1.一种基于格的匿名漫游认证方法，其特征在于，包括注册阶段、认证阶段、口令更改阶段和会话密钥更新阶段；其中，注册阶段：用于智能终端向本地代理商进行注册，本地代理商HA主要对漫游手机用户MU的真实身份信息以及外地代理FA的身份信息进行认证，然后将认证结果分别发送给外地代理FA和漫游手机用户MU；

认证阶段：用于注册成功后，实现漫游手机用户MU和外地代理FA之间的相互认证的目的。在本地代理商HA的帮助下，智能终端生成一个安全的匿名身份与外地代理FA进行相互认证并协商出一个安全的会话密钥，在认证阶段中使用NTRU(数论研究单元)加密算法对通信实体间的认证消息进行加密传输；

口令更改阶段：用于认证成功后，智能终端使用匿名身份向外地代理获取网络服务，在用户需要更改口令时进入口令更改阶段，此过程只需要向智能卡输入正确的用户名和密码即可完成口令更改；

会话密钥更新阶段：当用户和同一外地代理频繁通信时，进入会话密钥更新阶段，只有在智能终端和外地代理掌握旧的会话密钥的基础上才能进行会话密钥更新操作。

2.根据权利要求1所述的一种基于格的匿名漫游认证方法，其特征在于，

所述注册阶段，具体包括以下步骤：

①本地代理HA广播公共参数{p，q，n，hHA}，并给注册的漫游手机用户MU计算并发送公钥在内的参数，其中hHA是HA的公钥；(p，q，n)是三个整数，其中p和q不要求是素数，但满足gcd(p，q)＝1，且q大于p，n表示NTRU(数论研究单元)算法中多项式环的维度；

②移动终端MU选择一个随机数以及登录口令PWMU，然后计算注册消息验证码HMU＝H1(IDMU||PWMU||λ)，注册消息验证码HMU提供了本地登陆验证，使得方案可以抵抗设备窃取攻击，其中MU的真实身份信息为IDMU，H1是安全的哈希函数。通过两个私钥多项式 和gMU计算公钥 并通过安全通道将{IDMU，HMU，hMU，λ}发送给HA；

③本地代理HA收到移动终端MU的注册请求后，首先验证MU的真实身份信息IDMU，若认证通过，则计算用户身份IM＝H1(IDMU||fHA||tHA)，tHA是MU注册时候的时间戳，fHA为本地代理HA的私钥，且身份认证IM这个参数，任何人除了HA不能伪造或者计算，每个MU都会存储一个不同的IM，用于认证阶段的身份证明，然后将{HMU，λ，IM，hMU，p，q，n，H(·)}存储到智能卡中，然后将智能卡分配给MU。

3.根据权利要求2所述的一种基于格的匿名漫游认证方法，其特征在于，所述认证阶段，具体包括：①MU→FA：m1＝{SID，h0，V1，V2，tMU，IDHA}

手机用户MU首先向智能卡中输入其真实身份信息IDMU和口令PWMU，然后智能卡计算注册消息验证码H′MU＝H1(IDMU||PWMU||λ)并验证，若相等则MU的真实身份IDMU是有效的，SC允许用户登录，否则SC拒绝用户登录。MU选择两个随机数，xMU， 为在 中多项式r的集合，然后计算匿名身份标志SID＝H4(IDMU||rMU||HMU)，匿名身份的使用保证了用户的隐私，且通过随机数来保证匿名身份的不可连接性，H4表示安全的单向哈希函数，用于匿名身份标志的生成，然后加密IDMU和xMU得到密文信息V1和V2：V1＝p·hHA·rMU+IDMU，V2＝V1·IDMU+xMU，加密过程使用了Silverman等人提出的NTRU(数论研究单元)加密安全增强变式，不仅可以抵抗量子攻击和多重消息传输攻击，降低了计算复杂度，还提升了方案的扩展性。计算MU的身份认证消息h0＝H2(IDMU||IM||tMU||xMU)，H2表示安全的哈希函数，用于计算相关协议数据的摘要信息，保证协议数据完整性，||表示级联符号，用于参数的连接。然后将消息m1发送给FA，其中IDHA为本地代理HA的身份标志，tMU为消息时间戳，时间戳的使用用来保证时钟同步，抵抗重放攻击；

②FA→HA：m2＝{m1，IDFA，MAC，tFA}

当FA收到消息后，首先验证时间戳是否合格，若成立，首先保存匿名身份标志SID，并根据IDHA检索本地存储的与HA之间的共享密SKFH，然后计算消息认证码MAC＝H2(IDFA||V1||V2||SKHF)，然后FA将消息m2发送给HA，其中使用时间戳tFA用来抵抗重放攻击；

