　　本書是密碼學領域的經典著作，被世界上的多所大學用做指定教科書。本書在第二版的基礎上增加瞭7章內容，不僅包括一些典型的密碼算法，而且還包括一些典型的密碼協議和密碼應用。全書共分14章，從古典密碼學開始，繼而介紹瞭Shannon信息論在密碼學中的應用，然後進入現代密碼學部分，先後介紹瞭分組密碼的一般原理、數據加密標準(DES)和高級加密標準(AES)、Hash函數和MAC算法、公鑰密碼算法和數字簽名、僞隨機數生成器、身份識彆方案、密鑰分配和密鑰協商協議、秘密共享方案，同時也關注瞭密碼應用與實踐方麵的一些進展，包括公開密鑰基礎設施、組播安全和版權保護等。在內容的選擇上，全書既突齣瞭廣泛性，又注重對要點的深入探討。書中每一章後都附有大量的習題，這既利於讀者對書中內容的總結和應用，又是對興趣、思維和智力的挑戰。

作者簡介

　　Douglas R. Stinson，本書作者Douglas R. Stinson：加拿大安大略省滑鐵盧（Waterloo）大學計算機學院首席研究員。目前的研究興趣包括認證碼，秘密共享，通用Hash函數，彈性函數，廣播加密，密鑰分配協議，組閤設計理論等。

　　馮登國，本書譯者馮登國博士：中國科學院軟件所研究員、博士生導師，信息安全國傢重點實驗室主任，國傢計算機網絡入侵防範中心主任，國傢信息化專傢谘詢委員會委員。目前主要從事信息與網絡安全方麵的研究與開發工作。

第1章古典密碼學 1
1．1 幾個簡單的密碼體製 1
1．1．1 移位密碼 2
1．1．2 代換密碼 5
1．1．3 仿射密碼 6
1．1．4 維吉尼亞密碼 9
1．1．5 希爾密碼 10
1．1．6 置換密碼 14
1．1．7 流密碼 16
1．2 密碼分析 19
1．2．1 仿射密碼的密碼分析 21
1．2．2 代換密碼的密碼分析 22
1．2．3 維吉尼亞密碼的密碼分析 24
1．2．4 希爾密碼的密碼分析 27
1．2．5 LFSR流密碼的密碼分析 28
1．3 注釋與參考文獻 29
習題 30
第2章 Shannon理論 36
2．1 引言 36
2．2 概率論基礎 37
2．3 完善保密性 38
2．4 熵 42
2．4．1 Huffman編碼 43
2．5 熵的性質 46
2．6 僞密鑰和唯一解距離 48
2．7 乘積密碼體製 52
習題 54
第3章分組密碼與高級加密標準 57
3．1 引言 57
3．2 代換-置換網絡 58
3．3 綫性密碼分析 61
3．3．1 堆積引理 61
3．3．2 S盒的綫性逼近 63
3．3．3 SPN的綫性密碼分析 66
3．4 差分密碼分析 69
3．5 數據加密標準 74
3．5．1 DES的描述 74
3．5．2 DES的分析 78
3．6 高級加密標準 79
3．6．1 AES的描述 80
3．6．2 AES的分析 84
3．7 工作模式 84
3．8 注釋與參考文獻 87
習題 88
第4章 Hash函數 92
4．1 Hash函數與數據完整性 92
4．2 Hash函數的安全性 93
4．2．1 隨機諭示模型 94
4．2．2 隨機諭示模型中的算法 95
4．2．3 安全性準則的比較 98
4．3 迭代Hash函數 100
4．3．1 Merkle-Damg?rd 結構 101
4．3．2 安全Hash算法 106
4．4 消息認證碼 108
4．4．1 嵌套MAC和HMAC 109
4．4．2 CBC-MAC 111
4．5 無條件安全消息認證碼 113
4．5．1 強泛Hash函數族 115
4．5．2 欺騙概率的優化 117
4．6 注釋與參考文獻 119
習題 120
