1.一类用于通过设备或网络连接的两方用户之间的知识证明和密钥交换方法，所述方法包括：记 n≥1为身份是 的第一方用户在多项式时间

内的公共成分贡献，其中x1，...,xn为 选的私有值，即：x1，...,xn为用户 所选择生成并对其它用户保密的数值且x1,...,xn的具体数值只有用户 知道，g是一个以N为阶的有限阿贝尔群G′的一个以q为阶的子群G的生成元，每个 1≤i≤n，构成一个单向指数函数，每个Bi(g)，1≤i≤n，构成一个确定的至少有一个参数g的函数，每个fi(xi)，

1≤i≤n构成一个确定的有至少一个参数xi的函数，m1包含由用户 发送的与所发明方法的一个会话相关的其它任意公共信息；这儿，所发明方法在两方用户之间的一次运行称为一个会话；上述公共成分贡献X1,...,Xn,m1中，有些是在多个会话中都使用的固定的值，另外一些则是只是在每个会话中使用的临时的值；上述的X1,...,Xn称为第一方用户 的DH-成分，x1,...,xn称为第一方用户 的DH-指数；

记 m≥1为身份是 的第二方用户在多项式时间

内的公共成分贡献，其中y1，...,ym为 选的私有值，即：y1，...,ym为用户 所选择生成并对其它用户保密的数值且y1，...,ym的具体数值只有用户 知道，g是一个以N为阶的有限阿贝尔群G′的一个以q为阶的子群G的生成元，每个 1≤j≤m，构成一个单向指数函数，每个Bj′(g)，1≤j≤m，构成一个确定的至少有一个参数g的函数，每个fj′(yj)，1≤j≤m构成一个确定的有至少一个参数yj的函数，m2包含由用户 发送的与所发明方法的一个会话相关的其它任意公共信息;上述公共成分贡献Y1,...,Ym,m2中，有些是在多个会话中都使用的固定值，另外一些则是只是在每个会话中使用的临时的值；上述的Y1,...,Ym称为第二方用户 的DH-成分，y1，...,ym称为第二方用户 的DH-指数；

第二方用户 得到{X1,...,Xn,m1}后，计算 其中...，每个 1≤i≤n构成一

个确定的，至少有一个参数Xi的函数，每个 1≤j≤m构成一个确定的，至少有一个参数yj的函数， 构成一个确定的，至少有n个参数 的函数；

第一方用户 得到{Y1,...,Ym,m2}后，计算 其中...，每个

1≤j≤m构成一个确定的，至少有一个参数Yj的函数，每个 1≤i≤n构成一个确定的，至少有一个参数xi的函数， 构成一个确定的，至少有n个参数 的函数；

其中的每个 1≤i≤n，1≤j≤m构成一个确定的函数，并且非零的 1≤i≤n，

1≤j≤m满足：

(i)独立要求：对于任意的i,1≤i≤n，当m≥2时，所述 独立于第二方用户 任意的临时DH-成分；

(ii)承诺要求：所述非零的 1≤i≤n，1≤j≤m，对第一方用户和第二方用户双方的临时DH-成分进行提交；

(iii)可以预计算和/或可以后置身份计算和/或可抵赖性：对于固定DH-成分Xi,1≤i≤n， 的值可以由 离线预计算，并且/或者对于临时DH-成分Xi,1≤i≤n，的值可以由 在不知道 身份和所述固定DH-成分的情况下离线预计算；对于固定的DH-成分Yj,1≤j≤m， 的值可以由 离线预计算，并且/或者对于临时DH-成分Yj,1≤j≤m， 的值可以由 在不知道 固定DH-成分和身份的情况下离线预计算；并且/或者上述 和 的值，可以仅仅由第一方用户和第二方用户双方的所述临时DH-指数和固定的和临时的公开的DH-成分计算出来；

所述第一方用户 和第二方用户 的公共成分贡献都可以通过多轮交互进行交换。

2.如权利要求1所述的方法，其中，非零 1≤i≤n，1≤j≤m不仅对双方的临时DH-成分进行提交，而且进一步对至少其中一方的身份和/或固定的DH-成分进行提交。

3.如权利要求1所述的方法，其中，非零 1≤i≤n，1≤j≤m，满足：对于任意的i，1≤i≤n，当m≥2时， 独立于任意临时DH-成分和第二方用户 的任意固定DH-成分。

