第1章 概述 1
1.1 信息安全的发展趋势 2
1.2 现今的电子商务和电子政务的安全 2
1.3 电子商务、电子政务的安全需求 3
1.3.1 安全策略 3
1.3.2 安全威胁分析 5
1.4 网络安全服务 7
1.5 安全服务与安全威胁的关系 10
1.5.1 安全服务与安全机制的关系 10
1.5.2 安全需求与PKI 11
1.6 公钥基础设施 11
1.7 PKI应用 12
1.7.1 虚拟专用网 13
1.7.2 安全电子邮件 14
1.7.3 Web安全 15
1.7.4 时间戳服务 15
1.7.5 公证服务 16
第2章 PKI理论基础 17
2.1 密码理论基础 17
2.1.1 保密学的基本概念 17
2.1.2 密码体制 19
2.1.3 密码分析 21
2.2 对称密钥密码技术 22
2.2.1 分组密码概述 22
2.2.2 美国数据加密标准DES 25
2.2.3 分组密码运行模式 28
2.3 非对称密钥密码技术 30
2.3.1 公钥密码技术概述 31
2.3.2 公钥密码体制 33
2.3.3 密码杂凑函数 36
2.3.4 椭圆曲线在软件注册保护方面的应用 42
2.4 PKI中常用密码技术 43
2.4.1 散列函数 43
2.4.2 加密/解密技术 58
2.4.3 数字签名 60
2.4.4 报文检验码 61
2.4.5 数字信封 62
2.4.6 双重数字签名 63
第3章 PKI的基本概念 65
3.1 PKI的概念 65
3.1.1 一般基础设施概念 65
3.1.2 PKI的应用支持 66
3.2 公钥基础设施的定义 68
3.3 公钥基础设施的内容 69
3.3.1 认证机构(Certificate Authority) 69
3.3.2 证书库 71
3.3.3 证书撤销 74
3.3.4 密钥备份和恢复 78
3.3.5 自动更新密钥 80
3.3.6 密钥历史档案 82
3.3.7 交叉认证 83
3.3.8 支持不可否认性 84
3.3.9 时间戳 85
3.3.10 客户端软件 86
3.4 WPKI(无线PKI) 86
3.4.1 概述 87
3.4.2 无线PKI与传统PKI的比较 88
3.4.3 WPKI小证书 89
3.5 无线安全认证系统 89
第4章 PKI的功能 92
4.1 安全服务功能 92
4.1.1 网上身份安全认证 92
4.1.2 保证数据完整性 93
4.1.3 保证数据机密性 94
4.1.4 保证网上交易的抗否认性 94
4.1.5 提供时间戳服务 95
4.1.6 保证数据的公正性 95
4.2 系统功能 96
4.2.1 证书申请和审批 96
4.2.2 产生、验证和分发密钥 97
4.2.3 证书签发和下载 97
4.2.4 签名和验证 98
4.2.5 证书的获取 98
4.2.6 证书和目录查询 98
4.2.7 证书撤销 99
4.2.8 密钥备份和恢复 99
4.2.9 自动密钥更新 99
4.2.10 密钥历史档案 100
4.2.11 交叉认证 100
4.2.12 客户端软件 101
第5章 PKI系统结构 103
5.1 PKI体系结构概述 103
5.1.1 政策批准机构PAA 104
5.1.2 政策PCA机构 104
5.1.3 认证机构CA 105
5.1.4 在线证书申请ORA 106
5.1.5 终端用户实体 106
5.2 认证机构CA 106
5.2.1 什么叫做CA 107
5.2.2 建设认证机构的必要性 107
5.2.3 CA建设的原则 109
5.2.4 CA系统目标 110
5.2.5 CA总体结构 111
5.2.6 CA详细结构 114
5.2.7 密钥管理系统(KMC) 121
5.2.8 注册审核系统(RA) 127
5.2.9 目录服务系统 131
5.2.10 在线证书状态查询服务系统 134
5.2.11 公用证书下载系统 136
5.2.12 时间戳服务系统 138
第6章 CA系统安全 141
6.1 概述 141
6.2 物理安全和环境安全设计 141
6.3 网络安全设计 142
6.4 数据备份与恢复 144
6.5 操作系统安全性 145
6.6 数据库安全 145
6.7 目录服务器的安全性 146
6.8 CA系统安全性 146
6.8.1 CA安全管理 146
6.8.2 密钥安全管理 146
6.8.3 通信安全 148
6.8.4 管理子系统安全性 149
6.8.5 审计系统与日志安全 149
6.8.6 RA注册系统安全性 150
6.8.7 系统的证书申请及下载过程的安全 151
6.8.8 CA中心数据恢复 152
6.8.9 LDAP目录服务的恢复 152
