CN106936592A - 一种基于扩展混沌算法的三方认证密钥协商协议 - Google Patents

Abstract

本发明属于安全协议技术领域，公开了一种基于扩展混沌算法的三方认证密钥协商协议，包括：可信服务器首先生成一个大素数p，一个实数z∈(‑∞,+∞)，一个哈希函数h()和自己的保密密钥X_s作为协议执行的基本参数；初始化阶段，U_i和U_j先在可信服务器S上注册，分别获得一个有效的智能卡(smart card)；随后，信息发送者U_i和响应者U_j在可信服务器S的帮助下，经注册阶段、登录和密钥协商阶段、密钥更新阶段后协商一个安全的会话密钥。本发明具有较高的安全性和较低的计算开销。与Islam等的协议相比，本发明的协议需要4次通信，而Islam等协议需要8次，而且本发明协议不需要复杂的网络时钟同步技术。

Description

一种基于扩展混沌算法的三方认证密钥协商协议

技术领域

本发明属于数据算法技术领域，尤其涉及一种基于扩展混沌算法的三方认证密钥协商协议。

背景技术

随着无线网络技术的发展，无线通信变得非常重要。但是由于无线用户在公开的信道上交换信息，其安全性无法得到保障。而认证和密钥协商协议可以提供数据的隐私保护，保证数据的保密传输。因此，在无线网络应用方面，关于密钥和协商协议的研究变得尤其重要。

由于扩展的混沌算法具有高效和安全的特性，最近研究者基于扩展的混沌算法提出了许多两方和三方认证密钥协商协议。2010年，王等人基于混沌算法提出了一个三方密钥协商协议。随后，Yoon等发现王所提出的协议存在很多缺陷，如协议需要时间戳，协议运行要较多的计算，而且攻击者可以非法的篡改传输消息而不被发现。Yoon等在王等的基础上提出了一个改进协议。2012年，Lai等基于混沌算法提出了一个三方认证协议，但是Zhao等指出Lai等的协议不能抵御内部用户发起的攻击，和离线密钥猜测攻击。Islam也指出Lai等提出的协议没有密钥更新，一个密钥使用的时间越长，其安全性就变得越低。而且Islam指出Lai等的协议还存在重放攻击，攻击者可以伪装成合法用户，将监听到的信息，重新发送给接收者，而接收者却无法发现，而且如何用户输入错误的密钥，协议中的智能卡也无法检测到。Zhao也提出了一个三方密钥协商协议。但是Islam发现协议也缺少密钥更新，而且如果智能卡丢失，攻击者可以提取出智能卡中的信息，而伪装成合法用户。Lee等使用扩展的混沌算法提出了一个三方密钥协商协议。但是也被发现协议存在内部用户攻击。而且Lee等的协议使用了公钥机制，需要先构造一个公钥基础设施，加重了服务器的负担。2004年Farash等提出了一个三方密钥协商协议，该协议不需要智能卡，也不需要服务器公开密钥和对称密钥体制。但是，Farash提出的协议需要较大的计算量。Islam也使用扩展的混沌算法，提出了一个基于密钥的三方认证和密钥协商协议。然而，该协议也需要时间戳和对称密钥体系。

综上所述，现有技术存在的问题是：

现有技术在基于混沌算法实现三方密钥协商时，主要采用的方式有公钥密码算法、对称密钥算法和复杂计算。公钥密码体制需要基础的公钥设施，对称密钥算法需要通信双方在通信之前就共享一个秘密密钥，这都需要额外的开销。因此，现有技术在实现三方密钥协商时，所需的计算开销较大。再者，现有技术在设计三方密钥协商协议时，大多采用时间戳技术来避免重放攻击，而时间戳技术需要服务器和用户之间实现网络时钟同步，这又加大了协议的运行难度。而且，现有基于混沌算法的三方密钥协商协议，对协议安全性考虑的不全面，不能抵御特权用户攻击、离线密钥猜测攻击和智能卡窃取等攻击；

