基于混合密码的LTE-R车-地通信非接入层认证密钥协商方法与流程

本发明涉及一种lte-r车-地无线通信非接入层认证密钥协商方法。

背景技术

随着高速铁路技术的持续快速发展，传统的gsm-r(铁路专用移动通信系统)窄带通信系统，难以满足未来铁路系统针对高冗余度数据的可靠传输、实时多媒体视频监控等业务的要求。在2010年12月召开的第七届世界高速铁路大会上，国际铁路联盟(uic)表示将采用lte-r(longtermevolutionforrailway，铁路专用长期演进系统)作为下一代铁路无线通信系统。lte-r基于长期演进技术(longtermevolution,lte)，具备高带宽、低时延和高速率等优点。其更加开放的空中接口，全ip化、扁平化的网络结构使lte-r更易面临数据窃听、篡改、假冒欺骗、拒绝服务攻击(dos攻击)等安全风险。如何实现对车载移动单元(obu)的身份认证以及空口数据/信令的机密性和完整性保护，确保lte-r网络接入安全成为了一个重要且热门的课题。

lte-r系统中与非接入层认证密钥协商相关联的实体主要包括：车载移动单元(obu)，移动管理实体(mme)，归属用户服务器(hss)。其中，车载移动单元(obu)设备中装载全球移动用户身份别卡(usim)，卡中存储国际移动用户识别码(imsi)、归属用户服务器(hss)与车载移动单元(obu)共享的长期共享密钥k以及认证向量的生成算法等。移动管理实体(mme)和用户归属服务器(hss)同属lte-r网络架构中的核心网服务器。移动管理实体(mme)作为核心网中的控制平面节点，下辖多个基站，主要负责车载移动单元(obu)的移动性管理、呼叫控制、身份认证等业务。归属用户服务器(hss)集成了鉴权中心(auc)，存储认证相关算法和与车载移动单元(obu)共享的长期共享密钥k，可为移动管理实体(mme)生成车载移动单元(obu)的身份认证向量。每一个车载移动单元(obu)只归属于一个归属用户服务器(hss)，当车载移动单元(obu)在lte-r网络内移动时，会处于不同的移动管理实体(mme)的服务覆盖内，若车载移动单元(obu)需要接入lte-r网络，则需要实现同移动管理实体(mme)间的相互认证。认证过程需要在归属用户服务器(hss)的帮助下完成。以上是初始接入认证；当首次接入认证成功后，车载移动单元(obu)重新接入网络或发生位置更新时，将执行重认证协议。

目前lte-r车-地无线通信非接入层认证密钥协商方案采用了eps-aka(演进分组系统认证密钥协商)协议，该协议存在下述问题：

(1)国际移动用户识别码(imsi)缺乏保护。在初始认证过程中，代表车载移动单元(obu)身份的国际移动用户识别码(imsi)会以明文形式在无线信道上传输，易被攻击者窃取；从而窃取者假冒合法用户发动中间人、重放、以及拒绝服务等攻击。并且还可以利用其追踪车载移动单元(obu)在网络中的访问行为或移动路径，造成隐私泄露等安全风险。

(2)易遭受重定向攻击。由于在无线环境下发起接入认证，攻击者可操纵着具有基站功能的设备，捕获车载移动单元(obu)向当前移动管理实体(mme)发送的身份认证请求消息，然后将该请求导向外部移动管理实体(mme)，对车载移动单元(obu)通信安全造成威胁。重定向攻击还将产生计费问题，当用户被重定向至外部网络后，将支付连接到外部网络的漫游费用。

(3)长期共享密钥k不更新，缺乏前向安全性。在eps-aka方案中，以归属用户服务器(hss)生成的随机数和长期共享密钥k作为输入参数生成会话主密钥和认证向量，然而随机数在无线信道中明文传输，可被攻击者截获。一旦长期共享密钥k泄露，攻击者就可以计算出之前建立的会话主密钥，造成整个系统的安全性崩塌。

