PKI技术PDF电子书下载

第1章综述 1

1.1什么是PKI 1

1.2PKI的目标 2

1.3PKI技术包含的内容 3

1.4PKI的优势 3

1.5PKI的未来 4

习题 5

参考文献 6

第2章密码学基础 7

2.1密码算法与算法安全 7

2.2对称密码算法 9

使用方式 9

存在问题 11

2.3公钥密码算法 13

特点 14

典型算法 14

2.4数字签名算法 17

基本过程 18

典型算法 19

2.5杂凑函数 20

SHA-1算法 21

其他Hash函数 21

习题 21

参考文献 22

第3章PKI基本结构 24

3.1从公钥密码学到PKI 24

3.2PKI系统基本组件 25

证书认证中心 26

证书持有者 28

依赖方 28

3.3辅助组件 29

RA 29

资料库 30

CRLIssuer和OCSP服务器 31

密钥管理系统 33

3.4PKI系统实例 33

X.509标准 34

PKIX工作组 34

中国商用PKI系统标准 34

美联邦MISPC 35

RSA公司数字证书解决方案 35

EntrustAuthorityPKI 36

中国科学院ARPCA系统 37

微软公司解决方案 38

3.5其他解决方案 38

ANSIX9.59 38

PGP 39

SPKI／SDSI 40

习题 41

参考文献 41

第4章证书基本结构与编码 43

4.1证书基本结构 43

4.2证书描述方法 45

简单类型 46

构造类型 46

其他关键字 47

4.3证书的描述实例 49

整体结构 49

版本号 50

序列号 51

签名算法 51

签发者和主体 51

有效期 52

主体公钥信息 53

签发者唯一标识符和主体唯一标识符 53

4.4证书编码 53

简单类型的编码 54

构造类型数据的编码 59

标签 62

4.5证书编码实例 65

4.6证书扩展 67

习题 68

参考文献 68

第5章PKI中的目录基础 70

5.1为什么要用目录 70

二维表的困境 70

用目录进行数据存储和检索 71

目录的研究历史 72

5.2目录的组织结构 73

条目 73

属性 74

对象类 76

条目的命名 77

5.3目录的管理 78

目录中的操作属性 79

逻辑上的分布式管理 79

物理上的分布式管理 84

5.4访问目录中的信息 87

目录用户代理 87

用户指令在目录内部的传递 88

目录访问协议 89

轻量目录访问协议 92

5.5使用目录管理资源 94

目录中资源的组织 94

目录的身份鉴别和访问控制 96

目录的身份鉴别 96

目录的访问控制 98

5.6目录系统实例 100

MSActiveDirectory 100

OracleInternetDirectory 101

SunDirectory 101

习题 102

参考文献 102

第6章证书生命周期 103

6.1证书的生命 103

6.2证书的产生 105

密钥生成 105

提交申请 106

审核检查 107

签发行为 110

6.3证书的使用 111

证书获取 111

验证使用 112

证书存储 113

6.4证书的撤销 114

6.5证书的更新 115

6.6证书的归档 119

6.7PKI证书操作协议 120

指导PKI系统的开发 120

典型的协议 121

设计和选择证书操作协议 127

习题 131

参考文献 132

第7章证书撤销技术 133

7.1证书撤销 133

7.2证书撤销列表 134

CRL原理 134

CRL格式 135

CRL扩展和CRLEntry扩展 140

7.3CRL增强机制 140

CRL分发点 141

增量CRL 145

重定向CRL 148

间接CRL 150

7.4在线查询 152

OCSP 153

2NOVOMODO 153

7.5证书撤销树 155

7.6其他证书撤销技术 157

短周期证书 157

SEM组件 158

习题 158

参考文献 159

第8章证书策略与认证业务声明 161

8.1应用的安全需求多样性 161

8.2证书策略 162

数字证书的“等级” 162

基本构成 164

证书策略的表示 165

8.3认证业务声明 166

CP自身的信任危机 166

CP和CPS的关系 167

CPS的基本构成 169

8.4设计合理的CP 170

8.5证书策略与认证业务声明的书写 173

整体介绍 173

信息发布和资料库管理 174

身份标识与鉴别 175

基于证书的操作 175

安全控制（管理、过程、物理层面） 178

安全控制（技术层面） 179

证书模板和CRL模板 181

合规性审计和相关评估 181

商业和法律相关事务 182

8.6CP／CPS的使用 185

习题 187

参考文献 188

第9章双证书体系 189

加密应用的政府监控 189

解密密钥的恢复需求 190

签名密钥的法律保护 191

9.4矛盾的解决——双证书体系 191

9.5密钥管理中心 193

密钥生成 194

密钥存储 194

密钥分发 195

密钥恢复 195

密钥撤销、更新和归档 195

9.6双证书操作流程 195

9.7双证书体系面临的挑战 197

实现理想的双证书仍旧有许多工作要做 197

密钥管理中心挑战网络信任 198

习题 199

