PKI/CA與數(shù)字證書技術(shù)大全

目 錄
第一部分 如何理解PKI
第1章 為什么會(huì)出現(xiàn)PKI技術(shù) 2
1．1 保密通信催生了密碼技術(shù) 2
1．1．1 古代中國(guó)軍隊(duì)的保密通信方法 2
1．1．2 傳統(tǒng)密碼學(xué)與古代西方保密通信方法 3
1．1．3 兩次世界大戰(zhàn)的密碼斗法 6
1．1．4 現(xiàn)代密碼學(xué)與信息時(shí)代 7
1．2 密碼技術(shù)普及推動(dòng)了密鑰管理技術(shù)的發(fā)展 9
1．2．1 密鑰管理 9
1．2．2 對(duì)稱密鑰管理技術(shù) 11
1．2．3 非對(duì)稱密碼技術(shù)簡(jiǎn)化了密鑰管理 12
1．3 PKI本質(zhì)是把非對(duì)稱密鑰管理標(biāo)準(zhǔn)化 14
1．4 私鑰專有性使人聯(lián)想到手寫簽名 15
1．5 電子簽名法賦予電子簽名與認(rèn)證法律地位 16
第2章 PKI包括哪些內(nèi)容 18
2．1 PKI體系框架 18
2．2 PKI/數(shù)字證書與私鑰 20
2．3 PKI/CA與KMC 22
2．4 PKI/應(yīng)用 25
2．5 PKI/運(yùn)營(yíng) 27
2．6 PKI/法規(guī)與標(biāo)準(zhǔn) 29
2．6．1 國(guó)內(nèi)法規(guī) 29
2．6．2 國(guó)內(nèi)標(biāo)準(zhǔn) 30
2．6．3 國(guó)際標(biāo)準(zhǔn) 31
2．7 PKI/信任模型 36
2．7．1 根CA信任模型 37
2．7．2 交叉認(rèn)證信任模型 38
2．7．3 橋CA信任模型 39
2．7．4 信任列表信任模型 39
第3章 其他非對(duì)稱密鑰管理體系 41
3．1 PGP 41
3．2 EMV 42
第二部分 PKI技術(shù)基礎(chǔ)
第4章 ASN．1及其編碼規(guī)則 48
4．1 ASN．1（抽象文法描述語(yǔ)言） 48
4．2 BER（基本編碼規(guī)則）與DER（定長(zhǎng)編碼規(guī)則） 50
4．2．1 數(shù)據(jù)類型標(biāo)識(shí) 50
4．2．2 BER基本編碼規(guī)則 52
4．2．3 DER定長(zhǎng)編碼規(guī)則 54
第5章 密碼技術(shù) 56
5．1 密碼算法 56
5．1．1 算法分類 56
5．1．2 對(duì)稱密碼算法 56
5．1．3 非對(duì)稱密碼算法 60
5．1．4 摘要算法 62
5．2 運(yùn)算模式（工作模式） 64
5．2．1 ECB 64
5．2．2 CBC 64
5．2．3 CFB 64
5．2．4 OFB 65
5．3 擴(kuò)展機(jī)制 65
5．3．1 MAC與HMAC 65
5．3．2 OTP 67
5．3．3 數(shù)字簽名 68
5．3．4 數(shù)字信封 69
5．4 密碼應(yīng)用實(shí)踐 70
5．4．1 軟件加密與硬件加密 70
5．4．2 網(wǎng)絡(luò)層加密與應(yīng)用層加密 72
5．4．3 密鑰管理的基本原則 72
5．4．4 密碼設(shè)備的自身安全性 73
5．5 密碼算法ASN．1描述 74
5．5．1 密碼算法格式 74
5．5．2 密碼算法OID 75
5．6 密碼消息ASN．1描述 75
5．6．1 通用內(nèi)容消息ContentInfo 75
5．6．2 明文數(shù)據(jù)消息Data 75
5．6．3 數(shù)字簽名消息SignedData 76
5．6．4 數(shù)字信封消息EnvelopedData 77
5．6．5 數(shù)字簽名及信封消息SignedAndEnvelopedData 78
5．6．6 摘要消息DigestedData 78
5．6．7 加密數(shù)據(jù)消息EncryptedData 79
5．6．8 密鑰協(xié)商消息KeyAgreementInfo 79
5．6．9 密碼消息類型OID 79
5．7 Base64編碼 80
第6章 LDAP技術(shù) 82
6．1 目錄服務(wù)與LDAP概述 82
6．1．1 目錄服務(wù)簡(jiǎn)介 82
6．1．2 X．500協(xié)議簡(jiǎn)介 83
6．1．3 LDAP協(xié)議簡(jiǎn)介 84
6．1．4 LDAP模型簡(jiǎn)介 85