针对上述问题，文献1“performanceandsecurityenhancedauthenticationandkeyagreementprotocolforsae/ltenetwork”(degefafb,leed,kimj,etal.computernetworks,2016,94:145-163)提出了一种改进的eps-aka方案，该方案在初始注册阶段添加了一个新的参量：身份标识符ki，该身份标识符ki唯一对应一个国际移动用户识别码(imsi)，并在车载移动单元(obu)和归属用户服务器(hss)间共享，且在每次认证完成后需要同步更新；国际移动用户识别码(imsi)可通过长期密钥k和身份标识符ki经过秘密算法生成衍生密钥s进行加密传输；车载移动单元(obu)在认证请求过程中将身份标识符ki出示给归属用户服务器(hss)表明身份，从而避免国际移动用户识别码(imsi)的明文传输，实现了国际移动用户识别码(imsi)的保护。在后续的认证过程中，归属用户服务器(hss)将衍生密钥s发送至移动管理实体(mme)，因此认证向量由移动管理实体(mme)本地生成。但该方案仍然存在诸多问题，首先，车载移动单元(obu)端和归属用户服务器(hss)端的身份标识符ki的同步更新若遭到破坏，将导致车载移动单元(obu)的后续认证失败；其次，认证向量由移动管理实体(mme)生成后，将加重移动管理实体(mme)的计算和存储开销；再者，该方案无法实现长期共享密钥k的更新，不具备前向安全性。

技术实现要素：

本发明的目的就是提供一种基于混合密码的lte-r车-地通信非接入层认证密钥协商方法，该方法能够为lte-r提供更加全面的安全性保护。

本发明实现其发明目的所采用的技术方案是，1、一种基于混合密码的lte-r车-地通信非接入层认证密钥协商方法，其步骤是：

a、全球用户识别卡(usim)注册：

用户归属地运营商采集用户身份信息，为其颁发全球移动用户的身份识别卡(usim)；身份识别卡(usim)中存储安全参数，分别是：国际移动用户识别码(imsi)、该身份识别卡(usim)与归属用户服务器(hss)间的长期共享密钥k、归属用户服务器(hss)的公钥pk、椭圆曲线的生成元p；完成注册后，将身份识别卡(usim)安装在车载移动单元(obu)中；

b、非接入层初始认证：

b1、车载移动单元(obu)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺ao，同时生成一时间戳ts，并获取与车载移动单元(obu)关联的基站标志符lai；车载移动单元(obu)再以国际移动用户识别码(imsi)、时间戳ts、与车载移动单元(obu)关联的基站标志符lai、归属用户服务器(hss)的公钥pk为输入参数，生成秘密信息m1；然后将归属用户服务器(hss)的身份idhss、用户端公开承诺ao、秘密信息m1进行消息串联，生成接入认证请求消息m2，最后将接入认证请求消息m2发送至移动管理实体(mme)；

b2、移动管理实体(mme)收到接入认证请求消息m2后，获取与移动管理实体(mme)关联的基站标志符lai’，然后将与移动管理实体(mme)关联的基站标志符lai’、移动管理实体(mme)的服务网络号snid、接入认证请求消息m2，进行串联生成认证向量请求消息m3，将认证向量请求消息m3发送至归属用户服务器(hss)；

b3、归属用户服务器(hss)收到认证向量请求消息m3后，检索数据库判断其中的服务网络号snid的正确性，如检索不成功，则执行步骤e；

否则，以归属用户服务器(hss)的私钥sk解密接入认证请求消息m2，得到国际移动用户识别码(imsi)、时间戳ts、与车载移动单元(obu)关联的基站标志符lai；归属用户服务器(hss)判断时间戳ts是否正确，如不正确，则执行步骤e；

否则，对比与车载移动单元(obu)关联的位置区标识符lai和与移动管理实体(mme)关联的位置区标识符lai’，若不匹配，则执行步骤e；

否则，选取n个随机数b(i)，其中i为随机数b(i)的序号，i∈(1,2,3…,n)，以随机数b(i)、用户端公开承诺ao为输入参数，计算得到n个服务器端公开承诺b(i)和n个密钥kuh(i)；再根据国际移动用户识别码(imsi)检索出长期共享密钥k，以长期共享密钥k和密钥kuh(i)，生成对应的n个：消息认证码mac(i)、匿名性保护密钥ak(i)、主密钥kasme(i)、主密钥标识符ksiasme(i)、期望响应xres(i)；

