密码编码学与网络安全――原理与实践(第8版)

要把我国建设成信息技术和产业强国，同时确保信息安全，人才是关键。教育是人才培养的基础。目前，我国许多大学建立了网络空间安全学院，更多的大专院校开设了信息安全专业或信息安全类课程，迫切需要一本合适的教科书。为此，电子工业出版社于2017年出版了《密码编码学与网络安全——原理与实践（第七版）》这本优秀的教科书。这本书出版后得到了广大读者的厚爱，许多有名大学都采用它作为教材，为我国信息安全人才培养和信息安全知识传播发挥了重要作用。新版大体上保持了相同的章节，但修正了许多内容并增加了一些新内容。

本书系统地介绍了密码编码学与网络安全的基本原理和应用技术。全书分六部分：背景知识部分介绍信息与网络安全概念、数论基础；对称密码部分讨论传统加密技术、分组密码和数据加密标准、有限域、高级加密标准、分组加密工作模式、随机位生成和流密码；非对称密码部分讨论公钥密码学与RSA、其他公钥密码体制；密码学数据完整性算法部分讨论密码学哈希函数、消息认证码、数字签名、轻量级密码和后量子密码；互信部分讨论密钥管理和分发、用户认证；网络和因特网安全部分讨论传输层安全、无线网络安全、电子邮件安全、IP安全、网络端点安全、云计算、物联网安全。附录A讨论线性代数的基本概念，附录B讨论保密性和安全性度量，附录C介绍数据加密标准，附录D介绍简化AES，附录E介绍生日攻击的数学基础。本书可作为高校计算机、网络空间安全、信息安全、软件工程等专业高年级本科生和研究生的教材，也可供计算机、通信、电子工程等领域的科研人员参考。

陈晶，博士，武汉大学国家网络安全学院教授，博士生导师。中国计算机学会会员、中国密码学会会员，研究方向为网络安全、分布式系统安全。主持国家自然科学基金重点项目1项，国家重点研发计划课题1项，国家自然科学基金4项，湖北省自然科学基金2项，华为预研基金1项，中国信息安全测评中心项目1项，教育部重点实验室开放基金1项。

第一部分 背景知识
第1章 信息与网络安全概念2
学习目标2
1.1 网络空间安全、信息安全与网络安全2
1.1.1 安全目标2
1.1.2 信息安全的挑战3
1.2 OSI安全架构4
1.3 安全攻击5
1.3.1 被动攻击5
1.3.2 主动攻击6
1.4 安全服务7
1.4.1 认证7
1.4.2 访问控制7
1.4.3 数据保密性7
1.4.4 数据完整性8
1.4.5 不可否认性8
1.4.6 可用性服务8
1.5 安全机制8
1.6 密码学9
1.6.1 无密钥算法9
1.6.2 单密钥算法10
1.6.3 双密钥算法10
1.7 网络安全10
1.7.1 通信安全11
1.7.2 设备安全11
1.8 信任与可信度12
1.8.1 信任模型12
1.8.2 信任模型和信息安全13
1.8.3 建立信任关系13
1.9 标准14
1.10 关键术语、思考题和习题14
第2章 数论基础17
学习目标17
2.1 整除性和带余除法17
2.1.1 整除性17
2.1.2 带余除法18
2.2 欧几里得算法19
2.2.1 优选公因子19
2.2.2 求优选公因子19
2.3 模运算21
2.3.1 模21
2.3.2 同余的性质22
2.3.3 模算术运算22
2.3.4 模运算的性质23
2.3.5 欧几里得算法回顾25
2.3.6 扩展欧几里得算法26
2.4 素数27
2.5 费马定理和欧拉定理29
2.5.1 费马定理29
2.5.2 欧拉函数30
2.5.3 欧拉定理31
2.6 素性测试32
2.6.1 Miller-Rabin算法32
2.6.2 一个确定性的素性判定算法34
2.6.3 素数分布34
2.7 中国剩余定理34
2.8 离散对数35
2.8.1 模n的整数幂35
2.8.2 模算术对数38
2.8.3 离散对数的计算39
2.9 关键术语、思考题和习题40
附录2A mod的含义43
2A.1 二元运算符mod43
2A.2 同余关系mod43

第二部分 对称密码
第3章 传统加密技术44
学习目标44
3.1 对称密码模型44
3.1.1 密码编码学46
3.1.2 密码分析学和穷举攻击46
3.2 代替技术48
3.2.1 Caesar密码48
3.2.2 单表代替密码49
3.2.3 Playfair密码51
3.2.4 Hill密码53
3.2.5 多表代替加密55
3.2.6 一次一密57
3.3 置换技术58
3.4 关键术语、思考题和习题59
第4章 分组密码和数据加密标准64
学习目标64
4.1 传统分组密码结构64
4.1.1 流密码与分组密码64
4.1.2 Feistel密码结构的设计动机65
4.1.3 Feistel密码67
