安全協定（第2版）

本書全面、系統地講述了安全協定的基本理論、安全協定的主要類型以及安全協定的設計與分析方法。圍繞機密性、完整性、認證性、非否認性、匿名性、公平性等實際需求，較全面地介紹了滿足各種套用需要的安全協定。本書反映了安全協定領域的新成果，介紹了移動網際網路中廣泛使用的圖形口令和掃碼登錄、比特幣中的區塊鏈技術、雲計算中的雲存儲協定和外包計算協定、物聯網中的RFID協定、量子計算中的量子密鑰分發協定等。

本書主要內容包括：安全協定概述、安全協定的密碼學基礎、基本的安全協定、認證與密鑰建立協定、零知識證明、選擇性泄露協定、數字簽名變種、非否認協定、公平交換協定、安全協定的套用、安全多方計算、安全協定的形式化分析。

本書內容全面、選材適當、實例豐富、概念準確、邏輯性強。本書不僅可以作為網路空間安全專業本科生和研究生的教材，也可以作為網路空間安全領域科研人員的參考書。

第1章 安全協定概述1

1.1 安全協定的概念1

1.1.1 協定、算法與安全協定1

1.1.2 協定運行環境中的角色2

1.2 常用的安全協定2

1.3 安全協定的安全性質3

1.4 對安全協定的攻擊5

1.5 安全協定的三大理論分析方法8

1.5.1 安全多方計算8

1.5.2 形式化分析方法9

1.5.3 可證明安全性理論10

習題111

第2章 安全協定的密碼學基礎12

2.1 密碼學的基本概念12

2.2 數論中的一些難題13

2.3 隨機數13

2.4 分組密碼14

2.5 公開密鑰密碼14

2.5.1 公開密鑰密碼的基本概念15

2.5.2 RSA體制15

2.5.3 Rabin體制16

2.6 哈希函式17

2.7 訊息認證17

2.8 數字簽名18

2.8.1 數字簽名的基本概念18

2.8.2 RSA簽名19

2.8.3 數字簽名標準20

2.8.4 ElGamal數字簽名21

2.8.5 Schnorr簽名體制21

2.8.6 基於橢圓曲線的數字簽名算法22

2.9 基於身份的公鑰密碼學23

2.9.1 基於身份的加密方案23

2.9.2 基於身份的簽名方案24

習題224

第3章 基本的安全協定26

3.1 秘密分割26

3.2 秘密共享26

3.3 閾下信道28

3.3.1 閾下信道的概念28

3.3.2 基於ElGamal數字簽名的閾下信道方案30

3.3.3 基於RSA數字簽名的閾下信道方案30

3.4 時間戳協定31

3.5 比特承諾32

3.5.1 使用對稱密碼算法的比特承諾32

3.5.2 使用單向函式的比特承諾33

3.5.3 使用偽隨機序列發生器的比特承諾33

3.6 公平的硬幣拋擲33

3.6.1 單向函式拋幣協定34

3.6.2 公開密鑰密碼拋幣協定34

3.7 智力撲克35

3.7.1 基本的智力撲克遊戲35

3.7.2 三方智力撲克36

3.8 密鑰託管36

3.9 不經意傳輸37

習題339

第4章 認證與密鑰建立協定41

4.1 認證與密鑰建立協定簡介41

4.1.1 協定結構41

4.1.2 協定目標42

4.1.3 新鮮性43

4.2 使用共享密鑰密碼的協定43

4.2.1 實體認證協定44

4.2.2 無伺服器密鑰建立45

4.2.3 基於伺服器的密鑰建立46

4.2.4 使用多伺服器的密鑰建立50

4.3 使用公鑰密碼的認證與密鑰傳輸51

4.3.1 實體認證協定51

4.3.2 密鑰傳輸協定53

4.4 密鑰協商協定58

4.4.1 Diffie-Hellman密鑰協商58

4.4.2 有基本訊息格式的基於DH交換的協定61

4.4.3 增強訊息格式的DH交換協定62

4.5 可證明安全的認證協定64

4.6 基於口令的協定65

4.6.1 口令協定概述65

4.6.2 使用Diffie-Hellman進行加密密鑰交換66

4.6.3 強化的EKE67

4.6.4 雙因子認證68

