CN101252577B - 一种三方密钥协商产生方法 - Google Patents

Abstract

本发明属于通信技术领域，涉及网络通信的安全问题，特别涉及“用户—服务器—用户”网络结构的基于口令认证的三方密钥交换协议——3PAKE协议。本发明基于CDH假设，利用离散对数的难解性和哈希函数的单向性，包括下述三大核心步骤：1、服务器对请求通信的双方用户进行身份验证；2、请求通信的双方用户对服务器身份进行验证；3、请求通信的用户双方相互进行身份验证。本发明克服了现有的S-3PAKE协议存在的发起者伪装攻击、响应者伪装攻击、中间人攻击和在线口令猜测攻击的漏洞，具有抗平凡攻击、抗中间人攻击、抵御发起者伪装攻击、响应者伪装攻击、抗离线猜测攻击、抗重放攻击、前向安全性和已知密钥安全性，它还具有完美的抗在线猜测攻击的特性。

Description

一种三方密钥协商产生方法

技术领域

本发明属于通信技术领域，涉及网络通信的安全问题，特别涉及“用户—服务器—用户”网络结构的基于口令认证的三方密钥交换协议(3PAKE协议)。

背景技术

随着计算机网络技术的不断发展，网络的应用日益广泛，网络通信中的安全问题也受到越来越多的关注。在安全通信领域里，密钥协商协议是其中一种重要的密码学机制。密钥协商协议是两个实体在公共网络上协商通信密钥的协议，协议的最终结果是双方都能确认只有对方才能拥有协商好的通信密钥，而其他第三方均无法获得通信密钥。

2004年，Lee等人提出了两种不需要公钥技术的三方加密密钥交换协议(3PEKE协议)，并声称他们的协议可以抵抗多种攻击，实现多方认证，并提供完美的前向安全性。2005年，Wen等人运用Weil对提出了一种基于口令认证的三方密钥加密协议(3PAKE协议)，并指出他们的协议是具有可证明的安全性的，然而，Nam等人却发现了3PAKE协议并不能抵抗中间人攻击的漏洞。

2006年，Lu等人提出了一种基于CDH假设(即利用离散对数的难解性假设已知g^x与g^y，不能求出g^xy)的S-3PAKE协议，该协议的设计思想是假设两个用户(用户A与用户B)，试图进行一次会话密钥的协商，但在密钥协商之前，他们之间并没有任何共享的信息，因此通信双方都无法对对方的身份进行直接的验证，这就意味着双方都无法直接确认对方的身份是否属实，如果存在用户C试图冒充用户B，与用户A进行通信，而用户A又无法对对方的身份进行认证，那么用户A就会误以为是在和用户B进行通信，显然这次通信是不安全的。在这种情况下，通信双方就需要求助于一个可靠的第三方，即一个可靠的服务器S，来完成此次会话密钥的协商过程。和通信双方不同的是，这个可信的服务器S，与每一个通信方之间都共享了一对用于认证该通信方身份的认证口令。S-3PAKE协议的流程图详见图1。

S-3PAKE协议中使用的符号含义：

(G，g，p)表示有限循环群G， $G\⊆Z_p,$ Z_p＝[0，p-1]，Z_p是整数模p的一个剩余类，g是Z_p的生成元，p为一个大素数；

M和N分别表示G中的两个元素；

S代表一个可靠的服务器S的身份信息；

用户A和用户B分别表示在一次协议执行过程中的发起者与接收者；

pw_A表示用户A与服务器S之间共享的用于认证用户A身份的口令；

pw_B表示用户B与服务器S之间共享的用于认证用户B身份的口令；

H()表示对任意一个0、1序列进行哈希函数运算，所得到的结果属于Z_p-1的哈希函数；哈希函数具有单向性：即若已知k，能算出H(k)，但已知H(k)，却无法算出k。

其中，G，g，p，M，N都是公开的信息，而pw_A和pw_B是用户与服务器之间共享的。

S-3PAKE协议的具体方案步骤如下：

第一步：用户A选择一个随机数x∈Z_p，并计算 $X=g^x\·M^{{\mathrm{pw}}_A},$ 然后将消息A‖X(即将A的身份信息与之前计算得到的X的值连接起来作为一个整体信息)发送给B；