4.如权利要求1所述的方法，其中，非零 1≤i≤n，1≤j≤m，满足：对于任意的i，1≤i≤n，当m≥2时， 独立于任意第一方用户 或者第二方用户 的临时DH-成分。

5.如权利要求1所述的方法，其中，非零 1≤i≤n，1≤j≤m，满足：对于任意的i，1≤i≤n，当m≥2时， 独立于任意第一方用户 或者第二方用户 的临时DH-成分和固定DH-成分。

6.如权利要求1所述的方法，其中，非零 1≤i≤n，1≤j≤m，满足：对于任意的j，1≤j≤m，当n≥2时， 独立于任意第一方用户 的临时DH-成分。

7.如权利要求1所述的方法，其中，非零 1≤i≤n，1≤j≤m，它满足：对于任意的j，1≤j≤m，当n≥2时， 独立于任意第一方用户 的临时DH-成分和固定DH-成分。

8.如权利要求1所述的方法，其中，非零 1≤i≤n，1≤j≤m，满足：对于任意的j，1≤j≤m，当n≥2时， 独立于任意第一方用户 或者第二方用户 的临时DH-成分。

9.如权利要求1所述的方法，其中，非零 1≤i≤n，1≤j≤m，满足：对于任意的j，1≤j≤m，当n≥2时， 独立于任意第一方用户 或者第二方用户 的临时DH-成分和固定DH-成分。

10.如权利要求1所述的方法，其中，使用 和 导出双方之间的共享密钥；第一方用户 计算 得到该密钥，其中 构成一个预先决定的、至少有一个参数 的数学函数；第二方用户 计算 得到该密钥，其中 包含一个预先决定的、至少有一个参数 的数学函数。

11.如权利要求10所述的方法，其中， 和 构成一个密码函数，这个密码函数可以是一个密码学哈希函数、或者密码学伪随机函数、或者加密函数、或者单向函数。

12.如权利要求10所述的方法，其中，导出的密钥包括一对密钥：一个MAC密钥Km和一个会话密钥K。

13.如权利要求1所述的方法，其中，第二方用户 使用 生成并发送认证值给第一方用户 并且/或者，第一方用户 使用 生成并发送认证值给第二方用户

14.如权利要求13所述的方法，其中，如果 通过一种预先决定好的方法相关于 那么第一方用户 将第二方用户 的认证值视为合法；并且/或者，如果 通过一种预先决定好的方法相关于 那么第二方用户 将第一方用户 的认证值视为合法。

15.如权利要求14所述的方法，其中，如果第一方用户 确定 等于 那么将第二方用户 的认证值视为合法的；如果第二方用户 确定 等于 那么将第一方用户 的认证值视为合法的。

16.如权利要求15所述的方法，其中，第二方用户 的认证值中可以包含其中MAC是预先决定的以Km为密钥的消息验证码函数， 中包含第二方用户 需要被验证的信息；第一方用户 的认证值中可以包含 其中 中包含第一方用户 需要被验证的信息，并且

17.如权利要求2所述的方法，其中，如果第一方用户向可信第三方证明自己拥有或者知道对应于其固定DH-成分的DH-指数，并且/或者，第二方用户在会话建立之前已经拥有了第一方固定DH-成分经过认证的拷贝，那么第一方用户的固定DH-成分可不由非零

1≤i≤n，1≤j≤m来提交；同样，如果第二方用户向可信第三方证明自己拥有或者知道对应于其固定DH-成分的DH-指数，并且/或者，第一方用户在会话建立之前已经拥有了第二方用户固定DH-成分经过认证的拷贝，那么第二方用户的固定DH-成分可不由非零

1≤i≤n，1≤j≤m来提交。

18.如权利要求10所述的方法，其中，如果第一方用户的身份是 或 中的一个参数，那么第一方用户的身份不由非零 1≤i≤n，1≤j≤m进行提交；如果第二方用户的身份是 或 中的一个参数，那么第二方用户的身份不由非零 1≤i≤n，

