CN1878060A - 一种基于身份的密钥生成方法及系统 - Google Patents

Abstract

本发明提供了一种基于身份的密钥生成方法及系统。涉及计算机通讯及电子商务应用领域。为了解决现有技术中存在密钥托管问题和安全信道不可靠的问题，本发明提供了一种基于身份的密钥生成方法，所述方法包括设定系统参数、生成用户信息、生成初始密钥、验证初始密钥、生成强化密钥和生成用户密钥的步骤。本发明还提供了一种基于身份的密钥生成系统，所述系统包括设定系统参数模块、生成用户信息模块、生成初始密钥模块、验证初始密钥模块、生成强化密钥模块和生成用户密钥模块。采用本发明所述技术方案解决了对安全信道的依赖和密钥托管问题，有效防止各种冒充攻击。

Description

一种基于身份的密钥生成方法及系统

技术领域

本发明涉及计算机通讯及电子商务应用领域，特别涉及一种基于身份的密钥生成方法及系统。

背景技术

1984年，Shamir提出了基于身份的密码体制。理论上，基于身份的密码系统和数字签名体制不需要认证中心，可以将任意字符串作为用户的公钥，而这种能力也使得基于身份的密码体制有广泛的应用领域(例如，理想的电子信箱、各种智能卡的应用)，以及普通密码体制中头疼的期限限制、职权限制、权限回收等问题都可迎刃而解。

尽管Shamir在1984年就给出了基于身份的签名方案，但是第一个实用的基于身份的加密体制直到2001年才由Boneh和Franklin给出，他们的方案在学术界简称为IBE(Identity-based encryption，基于身份的加密体制)。IBE方案是基于建立在椭圆曲线上的双线性配对实现的。目前，许多研究人员正在努力提高配对的计算效率。可以断定，随着配对实现效率的提高，基于身份的密码体制及其各种应用将会有很大的发展空间。

之后，各种各样的基于身份的密码体制陆续提了出来，例如各种基于身份的签名体制、签密体制和密钥协商体制等。

在基于身份的密码体制中，PKG(Private Key Generator，私钥生成器)负责为用户生成私钥，并且通过安全信道传送到用户手中。这样就产生了两个相应的问题：一是密钥托管问题。由于PKG拥有用户的私钥，所以PKG既可以解密任意用户的文件，又可以冒充任意用户进行签名，从而使得这种系统中的身份鉴别失去保障。二是安全信道问题。在现有的技术条件下，要实现安全信道，还是有很大困难的。尽管量子密码技术宣称可以实现安全信道，但是这些新技术都还只停留在实验室阶段，很难大规模投入使用。

解决密钥托管问题的现有技术方案是通过门限技术，即由多个密钥生成中心分布式地生成用户的私钥，每个PKG生成用户私钥的一个分片，用户在收到一定数量的分片之后再合并出自己的私钥。这样，单个PKG就不能拥有用户的私钥了。这在一定程度上缓解了人们基于身份的密码体制中密钥托管问题的责难。

然而，利用门限技术的解决方案运行效率不高。主要原因是：这个解决方案中需要多个密钥生成器。一方面，每个密钥生成器首先需要确认用户的真实身份(这一般需要通过离线的方式来完成)，即每个密钥生成器都得跟用户交互至少一次。而在原有的基于身份的密码体制中，这项工作只在用户和唯一的密钥生成器之间进行。另一方面，每个密钥生成器需要计算用户私钥的分片，而用户收到这些分片之后还要按照门限合成方法去计算自己的私钥。另外，基于门限技术的方案要求每个密钥生成中心和用户之间存在安全信道。从这个意义上讲，虽然密钥托管问题得到了缓解，但是却加剧了对安全信道的依赖。

盲化技术很好地解决了基于身份的密码体制中的对安全信道依赖问题，这里的盲化技术是指用户首先秘密选择一个随机数作为盲因子跟自己的公钥乘在一起，然后再交给PKG让其签名，那么这个签名就完全可以在公开信道上传输了。当用户收到PKG的签名后，再除去刚才秘密选择的盲因子就得到正确的私钥。通过这种盲化技术，密钥生成器和用户可以在公开信道上传送经过盲化的密钥。用户得到之后再执行“脱盲”操作，从而恢复出自己的私钥。该技术很好地解决了基于身份的密码体制的安全信道的依赖问题，但是对密钥托管问题没有任何贡献。用户执行脱盲之后的私钥是密钥生成器的私钥和用户的公钥的单向函数，从而密钥生成中心仍然可以生成不加盲化的用户私钥。所以密钥托管问题依然存在。