4.2 数据加密标准71
4.2.1 DES加密71
4.2.2 DES解密72
4.3 DES的一个例子72
4.3.1 结果72
4.3.2 雪崩效应73
4.4 DES的强度74
4.4.1 56位密钥的使用74
4.4.2 DES算法的性质74
4.4.3 计时攻击75
4.5 分组密码的设计原理75
4.5.1 迭代轮数75
4.5.2 函数F的设计76
4.5.3 密钥扩展算法76
4.6 关键术语、思考题和习题76
第5章 有限域79
学习目标79
5.1 群79
5.1.1 群的性质80
5.1.2 交换群80
5.1.3 循环群80
5.2 环81
5.3 域81
5.4 有限域GF(p)82
5.4.1 阶为p的有限域82
5.4.2 在有限域GF(p)中求乘法逆元83
5.4.3 小结84
5.5 多项式运算84
5.5.1 普通多项式运算85
5.5.2 系数在Zp中的多项式运算86
5.5.3 求优选公因式88
5.5.4 小结89
5.6 有限域GF(2n)89
5.6.1 动机89
5.6.2 多项式模运算91
5.6.3 求乘法逆元92
5.6.4 计算上的考虑93
5.6.5 使用生成元95
5.6.6 小结97
5.7 关键术语、思考题和习题97
第6章 高级加密标准99
学习目标99
6.1 有限域算术99
6.2 AES的结构100
6.2.1 基本结构100
6.2.2 详细结构103
6.3 AES的变换函数105
6.3.1 字节代替变换105
6.3.2 行移位变换109
6.3.3 列混淆变换110
6.3.4 轮密钥加变换112
6.4 AES的密钥扩展113
6.4.1 密钥扩展算法113
6.4.2 基本原理114
6.5 一个AES的例子114
6.5.1 结果115
6.5.2 雪崩效应117
6.6 AES的实现118
6.6.1 等价的逆算法118
6.6.2 实现方面119
6.7 关键术语、思考题和习题121
附录6A 系数在GF(28)中的多项式122
附录6A.1 列混淆变换124
附录6A.2 乘以x124
第7章 分组加密工作模式125
学习目标125
7.1 多重加密和三重DES125
7.1.1 双重DES125
7.1.2 使用两个密钥的三重DES127
7.1.3 使用三个密钥的三重DES128
7.2 电码本模式129
7.3 密文分组链接模式130
7.4 密码反馈模式132
7.5 输出反馈模式133
7.6 计数器模式135
7.7 面向分组存储设备的XTS-AES模式137
7.7.1 可调整分组密码137
7.7.2 存储加密要求138
7.7.3 单个分组的运算139
7.7.4 扇区上的运算140
7.8 保留格式加密141
7.8.1 研究动机142
7.8.2 FPE设计的难点142
7.8.3 保留格式加密的Feistel结构143
7.8.4 保留格式加密的NIST方法146
7.9 关键术语、思考题和习题151
第8章 随机位生成和流密码155
学习目标155
8.1 伪随机数生成的原理155
8.1.1 随机数的用途156
8.1.2 TRNG、PRNG和PRF156
8.1.3 PRNG的要求157
8.1.4 算法设计159
8.2 伪随机数生成器159
8.2.1 线性同余生成器159
8.2.2 BBS生成器160
8.3 使用分组密码生成伪随机数161
8.3.1 使用分组加密工作模式的PRNG161
8.3.2 NIST CTR_DRBG163
8.4 流密码164
8.5 RC4166
8.5.1 初始化S166
8.5.2 流生成166
8.5.3 RC4的强度167
8.6 使用反馈移位寄存器的流密码167
8.6.1 线性反馈移位寄存器168
8.6.2 非线性反馈移位寄存器170
8.6.3 Grain-128a171
8.7 真随机数生成器173
8.7.1 熵源173
8.7.2 PRNG和TRNG的比较173
8.7.3 调节174
8.7.4 健康测试175
8.7.5 英特尔数字随机数生成器176
8.8 关键术语、思考题和习题178
第三部分 非对称密码
第9章 公钥密码学与RSA182
学习目标182
9.1 公钥密码体制的原理183
9.1.1 公钥密码体制183
9.1.2 公钥密码体制的应用187
9.1.3 公钥密码的要求187
9.1.4 公钥密码分析188
9.2 RSA算法189
9.2.1 RSA算法描述189
9.2.2 计算问题191
9.2.3 RSA的安全性194
9.3 关键术语、思考题和习题197
第10章 其他公钥密码体制201
学习目标201
