內容簡介
數字證書技術不僅涉及的技術領域廣泛、標準規範龐雜,還涉及運營管理和法律法規;本書是我國第一部全麵介紹數字證書技術的書籍,涵蓋技術、標準、運營、法規等內容。為方便讀者快速理解PKI、快速把握數字證書技術,並能快速運用到具體的工作當中,本書主要從七個方麵來全麵介紹數字證書技術,主要內容包括:如何理解PKI、PKI技術基礎、PKI之數字證書與私鑰(網絡身份證)、PKI之CA與KMC(管理網絡身份證)、PKI之應用(使用網絡身份證)、PKI之運營(CA中心)、PKI之法規與標準。
作者簡介
國傢電子商務標準化總體組,成員。國密局電子交易密碼應用工作組,成員。科技支撐計劃:“電子交易密碼應用示範工程”,2008-2010,子課題三負責人863課題:“中國人民銀行信息係統安全總體技術框架研究及示範”2003-2005,主要研究人員十五公關課題:“銀行、保險及金融機構信息交換密碼技術應用規範”2003-2004,主要研究人員國密局課題:“PBOC 2.0國産密碼算法應用研究”、“網上銀行國産密碼算法應用研究”2009-2010,主要研究人員安標委課題:“電子交易密碼應用技術框架”、“電子支付密碼應用技術規範”等,2008-2010,主要研究人員
目錄
目 錄
第一部分 如何理解PKI
第1章 為什麼會齣現PKI技術 2
1.1 保密通信催生瞭密碼技術 2
1.1.1 古代中國軍隊的保密通信方法 2
1.1.2 傳統密碼學與古代西方保密通信方法 3
1.1.3 兩次世界大戰的密碼鬥法 6
1.1.4 現代密碼學與信息時代 7
1.2 密碼技術普及推動瞭密鑰管理技術的發展 9
1.2.1 密鑰管理 9
1.2.2 對稱密鑰管理技術 11
1.2.3 非對稱密碼技術簡化瞭密鑰管理 12
1.3 PKI本質是把非對稱密鑰管理標準化 14
1.4 私鑰專有性使人聯想到手寫簽名 15
1.5 電子簽名法賦予電子簽名與認證法律地位 16
第2章 PKI包括哪些內容 18
2.1 PKI體係框架 18
2.2 PKI/數字證書與私鑰 20
2.3 PKI/CA與KMC 22
2.4 PKI/應用 25
2.5 PKI/運營 27
2.6 PKI/法規與標準 29
2.6.1 國內法規 29
2.6.2 國內標準 30
2.6.3 國際標準 31
2.7 PKI/信任模型 36
2.7.1 根CA信任模型 37
2.7.2 交叉認證信任模型 38
2.7.3 橋CA信任模型 39
2.7.4 信任列錶信任模型 39
第3章 其他非對稱密鑰管理體係 41
3.1 PGP 41
3.2 EMV 42
第二部分 PKI技術基礎
第4章 ASN.1及其編碼規則 48
4.1 ASN.1(抽象文法描述語言) 48
4.2 BER(基本編碼規則)與DER(定長編碼規則) 50
4.2.1 數據類型標識 50
4.2.2 BER基本編碼規則 52
4.2.3 DER定長編碼規則 54
第5章 密碼技術 56
5.1 密碼算法 56
5.1.1 算法分類 56
5.1.2 對稱密碼算法 56
5.1.3 非對稱密碼算法 60
5.1.4 摘要算法 62
5.2 運算模式(工作模式) 64
5.2.1 ECB 64
5.2.2 CBC 64
5.2.3 CFB 64
5.2.4 OFB 65
5.3 擴展機製 65
5.3.1 MAC與HMAC 65
5.3.2 OTP 67
5.3.3 數字簽名 68
5.3.4 數字信封 69
5.4 密碼應用實踐 70
5.4.1 軟件加密與硬件加密 70
5.4.2 網絡層加密與應用層加密 72
5.4.3 密鑰管理的基本原則 72
5.4.4 密碼設備的自身安全性 73
5.5 密碼算法ASN.1描述 74
5.5.1 密碼算法格式 74
5.5.2 密碼算法OID 75
5.6 密碼消息ASN.1描述 75
5.6.1 通用內容消息ContentInfo 75
5.6.2 明文數據消息Data 75
5.6.3 數字簽名消息SignedData 76
5.6.4 數字信封消息EnvelopedData 77
5.6.5 數字簽名及信封消息SignedAndEnvelopedData 78
5.6.6 摘要消息DigestedData 78