发明内容

为了达到同时解决密钥托管和安全信道问题的目的，本发明提供了一种基于身份的密钥生成方法及系统，本发明所述方案如下：

本发明提供了一种基于身份的密钥生成方法，所述方法包括以下步骤：

步骤A：设定系统参数；

步骤B：用户根据所述系统参数生成用户信息，通过总密钥生成器生成用户的初始密钥，并将所述用户信息和初始密钥发送给每个协同密钥生成器；

步骤C：所述协同密钥生成器收到所述用户信息和初始密钥后，对所述身份信息和初始密钥进行验证；如果验证通过，协同密钥生成器进行密钥强化，生成强化密钥，并将所述强化密钥发送给所述用户；如果验证未通过，则报告错误，然后终止此次协议运行。

步骤D：所述用户收到所述强化密钥后，对所述强化密钥进行密钥抽取，生成用户密钥，并对所述用户密钥进行验证。

所述步骤A中设定系统参数包括设定总密钥生成器和每个协同密钥生成器的参数：

所述步骤B具体包括：

步骤B1：用户根据所述系统参数生成用户信息，并将所述用户信息发送给总密钥生成器，申请加入系统；

步骤B2：所述总密钥生成器根据所述用户信息生成用户的初始密钥，并发送给用户；

步骤B3：用户收到所述初始密钥后进行验证，如果验证通过，用户加入系统成功，并将所述用户信息和初始密钥发送给每个协同密钥生成器；否则返回步骤B1，重新申请加入系统；

所述步骤B1具体包括以下步骤：

步骤B11：用户选择口令，并根据所述口令生成所述口令的影子；

步骤B12：所述用户选择盲化因子，并根据所述盲化因子生成盲化公钥；

步骤B13：所述用户用口令对所述盲化公钥进行签名，生成盲化公钥签名，并将所述用户的身份、盲化公钥和盲化公钥的签名作为用户信息发送给总密钥生成器。

所述步骤B2具体包括以下步骤：

步骤B21：所述总密钥生成器收到所述用户信息后，通过离线方式确认用户的真实身份并获取用户口令的影子，然后将用户的身份和口令影子存入本地数据库；

步骤B22：所述总密钥生成器验证用户的身份，验证通过后，生成所述用户的初始密钥并发送给用户。

所述步骤D具体包括以下步骤：

步骤D1：所述用户收到每个协同密钥生成器的强化密钥后，进行密钥抽取生成所述用户密钥；

步骤D2：用户对所述用户密钥进行验证，如果验证通过，完成密钥生成；否则发现具体不合作的协同密钥生成器，要求该协同密钥生成器重新发送正确的强化密钥。

所述方法中信息的发送都是通过公开信道完成的。

本发明还提供了一种基于身份的密钥生成系统，所述系统包括：设定系统参数模块、生成初始密钥模块、生成强化密钥模块和生成用户密钥模块；

所述设定系统参数模块用于设定系统参数；

所述生成初始密钥模块用于用户根据所述系统参数生成用户信息，通过总密钥生成器生成用户的初始密钥，并将所述用户信息和初始密钥发送给每个协同密钥生成器；

所述生成强化密钥模块用于所述协同密钥生成器收到所述用户信息和初始密钥后，对所述身份信息和初始密钥进行验证；如果验证通过，协同密钥生成器进行密钥强化，生成强化密钥，并将所述强化密钥发送给所述用户；如果验证未通过，则报告错误，然后终止此次协议运行；

所述生成用户密钥模块用于所述用户收到所述强化密钥后，对所述强化密钥进行密钥抽取，生成用户密钥，并对所述用户密钥进行验证。

本发明的有益效果是：

1、去除了对安全信道的依赖，使得基于身份的密码体制可以实用化；

2、有效地解决了单独的密钥生成器对用户私钥的托管问题，或多个密钥生成器实现的低效率问题，很好的保护了用户的隐私，使得采用本发明的基于身份的密码系统更加容易为用户接受；