用户B收到消息A‖X后，也选择一个随机数y∈Z_p，并计算 $Y=g^y\·N^{{\mathrm{pw}}_B},$ 然后将消息A‖X‖B‖Y发送给服务器S；

第二步：服务器S收到消息A‖X‖B‖Y以后，首先运用其与用户A共享的信息pw_A和与用户B共享的信息pw_B分别计算出 $g^x=X/M^{{\mathrm{pw}}_A}$ 以及 $g^y=Y/N^{{\mathrm{pw}}_B},$ 接着服务器S选择一个随机数z∈Z_p，并计算出g^xz＝(g^x)^z和g^yz＝(g^y)^z，再利用哈希函数H()算出 $X^{\′}=g^{\mathrm{yz}}\·H{(A,S,g^x)}^{{\mathrm{pw}}_A}$ 和 $Y^{\′}=g^{\mathrm{xz}}\·H{(B,S,g^y)}^{{\mathrm{pw}}_B},$ 并把消息X′‖Y′发送给用户B；

用户B收到消息X′‖Y′以后，运用pw_B计算出 $g^{\mathrm{xz}}=Y^{\′}/H{(B,S,g^y)}^{{\mathrm{pw}}_B},$ 然后通过之前选择的随机数y计算g^xyz＝(g^xz)^y，接着用户B算出用于向用户A证明自己身份的信息α＝H(A，B，g^xyz)，并将消息X′‖α发送给用户A；

第三步：用户A收到消息X′‖α以后，运用pw_A算出 $g^{\mathrm{yz}}=X^{\′}/H{(A,S,g^x)}^{{\mathrm{pw}}_A},$ 然后通过之前选择的随机数x计算g^xyz＝(g^yz)^x以及H(A，B，g^xyz)，如果H(A，B，g^xyz)和收到的α相等，那么用户A就可确认g^xyz是有效的，即验证了用户B的身份，否则用户A将终止这次协议的运行，接着，用户A计算出用于向用户B证明自己身份的信息β＝H(B，A，g^xyz)，并将β回传给B，同时，用户A将会计算出SK_A＝H′(A，B，g^xyz)作为之后与用户B进行安全通信的会话密钥；

用户B收到消息β以后，算出H(B，A，g^xyz)，如果H(B，A，g^xyz)和收到的β相等，那么B将会计算出SK_B＝H′(A，B，g^xyz)作为之后与A进行安全通信的会话密钥，否则，B也将终止这次协议的运行。

在S-3PAKE协议中，虽然通信双方A、B以及服务器S需要在公开信道(不安全信道)上传输数据(X，Y，X′，Y′，α，β)，但是基于CDH假设，离散对数难解问题，哈希函数的单向性，以及每次通信所使用的x，y，z均是一些随机数，因此S-PAKE协议具有前向安全性、已知密钥安全性，能够有效地抵抗平凡攻击，离线猜测攻击以及重放攻击。但在2008年，Chung等人却指出S-3PAKE协议具有三个漏洞：发起者伪装攻击、响应者伪装攻击以及中间人攻击，并给出了相应的攻击方案。除此之外，经过分析我们还发现，如果攻击者本身就是与服务器共享一对认证口令的合法用户，那么S-3PAKE协议并不能够有效的抵抗在线口令猜测攻击。如果S-3PAKE协议中的发起者用户A本身就是攻击者，那么，用户A就可以通过该协议，对用户B与服务器S共享的口令pw_B进行在线猜测分析，从而最终窃取用户B的口令达到冒充B的目的。对S-3PAKE协议进行在线口令猜测攻击的流程图详见附图2，具体过程如下：

第一步：用户A选择两个随机数x，y∈Z_p，并通过pw_A计算出 $X=g^x\·M^{{\mathrm{pw}}_A},$ 同时，用户A猜测用户B与服务器S之间的共享口令为pw′_B，算出 $Y=g^y\·N^{{{\mathrm{pw}}^{\′}}_B},$ 然后假冒用户B将A‖X‖B‖Y发送给服务器S；

