本书专门讲述公开密钥基础设施技术。本书是在作者多年研究经验的基础上,结合研究生专业课程的教学实践撰写而成。全书共分15章,主要内容包括:密码学基础、PKI系统的基本结构、数字证书的结构与编码、目录技术、证书的生命周期、证书撤销技术、证书策略、PKI互联技术、PKI应用技术以及属性证书与授权技术。本书从需要解决的网络安全问题出发,逐步深入地介绍了PKI解决问题的先进思路和工程方法,以及PKI的应用与发展。为帮助读者理解书中内容,每章后附有参考文献和习题。 本书可作为高等院校计算机、通信、信息安全等专业的教学参考书,也可供从事相关专业的教学科研和工程技术人员参考。
样章试读
目录
1.1 什么是PKI
1.2 PKI的目标
1.3 PKI技术包含的内容
1.4 PKI的优势
1.5 PKI的未来
习题
参考文献
第2章 密码学基础
2.1 密码算法与算法安全
2.2 对称密码算法
2.2.1 使用方式
2.2.2 存在问题
2.3 公钥密码算法
2.3.1 特点
2.3.2 典型算法
2.4 数字签名算法
2.4.1 基本过程
2.4.2 典型算法
2.5 杂凑函数
2.5.1 SHA-1算法
2.5.2 其他Hash函数
习题
参考文献
第3章 PKI基本结构
3.1 从公钥密码学到PKI
3.2 PKI系统基本组件
3.2.1 证书认证中心
3.2.2 证书持有者
3.2.3 依赖方
3.3 辅助组件
3.3.1 RA
3.3.2 资料库
3.3.3 CRL Issuer和OCSP服务器
3.3.4 密钥管理系统
3.4 PKI系统实例
3.4.1 X.509标准
3.4.2 PKIX工作组
3.4.3 中国商用PKI系统标准
3.4.4 美联邦MISPC
3.4.5 RSA公司数字证书解决方案
3.4.6 Entrust Authority PKI
3.4.7 中国科学院ARP CA系统
3.4.8 微软公司解决方案
3.5 其他解决方案
3.5.1 ANSI X9.59
3.5.2 PGP
3.5.3 SPKI/SDSI
习题
参考文献
第4章 证书基本结构与编码
4.1 证书基本结构
4.2 证书描述方法
4.2.1 简单类型
4.2.2 构造类型
4.2.3 其他关键字
4.3 证书的描述实例
4.3.1 整体结构
4.3.2 版本号
4.3.3 序列号
4.3.4 签名算法
4.3.5 签发者和主体
4.3.6 有效期
4.3.7 主体公钥信息
4.3.8 签发者唯一标识符和主体唯一标识符
4.4 证书编码
4.4.1 简单类型的编码
4.4.2 构造类型数据的编码
4.4.3 标签
4.5 证书编码实例
4.6 证书扩展
习题
参考文献
第5章 PKI中的目录基础
5.1 为什么要用目录
5.1.1 二维表的困境
5.1.2 用目录进行数据存储和检索
5.1.3 目录的研究历史
5.2 目录的组织结构
5.2.1 条目
5.2.2 属性
5.2.3 对象类
5.2.4 条目的命名
5.3 目录的管理
5.3.1 目录中的操作属性
5.3.2 逻辑上的分布式管理
5.3.3 物理上的分布式管理
5.4 访问目录中的信息
5.4.1 目录用户代理
5.4.2 用户指令在目录内部的传递
5.4.3 目录访问协议
5.4.4 轻量目录访问协议
5.5 使用目录管理资源
5.5.1 目录中资源的组织
5.5.2 目录的身份鉴别和访问控制
5.5.3 目录的身份鉴别
5.5.4 目录的访问控制
5.6 目录系统实例
5.6.1 MS Active Directory
5.6.2 Oracle Internet Directory
5.6.3 Sun Directory
习题
参考文献
第6章 证书生命周期
6.1 证书的生命
6.2 证书的产生
6.2.1 密钥生成
6.2.2 提交申请
6.2.3 审核检查
6.2.4 签发行为
6.3 证书的使用
6.3.1 证书获取