第5章 RSA密碼體製和整數因子分解 126
5．1 公鑰密碼學簡介 126
5．2 更多的數論知識 127
5．2．1 Euclidean算法 127
5．2．2 中國剩餘定理 131
5．2．3 其他有用的事實 133
5．3 RSA密碼體製 135
5．3．1 實現RSA 136
5．4 素性檢測 139
5．4．1 Legendre和Jacobi符號 140
5．4．2 Solovay-Strassen算法 142
5．4．3 Miller-Rabin算法 146
5．5 模n的平方根 147
5．6 分解因子算法 148
5．6．1 Pollard p?1算法 148
5．6．2 Pollard ?算法 150
5．6．3 Dixon的隨機平方算法 152
5．6．4 實際中的分解因子算法 156
5．7 對RSA的其他攻擊 157
5．7．1 計算?(n) 157
5．7．2 解密指數 158
5．7．3 Wiener的低解密指數攻擊 162
5．8 Rabin密碼體製 165
5．8．1 Rabin密碼體製的安全性 167
5．9 RSA的語義安全性 168
5．9．1 與明文比特相關的部分信息 169
5．9．2 最優非對稱加密填充 171
5．10 注釋與參考文獻 176
習題 177
第6章公鑰密碼學和離散對數 184
6．1 ElGamal密碼體製 184
6．2 離散對數問題的算法 186
6．2．1 Shanks算法 186
6．2．2 Pollard ?離散對數算法 188
6．2．3 Pohlig-Hellman算法 190
6．2．4 指數演算法 193
6．3 通用算法的復雜度下界 194
6．4 有限域 197
6．5 橢圓麯綫 201
6．5．1 實數上的橢圓麯綫 201
6．5．2 模素數的橢圓麯綫 203
6．5．3 橢圓麯綫的性質 206
6．5．4 點壓縮與ECIES 206
6．5．5 計算橢圓麯綫上的乘積 208
6．6 實際中的離散對數算法 210
6．7 ElGamal體製的安全性 211
6．7．1 離散對數的比特安全性 211
6．7．2 ElGamal體製的語義安全性 214
6．7．3 Diffie-Hellman問題 215
6．8 注釋與參考文獻 216
習題 217
第7章簽名方案 222
7．1 引言 222
7．2 簽名方案的安全性需求 224
7．2．1 簽名和Hash函數 225
7．3 ElGamal簽名方案 226
7．3．1 ElGamal簽名方案的安全性 228
7．4 ElGamal簽名方案的變形 230
7．4．1 Schnorr簽名方案 230
7．4．2 數字簽名算法(DSA) 232
7．4．3 橢圓麯綫DSA 234
7．5 可證明安全的簽名方案 235
7．5．1 一次簽名 235
7．5．2 全域Hash 238
7．6 不可否認的簽名 241
7．7 fail-stop簽名 245
7．8 注釋與參考文獻 248
習題 249
第8章僞隨機數的生成 252
8．1 引言與示例 252
8．2 概率分布的不可區分性 255
8．2．1 下一比特預測器 257
8．3 Blum-Blum-Shub生成器 262
8．3．1 BBS生成器的安全性 264
8．4 概率加密 268
8．5 注釋與參考文獻 272
習題 272
第9章身份識彆方案與實體認證 275
9．1 引言 275
9．2 對稱密鑰環境下的挑戰-響應方案 277
9．2．1 攻擊模型和敵手目標 281
9．2．2 交互認證 282
9．3 公鑰環境下的挑戰-響應方案 284
