密码编码学与网络安全――原理与实践(第八版)

目 录
**部分 背景知识

第1章 信息与网络安全概念 2
学习目标 2
1．1 网络空间安全、信息安全与网络安全 2
1．1．1 安全目标 2
1．1．2 信息安全的挑战 3
1．2 OSI安全架构 4
1．3 安全攻击 5
1．3．1 被动攻击 5
1．3．2 主动攻击 6
1．4 安全服务 7
1．4．1 认证 7
1．4．2 访问控制 7
1．4．3 数据保密性 7
1．4．4 数据完整性 8
1．4．5 不可否认性 8
1．4．6 可用性服务 8
1．5 安全机制 8
1．6 密码学 9
1．6．1 无密钥算法 9
1．6．2 单密钥算法 10
1．6．3 双密钥算法 10
1．7 网络安全 10
1．7．1 通信安全 11
1．7．2 设备安全 11
1．8 信任与可信度 12
1．8．1 信任模型 12
1．8．2 信任模型和信息安全 13
1．8．3 建立信任关系 13
1．9 标准 14
1．10 关键术语、思考题和习题 14
第2章 数论基础 17
学习目标 17
2．1 整除性和带余除法 17
2．1．1 整除性 17
2．1．2 带余除法 18
2．2 欧几里得算法 19
2．2．1 *大公因子 19
2．2．2 求*大公因子 19
2．3 模运算 21
2．3．1 模 21
2．3．2 同余的性质 22
2．3．3 模算术运算 22
2．3．4 模运算的性质 23
2．3．5 欧几里得算法回顾 25
2．3．6 扩展欧几里得算法 26
2．4 素数 27
2．5 费马定理和欧拉定理 29
2．5．1 费马定理 29
2．5．2 欧拉函数 30
2．5．3 欧拉定理 31
2．6 素性测试 32
2．6．1 Miller-Rabin算法 32
2．6．2 一个确定性的素性判定算法 34
2．6．3 素数分布 34
2．7 中国剩余定理 34
2．8 离散对数 35
2．8．1 模n的整数幂 35
2．8．2 模算术对数 38
2．8．3 离散对数的计算 39
2．9 关键术语、思考题和习题 40
附录2A mod的含义 43
2A．1 二元运算符mod 43
2A．2 同余关系mod 43














