: CN202010338100.0A
Authority: CN
Inventors: 周由胜; 王龙安
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2020-04-26
Filing date: 2020-04-26
Publication date: 2020-08-25
Anticipated expiration: 2040-04-26
Also published as: CN111586685B

Abstract

本发明请求保护一种基于格的匿名漫游认证方法，本发明包含注册阶段、认证阶段、口令更改阶段和会话密钥更新阶段。在智能终端向本地代理注册成功后，智能终端在认证阶段中生成一个安全的匿名身份，并且使用NTRU加密算法对通信实体间的认证消息进行加密传输，认证成功后，智能终端将使用匿名身份向外地代理获取网络服务。在口令更改阶段，只需要向智能卡输入正确的用户名和密码即可完成口令更改。在会话密钥更新阶段，只有在智能终端和外地代理掌握旧的会话密钥的基础上才能进行会话密钥更新操作。本发明在抗量子攻击的同时，保证了极高的计算效率和极低的通信开销，并且具有较强的实用性和扩展性。

Description

一种基于格的匿名漫游认证方法

技术领域

本发明属于信息安全技术及移动互联网技术领域，是一种为移动节点提供安全匿名的网络服务的漫游认证方法。

背景技术

随着无线互联网接入技术的进步和智能移动设备的普及，无所不在的网络已经广泛应用于我们的日常生活中，为人们提供了更加便捷的生活。泛在网络使人们能够访问网络服务，如网上购物、移动支付等。然而，移动设备由于其固有的开放性和计算的局限性，在普遍存在的网络环境下，容易受到各种安全与隐私的挑战。例如，攻击者可以截获传输数据，然后分析或篡改这些数据，这会造成用户数据污染和隐私泄露。

认证是泛在网络漫游服务中防止攻击者的一项重要安全技术，在过去的几年中，学者们在这一领域做出了巨大的努力。然而，大多数现有的认证方案都是使用传统的加密方法构建的。由于量子计算的飞速发展，传统的加密体制无法抵抗量子攻击。例如，Shor提出的多项式时间算法可以解决离散对数问题和因式分解问题。此外，现有认证方案的计算成本或通信成本相对较高，这使得许多认证方案在无线网络中不实用，因为它们大多配备了资源受限的设备。因此，设计高效的抗量子漫游认证方案具有重要的意义。然而，由于泛在网络的开放性和动态性，设计一种安全有效的漫游认证协议变得非常具有挑战性。本发明着眼于当下热点问题，提出了一个基于NTRU(数论研究单元)加密算法的匿名漫游认证方案，NTRU(数论研究单元)加密算法基于格上困难问题，通过分析可知量子计算机是无法在多项式时间内解决格上困难问题，所以该算法拥有抗量子的特性。所提方案的秘密数据通过NTRU(数论研究单元)算法进行加密，使得该方案拥有较高的运算速度和较低的通信开销，在满足常见安全需求的同时还可以抵抗量子攻击。

发明内容

本发明旨在解决以上现有技术的问题。提出了一种基于格的匿名漫游认证方法。本发明的技术方案如下：

一种基于格的匿名漫游认证方法，其包括注册阶段、认证阶段、口令更改阶段和会话密钥更新阶段；其中，

注册阶段：用于智能终端向本地代理商进行注册，本地代理商HA主要对漫游手机用户MU的真实身份信息以及外地代理FA的身份信息进行认证，然后将认证结果分别发送给外地代理FA和漫游手机用户MU；

认证阶段：用于注册成功后，实现漫游手机用户MU和外地代理FA之间的相互认证的目的。在本地代理商HA的帮助下，智能终端生成一个安全的匿名身份与外地代理FA进行相互认证并协商出一个安全的会话密钥，在认证阶段中使用NTRU(数论研究单元)加密算法对通信实体间的认证消息进行加密传输；