第二步：服务器S收到消息A‖X‖B‖Y以后，首先运用pw_A和pw_B分别计算出 $g^x=X/M^{{\mathrm{pw}}_A}$ 以及 $Q=Y/N^{{\mathrm{pw}}_B},$ 接着选择一个随机数z∈Z_p，并计算出g^xz＝(g^x)^z和Q^z，再算出 $X^{\′}=Q^z\·H{(A,S,g^x)}^{{\mathrm{pw}}_A}$ 和 $Y^{\′}=g^{\mathrm{xz}}\·H{(B,S,Q)}^{{\mathrm{pw}}_B},$ 并把消息X′‖Y′发送给用户B，这时，用户A截获消息X′‖Y′；

第三步：用户A收到消息X′‖Y′以后，首先通过pw_A算出 $Q^z=X^{\′}/H{(A,S,g^x)}^{{\mathrm{pw}}_A}$ 以及Q^xz，然后通过事先猜测的用户B的口令pw′_B算出 $R=Y^{\′}/H{(B,S,g^y)}^{{{\mathrm{pw}}^{\′}}_B}$ 以及R^y，如果R^y＝Q^xz，则说明pw_B＝pw′_B，即用户A已获得用户B的口令，否则，用户A继续猜测用户B的口令pw_B，即重新开始第一步。

由上述过程我们不难发现，在用户A对用户B的口令进行猜测的过程中，并不需要用户B的参与，这个攻击是直接发生在服务器S与攻击者A之间的，我们注意到，在S-3PAKE协议中，只有通信的双方可以终止协议的运行，因此，在没有用户B的参与下，用户A可以一直循环冒充用户B，猜测用户B的口令，向服务器S发出请求，直到最终确认了用户B的口令为止。因此，我们认为，当攻击者本身就是与服务器享有认证口令的合法用户时，S-3PAKE协议并不能有效的抵抗在线口令猜测攻击。

发明内容

2006年，Lu等人提出了一种基于CCDH假设的S-3PAKE协议，他们声称，这种协议无论在效率上还是在安全性方面，都具有比其他类似的协议更优越的特性。但在2008年，Chung等人却指出S-3PAKE协议具有三个漏洞：发起者伪装攻击、响应者伪装攻击以及中间人攻击，并给出了相应的攻击方案。除此之外，经过分析我们还发现，如果攻击者本身就是与服务器共享一对认证口令的合法用户，那么S-3PAKE协议并不能够有效的抵抗在线口令猜测攻击。

针对S-3PAKE协议关于在线口令猜测攻击的漏洞，以及Chung等人提出的发起者伪装攻击、响应者伪装攻击和中间人攻击，本发明提出一种相应的改进方案：一种三方密钥协商产生方法(三方密钥交换协议，即3-pake协议)。本发明提出的三方密钥交换协议具有抗平凡攻击、抗中间人攻击、抵御发起者伪装攻击、响应者伪装攻击、抗离线猜测攻击、抗重放攻击、前向安全性和已知密钥安全性，它还具有完美的抗在线猜测攻击的特性。

本发明技术方案的核心设计思路是，通信双方除了必须互相认证以外，还应该首先向服务器认证自己的身份。通过我们设计的方案，不仅具有S-3PAKE协议本身具有的安全特性——抗平凡攻击、抗离线猜测攻击、抗重放攻击、前向安全性和已知密钥安全性，它还具有完美的抗在线猜测攻击的特性。该方案可为通信双方进行认证，并为通信双方协商一个共同的会话密钥，以达到秘密通信的目的。