再将对应的服务器端公开承诺b(i)、消息认证码mac(i)、期望响应xres(i)、主密钥kasme(i)、主密钥标识符ksiasme(i)进行串联生成认证向量av(i)；将n个认证向量av(i)串联生成认证向量组、然后将其同国际移动用户识别码(imsi)串联，作为认证向量响应消息m4，发送至移动管理实体(mme)；

b4、移动管理实体(mme)收到认证向量响应消息m4并存入自身的数据库；再从认证向量响应消息m4的认证向量组中取出其中的一个认证向量av(i)，随后从该认证向量av(i)中提取出对应的服务器端公开承诺b(i)、消息认证码mac(i)、期望响应xres(i)、主密钥kasme(i)、主密钥标识符ksiasme(i)；将期望响应xres(i)、主密钥kasme(i)保存；同时将服务器端公开承诺b(i)、消息认证码mac(i)、主密钥标识符ksiasme(i)串联生成认证挑战消息m5；最后将认证挑战消息m5发送给车载移动单元(obu)；

b5、车载移动单元(obu)收到认证挑战消息m5，提取其中的服务器端公开承诺b(i)和消息认证码mac(i)和主密钥标识符ksiasme(i)；随后以服务器端公开承诺b(i)和b1步的随机数a为输入参数，计算得到b3步的密钥kuh(i)；再以长期共享密钥k、计算出的密钥kuh(i)为输入参数，生成期望消息认证码xmac(i)、挑战响应res(i)，并将生成的期望消息认证码xmac(i)与消息认证码mac(i)对比，若不相同则执行步骤e；否则，车载移动单元(obu)认证移动管理实体(mme)成功，并以长期共享密钥k、计算出的密钥kuh(i)、主密钥标识符ksiasme(i)计算得到b3步的主密钥kasme(i)；然后，将长期共享密钥k更新为密钥kuh(i)，并将挑战响应res(i)作为挑战响应消息m6，回传至移动管理实体(mme)；

b6、移动管理实体(mme)收到挑战响应消息m6后，提取其中的挑战响应res(i)，并同b4步中从av(i)提取的期望响应xres(i)进行对比，若不相同，则执行步骤e；否则，移动管理实体(mme)认证车载移动单元(obu)成功；随后，移动管理实体(mme)选取随机数rmme，将随机数rmme、国际移动用户识别码(imsi)进行串联后，再进行哈希运算生成识别码，作为临时国际移动用户识别码(tmsi)，并加密发送至车载移动单元(obu)；再将b4步的服务器端公开承诺b(i)作为认证成功消息m7发送至归属用户服务器(hss)，随后从自身数据库中删除b4步提取的认证向量av(i)，其余的认证向量av(i)构成更新后的认证向量组；最后将临时国际移动用户识别码(tmsi)与对应的国际移动用户识别码(imsi)进行链接；

b7、归属用户服务器(hss)收到认证成功消息m7后，根据公开承诺b(i)、用户端公开承诺ao再次计算出b3步的密钥kuh(i)，并将长期共享密钥k更新为密钥kuh(i)，完成初始认证；车载移动单元(obu)通过关联的基站与移动管理实体间(mme)进行通信；

当车载移动单元(obu)发生位置更新重新请求接入网络时，进行c步的操作；

c、非接入层重认证：

c1、车载移动单元(obu)将临时国际移动用户识别码(tmsi)发送给移动管理实体(mme)，发起重认证请求；

c2、移动管理实体(mme)收到临时国际移动用户识别码(tmsi)后，通过对应的国际移动用户识别码(imsi)检索出对应的认证向量组，若检索失败，执行步骤a；

否则,取出认证向量组中的一个认证向量av(i)，随后从该认证向量av(i)中提取其中的服务器端公开承诺b(i)、消息认证码mac(i)、主密钥kasme(i)、主密钥标志符ksiasme(i)和期望响应xres(i)；保存主密钥kasme(i)和期望响应xres(i)；将服务器端公开承诺b(i)、消息认证码mac(i)、主密钥标志符ksiasme(i)进行消息串联后发送给车载移动单元(obu)；