6.8.10 安全策略及管理安全 152
6.8.11 安全策略 153
6.8.12 人员管理安全 154
第7章 证书认证业务声明(CPS) 157
7.1 CPS前言 157
7.2 CPS概论 158
7.2.1 概述内容 158
7.2.2 参与方及适用性 160
7.2.3 相关细节 161
7.3 一般规定 161
7.3.1 义务 161
7.3.2 责任 163
7.3.3 经济责任 163
7.3.4 费用 164
7.3.5 审计 164
7.3.6 知识产权 164
7.4 识别与授权 165
7.4.1 CA与RA的初始注册 165
7.4.2 最终实体初始注册 165
7.5 认证业务声明 165
7.5.1 证书策略与认证业务声明之间的关系 166
7.5.2 CP、CPS、协定及其他文档之间的关系 167
7.5.3 条款集说明 168
7.6 条款集内容 169
7.6.1 引言 170
7.6.2 发布和信息库责任 171
7.6.3 标识与鉴别 171
7.6.4 证书生命周期操作要求 173
7.6.5 设施、管理和操作控制 176
7.6.6 技术安全控制 179
7.6.7 证书、CRL和OCSP 181
7.6.8 一致性审计和其他评估 182
7.6.9 其他业务和法律事务 182
7.7 安全考虑 187
7.8 条款集框架 187
第8章 信任模型与交叉认证 196
8.1 PKI的信任域 196
8.2 信任模型 198
8.2.1 严格层次结构信任模型 198
8.2.2 网状信任模型 204
8.2.3 信任列表结构 207
8.2.4 以用户为中心的信任模型 209
8.2.5 混合信任模型(桥接信任结构) 210
8.3 各种信任模型的比较 215
8.4 桥接CA的实现 216
第9章 权限管理基础设施PMI及应用 222
9.1 概述 222
9.2 权限管理基础设施 224
9.2.1 PMI的定义 224
9.2.2 为什么不是PKI 225
9.2.3 PKI与PMI 226
9.3 属性权威 228
9.3.1 权限管理 229
9.3.2 属性证书定义和格式 229
9.3.3 属性证书的特点 230
9.3.4 属性证书的申请与发布 231
9.3.5 属性证书的分发流程 232
9.3.6 属性证书的撤销流程 233
9.3.7 属性证书的基本验证过程 233
9.4 PMI模型结构 234
9.4.1 访问控制框架 235
9.4.2 访问控制抽象模型 236
9.4.3 策略规则 237
9.5 基于PMI建立安全应用 238
9.5.1 PMI应用结构PKI/PMI和应用的逻辑结构 238
9.5.2 应用方式 239
9.5.3 建立访问控制系统 240
9.5.4 访问控制流程 240
9.5.5 系统使用流程描述 240
9.5.6 PMI实施结构调整 241
9.5.7 PMI应用分析 242
9.6 应用系统安全 246
9.6.1 安全需求 246
9.6.2 安全模型 246
9.6.3 访问控制策略 247
9.7 应用举例 248
9.7.1 组成部件 249
9.7.2 身份认证 249
9.7.3 访问控制 250
9.7.4 数据保密及完整性保护 251
9.7.5 安全审计 252
9.7.6 单点登录和全网漫游分析 252
9.7.7 与原有应用系统的衔接方法 252
第10章 数字证书 254
10.1 数字证书的定义 254
10.2 证书的表示 256
10.3 基本证书域的数据结构及用途 256
10.4 数字证书的分类 265
10.5 证书的DN标准 267
10.6 证书载体 269
10.7 USBKey与PKI 269
10.8 指纹Key 273
10.9 证书的管理功能 275
10.10 CRL(证书作废列表)的管理功能 278
第11章 PKI的标准 279
11.1 X.509标准 279
11.1.1 综述 280
11.1.2 简单鉴别 283
11.1.3 强鉴别 284
11.1.4 X.509的发展 289
11.2 PKIX 289
11.2.1 PKIX主要目的 290
11.2.2 PKIX主要内容 290
11.2.3 PKIX的发展 290
11.3 PKCS标准 291
11.3.1 PKCS标准的内容 291
11.3.2 PKCS主要用途 292
11.4 X.500标准 292
11.4.1 X.500的主要内容 293
11.4.2 X.500的结构 293
11.4.3 X.500的功能 293
11.5 LDAP 294
11.5.1 LDAP的主要内容 294
11.5.2 LDAP的结构 294
