编辑推荐

本书由教育部高等学校信息安全专业教学指导委员会、中国计算机学会教育专业委员会共同指导，为普通高等教育“十一五”国家级规划教材并获得首届中国大学出版社图书奖、中央网信办和教育部评选的国家网络安全优秀教材奖，符合《高等学校信息安全专业指导性专业规范》。
　　本书作为信息安全专业重要的专业基础课程教材，是作者长期教学实践的积累，是同类教材中的优秀教材和经典教材。本书全面而详细地介绍现代密码学的理论和相关算法，可帮助读者将所学知识应用于信息安全的实践中。本书从教材使用的角度考虑，概念清晰、结构合理、通俗易懂、深入浅出，充分考虑方便教师在教学过程中的实施，注重与其他专业课教学的衔接，精心给出了大量的例题和习题。本书取材新颖，不仅介绍现代密码学的基础理论和实用算法，同时也涵盖了现代密码学领域国内外*新的研究成果，并按内容的内在逻辑由浅及深地展开，有效帮助读者了解本学科*新的发展方向，符合教育部高等学校信息安全专业教学指导委员会编制的《高等学校信息安全专业指导性专业规范》要求，特别适合作为高等院校信息安全、计算机工程和信息对抗等专业的本科生和网络空间安全学科研究生教材，也可作为通信工程师和计算机网络工程师的参考读物。
　　本书自出版以来，已经多次再版和重印，累计发行近5万册，深受广大师生和读者欢迎，150多所高校选用本书作为专业课教材，普遍反映该教材特色突出，教学效果很好。
　　
　　

内容简介

　　本书全面而详细地介绍现代密码学的理论和相关算法，可帮助读者将所学知识应用于信息安全实践。全书共分10章，内容包括现代密码学的基本概念、流密码、分组密码、公钥密码、密钥分配与密钥管理、消息认证和哈希函数、数字签名和认证协议、密码协议、可证明安全、网络加密与认证。

　　本书从教材使用的角度考虑，概念清晰、结构合理、讲解通俗易懂、内容深入浅出，并充分考虑方便教师在教学过程中的实施，同时还注意与其他专业课教学的衔接。本书取材新颖，不仅介绍现代密码学所涉及的基础理论和实用算法，而且涵盖了现代密码学的*研究成果，力求使读者通过本书的学习而了解本学科*的发展方向。

　　本书可作为高等学校相关专业大学生和研究生的教材，也可作为通信工程师和计算机网络工程师的参考读物。

作者简介

杨波，北京大学学士，西安电子科技大学硕士、博士，陕西师范大学计算机科学学院教授、博士生导师，陕西省百人计划特聘教授，中国密码学会理事，中国密码学会密码算法专业委员会委员，《密码学报》编委。曾任华南农业大学信息学院、软件学院院长。2011年起在陕西师范大学计算机科学学院工作。2005年担任第四届中国信息和通信安全学术会议程序委员会主席，2009年担任中国密码学会年会副主席，2010年起担任The Joint Workshop on Information Security (JWIS ) Co-General Chair。主持多项国家自然科学基金、863计划、国家密码发展基金、国防科技重点实验室基金、陕西省自然科学基金项目。

精彩书评

目录

第1章引言1
1.1信息安全面临的威胁1
1.1.1安全威胁1
1.1.2入侵者和病毒2
1.1.3安全业务3
1.2信息安全模型4
1.3密码学基本概念5
1.3.1保密通信系统5
1.3.2密码体制分类7
1.3.3密码攻击概述7
1.4几种古典密码8
1.4.1单表代换密码9
1.4.2多表代换密码10
习题11

第2章流密码13
2.1流密码的基本概念13
2.1.1同步流密码13
2.1.2有限状态自动机14
2.1.3密钥流产生器15
2.2线性反馈移位寄存器16
2.3线性移位寄存器的一元多项式表示18
2.4m序列的伪随机性21
2.5m序列密码的破译23
2.6非线性序列26
2.6.1Geffe序列生成器26
2.6.2JK触发器27
2.6.3Pless生成器28现代密码学(第4版)目录2.6.4钟控序列生成器28
习题30

