这是一部计算机密码学专著，阐述密码方案及密码协议的分析与证明理论。

本书内容覆盖很广，但可以划分为两大部分，第一部分为第2～6章，主要论述对象是(非交互式)密码方案，涵盖了最典型的密码方案。

第二部分为第7～13章，论述对象是(交互式)密码协议，主要涵盖身份鉴别和密钥交换两类协议，以及如何组合两类协议以实现安全信道。

本书阐述计算机密码方案与密码协议的安全性证明理论，包括基于计算复杂度概念的计算密码学方法和基于符号演算的形式分析与验证方法。安全性证明是一个技术复杂而思想活跃的领域，本书选择少数典型、普适、有发展前途，同时又不特别复杂艰涩的方法进行论述。在选择这些方法时，作者也充分考虑到这些方法所解决的问题本身都有着相当的理论与应用价值，使读者通过仔细学习这些安全证明，能更深入地理解这些密码方案。

第1章 导论

 1．1 Needham—Schroeder协议

 1．2 更多的例子

1．2．1 其他身份鉴别协议的例子

1．2．2 加密的运用

1．2．3 时效

1．2．4 类型攻击

1．2．5 代数攻击

 1．3 更复杂的协议和攻击

 1．4 一些符号约定

第2章 消息认证与数字签名方案

 2．1 消息认证方案及其抗伪造性质

2．1．1 强／弱抗伪造性质及其蕴涵关系

2．1．2 特例：基于拟随机函数的MAC方案

 2．2 数字签名方案及其抗伪造性质

2．2．1 抗简单伪造性质及弱分支引理

2．2．2 抗选择消息伪造及强分支引理

 2．3 数字签名方案与身份鉴别协议：Fiat—Shamir变换

2．3．1 正则身份鉴别协议及Fiat—Shamir变换

2．3．2 协议的抗身份欺诈性质与签名方案的抗伪造性质的等价性

2．3．3 时变方案、Fiat—Shamir变换及前向安全性质

第3章 对称加密方案

 3．1 各种保密性质及其相互关系

3．1．1 各种保密性质的定义

3．1．2 各种保密性之间的关系

 3．2 一些典型对称加密方案的保密性质

 3．3 加密一认证方案：明文完整性与密文完整性

 3．4 加密一认证方案的几个一般性构造

3．4．1 加密及认证式构造

3．4．2 先认证再加密式构造

3．4．3 先加密再认证式构造

 3．5 时变对称加密方案及其前向保密性质

第4章 公钥加密方案(Ⅰ)：保密性质和PA性质

 4．1　各种保密性质及其相互关系

4．1．1 保密性

4．1．2密文非可塑性

 4．2 随机oracle-范型的PA性质

 4．3 非随机oracle-范型的PA性质

4．3．1 概念：PA0、PA1及PA2

4．3．2 PA性质与保密性质的关系．

4．3．3 一些否定性结果

 4．4 基于身份的公钥加密方案 

 4．5 一个随机oracle-范型的加密方案不可实现性的例子

4．5．1 方案构造及安全性证明

4．5．2 不可实现的实例

第5章 公钥加密方案(Ⅱ)：一些通用构造及其保密性条件

 5．1 混合构造：Fuiisaki-Okamoto变换

5．1．1 方案构造及基本概念

5．1．2 IND CCA保密性条件

 5．2 混合构造：REACT变换

5．2．1 方案构造及IND CCA保密性条件

5．2．2 其他混合构造

 5．3 基于IBE构造公钥加密方案

5．3．1 Canetti-Halevi-Katz变换及其保密性条件

5．3．2 Boneh-Katz变换及其保密性条件

 5．4 具有前向安全性质的时变公钥加密方案

5．4．1 基本概念

5．4．2 基于2-叉树加密方案的一般性构造

5．4．3 前向保密性条件

5．4．4 一个2-叉树加密方案的实例

第6章 公钥加密方案(Ⅲ)：匿名性质

 6．1 各种匿名性质及其相互关系

6．1．1 匿名性、相对匿名性及其与保密性的关系

6．1．2 相对保密性及其与匿名性的关系

 6．2 IBE方案的匿名性质及应用：PEKS方案

6．2．1 基本概念与BDOP变换

6．2．2 匿名与非匿名IBE方案的例子

 6．3 Fujisaki—Okamoto变换的匿名性条件

6．3．1 ANO CPA匿名性的一个充要条件

6．3．2 ANO CCA匿名性的一个充分条件

 6．4 REACT变换的匿名性条件

 6．5 基于IBE的公钥加密方案的匿名性条件

6．5．1 Canetti-Halevi-Katz变换的匿名性条件

6．5．2 Boneh-Katz变换的匿名性条件

 6．6 时变公钥加密方案的前向匿名条件

第7章 身份鉴别协议

 7．1 Fiat—Shamir型身份鉴别协议与基于ID的身份鉴别协议

7．1．1 基本概念

7．1．2 cSS．2-IBI变换

7．1．3 再论Fiat-Shamir变换：基于ID的数字签名方案

 7．2 一般性结果

 7．3 实例