发明内容

针对现有技术存在的问题，本发明提供了一种基于扩展混沌算法的三方认证密钥协商协议。

本发明是这样实现的，一种基于扩展混沌算法的三方认证密钥协商协议，包括：

信息发送者U_i和响应者U_j在可信服务器S的帮助下，经注册阶段、登录和密钥协商阶段、密钥更新阶段后协商一个安全的会话密钥。

进一步，经注册阶段、登录和密钥协商阶段、密钥更新阶段前需先进行：

可信服务器首先为移动网络生成生成一个大素数p，一个实数z∈(-∞,+∞)，一个哈希函数h()和自己的保密密钥X_s基本参数。

进一步，U_i和U_j在加入到网络前先进行：

初始化阶段，U_i和U_j到可信服务器S上注册，获得一个有效的智能卡(smart card)。

进一步，所述注册阶段的方法包括：

1)用户在可信服务器处注册，成为网络中的合法用户；用户U_i输入他的ID_i和密钥PW_i，同时产生一个随机数N_i；U_i使用哈希函数h₁()计算

f_i＝h₁(PW_i||N_i)，

随后将消息{ID_i,f_i}通过安全的通道发送给可信服务器S；其中，PW_i表示用户U_i的密钥；h₁()表示哈希函数，其中h:{0,1}^* Z_p ^*；ID_i表示用户U_i唯一的身份标识；

2)可信服务器S计算

P_i＝h(ID_i||X_s)和

然后将信息{ID_i,e_i,x,p,h(),SPUB}写入一个smart card，并将该smart card通过一个安全的通信网络发送给U_i，h()表示哈希函数，h:{0,1}^* Z_p ^*；