c3、车载移动单元(obu)收到来自移动管理实体(mme)的服务器端公开承诺b(i)、消息认证码mac(i)、主密钥标志符ksiasme(i)后，以服务器端公开承诺b(i)和b1步的随机数a计算出b3步的密钥kuh(i)；再以长期共享密钥k、计算出的密钥kuh(i)为输入参数，生成期望消息认证码xmac(i)、挑战响应res(i)，并将生成的期望消息认证码xmac(i)与接收到来自移动管理实体(mme)的消息认证码mac(i)对比，若不相同则执行步骤e；否则，车载移动单元(obu)认证移动管理实体(mme)成功；然后以长期共享密钥k、计算出的密钥kuh(i)、主密钥标志符ksiasme(i)为输入参数，计算b3步的主密钥kasme(i)，并将挑战响应res(i)发送至移动管理实体(mme)；

c4、移动管理实体(mme)收到挑战响应res(i)后，将c2步骤中从认证向量av(i)中提取的期望响应xres(i)与挑战响应res(i)对比，若不相同则执行步骤e；否则，移动管理实体(mme)认证车载移动单元(obu)成功；随后，移动管理实体(mme)选取重认证随机数rrmme，以该重认证随机数rrmme、国际移动用户识别码(imsi)进行串联后，再进行哈希运算生成识别码，以更新临时国际移动用户识别码(tmsi)，并将更新后的国际移动用户识别码(tmsi)加密发送至车载移动单元(obu)，随后从自身数据库中删除c2步提取的认证向量av(i)，其余的认证向量av(i)构成更新后的认证向量组；最后将新的临时国际移动用户识别码(tmsi)与对应的国际移动用户识别码(imsi)进行链接；

随后，车载移动单元(obu)通过关联的基站与移动管理实体间(mme)进行通信；

d、当车载移动单元(obu)再次发生位置更新重新请求接入网络时，重复c步的操作；

e、认证失败，终止操作。

与现有技术相比，本发明的有益效果是：

一、本发明提出了利用归属用户服务器(hss)的公钥加密传输国际移动用户识别码(imsi)和时间戳ts以及位置区标识符lai的方法，能够有效保护国际移动用户识别码(imsi)的机密性，实现对重放攻击和重定向攻击的抵抗，提高了安全性。

二、本方法中归属用户服务器(hss)的公钥在全球用户识别卡(usim)注册阶段就已经通过发行商直接写入到卡中，因此在后续的使用过程中，车载移动单元(obu)可直接从卡中读取公钥数据，避免了公钥密码体制中的公钥证书管理与传递问题，无需部署公钥基础设施(pki)。降低了lte-r网络结构的冗余度和复杂度。

三、本发明在认证向量的生成过程中引入了diffie-hellman密钥交换算法，车载移动单元(obu)和归属用户服务器(hss)通过该算法协商了密钥kuh(i)，在此密钥协商的过程中，隐藏了原协议中明文传输的随机数，保证了随机数的机密性。密钥kuh(i)和长期共享密钥k作为两个秘密值共同参与计算主密钥kasme(i)，使得提出的方案具备了前向安全性。

四、当车载移动单元(obu)和移动管理实体(mme)完成初始双向认证后，车载移动单元(obu)和归属用户服务器(hss)间的长期共享密钥k将更新为本次初始认证的密钥kuh(i)，避免因密钥k长期使用而泄露的风险，提高系统的整体安全性。

进一步，本发明的的步骤b1中车载移动单元(obu)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺ao的具体方法是：将随机数a与a步中身份识别卡(usim)中存储的椭圆曲线的生成元p，进行倍点运算，得到用户端公开承诺ao，即ao＝a·p。

这里采用椭圆曲线上的倍点运算计算公开承诺，相较于使用大素数模指数运算的优势在于：计算效率更高。同时，在达到相同的比特安全强度时，前者所需的比特长度更短，能够节省通信开销。