协议中使用的符号含义：

(G，g，p)表示有限循环群G， $G\⊆{Z_p}^{*},$ Z_p ^*＝[1，p-1]，g是Z_p的生成元，p为一个大素数；

M和N分别表示G中的两个元素；

S代表一个可靠的服务器S的身份信息；

用户A和用户B分别表示在一次三方密钥协商产生过程中的发起者与接收者；“A”和“B”分别代表用户A和用户B的身份信息；

pw_A表示只在用户A与服务器S之间共享的用于认证用户A身份的口令；

pw_B表示只在用户B与服务器S之间共享的用于认证用户B身份的口令；

“S”、“A”、“B”、“pw_A”和“pw_B”均为已转化为数值形式的信息；

H()表示对任意一个0、1序列进行哈希函数运算，所得到的结果属于Z_p-1的哈希函数；哈希函数具有单向性：即若已知k，能算出H(k)，但已知H(k)，却无法算出k。

其中，G，g，p，M，N都是公开的信息，而pw_A和pw_B是用户与服务器之间共享的。

本发明具体技术方案如图3所示，包括以下顺序步骤：

第一步：用户A向服务器S发出通信请求的消息A‖B：

用户A将用户A与用户B的身份信息连接起来，作为一个整体信息发送给服务器S，告知服务器S，用户A想与用户B进行通信；

第二步：服务器S收到消息A‖B以后，对用户A和用户B的身份进行验证，具体包括以下步骤：

步骤1：服务器S分别选择随机数x₁∈Z^* _p以及y₁∈Z^* _p，并且运用与用户A共享的口令pw_A和与用户B共享的口令pw_B计算 $X_S=g^{x_1}+g^{{\mathrm{pw}}_A}$ 和 $Y_S=g^{y_1}+g^{{\mathrm{pw}}_B},$ 然后将消息X_S发送给用户A，将消息Y_S发送给用户B；

步骤2：用户A收到消息X_S以后，首先运用口令pw_A计算 $g^{x_1}=X_S-g^{{\mathrm{pw}}_A},$ 然后选择一个随机数x∈Z^* _p，计算 $X=g^x+g^{{\mathrm{pw}}_A}$ 和用于向服务器S验证自己身份的信息 $X_1=H(g^{{\mathrm{xx}}_1},A),$ 并将消息A‖X‖X₁发送给服务器S；

用户B收到消息Y_S以后，首先运用口令pw_B计算 $g^{y_1}=Y_S-g^{{\mathrm{pw}}_B},$ 然后选择一个随机数y∈Z^* _p，计算 $Y=g^y+g^{{\mathrm{pw}}_B}$ 和用于向服务器S验证自己身份的信息 $Y_1=H(g^{{\mathrm{yy}}_1},B),$ 并将消息B‖Y‖Y₁发送给服务器S；

步骤3：服务器S收到消息A‖X‖X₁和消息B‖Y‖Y₁以后，首先通过其与用户A共享的口令pw_A计算 $g^x=X-g^{{\mathrm{pw}}_A},$ 通过其与用户B共享的口令pw_B计算 $g^y=Y-g^{{\mathrm{pw}}_B},$ 接着运用H()分别算出 ${X^{\′}}_1=H(g^{{\mathrm{xx}}_1},A)$ 和 ${Y^{\′}}_1=H(g^{{\mathrm{yy}}_1},B);$ 如果X′₁≠X₁，或Y′₁≠Y₁，则用户A与用户B的身份不正确，服务器S中止此次三方密钥的协商产生过程；如果X′₁＝X₁，且Y′₁＝Y₁，即用户A与用户B的身份正确；

第三步：服务器S对用户A和用户B的身份进行验证后，用户A和用户B对服务器S的身份进行验证，具体包括以下步骤：

步骤4：服务器S选择一个随机数z∈Z^* _p，并计算

X₃＝H(g^yz，S)，Y₃＝H(g^xz，S)，其中X₃和Y₃是服务器S分别用来向用户A和用户B验证自己身份的信息；然后服务器S分别将消息S||X₂||X₃发送给用户A，将消息S||Y₂||Y₃发送给用户B；

