認證密鑰協商最基本的安全目標是實現對參與者(可能包括服務器)的隱式認證和密鑰協商。所謂隱式認證,是指協議的參與者(可能包括服務器)可以確保除了指定實體外,其它任何實體都不能得到會話密鑰,而密鑰協商則保證了經過隱式認證的實體可以唯一確定地取得會話密鑰。

安全密鑰協商協議應達到的目標包括:

（1）密鑰確認。協議的參與者可以確認其它合法的實體已經得到本次協商的會話密鑰。值得一提的是,任何兩輪的基於公鑰的認證密鑰協商都不可能實現密鑰確認的性質。如果協議確需達到這一安全目標, 則需單獨增加一輪通信。

(2) 顯式認證。如果一個密鑰協商協議既能實現隱式認證又能實現密鑰確認, 則稱其具備顯式認證的性質。

(3) 已知密鑰安全。一個協議具有已知密鑰安全, 是指即使敵手已經知道了除當前會話之外的會話密鑰,也不會影響當前會話的安全。這一安全屬性已經成為密鑰協商的標準需求之一。

(4) 前向安全性。粗略地說,如果協議參與者的長期私鑰被敵手取得,而敵手不能由此求出參與者在私鑰泄露前協商取得的會話密鑰的話,則稱該協議具有前向安全性。根據會話性質的不同, 前向安全性可分為完美前向安全性和弱的完美前向安全性。具體來說,如果長期私鑰泄露前的會話受到了敵手的破壞(該攻擊者取得了參與者的長期私鑰,並為其選擇了這次會話的臨時私鑰),而敵手仍無法取得這次會話的會話密鑰,則稱該協議具有完美前向安全性;若協議只能保證敵手在取得參與者的長期私鑰後, 之前的那些未被敵手破壞的會話的會話密鑰不能被敵手取得,則稱該協議具有弱的完美前向安全性。

有專家對協議的前向安全性進行了詳細研究,指出基於公鑰的兩輪的雙方認證密鑰協商協議都無法實現完美前向安全性,而只能實現弱的完美前向安全性。

(5) 抗密鑰泄露偽裝攻擊。假設實體A 和B 是協議的兩個參與者, 則當A 的長期私鑰被敵手取得後, 該敵手顯然能夠冒充A 與其他協議的參與者(例如B)進行通信。然而,如果該協議抗密鑰泄露偽裝攻擊,則這一密鑰泄露不能使得敵手反過來向實體A 冒充為其他參與者(例如B)。

(6) 抗未知密鑰共享攻擊。在某些情況下,敵手未必能得到會話密鑰相關的秘密信息,但是可以欺騙實體關於其對等身份的信息。如果敵手能成功對參與者A 和B 之間進行的密鑰協商協議進行未知密鑰共享攻擊,那麼參與者A 認為自己與B 之間建立了共享的會話密鑰,而參與者B 則認為自己與敵手之間建立了會話密鑰。這一攻擊可以導致參與者把信息發給錯誤的實體,或者接收數據並認為它來自一個錯誤的參與者。

此外,對於有服務器參與的三方口令密鑰協商協議還應該實現以下安全目標:

(7) 抗離線字典攻擊。從本質上講,口令認證密鑰協商是不能抵抗在線可檢測字典攻擊的。但我們可以要求口令認證密鑰協商需可抵抗離線字典攻擊,以保證攻擊者必須和協議交互才能對口令猜測予以驗證。在這種情況下,攻擊者的成功概率將不會依賴於其離線的計算能力,而是依賴於其與協議參與者進行交互的次數。

(8) 相對服務器的會話密鑰私密性。在有服務器參與的口令密鑰協商中,分別與服務器共享口令的兩個用戶間不能直接地安全通信,而需要服務器協助才能實現密鑰協商,因此要求服務器是可信的。

但在協議設計時,應儘可能降低對服務器的信任和依賴程度,也就是說,應該要求即使協助用戶進行密鑰協商,服務器也不能得到最終的會話密鑰。