6．1．5 LDAP Schema 88
6．1．6 LDAP認(rèn)證方式 91
6．1．7 LDIF數(shù)據(jù)交換文件 94
6．2 常見LDAP產(chǎn)品介紹 97
6．2．1 IBM TDS 97
6．2．2 Sun Java系統(tǒng)目錄服務(wù)器 97
6．2．3 Novell eDirectory 98
6．2．4 GBase 8d 98
6．2．5 OpenLDAP 99
6．2．6 Microsoft Active Directory 99
6．3 LDAP部署與優(yōu)化 100
6．3．1 復(fù)制介紹 100
6．3．2 引用機(jī)制介紹 101
6．3．3 復(fù)制機(jī)制的部署 102
6．3．4 引用機(jī)制的部署 104
6．3．5 LDAP優(yōu)化 105
6．4 面向LDAP的系統(tǒng)設(shè)計(jì)與開發(fā) 106
6．4．1 LDAP管理工具 106
6．4．2 應(yīng)用接口編程與實(shí)例 109
6．4．3 LDAP應(yīng)用案例 119
第7章 實(shí)驗(yàn)一 120
7．1 DER編碼示例：X．501 Name類型 120
7．1．1 ASN．1描述與實(shí)例 120
7．1．2 DER編碼過(guò)程 121
7．2 RSA算法示例 123
7．2．1 密鑰產(chǎn)生 123
7．2．1 加密解密 124
第三部分 PKI之?dāng)?shù)字證書與私鑰：網(wǎng)絡(luò)身份證
第8章 公/私鑰格式 126
8．1 RSA 126
8．2 SM2 128
第9章 數(shù)字證書格式 130
9．1 基本格式 130
9．1．1 證書域組成（Certificate） 130
9．1．2 證書內(nèi)容（tbsCertificate） 130
9．2 標(biāo)準(zhǔn)擴(kuò)展項(xiàng) 135
9．2．1 標(biāo)準(zhǔn)擴(kuò)展項(xiàng)（Standard Extensions） 135
9．2．2 專用互聯(lián)網(wǎng)擴(kuò)展項(xiàng) 145
9．3 國(guó)內(nèi)擴(kuò)展項(xiàng) 146
9．3．1 衛(wèi)生系統(tǒng)專用擴(kuò)展項(xiàng) 146
9．3．2 國(guó)內(nèi)通用擴(kuò)展項(xiàng) 147
第10章 數(shù)字證書分類 150
10．1 根據(jù)證書持有者分類 150
10．2 根據(jù)密鑰分類 150
第11章 私鑰與證書存儲(chǔ)方式 152
11．1 證書保存形式 152
11．1．1 DER文件形式 152
11．1．2 Base64文件形式 154
11．1．3 PKCS#7文件形式 154
11．1．4 Windows證書庫(kù)形式 155
11．2 私鑰保存形式 157
11．2．1 PKCS#8文件形式 158
11．2．2 PKCS#12文件形式 158
11．2．3 Java Keystore文件形式 160
11．2．4 密碼設(shè)備形式 161
11．2．5 軟件系統(tǒng)形式 162
第12章 私鑰與證書訪問(wèn)方式 164
12．1 CryptoAPI 164
12．1．1 CryptoAPI簡(jiǎn)介 164
12．1．2 使用證書 166
12．1．3 使用私鑰 168
12．2 PKCS#11 172
12．2．1 PKCS#11簡(jiǎn)介 172
12．2．2 使用證書 178
12．2．3 使用私鑰 181
12．3 JCA/JCE 183
12．3．1 JCA/JCE簡(jiǎn)介 183
12．3．2 使用證書 187
12．3．3 使用私鑰 189
12．4 CNG 190
12．4．1 CNG簡(jiǎn)介 190
12．4．2 使用證書 195
12．4．3 使用私鑰 196
12．5 PC/SC 200
12．5．1 PC/SC簡(jiǎn)介 200
12．5．2 使用證書 202
12．5．3 使用私鑰 213
12．6 國(guó)密接口 213
12．6．1 國(guó)密接口簡(jiǎn)介 213
12．6．2 使用證書 215
12．6．3 使用私鑰 217
第13章 實(shí)驗(yàn)二 222
13．1 RSA公鑰格式編碼示例 222
13．1．1 ASN．1描述與實(shí)例 222
13．1．2 DER編碼過(guò)程 222