其中

3)用户在收到smart card后，将h₁(),N_i和h(PW_i)加入到smart card中；用户获得自己的smart card，用于后续通信。

进一步，所述登录和密钥协商阶段的方法包括：

a、当U_i要与其他移动用户进行通信时，U_i插入它的smart card，然后输入密钥PW′_i；

b、smart card计算h(PW′_i)，并与自己存储的h(PW_i)进行比较，如果相等，smartcard选择随机数kx和N₁，计算

f_i＝h₁(PW_i||N_i)，

M₁＝T_kx(z)modp，

M₂＝T_kx(SPUB)modp

和t₁＝h(ID_i||ID_j||M₁||M₂||P_i||N₁)，

其中N₁是一个自动增长的随机数，用于抵御重放攻击；

c、U_i将消息{ID_i,ID_j,M₁,t₁,N₁}发送给U_j；

d、U_j收到消息后，U_j插入自己的smart card，然后输入PW′_j；

e、由smart card计算是否h(PW_j)＝h(PW′_j)；如果成立，smart card选择一个随机数ky和N₂，计算

f_j＝h₁(PW_j||N_j),

M₃＝T_ky(z)modp,

M₄＝T_ky(SPUB)modp,

t₂＝h(ID_i||ID_j||M₃||M₄||P_j||N₂),

其中N₂是一个自动增长的随机数，用于抵御重放攻击；

f、U_j发送消息{ID_i,ID_j,M₁,t₁,N₁,M₃,t₂,N₂}给可信服务器S；

h、可信服务器S收到消息后计算

P′_i＝h(ID_i||X_s),

P′_j＝h(ID_j||X_s),

t′₁＝h(ID_i||ID_j||M₁||M′₂||P′_i||N₁),

t′₂＝h(ID_i||ID_j||M₃||M′₄||P′_j||N₂),

和

g、然后可信服务器S通过判断t₁＝t′₁，t2＝t′₂，来确认U_i和U_j的身份；可信服务器S存储N₁和N₂来抵御重放攻击；

k、可信服务器S计算

t₃＝h(ID_j||M₂||M₃||N₁)，

并发送消息{ID_j,M₃,t₃}给U_i,发送消息{ID_i,M₁,t₄}给U_j；

l、当U_i收到消息后，U_i根据ID_j获得M₂和N₁后计算

t′₃＝h(ID_j||M₂||M₃||N₁)，

并通过判断t₃＝t′₃来确认S和U_j的身份，如果成立，获得会话密钥

K＝T_kx(M₃)modp＝T_kxky(z)modp；

m、当U_j收到消息后，U_j同样根据ID_i获得M₄和N₂后计算

t′₄＝h(ID_i||M₁||M₄||N₂)；

并通过判断t₄＝t′₄来确认S和U_i的身份，如果成立，获得会话密钥

K＝T_kx(M₃)modp＝T_kxky(z)mod_p。

进一步，所述密钥更新阶段的方法包括：

U_i插入U_i的smart card，输入旧密码PW′_i和一个新密码PW_i ^*；由smart card计算h(PW′_i)；

然后与smart card存储的h(PW_i)进行比较，如果相等smart card计算

f_i＝h₁(PW_i||N_i)，

并生成一个新的随机数N_i ^*，计算

f_i ^*＝h₁(PW_i ^*||N_i ^*)

和

最后smart card将N_i替换成N_i ^*，h(PW_i)替换成h(PW_i ^*)，e_i替换成e_i ^*，完成密钥的更新。

本发明另一目的在于提供一种基于扩展混沌算法的三方认证密钥协商协议系统。

本发明的优点及积极效果为：

本发明在可信服务器的帮助下，该协议可为两个通信用户协商一个安全的会话密钥用于通信双方后续信息的安全传输，而且协议提供了密钥更新功能，使得用户密钥可以定时更新，提高了密钥的安全性。通过安全性分析和效率分析可得出，与现有相关协议相比，在安全性方面，本协议可以抵御密钥猜测攻击、窃取smart card攻击、重放攻击、已知密钥攻击、伪造和假冒攻击、中间人攻击和特权用户攻击。而且协议采用随机数方法抵御重放攻击，交易实现。而Islam等协议是采用时间戳的方法，时间戳方法在目前技术实现上还存在难度，无法做到精确的网络时钟同步，因此，本协议更适用于实际应用环境。在通信开销方面，本发明的协议仅需要4次通信就可以实现双向用户的密钥协商，而Islam等协议需要8次，因此本协议具有较低的通信开销。

在计算开销方面，本协议执行需要198ms，Islam协议需要139s，而王等的协议需要260ms，Farash等需要457ms。

因此，本协议在安全性方面高于其他协议，而且计算开销较小。与Islam相比，虽然计算开销稍多，但是通信开销少，而且不需要复杂的网络时间同步技术。

本发明提供的三方认证密钥协商协议在运行时只需要执行异或操作、哈希函数和Chebyshev多项式，大大降低了协议运行所需的计算开销。此外，通过非形式化分析，显示该协议能够抵御网络中的典型攻击方式，满足三方认证密钥协议的安全需求。

附图说明

图1是本发明实施例提供的基于扩展混沌算法的三方认证密钥协商协议方法流程图。

图2是本发明实施例提供的用户注册阶段示意图；

图3是本发明实施例提供的协议登录和密钥协商过程示意图。

图4是本发明实施例提供的密钥更新阶段示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

与本发明实施例提供的基于扩展混沌算法的三方认证密钥协商协议方法相关理论：

关于Chebyshev(切比雪夫)混沌算法的相关理论知识。

Chebyshev混沌算法：

定义2.1n维Chebyshev多项式T_n(x):[-1,1]→[-1,1]定义为T_n(x)＝cos(narccos(x))，其中：n为整数，x为实数且x∈[-1,1]。

定义2.2令n∈Z，变量x∈[-1,1]，Chebyshev多项式T_n(x):[-1,1]→[-1,1]的迭代关系式为T_n(x)＝2xT_n-1(x)-T_n-2(x)n≥2，且T₀(x)＝1，T₁(x)＝x。最初的几个Chebyshev多项式为T₂(x)＝2x²-1,T₃(x)＝4x³-3x,T₄(x)＝8x⁴-8x²+1，…。

当n＞1，n维Chebyshev多项式T_n(x):[-1,1]→[-1,1]是一个典型的混沌映射。该映射唯一绝对连续的不变测度为n维Chebyshev多项式的Lyaounov指数为lnn＞0。当n＞1时，Chebyshev多项式即为Logistic映射。