第二部分 对称密码

第3章 传统加密技术 44
学习目标 44
3．1 对称密码模型 44
3．1．1 密码编码学 46
3．1．2 密码分析学和穷举攻击 46
3．2 代替技术 48
3．2．1 Caesar密码 48
3．2．2 单表代替密码 49
3．2．3 Playfair密码 51
3．2．4 Hill密码 53
3．2．5 多表代替加密 55
3．2．6 一次一密 57
3．3 置换技术 58
3．4 关键术语、思考题和习题 59
第4章 分组密码和数据加密标准 64
学习目标 64
4．1 传统分组密码结构 64
4．1．1 流密码与分组密码 64
4．1．2 Feistel密码结构的设计动机 65
4．1．3 Feistel密码 67
4．2 数据加密标准 71
4．2．1 DES加密 71
4．2．2 DES解密 72
4．3 DES的一个例子 72
4．3．1 结果 72
4．3．2 雪崩效应 73
4．4 DES的强度 74
4．4．1 56位密钥的使用 74
4．4．2 DES算法的性质 74
4．4．3 计时攻击 75
4．5 分组密码的设计原理 75
4．5．1 迭代轮数 75
4．5．2 函数F的设计 76
4．5．3 密钥扩展算法 76
4．6 关键术语、思考题和习题 76
第5章 有限域 79
学习目标 79
5．1 群 79
5．1．1 群的性质 80
5．1．2 交换群 80
5．1．3 循环群 80
5．2 环 81
5．3 域 81
5．4 有限域GF(p) 82
5．4．1 阶为p的有限域 82
5．4．2 在有限域GF(p)中求乘法逆元 83
5．4．3 小结 84
5．5 多项式运算 84
5．5．1 普通多项式运算 85
5．5．2 系数在Zp中的多项式运算 86
5．5．3 求*大公因式 88
5．5．4 小结 89
5．6 有限域GF(2n) 89
5．6．1 动机 89
5．6．2 多项式模运算 91
5．6．3 求乘法逆元 92
5．6．4 计算上的考虑 93
5．6．5 使用生成元 95
5．6．6 小结 97
5．7 关键术语、思考题和习题 97
第6章 高级加密标准 99
学习目标 99
6．1 有限域算术 99
6．2 AES的结构 100
6．2．1 基本结构 100
6．2．2 详细结构 103
6．3 AES的变换函数 105
6．3．1 字节代替变换 105
6．3．2 行移位变换 109
6．3．3 列混淆变换 110
6．3．4 轮密钥加变换 112
6．4 AES的密钥扩展 113
6．4．1 密钥扩展算法 113
6．4．2 基本原理 114
6．5 一个AES的例子 114
6．5．1 结果 115
6．5．2 雪崩效应 117
6．6 AES的实现 118
6．6．1 等价的逆算法 118
6．6．2 实现方面 119
6．7 关键术语、思考题和习题 121
附录6A 系数在GF(28)中的多项式 122
附录6A．1 列混淆变换 124
附录6A．2 乘以x 124
第7章 分组加密工作模式 125
学习目标 125
7．1 多重加密和三重DES 125
7．1．1 双重DES 125
7．1．2 使用两个密钥的三重DES 127
7．1．3 使用三个密钥的三重DES 128
7．2 电码本模式 129
7．3 密文分组链接模式 130
7．4 密码反馈模式 132
7．5 输出反馈模式 133
7．6 计数器模式 135
7．7 面向分组存储设备的XTS-AES模式 137
7．7．1 可调整分组密码 137
7．7．2 存储加密要求 138
7．7．3 单个分组的运算 139
7．7．4 扇区上的运算 140
7．8 保留格式加密 141
7．8．1 研究动机 142
7．8．2 FPE设计的难点 142
7．8．3 保留格式加密的Feistel结构 143
7．8．4 保留格式加密的NIST方法 146
7．9 关键术语、思考题和习题 151
第8章 随机位生成和流密码 155
学习目标 155
8．1 伪随机数生成的原理 155
8．1．1 随机数的用途 156
8．1．2 TRNG、PRNG和PRF 156
8．1．3 PRNG的要求 157
8．1．4 算法设计 159
8．2 伪随机数生成器 159
8．2．1 线性同余生成器 159
8．2．2 BBS生成器 160
8．3 使用分组密码生成伪随机数 161
8．3．1 使用分组加密工作模式的
PRNG 161
8．3．2 NIST CTR_DRBG 163
8．4 流密码 164
8．5 RC4 166
8．5．1 初始化S 166
8．5．2 流生成 166
8．5．3 RC4的强度 167
8．6 使用反馈移位寄存器的流密码 167
8．6．1 线性反馈移位寄存器 168
8．6．2 非线性反馈移位寄存器 170
8．6．3 Grain-128a 171
8．7 真随机数生成器 173
8．7．1 熵源 173
8．7．2 PRNG和TRNG的比较 173
8．7．3 调节 174
8．7．4 健康测试 175
8．7．5 英特尔数字随机数生成器 176
8．8 关键术语、思考题和习题 178

第三部分 非对称密码

第9章 公钥密码学与RSA 182
学习目标 182
9．1 公钥密码体制的原理 183
9．1．1 公钥密码体制 183
9．1．2 公钥密码体制的应用 187
9．1．3 公钥密码的要求 187
9．1．4 公钥密码分析 188
9．2 RSA算法 189
9．2．1 RSA算法描述 189
9．2．2 计算问题 191
9．2．3 RSA的安全性 194
9．3 关键术语、思考题和习题 197
第10章 其他公钥密码体制 201
学习目标 201
10．1 Diffie-Hellman密钥交换 201
10．1．1 算法 201
10．1．2 密钥交换协议 203
10．1．3 中间人攻击 203
10．2 ElGamal密码体制 204
10．3 椭圆曲线算术 206



10．3．1 交换群 207
10．3．2 实数域上的椭圆曲线 207
10．3．3 Zp上的椭圆曲线 209
10．3．4 GF(2m)上的椭圆曲线 211
10．4 椭圆曲线密码学 212
10．4．1 用椭圆曲线密码实现
Diffie-Hellman密钥交换 212
10．4．2 椭圆曲线加密/解密 213
10．4．3 椭圆曲线密码的安全性 214
10．5 关键术语、思考题和习题 214

