第1章绪论
安全协议是解决网络空间安全问题最有效、最经济的手段之一，它可以有效地解决源认证、目标认证、消息的完整性、匿名通信、隐私保护、抗拒绝服务、不可否认、授权访问等一系列重要安全问题W.
为了理解安全协议这一概念，最先要了解什么是协议.所谓协议，就是两个或两个以上的参与者（也称为参与方）采取一系列步骤以完成某项特定的任务.这个定义包含三层含义：
(1)协议至少需要两个参与者.一个人可以通过执行一系列步骤来完成一项任务，但它不构成协议.
(2)在参与者之间呈现为消息处理和消息交换交替进行的一系列步骤.
(3)通过执行协议必须能够完成某项任务或达成某种共识.
安全协议就是实现某一或某些安全目标的协议，也就是具有某一或某些安全功能的协议.这些安全目标包括身份认证、密钥分发、不可否认、隐私保护、安全通信、安全交易等.
算法和协议是两个不尽相同的概念.算法应用于协议中消息处理的环节.对不同的消息处理方式则要求用不同的算法，而对算法的具体化则可定义出不同的协议类型.因此，可以简单地说，安全协议就是在消息处理环节采用了若干密码算法的协议.具体而言，密码算法为传递的消息提供高强度的加解密操作和其他辅助操作（如杂凑（Hash))等，而安全协议是在这些密码算法的基础上为各种安全性需求提供实现方案.
值得注意的是，在上述意义下，人们（尤其是密码学研究者）通常也将安全协议称为密码协议，但实际上也有一些安全协议如某些身份认证协议并没有采用密码算法来实现，而且安全协议的研究中也包括各种通信和网络协议的安全性研究，因此，我们认为采用安全协议这一术语更好.
本章简要概述密码算法、安全协议、可证明安全性理论与方法，以及本书主要内容和安排.
1.1密码算法概述
密码算法也称为密码体制、密码系统或密码方案，也简称为密码，是构建安全协议的重要基础.本节主要介绍密码算法分类、基本概念和一些典型密码算法，包括对称密码算法、公钥密码算法、Hash函数与MAC(message authenticationcode，消息认证码）等.
1.1.1密码算法分类
密码算法是密码学中最为核心的一个概念.一个密码算法通常被定义为一对数据变换：一个变换应用于被称为明文的数据起源项，所产生的对应数据项被称为密文；另一个变换应用于密文，恢复出明文.这两个变换分别称为加密变换和解密变换，习惯上，也称为加密和解密.
一般来讲，加密变换的输入是明文数据和一个称为加密密钥的数据.类似地，解密变换的输入是密文数据和一个称为解密密钥的数据.
密码算法主要有两大类：一类是对称密码算法，也称为私钥密码算法或秘密密钥密码算法，这类密码算法的基本特征是加密密钥和解密密钥相同或容易相互导出；另一类是公钥密码算法，也称为非对称密码算法，这类密码算法的基本特征是有两个不对称的密钥而且从一个难以推出另一个.除此之外，还有其他辅助密码算法，如Hash函数也称为Hash算法，或者杂凑函数/算法，或者散列函数/算法，或者哈希函数/算法)、MAC等.
1.1.2对称密码算法
对称密码算法（习惯上，也称为对称密码）的基本特征是用于加密和解密的密钥是一样的或相互容易推出，其模型如图1.1.1所示.由于加、解密密钥的对称性，对称密码的密钥也称为对称密钥.
一个对称密码的工作流程如下：假定4和S是两个用户，他们决定进行秘密通信.他们通过某种方式（物理地或执行某种协议）获得一个共享的秘密密钥，该密钥只有A和5知道，其他人均不知道.A或B通过使用该密钥加密发送给对方的消息，只有对方可以解密消息，而其他人均无法解密消息.
对称密码主要分为两种：序列密码丨也称为流密码）和分组密码.在序列密码中，将明文消息按字符逐位地进行加密；在分组密码中，将明文消息按固定长度分组（每组含有多个字符)，逐组地进行加密.二者的本质差别在于是否具有记忆性，序列密码具有记忆性，而分组密码则没有.
1.1密码算法概述
1.完善保密性
早期的密码主要是对称密码，密码设计与分析被当作一门艺术，密码设计者常常是凭借直觉和信念来进行密码设计和分析，而不是靠推理证明.直到1949年，Shannon发表的论文Communication theory of secrecy systems才为对称密码学建立了理论基础，从此密码学成为一门科学.Shannon从理论上阐明了什么样的密码是保密的，什么样的密码是不保密的.他提出了完善保密性的概念，并指出真正的“一次一密”密码是完善保密的.