10.1 Diffie-Hellman密钥交换201
10.1.1 算法201
10.1.2 密钥交换协议203
10.1.3 中间人攻击203
10.2 ElGamal密码体制204
10.3 椭圆曲线算术206
10.3.1 交换群207
10.3.2 实数域上的椭圆曲线207
10.3.3 Zp上的椭圆曲线209
10.3.4 GF(2m)上的椭圆曲线211
10.4 椭圆曲线密码学212
10.4.1 用椭圆曲线密码实现
Diffie-Hellman密钥交换212
10.4.2 椭圆曲线加密/解密213
10.4.3 椭圆曲线密码的安全性214
10.5 关键术语、思考题和习题214
第四部分 密码学数据完整性算法
第11章 密码学哈希函数218
学习目标218
11.1 密码学哈希函数的应用218
11.1.1 消息认证219
11.1.2 数字签名221
11.1.3 其他应用221
11.2 两个简单的哈希函数222
11.3 要求与安全性223
11.3.1 密码学哈希函数的安全要求223
11.3.2 穷举攻击225
11.3.3 密码分析226
11.4 安全哈希算法227
11.4.1 SHA-512逻辑228
11.4.2 SHA-512轮函数230
11.4.3 示例232
11.5 SHA-3234
11.5.1 海绵结构234
11.5.2 SHA-3迭代函数f237
11.6 关键术语、思考题和习题242
第12章 消息认证码245
学习目标245
12.1 消息认证要求245
12.2 消息认证函数246
12.2.1 消息加密246
12.2.2 消息认证码249
12.3 消息认证码的要求251
12.4 MAC的安全性252
12.4.1 穷举攻击252
12.4.2 密码分析253
12.5 基于哈希函数的MAC：HMAC253
12.5.1 HMAC设计目标253
12.5.2 HMAC算法254
12.5.3 HMAC的安全性255
12.6 基于分组密码的MAC：DAA和CMAC255
12.6.1 数据认证算法255
12.6.2 基于密码的消息认证码(CMAC)256
12.7 认证加密：CCM和GCM258
12.7.1 使用分组密码链接-消息认证码的计数器258
12.7.2 Galois/计数器模式260
12.8 密钥封装262
12.8.1 应用背景262
12.8.2 密钥封装算法263
12.8.3 密钥解封265
12.9 使用哈希函数和MAC的伪随机数生成器266
12.9.1 基于哈希函数的PRNG266
12.9.2 基于MAC函数的PRNG266
12.10 关键术语、思考题和习题267
第13章 数字签名270
学习目标270
13.1 数字签名概述271
13.1.1 性质271
13.1.2 攻击和伪造271
13.1.3 数字签名要求272
13.1.4 直接数字签名272
13.2 ElGamal数字签名方案272
13.3 Schnorr数字签名方案274
13.4 NIST数字签名算法274
13.4.1 DSA方法274
13.4.2 数字签名算法275
13.5 椭圆曲线数字签名算法277
13.5.1 全局域参数277
13.5.2 密钥生成277
13.5.3 数字签名的生成与认证277
13.6 RSA-PSS数字签名算法278
13.6.1 掩蔽生成函数279
13.6.2 签名操作280
13.6.3 签名验证281
13.7 关键术语、思考题和习题282
第14章 轻量级密码和后量子密码285
学习目标285
14.1 轻量级密码的概念285
14.1.1 嵌入式系统285
14.1.2 资源受限设备286
14.1.3 轻量级密码的类别287
14.1.4 各种应用的安全考虑287
14.1.5 设计折中288
14.1.6 安全要求288
14.2 轻量级密码算法291
14.2.1 带有关联数据的认证加密291
14.2.2 哈希函数293
14.2.3 消息认证码295
14.2.4 非对称密码算法297
14.3 后量子密码的概念297
14.3.1 量子计算297
14.3.2 Shor因子分解算法297
14.3.3 Grover算法298
14.3.4 密码生命期299
14.3.5 量子计算环境下的安全性301
14.4 后量子密码算法301
14.4.1 格密码算法302
14.4.2 编码密码算法304
14.4.3 多变量多项式密码算法305
14.4.4 哈希签名算法306
14.5 关键术语和思考题308
第五部分 互信
第15章 密钥管理和分发310
学习目标310
15.1 使用对称加密的对称密钥分发310