5.6.7 加密數據消息EncryptedData 79
5.6.8 密鑰協商消息KeyAgreementInfo 79
5.6.9 密碼消息類型OID 79
5.7 Base64編碼 80
第6章 LDAP技術 82
6.1 目錄服務與LDAP概述 82
6.1.1 目錄服務簡介 82
6.1.2 X.500協議簡介 83
6.1.3 LDAP協議簡介 84
6.1.4 LDAP模型簡介 85
6.1.5 LDAP Schema 88
6.1.6 LDAP認證方式 91
6.1.7 LDIF數據交換文件 94
6.2 常見LDAP産品介紹 97
6.2.1 IBM TDS 97
6.2.2 Sun Java係統目錄服務器 97
6.2.3 Novell eDirectory 98
6.2.4 GBase 8d 98
6.2.5 OpenLDAP 99
6.2.6 Microsoft Active Directory 99
6.3 LDAP部署與優化 100
6.3.1 復製介紹 100
6.3.2 引用機製介紹 101
6.3.3 復製機製的部署 102
6.3.4 引用機製的部署 104
6.3.5 LDAP優化 105
6.4 麵嚮LDAP的係統設計與開發 106
6.4.1 LDAP管理工具 106
6.4.2 應用接口編程與實例 109
6.4.3 LDAP應用案例 119
第7章 實驗一 120
7.1 DER編碼示例:X.501 Name類型 120
7.1.1 ASN.1描述與實例 120
7.1.2 DER編碼過程 121
7.2 RSA算法示例 123
7.2.1 密鑰産生 123
7.2.1 加密解密 124
第三部分 PKI之數字證書與私鑰:網絡身份證
第8章 公/私鑰格式 126
8.1 RSA 126
8.2 SM2 128
第9章 數字證書格式 130
9.1 基本格式 130
9.1.1 證書域組成(Certificate) 130
9.1.2 證書內容(tbsCertificate) 130
9.2 標準擴展項 135
9.2.1 標準擴展項(Standard Extensions) 135
9.2.2 專用互聯網擴展項 145
9.3 國內擴展項 146
9.3.1 衛生係統專用擴展項 146
9.3.2 國內通用擴展項 147
第10章 數字證書分類 150
10.1 根據證書持有者分類 150
10.2 根據密鑰分類 150
第11章 私鑰與證書存儲方式 152
11.1 證書保存形式 152
11.1.1 DER文件形式 152
11.1.2 Base64文件形式 154
11.1.3 PKCS#7文件形式 154
11.1.4 Windows證書庫形式 155
11.2 私鑰保存形式 157
11.2.1 PKCS#8文件形式 158
11.2.2 PKCS#12文件形式 158
11.2.3 Java Keystore文件形式 160
11.2.4 密碼設備形式 161
11.2.5 軟件係統形式 162
第12章 私鑰與證書訪問方式 164
12.1 CryptoAPI 164
12.1.1 CryptoAPI簡介 164
12.1.2 使用證書 166
12.1.3 使用私鑰 168
12.2 PKCS#11 172
12.2.1 PKCS#11簡介 172
12.2.2 使用證書 178
12.2.3 使用私鑰 181
12.3 JCA/JCE 183
12.3.1 JCA/JCE簡介 183
12.3.2 使用證書 187
12.3.3 使用私鑰 189
12.4 CNG 190
12.4.1 CNG簡介 190
12.4.2 使用證書 195
12.4.3 使用私鑰 196
12.5 PC/SC 200
12.5.1 PC/SC簡介 200
12.5.2 使用證書 202
12.5.3 使用私鑰 213
12.6 國密接口 213
12.6.1 國密接口簡介 213
12.6.2 使用證書 215
12.6.3 使用私鑰 217
第13章 實驗二 222
13.1 RSA公鑰格式編碼示例 222
13.1.1 ASN.1描述與實例 222
13.1.2 DER編碼過程 222
13.2 數字證書格式編碼示例 223