 7．4 抗状态重置攻击的身份鉴别协议

7．4．1 基本概念

7．4．2 一般性构造：抗第一类状态重置攻击的协议IDP-Ⅰ

7．4．3 一般性构造：抗第二类状态重置攻击的协议IDP-Ⅱ

第8章 密码协议的UC-理论及应用

 8．1 概念

8．1．1 协议的UC-运行模型及理想uC一模型

8．1．2 协议的UC-相似概念及基本性质

 8．2 UC-稳定性定理

8．2．1 JUC-稳定性定理

8．2．2 一个弱UC-相似概念及弱UC-稳定性定理

 8．3 典型密码协议的理想UC-模型与实现(I)：消息的认证式传输

 8．4 典型密码协议的理想UC-模型与实现(II)：密钥交换

8．4．1 密钥交换协议的强UC一安全模型

8．4．2 密钥交换协议的UC-安全模型

 8．5 典型密码协议的理想UC-模型与实现(Ⅲ)：安全信道

 8．6 密码协议的结构化分析与设计理论概要

第9章 DolOV—Yao理论(I)：自由消息代数strand-图模型

 9．1 密码协议的strand-图模型

9．1．1 消息代数与strand-图

9．1．2 攻击者-strand

 9．2 消息代数的理想

 9．3 strand-图理论的几个普遍结论

 9．4 协议的安全性质

 9．5 协议分析的例子

9．5．1 Needham-Schroeder-Lowe协议

9．5．2 Otway·Rees协议

第10章 DoIOV—Yao理论(11)：自动分析技术

 10．1 Athena：逻辑求解技术

10．1．1 基本概念和符号

10．1．2 形式演绎系统的语法及语义

10．1．3 算法

10．1．4 算法的优化

 10．2 Millen—Shamtikov约束求解技术：自由消息代数情形

10．2．1 消息代数与攻击者模型

10．2．2 协议的安全性质

10．2．3 格局、变元与约束

10．2．4 约束求解算法

10．2．5 约束求解的例子：再论Needham—Schroeder—Lowe协议

10．2．6 算法的相容性和完备性

10．2．7 算法的改进和优化

第11章 DoIeV-Yao理论(Ⅲ)：带交换群算术的非自由消息代数

 11．1 具代数能力的扩展：Dolev-Yao攻击者模型

11．1．1 带交换群算术的非自由消息代数及扩展的Dolev—Yao攻击模型

11．1．2 形式演绎及其性质

11．1．3 约束的正则解及存在性

 11．2 非自由消息代数的Millen-Shamtikov约束求解

11．2．1 猜测解的集合

11．2．2 猜测可导出的子项及其导出顺序

11．2．3 从演绎树中消去非M一和I一规则的分支

11．2．4 以新变元替换目标项

 11．3 约化到线性Diophantine方程

第12章 密码协议形式模型的计算语义(I)：被动攻击情形

 12．1 自由消息代数的计算密码学语义

12．1．1 消息表达式的模式及共模关系

12．1．2 一些共模表达式的例子

12．1．3 几个重要性质

12．1．4 几个重要的加密类型及其精确的计算语义

12．1．5 消息表达式的计算语义

12．1．6 Abadi—Rogaway定理

 12．2 计算语义的完备性

 12．3 计算语义的一般性构造

12．3．1 形式模型

12．3．2 计算语义

12．3．3 语义类型

12．3．4 关于计算语义的几个普遍结果

12．3．5 应用：推广的Abadi-Rogaway定理

第13章 密码协议形式模型的计算语义(11)：主动攻击情形

 13．1 理论分析框架

 13．2 一些辅助性结果

 13．3 协议的形式模型的计算语义与算法模型的语法骨架

 13．4 密码协议的Dolev-Yao刚性和Dolev-Yao相似性

 13．5 关于Dolev-Yao刚性的主要结论及证明

13．5．1 Dolev-Yao刚性的复合一稳定性定理

13．5．2 Dolev-Yao刚性的相似一遗传定理

 13．6 语法一语义相似性的对偶关系

 13．7 总结与推广

附录A 一些必要的数学事实

 A．1 Euclid定理及等价形式

 A．2 交换群的概念、性质和密码学中常见的例子

 A．3 中国剩余定理

 A．4 二次剩余及二次同余式x2=a mod p在特殊情况下的解

 A．5 因子分解与求平方根难度等价

 A．6 已知N的素因子分解，解多项式方程f(x)=0 mod N

参考文献

附录B 进程代数模型：sp卜演算

 B．1 π-演算

B．1．1 概念

B．1．2 例子

 B．2 spiπ演算

B．2．1 概念

B．2．2 例子

 B．3 形式演算

 B．4 双向模拟

 B．5 进程代数的计算语义：Abadi—Jurgens定理

参考文献

参考文献