3、基于口令的认证机制有效防止了各种冒充攻击，确保攻击者无法获得用户私钥。

附图说明

图1是本发明所述基于身份的密钥生成方法流程图；

图2是本发明所述基于身份的密钥生成系统示意图。

具体实施方式

下面将参照附图和实施例对本发明进行进一步说明，但并不作为对本发明的限定。

本发明融合了三种技术：盲化技术、多方授权机制和基于口令的认证机制，其中盲化的作用在于去除对安全信道的依赖，多方授权机制的作用在于克服单独的密钥生成器对用户私钥的托管，基于口令认证机制的作用在于防止攻击者模仿用户或者某个密钥生成器。

本发明所述方案具体如下：

参见图1，本发明提供了一种基于身份的密钥生成方法，所述方法步骤如下：

步骤A：设定系统参数；具体实现步骤如下：

步骤101：设定总密钥生成器系统参数，这里把一个总的负责用户身份认证的密钥生成器称为总密钥生成器，记作PKG0，将多个协同授权的密钥生成器称作协同密钥生成器，记作PKGi(i＝1，…，n)，具体设定参数过程如下：

首先，总密钥生成器PKG0选定工作群G₁和G₂、G₁的某个生成元P、以及定义从G₁×G₁到G₂上的双线性映射ê；

选一个大于512比特的素数p满足p＝2 mod 3并且p＝6q-1，这里q是素数，令E是由方程y²＝x³+1定义在有限域GF(p)上的椭圆曲线，令P是E/GF(p)中的一个q阶元素，令群G₁＝<P>，即由P生成的椭圆曲线上的加法群；

令1≠ζ∈GF(p²)是方程x³-1＝0 mod p的一个解，令映射φ(x，y)＝(ζx，y)；由<P，φ(P)>生成的群为E[q]，再令G²是GF(p²)*中所有阶为q的元素组成的集合，e：E[q]×E[q]→G₂是定义在E/GF(p²)上的Weil配对，则修正的Weil配对ê定义为：ê(P，Q)＝e(P，φ(Q))可以证明，这样定义的ê满足双线性、非退化性和可计算性。

其次，总密钥生成器PKG0从Z_q ^*中随机选择主密钥s0，其中Z_q ^*是集合{1，2，…，q-1}，并令P0＝[s0]P；

再次，总密钥生成器PKG0选定如下两个Hash函数：

H：{0，1}^*→G₁为Map-to-point函数，定义为：

设h：{0，1}^*→GF(p)是任意一个抗碰撞(即不能找到对应同一函数值的两个不同的自变量)的Hash函数，所述h考虑到目前MD5和SHA-1的碰撞均已发现，取h为SHA-256。先计算y＝h(ID)，其中ID为表示用户身份的二进制串；再计算x＝(y²-1)^(2p-1)/3modp；然后令H(ID)＝(x，y)为G₁中的点；

H₁：G₁→G₁为一个单向Hash函数，定义为：

对于G₁中的点R(x′，y′)，令y＝h(x′||y′)，并且x＝(y²-1)^(2p-1)/3mod p，然后令H₁(x′，y′)＝(x，y)为G₁中新的点；

最后，总密钥生成器PKG0公布系统参数<G₁，G₂，P，êH，H₁，n，P0>，其中n指协同密钥生成器的个数。

步骤102：总密钥生成器和协同密钥生成器交互操作，生成系统公钥参数，具体实现步骤如下：

首先，协同密钥生成器PKGi(i＝1，…，n)从Z_q ^*中随机选择自己的密钥si，令Pi＝[si]P，Yi＝[si]P0，然后通过公开信道发送(Pi，Yi)给PKG0；

其次，当总密钥生成器PKG0收到每个协同密钥生成器PKGi发送来的(Pi，Yi)后，执行： $Y=\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}\mathrm{Yi},$ 验证等式 $\hat{e}(Y,P)=\hat{e}(\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}\mathrm{Pi},P0)$ 是否成立，如果不成立，就说明有不合作的密钥生成器，可以通过验证等式ê(P0，Pi)＝ê(Yi，P)来发现捣鬼的密钥生成器，排除这些不合作的密钥生成器重新生成系统公钥；当验证等式成立后，发布系统公钥参数<G₁，G₂，P，êH，H₁，n，P0，P1，…，Pn，Y>，系统公钥参数设定结束。

