1.密码协议（cryptographic protocol）是使用密码学完成某项特定的任务并满足安全需求的协议，又称安全协议（security protocol）.密码学的用途是解决种种难题。

当我们考虑现实世界中的应用时，常常遇到以下安全需求：机密性、完整性、认证性、匿名性、公平性等，密码学解决的各种难题围绕这些安全需求.2.Dolev和Yao攻击者模型.认为攻击者具有如下能力：(1) 可以窃听所有经过网络的消息；(2) 可以阻止和截获所有经过网络的消息；(3) 可以存储所获得或自身创造的消息；(4) 可以根据存储的消息伪造消息，并发送该消息；(5) 可以作为合法的主体参与协议的运行3.攻击手法.窃听攻击者获取协议运行中所传输的消息篡改攻击者更改协议运行中所传输的消息的内容重放攻击者记录已经获取的消息并在随后的协议运行中发送给相同的或不同的接收者预重放重放的一种反射攻击者将消息发回给消息的发送者拒绝服务攻击者阻止合法用户完成协议类型攻击攻击者将协议运行中某一类消息域替换成其它的消息域密码分析攻击者利用在协议运行中所获取的消息进行分析以获取有用的信息证书操纵攻击者选择或更改证书信息来攻击协议的运行4.秘密分割（1）Trent产生一随机比特串R。

（2）Trent用R异或M得到S：M ⊕ R = S（3）Trent把R给Alice，将S给Bob。

（4）重构消息：Alice和Bob将他们的消息异或就可得到此消息R ⊕ S =M.如何在多个人中分割一消息？秘密分割的缺点是什么?5.(t, n) Secret Sharing .目标是把秘密K 分成 n 份 s1, . . . sn,使得:在秘密共享方案中，最常见的就是门限方案。

门限方案是实现门限访问结构的秘密共享方案，在一个( t，n )门限方案中，t为门限值，秘密SK被拆分为n个份额的共享秘密，利用任意t ( 2 ≤t ≤n )个或更多个共享份额就可以恢复秘密 SK，而用任何t– 1或更少的共享份额是不能得到关于秘密SK的任何有用信息的。

6.Shamir’s Secret Sharing7.阈下信道: Alice和Bob建立一个阈下信道，即完全在Walter视野内的建立的一个秘密通信信道。

通过交换完全无害的签名的消息，他们可以来回传送秘密信息，并骗过Walter，即使Walter正在监视所有的通信。

8. 比特承诺 :Required properties of bit commitment (From Alice to Bob)Binding property: Alice can’t change her mind;Hiding property: Bob can’t open the box, unless Alice unlocks it.9.不经意传输Alice将发送给Bob两份消息中的一份。

Bob将收到其中一条消息，并且Alice不知道是哪一份。

（1）Alice产生两个公开密钥/私钥密钥对。

她把两个公开密钥发送给Bob。

（2）Bob选择一个对称算法（例如DES）密钥。

他选择Alice的一个公开密钥并用它加密他的DES密钥。

他把这个加了密的密钥发送给Alice，且不告诉她他用的是她的哪一个公开密钥加密的DES密钥。

（3）Alice解密Bob的密钥两次，每次用一个她的私钥来解密Bob的密钥。

在一种情况下，她使用了正确的密钥并成功地解密Bob的DES密钥。

在另一种情况下，她使用了错误的密钥，只是产生了一堆毫无意义，而看上去又象一个随机DES密钥的比特。

由于她不知道正确明文，故她不知道哪个是正确的。

（4）Alice加密她的两份消息，每一份用一个不同的在上一步中产生的DES密钥（一个真的和一个毫无意义的），并把两份消息都发送给Bob。

（5）Bob收到一份用正确DES密钥加密的消息及一份用无意义DES密钥加密的消息。

当Bob用他的DES密钥解密每一份消息时，他能读其中之一，另一份在他看起来是毫无意义的。

Bob现在有了Alice两份消息中的一份，而Alice不知道他能读懂哪一份。

很遗憾，如果协议到此为止，Alice有可能进行欺骗。

另一个步骤必不可少。

（6）在协议完成，并且知道了两种可能传输的结果后，Alice必须把她的私钥给Bob，以便他能验证她没有进行欺骗。

毕竟，她可以用第（4）步中的两个密钥加密同一消息。

当然，这时Bob可以弄清楚第二份消息。

零知识证明:证明者能够向验证者证明拥有某个信息,但不向验证者泄露这个信息A zero-knowledge proof is a way that a “prover” can prove pos session of a certain piece of information to a “verifier” without revealing it.10.长期密钥:实体之间长期共享的密钥或长期拥有的私钥.会话密钥:双方通信建立的短期密钥密钥分配协议:会话密钥由密钥建立协议的参与者之一产生并传输给各个用户。

这里的密钥产生者一般是一个可信的服务器。

这就是密钥分配协议密钥协商协议:会话密钥由每个协议参与者分别产生的参数通过一定的计算得出，即密钥协商协议混合协议:指会话密钥由一部分的参与者协商产生并分配给其余的用户11. 用户如果检查收到的消息是新鲜的?时间戳：消息发送者在消息种加入消息发送的时间。