1≤j≤m进行提交。

19.如权利要求18所述的方法，其中，每个Bi(g)，1≤i≤n，fi，1≤i≤n，Bj′(g)，

1≤j≤m，fj′，1≤j≤m， 1≤i≤n， 1≤j≤m和 1≤j≤m， 1≤i≤n都构成一个恒等函数，并且其中的q是素数。

20.如权利要求19所述的方法，其中，令n=2，X1=A=ga，X2=X=gx，其中A为参与方 的固定DH-成分，并且是公钥，a是它的固定DH-指数，并且是私钥，X是它的临时DH-成分，而x是它的临时DH-指数；m=2，Y1=B=gb，Y2=Y=gy，其中B为参与方 的固定DH-成分，并且是公钥，b是它的固定DH-指数，并且是私钥，Y是它的临时DH-成分，而y是它的临时DH-指数；上述的a,x,b,y都是整数并且1≤a,x,b,y≤q-1。

21.如权利要求19所述的方法，其中，m1和m2中至少有一个包含第一方用户 或者第二方用户 的身份。

22.如权利要求20所述的方法，其中，令 和

和

其中上述的ti=1或者ti=N/q，1≤i≤4，上述的c,d,e,f中每个都构成一个预先决定的数学函数，该函数的参数包含 的一个子集。

2 3 . 如 权 利 要 求 2 2 所 述 的 方 法 ， 其 中 ， 令并 且

24.如权利要求23所述的方法，其中，令c=h(Y,pub1)或c=1，d=h(X,pub2)或d=1，e=h(X,Y,pub3)或e=0，f=0或f=1或f=h(pub4)，其中上述h构成可被建模成可能理想化的密码模型中的随机函数的一个预先决定的函数，或者一个密码学哈希函数，密码学伪随机函数，密码学提交函数，加密函数或者单向函数之一；上述pubi，1≤i≤4，包含的一个子集的信息，并且如果c=d=1，那么e≠1。

25.如权利要求24所述的方法，其中，令pub1包括 的身份信息并且/或者pub2包括的身份信息，并且/或者pub3包括 双方的身份信息。

26.如权利要求22所述的方法，其中

如果参与方都检查确认对方的临时DH-成分和固定DH-成分为子群G的元素，那么t1=t2=t3=t4=1；

如果一方不对另一方的临时DH-成分进行显式的子群测试，而是 检查并确认Y是在G′中并且不是G′的一个以N/q的一个因数为阶的子群中的元素，而 检查并确认X是在G′中并且不是G′的一个以N/q的一个因数为阶的子群中的元素，那么此时t2=t3=t4=N/q；

如果对对方的固定DH-成分进行子群测试，则t1=1；如果不对对方的固定DH-成分进行显式的子群测试，而是 检查并确认B是在G′中并且不是G′的一个以N/q的一个因数为阶的子群中的元素，而 检查并确认A是在G′中并且不是G′的一个以N/q的一个因数为阶的子群中的元素，那么此时t1=N/q。

27.如权利要求26所述的方法，其中，“ 检查并确认Y不是G′的一个以N/q的一个因数为阶的子群中的元素”，通过以下的不等式之一验证：其中1G为群G′的单位元；

上述“ 检查并确认X不是G′的一个以N/q的一个因数为阶的子群中的元素”，通过以下的不等式之一验证：上述“ 检查并确认B不是G′的一个以N/q的一个因数为阶的子群中的元素”，通过以下的不等式之一验证：上述“ 检查并确认A不是G′的一个以N/q的一个因数为阶的子群中的元素”，通过以下的不等式之一验证：

28.如权利要求24所述的方法，其中， e=h(X,Y)，f=0。

29.如权利要求24所述的方法，其中，c,d,e,f的实现还可以包括：(i) e=h(X,Y)或 或

f=1或 或者

(ii)c=1，d=1， f=0；或者

(iii) 或 e=h(c,d) 或

e=h(c,X)或e=h(d,Y)或e=h(X,Y)，f=0或f=1或 或者(iv) 或 e=h(c,d)或e=h(c,X) 或e=h(d,Y)，f=0或f=1或 或者

(v) e=0，f=0；或者

(vi)c=1， e=0，f=0；或者

(vii) e=0，f=0；或者

(viii)c=1，d=1， f=1或 或

或f=0；或者

(ix) e=h(X,Y)或 或e=h(c,d) 或e=h(c,X)或e=h(d,Y)，f=0或f=1或 或者(x) e=h(X,Y)或 或e=h(c,d)或e=h(c,X)或e=h(d,Y)，f=0或f=1或 或者