第四部分 密码学数据完整性算法

第11章 密码学哈希函数 218
学习目标 218
11．1 密码学哈希函数的应用 218
11．1．1 消息认证 219
11．1．2 数字签名 221
11．1．3 其他应用 221
11．2 两个简单的哈希函数 222
11．3 要求与安全性 223
11．3．1 密码学哈希函数的安全要求 223
11．3．2 穷举攻击 225
11．3．3 密码分析 226
11．4 安全哈希算法 227
11．4．1 SHA-512逻辑 228
11．4．2 SHA-512轮函数 230
11．4．3 示例 232
11．5 SHA-3 234
11．5．1 海绵结构 234
11．5．2 SHA-3迭代函数f 237
11．6 关键术语、思考题和习题 242
第12章 消息认证码 245
学习目标 245
12．1 消息认证要求 245
12．2 消息认证函数 246
12．2．1 消息加密 246
12．2．2 消息认证码 249
12．3 消息认证码的要求 251
12．4 MAC的安全性 252
12．4．1 穷举攻击 252
12．4．2 密码分析 253
12．5 基于哈希函数的MAC：HMAC 253
12．5．1 HMAC设计目标 253
12．5．2 HMAC算法 254
12．5．3 HMAC的安全性 255
12．6 基于分组密码的MAC：DAA和
CMAC 255
12．6．1 数据认证算法 255
12．6．2 基于密码的消息认证码
（CMAC） 256
12．7 认证加密：CCM和GCM 258
12．7．1 使用分组密码链接?消息认证码
的计数器 258
12．7．2 Galois/计数器模式 260
12．8 密钥封装 262
12．8．1 应用背景 262
12．8．2 密钥封装算法 263
12．8．3 密钥解封 265
12．9 使用哈希函数和MAC的伪随机数
生成器 266
12．9．1 基于哈希函数的PRNG 266
12．9．2 基于MAC函数的PRNG 266
12．10 关键术语、思考题和习题 267
第13章 数字签名 270
学习目标 270
13．1 数字签名概述 271
13．1．1 性质 271
13．1．2 攻击和伪造 271
13．1．3 数字签名要求 272
13．1．4 直接数字签名 272
13．2 ElGamal数字签名方案 272
13．3 Schnorr数字签名方案 274
13．4 NIST数字签名算法 274
13．4．1 DSA方法 274
13．4．2 数字签名算法 275
13．5 椭圆曲线数字签名算法 277
13．5．1 全局域参数 277
13．5．2 密钥生成 277
13．5．3 数字签名的生成与认证 277
13．6 RSA-PSS数字签名算法 278
13．6．1 掩蔽生成函数 279
13．6．2 签名操作 280
13．6．3 签名验证 281
13．7 关键术语、思考题和习题 282
第14章 轻量级密码和后量子密码 285
学习目标 285
14．1 轻量级密码的概念 285
14．1．1 嵌入式系统 285
14．1．2 资源受限设备 286
14．1．3 轻量级密码的限制类别 287
14．1．4 各种应用的安全考虑 287
14．1．5 设计折中 288
14．1．6 安全要求 288
14．2 轻量级密码算法 291
14．2．1 带有关联数据的认证加密 291
14．2．2 哈希函数 293
14．2．3 消息认证码 295
14．2．4 非对称密码算法 297
14．3 后量子密码的概念 297
14．3．1 量子计算 297
14．3．2 Shor因子分解算法 297
14．3．3 Grover算法 298
14．3．4 密码生命期 299
14．3．5 量子计算环境下的安全性 301
14．4 后量子密码算法 301
14．4．1 格密码算法 302
14．4．2 编码密码算法 304
14．4．3 多变量多项式密码算法 305
14．4．4 哈希签名算法 306
14．5 关键术语和思考题 308

