Protocol 协议Security Protocol 安全协议Trusted Third Party 可信第三方Cryptographic protocols 密码协议Key agreement or establishment protocols 密钥建立协议Entity authentication protocols 认证协议Electronic commerce protocols 电子商务协议Secure Multiparty Computation 安全多方计算协议Security Properties 安全属性Confidentiality 机密性Integrity 完整性Authentication 认证性Non-repudiation 不可否认性Fairness 公平性Attacks Against Protocols对安全协议的攻击Cryptographic attacks 密码攻击Passive attacks 被动攻击Active attacks 主动攻击Passive cheaters 内部攻击Active cheaters 外部攻击Dolev-Yao threat model Dolev-Yao攻击者模型Eavesdropping 窃听Modification 篡改Replay / Preplay 重放Man-in-the-Middle 中间人攻击（预重放）Reflection 反射Denial of Service 拒绝服务Typing Attack 类型攻击Cryptanalysis 密码分析certificate manipulation 证书操作protocol interaction 协议交互Parallel session attack 并行会话攻击secret splitting 秘密分割secret sharing 秘密共享Threshold Cryptography 门限密码Threshold Encryption 门限加密Threshold Signature 门限签名subliminal channels 阈下信道Covert channel 隐蔽信道Side channel 边信道bit commitment 比特承诺fair coin flipping 公平的硬币抛掷oblivious transfer 不经意传输Key Transport Protocols 密钥传输协议Key Agreement Protocols 密钥协商协议Group key secrecy 群组安全Backward secrecy (Join) 后向安全Forward secrecy (Leave) 前向安全Key Independence 密钥独立Freshness 新鲜性timestamps 时间戳nonce 随机挑战Counters 计数器Online password guessing 在线字典攻击Offline password guessing 离线字典攻击Password Protocols 口令协议Deniable Authentication 可否认的认证协议Authentication with user anonymity 匿名认证匿名认证Zero-knowledge proof 零知识证明Graph isomorphism 图同构Trust Negotiation 信任协商Digital Credentials 数字证书Blind Signature 盲签名Partially Blind Signatures 部分盲签名Fair Blind Signatures 公平盲签名Coin tracing 现金追踪Owner tracing 属主追踪batch verification 批验证batch signatures 批签名Proxy Signature 代理签名Group Signatures 群签名Ring signatures 环签名Multisignature 多重签名Non-repudiation protocol 非否认协议Non-repudiation of origin(NRO) 起源否认Non-repudiation of receipt (NRR)传递的否认Inline TTP 内联TTP Online TTP 在线TTPOffline TTP 离线TTP Fair Exchange Protocols 公平交换协议Electronic Voting 电子选举Digital Cash 数字现金Traceable Signature Protocol 可追踪的数字签名协议E-AUCTION 电子拍卖Dual Signature Operation 双重签名The Millionaire Problem 百万富翁Dining cryptographers 密码学家晚餐第一章安全协议概述协议（protocol）：两个或者两个以上的参与者为完成某项特定的任务而采取的一系列步骤。

密码协议（cryptographic protocol）是使用密码学完成某项特定的任务并满足安全需求的协议，又称安全协议（security protocol）。

P1密码协议的安全性质: P3机密性：确保信息不暴露给未授权的实体或进程，即信息不会被未授权的第三方所知，非授权读是对机密性的破坏。

完整性：信息不被偶然或者蓄意的删除，修改，伪造，乱序，重放，插入等破坏的特性，非授权写是对完整性的破坏。

非否认性：包括收发双方均不可否认应经发生的事实。

公平性：是电子支付协议的一个重要性质。

目的是保证参加协议的各方在协议执行的任何阶段都处于同等地位，当协议执行后，或者各方得到各自所需的，或者什么也得不到。

协议：就是两个或者两个以上的参与者为完成某项特定的任务而采取的一系列步骤。

P1可信第三方（Trusted Third Party）（仲裁者）（Trusted Arbitrator）：是指在完成协议的过程中，值得信任的第三方，能帮助互不信任的双方完成协议。