第3章分组密码体制32
3.1分组密码概述32
3.1.1代换33
3.1.2扩散和混淆34
3.1.3Feistel密码结构35
3.2数据加密标准38
3.2.1DES描述38
3.2.2二重DES43
3.2.3两个密钥的三重DES44
3.2.43个密钥的三重DES44
3.3差分密码分析与线性密码分析45
3.3.1差分密码分析45
3.3.2线性密码分析46
3.4分组密码的运行模式47
3.4.1电码本模式47
3.4.2密码分组链接模式48
3.4.3密码反馈模式49
3.4.4输出反馈模式51
3.5IDEA52
3.5.1设计原理52
3.5.2加密过程54
3.6AES 算法——Rijndael58
3.6.1Rijndael的数学基础和设计思想58
3.6.2算法说明61
3.7中国商用密码算法SM469
3.8祖冲之密码73
3.8.1算法中的符号及含义73
3.8.2祖冲之密码的算法结构74
3.8.3祖冲之密码的运行79
3.8.4基于祖冲之密码的机密性算法 128�睧EA379
习题81
第4章公钥密码83
4.1密码学中一些常用的数学知识83
4.1.1群、环、域83
4.1.2素数和互素数85
4.1.3模运算86
4.1.4模指数运算88
4.1.5费尔马定理、欧拉定理、卡米歇尔定理89
4.1.6素性检验92
4.1.7欧几里得算法95
4.1.8中国剩余定理98
4.1.9离散对数101
4.1.10平方剩余102
4.1.11循环群105
4.1.12循环群的选取106
4.1.13双线性映射107
4.1.14计算复杂性108
4.2公钥密码体制的基本概念109
4.2.1公钥密码体制的原理110
4.2.2公钥密码算法应满足的要求111
4.2.3对公钥密码体制的攻击112
4.3RSA算法113
4.3.1算法描述113
4.3.2RSA算法中的计算问题115
4.3.3一种改进的RSA实现方法116
4.3.4RSA的安全性116
4.3.5对RSA的攻击118
4.4背包密码体制119
4.5Rabin密码体制121
4.6NTRU公钥密码系统123
4.7椭圆曲线密码体制124
4.7.1椭圆曲线124
4.7.2有限域上的椭圆曲线125
4.7.3椭圆曲线上的点数127
4.7.4明文消息到椭圆曲线上的嵌入127
4.7.5椭圆曲线上的密码128
4.8SM2椭圆曲线公钥密码加密算法130
习题133

第5章密钥分配与密钥管理135
5.1单钥加密体制的密钥分配135
5.1.1密钥分配的基本方法135
5.1.2一个实例135
5.1.3密钥的分层控制137
5.1.4会话密钥的有效期137
5.1.5无中心的密钥控制137
5.1.6密钥的控制使用138
5.2公钥加密体制的密钥管理139
5.2.1公钥的分配139
5.2.2用公钥加密分配单钥密码体制的密钥141
5.2.3Diffie|Hellman密钥交换143
5.3随机数的产生144
5.3.1随机数的使用144
5.3.2随机数源145
5.3.3伪随机数产生器145
5.3.4基于密码算法的随机数产生器147
5.3.5随机比特产生器149
5.4秘密分割150
5.4.1秘密分割门限方案150
5.4.2Shamir门限方案151
5.4.3基于中国剩余定理的门限方案152
习题154

第6章消息认证和哈希函数156
6.1消息认证码156
6.1.1消息认证码的定义及使用方式156
6.1.2产生MAC的函数应满足的要求157
6.1.3数据认证算法158
6.1.4基于祖冲之密码的完整性算法128�睧IA3159
6.2哈希函数161
6.2.1哈希函数的定义及使用方式161
6.2.2哈希函数应满足的条件162
6.2.3生日攻击164
6.2.4迭代型哈希函数的一般结构165
6.3MD5哈希算法166
6.3.1算法描述166
6.3.2MD5的压缩函数169
6.3.3MD5的安全性170
6.4安全哈希算法171
6.4.1算法描述171
6.4.2SHA的压缩函数172
6.4.3SHA与MD5的比较174
6.4.4对SHA的攻击现状174
6.5HMAC175
6.5.1HMAC的设计目标175
6.5.2算法描述175
6.5.3HMAC的安全性177
6.6SM3哈希算法178
6.6.1SM3哈希算法的描述178
6.6.2SM3哈希算法的安全性179
习题181

第7章数字签名和认证协议182
7.1数字签名的基本概念182
7.1.1数字签名应满足的要求182
7.1.2数字签名的产生方式183
7.1.3数字签名的执行方式184
7.2数字签名标准186
7.2.1DSS的基本方式186
7.2.2数字签名算法DSA187
7.3其他签名方案188
7.3.1基于离散对数问题的数字签名体制188
7.3.2基于大数分解问题的数字签名体制192
7.3.3基于身份的数字签名体制193
7.4SM2椭圆曲线公钥密码签名算法194
7.5认证协议196
7.5.1相互认证196
7.5.2单向认证200
习题201