9．3．1 證書 285
9．3．2 公鑰身份識彆方案 285
9．4 Schnorr身份識彆方案 287
9．4．1 Schnorr身份識彆方案的安全性 290
9．5 Okamoto身份識彆方案 293
9．6 Guillou-Quisquater身份識彆方案 296
9．6．1 基於身份的身份識彆方案 298
9．7 注釋與參考文獻 299
習題 299
第10章密鑰分配 303
10．1 引言 303
10．2 Diffie-Hellman密鑰預分配 306
10．3 無條件安全的密鑰預分配 307
10．3．1 Blom密鑰預分配方案 307
10．4 密鑰分配模式 313
10．4．1 Fiat-Naor密鑰分配模式 315
10．4．2 Mitchell-Piper密鑰分配模式 316
10．5 會話密鑰分配方案 319
10．5．1 Needham-Schroeder方案 320
10．5．2 針對NS方案的Denning-Sacco攻擊 321
10．5．3 Kerberos 321
10．5．4 Bellare-Rogaway方案 324
10．6 注釋與參考文獻 326
習題 327
第11章密鑰協商方案 330
11．1 引言 330
11．2 Diffie-Hellman密鑰協商 330
11．2．1 端-端密鑰協商方案 332
11．2．2 STS的安全性 332
11．2．3 已知會話密鑰攻擊 335
11．3 MTI 密鑰協商方案 336
11．3．1 關於MTI/A0的已知會話密鑰攻擊 339
11．4 使用自認證密鑰的密鑰協商 341
11．5 加密密鑰交換 344
11．6 會議密鑰協商方案 346
11．7 注釋與參考文獻 348
習題 349
第12章公開密鑰基礎設施 351
12．1 引言：PKI簡介 351
12．1．1 一個實際協議：安全套接層SSL 353
12．2 證書 354
12．2．1 證書生命周期管理 355
12．3 信任模型 356
12．3．1 嚴格層次模型 356
12．3．2 網絡化PKI模型 357
12．3．3 Web瀏覽器模型 359
12．3．4 Pretty Good Privacy(PGP) 359
12．4 PKI的未來 361
12．4．1 PKI的替代方案 361
12．5 基於身份的密碼體製 362
12．5．1 基於身份的Cock加密方案 363
12．6 注釋與參考文獻 367
習題 368
第13章秘密共享方案 370
13．1 引言：Shamir門限方案 370
13．1．1 簡化的(t， t)門限方案 373
13．2 訪問結構和一般的秘密共享 374
13．2．1 單調電路構造 375
13．2．2 正式定義 379
13．3 信息率和高效方案的構造 382
13．3．1 嚮量空間構造 383
13．3．2 信息率上界 389
13．3．3 分解構造 392
13．4 注釋與參考文獻 395
習題 396
第14章組播安全和版權保護 398
14．1 組播安全簡介 398
14．2 廣播加密 398
14．2．1 利用Ramp方案的一種改進 406
14．3 組播密鑰重建 409
14．3．1 “黑名單”方案 410
14．3．2 Naor-Pinkas 密鑰重建方案 412
14．3．3 邏輯密鑰層次體係方案 414
14．4 版權保護 416
14．4．1 指紋技術 416
14．4．2 可識彆父碼的性質 418
14．4．3 2-IPP碼 419
14．5 追蹤非法分發的密鑰 422
14．6 注釋與參考文獻 426