定义2.3Chebyshev多项式的半群属性定义为T_n(x)≡(2xT_n-1(x)-T_n-2(x))modp，其中n＞1，x∈(-∞,+∞)，p是一个大素数，由半群性质可知Chebyshev多项式映射可转换为T_r(T_s(x))≡T_sr(x)≡T_s(T_r(x))modp s,r∈Z。

计算困难问题

扩展的Chebyshev多项式的两个问题被认为是多项式时间难解的。

定义2.4离散对数问题(Discrete Logarithm Problem,DLP)。给定x、y和p，找到一个整数r，使得y＝T_r(x)modp。

定义2.5计算Diffie-Hellman问题(Computation Diffie-Hellman problem,CDHP)。给定x,T_r(x),T_s(x)和p，计算T_rs(x)。

哈希计算困难问题：

定义2.6一个哈希函数h:{0,1}^*→{0,1}^l，采用任意长度输入x∈{0,1}^*，输入固定长度的消息摘要或哈希值h(x)∈{0,1}^l。对任意给定的输入x，容易计算得到h(x)，但是已知h(x)，无法通过计算获得x。

下面结合附图对本发明的应用原理作详细描述。

如图1所示，本发明实施例提供的基于扩展混沌算法的三方认证密钥协商协议方法，包括：

可信服务器首先为移动网络生成生成一个大素数p，一个实数，一个哈希函数h()和自己的保密密钥X_s基本参数；

初始化阶段，U_i和U_j到可信服务器S上注册，获得一个有效的智能卡(smartcard)；

信息发送者U_i和响应者U_j在可信服务器S的帮助下，经注册阶段、登录和密钥协商阶段、密钥更新阶段后协商一个安全的会话密钥。

所述实数为：z∈(-∞,+∞)。

下面结合具体实施例对本发明的应用原理作进一步描述。

本发明实施例提供的基于扩展混沌算法的三方认证密钥协商协议方法，

该协议包含一个可信服务器S，一个信息发送者U_i和一个响应者U_j。U_i和U_j之间需要在S的帮助下协商一个安全的会话密钥。初始化阶段，U_i和U_j需要到服务器S上注册，获得一个有效的智能卡(smart card)。本发明提出的协议包含注册、登录和密钥协商阶段、密钥更新三个阶段。表1列出了本发明中需用到的符号。

表1文中使用的符号

服务器首先需要为移动网络生成基本参数。服务器生成一个大素数p，一个实数z∈(-∞,+∞)，一个哈希函数h()和自己的保密密钥X_s。

1)注册阶段：

用户需要在服务器处注册，才能成为网络中的合法用户。用户U_i输入他的ID_i和密钥PW_i，同时产生一个随机数N_i。U_i使用哈希函数h₁()计算

f_i＝h₁(PW_i||N_i)，

随后将消息{ID_i,f_i}通过安全的通道发送给服务器S。

S计算

P_i＝h(ID_i||X_s)和

然后将信息{ID_i,e_i,x,p,h(),SPUB}写入一个smart card，并将该smart card通过一个安全的通信网络发送给U_i，

其中

用户在收到smart card后，将h₁(),N_i和h(PW_i)加入到smart card中。至此，用户获得了自己的smart card，用于后续通信。用户注册的过程如图2所示。

2)登录和密钥协商阶段：

当U_i要与其他移动用户进行通信时，U_i执行下面的操作。U_i插入它的smartcard，然后输入密钥PW′_i。smart card计算h(PW′_i)，并与自己存储的h(PW_i)进行比较，如果相等，smart card选择随机数kx和N₁，计算

f_i＝h₁(PW_i||N_i)，

M₁＝T_kx(z)modp，

M₂＝T_kx(SPUB)modp

和t₁＝h(ID_i||ID_j||M₁||M₂||P_i||N₁)，

其中N₁是一个自动增长的随机数，用于抵御重放攻击。

U_i将消息{ID_i,ID_j,M₁,t₁,N₁}发送给U_j。

U_j收到消息后，它插入自己的smart card，然后输入PW′_j。

由smart card计算是否h(PW_j)＝h(PW′_j)。如果成立，smart card选择一个随机数ky和N₂，计算

f_j＝h₁(PW_j||N_j),

M₃＝T_ky(z)modp,

M₄＝T_ky(SPUB)modp,

t₂＝h(ID_i||ID_j||M₃||M₄||P_j||N₂),

其中N₂是一个自动增长的随机数，用于抵御重放攻击。

U_j发送消息{ID_i,ID_j,M₁,t₁,N₁,M₃,t₂,N₂}给S.