步骤B：用户根据所述系统参数生成用户信息，通过总密钥生成器生成用户的初始密钥，并将所述用户信息和初始密钥发送给每个协同密钥生成器；具体实现步骤如下：

步骤103：用户U的身份为ID，用户从Z_q ^*中选择一个随机数w作为自己的口令(可以先选定易记的字符串作为口令，经过一定的随机填充后使用hash函数h变化成w)，并根据所述口令计算W＝[w]P，生成口令的影子W。

步骤104：用户U从Z_q ^*中再选择一个随机数r作为盲化因子，并根据所述盲化因子r计算D＝[r]H(ID)，生成盲化公钥D。

步骤105：用户用口令对所述盲化公钥进行签名，即R＝[w]H₁(D)，生成盲化公钥签名R，并将所述用户的身份ID、盲化公钥D和盲化公钥的签名R作为用户信息(ID，D，R)，然后通过公开信道发送所述用户信息(ID，D，R)给总密钥生成器PKG0，请求加入。

步骤106：所述总密钥生成器PKG0收到用户U的用户信息(ID，D，R)后，通过离线方式确认用户U的真实身份并获得用户口令的影子W(x_w，y_w)然后将用户的身份ID和口令的影子W的二元组(ID，W)存入本地数据库，只允许自己和其余的密钥生成器访问该数据库。

所谓“离线方式”就是非密码学的方式，例如：亲自见面验证用户真实身份，或者打电话，然后通过声音波形分析技术验明用户身份，或者通过能够保证绝对安全的邮政系统(就像绝密文件的寄送一样)发送能够证明用户身份的资料等。总之，在系统注册之初，对用户真实身份的验证是必须用所设计的密码体制之外的方法来完成的，相对于所设计的密码体制而言，就称为“离线方式”。注册之初的身份验证工作完成之后，其余的工作就可以按照所设计的密码体制本身的协议流程来完成，那么，这些后续的工作就是所谓的“在线方式”。步骤107：总密钥生成器PKG0通过验证等式ê(W，H₁(D))＝ê(P，R)是否成立来验证用户的身份，如果PKG0验证未通过，即等式ê(W，H₁(D))＝ê(P，R)不成立，说明用户提供的口令影子错误，系统拒绝该用户加入，终止该用户的此次加入流程。如果PKG0验证通过，即等式ê(W，H₁(D))＝ê(P，R)成立，计算Q0＝[s0]D生成用户的初始密钥Q0，并通过公开信道将初始密钥Q0发送给用户U。

步骤108：用户收到初始密钥Q0后，验证等式ê(Q0，P)＝ê(D，P0)是否成立，成立则用户加入成功，即步骤109；否则，说明PKG0不合作，发布一条“PKG0作弊”的消息，并返回步骤103让用户重新申请加入。如果系统运行正常，但是到这一步出现等式ê(Q0，P)＝ê(D，P0)不成立，则说明PKG0不合作，拒绝为合法的用户生成私钥。一般来说，可以不考虑这种情况。但是在现实中，也可能由于系统运行出现不可知的错误，而导致这种情形出现，那么不妨终止该用户的此次加入流程，让用户重新申请加入。

步骤109：用户加入系统成功，获得初始密钥。

步骤110：用户U加入系统后，通过公开信道发送用户信息和初始密钥(ID，D，R，Q0)给每个协同密钥生成器PKGi(i＝1，…，n)，请求他们对密钥Q0进行强化操作。

步骤C：所述协同密钥生成器收到所述用户信息和初始密钥后，对所述身份信息和初始密钥进行验证；如果验证通过，协同密钥生成器进行密钥强化，生成强化密钥，并将所述强化密钥发送给所述用户；如果验证未通过，则报告错误，然后终止此次协议运行；具体实现步骤如下：

步骤111：每个协同密钥生成器PKGi收到用户U发来的用户信息和初始密钥(ID，D，R，Q0)后，对其进行验证：ê(W，H₁(D))＝ê(P，R)和ê(Q0，P)＝ê(D，P0)。

步骤112：若验证通过后，计算强化密钥Qi＝[si]Q0，并通过公开信道将强化密钥Qi发送给用户U。若验证未通过，则报告错误，然后终止此次协议运行。

步骤D：所述用户收到所述强化密钥后，对所述强化密钥进行密钥抽取，生成用户密钥，并对所述用户密钥进行验证；具体实现步骤如下：

步骤113：用户U收到每个协同密钥生成器的强化密钥Qi(i＝1，2，…，n)后，进行密钥抽取，令S′＝Q1+Q2+…+Qn，再通过计算S＝[r^-1]S′得到自己的密钥S。