接受者根据时间戳的时间和本地时间的对比确定消息的新鲜性。

难度在于使用时间戳必须保证时钟的同步性。

随机挑战（nonce）：消息的接收者先产生一个随机数发送给消息的发送者然后根据随后收到的消息中包含的随机数验证消息是否新鲜。

必须注意的是产生随机数的方式，即产生的随机数的质量计数器：消息发送者和接收者各自拥有同步计数器，计数器的值随消息的发送增加。

难度在于计数器的管理，计数器必须存储所有参与者的状态。

混合方法：将计数器和时间戳结合使用。

12单向认证:只认证一方的真实性.如用户认证服务器.双向认证:双方相互证实对方的真实性.写出Needham-Schroeder 的基于对称密码的认证协议。

1. A → S : A, B, N A2. S → A : {N A, B, K AB, {K AB, A}K BS}K AS3. A → B : {K AB,A}K BS4. B → A : {N B}K AB5. A → B : {N B - 1} K AB13.Needham-Schroeder public key protocol:说明该协议存在如下攻击:A,C正常通信,同时C假冒A与B通信1.A→B: E B (N A, A)2.B→A: E A(N A, N B)3.A→B: E B (N B )1. A→C: E C (N A , A)1'. C A→B: E B (N A, A)2'. B →C A: E A (N A, N B)2. C →A: E A (N A, N B)3. A→C: E C (N B)3'. C A→B:E B (N B)修改消除缺陷1.A→B: E B (N A, A)2.B→A: E A(N A, N B ,B)3.A→B: E B (N B )14.离线字典攻击:在基于口令的认证协议中在基于口令的协议中，用户倾向于选择短的容易记忆的口令，因此口令协议容易遭受字典攻击。

离线字典攻击是指攻击者通过主动或被动方式获取认证信息，利用该认证信息以离线的方式反复猜测可能的口令并验证猜测是否正确。

判断以下的口令认证协议是否存在离线字典攻击存在离线口令猜测攻击。

敌手截获ID i, M1, M2, AUTH。

猜测一个口令pw',由M1计算出rc'，由M2计算出rs'，比较AUTH与H(H(ID i, pw'), rc', rs')是否相等，若相等等猜中了口令，若不相等则换一个口令继续猜测。

15.前向安全性:长期密钥被攻破,但不会危害以前利用该长期密钥建立的会话密钥的安全.15RFID系统的组成: RFID系统一般由三大部分构成：RFID标签（Tag）、RFID 标签读写器及后端数据库.标签也被称为电子标签或职能标签，它是带有天线的芯片，芯片中存储有能够识别目标的信息。

RFID标签具有持久性，信息接收传播穿透性强，存储信息容量大、种类多等特点。

读写器实际上是一个带有天线的无线发射与接收设备，它的处理能力、存储空间都比较大。

读写器分为手持和固定两种。

由于RFID标签的非接触特定，须借助位于应用系统和标签之间的读写器来实现数据读写功能，从而通过计算机应用软件对RFID标签写入信息或者读取标签所携带的数据信息。

后端数据库可以是运行于任意硬件平台的数据库系统，通常假设其计算和存储能力强大，并包含所有标签的信息。

通常假设标签和读写器之间的通信信道是不安全的，而读写器和后端数据库之间的通信信道则是安全的。

阅读器发射电磁波，而此电磁波有其辐射范围，当电子标签进入此电磁波辐射范围内，电子标签将阅读器所发射的微小电磁波能量存储进而转换成电路所需的电能，并且将存储的识别资料以电磁波的方式传送给阅读器作确认及后续控制动作。

16. RFID系统的安全问题: 数据安全：由于任何实体都可读取标签，因此敌手可将自己伪装成合法标签，或者通过进行拒绝服务攻击，从而对标签的数据安全造成威胁。

隐私：将标签ID和用户身份相关联，从而侵犯个人隐私。

未经授权访问标签信息，得到用户在消费习惯、个人行踪等方面的隐私。

和隐私相关的安全问题主要包括信息泄漏和追踪。

复制：约翰斯 霍普金斯大学和RSA实验室的研究人员指出RFID标签中存在的一个严重安全缺陷是标签可被复制。

17.RFID认证协议的安全需求: 常见的安全需求有如下几项：①认证性。

对标签的认证是RFID认证协议的本质要求，应避免攻击者假冒标签；②匿名性。

匿名性保证标签不能被追踪，包括弱匿名性和强匿名性。

弱匿名性指读写器不能够分辨是哪个标签与其交互。

强匿名性指在读写器与标签的2次交互中，敌手不能区分这2次交互对象是否为同一个标签。

协议应防止信息泄露，攻击者通常利用标签泄漏的信息进行追踪。

追踪意味着攻击者能够分辨出曾经识别过的标签，根据应用敏感性确定协议是否需要提供强匿名性；③前向安全性与后向安全性。

当某时刻t标签中秘密泄露，如果不会危及标签在时刻t’< t的隐私，称具有前向安全性，如果不会危及标签在时刻t’ > t的隐私，称具有后向安全性。

由于有的标签不具备抗篡改防护，需要考虑前向安全性，但对于敏感程度不高的应用系统，也可以不考虑前向安全性。

标签内密钥更新是由旧密钥演化出新密钥，在不支持公钥算法的情况上，不能使用Diffie-Hellman密钥协商，因此不可能具有完美的后向安全性，一般系统不考虑后向安全性；④可用性。