4.6.5 掃碼登錄69

4.6.6 開放授權OAuth70

4.7 基於圖形口令的認證71

4.7.1 圖形口令概述72

4.7.2 基於識別的圖形口令72

4.7.3 基於回憶的圖形口令73

4.7.4 混合型圖形口令75

4.8 基於驗證碼的認證76

4.8.1 驗證碼概述76

4.8.2 驗證碼的分類78

4.8.3 Pinkas-Sander協定82

4.9 具有隱私保護的認證密鑰交換協定82

4.9.1 可否認的認證密鑰交換協定83

4.9.2 通信匿名的認證密鑰交換協定83

4.9.3 用戶匿名的認證密鑰交換協定84

4.10 會議密鑰協商84

習題487

第5章 零知識證明90

5.1 零知識證明的概念90

5.1.1 零知識證明的簡單模型90

5.1.2 互動式零知識證明91

5.1.3 非互動零知識證明92

5.2 零知識證明的例子93

5.2.1 平方根問題的零知識93

5.2.2 離散對數問題的零知識證明93

5.3 知識簽名94

5.4 身份鑑別方案95

5.4.1 身份的零知識證明96

5.4.2 簡化的Feige-Fiat-Shamir身份鑑別方案97

5.4.3 Feige-Fiat-Shamir身份鑑別方案97

5.4.4 Guillo-Quisquater身份鑑別方案98

5.4.5 Schnorr身份鑑別方案98

5.5 NP語言的零知識證明99

習題5100

第6章 選擇性泄露協定101

6.1 選擇性泄露的概念101

6.1.1 單一數字證書內容泄露101

6.1.2 多個數字證書內容泄露102

6.2 使用Hash函式的選擇性泄露協定103

6.3 改進的選擇性泄露協定105

6.3.1 Merkle樹方案105

6.3.2 Huffman樹方案106

6.4 數字證書出示中的選擇性泄露108

6.4.1 簽名證明108

6.4.2 選擇性泄露簽名證明110

習題6112

第7章 數字簽名變種113

7.1 不可否認簽名113

7.2 盲簽名115

7.2.1 RSA盲簽名方案115

7.2.2 Schnorr盲簽名方案116

7.3 部分盲簽名116

7.4 公平盲簽名117

7.5 一次性數字簽名118

7.6 群簽名119

7.7 環簽名120

7.8 代理簽名122

7.9 批驗證與批簽名123

7.9.1 批驗證123

7.9.2 批簽名124

7.10 聚合簽名127

7.11 認證加密127

7.12 簽密128

7.13 其他數字簽名129

7.13.1 失敗-終止簽名129

7.13.2 指定驗證者簽名130

7.13.3 記名簽名130

7.13.4 具有訊息恢復功能的數字簽名131

7.13.5 多重簽名131

7.13.6 前向安全簽名132

7.13.7 門限簽名133

7.13.8 基於多個難題的數字簽名方案133

習題7133

第8章 非否認協定136

8.1 非否認協定的基本概念136

8.1.1 非否認服務136

8.1.2 非否認協定的步驟和性質137

8.1.3 一個非否認協定的例子138

8.2 無TTP參與的非否認協定139

8.2.1 Markowitch和Roggeman協定140

8.2.2 Mitsianis協定140

8.3 基於TTP參與的非否認協定141

8.3.1 TTP的角色141

8.3.2 Zhou-Gollman協定141

8.3.3 Online TTP非否認協定——CMP1協定142

習題8143

第9章 公平交換協定145

9.1 公平交換協定的基本概念145

9.1.1 公平交換協定的定義145

9.1.2 公平交換協定的基本模型145

9.1.3 公平交換協定的基本要求146

9.2 同時簽約146

9.2.1 帶有仲裁者的同時簽約147

9.2.2 無仲裁者的同時簽約(面對面)147

