1.基于口令和生物特征的安全雙因子認證與密鑰協商方法，其特征在于，具體包括以下步驟：

系統初始化階段：根據安全參數進行系統初始化，確定系統的公共參數；初始化一個模糊提取器，其中模糊提取器包含兩個算法：生成算法和再生算法；服務器的主密鑰被安全的保存在服務器端的可信執行環境中；

注冊階段：

1)用戶執行模糊提取器的生成算法，該算法以用戶的生物特征為輸入，輸出一個公開幫助字符串和一個秘密字符串；

2)用戶利用自己的口令和秘密字符串生成一個注冊階段的組合因子；

3)用戶與服務器執行兩方安全計算，以不經意的方式盲化并加密注冊階段的組合因子，用戶將加密后的注冊階段的組合因子生成認證憑證；

4)用戶將自己的身份、公開幫助字符串和認證憑證發送給服務器；

5)服務器將收到并存儲用戶的身份、公開幫助字符串和認證憑證至數據庫中；

認證與密鑰協商階段：

1)用戶將自己的身份發送給服務器；

2)服務器根據用戶身份檢索對應的公開幫助字符串，并將檢索到的公開幫助字符串返回給用戶；

3)用戶執行模糊提取器的再生算法，再生算法以用戶的生物特征和公開幫助字符串為輸入，輸出秘密字符串；當用戶的生物特征與注冊階段使用的生物特征足夠相似時，再生算法輸出的秘密字符串與生成算法輸出的秘密字符串是相同的；

4)用戶利用自己的口令和秘密字符串中生成一個認證階段的組合因子；

5)用戶與服務器執行兩方安全計算，以不經意的方式盲化認證階段的組合因子；用戶與服務器執行DH密鑰交換，各自生成用戶的DH三元組和服務器的DH三元組，兩組DH三元組的對應元素的數值相同；

6)用戶利用自己的身份、服務器身份、用戶DH三元組和盲化的認證階段的組合因子生成第一密鑰確認消息σ₁，并將σ₁發送給服務器；

7)服務器在可信執行環境中首先利用存儲的認證憑證和主密鑰計算盲化的認證階段的組合因子；

8)服務器使用盲化的認證階段的組合因子、用戶身份、服務器身份和服務器DH三元組計算第一消息σ₁^′，并驗證σ₁是否等于σ₁^′；如不等，則驗證失敗，服務器終止協議；否則，服務器利用用戶身份、服務器身份、服務器DH三元組和盲化的認證階段的組合因子計算第二密鑰確認消息σ₂和會話密鑰，并將σ₂發送給用戶；

9)用戶利用用戶身份、服務器身份、用戶DH三元組和盲化的認證階段的組合因子計算第二消息σ₂^′，并驗證σ₂是否等于σ₂^′，若相等，則驗證成功，用戶生成會話密鑰；否則，用戶終止協議。