(xi)c=h(Y)，d=h(X)，e=h(X,Y)或 或 e=h(c,d)或e=h(c,X) 或e=h(d,Y)，f=0或f=1或

30.如权利要求23所述的方法，其中，c,d,e,f的实现还可以包括：(i) f=1；或者

(ii) e=1，

31.如权利要求23所述的方法，其中，c,d,e,f的实现还可以包括：(i) e=1， 或者

(ii) e=1，f=cd。

32.如权利要求22所述的方法，其中，第一方用户 拥有一份由可信第三方发布的证书 用以将第一方用户的身份和公钥进行绑定验证，该证书包括一个提交 的值在函数c,d,e,f中的参数 被 替代；并且/或者第二方用户 拥有一份由可信第三方发布的证书 用以将第二方用户的身份和公钥进行绑定验证，该证书包括一个提交的值 在函数c,d,e,f中的参数 被 替代。

33.如权利要求32所述的方法，其中，令 H构成一个密码学函数，可以是一个密码学哈希函数，一个密码学伪随机函数，一个密码学承诺函数，一个加密函数或者一个单向函数之一。

34.如权利要求22所述的方法，其中，如果可信第三方要求第一方用户证明自己拥有或知道其对应于公钥的私钥，并且/或者第二方用户在协议开始之前就已经拥有第一方用户一份经过认证的公钥拷贝，那么此时第一方用户的公钥可以从函数c,d,e,f的参数中移除；类似地，如果可信第三方要求第二方用户证明自己拥有或知道其对应于公钥的私钥，并且/或者第一方用户在协议开始之前就已经拥有第二方用户一份经过认证的公钥拷贝，那么此时第二方用户的公钥可以从函数c,d,e,f的参数中移除；

如果第一方用户的身份是 和 的参数，那么第一方用户的身份可以从函数c,d,e,f的参数中移除；和/或，如果第二方用户的身份是 和 的参数，那么第二方用户的身份可以从函数c,d,e,f的参数中移除。

x

35.如权利要求19所述的方法，其中，令n=1，X1=X=g，其中X是参与方 的临时DH-成b y分，x是 的临时DH-指数；m=2，Y1=B=g，Y2=Y=g，其中B是参与方 的公钥，b是 的私钥，Y是参与方 的临时DH-成分，y是 的临时DH-指数，上述的x,b,y都是整数并且

1≤x,b,y≤q-1；

其中 f,c的任意一个构成一个预先决定的函数，该函数有以的一个子集作为参数；如果 验证X是G中一个成员，那么t1=t2=1，否则t1=t2=N/q，并且 验证X是G′中一个成员，同时X不是G′的一个以N/q的一因子为阶的子集中的成员。

36.如权利要求35所述的方法，其中，“ 验证X不是G′的一个以N/q的一因子为阶的子集中的成员”通过验证 来实现。

37.如权利要求35所述的方法，其中，f,c的实现包括：(i) c=h(X,Y,aux2)；或者

(ii)f=1，

上述的auxi，1≤i≤3，包含一个空信息，或身份 或除 外与会话相关的信息。

38.如权利要求19所述的方法，其中，令n=2，X1=A=ga，X2=X=gx，其中A是参与方的固定DH-成分和公钥，a是参与方 的固定DH-指数和私钥，X是参与方 的临时DH-成分，x是 的临时DH-指数；m=1，Y1=B=gb，其中B是参与方 的固定DH-成分和公钥，b是 的固定DH-指数和私钥；上述的a,x,b都是整数并且1≤a,x,b≤q-1；

其 中

任意的f,d之一构成一个预先决定的函数，该函数以 的一个子集作为参数；t1=1或t1=N/q；t3=1或t3=N/q。

39.如权利要求38所述的方法，其中，如果每方都验证和确认对方的固定和临时DH-成分是否为子群G的成员，那么t1=t3=1；否则t1=t3=N/q，并且至少 要验证X∈G′和

40.如权利要求38所述的方法，其中，令f=1或f=h(aux′1)， 其中有aux′1包含除临时DH-成分X外的非空消息，h的输出长度为|q|/2，其中|q|表示q的比特长度。

41.如权利要求38所述的方法，其中， d=1。

42.如权利要求38所述的方法，其中，给定一个 支持的公钥加密体系，其中密文包含x由 生成并发送的X=g，其中1≤x≤q-1，并且该公钥加密体系的 和 共享密钥通过 计算和 计算 来导出，令 用所述 替换 且 用所述 替换 来生成 和 的共享密钥。

