1.一種基于Diffie-Hellman協議的iSCSI協議安全增強方法，其特征在于，包括：

始發端將自己的公鑰證書、請求以及數字簽名發送給認證服務器；

認證服務器對始發端進行身份認證以及對請求進行授權；

認證服務器將始發端公鑰對證書私有部分加密后的密文與證書公開部分一同發送給請求的始發端；

始發端計算消息認證碼，并與證書公開部分一同發送給指定的目標端；

目標端收到認證碼和證書公開部分后對始發端請求進行授權認證；

目標端根據授權認證結果響應始發端請求；

定期逐個刷新所使用的共享密鑰；

認證服務器對始發端進行身份認證以及對請求進行授權包括：

①利用始發端的公鑰K_pub對數字簽名進行解密：

其中，表示用密鑰K_pub對消息sign進行解密；

②判斷plain是否等于X.509_cred|req，若相同，則身份認證通過；

③根據uid在訪問控制列表中查找其是否有權登陸req中指定的資源，若認定為有權登陸，認證服務器需要為始發端準備權能證書cred，該證書由 公開部分和私有部分組成，私有部分由公開部分確定，并如下賦值運算：

pub_cred＝req|uid|cid|expiry；

a key＝HMAC_k(pub_cred)；

cred＝pub_cred|pri_cred；

其中，

uid為公鑰證書中指定的始發端用戶名；

cid為權能證書的唯一性標識符；

expiry為權能證書的有效截止時間；

HMAC為依賴密鑰的哈希函數；

k為認證服務器與相應目標端之間共享的密鑰，不同目標端與認證服務器之間共享的密鑰不同；

K_pub為始發端公鑰；

secret為使用始發端公鑰對證書私有部分加密后的密文；

X.509_cred為公鑰證書；

req為請求；

sign為數字簽名；

符號“|”表示字符連接運算；

pub_cred為證書公開部分；

pri_cred為證書私有部分；

始發端計算消息認證碼，并與證書公開部分一同發送給指定的目標端包括：

mac＝HMAC_akey(pub_cred)；

其中，mac為消息認證碼，為利用密鑰Kpri對secret進行解密，akey為認證密鑰；

目標端收到認證碼和證書公開部分后對始發端請求進行授權認證包括：

①重新計算認證密鑰akey’：

akey'＝HMAC_k(pub_cred)；

②重新計算消息認證碼mac’：

mac'＝HMAC_akey'(pub_cred)；

③判斷mac'與mac是否相同,若相同，則授權認證通過，說明始發端已經通過了認證服務器的身份認證，并且認證服務器已經對請求進行了授權；

定期逐個刷新所使用的共享密鑰包括：

假設大素數q及其本原根a是Diffie-Hellman協議中的兩個公開參數，k₀是當前共享密鑰；

認證服務器選擇一個隨機整數X_A，X_Aq，計算公開的Y_A：

將Y_A發送給目標端；

目標端選擇一個隨機整數X_B，X_Bq，計算公開的Y_B：

將Y_B發送給認證服務器；

認證服務器收到Y_B后，計算新的共享密鑰k_A和消息認證碼mac_A：

mac_A＝H(k_A)；

其中，H(k_A)為計算共享密鑰k_A的hash函數，modq為對q取模；

將mac_A發送給目標端；

目標端收到Y_A和mac_A后，計算新的共享密鑰k_B和消息認證碼mac_B:

mac_B＝H(k_B)；

其中，H(k_B)為計算共享密鑰k_B 的hash函數；

新的密鑰為k₁，之后將mac_B發送給認證服務器。