进一步，本发明的步骤b1中车载移动单元(obu)再以国际移动用户识别码(imsi)、时间戳ts、与车载移动单元(obu)关联的基站标志符lai、归属用户服务器(hss)的公钥pk为输入参数，生成秘密信息m1的具体方法是：将国际移动用户识别码(imsi)、时间戳ts、与车载移动单元(obu)关联的基站标志符lai串接后，再由公钥pk对串接后的消息进行加密运算，即：

m1＝epk{imsi||ts||lai}

其中||表示字符串联运算，epk{■}表示由公钥pk对消息■进行加密运算。

采用椭圆曲线公钥密码体制(ecc)进行加密操作，具有更好的安全性，该算法提供更强的保护，比目前的其他加密算法能更好的防止攻击；且这ecc加密算法只需较短的密钥长度即可提供较好的安全性，如256位的ecc密钥加密强度等同于3072位rsa密钥的水平(目前普通使用的rsa密钥长度是2048位)。也即本发明以更低的计算能力代价得到了更高的安全性。

更进一步，本发明的步骤b3中，以随机数b(i)、用户端公开承诺ao为输入参数，计算得到n个服务器端公开承诺b(i)和n个密钥kuh(i)的具体方法是：

将随机数b(i)与椭圆曲线的生成元p进行倍点运算，即得服务器端公开承诺b(i)，即b(i)＝b(i)■p；

将随机数b(i)与用户端公开承诺ao进行倍点运算，即得密钥kuh(i)，即kuh(i)＝b(i)■ao。

更进一步，本发明的步骤b3中，以长期共享密钥k和密钥kuh(i)，生成对应的n个：消息认证码mac(i)、匿名性保护密钥ak(i)、主密钥kasme(i)、主密钥标识符ksiasme(i)、期望响应xres(i)的生成公式是：

消息认证码mac(i)：

期望响应xres(i)：

匿名性保护密钥ak(i)：

主密钥kasme(i)：

主密钥标识符ksiasme(i)：

其中，表示输出128比特的哈希消息认证码运算、表示输出64比特的哈希消息认证码运算、表示输出48比特的哈希消息认证码运算、kdfk表示输出256比特的哈希消息认证码运算,表示异或操作。

下面结合具体实施方式对本发明作进一步的详细说明。

具体实施方式

实施例

本发明的一种具体实施方式是，一种基于混合密码的lte-r车-地通信非接入层认证密钥协商方法，其步骤是：

a、全球用户识别卡(usim)注册：

用户归属地运营商采集用户身份信息，为其颁发全球移动用户的身份识别卡(usim)；身份识别卡(usim)中存储安全参数，分别是：国际移动用户识别码(imsi)、该身份识别卡(usim)与归属用户服务器(hss)间的长期共享密钥k、归属用户服务器(hss)的公钥pk、椭圆曲线的生成元p；完成注册后，将身份识别卡(usim)安装在车载移动单元(obu)中；

b、非接入层初始认证：

b1、车载移动单元(obu)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺ao，同时生成一时间戳ts，并获取与车载移动单元(obu)关联的基站标志符lai；车载移动单元(obu)再以国际移动用户识别码(imsi)、时间戳ts、与车载移动单元(obu)关联的基站标志符lai、归属用户服务器(hss)的公钥pk为输入参数，生成秘密信息m1；然后将归属用户服务器(hss)的身份idhss、用户端公开承诺ao、秘密信息m1进行消息串联，生成接入认证请求消息m2，最后将接入认证请求消息m2发送至移动管理实体(mme)；

b2、移动管理实体(mme)收到接入认证请求消息m2后，获取与移动管理实体(mme)关联的基站标志符lai’，然后将与移动管理实体(mme)关联的基站标志符lai’、移动管理实体(mme)的服务网络号snid、接入认证请求消息m2，进行串联生成认证向量请求消息m3，将认证向量请求消息m3发送至归属用户服务器(hss)；

b3、归属用户服务器(hss)收到认证向量请求消息m3后，检索数据库判断其中的服务网络号snid的正确性，如检索不成功，则执行步骤e；

否则，以归属用户服务器(hss)的私钥sk解密接入认证请求消息m2，得到国际移动用户识别码(imsi)、时间戳ts、与车载移动单元(obu)关联的基站标志符lai；归属用户服务器(hss)判断时间戳ts是否正确，如不正确，则执行步骤e；