9.2.3 無仲裁者的同時簽約(非面對面)148

9.2.4 無須仲裁者的同時簽約(使用密碼技術)148

9.3 數字證明郵件150

9.4 秘密的同時交換151

習題9152

第10章 安全協定的套用153

10.1 電子選舉153

10.1.1 簡單投票協定153

10.1.2 使用盲簽名的投票協定154

10.1.3 帶兩個中央機構的投票協定155

10.1.4 FOO協定155

10.1.5 無須投票中心的投票協定158

10.2 電子現金160

10.2.1 電子現金的概念160

10.2.2 電子現金的優缺點161

10.2.3 電子現金的攻擊和安全需求161

10.2.4 使用秘密分割的電子現金協定163

10.2.5 基於RSA的電子現金協定164

10.2.6 Brands電子現金協定165

10.3 比特幣166

10.3.1 比特幣概述166

10.3.2 比特幣的原理167

10.3.3 比特幣的安全性172

10.4 電子拍賣173

10.4.1 電子拍賣系統的模型和分類173

10.4.2 電子拍賣的過程173

10.4.3 電子拍賣的安全需求174

10.4.4 NFW電子拍賣協定174

10.4.5 NPS電子拍賣協定175

10.5 雲計算176

10.5.1 雲存儲數據的持有性證明176

10.5.2 雲存儲數據的可搜尋加密181

10.5.3 基於屬性加密的雲數據共享183

10.5.4 基於代理重加密的雲數據共享185

10.5.5 雲計算環境下的外包計算186

10.6 物聯網187

10.6.1 RFID系統的基本構成188

10.6.2 RFID系統的安全需求189

10.6.3 RFID認證協定190

10.7 量子密鑰分發195

10.7.1 量子密碼基礎195

10.7.2 BB84協定196

習題10198

第11章 安全多方計算200

11.1 安全多方計算的概念200

11.2 安全多方計算的需求202

11.2.1 安全多方計算的安全需求202

11.2.2 用於函式的安全多方計算協定的要求203

11.3 多方計算問題舉例203

11.3.1 點積協定203

11.3.2 “百萬富翁”協定204

11.3.3 密碼學家晚餐問題205

11.4 一般安全多方計算協定206

習題11207

第12章 安全協定的形式化分析209

12.1 形式化方法簡介209

12.2 安全協定形式化分析的歷史210

12.3 安全協定形式化分析的分類211

12.3.1 定理證明方法212

12.3.2 模擬檢測方法212

12.3.3 互模擬等價213

12.4 基於邏輯推理的方法和模型213

12.4.1 BAN邏輯的構成213

12.4.2 理想化協定215

12.4.3 示例分析216

習題12218

參考文獻219

曹天傑，博士，教授，博導，中國礦業大學計算機學院。2006年畢業於中科院軟體所信息安全國家重點實驗室，導師林東岱研究員。曾在美國Purdue大學計算機科學系做訪問學者半年，導師Elisa Bertino。從事安全協定、網路安全、隱私保護等方面研究。作者在IEEE Transactions on Dependable and Secure Computing、IEEE COMMUNICATIONS LETTERS、Computers & Security、Computer Networks、電子學報等刊物發表學術論文，其中被SCI檢索的論文約20篇。主持完成江蘇省自然科學基金、信息安全國家重點實驗室開放基金、移動通信國家重點實驗室開放基金等項目。曾獲江蘇省多媒體課件大賽三等獎，煤炭工業協會科學技術獎二等獎等。在高教出版社出版“十一五”規劃教材一部，在北郵出版社、清華出版社、科學出版社出版教材3部。目前為中國保密協會隱私保護專業委員會委員、江蘇省計算機安全專委會副主任委員。