③HA→FA：m3＝{h1，h2，V3，V4，V5，hMU}

当HA收到来自FA的消息m2后，HA首先验证时间戳，然后验证IDFA和匿名身份标志SID的合法性：(1)HA根据本地存储的与FA之间的共享密钥SKHF，然后计算消息验证码MAC’＝H2(IDFA||V1||V2||SKHF)与FA发送的消息验证码MAC是否相等，若相等则FA的身份信息IDFA为合法的；

(2)HA使用自己的私钥解密密文V1和V2，根据解密的数据可得到秘密多项式rMU、xMU和MU的身份标志IDMU，通过IDMU找到MU的IM，然后验证EMU的身份认证消息h’0＝H2(IDMU||IM||tMU||xMU)？＝h0，匿名身份标志SID’＝H4(IDMU||rMU||HMU)？＝SID，若等式通过则MU的匿名身份SID是合法的；

(3)HA选择一个多项式 并计算加密消息V3和V4：V3＝p·hFA·rHA+SID，V4＝V3·SID+xMU，此处使用了和上述相同的加密方式用以保证数据的安全，然后本地代理HA计算并发送组合消息m3＝{h1＝H2(IM||xMU)，h2＝H2(h1||SID||hMU)，V3，V4}；

④FA→MU：m4＝{h3，h1，V5，V6}

当FA收到消息m3后，解密密文V3，V4，FA首先验证解密得到的SID与之前保存的SID是否相等，若相等，则FA认为MU的匿名身份SID是合法的，然后FA随机选择秘密多项式xFA和xMU并计算共享秘密值KFM＝xFA·xMU，此秘密值只有FA和MU可计算得出。然后计算会话密钥SKFM＝H3(SID||KFM||IDFA)，H3是安全的哈希函数，通过将输入数据映射到密钥空间来计算会话密钥的值，然后使用上述相同加密算法计算密文V5、V6和FA的消息认证码h3：V5＝p·hMU·rFA+mFA，V6＝mFA·V5+xFA，h3＝H2(SID||KFM||h1||xFA||mFA)，消息认证码h3的使用用以提供消息完整性验证，然后FA各消息m4＝{h3，h1，V5，V6}发送给MU；

⑤MU→FA：m5＝H2(SKMF||hFA||KMF)

当收到从FA发来的消息m4后，验证h′1＝H2(IM||xMU)？＝h1，若相等则证明FA通过了HA的认证，并且可以成功计算xMU的值，则认为外地代理FA是合法的。解密V5、V6得到xFA，mFA，计算KMF＝xMU·xFA，然后计算SKMF＝H3(SID||KMF||IDFA)，验证h’3＝H2(SID||KMF||h’1||xFA||mFA)？＝h3，若相等则会话密钥协商成功。

4.根据权利要求3所述的一种基于格的匿名漫游认证方法，其特征在于，

所述口令更新阶段，具体包括：

移动节点启动密码更改阶段，用户在智能卡上执行以下操作：

①用户向智能卡中输入身份标志IDMU和口令PWMU，智能卡计算注册消息验证码H′MU＝H1(IDMU||PWMU||λ)，并验证H′MU是否等于HMU，若相等则用户登录成功，否则终止登录过程。

②用户进入系统界面，选择口令更改选项，为防止用户误操作，智能卡两次提示用户是否确认更改，在收到用户两次确定答复后进入口令更改界面。

③在口令更改界面，用户在系统提示的输入框中示输入新的口令 和随机数

λNEW，最后智能卡通过新的口令 和随机数λNEW计算新的消息验证码

并把HMU更新为

5.根据权利要求4所述的一种基于格的匿名漫游认证方法，其特征在于，

所述会话密钥更新阶段，具体包括：

当漫游手机用户需要更新和外地代理之前建立的会话密钥时，则需要执行如下的步骤：

①MU首先从多项式空间 中选择一个随 机加密多项式r’MU ，计算

并发送给外地代理FA，SKFM表示先前MU和FA

之前建立的会话密钥， 表示使用会话密钥SKFM的对称加密算法，tMU是当前的时间戳，Ch为用户更新会话密钥请求的标志；

②当外地代理商FA收到漫游用户MU的消息mi时，FA执行：

(1)验证|Ti-tMU|＜ΔT是否成立，其中Ti为FA当前时间戳；

(2)若成立，则FA使用之前与MU匿名身份SID建立的会话密钥SKFM解密消息，并检查消息mi中的SID和传输的SID是否相等；

(3)若相等，则FA选择一个随机多项式r’FA，然后计算SK’FM＝H3(SKFM||r’FA||r’MU)，SK’FM为新的会话密钥，r’MU为用于加密的随机多项式；

(4)FA计算 然后将

消息mi+1发送给MU；

③当漫游手机用户MU收到消息mi+1后，验证时间戳和FA的身份信息，若通过则计算新的会话密钥SK’FM＝H3(SKFM||r’FA||r’MU)，并验证H’1(SK’FM||SKFM)？＝H1(SK’FM||SKFM)是否成立，如果成立则完成会话密钥的更新。