15.1.1 密钥分发方案310
15.1.2 第三方密钥分发方案311
15.1.3 密钥层次312
15.2 使用非对称加密的对称密钥分发312
15.2.1 简单的密钥分发方案312
15.2.2 确保保密性和认证的密钥分发方案313
15.3 公钥分发314
15.3.1 公钥的公开发布314
15.3.2 公开可访问的目录315
15.3.3 公钥授权315
15.3.4 公钥证书316
15.4 X.509证书317
15.4.1 证书318
15.4.2 X.509版本3321
15.5 公钥基础设施322
15.6 关键术语、思考题和习题324
第16章 用户认证327
学习目标327
16.1 远程用户认证原理327
16.1.1 NIST电子身份认证模型327
16.1.2 认证方式329
16.1.3 多因素认证329
16.1.4 双向认证330
16.2 使用对称加密的远程用户认证331
16.2.1 双向认证331
16.3 Kerberos333
16.3.1 Kerberos的动机333
16.3.2 Kerberos版本4334
16.3.3 Kerberos版本5340
16.4 使用非对称加密的远程用户认证342
16.4.1 双向认证342
16.4.2 单向认证343
16.5 联合身份管理344
16.5.1 身份管理344
16.5.2 身份联合345
16.6 关键术语、思考题和习题346
第六部分 网络和因特网安全
第17章 传输层安全350
学习目标350
17.1 Web安全性考虑350
17.1.1 Web安全威胁350
17.1.2 网络流量安全方法351
17.2 传输层安全351
17.2.1 TLS架构352
17.2.2 TLS记录协议353
17.2.3 修改密码规范协议354
17.2.4 警报协议355
17.2.5 握手协议355
17.2.6 密码计算358
17.2.7 SSL/TLS攻击360
17.2.8 TLS v1.3361
17.3 HTTPS361
17.3.1 连接初始化361
17.3.2 连接关闭362
17.4 SSH362
17.4.1 传输层协议363
17.4.2 用户认证协议365
17.4.3 连接协议366
17.5 思考题和习题369
第18章 无线网络安全371
学习目标371
18.1 无线安全371
18.1.1 无线网络威胁372
18.1.2 无线安全措施372
18.2 移动设备安全373
18.2.1 安全威胁373
18.2.2 移动设备安全策略374
18.3 IEEE 802.11无线局域网概述375
18.3.1 Wi-Fi联盟376
18.3.2 IEEE 802协议架构376
18.3.3 IEEE 802.11网络构成和架构模型377
18.3.4 IEEE 802.11服务378
18.4 IEEE 802.11i无线局域网安全379
18.4.1 IEEE 802.11i服务380
18.4.2 IEEE 802.11i操作阶段381
18.4.3 发现阶段382
18.4.4 认证阶段383
18.4.5 密钥管理阶段384
18.4.6 安全数据传输阶段387
18.4.7 IEEE 802.11i伪随机函数387
18.5 关键术语、思考题和习题388
第19章 电子邮件安全390
学习目标390
19.1 因特网邮件架构390
19.1.1 电子邮件组件390
19.1.2 邮件协议391
19.2 邮件格式392
19.2.1 RFC 5322392
19.2.2 MIME393
19.3 电子邮件威胁与综合安全395
19.4 S/MIME397
19.4.1 操作描述397
19.4.2 S/MIME消息内容类型400
19.4.3 S/MIME消息401
19.4.4 S/MIME证书处理过程403
19.4.5 安全性增强服务403
19.5 DNSSEC403
19.5.1 域名系统404
19.5.2 DNS安全扩展405
19.6 基于DNS的命名实体认证406
19.6.1 TLSA记录406
19.6.2 为SMTP使用DANE407
19.6.3 为S/MIME使用DNSSEC408
19.7 发送方策略框架408
19.7.1 发送端的SPF408
19.7.2 接收端的SPF409
19.8 DKIM410
19.8.1 电子邮件威胁410
19.8.2 DKIM策略411
19.8.3 DKIM功能流程411
19.9 基于域的消息认证、报告和一致性413
19.9.1 标识符匹配413
19.9.2 发送端的DMARC413
19.9.3 接收端的DMARC414