11.5.3 LDAP目录的优势 295
11.5.4 LDAP目录的功能 295
11.6 安全套接层SSL协议 296
11.6.1 SSL协议概述 298
11.6.2 SSL的工作原理 300
11.6.3 SSL记录层协议 301
11.6.4 SSL握手协议 302
11.6.5 SSL协议的安全性分析 305
11.7 SET协议 307
11.7.1 SET协议信息结构 307
11.7.2 SET协议与SSL协议的比较 315
11.8 其他标准 316
11.8.1 IPSec 316
11.8.2 S/MIME 318
11.8.3 时间戳协议 319
11.8.4 XML 320
11.9 国家PKI标准 320
11.9.1 信息技术安全技术公钥基础设施在线证书状态协议GB/T 19713-2005 320
11.9.2 信息技术安全技术公钥基础设施证书管理协议GB/T 19714-2005 320
11.9.3 信息技术安全技术公钥基础设施PKI组件最小互操作规范 320
11.9.4 信息技术安全技术公钥基础设施数字证书格式 321
11.9.5 信息技术安全技术公钥基础设施时间戳规范 321
11.9.6 信息技术安全技术公钥基础设施CA认证机构建设和运营管理规范 321
11.9.7 信息技术安全技术安全支撑平台技术框架 321
11.9.8 信息技术安全技术公钥基础设施特定权限管理中心技术规范 321
11.9.9 信息技术安全技术公钥基础设施证书策略与认证业务声明框架 322
11.9.10 信息技术安全技术CA密码设备应用程序接口 322
11.9.11 正在审批中的标准 322
第12章 PKI与数字签名 324
12.1 电子签名 324
12.1.1 电子签名的定义 325
12.1.2 电子签名的实现方法 325
12.2 数字签名的定义与技术保障 327
12.2.1 数字签名的定义 327
12.2.2 数字签名的技术保障 327
12.3 数字签名的原理 329
12.3.1 产生密钥的过程 329
12.3.2 签名过程 329
12.3.3 验证过程 331
12.3.4 基于因子分解的证书数字签名举例 331
12.4 数字签名的实现过程 333
12.4.1 认证 333
12.4.2 数字签名流程 334
12.4.3 数字签名的操作过程 335
12.4.4 数字签名的验证过程 335
12.4.5 数字签名的作用 336
12.5 双重数字签名——数字信封 336
12.5.1 数字信封的基本概念 337
12.5.2 数字信封的功能 337
12.5.3 数字信封的处理过程 337
第13章 证书安全应用系统 339
13.1 概述 339
13.2 单、双向认证结构 339
13.2.1 双向身份认证方式 339
13.2.2 单向认证 340
13.3 有客户端与无客户端证书应用系统 342
13.3.1 有客户端证书安全应用系统 342
13.3.2 零客户端证书安全应用系统 345
13.3.3 安全应用控件 348
13.4 SSL代理协议Proxy 349
13.4.1 问题的提出 350
13.4.2 代理软件Proxy原理 351
13.5 证书应用工具包 353
13.5.1 背景 353
13.5.2 工具包概述 353
13.5.3 工具包特性 353
13.5.4 工具包核心功能 354
13.5.5 工具包应用模式 356
13.5.6 实际应用案例 358
第14章 PKI的常规应用 360
14.1 标准的SSL安全应用 360
14.1.1 高端系统的SSL安全应用解决方案 360
14.1.2 低端系统的SSL安全应用解决方案 364
14.2 表单签名系统 364
14.2.1 表单签名结构 365
14.2.2 功能描述 365
14.2.3 技术特点 366
14.3 PKI的公证服务系统 367
14.3.1 系统结构 367
14.3.2 数据处理流程 367
14.4 漫游服务系统 368
14.4.1 实现原理 368
14.4.2 系统结构 368
14.4.3 流程设计 369
14.5 VPN安全应用系统 369
14.5.1 什么是VPN 369
14.5.2 IPSec VPN安全应用系统 370
14.5.3 SSL VPN安全应用系统 375
14.6 安全E-mail系统 378
14.6.1 概述 378
14.6.2 结构设计 379
14.6.3 功能设计 379
14.6.4 流程设计 380
14.7 安全文档管理系统 383
14.7.1 安全文档管理中的问题 383
14.7.2 安全架构模型 383
14.7.3 安全模块功能 383