P2内部协议缺陷：协议的可达性存在问题，协议的参与者中至少有一方不能完成所有必需的动作而导致的缺陷。

P10安全协议中的角色：认证协议:发起者/响应签名协议:签名申请者/签署人/验证人零知识证明:证明者/验证者电子商务协议:商家/银行/用户安全属性（security Property）：机密性，完整性，认证性，非否认性，新鲜性Dolev和Yao攻击者模型：认为攻击者具有如下能力：(1) 可以窃听所有经过网络的消息；(2) 可以阻止和截获所有经过网络的消息；(3) 可以存储所获得或自身创造的消息；(4) 可以根据存储的消息伪造消息，并发送该消息；(5) 可以作为合法的主体参与协议的运行。

攻击手法：窃听攻击者获取协议运行中所传输的消息篡改攻击者更改协议运行中所传输的消息的内容重放攻击者记录已经获取的消息并在随后的协议运行中发送给相同的或不同的接收者反射攻击者将消息发回给消息的发送者拒绝服务攻击者阻止合法用户完成协议P5安全协议的缺陷（根据安全协议缺陷产生的原因和相应的攻击方法对安全协议进行分类）:基本协议缺陷,并行会话缺陷,口令猜测缺陷,陈旧消息缺陷,内部协议缺陷,密码系统缺陷.P9并行会话缺陷（parallel session flaws）:当多个协议实例同时执行时，如果协议对并行会话攻击缺少防范，会导致攻击者通过交换适当的协议消息获得所需的信息。

P9主动攻击，被动攻击，内部攻击，外部攻击P2主动攻击：在攻击时改变协议，在协议中引入新消息，修改或者删除消息等，达到欺骗获取敏感信息,破坏协议等目的。

被动攻击：不影响协议执行的攻击成为被动攻击。

内部攻击：攻击者是系统的合法用户的攻击。

外部攻击：攻击者是外部实体的攻击。

第三章基本的安全协议秘密分割（Secret split）：就是把一个消息分成n块，单独的每一块看起来没有意义但所有的块集合起来就能恢复出原消息。

P34秘密共享（Secret sharing）：是一种将秘密分割存储的密码技术，目的是阻止秘密过于集中，以达到分散风险和容忍入侵的目的，是信息安全和数据保密中的重要手段。

P35门限秘密共享（Threshold Secret Sharing）：P35方案：假设Coca-Cola公司的董事会想保护可乐的配方.该公司总裁应该能够在需要时拿到配方，但在紧急的情况下，12位董事会成员中的任意3位就可以揭开配方。

这可以通过一个秘密共享方案实现t = 3 、n = 15,其中3股给总统，1股给其他每个董事会成员。

安全问题：机密性:抵抗任何不当行为强健性：对任何可能出现的错误的可靠性(t, n) 秘密共享(t<n)秘密K 被拆分为n 个份额的共享秘密利用任意t（2≤t≤n）个或更多个共享份额就可以恢复秘密K任何m –1或更少的共享份额是不能得到关于秘密SK的任何有用信息强健性：暴露一个份额或多到m –1个份额都不会危及密钥，且少于m –1个用户不可能共谋得到密钥，同时若一个份额被丢失或损坏，还可恢复密钥Shamir 秘密共享, Blakley秘密共享根据t和n的选择，权衡安全性和可靠性。

高t，提供高安全性，低可靠性低t，提供低安全性，高可靠性阈值加密方案Threshold Encryption Scheme：一个消息是使用公钥加密；为了解密密文，需要超过阈值的共享份额合作来解密门限签名方案Threshold Signature Scheme：为了签名，需要超过阈值的共享份额合作来签名；签字可以使用公钥验证阈下信道：subliminal channels P36隐蔽信道边信道比特承诺：比特承诺方案具有两个重要性质：隐蔽性:即接收者不能通过接收的箱子来确定承诺值m；约束性:发送者不能改变箱子中的承诺值m构造比特承诺使用单向函数:哈希函数,公钥加密P39使用对称密码（Symmetric cryptography）算法的比特承诺：（1） Bob产生一个随机比特串R，并把它发送给Alice。

（2） Alice生成一个由她想承诺的比特b组成的消息，以及Bob的随机串。

她用某个随机密钥K对它加密，并将结果Ek（R，b）返回给Bob.这个是这个协议的承诺部分，Bob不能解密消息，因而不知道比特是什么。

当Alice 揭示她的比特的时候，协议继续。

（3） Alice发送密钥给Bob.（4） Bob解密消息以揭示比特。

他检测他的随机串以证实比特的有效性。

使用单向函数的比特承诺：（1） Alice产生两个随机比特串，R1和R2。

（2） Alice产生消息（R1，R2，b），该消息由她的随机串和她希望承诺的比特组成。