否则，对比与车载移动单元(obu)关联的位置区标识符lai和与移动管理实体(mme)关联的位置区标识符lai’，若不匹配，则执行步骤e；

否则，选取n个随机数b(i)，其中i为随机数b(i)的序号，i∈(1,2,3…,n)，以随机数b(i)、用户端公开承诺ao为输入参数，计算得到n个服务器端公开承诺b(i)和n个密钥kuh(i)；再根据国际移动用户识别码(imsi)检索出长期共享密钥k，以长期共享密钥k和密钥kuh(i)，生成对应的n个：消息认证码mac(i)、匿名性保护密钥ak(i)、主密钥kasme(i)、主密钥标识符ksiasme(i)、期望响应xres(i)；

再将对应的服务器端公开承诺b(i)、消息认证码mac(i)、期望响应xres(i)、主密钥kasme(i)、主密钥标识符ksiasme(i)进行串联生成认证向量av(i)；将n个认证向量av(i)串联生成认证向量组、然后将其同国际移动用户识别码(imsi)串联，作为认证向量响应消息m4，发送至移动管理实体(mme)；

b4、移动管理实体(mme)收到认证向量响应消息m4并存入自身的数据库；再从认证向量响应消息m4的认证向量组中取出其中的一个认证向量av(i)，随后从该认证向量av(i)中提取出对应的服务器端公开承诺b(i)、消息认证码mac(i)、期望响应xres(i)、主密钥kasme(i)、主密钥标识符ksiasme(i)；将期望响应xres(i)、主密钥kasme(i)保存；同时将服务器端公开承诺b(i)、消息认证码mac(i)、主密钥标识符ksiasme(i)串联生成认证挑战消息m5；最后将认证挑战消息m5发送给车载移动单元(obu)；

b5、车载移动单元(obu)收到认证挑战消息m5，提取其中的服务器端公开承诺b(i)和消息认证码mac(i)和主密钥标识符ksiasme(i)；随后以服务器端公开承诺b(i)和b1步的随机数a为输入参数，计算得到b3步的密钥kuh(i)；再以长期共享密钥k、计算出的密钥kuh(i)为输入参数，生成期望消息认证码xmac(i)、挑战响应res(i)，并将生成的期望消息认证码xmac(i)与消息认证码mac(i)对比，若不相同则执行步骤e；否则，车载移动单元(obu)认证移动管理实体(mme)成功，并以长期共享密钥k、计算出的密钥kuh(i)、主密钥标识符ksiasme(i)计算得到b3步的主密钥kasme(i)；然后，将长期共享密钥k更新为密钥kuh(i)，并将挑战响应res(i)作为挑战响应消息m6，回传至移动管理实体(mme)；

b6、移动管理实体(mme)收到挑战响应消息m6后，提取其中的挑战响应res(i)，并同b4步中从av(i)提取的期望响应xres(i)进行对比，若不相同，则执行步骤e；否则，移动管理实体(mme)认证车载移动单元(obu)成功；随后，移动管理实体(mme)选取随机数rmme，将随机数rmme、国际移动用户识别码(imsi)进行串联后，再进行哈希运算生成识别码，作为临时国际移动用户识别码(tmsi)，并加密发送至车载移动单元(obu)；再将b4步的服务器端公开承诺b(i)作为认证成功消息m7发送至归属用户服务器(hss)，随后从自身数据库中删除b4步提取的认证向量av(i)，其余的认证向量av(i)构成更新后的认证向量组；最后将临时国际移动用户识别码(tmsi)与对应的国际移动用户识别码(imsi)进行链接；

b7、归属用户服务器(hss)收到认证成功消息m7后，根据公开承诺b(i)、用户端公开承诺ao再次计算出b3步的密钥kuh(i)，并将长期共享密钥k更新为密钥kuh(i)，完成初始认证；车载移动单元(obu)通过关联的基站与移动管理实体间(mme)进行通信；

当车载移动单元(obu)发生位置更新重新请求接入网络时，进行c步的操作；

c、非接入层重认证：

c1、车载移动单元(obu)将临时国际移动用户识别码(tmsi)发送给移动管理实体(mme)，发起重认证请求；

c2、移动管理实体(mme)收到临时国际移动用户识别码(tmsi)后，通过对应的国际移动用户识别码(imsi)检索出对应的认证向量组，若检索失败，执行步骤a；

否则,取出认证向量组中的一个认证向量av(i)，随后从该认证向量av(i)中提取其中的服务器端公开承诺b(i)、消息认证码mac(i)、主密钥kasme(i)、主密钥标志符ksiasme(i)和期望响应xres(i)；保存主密钥kasme(i)和期望响应xres(i)；将服务器端公开承诺b(i)、消息认证码mac(i)、主密钥标志符ksiasme(i)进行消息串联后发送给车载移动单元(obu)；