6.3.2 验证使用
6.3.3 证书存储
6.4 证书的撤销
6.5 证书的更新
6.6 证书的归档
6.7 PKI证书操作协议
6.7.1 指导PKI系统的开发
6.7.2 典型的协议
6.7.3 设计和选择证书操作协议
习题
参考文献
第7章 证书撤销技术
7.1 证书撤销
7.2 证书撤销列表
7.2.1 CRL原理
7.2.2 CRL格式
7.2.3 CRL扩展和CRL Entry扩展
7.3 CRL增强机制
7.3.1 CRL分发点
7.3.2 增量CRL
7.3.3 重定向CRL
7.3.4 间接CRL
7.4 在线查询
7.4.1 OCSP
7.4.2 NOVOMODO
7.5 证书撤销树
7.6 其他证书撤销技术
7.6.1 短周期证书
7.6.2 SEM组件
习题
参考文献
第8章 证书策略与认证业务声明
8.1 应用的安全需求多样性
8.2 证书策略
8.2.1 数字证书的“等级”
8.2.2 基本构成
8.2.3 证书策略的表示
8.3 认证业务声明
8.3.1 CP自身的信任危机
8.3.2 CP和CPS的关系
8.3.3 CPS的基本构成
8.4 设计合理的CP
8.5 证书策略与认证业务声明的书写
8.5.1 整体介绍
8.5.2 信息发布和资料库管理
8.5.3 身份标识与鉴别
8.5.4 基于证书的操作
8.5.5 安全控制(管理、过程、物理层面)
8.5.6 安全控制(技术层面)
8.5.7 证书模板和CRL模板
8.5.8 合规性审计和相关评估
8.5.9 商业和法律相关事务
8.6 CP/CPS的使用
习题
参考文献
第9章 双证书体系
9.1 加密应用的政府监控
9.2 解密密钥的恢复需求
9.3 签名密钥的法律保护
9.4 矛盾的解决——双证书体系
9.5 密钥管理中心
9.5.1 密钥生成
9.5.2 密钥存储
9.5.3 密钥分发
9.5.4 密钥恢复
9.5.5 密钥撤销、更新和归档
9.6 双证书操作流程
9.7 双证书体系面临的挑战
9.7.1 实现理想的双证书仍旧有许多工作要做
9.7.2 密钥管理中心挑战网络信任
习题
参考文献
第10章 PKI互联
10.1 互联问题
10.2 现实中的信任关系
10.2.1 行政中的严格层次
10.2.2 交往中的自主控制
10.2.3 市场中的准入制度
10.2.4 集团间的平等合作
10.2.5 协会中的对话交流
10.2.6 信任关系总结
10.3 严格层次方案
10.4 列表方案
10.4.1 用户自主列表
10.4.2 权威列表
10.5 交叉认证方案
10.5.1 策略映射
10.5.2 网状结构
10.6 桥CA方案
10.7 PGP方案
10.8 互联实例
10.8.1 联邦桥CA
10.8.2 欧洲桥CA
10.8.3 Cross Recognition
习题
参考文献
第11章 证书扩展和CRL扩展
11.1 扩展简介
11.2 密钥和证书策略信息扩展
11.2.1 密钥用法
11.2.2 扩展的密钥用法
11.2.3 私钥使用期限
11.2.4 证书策略
11.2.5 策略映射
11.3 证书主体和签发者信息扩展
11.3.1 认证中心密钥标识
11.3.2 主体密钥标识
11.3.3 签发者其他名称
11.3.4 主体其他名称
11.3.5 主体的目录属性
11.3.6 认证中心的信息获取
11.3.7 主体信息获取
11.4 证书路径验证相关扩展
11.4.1 基本限制
11.4.2 名字限制
11.4.3 策略限制
11.4.4 禁止任意策略
11.5 证书中CRL相关扩展
11.5.1 CRL分发点
11.5.2 最新CRL
11.6 CRL扩展
11.6.1 认证中心密钥标识
11.6.2 颁发者其他名字
11.6.3 CRL编号
11.6.4 增量CRL指示
11.6.5 签发分发点
11.6.6 最新CRL
11.7 CRL Entry扩展