43.如权利要求42所述的方法，其中，

x

44.如权利要求19所述的方法，其中，n=1，X1=X=g，其中X是 的临时DH-成分而x是y其临时DH-指数；m=1，Y1=Y=g，其中Y是 的临时DH-成分而y是其临时DH-指数；上述的x,y都是整数并且1≤x,y≤q-1；那么有 其中t1=1或t1=N/q，e=h(X,Y,aux″′)，aux″′包括除临时DH-成分外所有消息的一个子集。

45.如权利要求44所述的方法，其中，aux″′包括参与双方的身份

46.如权利要求1所述的方法，其中，m1包括一个由第一方用户 生成的随机数 并且/或者m2包括一个由第二方用户 生成的随机数 那么，对于i,j:1≤i≤n,1≤j≤m，如果的一个临时DH-成分是非零 的参数，那么 也是该非零 的参数，并且 可以在有限的时间内，在多个会话中使用相同的临时DH-成分；并且/或者，对于i,j:1≤i≤n,1≤j≤m，如果 的一个临时DH-成分是非零 的参数，那么 也是 的参数，并且 可以在有限的时间内，在多个会话中使用相同的临时DH-成分。

47.如权利要求1到11中任意一条所述的方法，其中，n=2，m=2，每个Bi(g)，1≤i≤n，fi，1≤i≤n，Bj′(g)，1≤j≤m，f′j，1≤j≤m， 1≤i≤n， 1≤j≤m和

1≤j≤m， 1≤i≤n均构成一个恒等函数，并且其中的q是素数；

a x

令X1=A=g，X2=X=g，其中A是参与方 的一个固定DH-成分和公钥，a是其固定DH-指数和私钥，X是参与方 的一个临时DH-成分，x是其临时DH-指数；

b y

令Y1=B=g，Y2=Y=g，其中B是参与方 的一个固定DH-成分和公钥，b是其固定DH-指数和私钥，Y是参与方 的一个临时DH-成分，y是其临时DH-指数；上述的a,x,b,y都是整数并且1≤a,x,b,y≤q-1；

令 和 和

其中ti=1或ti=N/q，

1≤i≤4，而且上述c,d,e,f中每个都构成一个预先决定好的以 的一个子集作为参数的数学函数；

其中第一方用户 的公钥A和临时DH-成分X是分别发送给 的；首先将X发送给然后只在接收到 后才将自己的公钥A发送给 身份 和/或公钥A不作为函数d和e的参数。

48.如权利要求47所述的方法，其中，第二方用户 使用 生成一个认证值 并将连同临时DH-成分Y一起发送给第一方用户 在接收到 和 之后，第一方用户 如果能通过一个事先预定好的方法验证确认 的值相关于 那么将认证值 视为合法的；如果认证值 被认为是合法的，第一方用户 将自己的公钥和身份信息告知给 第二方用户计算 并由 导出私钥；第一方用户 计算 并由 导出私钥；并且/或者，第一方用户使用 生成认证值 并将该认证值发送给 如果第二方用户 可以用一种事先预定好的方法验证确认 相关于 那么将该认证值 视为合法的。

49.如权利要求48所述的方法，其中，第一方用户 使用 生成认证值 并将该认证值发送给 如果第二方用户 可以用一种事先预定好的方法验证确认 相关于 那么将该认证值 视为合法的。

50.如权利要求48所述的方法，其中，令认证值 包括 其中 构成一个预先决定好的密钥导出函数，其可以是一个密码学哈希函数，密码学伪随机函数，加密函数或者单向函数之一，并且至少有一个参数 包含需要被第二方用户 验证的消息。

51.如权利要求50所述的方法，其中，令认证值 包含 其中 构成一个预先决定好的密钥导出函数，其是一个密码学哈希函数，密码学伪随机函数，加密函数或者单向函数之一，并且至少有一个参数 包含需要被第一方用户 验证的消息，并且

52.如权利要求51所述的方法，其中，令上述的 包含第一方用户 的身份和公钥以及

53.如权利要求50所述的方法，其中，包含 其中 包含需要被第一方用户 验证的消息，并且

54.如权利要求47所述的方法，其中， 和 的实现包括：(i) 其中HK构成一个预先决定好的密

钥导出函数，其可以是一个密码学哈希函数，密码学伪随机函数，加密函数或者单向函数之一；或者(ii)