第五部分 互信

第15章 密钥管理和分发 310
学习目标 310
15．1 使用对称加密的对称密钥分发 310
15．1．1 密钥分发方案 310
15．1．2 第三方密钥分发方案 311
15．1．3 密钥层次 312
15．2 使用非对称加密的对称密钥分发 312
15．2．1 简单的密钥分发方案 312
15．2．2 确保保密性和认证的密钥
分发方案 313
15．3 公钥分发 314
15．3．1 公钥的公开发布 314
15．3．2 公开可访问的目录 315
15．3．3 公钥授权 315
15．3．4 公钥证书 316
15．4 X．509证书 317
15．4．1 证书 318
15．4．2 X．509版本3 321
15．5 公钥基础设施 322
15．6 关键术语、思考题和习题 324
第16章 用户认证 327
学习目标 327
16．1 远程用户认证原理 327
16．1．1 NIST电子身份认证模型 327
16．1．2 认证方式 329
16．1．3 多因素认证 329
16．1．4 双向认证 330
16．2 使用对称加密的远程用户认证 331
16．2．1 双向认证 331
16．3 Kerberos 333
16．3．1 Kerberos的动机 333
16．3．2 Kerberos版本4 334
16．3．3 Kerberos版本5 340
16．4 使用非对称加密的远程用户认证 342
16．4．1 双向认证 342
16．4．2 单向认证 343
16．5 联合身份管理 344
16．5．1 身份管理 344
16．5．2 身份联合 345
16．6 关键术语、思考题和习题 346

