《公开密钥基础设施：概念、标准和实施》PDF下载

第一部分 概念 1

第1章 概述 3

第2章 公钥密码学 5

2．1 对称和非对称密码 5

2．1．1 私钥密码 5

2．1．2 新方向：公钥密码 7

2．2 公钥和私钥对 8

2．3 公钥密码的服务 8

2．3．1 陌生人之间的安全 8

2．3．3 数字签名 9

2．3．2 加密 9

2．3．4 数据完整性 10

2．3．5 密钥的建立 10

2．3．6 其他服务 11

2．4 算法 11

2．4．1 RSA 11

2．4．2 DSA 11

2．5 小结 12

2．4．5 SHA-1 12

2．4．4 ECDSA and ECDH 12

2．4．3 DH 12

参考文献 13

第3章 基础设施的概念 15

3．1 普适性基础（Pervasive Substrate） 15

3．2 应用支撑 15

3．2．1 安全登录 16

3．2．2 终端用户透明 17

3．3 商业驱动 18

3．2．3 全面的安全性 18

3．4 公开密钥基础设施的定义 19

3．4．1 认证机构 19

3．4．2 证书库 20

3．4．3 证书撤消 20

3．4．4 密钥备份和恢复 20

3．4．5 自动密钥更新 21

3．4．6 密钥历史档案 21

3．4．7 交叉认证 21

3．4．10 客户端软件 22

3．4．8 支持不可否认 22

3．4．9 时间戳 22

3．5 小结 23

第4章 核心PKI服务：认证、完整性和机密性 25

4．1 定义 25

4．1．1 认证 25

4．1．2 完整性 28

4．1．3 机密性 28

4．2 机制 29

4．2．1 认证 29

4．2．2 完整性 29

4．2．3 机密性 30

4．3 可操作性的考虑 30

4．3．1 性能 31

4．3．2 在线和高线操作的比较 31

4．3．3 基础算法的通用性 31

4．4 小结 32

参考文献 32

4．3．4 实体命名 32

第5章 PKI支撑的服务 35

5．1 安全通信 35

5．2 安全时间戳 35

5．3 公证 36

5．4 不可否认 36

5．4．1 与其他服务连接 37

5．4．2 对安全数据文档的需求 37

5．4．3 不可否认服务的复杂性 37

5．5．1 认证和授权 38

5．5．2 授权机构 38

5．4．4 人为因素 38

5．5 特权管理 38

5．5．3 委托 39

5．5．4 与PKI的连接 39

5．6 创建PKI支撑的服务所需要的机制 39

5．6．1 数字签名、杂凑函数、消息认证码（MAC）和密码 39

5．6．5 特权管理基础设施机制 40

5．6．4 特权策略处理引擎 40

5．6．3 特权策略创建机制 40

5．6．2 可信的时间源 40

5．7 可操作性的考虑 41

5．7．1 可信时间的传递机制 41

5．7．2 安全协议 41

5．7．3 服务器冗余 41

5．7．4 物理上安全的归档设备 42

5．7．5 现实生活 42

5．8 “综合PKI”和当前现实 42

参考文献 44

5．9 小结 44

第6章 证书和认证 47

6．1 证书 47

6．1．1 证书结构和语义 48

6．1．2 证书验证 51

6．1．3 可选的证书格式 52

6．2 证书策略 54

6．2．1 对象标识符 55

6．3 认证机构 56

6．2．2 策略机构 56

6．5 小结 57

6．4 注册机构 57

参考文献 58

第7章 密钥和证书管理 61

7．1 密钥/证书生命周期管理 61

7．1．1 初始化阶段 62

7．1．2 颁发阶段 66

7．1．3 取消阶段 68

参考文献 70

7．2 小结 70

第8章 证书撤消 73

8．1 周期发布机制 73

8．1．1 证书撤消列表（CRL） 74

8．1．2 完全CRL 77

8．1．3 Authority撤消列表（ARL） 77

8．1．4 CRL分布点 77

8．1．5 增强的CRL分布点和重定向CRL 78

8．1．6 增量CRL 79

8．1．7 间接CRL 80

8．1．8 证书撤消树 81

8．1．9 在线查询机制 82

8．1．10 在线证书状态协议（OCSP） 82

8．1．11 未来：在线交易验证协议 84

8．2 其他撤消选择 84

8．3 性能、扩展性和合时性 84

8．4 小结 85

参考文献 86

第9章 信任模型 87

9．1 认证机构的严格层次结构 88

9．2 分布式信任结构 89

9．2．1 网状配置 90

9．2．2 中心辐射配置 90

9．3 Web模型 91

9．4 以用户为中心的信任 92

9．5 交叉认证 93

9．6 实体命名 95

9．7．1 路径构造 96

9．7 证书路径处理 96

9．7．2 路径确认 97

9．7．3 信任锚的考虑 97

9．8 小结 98

参考文献 98

10．1 多密钥对 99

10．2 密钥对的用途 99

第10章 单实体多证书 99

10．3 密钥对和证书之间的关系 100

10．4 现实世界里的困难 101

10．5 独立的证书管理 102

10．6 对不可否认性的支持 102

10．7 小结 103

参考文献 103

第11章 PKI信息的分发：资料库与其他技术 105

11．1 私下分发 105

11．2 发布和资料库 106

11．2．2 域间资料库的实施选择 108

11．2．1 隐私问题 108

11．3 “带内”协议交换 111

11．4 小结 111

参考文献 112

第12章 PKI的运作考虑 113

12．1 客户端软件 113

12．2 离线运作 114

12．3 物理安全 115

12．5 用户密钥的泄漏 116

12．4 硬件部件 116

12．6 灾难预防和恢复 118

12．6．1 通知依托方 118

12．6．2 灾难预防 119

12．6．3 恢复 120