口令更改阶段：用于认证成功后，智能终端使用匿名身份向外地代理获取网络服务，在用户需要更改口令时进入口令更改阶段，此过程只需要向智能卡输入正确的用户名和密码即可完成口令更改；

会话密钥更新阶段：当用户和同一外地代理频繁通信时，进入会话密钥更新阶段，只有在智能终端和外地代理掌握旧的会话密钥的基础上才能进行会话密钥更新操作。进一步的，所述注册阶段，具体包括以下步骤：

①本地代理HA广播公共参数{p,q,n,h_HA}，并给注册的漫游手机用户MU计算并发送公钥在内的参数，其中h_HA是HA的公钥；(p,q,n)是三个整数，其中p和q不要求是素数，但满足gcd(p,q)＝1，且q大于p，n表示NTRU(数论研究单元)算法中多项式环的维度；

②移动终端MU选择一个随机数以及登录口令PW_MU，然后计算注册消息验证码H_MU＝H₁(ID_MU||PW_MU||λ)，注册消息验证码H_MU提供了本地登陆验证，使得方案可以抵抗设备窃取攻击，其中MU的真实身份信息为ID_MU，H₁是安全的哈希函数。通过两个私钥多项式

和g_MU计算公钥

并通过安全通道将{ID_MU,H_MU,h_MU,λ}发送给HA；

③本地代理HA收到移动终端MU的注册请求后，首先验证MU的真实身份信息ID_MU，若认证通过，则计算用户身份IM＝H₁(ID_MU||f_HA||t_HA)，t_HA是MU注册时候的时间戳，f_HA为本地代理HA的私钥，且身份认证IM这个参数，任何人除了HA不能伪造或者计算，每个MU都会存储一个不同的IM，用于认证阶段的身份证明，然后将{H_MU,λ,IM,h_MU,p,q,n,H(·)}存储到智能卡中，然后将智能卡分配给MU。

进一步的，所述认证阶段，具体包括：

①MU→FA:m₁＝{SID,h₀,V₁,V₂,t_MU,ID_HA}

手机用户MU首先向智能卡中输入其真实身份信息ID_MU和口令PW_MU，然后智能卡计算注册消息验证码H’_MU＝H₁(ID_MU||PW_MU||λ)并验证，若相等则MU的真实身份ID_MU是有效的，SC允许用户登录，否则SC拒绝用户登录。MU选择两个随机数，

为在

中多项式r的集合，然后计算匿名身份标志SID＝H₄(ID_MU||r_MU||H_MU)，匿名身份的使用保证了用户的隐私，且通过随机数来保证匿名身份的不可连接性，H₄表示安全的单向哈希函数，用于匿名身份标志的生成，然后加密ID_MU和x_MU得到密文信息V₁和V₂：V₁＝p·h_HA·r_MU+ID_MU，V₂＝V₁·ID_MU+x_MU，加密过程使用了Silverman等人提出的NTRU(数论研究单元)加密安全增强变式，不仅可以抵抗量子攻击和多重消息传输攻击，降低了计算复杂度，还提升了方案的扩展性。计算MU的身份认证消息h₀＝H₂(ID_MU||IM||t_MU||x_MU)，H₂表示安全的哈希函数，用于计算相关协议数据的摘要信息，保证协议数据完整性，||表示级联符号，用于参数的连接。然后将消息m₁发送给FA，其中ID_HA为本地代理HA的身份标志，t_MU为消息时间戳，时间戳的使用用来保证时钟同步，抵抗重放攻击；

②FA→HA:m₂＝{m₁,ID_FA,MAC,t_FA}

当FA收到消息后，首先验证时间戳是否合格，若成立，首先保存匿名身份标志SID，并根据ID_HA检索本地存储的与HA之间的共享密SK_FH，然后计算消息认证码MAC＝H₂(ID_FA||V₁||V₂||SK_HF)，然后FA将消息m₂发送给HA，其中使用时间戳t_FA用来抵抗重放攻击；