第六部分 网络和因特网安全

第17章 传输层安全 350
学习目标 350
17．1 Web安全性考虑 350
17．1．1 Web安全威胁 350
17．1．2 网络流量安全方法 351
17．2 传输层安全 351
17．2．1 TLS架构 352
17．2．2 TLS记录协议 353
17．2．3 修改密码规范协议 354
17．2．4 警报协议 355
17．2．5 握手协议 355
17．2．6 密码计算 358
17．2．7 SSL/TLS攻击 360
17．2．8 TLS v1．3 361
17．3 HTTPS 361
17．3．1 连接初始化 361
17．3．2 连接关闭 362
17．4 SSH 362
17．4．1 传输层协议 363
17．4．2 用户认证协议 365
17．4．3 连接协议 366
17．5 思考题和习题 369
第18章 无线网络安全 371
学习目标 371
18．1 无线安全 371
18．1．1 无线网络威胁 372
18．1．2 无线安全措施 372
18．2 移动设备安全 373
18．2．1 安全威胁 373
18．2．2 移动设备安全策略 374
18．3 IEEE 802．11无线局域网概述 375
18．3．1 Wi-Fi联盟 376
18．3．2 IEEE 802协议架构 376
18．3．3 IEEE 802．11网络构成和
架构模型 377
18．3．4 IEEE 802．11服务 378
18．4 IEEE 802．11i无线局域网安全 379
18．4．1 IEEE 802．11i服务 380
18．4．2 IEEE 802．11i操作阶段 381
18．4．3 发现阶段 382
18．4．4 认证阶段 383
18．4．5 密钥管理阶段 384
18．4．6 安全数据传输阶段 387
18．4．7 IEEE 802．11i伪随机函数 387
18．5 关键术语、思考题和习题 388
第19章 电子邮件安全 390
学习目标 390
19．1 因特网邮件架构 390
19．1．1 电子邮件组件 390
19．1．2 邮件协议 391
19．2 邮件格式 392
19．2．1 RFC 5322 392
19．2．2 MIME 393
19．3 电子邮件威胁与综合安全 395
19．4 S/MIME 397
19．4．1 操作描述 397
19．4．2 S/MIME消息内容类型 400
19．4．3 S/MIME消息 401
19．4．4 S/MIME证书处理过程 403
19．4．5 安全性增强服务 403
19．5 DNSSEC 403
19．5．1 域名系统 404
19．5．2 DNS安全扩展 405
19．6 基于DNS的命名实体认证 406
19．6．1 TLSA记录 406
19．6．2 为SMTP使用DANE 407
19．6．3 为S/MIME使用DNSSEC 408
19．7 发送方策略框架 408
19．7．1 发送端的SPF 408
19．7．2 接收端的SPF 409
19．8 DKIM 410
19．8．1 电子邮件威胁 410
19．8．2 DKIM策略 411
19．8．3 DKIM功能流程 411
19．9 基于域的消息认证、报告和一致性 413
19．9．1 标识符匹配 413
19．9．2 发送端的DMARC 413
19．9．3 接收端的DMARC 414
19．9．4 DMARC报告 415
19．10 关键术语、思考题和习题 416
第20章 IP安全 418
学习目标 418
20．1 IP安全概述 418
20．1．1 IPsec的应用 418
20．1．2 IPsec文档 419
20．1．3 IPsec服务 419
20．2 IP安全策略 419
20．2．1 安全关联 420
20．2．2 安全关联数据库 420
20．2．3 安全性策略数据库 421
20．2．4 IP流量处理 422
20．3 封装安全净荷 423
20．3．1 ESP格式 423
20．3．2 加密和认证算法 424
20．3．3 填充 424
20．3．4 反重放服务 424
20．3．5 传输和隧道模式 425
20．4 组合安全关联 428
20．4．1 认证和保密性 429
20．4．2 安全关联的基本组合 429
20．5 因特网密钥交换 430
20．5．1 密钥确定协议 431
20．5．2 头部和净荷格式 433
20．6 关键术语、思考题和习题 435
第21章 网络端点安全 437
学习目标 437
21．1 防火墙 437
21．1．1 防火墙的特征 437
21．1．2 防火墙的类型 438
21．1．3 DMZ网络 442
21．2 入侵检测系统 443
21．2．1 基本原理 444
21．2．2 入侵检测方法 444
21．2．3 基于主机的入侵检测技术 445
21．2．4 基于网络的入侵检测系统 445
21．3 恶意软件 447
21．3．1 恶意软件的类型 447
21．3．2 恶意软件防御 448
21．4 分布式拒绝服务攻击 449
21．4．1 DDoS攻击描述 449
21．4．2 构建攻击网络 451
21．4．3 DDoS防御策略 452
21．5 关键术语、思考题和习题 452
第22章 云计算 456
学习目标 456
22．1 云计算 456
22．1．1 云计算元素 456
22．1．2 云服务模型 457
22．1．3 云部署模型 458
22．1．4 云计算参考架构 461
22．2 云安全的概念 463
22．3 云安全风险与对策 464
22．3．1 STRIDE威胁模型 464
22．3．2 数据泄露 465
22．3．3 弱身份、凭证和访问管理 466
22．3．4 不安全的API 466
22．3．5 系统漏洞 466
22．3．6 账号劫持 466
22．3．7 恶意的内部人员 467
22．3．8 高级持续威胁 467
22．3．9 数据丢失 468
22．3．10 尽职调查不足 468
22．3．11 滥用及恶意使用云服务 468
22．3．12 拒绝服务 469
22．3．13 共享技术中的漏洞 469
22．4 云安全即服务 469
22．5 开源云安全模块 471
22．6 关键术语和习题 472
第23章 物联网安全 473
学习目标 473
23．1 物联网 473
23．1．1 物联网上的“物” 473
23．1．2 演化 473
23．1．3 物联网设备的组件 474
23．1．4 物联网与云环境 474
23．2 物联网安全的概念与目标 476
23．2．1 物联网生态系统的独特特征 476
23．2．2 物联网安全目标 477
23．2．3 防篡改和篡改检测 478
23．2．4 网关安全 478
23．2．5 物联网安全环境 479
23．3 一个开源物联网安全模块 480
23．3．1 加密算法 480
23．3．2 操作模式 481
23．3．3 偏移码本模式 481
23．4 关键术语和思考题 484
附录A 线性代数的基本概念 485
A．1 向量和矩阵运算 485
A．1．1 算术 485
A．1．2 行列式 486
A．1．3 逆矩阵 486
A．2 Zn上的线性代数运算 487
附录B 保密性和安全性度量 490
B．1 条件概率 490
B．2 完善保密 490
B．3 信息和熵 493
B．3．1 信息 493
B．3．2 熵 494
B．3．3 熵函数的性质 495
B．3．4 条件熵 496
B．4 熵和保密性 496
B．5 *小熵 497
附录C 数据加密标准 499
C．1 初始置换 500
C．2 每轮变换的细节 501
C．3 DES解密 504
附录D 简化AES 505
D．1 概述 505
D．2 S-AES加密与解密 506
D．2．1 密钥加 507
D．2．2 半字节代替 507
D．2．3 行移位 508
D．2．4 列混淆 508
D．3 密钥扩展 509
D．4 S盒 509
D．5 S-AES的结构 509
附件D．1 GF(24)上的算术 511
附件D．2 列混淆函数 512
附录E 生日攻击的数学基础 513
E．1 相关问题 513
E．2 生日悖论 513
E．3 有用的不等式 514
E．4 元素重复的一般情形 515
E．5 两个集合间的元素重复 516
参考文献 517