13.2.1 ASN.1描述與實例 223
13.2.2 DER編碼過程 225
13.3 Windows證書庫操作示例 229
13.3.1 查看證書庫內容 229
13.3.2 導入證書 230
13.3.3 導齣證書 233
第四部分 PKI之CA與KMC:管理網絡身份證
第14章 係統結構 236
14.1 國際標準 236
14.2 國內標準 237
14.2.1 證書認證係統CA 237
14.2.2 密鑰管理係統KMC 239
第15章 係統設計 241
15.1 證書認證係統CA 241
15.1.1 用戶注冊管理係統RA 241
15.1.2 證書/CRL簽發係統 242
15.1.3 證書/CRL存儲發布係統 243
15.1.4 證書/CRL查詢係統 244
15.1.5 證書管理係統 245
15.1.6 安全管理係統 245
15.2 密鑰管理係統KMC 246
15.3 企業級CA總體設計示例 248
15.3.1 技術路綫選擇 248
15.3.2 模塊設計 250
15.3.3 數據庫設計 251
15.3.4 雙證書技術流程設計 253
第16章 對外在綫服務 256
16.1 OCSP/SOCSP服務 256
16.1.1 OCSP 256
16.1.2 SOCSP 258
16.2 CRL服務 259
16.2.1 基本域組成(CertificateList) 259
16.2.2 CRL內容(tbsCertList) 260
16.2.3 CRL擴展項crlExtensions 262
16.2.4 CRL條目擴展項crlEntryExtensions 265
16.3 LDAP服務 267
16.3.1 發布數字證書到LDAP 267
16.3.2 訪問LDAP獲取數字證書 268
第17章 網絡部署結構 270
17.1 運營型CA 270
17.2 企業級CA 273
17.2.1 雙層標準模式 273
17.2.2 雙層簡化模式 273
17.2.3 單層單機模式 274
17.2.4 純硬件模式 274
17.3 按企業管理模式部署CA 276
17.3.1 單機構 276
17.3.2 集團公司+集中部署+集中發證 276
17.3.3 集團公司+集中部署+分布發證 277
17.3.4 集團公司+兩級部署+分布發證 278
第18章 實驗三 280
18.1 OpenSSL CA示例 280
18.1.1 簡介 280
18.1.2 安裝配置 280
18.1.3 申請證書 284
18.1.4 生成並下載CRL 287
18.1.5 導入CA證書到IE可信任證書庫 290
18.2 EJBCA示例 291
18.2.1 簡介 291
18.2.2 安裝配置 292
18.2.3 申請證書 300
18.2.4 下載CRL 303
第五部分 PKI之應用:使用網絡身份證
第19章 基本應用 308
19.1 身份認證 308
19.2 保密性 310
19.3 完整性 311
19.4 抗抵賴性 312
19.5 證書有效性驗證 314
第20章 通用應用技術 315
20.1 SSL/TLS(Secure Socket layer/Transport Layer Security) 315
20.1.1 概述 315
20.1.2 記錄協議 315
20.1.3 握手協議 316
20.1.4 警告協議 317
20.1.5 改變密碼約定協議 318
20.1.6 應用數據協議 318
20.2 IPSec 318
20.3 Kerberos 323
20.4 TSP 326
20.5 SET 331
20.6 3-D Secure 333
20.7 WAP 335
20.8 S/MIMI 338
第21章 常見應用 345
21.1 防止假網站與Web服務器證書 345
21.1.1 假網站 345
21.1.2 使用Web服務器證書預防假網站 346
21.2 防止假軟件與代碼簽名證書 348
21.2.1 Web技術的發展 348
21.2.2 插件技術與假網銀軟件 350
21.2.3 使用代碼簽名證書預防假網銀軟件 351
21.3 網上銀行係統 352
21.3.1 簡介 352