12．6．4 其他的观察 120

12．7 小结 121

参考文献 121

13．1 数学签名的法律状况 123

第13章 法律框架 123

13．2．1 CA特许权的需求和债务 125

13．2 PKI的法律框架 125

13．2．2 角色和责任 126

13．2．3 私有的企业PKI 128

13．2．4 其他契约性质的框架 129

13．3 关于机密性的法规 129

13．4 小结 129

参考文献 130

14．2 进一步阅读的材料 131

第14章 结论与进一步阅读的材料 131

14．1 结论 131

第二部分 标准 133

第15章 概述 135

第16章 主要的标准化活动 137

16．1 X.509 137

16．2 PKIX 138

16．3 X.500 138

16．5 ISO TC68 139

16．4 LDAP 139

16．6 ANSI X9F 140

16．7 S/MIME 140

16．8 IPSec 140

16．9 TLS 141

16．10 SPKI 141

16．13．1 U.S.FPKI 142

16．13 其他标准化活动 142

16．12 EDIFACT 142

16．11 OpenPGP 142

16．13．2 MISPC 143

16．13．3 GOC PKI 143

16．13．4 SET 143

16．13．5 SEMPER 144

16．13．6 ECOM 144

16．14 小结 144

参考文献 145

17．1．2 PKIX 149

17．1．1 X.509 149

第17章 标准化现状和发展 149

17．1 现有标准的状况 149

17．1．3 X.500 150

17．1．4 LDAP 150

17．1．5 S/MIME 150

17．1．6 IPsec 150

17．1．9 其他 151

17．2 前进中的标准化工作 151

17．1．8 工具包需求(Toolkit Requirements)（API和机制） 151

17．1．7 TLS 151

17．3 小结 152

参考文献 153

第18章 标准：必要但尚不足 157

18．1 标准、描述和互操作性测试的作用 157

18．1．1 描述和互操作性测试 158

18．2 互操作性倡仪 159

18．2．1 汽车网络交换 159

18．2．2 桥CA示范 159

18．2．3 联邦公开密钥基础设施 159

18．2．5 国家自动化票据交换所协会 160

18．2．4 最小互操作性规范 160

18．2．6 公开密钥基础设施X.509 161

18．2．7 安全工业根CA验证概念(Securities Industry Root CA Proof of Concept) 162

18．3 小结 162

参考文献 162

第19章 结论与进一步阅读的材料 165

19．1 结论 165

19．2 进一步阅读的建议 165

19．2．1 证书/证书撤消列表语法和生命周期管理协议 165

19．2．2 证书/证书撤消列表存储和提取 166

19．2．4 标准化团体Web站点 167

19．2．3 互操作性倡议 167

19．2．5 书籍 168

第三部分 实施PKI应考虑的若干因素 169

第20章 概述 171

第21章 实施PKI的益处及成本 173

21．1 商务活动中需要考虑的因素 173

21．2 成本考虑 174

21．3 实施：现在立即实施还是以后实施 175

参考文献 176

21．4 小结 176

22．1 可信模型：层次模型与分布式模型 177

第22章 PKI实施中的问题与决策 177

22．2 资源引进与资源外包 178

22．3 建立与购买 179

22．4 封闭环境与开放环境 179

22．5 X.509与其他证书格式 180

22．6 目标应用与综合解决方案 180

22．7 标准与专用解决方案 180

22．8．3 PKI支撑的应用 181

22．9 在线与离线操作 181

22．8．4 策略问题 181

22．8 实现互操作需要考虑的因素 181

22．8．2 复合的业界标准 181

22．8．1 证书和CRL 181

22．10 外部设备支持 182

22．11 设备要求 182

22．12 人员要求 182

22．15 密钥恢复 183

22．13 证书撤消 183

22．14 终端实体漫游 183

22．16 资料库问题 184

22．17 灾难应急计划与恢复 184

22．18 安全保障 184

22．19 风险缓和 185

22．20 小结 185

参考文献 185

23．1．1 缺少业界标准 187

23．1 资料库问题 187

第23章 PKI实施中的障碍 187

23．1．2 多个生产厂家的产品间的可互操作性 188

23．1．3 可升级性与性能 188

23．2 专业人才 188

23．3 PKI支撑的应用 188

23．4 公司层的资源引进程序 189

23．5 小结 189

参考文献 189

24．1 内部通信商务模型 191

第24章 典型的商务模型 191

24．2 外部通信商务模型 192

24．2．1 Business-to-Business(B2B) 192

24．2．2 Business-to-Consumer(B2C) 193

24．3 内部-外部通信混合商务模型 193

24．4 商务模型的影响 194

24．5 政府资助的研究活动 194

24．6．4 GTE CyberTrust OmniRoot 195

24．6．3 WerSign可信网络 195

24．6．2 Identrus 195

24．6．1 Entrust Worldwide 195

24．6 域间信任 195

24．6．5 其他可信网络 196

24．7 小结 196

参考文献 196

第25章 结论与进一步阅读的材料 197

25．1 结论 197

25．2 建议进一步阅读的材料 198