11.7.1 原因码
11.7.2 停用证书指示码
11.7.3 失效时间
11.7.4 证书签发者
习题
参考文献
第12章 PKI中的实体身份鉴别
12.1 身份假冒问题
12.2 证书基本验证
12.2.1 CA数字签名
12.2.2 有效期
12.2.3 撤销状态
12.3 证书认证路径构建
12.3.1 证书认证路径的构建原理
12.3.2 不同信任结构下证书认证路径构建
12.4 证书认证路径验证
12.4.1 基本限制
12.4.2 命名限制
12.4.3 策略相关限制
12.4.4 密钥相关限制
12.4.5 其他限制
12.4.6 完整的证书验证过程
12.5 代理验证
12.5.1 代理证书路径处理
12.5.2 证书验证中心
12.6 PKI实体身份鉴别过程
12.6.1 单向鉴别
12.6.2 双向鉴别
12.6.3 三向鉴别
习题
参考文献
第13章 PKI应用系统
13.1 PKI核心服务
13.1.1 机密性
13.1.2 数字签名
13.1.3 数据完整性
13.1.4 数据起源鉴别
13.1.5 身份鉴别
13.1.6 非否认
13.2 时间戳服务
13.2.1 用时间戳标记顺序
13.2.2 时间戳原理
13.2.3 时间戳服务机构(TSA)
13.2.4 时间戳请求
13.2.5 时间戳应答
13.3 网络层安全应用
13.3.1 IPsec概述
13.3.2 IKEv2密钥交换
13.3.3 通信各方的身份问题
13.4 传输层安全应用
13.4.1 TLS的结构
13.4.2 TLS握手协议
13.4.3 无线传输层安全协议(WTLS)
13.5 应用层安全
13.5.1 安全电子邮件
13.5.2 可信计算
13.5.3 代码签名
13.5.4 其他应用
13.6 API接口
13.6.1 密码运算
13.6.2 证书使用中的验证和解码
13.6.3 证书和CRL的获取和存储
13.6.4 通信消息处理
13.6.5 其他功能
13.6.6 常用API接口
13.7 企业PKI实施中的问题与思考
13.7.1 资源外包和资源引进
13.7.2 资金和技术投入
习题
参考文献
第14章 属性证书与PMI
14.1 解决权限管理
14.2 属性证书的基本内容
14.2.1 版本
14.2.2 持有者
14.2.3 签发者
14.2.4 签名算法
14.2.5 序列号
14.2.6 有效期
14.2.7 属性
14.2.8 签发者唯一标识符
14.2.9 扩展
14.3 PMI基本功能组件
14.3.1 属性中心
14.3.2 根属性中心
14.3.3 权限声称者
14.3.4 权限检验者
14.3.5 对比PKI和PMI
14.4 属性证书的验证
14.4.1 基本内容验证
14.4.2 权限传递路径构建
14.4.3 权限传递路径验证
14.5 PMI模型
14.5.1 通用模型
14.5.2 控制模型
14.5.3 权限传递模型
14.5.4 角色模型
14.6 PMI应用实例
14.6.1 PERMIS简介
14.6.2 PERMIS PMI体系结构
14.6.3 PERMIS的应用
习题
参考文献
第15章 PKI技术研究进展
15.1 CA安全技术
15.1.1 CA安全与入侵容忍CA技术
15.1.2 ITTC系统
15.1.3 ARECA系统
15.1.4 COCA系统
15.1.5 入侵容忍CA系统的评估
15.2 证书撤销机制
15.2.1 Over-Issued CRL
15.2.2 窗口证书撤销机制
15.2.3 Push方式
15.3 PKI体系结构
15.3.1 Nested CA与Nested证书
15.3.2 Self-Escrowed PKI
15.4 IBE与PKI
15.4.1 对比IBE与PKI
15.4.2 IBE与PKI的结合
参考文献
中英文名词对照
]]>
京公网安备 11010102004214号