第8章密码协议202
8.1一些基本协议202
8.1.1智力扑克202
8.1.2掷硬币协议203
8.1.3数字承诺协议204
8.1.4不经意传输协议205
8.2零知识证明208
8.2.1交互式证明系统208
8.2.2交互式证明系统的定义209
8.2.3交互式证明系统的零知识性209
8.2.4非交互式证明系统212
8.2.5适应性安全的非交互式零知识证明213
8.2.6零知识证明协议的组合213
8.2.7图的三色问题的零知识证明214
8.2.8知识证明215
8.2.9简化的Fiat|Shamir身份识别方案218
8.2.10Fiat�睸hamir身份识别方案219
8.3安全多方计算协议220
8.3.1安全多方计算问题220
8.3.2半诚实敌手模型221
8.3.3恶意敌手模型225
习题228

第9章可证明安全229
9.1语义安全的公钥密码体制的定义229
9.1.1选择明文攻击下的不可区分性229
9.1.2公钥加密方案在选择密文攻击下的不可区分性233
9.1.3公钥加密方案在适应性选择密文攻击下的不可区分性235
9.1.4归约236
9.2语义安全的RSA加密方案237
9.2.1RSA问题和RSA假设237
9.2.2选择明文安全的RSA加密238
9.2.3选择密文安全的RSA加密240
9.3Paillier公钥密码系统243
9.3.1合数幂剩余类的判定243
9.3.2合数幂剩余类的计算244
9.3.3基于合数幂剩余类问题的概率加密方案246
9.3.4基于合数幂剩余类问题的单向陷门置换247
9.3.5Paillier密码系统的性质248
9.4Cramer�睸houp密码系统249
9.4.1Cramer�睸houp密码系统的基本机制249
9.4.2Cramer�睸houp密码系统的安全性证明250
9.5RSA�睩DH签名方案252
9.5.1RSA签名方案252
9.5.2RSA�睩DH签名方案的描述253
9.5.3RSA�睩DH签名方案的改进255
9.6BLS短签名方案257
9.6.1BLS短签名方案所基于的安全性假设257
9.6.2BLS短签名方案描述257
9.6.3BLS短签名方案的改进一259
9.6.4BLS短签名方案的改进二259
9.7基于身份的密码体制260
9.7.1基于身份的密码体制定义和安全模型260
9.7.2随机谕言机模型下的基于身份的密码体制263
9.8分叉引理273
习题275

第10章网络加密与认证277
10.1网络通信加密277
10.1.1开放系统互连和TCP/IP分层模型277
10.1.2网络加密方式278
10.2Kerberos认证系统281
10.2.1Kerberos V4281
10.2.2Kerberos区域与多区域的Kerberos284
10.3X.509认证业务285
10.3.1证书285
10.3.2认证过程288
10.4PGP289
10.4.1运行方式289
10.4.2密钥和密钥环293
10.4.3公钥管理298
习题301

参考文献302

精彩书摘

　　第3章分组密码体制

　　3.1分组密码概述在许多密码系统中，单钥分组密码是系统安全的一个重要组成部分，用分组密码易于构造伪随机数生成器、流密码、消息认证码(MAC)和哈希函数等，还可进而成为消息认证技术、数据完整性机制、实体认证协议以及单钥数字签字体制的核心组成部分。实际应用中对于分组密码可能会提出多方面的要求，除了安全性外，还有运行速度、存储量(程序的长度、数据分组长度、高速缓存大小)、实现平台(硬件、软件、芯片)、运行模式等限制条件。这些都需要与安全性要求之间进行适当的折中选择。

　　分组密码是将明文消息编码表示后的数字序列x0,x1,…,xi,…划分成长为n的组x=(x0,x1,…,xn－1)，各组(长为n的矢量)分别在密钥k=(k0,k1,…,kt－1)控制下变换成等长的输出数字序列y=(y0,y1,…,ym－1)(长为m的矢量)，其加密函数E：Vn×KVm，Vn和Vm分别是n维和m维矢量空间，K为密钥空间，如图3��1所示。它与流密码的不同之处在于输出的每一位数字不是只与相应时刻输入的明文数字有关，而是与一组长为n的明文数字有关。在相同密钥下，分组密码对长为n的输入明文组所实施的变换是等同的，所以只需研究对任一组明文数字的变换规则。这种密码实质上是字长为n的数字序列的代换密码。

　　图3��1分组密码框图

　　通常取m=n。若m>n，则为有数据扩展的分组密码。若m

　　(1)分组长度n要足够大，使分组代换字母表中的元素个数2n足够大，防止明文穷举攻击法奏效。DES、IDEA、FEAL和LOKI等分组密码都采用n=64，在生日攻击下用232组密文成功概率为1/2，同时要求232×64比特=215Mbyte存储，故采用穷举攻击是不现实的。

