计算机密码学

第1章导论

1．1NeedhamSchroeder协议

1．2更多的例子

1．2．1其他身份鉴别协议的例子

1．2．2加密的运用

1．2．3时效

1．2．4类型攻击

1．2．5代数攻击

1．3更复杂的协议和攻击

1．4一些符号约定

第2章消息认证与数字签名方案

2．1消息认证方案及其抗伪造性质

2．1．1强／弱抗伪造性质及其蕴涵关系

2．1．2特例：基于拟随机函数的MAC方案

2．2数字签名方案及其抗伪造性质

2．2．1抗简单伪造性质及弱分支引理

2．2．2抗选择消息伪造及强分支引理

2．3数字签名方案与身份鉴别协议：FiatShamir变换

2．3．1正则身份鉴别协议及FiatShamir变换

2．3．2协议的抗身份欺诈性质与签名方案的抗伪造性质的等价性

2．3．3时变方案、FiatShamir变换及前向安全性质

第3章对称加密方案

3．1各种保密性质及其相互关系

3．1．1各种保密性质的定义

3．1．2各种保密性之间的关系

3．2一些典型对称加密方案的保密性质

3．3加密一认证方案：明文完整性与密文完整性

3．4加密一认证方案的几个一般性构造

3．4．1加密及认证式构造

3．4．2先认证再加密式构造

3．4．3先加密再认证式构造

3．5时变对称加密方案及其前向保密性质

第4章公钥加密方案(Ⅰ)：保密性质和PA性质

4．1各种保密性质及其相互关系

4．1．1保密性

4．1．2密文非可塑性

4．2随机oracle-范型的PA性质

4．3非随机oracle-范型的PA性质

4．3．1概念：PA0、PA1及PA2

4．3．2PA性质与保密性质的关系．

4．3．3一些否定性结果

4．4基于身份的公钥加密方案

4．5一个随机oracle-范型的加密方案不可实现性的例子

4．5．1方案构造及安全性证明

4．5．2不可实现的实例

第5章公钥加密方案(Ⅱ)：一些通用构造及其保密性条件

5．1混合构造：Fuiisaki-Okamoto变换

5．1．1方案构造及基本概念

5．1．2INDCCA保密性条件

5．2混合构造：REACT变换

5．2．1方案构造及INDCCA保密性条件

5．2．2其他混合构造

5．3基于IBE构造公钥加密方案

5．3．1Canetti-Halevi-Katz变换及其保密性条件

5．3．2Boneh-Katz变换及其保密性条件

5．4具有前向安全性质的时变公钥加密方案

5．4．1基本概念

5．4．2基于2-叉树加密方案的一般性构造

5．4．3前向保密性条件

5．4．4一个2-叉树加密方案的实例

第6章公钥加密方案(Ⅲ)：匿名性质

6．1各种匿名性质及其相互关系

6．1．1匿名性、相对匿名性及其与保密性的关系

6．1．2相对保密性及其与匿名性的关系

6．2IBE方案的匿名性质及应用：PEKS方案

6．2．1基本概念与BDOP变换

6．2．2匿名与非匿名IBE方案的例子

6．3FujisakiOkamoto变换的匿名性条件

6．3．1ANOCPA匿名性的一个充要条件

6．3．2ANOCCA匿名性的一个充分条件

6．4REACT变换的匿名性条件

6．5基于IBE的公钥加密方案的匿名性条件

6．5．1Canetti-Halevi-Katz变换的匿名性条件

6．5．2Boneh-Katz变换的匿名性条件

6．6时变公钥加密方案的前向匿名条件

第7章身份鉴别协议

7．1FiatShamir型身份鉴别协议与基于ID的身份鉴别协议

7．1．1基本概念

7．1．2cSS．2-IBI变换

7．1．3再论Fiat-Shamir变换：基于ID的数字签名方案

7．2一般性结果

7．3实例

7．4抗状态重置攻击的身份鉴别协议

7．4．1基本概念

7．4．2一般性构造：抗第一类状态重置攻击的协议IDP-Ⅰ

7．4．3一般性构造：抗第二类状态重置攻击的协议IDP-Ⅱ

第8章密码协议的UC-理论及应用

8．1概念

8．1．1协议的UC-运行模型及理想uC一模型

8．1．2协议的UC-相似概念及基本性质

8．2UC-稳定性定理

8．2．1JUC-稳定性定理

8．2．2一个弱UC-相似概念及弱UC-稳定性定理

8．3典型密码协议的理想UC-模型与实现(I)：消息的认证式传输

8．4典型密码协议的理想UC-模型与实现(II)：密钥交换

8．4．1密钥交换协议的强UC一安全模型

8．4．2密钥交换协议的UC-安全模型