習題 426
進一步閱讀 430
參考文獻 433

前言/序言

　　譯者序
　　2002年我組織相關專傢翻譯瞭Douglas R. Stinson所著的《密碼學原理與實踐》一書的第二版，本書翻譯齣版後在國內密碼學界産生瞭很大的影響，反應很好。憑我自己的學習經驗，要掌握好一門課程，必須精讀一兩本好書，我認為本書是值得精讀的一本。2008年年初，電子工業齣版社委托我翻譯Douglas R. Stinson所著的《密碼學原理與實踐》一書的第三版，我通讀瞭一遍本書，發現本書的前7章與第二版的幾乎一樣，隻有細微差異，但新增加瞭7章內容，這些內容都很基礎也很新穎，我受益匪淺，於是我花瞭大量時間翻譯瞭本書，以供密碼學愛好者參考。
　　本書是一本很有特色的教科書，具體錶現在以下6個方麵：
　　1．錶述清楚。書中所描述的問題淺顯易懂，如分組密碼的差分分析和綫性分析本是很難描述的問題，本書中以代替置換網絡(SPN)作為數學模型錶述得很清楚。
　　2．論證嚴謹。書中對很多密碼問題如唯一解距離、Hash函數的延拓準則等進行瞭嚴格的數學證明，有一種美感。
　　3．內容新穎。書中從可證明安全的角度對很多密碼問題特彆是公鑰密碼問題進行瞭清楚的論述，使用瞭諭示器(Oracle)這一術語，通過閱讀本書可使讀者能夠掌握這一術語的靈魂。書中對一些最新領域，如組播安全、數字版權保護等也做瞭相應的介紹。
　　4．選材精良。書中選擇一些典型的、相對成熟的素材進行重點介紹，對一些正在發展的方嚮或需要大量篇幅介紹的內容以綜述或解釋的方式進行處理，特彆適閤於各種層次的教學使用。
　　5．覆蓋麵廣。幾乎覆蓋瞭密碼學的所有核心領域以及部分前沿內容，通過閱讀本書可以瞭解密碼學的全貌。
　　6．習題豐富。書中布置瞭大量的習題，通過演練這些習題可以熟練掌握密碼學的基本技巧。
　　本書在翻譯過程中，得到瞭很多老師的協助，張斌副研究員協助翻譯瞭第8章、徐靜副教授協助翻譯瞭第9章、張振峰副研究員協助翻譯瞭第10章、陳華副研究員協助翻譯瞭第11章、張立武副研究員協助翻譯瞭第12章、林東岱研究員協助翻譯瞭第13章、趙險峰副研究員協助翻譯瞭第14章，全書由我統一統稿。沒有他們的鼎力相助，本書決不會這麼快問世，在此對他們錶示衷心的感謝。
　　本書的齣版得到瞭國傢973項目(編號：2007CB311202)和國傢自然科學基金(編號：60673083)的支持，在此錶示感謝。
　　馮登國
　　2008年夏於北京
　　前　言
　　本書的第一版齣版於1995年，共包含13章內容。第一版的編寫目標是編寫一本關於密碼學所有核心領域以及部分前沿內容的通用教材。在編寫過程中，我盡力使本書的內容能夠適應密碼學相關各種課程的要求，使其可用於數學、計算機和各工程專業的大學生和研究生課程。
　　本書的第二版齣版於2002年，內容集中於更適閤在課程中介紹的密碼學核心領域的內容。與第一版相反，第二版隻包含7章。我當時的目的是編寫一本隨身手冊，包含第一版各章節更新後的內容，也有介紹新內容的章節。
　　然而，在撰寫第三版時，我改變瞭計劃，決定編寫一本擴充內容的第三版。第三版內容的廣度和範圍更類似於第一版，不過大部分內容都經過完全重寫。這個版本適當更新瞭第二版7章中的內容，並新加入瞭另外7章的內容。下麵是這本《密碼學原理與實踐》第三版總共14章的簡要大綱：
　　第1章對簡單的“經典”密碼體製做瞭基本的介紹。這一章也介紹瞭本書中使用的基本數學知識。
　　第2章介紹瞭Shannon對密碼學研究的主要內容。包括完善保密性和熵的概念，以及信息論在密碼學中的應用。