19.9.4 DMARC报告415
19.10 关键术语、思考题和习题416
第20章 IP安全418
学习目标418
20.1 IP安全概述418
20.1.1 IPsec的应用418
20.1.2 IPsec文档419
20.1.3 IPsec服务419
20.2 IP安全策略419
20.2.1 安全关联420
20.2.2 安全关联数据库420
20.2.3 安全性策略数据库421
20.2.4 IP流量处理422
20.3 封装安全净荷423
20.3.1 ESP格式423
20.3.2 加密和认证算法424
20.3.3 填充424
20.3.4 反重放服务424
20.3.5 传输和隧道模式425
20.4 组合安全关联428
20.4.1 认证和保密性429
20.4.2 安全关联的基本组合429
20.5 因特网密钥交换430
20.5.1 密钥确定协议431
20.5.2 头部和净荷格式433
20.6 关键术语、思考题和习题435
第21章 网络端点安全437
学习目标437
21.1 防火墙437
21.1.1 防火墙的特征437
21.1.2 防火墙的类型438
21.1.3 DMZ网络442
21.2 入侵检测系统443
21.2.1 基本原理444
21.2.2 入侵检测方法444
21.2.3 基于主机的入侵检测技术445
21.2.4 基于网络的入侵检测系统445
21.3 恶意软件447
21.3.1 恶意软件的类型447
21.3.2 恶意软件防御448
21.4 分布式拒绝服务攻击449
21.4.1 DDoS攻击描述449
21.4.2 构建攻击网络451
21.4.3 DDoS防御策略452
21.5 关键术语、思考题和习题452
第22章 云计算456
学习目标456
22.1 云计算456
22.1.1 云计算元素456
22.1.2 云服务模型457
22.1.3 云部署模型458
22.1.4 云计算参考架构461
22.2 云安全的概念463
22.3 云安全风险与对策464
22.3.1 STRIDE威胁模型464
22.3.2 数据泄露465
22.3.3 弱身份、凭证和访问管理466
22.3.4 不安全的API466
22.3.5 系统漏洞466
22.3.6 账号劫持466
22.3.7 恶意的内部人员467
22.3.8 高级持续威胁467
22.3.9 数据丢失468
22.3.10 尽职调查不足468
22.3.11 滥用及恶意使用云服务468
22.3.12 拒绝服务469
22.3.13 共享技术中的漏洞469
22.4 云安全即服务469
22.5 开源云安全模块471
22.6 关键术语和习题472
第23章 物联网安全473
学习目标473
23.1 物联网473
23.1.1 物联网上的“物”473
23.1.2 演化473
23.1.3 物联网设备的组件474
23.1.4 物联网与云环境474
23.2 物联网安全的概念与目标476
23.2.1 物联网生态系统的独特特征476
23.2.2 物联网安全目标477
23.2.3 防篡改和篡改检测478
23.2.4 网关安全478
23.2.5 物联网安全环境479
23.3 一个开源物联网安全模块480
23.3.1 加密算法480
23.3.2 操作模式481
23.3.3 偏移码本模式481
23.4 关键术语和思考题484
附录A 线性代数的基本概念485
A.1 向量和矩阵运算485
A.1.1 算术485
A.1.2 行列式486
A.1.3 逆矩阵486
A.2 Zn上的线性代数运算487
附录B 保密性和安全性度量490
B.1 条件概率490
B.2 完善保密490
B.3 信息和熵493
B.3.1 信息493
B.3.2 熵494
B.3.3 熵函数的性质495
B.3.4 条件熵496
B.4 熵和保密性496
B.5 最小熵497
附录C 数据加密标准499
C.1 初始置换500
C.2 每轮变换的细节501
C.3 DES解密504
附录D 简化AES505
D.1 概述505
D.2 S-AES加密与解密506
D.2.1 密钥加507
D.2.2 半字节代替507
D.2.3 行移位508
D.2.4 列混淆508
D.3 密钥扩展509
D.4 S盒509
D.5 S-AES的结构509
附件D.1 GF(24)上的算术511
附件D.2 列混淆函数512
附录E 生日攻击的数学基础513
E.1 相关问题513
E.2 生日悖论513
E.3 有用的不等式514
E.4 元素重复的一般情形515
E.5 两个集合间的元素重复516
参考文献 517