③HA→FA:m₃＝{h₁,h₂,V₃,V₄,V₅,h_MU}

当HA收到来自FA的消息m₂后，HA首先验证时间戳，然后验证ID_FA和匿名身份标志SID的合法性：

(1)HA根据本地存储的与FA之间的共享密钥SK_HF，然后计算消息验证码MAC’＝H₂(ID_FA||V₁||V₂||SK_HF)与FA发送的消息验证码MAC是否相等，若相等则FA的身份信息ID_FA为合法的；

(2)HA使用自己的私钥解密密文V₁和V₂，根据解密的数据可得到秘密多项式r_MU、x_MU和MU的身份标志ID_MU，通过ID_MU找到MU的IM，然后验证MU的身份认证消息h’₀＝H₂(ID_MU||IM||t_MU||x_MU)？＝h₀，匿名身份标志SID’＝H₄(ID_MU||r_MU||H_MU)？＝SID，若等式通过则MU的匿名身份SID是合法的；

(3)HA选择一个多项式

并计算加密消息V₃和V₄：V₃＝p·h_FA·r_HA+SID，V₄＝V₃·SID+x_MU，此处使用了和上述相同的加密方式用以保证数据的安全，然后本地代理HA计算并发送组合消息m₃＝{h₁＝H₂(IM||x_MU),h₂＝H₂(h₁||SID||h_MU),V₃,V₄}；

④FA→MU:m₄＝{h₃,h₁,V₅,V₆}

当FA收到消息m₃后,解密密文V₃，V₄，FA首先验证解密得到的SID与之前保存的SID是否相等,若相等,则FA认为MU的匿名身份SID是合法的，然后FA随机选择秘密多项式x_FA和x_MU并计算共享秘密值K_FM＝x_FA·x_MU，此秘密值只有FA和MU可计算得出。然后计算会话密钥SK_FM＝H₃(SID||K_FM||ID_FA)，H₃是安全的哈希函数，通过将输入数据映射到密钥空间来计算会话密钥的值。然后使用上述相同加密算法计算密文V₅、V₆和FA的消息认证码h₃：V₅＝p·h_MU·r_FA+m_FA，V₆＝m_FA·V₅+x_FA，h₃＝H₂(SID||K_FM||h₁||x_FA||m_FA)，消息认证码h₃的使用用以提供消息完整性验证，然后FA将消息m₄＝{h₃,h₁,V₅,V₆}发送给MU；

⑤MU→FA:m₅＝H₂(SK_MF||h_FA||K_MF)

当收到从FA发来的消息m₄后，验证h’₁＝H₂(IM||x_MU)？＝h₁，若相等则证明FA通过了HA的认证，并且可以成功计算x_MU的值，则认为外地代理FA是合法的。解密V₅、V₆得到x_FA，m_FA，计算K_MF＝x_MU·x_FA，然后计算SK_MF＝H₃(SID||K_MF||ID_FA)，验证h’₃＝H₂(SID||K_MF||h’₁||x_FA||m_FA)？＝h₃,若相等则会话密钥协商成功。

进一步的，所述口令更新阶段，具体包括：

移动节点启动密码更改阶段，用户在智能卡上执行以下操作：

①用户向智能卡中输入身份标志ID_MU和口令PW_MU，智能卡计算注册消息验证码H’_MU＝H₁(ID_MU||PW_MU||λ)，并验证H’_MU是否等于H_MU，若相等则用户登录成功，否则终止登录过程。

②用户进入系统界面，选择口令更改选项，为防止用户误操作，智能卡两次提示用户是否确认更改，在收到用户两次确定答复后进入口令更改界面。

③在口令更改界面，用户在系统提示的输入框中示输入新的口令

和随机数λ^NEW，最后智能卡通过新的口令

和随机数λ^NEW计算新的消息验证码

并把H_MU更新为

进一步的，所述会话密钥更新阶段，具体包括：

当漫游手机用户需要更新和外地代理之前建立的会话密钥时，则需要执行如下的步骤:

①MU首先从多项式空间

中选择一个随机加密多项式r’_MU，计算

并发送给外地代理FA，SK_FM表示先前MU和FA之前建立的会话密钥，

表示使用会话密钥SK_FM的对称加密算法，t_MU是当前的时间戳，Ch为用户更新会话密钥请求的标志；

②当外地代理商FA收到漫游用户MU的消息m_i时，FA执行：

(1)验证|T_i-t_MU|<ΔT是否成立，其中T_i为FA当前时间戳；

(2)若成立，则FA使用之前与MU匿名身份SID建立的会话密钥SK_FM解密消息，并检查消息m_i中的SID和传输的SID是否相等；

(3)若相等，则FA选择一个随机多项式r’_FA，然后计算SK’_FM＝H₃(SK_FM||r’_FA||r’_MU)，SK’_FM为新的会话密钥，r’_MU为用于加密的随机多项式；

(4)FA计算m_i+1＝{E_SKFM(H₁(SK’_FM||SK_FM),r’_FA,t_FA,ID_FA),ID_FA,t_FA}，然后将消息m_i+1发送给MU；

③当漫游手机用户MU收到消息m_i+1后，验证时间戳和FA的身份信息，若通过则计算新的会话密钥SK’_FM＝H₃(SK_FM||r’_FA||r’_MU)，并验证H’₁(SK’_FM||SK_FM)？＝H₁(SK’_FM||SK_FM)是否成立，如果成立则完成会话密钥的更新。

本发明的优点及有益效果如下：

随着量子计算技术、泛在网络等信息技术的蓬勃发展，如何在泛在网络中为移动终端提供安全匿名的漫游服务已经成了当前研究的热点问题。与常规方案基于椭圆曲线或者双线性等传统密码体制不同的是，本发明是基于格密码中具有轻量级特性的NTRU(数论研究单元)算法构造的。本发明第一次将基于格上困难问题的NTRU(数论研究单元)算法和漫游认证方案相结合，设计了一种基于格的匿名漫游认证方案，能为移动节点提供安全匿名的漫游服务的同时，具有很好的性能。该发明具有较好的实用性和扩展性，并且拥有较高的运算速度和较低的通信开销。本发明主要具有如下的创新点：

(1)条件匿名性。在认证过程中，智能终端MU使用匿名身份与外地代理FA进行通信，本地代理HA可以通过智能终端MU的匿名身份信息SID提取出其真实身份信息来帮助FA进行身份认证。在会话密钥更新阶段，智能终端MU也是通过匿名身份和外地代理进行会话密钥的更新协商。所以，智能终端的真实身份信息对外地代理和攻击者是不可见的，而本地代理HA可以通过智能终端的匿名身份提取出其真实身份信息ID_MU，当恶意的智能终端出现在凡在网络中时，本地代理可以很快的发现并剔除恶意用户，保证网络安全。

(2)不可追踪性。除本地代理HA之外，任何通信实体或者攻击者都无法通过外部数据追踪智能终端MU，也无法判定任何两条或者多条消息是否与智能终端MU存在关联性。

(3)高安全性。本发明基于NTRU(数论研究单元)算法，方法的安全性是基于格上困难问题，可以抵抗量子攻击；本发明提供了用户口令更改和会话密钥更新功能，为系统提供更加安全的保障；同时本发明还满足前向安全性、抵抗模拟攻击、抗重放攻击等所提安全需求。

(4)高性能。本发明的加密过程使用了Silverman等人提出的NTRU(数论研究单元)加密安全增强变式，不仅可以抵抗量子攻击和多重消息传输攻击，提升了本发明的扩展性和实用性，与原版NTRU(数论研究单元)算法相比还降低了计算复杂度。并且本发明与基于椭圆曲线或者双线性等传统密码体制的类似方案和发明相比，其计算复开销和通信开销显著降低，所以本发明具有高性能的特性。