8．5典型密码协议的理想UC-模型与实现(Ⅲ)：安全信道

8．6密码协议的结构化分析与设计理论概要

第9章DolOVYao理论(I)：自由消息代数strand-图模型

9．1密码协议的strand-图模型

9．1．1消息代数与strand-图

9．1．2攻击者-strand

9．2消息代数的理想

9．3strand-图理论的几个普遍结论

9．4协议的安全性质

9．5协议分析的例子

9．5．1Needham-Schroeder-Lowe协议

9．5．2Otway.Rees协议

第10章DoIOVYao理论(11)：自动分析技术

10．1Athena：逻辑求解技术

10．1．1基本概念和符号

10．1．2形式演绎系统的语法及语义

10．1．3算法

10．1．4算法的优化

10．2MillenShamtikov约束求解技术：自由消息代数情形

10．2．1消息代数与攻击者模型

10．2．2协议的安全性质

10．2．3格局、变元与约束

10．2．4约束求解算法

10．2．5约束求解的例子：再论NeedhamSchroederLowe协议

10．2．6算法的相容性和完备性

10．2．7算法的改进和优化

第11章DoIeV-Yao理论(Ⅲ)：带交换群算术的非自由消息代数

11．1具代数能力的扩展：Dolev-Yao攻击者模型

11．1．1带交换群算术的非自由消息代数及扩展的DolevYao攻击模型

11．1．2形式演绎及其性质

11．1．3约束的正则解及存在性

11．2非自由消息代数的Millen-Shamtikov约束求解

11．2．1猜测解的集合

11．2．2猜测可导出的子项及其导出顺序

11．2．3从演绎树中消去非M一和I一规则的分支

11．2．4以新变元替换目标项

11．3约化到线性Diophantine方程

第12章密码协议形式模型的计算语义(I)：被动攻击情形

12．1自由消息代数的计算密码学语义

12．1．1消息表达式的模式及共模关系

12．1．2一些共模表达式的例子

12．1．3几个重要性质

12．1．4几个重要的加密类型及其精确的计算语义

12．1．5消息表达式的计算语义

12．1．6AbadiRogaway定理

12．2计算语义的完备性

12．3计算语义的一般性构造

12．3．1形式模型

12．3．2计算语义

12．3．3语义类型

12．3．4关于计算语义的几个普遍结果

12．3．5应用：推广的Abadi-Rogaway定理

第13章密码协议形式模型的计算语义(11)：主动攻击情形

13．1理论分析框架

13．2一些辅助性结果

13．3协议的形式模型的计算语义与算法模型的语法骨架

13．4密码协议的Dolev-Yao刚性和Dolev-Yao相似性

13．5关于Dolev-Yao刚性的主要结论及证明

13．5．1Dolev-Yao刚性的复合一稳定性定理

13．5．2Dolev-Yao刚性的相似一遗传定理

13．6语法一语义相似性的对偶关系

13．7总结与推广

附录A一些必要的数学事实

A．1Euclid定理及等价形式

A．2交换群的概念、性质和密码学中常见的例子

A．3中国剩余定理

A．4二次剩余及二次同余式x2=amodp在特殊情况下的解

A．5因子分解与求平方根难度等价

A．6已知N的素因子分解，解多项式方程f(x)=0modN

参考文献

附录B进程代数模型：sp卜演算

B．1π-演算

B．1．1概念

B．1．2例子

B．2spiπ演算

B．2．1概念

B．2．2例子

B．3形式演算

B．4双向模拟

B．5进程代数的计算语义：AbadiJurgens定理

参考文献

参考文献

　　这是一部计算机密码学专著，阐述密码方案及密码协议的分析与证明理论。本书内容覆盖很广，但可以划分为两大部分，第一部分为第2～6章，主要论述对象是(非交互式)密码方案，涵盖了最典型的密码方案。第二部分为第7～13章，论述对象是(交互式)密码协议，主要涵盖身份鉴别和密钥交换两类协议，以及如何组合两类协议以实现安全信道。　　本书阐述计算机密码方案与密码协议的安全性证明理论，包括基于计算复杂度概念的计算密码学方法和基于符号演算的形式分析与验证方法。安全性证明是一个技术复杂而思想活跃的领域，本书选择少数典型、普适、有发展前途，同时又不特别复杂艰涩的方法进行论述。在选择这些方法时，作者也充分考虑到这些方法所解决的问题本身都有着相当的理论与应用价值，使读者通过仔细学习这些安全证明，能更深入地理解这些密码方案。