21.3.2 應用安全需求 353
21.3.3 應用安全總體架構 354
21.4 網上報稅係統 355
21.4.1 簡介 355
21.4.2 應用安全需求 356
21.4.3 應用安全總體架構 356
21.5 電子病曆係統 357
21.5.1 簡介 357
21.5.2 應用安全需求 357
21.5.3 應用安全總體架構 359
21.5.4 網絡部署結構 359
21.6 公交IC卡在綫充值係統 361
21.6.1 簡介 361
21.6.2 應用安全需求 361
21.6.3 應用安全總體架構 362
21.6.4 充值交易流程 362
第22章 實驗四 365
22.1 Windows IIS服務器證書配置 365
22.1.1 下載並安裝服務器證書 366
22.1.2 配置SSL策略 373
22.1.3 訪問Web Server 374
22.2 Apache服務器證書配置 375
22.2.1 下載並安裝服務器證書 375
22.2.2 配置SSL策略 379
22.2.3 訪問Web Server 381
22.3 Tomcat服務器證書配置 381
22.3.1 下載並安裝服務器證書 381
22.3.2 配置SSL策略 384
22.3.3 訪問Web Server 384
第六部分 PKI之運營:CA中心
第23章 機房建設 388
23.1 業務係統 388
23.1.1 證書認證中心 388
23.1.2 密鑰管理中心 390
23.2 應用安全 391
23.3 數據備份 394
23.4 係統可靠性 394
23.5 物理安全 394
23.6 人事管理製度 396
第24章 運營文件 397
24.1 CPS 397
24.2 CP 398
24.3 RA管理 399
第25章 業務管理 402
25.1 管理模式 402
25.1.1 總體框架 402
25.1.2 具體要求 404
25.1.3 管理模式示例 410
25.2 主要業務流程 412
25.2.1 證書申請類 412
25.2.2 證書作廢類 417
25.2.3 證書查詢類 418
25.3 客戶服務 420
第26章 資質申請 422
26.1 電子認證服務使用密碼許可證 422
26.1.1 政策法規要點 422
26.1.2 申請流程 423
26.2 電子認證服務許可證 424
26.2.1 政策法規要點 424
26.2.2 申請流程 425
26.3 電子政務電子認證服務管理 426
26.4 衛生係統電子認證服務管理 427
26.4.1 政策法規要點 427
26.4.2 接入流程 428
第七部分 PKI之法規與標準
第27章 國內法規 432
27.1 電子簽名法 432
27.2 電子認證服務管理辦法 436
27.3 電子認證服務密碼管理辦法 440
27.4 電子政務電子認證服務管理辦法 443
27.5 衛生係統電子認證服務管理辦法 447
27.6 商用密碼管理條例 449
27.7 商用密碼科研管理規定 452
27.8 商用密碼産品生産管理規定 454
27.9 商用密碼産品銷售管理規定 456
27.10 商用密碼産品使用管理規定 458
27.11 境外組織和個人在華使用密碼産品管理辦法 459
第28章 國內標準 461
28.1 通用性標準 461
28.1.1 祖衝之序列密碼算法(GM/T 0001) 461
28.1.2 SM4分組密碼算法(GM/T 0002) 461
28.1.3 SM2橢圓麯綫公鑰密碼算法(GM/T 0003) 461
28.1.4 SM3密碼雜湊算法(GM/T 0004) 462
28.1.5 SM2密碼算法使用規範(GM/T 0009) 462
28.1.6 SM2密碼算法加密簽名消息語法規範(GM/T 0010) 463
28.1.7 數字證書認證係統密碼協議規範(GM/T 0014) 463
28.1.8 基於SM2密碼算法的數字證書格式規範(GM/T 0015) 464
28.1.9 通用密碼服務接口規範(GM/T 0019) 464
28.1.10 證書應用綜閤服務接口規範(GM/T 002
PKI/CA與數字證書技術大全 下載 mobi epub pdf txt 電子書 格式