　　第3章關注的是分組密碼。使用瞭代替置換網絡(SPN)作為數學模型來介紹現代分組密碼設計和分析的很多概念，包括差分和綫性分析，並側重於介紹基本原理。使用兩個典型的分組密碼(DES和AES)來闡述這些基本原理。
　　第4章統一介紹瞭帶密鑰和不帶密鑰的Hash函數，以及它們在構造消息認證碼方麵的應用，側重於數學分析和安全性驗證。本章還包括瞭安全Hash算法(SHA)的介紹。
　　第5章是關於RSA密碼體製，以及大量數論背景知識的介紹，如素性檢測和因子分解。
　　第6章討論瞭公鑰密碼體製，如基於離散對數問題的ElGamal密碼體製。另外還有一些關於計算離散對數、橢圓麯綫和Diffie-Hellman問題的內容。
　　第7章介紹的是數字簽名方案。介紹瞭很多具體方案，如數字簽名算法(DSA)，還包括瞭一些特殊類型的簽名方案，如不可否認、fail-stop簽名方案等。
　　第8章包含瞭密碼學中的僞隨機比特生成器。本章基於第一版的相關章節。
　　第9章是關於身份識彆(實體認證)。本章第一部分討論瞭從簡單的密碼本原(primitive)，如數字簽名方案或消息認證碼構造的方案。第二部分在第一版內容的基礎上介紹瞭特殊目的的“零知識”方案。
　　第10章和第11章討論瞭各種不同的密鑰建立方法。第10章是關於密鑰分配，第11章介紹瞭密鑰協商協議。這兩章的內容比第一版內容豐富瞭很多(第二版不包含密鑰建立的內容)。這兩章比以前更加側重於安全模型和證明。
　　第12章對公鑰基礎設施(PKI)做瞭總體的介紹，同時也討論瞭與PKI擁有同樣作用的基於身份的密碼學。這是一個全新的章節。
　　第13章的主題是秘密共享方案。本章內容基於第一版的相應章節。
　　第14章是一個全新的章節，討論瞭組播安全。包括廣播加密和版權保護。
　　下麵是本書所有版本的特點：
　　所有需要相應數學背景知識的地方都有很及時的介紹。
　　對密碼體製非正式的描述都附帶僞代碼。
　　使用瞭很多例子來闡述本書中大多數的算法。
　　各算法和密碼體製的數學基礎都有很嚴格、很仔細的解釋。
　　本書包含瞭很多習題，其中一些相當具有挑戰性。
　　我相信這些特點使得本書用於課堂講授和自學都更加有用。
　　在本書中，盡量按照符閤邏輯的、自然的順序安排書中的內容。有時讀者有可能為瞭集中瞭解後麵的某一內容而跳過前麵的章節。不過有幾章的內容確實非常依賴前麵的章節。下麵是一些重要的依賴關係：
　　第9章使用瞭第4章(消息認證碼)和第7章的內容(數字簽名方案)。
　　第13章的13.3.2節使用瞭第2章關於熵的結論。
　　第14章使用瞭第10章(密鑰預分配)和第13章(秘密共享)的內容。
　　還有很多地方，前麵章節介紹的數學工具會用到後麵的章節裏，但是應該不會造成課堂講授的睏難。
　　決定介紹多少數學基礎知識，是編寫任何一本密碼學書籍最睏難的事情之一。密碼學是一個涉及麵廣的學科，需要若乾數學領域的知識，如數論、群環域理論、綫性代數、概率論和信息論。同樣也需要熟悉計算復雜度、算法和NP問題。在我看來，數學知識不夠是很多學生在剛開始學習密碼學時遇到睏難的原因。
　　本書中盡量介紹遇到的數學背景知識，在大多數時候，都會詳細介紹用到的數學工具。但是如果讀者對基本的綫性代數和模運算有一定瞭解的話，是非常有幫助的。
　　很多人指齣瞭第二版和第三版草稿中的錯誤，並對加入的新內容的選擇和內容的廣度提齣瞭有用的建議。特彆要感謝Carlisle Adams，Eike Best，Dameng Deng，Shuhong Gao，K.Gop 密碼學原理與實踐（第三版） [Cryptography: Theory and Practice, Third Edition] 下載 mobi epub pdf txt 電子書格式