步骤5：用户A收到消息S||X₂||X₃以后，首先运用之前选择的随机数x计算

然后算出X′₃＝H(g^yz，S)，若X′₃＝X₃，即服务器S的身份得到了验证；若X′₃≠X₃，则用户A终止此次三方密钥的协商产生过程；

用户B收到消息S||Y₂||Y₃以后，首先运用之前选择的随机数y计算

然后算出Y′₃＝H(g^xz，S)，若Y′₃＝Y₃，即服务器S的身份得到了验证；若Y′₃≠Y₃，则用户B终止此次三方密钥的协商产生过程；

第四步：用户A和用户B对服务器S的身份进行验证后，用户A和用户B之间进行相互认证，具体包括以下步骤：

步骤6：用户A计算g^xyz＝(g^yz)^x，以及用户A用于向用户B验证自己身份的消息M_A＝H(A，B，g^xyz)，并将消息M_A发送给用户B；

用户B计算g^xyz＝(g^xz)^y，以及用户B用于向用户A验证自己身份的消息M_B＝H(B，A，g^xyz)，并将消息M_B发送给用户A；

步骤7：用户A收到消息M_B以后，计算M′_B＝H(B，A，g^xyz)，若M′_B＝M_B，即用户B的身份得到了验证；若M′_B≠M_B，则用户A终止此次三方密钥协商产生过程；

用户B收到消息M_A以后，计算M′_A＝H(A，B，g^xyz)，若M′_A＝M_A，即用户A的身份得到了验证；若M′_A≠M_A，则用户B终止此次三方密钥协商产生过程；

第五步：用户A和用户B之间进行相互认证后，用户A和用户B分别计算产生此次安全通信的会话密钥SK_A和SK_B，且SK_A＝SK_B：

用户A计算SK_A＝H(A，B，S，g^xyz)作为之后与用户B进行安全通信的会话密钥；

用户B计算SK_B＝H(A，B，S，g^xyz)作为之后与用户A进行安全通信的会话密钥。

本发明的效果(安全性分析)：

平凡攻击：攻击者可能会试图直接从传输的信息(X_S，X，X₁，X₂，X₃，Y_S，Y，Y₁，Y₂，Y₃，M_A，M_B)中得到用户的相关信息，但是由于离散对数的难解问题以及CDH假设和哈希函数的单向性，这种直接计算的平凡攻击根本就不可能实现。例如，攻击者可能窃取了服务器S发送给用户A的信息X_S，用户A传给服务器S的消息A‖X‖X₁，以及用户A发送给用户B的消息M_A， $X_S=g^{x_1}+g^{{\mathrm{pw}}_A},$ $X=g^x+g^{{\mathrm{pw}}_A},$ $X_1=H(g^{{\mathrm{xx}}_1},A),$ M_A＝H(A，B，g^xyz)，攻击者试图计算pw_A，因此选定pw′_A，并且计算 $g^{{x^{\′}}_1}=X_S-g^{{{\mathrm{pw}}^{\′}}_A}$ 以及 $g^{x^{\′}}=X-g^{{{\mathrm{pw}}^{\′}}_A},$ 但由于CDH假设，攻击者无法通过g^x′x和g^x′算出g^x′1x′，从而也就无法通过与X₁的比较来验证pw′_A是否等于pw_A，另外，由于H是单向哈希函数，因此攻击者也不可能从M_A中算出g^xyz，从而导出会话密钥的值。

在线口令猜测攻击：无论通信的发起者A是攻击者，还是通信的被叫者B是攻击者，又或者存在第三方攻击者，在进行密钥协商之前，他们都需要分别向服务器S确认自己的身份，如果服务器S一旦发现某一个用户的信息错误，即身份和对应的口令不匹配，那么服务器S就将直接终止此次协议的运行，这样就有效的抵抗了在线口令猜测攻击这种攻击方式。假设，用户A是冒充用户B的攻击者，那么用户A在截取了服务器S发送给用户B的认证信息 $Y_S=g^{y_1}+g^{{\mathrm{pw}}_B}$ 之后，就必须猜测一个用户B的口令pw′_B，计算 $g^{{y^{\′}}_1}=Y_S-g^{{{\mathrm{pw}}^{\′}}_B}$ 并发送消息B‖Y′‖Y′₁给服务器S，其中 ${Y^{\′\′}}_1=H(g^{{{\mathrm{yy}}^{\′}}_1},B)$ 就是服务器S确认用户B身份的关键参数，服务器S在收到信息以后，会立即计算 ${Y^{\′}}_1=H(g^{y^{\text{'}}{y}_1},B)$ 来验证，如果Y′₁≠Y″₁，也就是说pw_B≠pw′_B，那么这时服务器S就将终止此次协议的运行。