14.8 挂号电子邮件系统 384
14.8.1 概述 384
14.8.2 系统结构 385
第15章 PKI在网上银行中的应用 389
15.1 网上银行概述 389
15.1.1 网上银行的基本概念 389
15.1.2 网上银行的目标 390
15.1.3 网上银行系统功能 391
15.1.4 网上银行的特点 394
15.2 网上银行的结构 395
15.2.1 网上银行的逻辑结构 395
15.2.2 网上银行的物理结构 396
15.2.3 网上银行的开户流程及交易流程 398
15.3 网上银行的安全 398
15.3.1 网络层安全技术 398
15.3.2 应用层安全技术 400
15.4 网上银行的安全防范 401
15.4.1 互联网时代的银行革命产物——网上银行 402
15.4.2 网上银行频受攻击——对网上银行攻击的主要表现模式 402
15.4.3 “大众版”鉴别机制的弊端所在 403
15.4.4 推广“专业版”——加强网上银行安全的重要保证 404
15.4.5 需要注意的几个问题 406
15.5 网上银行案例 407
15.5.1 中国建设银行网上银行概述 407
15.5.2 中国建设银行网上银行的功能 408
15.5.3 中国建设银行网上银行案例 410
15.5.4 对网上银行业务的感言 414
第16章 PKI在电子商务中的应用 415
16.1 概述 415
16.2 电子商务的基本概念 416
16.2.1 什么是电子商务 416
16.2.2 电子商务的发展 418
16.3 电子商务的组成 428
16.3.1 电子交易平台 428
16.3.2 电子交易市场结构 430
16.4 电子商务B2B实例 434
16.5 B2C电子商务案例——3-D网上支付平台 436
16.5.1 需求 436
16.5.2 系统目标 437
16.5.3 系统功能设计 438
16.5.4 设计开发原则 438
16.5.5 总体框架结构设计 438
16.5.6 总体物理结构设计 447
16.5.7 3-D网上支付平台安全体系设计 451
16.5.8 设计开发中的几个问题 452
16.6 电子支付平台 453
16.6.1 独立型电子支付平台 453
16.6.2 B2B电子商务支付案例——首信易支付B2B 456
16.7 物流配送中心 457
16.7.1 进货环节 457
16.7.2 仓储环节 458
16.7.3 配送环节 459
16.8 电子商务的安全认证中心 460
16.9 开展电子商务的保障措施 461
第17章 PKI在网上证券中的应用 463
17.1 证券电子商务概述 463
17.1.1 网上证券的意义 463
17.1.2 证券电子商务的基本内容 465
17.2 网上证券交易系统 466
17.2.1 网上证券交易系统结构 466
17.2.2 网上证券交易案例 468
17.2.3 移动网上证券交易系统 472
17.3 银证交易系统 476
17.3.1 银证交易系统结构 476
17.3.2 银证交易系统举例 479
第18章 PKI在电子政务中的应用 480
18.1 电子政务概述 480
18.1.1 什么是电子政务 480
18.1.2 电子政务的基本内容 481
18.2 电子政务的开发原则 482
18.3 电子政务的应用模式 482
18.3.1 政府对政府(G2G) 482
18.3.2 政府对企业(G2B) 482
18.3.3 政府对居民(G2C) 482
18.3.4 企业对政府(B2G) 483
18.3.5 居民对政府(G2C) 483
18.4 中国电子政务对策 483
18.5 基于PKI的电子政务应用框架 486
18.5.1 电子政务系统结构 486
18.5.2 电子政务的逻辑结构 487
18.5.3 电子政务的物理结构 488
18.5.4 电子政务的安全体系 489
18.5.5 电子政务的安全需求 489
18.6 电子政务安全系统的组成 490
18.6.1 安全加密基础平台 491
18.6.2 政府PKI/CA系统 491
18.6.3 安全访问控制系统 492
18.6.4 安全电子政务系统结构 493
18.6.5 用户安全组件 494
18.6.6 电子印章系统 494
18.7 电子政务案例 494
18.7.1 北京市政府门户网站——首都之窗(www.beijing.gov.cn) 496
18.7.2 上海政府网站(www.shanghai.gov.cn) 497
18.7.3 电子政务要求内/外网物理隔离 498
附录A DES的安全性 499
附录B RSA算法的安全性 500
结束语 502
参考文献 503