步骤114：用户U对所述密钥S进行验证，即检查等式ê(S，P)＝ê(Y，H(ID))是否成立，如果成立，说明密钥生成正确；否则说明某个协同密钥生成器PKGi发送的Qi不正确，可以通过验证等式ê(Q0，Pi)＝ê(Qi，P)来发现具体不合作的协同密钥生成器，要求该协同密钥生成器PKGi重新发送正确的强化密钥Qi，即返回步骤112。

步骤115：完成用户密钥生成。

用户U得到了自己的私钥S＝s0(s1+s2+…+sn)H(ID)，因为Q0＝[s0]D＝s0rH(ID)，Qi＝[si]Q0＝s0sirH(ID)，所以这里的S与S＝[r^-1]S′中的S本质是相同的，而且PKG0和任何PKGi都不能获得S。所以本方案有效地解决了密钥托管问题(尽管没有彻底解决，因为PKG0和所有的PKGi全部合谋起来，是可以计算出用户U的私钥S的)。而且，整个密钥生成过程中信息的发送都是通过公开信道完成的，没有用到安全信道。故本方案实现了发明目的：既克服了基于省份的密码体制中的用户私钥托管问题，又去除了对用户和PKG直接安全信道的依赖。

本方案中获取用户口令的影子是因为用户不能把口令告诉给系统，但是系统又需要凭借口令来完成后面的认证工作，具体实现过程如下：

首先，用户用自己选好的口令，经过单向变换(这里先进行hash变换后再变换成椭圆曲线上的一个点)后得到“口令影子”。后面的认证工作将依赖于“口令影子”来完成。如果某个攻击者窃听到了这个用户的“口令影子”，那么就可以在以后的认证阶段冒充该用户了，所以“口令影子”必须也在“离线”验证身份的那个时候提交(因为已经假定那个阶段的通信是安全的，否则，一切工作都没法做)。另外一方面，“口令影子”是用户自己根据口令计算出来的，可以看作是随机数，不好记忆，所以用户在把“口令影子”提供给系统之后，不需要保存它。后面在需要的时候，再计算一次就可以了。

泄漏口令固然不安全，泄漏“口令影子”也同样不安全。所以，在本发明的系统中，“口令影子”的使用方式很谨慎。每次需要认证时，都先生成自己“盲化”了的公钥，然后再乘上“口令影子”发送，相当于用“口令影子”作为私钥对盲化公钥进行签名，既达到认证的效果，又保证了“口令影子”的安全。即使某次盲化因子泄漏了，也不容易影响到“口令影子”的安全。因为在本发明的系统中，从盲化因子和截获的消息要得到“口令影子”等价于求解离散对数难题，是不可能的。

参见图2，本发明还提供了一种基于身份的密钥生成系统，其特征在于，所述系统包括：设定系统参数模块、生成初始密钥模块、生成强化密钥模块和生成用户密钥模块；

所述设定系统参数模块用于设定系统参数；

所述生成初始密钥模块用于用户根据所述系统参数生成用户信息，通过总密钥生成器生成用户的初始密钥，并将所述用户信息和初始密钥发送给每个协同密钥生成器；

所述生成强化密钥模块用于所述协同密钥生成器收到所述用户信息和初始密钥后，对所述身份信息和初始密钥进行验证；如果验证通过，协同密钥生成器进行密钥强化，生成强化密钥，并将所述强化密钥发送给所述用户；如果验证未通过，则报告错误，然后终止此次协议运行；

所述生成用户密钥模块用于所述用户收到所述强化密钥后，对所述强化密钥进行密钥抽取，生成用户密钥，并对所述用户密钥进行验证。

以上只是本发明的优选实施方式进行了描述，本领域的技术人员在本发明技术的方案范围内进行的通常变化和替换，都应包含在本发明的保护范围内。

Claims (10)