发起者伪装攻击、响应者伪装攻击和中间人攻击：无论攻击者是试图冒充通信的发起者还是冒充响应者，都必须在进行密钥协商之前，向服务器S认证自己的身份，如果S发现一方的信息错误，即身份和对应的口令不匹配，那么服务器S就将直接终止此次协议的运行，这样就有效的抵抗了这几种攻击。

离线猜测攻击：攻击者可能会在离线的状态下猜测某一个用户的认证口令，并试图验证猜测是否正确，但是由于H()和H′()是两个单向的哈希函数，而x，y，z又全部都是随机数，因此在这里，攻击者根本就不可能找到有用的信息来帮助其进行验证猜测口令的正确性，所以，离线猜测攻击在我们的协议里也是不可能实现的。

重放攻击：攻击者可能会试图冒充用户A，并将以前截获的用户A传给服务器S的信息A‖X‖X₁重新传给服务器S，进行新一轮协议的运行，但是由于攻击者并不知道x的值，再加上每次运行的y和z也都是随机产生的，因此，攻击者不可能计算出正确的g^xyz，在其将M_A＝H(A，B，g^xy′z′)传给用户B进行认证以后，用户B立即就能发现M′_A≠M_A，所以，用户B也会终止此次协议的运行。

前向安全性：与S-3PAKE协议一样，我们的协议也具有完美的前向安全性，即使攻击者已经得到了通信双方用户A和用户B的认证口令pw_A和pw_B，他仍不可能获取以前产生的会话密钥的任何信息，因为在每次通信过程中的相关参数x，y，z都是各自独立的并且是随机产生的。

已知密钥安全性：由于我们改进方案中的一次性参数x，y，z都是一些与会话密钥彼此独立的随机数，因此，即使攻击者已经获得了以前通信过程中的会话密钥，这些信息也不可能对导出新的会话密钥有任何的帮助，所以，改进方案也是具有已知密钥安全性的。

附图说明

图1是2006年，Lu等人提出的一种基于CDH假设的S-3PAKE协议流程示意图。

图2是对2006年，Lu等人提出的S-3PAKE协议进行在线口令猜测攻击的流程示意图。

图3是本发明提出的S-3PAKE协议的流程示意简图。

图4是本发明提出的S-3PAKE协议的流程示意详图。

具体实施方式

本发明的发明内容部分对本发明的技术方案已经做出了详细说明。在此不再重复描述，但需要说明的是：针对不同复杂度(位数)的用户和服务器身份信息以及用户口令以及采用有不同参数g、p的有限循环群G，本发明可以具有很多种实施方式。

Claims (1)

1.一种三方密钥协商产生方法，该方法基于“用户-服务器-用户”的网络结构，其中：“服务器S”代表一个可靠的服务器，“用户A”和“用户B”分别表示在一次三方密钥协商产生过程中的发起者与接收者；“S”代表服务器S的身份信息，“A”和“B”分别代表用户A和用户B的身份信息；“pw_A”表示只在用户A与服务器S之间共享的用于认证用户A身份的口令，“pw_B”表示只在用户B与服务器S之间共享的用于认证用户B身份的口令；“S”、“A”、“B”、“pw_A”和“pw_B”均为已转化为数值形式的信息；(G，g，p)表示有限循环群G，

Z_p ^*＝[1，p-1]，Z_p是整数模p的一个剩余类，g是Z_p的生成元，p为一个大素数；H()表示对任意一个0、1序列进行哈希函数运算，所得到的结果属于Z_p-1的哈希函数；