　　(2)密钥量要足够大(即置换子集中的元素足够多)，尽可能消除弱密钥并使所有密现代密码学(第4版)第3章分组密码体制钥同等地好，以防止密钥穷举攻击奏效。但密钥又不能过长，以便于密钥的管理。DES采用56比特密钥，现在看来太短了，IDEA采用128比特密钥，据估计，在今后30～40年内采用80比特密钥是足够安全的。

　　(3)由密钥确定置换的算法要足够复杂，充分实现明文与密钥的扩散和混淆，没有简单的关系可循，能抗击各种已知的攻击，如差分攻击和线性攻击；有高的非线性阶数，实现复杂的密码变换；使对手破译时除了用穷举法外，无其他捷径可循。

　　(4)加密和解密运算简单，易于软件和硬件高速实现。如将分组n划分为子段，每段长为8、16或者32。在以软件实现时，应选用简单的运算，使作用于子段上的密码运算易于以标准处理器的基本运算，如加、乘、移位等实现，避免使用以软件难以实现的逐比特置换。为了便于硬件实现，加密和解密过程之间的差别应仅在于由秘密密钥所生成的密钥表不同而已。这样，加密和解密就可使用同一器件实现。设计的算法采用规则的模块结构，如多轮迭代等，以便于软件和VLSI快速实现。此外，差错传播和数据扩展要尽可能小。

　　(5)数据扩展尽可能小。一般无数据扩展，在采用同态置换和随机化加密技术时可引入数据扩展。

　　(6)差错传播尽可能小。

　　要实现上述几点要求并不容易。首先，要在理论上研究有效而可靠的设计方法，而后进行严格的安全性检验，并且要易于实现。

　　下面介绍设计分组密码的一些常用方法。

　　3.1.1代换

　　如果明文和密文的分组长都为n比特，则明文的每一个分组都有2n个可能的取值。为使加密运算可逆(使解密运算可行)，明文的每一个分组都应产生唯一的一个密文分组，这样的变换是可逆的，称明文分组到密文分组的可逆变换为代换。不同可逆变换的个数有2n!个。

　　图3��2代换结构图3��2表示n=4的代换密码的一般结构，4比特输入产生16个可能输入状态中的一个，由代换结构将这一状态映射为16个可能输出状态中的一个，每一输出状态由4个密文比特表示。加密映射和解密映射可由代换表来定义，如表3��1所示。这种定义法是分组密码最常用的形式，能用于定义明文和密文之间的任何可逆映射。表3��1与图3��2对应的代换表

　　明文密文明文密文00001110100000110001010010011010001011011010011000110001101111000100001011000101010111111101100101101011111000000111100011110111密文明文密文明文00001110100001110001001110011101001001001010100100111000101101100100000111001011010111001101001001101010111000000111111111110101但这种代换结构在实用中还有一些问题需考虑。如果分组长度太小，如n=4，系统则等价于古典的代换密码，容易通过对明文的统计分析而攻破。这个弱点不是代换结构固有的，只是因为分组长度太短。如果分组长度n足够大，而且从明文到密文可有任意可逆的代换，那么明文的统计特性将被隐藏而使以上的攻击不能奏效。

　　然而，从实现的角度来看，分组长度很大的可逆代换结构是不实际的。仍以表3��1为例，该表定义了n=4时从明文到密文的一个可逆映射，其中第二列是每个明文分组对应的密文分组的值，可用来定义这个可逆映射。因此从本质上来说，第二列是从所有可能的映射中决定某一特定映射的密钥。在这个例子中，密钥需要64比特。一般，对n比特的代换结构，密钥的大小是n×2n比特。如对64比特的分组，密钥大小应是64×264=270≈1021比特，因此难以处理。实际中常将n分成较小的段，例如可选n=r·n0，其中r和n0都是正整数，将设计n个变量的代换变为设计r个较小的子代换，而每个子代换只有n0个输入变量。一般n0都不太大，称每个子代换为代 现代密码学（第4版)（网络空间安全重点规划丛书） 电子书 下载 mobi epub pdf txt

好评

质量很好，应该是正品~

挺好的

经典的密码学书籍，考博必备

挺好的

很实用。

当大家看到我的这一篇评价时，表示我对产品是认可的，尽管我此刻的评论是复制粘贴的。这一方面是为了肯定商家的服务，另一方面是为了节省自己的时间，因为差评我会直接说为什么的。所以大家就当做是产品质量合格的意思来看就行了。最后祝店家越做越好，大家幸福平安，中华民族繁荣昌盛。

好评

很实用。