第1章 PKI概论 2
1.1 PKI的历史背景 2
1.1.1 PKI在欧美的发展 2
1.1.2 PKI在亚洲的发展 3
1.1.3 PKI在我国的发展 3
1.2 PKI理论基础 4
1.2.1 什么是基础设施 4
1.2.2 安全基础设施的概念 5
1.2.3 密码学理论 7
1.3 公钥基础设施的内容 10
1.3.1 认证机构 12
1.3.2 证书签发 13
1.3.3 证书撤销 14
1.3.4 密钥生成、备份和恢复 15
1.3.5 证书注销列表处理 16
1.3.6 信息发布 16
1.4 PKI标准 17
1.4.1 ASN.1基本编码规则的规范 17
1.4.2 X.500目录服务 17
1.4.3 PKIX 18
1.4.4 PKCS系列标准 21
1.5 PKI的应用及前景 22
1.5.1 虚拟专用网络(VPN) 22
1.5.2 安全电子邮件 23
1.5.3 Web安全 23
1.5.4 电子商务的应用 24
1.5.5 PKI的前景 24
1.5.6 WPKI概述 25
第2章 数学准备 32
2.1 群论基础 32
2.2 数论基础 34
2.2.1 素数与最大公约数 34
2.2.2 模及同余 38
2.2.3 孙子定理 40
2.3 RSA密码体制 42
2.3.1 RSA密码算法 42
2.3.2 中国剩余定理CRT与RSA 44
2.3.3 大素数的生成 44
2.3.4 大素数及其相关参数的选择 46
2.4 椭圆曲线加密算法概述 49
2.4.1 椭圆曲线加密算法原理 49
2.4.2 椭圆曲线密码系统 53
2.4.3 椭圆曲线算法的性能 54
第3章 数字证书 58
3.1 数字证书概述 58
3.1.1 为什么需要数字证书 58
3.1.2 什么是X.509证书 58
3.1.3 证书扩展 61
3.2 数字签名的引入 65
3.3 数字证书 66
3.3.1 数字证书生成 66
3.3.2 证书的生成步骤 67
3.3.3 数字证书验证 68
3.4 数字证书的层次 69
3.4.1 证书的层次问题 69
3.4.2 交叉证书 70
3.5 证书生命周期与CRL 71
3.5.1 证书注销列表的概念 71
3.5.2 证书注销列表的内容 72
3.6 PMI属性证书和OCSP介绍 73
3.6.1 属性证书的简单介绍 73
3.6.2 在线状态证书协议OCSP 74
第4章 PKI的信任模型 74
4.1 信任模型的概念 82
4.2 多种信任模型介绍 83
4.2.1 单级CA信任模型 83
4.2.2 严格层次结构模型 84
4.2.3 分布式信任结构模型 86
4.2.4 Web模型 87
4.2.5 桥CA信任模型 88
4.2.6 以用户为中心的信任模型 88
第5章 CA(CERTIFICATE AUTHORITY)系统 88
5.1 产生背景及原理 92
5.2 CA的概念 93
5.3 CA系统结构 94
第6章 CA系统功能 98
6.1 CA功能概述 98
6.1.1 CA的主要功能 98
6.1.2 RA与CA分开部署 98
6.1.3 MYPKI介绍 99
6.2 CA和RA的相互验证 100
6.3 CA之间的交叉认证 102
6.3.1 交叉认证的必要性 102
6.3.2 交叉认证的技术方案 103
6.4 CA与其他系统的消息传递 104
6.5 证书的更新 108
6.5.1 证书更新原因及更新方式 108
6.5.2 CA的密钥更新 109
6.5.3 一种多级CA的证书更新方案 111
6.6 证书的撤销 114
6.6.1 CRL证书撤销策略 115
6.6.2 使用OCSP 119
6.7 证书存储和归档备份 119
6.7.1 证书的存储 119
6.7.2 证书的归档备份 120
6.8 密钥的生成以及备份 120
6.9 使用CA和处理证书的流程 121
第7章 注册机关(RA) 121
7.1 RA总述 126
7.1.1 RA的系统构成 126
7.1.2 RA部署 127
7.1.3 RA部署条件 130
7.2 RA功能 132
7.2.1 鉴定与注册 132
7.2.2 用户支持 134
7.2.3 文档维护 134
7.2.4 系统审核 134
7.3 证书请求消息格式 135
7.3.1 消息格式概述 135
7.3.2 证书请求(CertReq) 136
7.3.3 私钥证明(POP) 141
7.3.4 通信安全考虑 145
7.4 传输协议 146
7.4.1 概述 146
7.4.2 FTP传输 147
7.4.3 HTTP传输 147
7.4.4 MIME登记 148
7.4.5 安全方面的考虑 149
7.5 RA实现示例 149
7.5.1 RA构架 149
7.5.2 RA初始化 150
7.5.3 证书操作 151
7.5.4 选项 156
7.5.5 CA通信 157
第8章 轻量级目录访问协议(LDAP) 157
8.1 目录服务的概念 170
8.2 目录服务的特点 170
8.3 X.500目录标准 171
8.4 轻量级目录访问协议LDAP 172
8.5 轻量级目录访问协议的特点 173
8.6 LDAP基本模型 174
8.6.1 信息模型 174
8.6.2 命名模型 177
8.6.3 功能模型 178
8.6.4 安全模型 178
8.6.5 协议模型 179
8.6.6 数据模型 180
8.7 LDAP协议基本元素 180
8.7.1 消息封装 180
8.7.2 字符串类型 182
8.7.3 结果数据报 183
8.8 LDAP协议操作 185
8.8.1 绑定和解绑定操作 185
8.8.2 查询操作 187
8.8.3 修改操作 191
8.8.4 增加操作 192
8.8.5 删除操作 193
8.8.6 修改DN操作 193
8.8.7 对比操作 194
8.8.8 放弃操作 195
8.8.9 扩展操作 195
8.9 分布式LDAP 196
8.9.1 LDAP复制机制 196
8.9.2 LDAP推荐机制 197
8.10 LDAP存储数字证书 199
8.10.1 DIT设计 199
8.10.2 CA证书存储 200
8.10.3 用户证书存储 200
8.10.4 CRL存储 201
8.11 LDAP应用程序接口 202
8.11.1 打开连接 203
8.11.2 绑定到目录 203
8.11.3 关闭连接 204
8.11.4 查询 204
8.11.5 对查询结果的处理 206
8.11.6 修改条目 209
8.11.7 修改条目的RDN 210
8.11.8 增加条目 210
8.11.9 删除条目 211
8.11.10 取消操作 211
8.11.11 结果处理 211
8.11.12 出错处理 212
第9章 无线PKI(WPKI) 212
9.1 WPKI的体系结构 216
9.2 WPKI与有线PKI的区别 218
9.3 WPKI的加密算法和密钥 219
9.4 WAP概述 219
9.4.1 WAP体系结构 219
9.4.2 WAP协议 220
第10章 WTLS协议 228
10.1 WTLS基本过程 228
10.2 WTLS与TLS 228
10.3 WTLS提供的主要服务 231
10.4 WTLS的安全 231
10.4.1 加密 231
10.4.2 密钥交换 231
10.4.3 鉴别 232
10.4.4 完整性 232
10.4.5 安全级别 232
10.5 WTLS结构 233
附录 235