译者序 1
第1章 概述 1
1.1 安全趋势 2
前言 3
1.2 今天的电子商务和安全 3
1.3 安全服务 3
作者简介 5
1.4 公钥基础设施 5
评阅者简介 6
1.5 应用 6
1.6 读者 7
1.7 本书内容 7
1.8 作者风格 9
第2章 密码学入门 10
2.1 我的母亲 10
2.2 密码学真的有必要吗 11
2.3.1 密码算法 14
2.3 密码学 14
2.3.2 密码编码学和密码分析学 15
2.3.3 朦胧安全 15
2.3.4 密码学101 16
2.3.5 角色 17
2.4 对称密码学 19
2.4.1 选一个数,任意的数 19
2.5 非对称密码学 26
2.4.2 对称密码学扼要重述 26
2.5.1 公钥和私钥 29
2.5.2 非对称密码学的好处和缺点 31
2.5.3 非对称密码学扼要重述 32
2.6 各取所长 33
2.7 散列函数 36
2.8 数字签名 38
2.9 数字证书 41
2.10 不可否认性 44
2.11 好耶 45
2.12 密码学扼要重述 46
2.13 确保Web事务处理的安全 47
2.14 为什么密码技术还没有普遍应用 52
2.14.1 基于标准的、可互操作的解决方案 52
2.14.2 危机四伏 53
2.14.3 变迁 54
2.15 测验 56
2.16 参考文献 56
3.1 公钥基础设施基础 57
第3章 公钥基础设施基础 57
3.1.1 为什么只有公钥密码技术还不够 58
3.1.2 对可信身份的需求 60
3.1.3 认证机构 62
3.1.4 什么是数字证书 63
3.1.5 使用证书的应用程序 70
3.1.6 为什么需要公钥基础设施 72
3.1.7 用户认证 73
3.1.8 公钥基础设施的组件 76
3.1.10 授权的作用 80
3.1.9 密钥和证书生命周期管理 80
3.2 总结 84
3.3 参考文献 85
第4章 PKI服务和实现 86
4.1 密钥和证书生命周期管理 86
4.1.1 证书颁发 86
4.1.2 密钥要用多久 94
4.1.3 证书撤销 95
4.1.4 证书验证 97
4.1.5 认证路径 98
4.1.6 密钥类型 102
4.1.7 证书分发 105
4.1.8 基本需求 108
4.1.9 私钥保护 109
4.2 部署PKI服务 114
4.2.1 公共认证机构服务 114
4.2.2 企业内认证机构 117
4.2.3 外购企业CA 118
4.2.4 你如何决定 119
4.3 总结 121
4.4 参考文献 121
第5章 密钥和证书生命周期 123
5.1 不可否认性和密钥管理 123
5.2 密钥管理 124
5.2.1 密钥生成 125
5.2.2 密钥存储 127
5.2.3 密钥传输 128
5.2.4 密钥归档 129
5.2.5 密钥恢复 132
5.3 证书管理 137
5.3.1 证书注册 137
5.3.2 最终实体证书更新 143
5.3.3 CA证书更新 143
5.3.4 证书撤销 144
5.4 总结 155
6.1.1 PKIX模型 156
第6章 PKI体系结构——PKIX模型 156
6.1 公钥基础设施体系结构 156
6.1.2 PKIX体系结构 158
6.1.3 PKIX的功能 159
6.1.4 PKIX规范 162
6.2 PKI实体 164
6.2.1 注册机构 164
6.2.2 认证机构 165
6.2.3 资料库 165
6.3 PKIX管理协议 166
6.3.1 CMP 167
6.3.2 CMC 170
6.4 非PKIX管理协议 173
6.4.1 SCEP 173
6.5 PKIX证书验证协议 174
6.5.1 OCSP 176
6.5.2 SCVP 177
6.5.3 OCSP-X 179
6.6 总结 180
6.7 参考文献 180
第7章 PKI的应用 182
7.1 基于PKI的服务 182
7.1.1 数字签名 182
7.1.2 认证 183
7.1.3 时间戳 183
7.1.4 安全公证服务 184
7.1.5 不可否认 185
7.2 基于PKI的协议 186
7.2.1 Diffie-Hellman密钥交换 187
7.2.2 安全套接字层 188
7.2.3 IPSec 192
7.2.4 S/MIME 196
7.2.5 时间戳协议 197
7.2.6 WTLS 197
7.3.1 X.509 198
7.3 格式标准 198
7.3.2 PKIX 199
7.3.3 IEEE P1363 199
7.3.4 PKCS 199
7.3.5 XML 201
7.4 应用程序编程接口 202
7.4.1 微软CryptoAPI 202
7.4.2 公共数据安全体系结构 203
7.4.3 通用安全服务API 204
7.4.4 轻量级目录访问协议 205
7.5 应用程序和PKI实现 206
7.6 签名数据应用程序 207
7.7 总结 208
第8章 信任模型 209
8.1 什么是信任模型 209
8.1.1 信任 209
8.1.2 信任域 210
8.1.3 信任锚 212
8.2 信任关系 213
8.2.1 通用层次组织 214
8.3 信任模型 216
8.3.1 下属层次信任模型 216
8.3.2 对等模型 219
8.3.3 网状模型 223