1.一种基于身份的密钥生成方法，其特征在于，所述方法包括以下步骤：

步骤A：设定系统参数；

步骤B：用户根据所述系统参数生成用户信息，通过总密钥生成器生成用户的初始密钥，并将所述用户信息和初始密钥发送给每个协同密钥生成器；

步骤C：所述协同密钥生成器收到所述用户信息和初始密钥后，对所述身份信息和初始密钥进行验证；如果验证通过，协同密钥生成器进行密钥强化，生成强化密钥，并将所述强化密钥发送给所述用户；如果验证未通过，则报告错误，然后终止此次协议运行；

步骤D：所述用户收到所述强化密钥后，对所述强化密钥进行密钥抽取，生成用户密钥，并对所述用户密钥进行验证。

2.如权利要求1所述的一种基于身份的密钥生成方法，其特征在于，所述步骤A中设定系统参数包括设定总密钥生成器和每个协同密钥生成器的参数。

3.如权利要求1或2所述一种基于身份的密钥生成方法，其特征在于，所述步骤B具体包括：

步骤B1：用户根据所述系统参数生成用户信息，并将所述用户信息发送给总密钥生成器，申请加入系统；

步骤B2：所述总密钥生成器根据所述用户信息生成用户的初始密钥，并发送给用户；

步骤B3：用户收到所述初始密钥后进行验证，如果验证通过，用户加入系统成功，并将所述用户信息和初始密钥发送给每个协同密钥生成器；否则返回步骤B1，重新申请加入系统。

4.如权利要求3所述的一种基于身份的密钥生成方法，其特征在于，所述步骤B1具体包括：

步骤B11：用户从系统参数中选择口令，并根据所述口令生成所述口令的影子；

步骤B12：所述用户从系统参数中选择盲化因子，并根据所述盲化因子生成盲化公钥；

步骤B13：所述用户用口令对所述盲化公钥进行签名，生成盲化公钥签名，并将所述用户的身份、盲化公钥和盲化公钥的签名作为用户信息发送给总密钥生成器。

5.如权利要求3所述的一种基于身份的密钥生成方法，其特征在于，所述步骤B2具体包括：

步骤B21：所述总密钥生成器收到所述用户信息后，通过离线方式确认用户的真实身份并获取用户口令的影子，然后将用户的身份和口令的影子存入本地数据库；

步骤B22：所述总密钥生成器验证用户的身份，验证通过后，生成所述用户的初始密钥并发送给用户。

6.如权利要求1或2或4或5所述的一种基于身份的密钥生成方法，其特征在于，所述步骤D具体包括：

步骤D1：所述用户收到每个协同密钥生成器的强化密钥后，进行密钥抽取生成所述用户密钥；

步骤D2：用户对所述用户密钥进行验证，如果验证通过，完成密钥生成；否则查出不合作的协同密钥生成器，要求该协同密钥生成器重新发送正确的强化密钥。

7.如权利要求3所述的一种基于身份的密钥生成方法，其特征在于，所述步骤D具体包括：

步骤D1：所述用户收到每个协同密钥生成器的强化密钥后，进行密钥抽取生成所述用户密钥；

步骤D2：用户对所述用户密钥进行验证，如果验证通过，完成密钥生成；否则查出不合作的协同密钥生成器，要求该协同密钥生成器重新发送正确的强化密钥。

8.如权利要求1或2或4或5或7任意一项权利要求所述的一种基于身份的密钥生成方法，其特征在于，所述方法中信息的发送都是通过公开信道完成的。

9.如权利要求6任意一项权利要求所述的一种基于身份的密钥生成方法，其特征在于，所述方法中信息的发送都是通过公开信道完成的。

10.一种基于身份的密钥生成系统，其特征在于，所述系统包括：设定系统参数模块、生成初始密钥模块、生成强化密钥模块和生成用户密钥模块；

所述设定系统参数模块用于设定系统参数；

所述生成初始密钥模块用于用户根据所述系统参数生成用户信息，通过总密钥生成器生成用户的初始密钥，并将所述用户信息和初始密钥发送给每个协同密钥生成器；

所述生成强化密钥模块用于所述协同密钥生成器收到所述用户信息和初始密钥后，对所述身份信息和初始密钥进行验证；如果验证通过，协同密钥生成器进行密钥强化，生成强化密钥，并将所述强化密钥发送给所述用户；如果验证未通过，则报告错误，然后终止此次协议运行；

所述生成用户密钥模块用于所述用户收到所述强化密钥后，对所述强化密钥进行密钥抽取，生成用户密钥，并对所述用户密钥进行验证。

Images