附图说明

图1是本发明提供优选实施例系统的框架图；

图2为本发明的注册阶段图。

图3为本发明的认证阶段图。

图4为本发明的会话密钥更新阶段图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、详细地描述。所描述的实施例仅仅是本发明的一部分实施例。

本发明解决上述技术问题的技术方案是：

需要指出的是，本发明的格是格密码的简称，是专有名词。

下面结合附图1描述一下系统的框架。

(1)移动终端(MU)：在注册阶段用户端向本地代理注册，只有移动终端的身份获得本地代理的认证才能注册成功。移动终端在进入外地代理的服务范围时，需要在本地代理的帮助下和外地代理进行相互验证，此时移动终端生成一个安全的匿名身份，进入登录和验证阶段，通过此阶段生成一个安全的会话密钥，此后移动终端和外地代理的通信使用的是此阶段生成的会话密钥。

(2)本地代理(HA)：为移动终端提供注册服务和网络服务，并在登录和验证阶段帮助移动终端和外地代理进行相互验证。

(3)外地代理(FA)：在认证通过的前提下为漫游的移动终端提供网络服务。下面结合附图2－4对本发明做近一步的详细描述。本发明主要包含以下几个步骤：

1、用户注册阶段，具体是：

本地代理商(HA)主要对漫游手机用户(MU)的真实身份信息以及外地代理(FA)的身份信息进行认证，然后将认证结果分别发送给FA和MU。因此，一个手机用户在处于漫游状态前必须在其本地代理商处进行注册，其主要步骤如下：

①本地代理商HA广播公共参数{p,q,n,h_HA}，并给注册的漫游手机用户MU计算并发送公钥在内的参数，其中h_HA是HA的公钥；(p,q,n)是三个整数，其中p和q不要求是素数，但满足gcd(p,q)＝1，且q大于p，n表示NTRU(数论研究单元)算法中多项式环的维度；

②MU选择一个随机数以及登录口令PW_MU，然后计算注册消息验证码H_MU＝H₁(ID_MU||PW_MU||λ)，注册消息验证码H_MU提供了本地登陆验证，使得方案可以抵抗设备窃取攻击，其中MU的真实身份信息为ID_MU，H₁是安全的哈希函数。通过两个私钥多项式

和g_MU计算公钥

并通过安全通道将{ID_MU,H_MU,h_MU,λ}发送给HA；

③HA收到MU的注册请求后，首先验证MU的真实身份信息ID_MU，若认证通过，则计算用户身份IM＝H₁(ID_MU||f_HA||t_HA)，t_HA是MU注册时候的时间戳，f_HA为本地代理HA的私钥，且身份认证IM这个参数，任何人除了HA不能伪造或者计算，每个MU都会存储一个不同的IM，用于认证阶段的身份证明，然后将{H_MU,λ,IM,h_MU,p,q,n,H(·)}存储到智能卡中，然后将智能卡分配给MU。

2、登录和认证阶段，具体是：

假如在这之前本地代理和外地代理之前已经商量好了对称密钥，外地代理FA相对于本地代理HA为从属关系，每个代理都有一个与ID对应的公钥列表。本地代理(HA)关于漫游用户(MU)和外地代理(FA)存在公私钥列表。当移动终端完成注册后，就可以执行登录和认证过程，在此过程中，移动终端通过本地代理的帮助和认证，与外地代理完成会话密钥的协商。

①MU→FA:m₁＝{SID,h₀,V₁,V₂,t_MU,ID_HA}

为在

②FA→HA:m₂＝{m₁,ID_FA,MAC,t_FA}

③HA→FA:m₃＝{h₁,h₂,V₃,V₄,h_MU}

(3)HA选择一个多项式

④FA→MU:m₄＝{h₃,h₁,V₅,V₆}

②MU→FA:m₅＝H₂(SK_MF||h_FA||K_MF)