其特征是，包括以下顺序步骤：

第一步：用户A向服务器S发出通信请求的消息A‖B：

用户A将用户A与用户B的身份信息连接起来，作为一个整体信息发送给服务器S，告知服务器S，用户A想与用户B进行通信；

第二步：服务器S收到消息A‖B以后，对用户A和用户B的身份进行验证，具体包括以下步骤：

步骤1：服务器S分别选择随机数x₁∈Z^* _p以及y₁∈Z^* _p，并且运用与用户A共享的口令pw_A和与用户B共享的口令pw_B计算和

然后将消息X_S发送给用户A，将消息Y_S发送给用户B；

步骤2：用户A收到消息X_S以后，首先运用口令pw_A计算

然后选择一个随机数x∈Z^* _p，计算

和用于向服务器S验证自己身份的信息

并将消息A‖X‖X₁发送给服务器S；

用户B收到消息Y_S以后，首先运用口令pw_B计算

然后选择一个随机数y∈Z^* _p，计算

和用于向服务器S验证自己身份的信息并将消息B‖Y‖Y₁发送给服务器S；

步骤3：服务器S收到消息A‖X‖X₁和消息B‖Y‖Y₁以后，首先通过其与用户A共享的口令pw_A计算

通过其与用户B共享的口令pw_B计算

接着运用H()分别算出

和

如果X′₁≠X₁，或Y′₁≠Y₁，则用户A与用户B的身份不正确，服务器S终止此次三方密钥的协商产生过程；如果X′₁＝X₁，且Y′₁＝Y₁，即用户A与用户B的身份正确；

第三步：服务器S对用户A和用户B的身份进行验证后，用户A和用户B对服务器S的身份进行验证，具体包括以下步骤：

步骤4：服务器S选择一个随机数z∈Z^* _p，并计算

X₃＝H(g^yz，S)，Y₃＝H(g^xz，S)，其中X₃和Y₃是服务器S分别用来向用户A和用户B验证自己身份的信息；然后服务器S分别将消息S‖X₂‖X₃发送给用户A，将消息S‖Y₂‖Y₃发送给用户B；

步骤5：用户A收到消息S‖X₂‖X₃以后，首先运用之前选择的随机数x计算

然后算出X′₃＝H(g^yz，S)，若X′₃＝X₃，即服务器S的身份得到了验证；若X′₃≠X₃，则用户A终止此次三方密钥的协商产生过程；

用户B收到消息S‖Y₂‖Y₃以后，首先运用之前选择的随机数y计算

然后算出Y′₃＝H(g^xz，S)，若Y′₃＝Y₃，即服务器S的身份得到了验证；若Y′₃≠Y₃，则用户B终止此次三方密钥的协商产生过程；

第四步：用户A和用户B对服务器S的身份进行验证后，用户A和用户B之间进行相互认证，具体包括以下步骤：

步骤6：用户A计算g^xyz＝(g^yz)^x，以及用户A用于向用户B验证自己身份的信息M_A＝H(A，B，g^xyz)，并将消息M_A发送给用户B；

用户B计算g^xyz＝(g^xz)^y，以及用户B用于向用户A验证自己身份的信息M_B＝H(B，A，g^xyz)，并将消息M_B发送给用户A；

步骤7：用户A收到消息M_B以后，计算M′_B＝H(B，A，g^xyz)，若M′_B＝M_B，即用户B的身份得到了验证；若M′_B≠M_B，则用户A终止此次三方密钥协商产生过程；

用户B收到消息M_A以后，计算M′_A＝H(A，B，g^xyz)，若M′_A＝M_A，即用户A的身份得到了验证；若M′_A≠M_A，则用户B终止此次三方密钥协商产生过程；

第五步：用户A和用户B之间进行相互认证后，用户A和用户B分别计算产生此次安全通信的会话密钥SK_A和SK_B，且SK_A＝SK_B：

用户A计算SK_A＝H(A，B，S，g^xyz)作为之后与用户B进行安全通信的会话密钥；

用户B计算SK_B＝H(A，B，S，g^xyz)作为之后与用户A进行安全通信的会话密钥。

Images