S收到消息后计算

P′_i＝h(ID_i||X_s),

P′_j＝h(ID_j||X_s),

t′₁＝h(ID_i||ID_j||M₁||M′₂||P′_i||N₁),

t′₂＝h(ID_i||ID_j||M₃||M′₄||P′_j||N₂),

和

然后S通过判断t₁＝t′₁，t₂＝t′₂，来确认U_i和U_j的身份。S存储N₁和N₂来抵御重放攻击。

S计算

t₃＝h(ID_j||M₂||M₃||N₁)，

并发送消息{ID_j,M₃,t₃}给U_i,发送消息{ID_i,M₁,t₄}给U_j。

当U_i收到消息后，它根据ID_j获得M₂和N₁后计算

t′₃＝h(ID_j||M₂||M₃||N₁)，

并通过判断t₃＝t′₃来确认S和U_j的身份，如果成立，获得会话密钥

K＝T_kx(M₃)modp＝T_kxky(z)modp。

当U_j收到消息后，他同样根据ID_i获得M₄和N₂后计算

t′₄＝h(ID_i||M₁||M₄||N₂)。

并通过判断t₄＝t′₄来确认S和U_i的身份，如果成立，获得会话密钥

K＝T_kx(M₃)modp＝T_kxky(z)modp。

以上协议的登录和密钥协商过程见图3所示。

3)密钥更新阶段：

在密钥更新阶段，无需服务器的帮助每个合法用户都可以自主的改变密钥。密钥更新的主要过程如图4所示。

U_i插入它的smart card，输入旧密码PW′_i和一个新密码PW_i ^*。由smart card计算h(PW′_i),然后与其存储的h(PW_i)进行比较，如果相等smart card计算f_i＝h₁(PW_i||N_i)，

并生成一个新的随机数N_i ^*，计算

f_i ^*＝h₁(PW_i ^*||N_i ^*)

和

最后smart card将N_i替换成N_i ^*，h(PW_i)替换成h(PW_i ^*)，e_i替换成e_i ^*，至此完成了密钥的更新。

4)协议的安全分析：

本发明将针对典型的攻击方式，采用非形式化的方式分析协议的安全性。

1、密钥猜测攻击(On-line and off-line password guessing attack)：攻击者可以通过监听的方式，截获U_i，U_j和S之间传递的信息，并发起密钥猜测攻击。在本发明协议中，会话密钥

K＝T_ky(M₁)modp＝T_kx(M₃)modp＝T_kxky(z)modp，

根据定义2.4和2.5，由于kx和ky并不包含在传递的消息内容中，因此即使攻击者获得了M₁和M₃，也无法计算出会话密钥K。

2、窃取smart card攻击(Stolen smart card attack:)：当攻击者窃取到合法用户的smart card后，他可以获得卡中存储的信息{ID_i,e_i,x,p,SPUB,h(),h₁(),N_i,h(PW_i)}。但是，攻击者如果想冒充合法用户，他需要输入用户密钥PW_i，由smartcard计算h(PW_i)，并与存储在智能卡中的值进行比较，只有比较相等smart card才继续执行协商协议。但是由于攻击者无法获得用户密钥PW_i，所以即使攻击者窃取了smart card也无法冒充合法用户。

3、重放攻击(Replay attack)：在协议中，所有的消息都包含一个随机数N，而且该随机数是一个自增长的值，因此用户和服务器可以通过该值来避免重放攻击。

4、已知密钥攻击(Known-key security)：由于每次通信的会话密钥K＝T_kykx(z)都是由本次通信的随机数kx和ky计算获得，即使攻击者知道上次会话或将来会话的某个密钥，他也无法推断出本次会话密钥。