3、口令更新阶段，具体是：

为了提高方案的安全性，避免口令被猜测破解，本方案提供了更新用户口令的操作。移动节点启动密码更改阶段，用户在智能卡上执行以下操作：

④用户向智能卡中输入身份标志ID_MU和口令PW_MU，智能卡计算注册消息验证码H’_MU＝H₁(ID_MU||PW_MU||λ)，并验证H’_MU是否等于H_MU，若相等则用户登录成功，否则终止登录过程。

⑤用户进入系统界面，选择口令更改选项，为防止用户误操作，智能卡两次提示用户是否确认更改，在收到用户两次确定答复后进入口令更改界面。

⑥在口令更改界面，用户在系统提示的输入框中示输入新的口令

和随机数λNEW，最后智能卡通过新的口令

和随机数

计算新的消息验证码

并把H_MU更新为

4、会话密钥更新阶段，具体是：

为了提高方案的安全性，我们提供了会话密钥的更新操作。如果漫游手机用户需要更新和外地代理之前建立的会话密钥，则需要执行如下的步骤:

④MU首先从多项式空间

中选择一个随机加密多项式r’_MU，计算m_i＝{E_SKFM(SID,t_MU,r’_MU),SID,t_MU,Ch}并发送给外地代理FA，SK_FM表示先前MU和FA之前建立的会话密钥，

⑤当外地代理商FA收到漫游用户MU的消息m_i时，FA执行：

(5)验证|T_i-t_MU|<ΔT是否成立，其中T_i为FA当前时间戳；

(6)若成立，则FA使用之前与MU匿名身份SID建立的会话密钥SK_FM解密消息，并检查消息m_i中的SID和传输的SID是否相等；

(7)若相等，则FA选择一个随机多项式r’_FA，然后计算SK’_FM＝H₃(SK_FM||r’_FA||r’_MU)，SK’_FM为新的会话密钥，r’_MU为用于加密的随机多项式；

(8)FA计算m_i+1＝{E_SKFM(H₁(SK’_FM||SK_FM),r’_FA,t_FA,ID_FA),ID_FA,t_FA}，然后将消息m_i+1发送给MU；

⑥当漫游手机用户MU收到消息m_i+1后，验证时间戳和FA的身份信息，若通过则计算新的会话密钥SK’_FM＝H₃(SK_FM||r’_FA||r’_MU)，并验证H’₁(SK’_FM||SK_FM)？＝H₁(SK’_FM||SK_FM)是否成立，如果成立则完成会话密钥的更新。

以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims

1.一种基于格的匿名漫游认证方法，其特征在于，包括注册阶段、认证阶段、口令更改阶段和会话密钥更新阶段；其中，

会话密钥更新阶段：当用户和同一外地代理频繁通信时，进入会话密钥更新阶段，只有在智能终端和外地代理掌握旧的会话密钥的基础上才能进行会话密钥更新操作。

2.根据权利要求1所述的一种基于格的匿名漫游认证方法，其特征在于，

所述注册阶段，具体包括以下步骤：

①本地代理HA广播公共参数{p，q，n，h_HA}，并给注册的漫游手机用户MU计算并发送公钥在内的参数，其中h_HA是HA的公钥；(p，q，n)是三个整数，其中p和q不要求是素数，但满足gcd(p，q)＝1，且q大于p，n表示NTRU(数论研究单元)算法中多项式环的维度；

和g_MU计算公钥

并通过安全通道将{ID_MU，H_MU，h_MU，λ}发送给HA；

③本地代理HA收到移动终端MU的注册请求后，首先验证MU的真实身份信息ID_MU，若认证通过，则计算用户身份IM＝H₁(ID_MU||f_HA||t_HA)，t_HA是MU注册时候的时间戳，f_HA为本地代理HA的私钥，且身份认证IM这个参数，任何人除了HA不能伪造或者计算，每个MU都会存储一个不同的IM，用于认证阶段的身份证明，然后将{H_MU，λ，IM，h_MU，p，q，n，H(·)}存储到智能卡中，然后将智能卡分配给MU。