参考文献 199

第10章PKI互联 201

10.1.互联问题 201

10.2现实中的信任关系 202

行政中的严格层次 202

交往中的自主控制 203

市场中的准入制度 203

集团间的平等合作 203

协会中的对话交流 203

信任关系总结 204

10.3严格层次方案 205

10.4列表方案 207

用户自主列表 208

权威列表 209

10.5交叉认证方案 211

策略映射 213

网状结构 214

10.6桥CA方案 215

10.7PGP方案 217

10.8互联实例 217

联邦桥CA 217

欧洲桥CA 218

CrossRecognition 218

习题 219

参考文献 219

第11章证书扩展和CRL扩展 220

11.1扩展简介 220

11.2密钥和证书策略信息扩展 224

密钥用法 224

扩展的密钥用法 226

私钥使用期限 226

证书策略 227

策略映射 229

11.3证书主体和签发者信息扩展 230

认证中心密钥标识 230

主体密钥标识 233

签发者其他名称 234

主体其他名称 235

主体的目录属性 235

认证中心的信息获取 236

主体信息获取 236

11.4证书路径验证相关扩展 237

基本限制 237

名字限制 238

策略限制 240

禁止任意策略 241

11.5证书中CRL相关扩展 242

CRL分发点 242

最新CRL 243

11.6CRL扩展 243

认证中心密钥标识 243

颁发者其他名字 244

CRL编号 245

增量CRL指示 245

签发分发点 246

最新CRL 247

11.7CRLEntry扩展 247

原因码 248

停用证书指示码 249

失效时间 250

证书签发者 250

习题 252

参考文献 252

第12章PKI中的实体身份鉴别 253

12.1身份假冒问题 253

12.2证书基本验证 253

CA数字签名 254

有效期 254

撤销状态 254

12.3证书认证路径构建 255

证书认证路径的构建原理 256

不同信任结构下证书认证路径构建 258

12.4证书认证路径验证 261

基本限制 262

命名限制 263

策略相关限制 263

密钥相关限制 265

其他限制 266

完整的证书验证过程 266

12.5代理验证 269

代理证书路径处理 270

证书验证中心 271

12.6PKI实体身份鉴别过程 272

单向鉴别 273

双向鉴别 273

三向鉴别 274

习题 276

参考文献 276

第13章PKI应用系统 278

13.1PKI核心服务 278

机密性 278

数字签名 278

数据完整性 279

数据起源鉴别 280

身份鉴别 280

非否认 281

13.2时间戳服务 282

用时间戳标记顺序 282

时间戳原理 282

时间戳服务机构（TSA） 283

时间戳请求 284

时间戳应答 285

13.3网络层安全应用 286

IPsec概述 287

IKEv2密钥交换 288

通信各方的身份问题 289

13.4传输层安全应用 289

TLS的结构 290

TLS握手协议 291

无线传输层安全协议（WTLS） 295

13.5应用层安全 296

安全电子邮件 296

可信计算 301

代码签名 305

其他应用 306

13.6API接口 308

密码运算 309

证书使用中的验证和解码 309

证书和CRL的获取和存储 309

通信消息处理 310

其他功能 310

常用API接口 310

13.7企业PKI实施中的问题与思考 313

资源外包和资源引进 313

资金和技术投入 315

习题 316

参考文献 317

第14章属性证书与PMI 319

14.1解决权限管理 319

14.2属性证书的基本内容 322

版本 323

持有者 323

签发者 324

签名算法 324

序列号 324

有效期 324

属性 325

签发者唯一标识符 328

扩展 328

14.3PMI基本功能组件 334

属性中心 334

根属性中心 336

权限声称者 337

权限检验者 337

对比PKI和PMI 338

14.4属性证书的验证 339

基本内容验证 339

权限传递路径构建 340

权限传递路径验证 341

14.5PMI模型 343

通用模型 343

控制模型 344

权限传递模型 344

角色模型 345

14.6PMI应用实例 346

PERMIS简介 346

PERMISPMI体系结构 347

PERMIS的应用 348

习题 350

参考文献 350

第15章PKI技术研究进展 352

15.1CA安全技术 352

CA安全与入侵容忍CA技术 353

ITTC系统 353

ARECA系统 354

COCA系统 356

入侵容忍CA系统的评估 359

15.2证书撤销机制 362

Over-IssuedCRL 363

窗口证书撤销机制 364

Push方式 364

15.3PKI体系结构 365

NestedCA与Nested证书 365

Self-EscrowedPKI 366

15.4IBE与PKI 367

对比IBE与PKI 367

IBE与PKI的结合 368

参考文献 369

中英文名词对照 371