5、伪造和假冒攻击(Forgery andimpersonation attack)：如果一个攻击者冒充合法用户，他需要发送消息{ID_i,ID_j,M₁,t₁,N₁}其中

t₁＝h(ID_i||ID_j||M₁||M₂||P_i||N₁),

和f_i＝h₁(PW_i||N_i)。

但是攻击者无法获得用户密钥PW_i，因此他就无法冒充合法用户。

6、中间人攻击(Man-in-the-middle attack)：从上面分析可以发现，由于攻击者无法实现重放、伪造和假冒攻击，因此他也无法实施中间人攻击。

7、特权用户攻击(Privileged insider attack)：由于在协议中传递的消息不包含U_i和U_j的密钥，因此协议能够抵御特权用户攻击。

5)协议的效率分析

本发明通过将本协议与相关工作进行比较可以得出，本协议的通信和计算开销都较小。由于异或运算的计算量较少，在进行计算量评估时忽略不计。表2列出了本协议与相关协议在计算开销方面的比较结果，其中T_C，T_S和T_h分别表示Chebyshev多项式、对称加、解密运算和哈希计算。

表2新协议和相关协议计算效率比较

在3.2GHz处理器3.0G RAM环境下，T_h的执行时间是0.2ms，T_S的执行时间是0.45ms，T_C的执行时间是32.2ms，表3列出了本协议和相关协议的执行时间。

表3本协议和相关协议的执行时间

协议	执行时间(ms)
		Wang et al.[18]	260
Yoon et al.[19]	132
		Lai et al.[20]	395
Zhao et al.[21]	329
		Lee et al.[22]	198
Xie et al.[23]	200
		Farash et al.[24]	457
Islam[25]	139
		proposed	198

本发明具有较低的计算开销。与Islam等的协议相比，本发明的协议需要4次通信，而Islam等协议需要8次，而且本发明协议不需要复杂的网络时钟同步技术。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于扩展混沌算法的三方认证密钥协商协议，其特征在于，所述基于扩展混沌算法的三方认证密钥协商协议包括：

信息发送者U_i和响应者U_j在可信服务器S的帮助下，经注册阶段、登录和密钥协商阶段、密钥更新阶段后协商一个安全的会话密钥。

2.如权利要求1所述的基于扩展混沌算法的三方认证密钥协商协议，其特征在于，经注册阶段、登录和密钥协商阶段、密钥更新阶段前需先进行：

可信服务器首先为移动网络生成生成一个大素数p，一个实数z∈(-∞,+∞)，一个哈希函数h()和自己的保密密钥X_s基本参数。

3.如权利要求1所述的基于扩展混沌算法的三方认证密钥协商协议方法，其特征在于，信息发送者U_i和响应者U_j在可信服务器S的帮助前需进行：

初始化阶段，U_i和U_j到可信服务器S上注册，获得一个有效的智能卡(smartcard)。

4.如权利要求1所述的基于扩展混沌算法的三方认证密钥协商协议，其特征在于，所述注册阶段的方法包括：

1)用户在可信服务器处注册，成为网络中的合法用户；用户U_i输入他的ID_i和密钥PW_i，同时产生一个随机数N_i；U_i使用哈希函数h₁()计算

f_i＝h₁(PW_i||N_i)，

随后将消息{ID_i,f_i}通过安全的通道发送给可信服务器S；其中，PW_i表示用户U_i的密钥；h₁()表示哈希函数，其中h:{0,1}^*Z_p ^*；ID_i表示用户U_i唯一的身份标识；

2)可信服务器S计算

P_i＝h(ID_i||X_s)和

然后将信息{ID_i,e_i,x,p,h(),SPUB}写入一个smart card，并将该smart card通过一个安全的通信网络发送给U_i，h()表示哈希函数，h:{0,1}^*Z_p ^*；