3.根据权利要求2所述的一种基于格的匿名漫游认证方法，其特征在于，所述认证阶段，具体包括：

①MU→FA：m₁＝{SID，h₀，V₁，V₂，t_MU，ID_HA}

手机用户MU首先向智能卡中输入其真实身份信息ID_MU和口令PW_MU，然后智能卡计算注册消息验证码H′_MU＝H₁(ID_MU||PW_MU||λ)并验证，若相等则MU的真实身份ID_MU是有效的，SC允许用户登录，否则SC拒绝用户登录。MU选择两个随机数，x_MU，

为在

②FA→HA：m₂＝{m₁，ID_FA，MAC，t_FA}

③HA→FA：m₃＝{h₁，h₂，V₃，V₄，V₅，h_MU}

(2)HA使用自己的私钥解密密文V₁和V₂，根据解密的数据可得到秘密多项式r_MU、x_MU和MU的身份标志ID_MU，通过ID_MU找到MU的IM，然后验证EMU的身份认证消息h’₀＝H₂(ID_MU||IM||t_MU||x_MU)？＝h₀，匿名身份标志SID’＝H₄(ID_MU||r_MU||H_MU)？＝SID，若等式通过则MU的匿名身份SID是合法的；

(3)HA选择一个多项式

并计算加密消息V₃和V₄：V₃＝p·h_FA·r_HA+SID，V₄＝V₃·SID+x_MU，此处使用了和上述相同的加密方式用以保证数据的安全，然后本地代理HA计算并发送组合消息m₃＝{h₁＝H₂(IM||x_MU)，h₂＝H₂(h₁||SID||h_MU)，V₃，V₄}；

④FA→MU：m₄＝{h₃，h₁，V₅，V₆}

当FA收到消息m₃后，解密密文V₃，V₄，FA首先验证解密得到的SID与之前保存的SID是否相等，若相等，则FA认为MU的匿名身份SID是合法的，然后FA随机选择秘密多项式x_FA和x_MU并计算共享秘密值K_FM＝x_FA·x_MU，此秘密值只有FA和MU可计算得出。然后计算会话密钥SK_FM＝H₃(SID||K_FM||ID_FA)，H₃是安全的哈希函数，通过将输入数据映射到密钥空间来计算会话密钥的值，然后使用上述相同加密算法计算密文V₅、V₆和FA的消息认证码h₃：V₅＝p·h_MU·r_FA+m_FA，V₆＝m_FA·V₅+x_FA，h₃＝H₂(SID||K_FM||h₁||x_FA||m_FA)，消息认证码h₃的使用用以提供消息完整性验证，然后FA各消息m₄＝{h₃，h₁，V₅，V₆}发送给MU；

⑤MU→FA：m₅＝H₂(SK_MF||h_FA||K_MF)

当收到从FA发来的消息m₄后，验证h′₁＝H₂(IM||x_MU)？＝h₁，若相等则证明FA通过了HA的认证，并且可以成功计算x_MU的值，则认为外地代理FA是合法的。解密V₅、V₆得到x_FA，m_FA，计算K_MF＝x_MU·x_FA，然后计算SK_MF＝H₃(SID||K_MF||ID_FA)，验证h’₃＝H₂(SID||K_MF||h’₁||x_FA||m_FA)？＝h₃，若相等则会话密钥协商成功。

4.根据权利要求3所述的一种基于格的匿名漫游认证方法，其特征在于，

所述口令更新阶段，具体包括：

①用户向智能卡中输入身份标志ID_MU和口令PW_MU，智能卡计算注册消息验证码H′_MU＝H₁(ID_MU||PW_MU||λ)，并验证H′_MU是否等于H_MU，若相等则用户登录成功，否则终止登录过程。