8.3.4 混合信任模型 229
8.4 谁管理信任 233
8.4.1 用户控制 233
8.4.2 局部信任列表 236
8.4.3 信任管理 238
8.5 证书策略 239
8.6 限制信任模型 241
8.6.1 路径长度 241
8.6.2 证书策略 242
8.7 路径构造和验证 245
8.7.1 路径构造 246
8.7.2 路径验证 248
8.8.1 Identrus信任模型 249
8.8 实现 249
8.8.2 ISO银行业信任模型 250
8.8.3 桥CA 251
8.9 总结 253
8.10 参考文献 254
第9章 认证与PKI 255
9.1 你是谁 255
9.1.1 认证 255
9.3 秘密 257
9.2 认证与PKI 257
9.4 口令 258
9.4.1 明文口令 258
9.4.2 口令的延伸 259
9.4.3 增加一些随机性 261
9.4.4 口令更新 264
9.4.5 存在问题 265
9.4.6 口令的代价 268
9.4.7 口令回顾 268
9.4.8 口令与PKI 269
9.4.9 摩尔定律 270
9.4.10 口令的增强 271
9.5 认证令牌 271
9.5.1 双因素认证 273
9.5.2 认证令牌的类型 273
9.5.3 PIN管理 280
9.5.4 认证令牌回顾 282
9.5.5 认证令牌和PKI 283
9.6 智能卡 285
9.6.1 智能卡的构造 286
9.6.2 与智能卡进行通信 287
9.6.3 智能卡分类 288
9.6.4 非密码智能卡 289
9.6.5 密码智能卡 290
9.6.6 智能卡什么时候不是智能卡 291
9.6.7 智能卡的应用 292
9.6.8 智能卡操作系统 292
9.6.9 防篡改智能卡 293
9.6.10 抵抗结构篡改 296
9.6.11 智能卡回顾 299
9.6.12 智能卡和PKI 299
9.7 生物特征认证 302
9.7.1 生物特征认证如何工作 302
9.7.2 生物特征数据 303
9.7.3 注册 303
9.7.4 FAR/FRR 304
9.7.5 生物特征认证系统设计中心 305
9.7.6 生物特征的问题 306
9.7.7 覆盖面 306
9.7.8 客户端欺骗 307
9.7.9 服务器端攻击 308
9.7.10 社会问题 309
9.7.11 跨系统重放 310
9.7.12 撤销 311
9.7.13 建议 312
9.7.14 圣杯:生物特征认定学和PKI 312
9.7.15 生物特征回顾 313
9.8 认证总结 314
第10章 实施与运作 316
10.1 PKI规划 316
10.1.1 商业驱动因素 317
10.1.2 应用规划 318
10.1.3 体系结构规划 320
10.1.4 用户影响 322
10.1.5 支持和管理 324
10.1.6 基础设施的影响 325
10.1.7 证书内容规划 326
10.1.8 数据库集成 328
10.1.9 法律和策略考虑 329
10.1.10 信任模型 333
10.2 实施考虑 337
10.3 运作考虑 339
10.4 总结 341
第11章 PKI和投资回报 342
11.1 总体拥有成本:投资回报中的“投资” 343
11.1.1 产品/技术 346
11.1.2 设备 346
11.1.3 人力 347
11.1.4 过程 347
11.1.5 总体拥有成本:总结 347
11.2 金融回报:投资回报中的“回报” 348
11.2.1 商务过程 349
11.2.2 度量 353
11.2.3 收入 354
11.2.4 成本 355
11.2.5 守则 358
11.2.6 风险 359
11.2.7 金融回报:总结 361
11.3 公钥基础设施的投资回报:总结 361
11.4 参考文献 363
附录A X.509证书 365
A.1 证书类型 365
A.2 证书格式 366
A.3 证书扩展 368
A.3.1 关键标志 368
A.3.2 密钥扩展 369
A.3.3 策略扩展 372
A.3.4 主体和颁发者信息扩展 373
A.3.5 证书路径限制扩展 374
A.4 证书撤销列表格式 375
A.4.1 证书撤销列表和CRL项扩展 377
A.5 CRL分布点和增量CRL扩展 381
A.5.1 证书扩展 382
A.5.2 CRL扩展 383
A.5.3 CRL项扩展 385
附录B 测验答案 386
附录C 特权管理基础设施 393
C.1 属性证书 394
C.1.1 动机 394
C.1.3 属性证书格式 395
C.1.2 属性 395
C.2 特权管理基础设施 397
C.2.1 属性管理机构 397
C.2.2 超始授权机构 398
C.2.3 属性证书撤销列表 398
C.3 PMI模型 398
C.3.1 特权管理模型 398
C.3.2 授权模型 399
C.3.4 属性证书获取模型 401
C.3.3 角色模型 401
C.4 特权管理证书扩展 402
C.4.1 基本特权管理扩展 402
C.4.2 特权撤销扩展 403
C.4.3 超始授权机构扩展 404
C.4.4 角色扩展 404
C.4.5 授权扩展 405
C.5 PKIX 406
C.6 总结 407
术语表 408