其中

3)用户在收到smart card后，将h₁(),N_i和h(PW_i)加入到smart card中；用户获得自己的smart card，用于后续通信。

5.如权利要求1所述的基于扩展混沌算法的三方认证密钥协商协议，其特征在于，所述登录和密钥协商阶段的方法包括：

a、当U_i要与其他移动用户进行通信时，U_i插入它的smart card，然后输入密钥PW_i'；

b、smart card计算h(PW_i')，并与自己存储的h(PW_i)进行比较，如果相等，smart card选择随机数kx和N₁，计算

f_i＝h₁(PW_i||N_i)，

$P_i=e_i\⊕f_i,$

M₁＝T_kx(z)modp，

M₂＝T_kx(SPUB)modp

和t₁＝h(ID_i||ID_j||M₁||M₂||P_i||N₁)，

其中N₁是一个自动增长的随机数，用于抵御重放攻击；

c、U_i将消息{ID_i,ID_j,M₁,t₁,N₁}发送给U_j；

d、U_j收到消息后，U_j插入自己的smart card，然后输入PW_j'；

e、由smart card计算是否h(PW_j)＝h(PW_j')；如果成立，smart card选择一个随机数ky和N₂，计算

f_j＝h₁(PW_j||N_j),

$P_j=e_j\⊕f_j,$

M₃＝T_ky(z)mod p,

M₄＝T_ky(SPUB)mod p,

t₂＝h(ID_i||ID_j||M₃||M₄||P_j||N₂),

其中N₂是一个自动增长的随机数，用于抵御重放攻击；

f、U_j发送消息{ID_i,ID_j,M₁,t₁,N₁,M₃,t₂,N₂}给可信服务器S；

h、可信服务器S收到消息后计算

P_i′＝h(ID_i||X_s),

P_j′＝h(ID_j||X_s),

t′₁＝h(ID_i||ID_j||M₁||M′₂||P_i′||N₁),

t′₂＝h(ID_i||ID_j||M₃||M′₄||P_j′||N₂),

${M_2}^{\′}=T_{X_s}\left(M_1\right)\mathrm{mod}p=T_{kx}\left(T_{X_s}\right(z\left)\right)\mathrm{mod}p=T_{kx}\left(SPUB\right)\mathrm{mod}p$

和

g、然后可信服务器S通过判断t₁＝t₁′，t₂＝t₂′，来确认U_i和U_j的身份；可信服务器S存储N₁和N₂来抵御重放攻击；

k、可信服务器S计算

t₃＝h(ID_j||M₂||M₃||N₁)，

并发送消息{ID_j,M₃,t₃}给U_i,发送消息{ID_i,M₁,t₄}给U_j；

l、当U_i收到消息后，U_i根据ID_j获得M₂和N₁后计算

t₃′＝h(ID_j||M₂||M₃||N₁)，

并通过判断t₃＝t₃′来确认S和U_j的身份，如果成立，获得会话密钥

K＝T_kx(M₃)mod p＝T_kxky(z)mod p；

m、当U_j收到消息后，U_j同样根据ID_i获得M₄和N₂后计算

t′₄＝h(ID_i||M₁||M₄||N₂)；

并通过判断t₄＝t₄′来确认S和U_i的身份，如果成立，获得会话密钥

K＝T_kx(M₃)mod p＝T_kxky(z)mod p。

6.如权利要求1所述的基于扩展混沌算法的三方认证密钥协商协议，其特征在于，所述密钥更新阶段的方法包括：

U_i插入U_i的smart card，输入旧密码PW_i'和一个新密码PW_i ^*；由smart card计算h(PW_i')；

然后与smart card存储的h(PW_i)进行比较，如果相等smart card计算

f_i＝h₁(PW_i||N_i)，

$P_i=e_i\⊕f_i,$

并生成一个新的随机数N_i ^*，计算

f_i ^*＝h₁(PW_i ^*||N_i ^*)和

最后smart card将N_i替换成N_i ^*，h(PW_i)替换成h(PW_i ^*)，e_i替换成e_i ^*，完成密钥的更新。

7.一种利用权利要求1所述基于扩展混沌算法的三方认证密钥协商协议的三方认证密钥协商协议系统。