55.如权利要求54所述的方法，其中，c,d,e,f的实现包括：(i) e=h(X,Y)，f=0；或者

(ii) e=h(X,Y)，f=1或 或者

(iii) e=1， 或者

(iv) e=0，f=0；或者

(v) e=h(X,Y)或e=h(c,d)或e=h(c,X)或e=h(d,Y)，f=0或f=1或 或者

(vi)c=h(Y)，d=h(X)，e=h(X,Y)或e=h(c,d)或e=h(c,X)或e=h(d,Y)，f=0或f=1或

56.一个建立验证密钥的方法，其中交互的双方都有多项式时间计算能力，其中一方称之为第一方用户，身份为 另一方称为第二方用户，身份为 双方通过一个设备或网络进行连接交互，并且共享一个秘密pw；

f′(b)

其中，第二方用户 拥有一个固定DH-成分B=F′(g) 做为公钥，固定DH-指数b∈Zq作为私钥，第一方用户 贡献一个值 其中g为G的一个生成元，G以q为阶且是G′的一个子群，G′是一个阶为N的有限阿贝尔群；上述F1,F′的每一个均构成一个预先决定好的函数，该函数至少包含一个参数g；F2构成一个预先决定好的函数，该函数至少包含一个参数B；f′构成一个预先决定好的函数，该函数至少包含一个参数b；f1构成一个预先决定好的函数，该函数至少包含一个参数x；f2构成一个预先决定好的函数，该函数至少包含一个参数pw；aux″包括一个除pw外的消息的子集；

该方法包括：

第二方用户 预计算并预存储 和/或 其中t＝1或t

＝N/q；

第一方用户 得到B；

第一方用户 计算 其中 构成一个预先决定好的函数，该函数至少包含两个参数f1(x),B；

第二方用户 得到X′；

第二方用户 找回预计算并存储的 和/或

第二方用户 计算 其中 构成一个预先决定好的

函数，该函数至少包含三个参数

第二方用户 使用 导出双方之间的共享秘密，生成自己的认证值并验证对方的认证值；

第一方用户使用 导出双方之间的共享秘密，生成自己的认证值并验证对方的认证值。

57.如权利要 求56所述的方法，其中，F1,F′,F2,f1,f ′的每一个均 构成 一 个 恒 等 函 数，x,b 为 1 ≤ x,b ≤ q-1 的 整 数， 且t=1或t＝N/q。

58.如权利要求57所述的方法，其中，f2(pw,aux″)的实现包括：(i)f2(pw,aux″)=pw；或者

(ii) 其 中 aux ″ 包 含 双 方 的 身 份 或或

59.如权利要求57所述的方法，其中，如果第二方用户 检查并确认X′∈G，那么t=1；

x

否则t＝N/q，并且第二方用户检查并验证X′是G′的一个元素且g 不在G′的一个以N/q为阶的子群中。

x

60.如权利要求59所述的方法，其中，“第二方用户 检查g 不在G′的一个以N/q为阶的子集中”通过检查以下不等式之一来实现： 和

61.如权利要求57-58任意一条所述的方法，其中，给定一个第二方用户 支持的公钥x加密体系，其中由所述第一方用户 生成和发送的密文包含X=g，1≤x≤q-1，并且该公钥加密体系中第一方用户 和第二方用户 共享的密钥分别由 通过计算 和 通过计算来导出，那么 使用 来替代 用X′替代X，使用 来替代 从而得到一个修改过的公钥加密体系。

62.如权利要求61所述的方法，其中，

63.如权利要求61所述的方法，如果消息m的密文包括 其中E为一个以k1作为私钥的私钥加密体系，(k1,k2)由 通过 和 通过 导出，那么可以将 改变为 从而得到一个修改过的公钥加密体系，其中Hk是一个预先决定好的密钥导出函数，其是一个密码学哈希函数，一个密码学伪随机函数，一个密码学保证函数，一个加密函数或者一个单向函数之一，而 包含除C外的其它消息的一个子集并将由第一方用户 认证。

64.如权利要求61所述的方法，其中，令第一方用户 使用上述修改过的公钥加密体系加密一个随机值K，并将得到密文发送给第二方用户

65.如权利要求64所述的方法，其中，上述的K可以被第一方用户和第二方用户使用来导出会话密钥以及生成并验证相互的认证值。

66.如权利要求63所述的方法，其中，令第一方用户 使用上述修改过的公钥加密体系加密一个随机值K，并将得到密文发送给第二方用户

67.如权利要求66所述的方法，其中，上述的K可以被第一方用户和第二方用户使用来导出会话密钥以及生成并验证相互的认证值。