衡量一个密码算法的安全性主要有两种基本方法：一种是无条件安全性(unconditional security)，又称为完善保密性（perfect secrecy);另一种是计算安全性（computational security)，又称为实际保密性（practical secrecy).一个密码算法说是无条件安全的，如果具有无限计算资源（如时间、空间、设备和资金）的密码分析者也无法破译该算法.一个密码算法说是计算上安全的，如果利用最好的算法丨已知的或未知的）破译该算法需要至少N次运算，这里N是某一个确定的、很大的数.在实际中，人们说一个密码算法是“计算上安全的”，意指利用已有的最好的方法破译该算法所需要的努力超过了敌手的破译能力（如时间、空间、设备和资金等资源)，或者破译该算法的难度等价于或不低于求解数学上的某个已知难题或破译某个密码模块（有时也将前者称为计算安全性，而将后者称为可证明安全性).当然，这只是提供了算法是计算上安全的一些证据，并没有真正证明算法是计算上安全的。

目录
“密码理论与技术丛书” 序
前言
第1章 绪论 1
1.1 密码算法概述 1
1.1.1 密码算法分类 2
1.1.2 对称密码算法 2
1.1.3 公钥密码算法 8
1.1.4 Hash函数与MAC 17
1.1.5 密钥管理 20
1.2 安全协议概述 21
1.2.1 安全协议的分类 21
1.2.2 安全协议的系统模型 22
1.2.3 安全协议的安全属性 23
1.2.4 安全协议的设计准则 24
1.2.5 安全协议发展的驱动力 25
1.2.6 安全协议具体实例 25
1.3 可证明安全性理论与方法 29
1.3.1 可证明安全性的基本思想 30
1.3.2 随机谕示器模型方法论 31
1.3.3 标准模型中安全的公钥密码 34
1.3.4 面向密钥交换协议的安全模型 35
1.4 本书主要内容和安排 38
1.5 注记 43
参考文献 44
第2章 零知识证明 46
2.1 基本概念 47
2.1.1 零知识证明/论证系统 47
2.1.2 并发环境中零知识论证系统 49
2.1.3 重置环境中零知识论证系统 50
2.1.4 BPK模型中可重置零知识、并发零知识及可靠性 54
2.2 实例依赖密码学原语 58
2.2.1 实例依赖的可验证随机函数 58
2.2.2 公钥实例依赖的零知识论证系统 67
2.2.3 实例依赖的证据不可区分论证系统 73
2.3 双重可重置猜想的证明 87
2.3.1 公钥实例依赖的完美零知识论证系统 88
2.3.2 重置可靠的可重置零知识论证系统.90
2.3.3 协议2.3.3的重置可靠性分析 93
2.3.4 协议2.3.3的可重置零知识性：模拟器构造 95
2.3.5 协议2.3.3的可重置零知识性：模拟器安全性分析 100
2.3.6 协议2.3.3的可重置零知识性：模拟器的运行时间分析 111
2.4 BPK模型中可重置零知识 113
2.4.1 Σ-难题协议 114
2.4.2 BPK模型中重置可靠的可重置零知识论证系统的构造 117
2.4.3 协议2.4.1的重置可靠性 118
2.4.4 协议2.4.1的可重置零知识性 120
2.5 注记 124
参考文献 125
第3章 数字签名 127
3.1 数字签名概述 127
3.1.1 数字签名的类型 128
3.1.2 数字签名的安全模型 130
3.1.3 后量子数字签名 131
3.2 无证书数字签名 131
3.2.1 无证书数字签名的安全模型 132
3.2.2 基于双线性对的无证书数字签名 136
3.2.3 ZWXF无证书数字签名的安全性证明 137
3.3 直接匿名证明 143
3.3.1 CF方案 143
3.3.2 CF方案的安全性证明 146
3.3.3 CF方案实现考虑.152
3.4 环签名和代理签名 154
3.4.1 环签名 154
3.4.2 代理签名 156
3.5 格上数字签名 157
3.5.1 格的基本知识 157
3.5.2 格上可编程Hash函数 162
3.5.3 Split-SIS问题 166
3.5.4 格上数字签名的通用构造及实例化 170
3.5.5 格上群签名 174
3.6 注记 180
参考文献 180
第4章 认证密钥交换 184
4.1 认证密钥交换概述 184
4.1.1 中间人攻击 184
4.1.2 认证密钥交换的分类 185
4.1.3 认证密钥交换的安全模型 187
4.1.4 隐式认证密钥交换和HMQV协议.189
4.2 公平认证密钥交换 191
4.2.1 公平认证密钥交换的基本思想 191
4.2.2 公平认证密钥交换的安全模型 193
4.2.3 公平认证密钥交换具体实例 197
4.3 匿名认证密钥交换 202
4.3.1 匿名认证密钥交换的安全模型 203
4.3.2 匿名认证密钥交换具体实例 204
4.3.3 匿名认证密钥交换的安全性证明 205
4.4 基于环上LWE问题的认证密钥交换 207
4.4.1 两轮认证密钥交换的安全模型 207
4.4.2 基于环上LWE问题的认证密钥交换 209
4.5 基于LWE问题的口令认证密钥交换 222
4.5.1 两轮口令认证密钥交换的安全模型 222
4.5.2 基于LWE问题的口令认证密钥交换.224
4.6 TLS1.3多重握手协议安全性分析 234
4.6.1 TLS 1.3 draft10简介 234
4.6.2 多重握手密钥交换的安全模型 238
4.6.3 TLS 1.3多重握手协议的安全性分析 248
4.7 注记 249
参考文献 250
第5章 口令认证 253
5.1 口令认证概述 253
5.1.1 两方口令认证 253
5.1.2 三方口令认证 254
5.1.3 跨域口令认证 254
5.1.4 匿名口令认证 255
5.2 基于口令的安全协议的模块化设计与分析理论 256
5.2.1 基于口令的安全协议的理论基础——弱伪随机性理论 256
5.2.2 基于口令的安全协议的模块化设计与分析理论 259
5.2.3 基于口令的会话密钥分配协议 264
5.2.4 口令更换协议的模块化设计与分析 266
5.3 跨域口令认证 267
5.3.1 跨域口令认证的安全性分析 267
5.3.2 跨域口令认证的通用构造 270
5.4 匿名口令认证 274
5.5 注记 279
参考文献 280
索引 283