c3、车载移动单元(obu)收到来自移动管理实体(mme)的服务器端公开承诺b(i)、消息认证码mac(i)、主密钥标志符ksiasme(i)后，以服务器端公开承诺b(i)和b1步的随机数a计算出b3步的密钥kuh(i)；再以长期共享密钥k、计算出的密钥kuh(i)为输入参数，生成期望消息认证码xmac(i)、挑战响应res(i)，并将生成的期望消息认证码xmac(i)与接收到来自移动管理实体(mme)的消息认证码mac(i)对比，若不相同则执行步骤e；否则，车载移动单元(obu)认证移动管理实体(mme)成功；然后以长期共享密钥k、计算出的密钥kuh(i)、主密钥标志符ksiasme(i)为输入参数，计算b3步的主密钥kasme(i)，并将挑战响应res(i)发送至移动管理实体(mme)；

c4、移动管理实体(mme)收到挑战响应res(i)后，将c2步骤中从认证向量av(i)中提取的期望响应xres(i)与挑战响应res(i)对比，若不相同则执行步骤e；否则，移动管理实体(mme)认证车载移动单元(obu)成功；随后，移动管理实体(mme)选取重认证随机数rrmme，以该重认证随机数rrmme、国际移动用户识别码(imsi)进行串联后，再进行哈希运算生成识别码，以更新临时国际移动用户识别码(tmsi)，并将更新后的国际移动用户识别码(tmsi)加密发送至车载移动单元(obu)，随后从自身数据库中删除c2步提取的认证向量av(i)，其余的认证向量av(i)构成更新后的认证向量组；最后将新的临时国际移动用户识别码(tmsi)与对应的国际移动用户识别码(imsi)进行链接；

随后，车载移动单元(obu)通过关联的基站与移动管理实体间(mme)进行通信；

d、当车载移动单元(obu)再次发生位置更新重新请求接入网络时，重复c步的操作；

e、认证失败，终止操作。

本例的步骤b1中车载移动单元(obu)启动并首次接入网络时，先选取一个随机数a，计算用户端公开承诺ao的具体方法是：将随机数a与a步中身份识别卡(usim)中存储的椭圆曲线的生成元p，进行倍点运算，得到用户端公开承诺ao，即ao＝a■p。

本例的步骤b1中车载移动单元(obu)再以国际移动用户识别码(imsi)、时间戳ts、与车载移动单元(obu)关联的基站标志符lai、归属用户服务器(hss)的公钥pk为输入参数，生成秘密信息m1的具体方法是：将国际移动用户识别码(imsi)、时间戳ts、与车载移动单元(obu)关联的基站标志符lai串接后，再由公钥pk对串接后的消息进行加密运算，即：

m1＝epk{imsi||ts||lai}

其中||表示字符串联运算，epk{■}表示由公钥pk对消息■进行加密运算。

本例的步骤b3中，以随机数b(i)、用户端公开承诺ao为输入参数，计算得到n个服务器端公开承诺b(i)和n个密钥kuh(i)的具体方法是：

将随机数b(i)与椭圆曲线的生成元p进行倍点运算，即得服务器端公开承诺b(i)，即b(i)＝b(i)■p；

将随机数b(i)与用户端公开承诺ao进行倍点运算，即得密钥kuh(i)，即kuh(i)＝b(i)■ao。

本例的步骤b3中，以长期共享密钥k和密钥kuh(i)，生成对应的n个：消息认证码mac(i)、匿名性保护密钥ak(i)、主密钥kasme(i)、主密钥标识符ksiasme(i)、期望响应xres(i)的生成公式是：

消息认证码mac(i)：

期望响应xres(i)：

匿名性保护密钥ak(i)：

主密钥kasme(i)：

主密钥标识符

其中，表示输出128比特的哈希消息认证码运算、表示输出64比特的哈希消息认证码运算、表示输出48比特的哈希消息认证码运算、kdfk表示输出256比特的哈希消息认证码运算,表示异或操作。