13．2 數(shù)字證書格式編碼示例 223
13．2．1 ASN．1描述與實(shí)例 223
13．2．2 DER編碼過(guò)程 225
13．3 Windows證書庫(kù)操作示例 229
13．3．1 查看證書庫(kù)內(nèi)容 229
13．3．2 導(dǎo)入證書 230
13．3．3 導(dǎo)出證書 233
第四部分 PKI之CA與KMC：管理網(wǎng)絡(luò)身份證
第14章 系統(tǒng)結(jié)構(gòu) 236
14．1 國(guó)際標(biāo)準(zhǔn) 236
14．2 國(guó)內(nèi)標(biāo)準(zhǔn) 237
14．2．1 證書認(rèn)證系統(tǒng)CA 237
14．2．2 密鑰管理系統(tǒng)KMC 239
第15章 系統(tǒng)設(shè)計(jì) 241
15．1 證書認(rèn)證系統(tǒng)CA 241
15．1．1 用戶注冊(cè)管理系統(tǒng)RA 241
15．1．2 證書/CRL簽發(fā)系統(tǒng) 242
15．1．3 證書/CRL存儲(chǔ)發(fā)布系統(tǒng) 243
15．1．4 證書/CRL查詢系統(tǒng) 244
15．1．5 證書管理系統(tǒng) 245
15．1．6 安全管理系統(tǒng) 245
15．2 密鑰管理系統(tǒng)KMC 246
15．3 企業(yè)級(jí)CA總體設(shè)計(jì)示例 248
15．3．1 技術(shù)路線選擇 248
15．3．2 模塊設(shè)計(jì) 250
15．3．3 數(shù)據(jù)庫(kù)設(shè)計(jì) 251
15．3．4 雙證書技術(shù)流程設(shè)計(jì) 253
第16章 對(duì)外在線服務(wù) 256
16．1 OCSP/SOCSP服務(wù) 256
16．1．1 OCSP 256
16．1．2 SOCSP 258
16．2 CRL服務(wù) 259
16．2．1 基本域組成（CertificateList） 259
16．2．2 CRL內(nèi)容（tbsCertList） 260
16．2．3 CRL擴(kuò)展項(xiàng)crlExtensions 262
16．2．4 CRL條目擴(kuò)展項(xiàng)crlEntryExtensions 265
16．3 LDAP服務(wù) 267
16．3．1 發(fā)布數(shù)字證書到LDAP 267
16．3．2 訪問(wèn)LDAP獲取數(shù)字證書 268
第17章 網(wǎng)絡(luò)部署結(jié)構(gòu) 270
17．1 運(yùn)營(yíng)型CA 270
17．2 企業(yè)級(jí)CA 273
17．2．1 雙層標(biāo)準(zhǔn)模式 273
17．2．2 雙層簡(jiǎn)化模式 273
17．2．3 單層單機(jī)模式 274
17．2．4 純硬件模式 274
17．3 按企業(yè)管理模式部署CA 276
17．3．1 單機(jī)構(gòu) 276
17．3．2 集團(tuán)公司+集中部署+集中發(fā)證 276
17．3．3 集團(tuán)公司+集中部署+分布發(fā)證 277
17．3．4 集團(tuán)公司+兩級(jí)部署+分布發(fā)證 278
第18章 實(shí)驗(yàn)三 280
18．1 OpenSSL CA示例 280
18．1．1 簡(jiǎn)介 280
18．1．2 安裝配置 280
18．1．3 申請(qǐng)證書 284
18．1．4 生成并下載CRL 287
18．1．5 導(dǎo)入CA證書到IE可信任證書庫(kù) 290
18．2 EJBCA示例 291
18．2．1 簡(jiǎn)介 291
18．2．2 安裝配置 292
18．2．3 申請(qǐng)證書 300
18．2．4 下載CRL 303
第五部分 PKI之應(yīng)用：使用網(wǎng)絡(luò)身份證
第19章 基本應(yīng)用 308
19．1 身份認(rèn)證 308
19．2 保密性 310
19．3 完整性 311
19．4 抗抵賴性 312
19．5 證書有效性驗(yàn)證 314
第20章 通用應(yīng)用技術(shù) 315
20．1 SSL/TLS（Secure Socket layer/Transport Layer Security） 315
20．1．1 概述 315
20．1．2 記錄協(xié)議 315
20．1．3 握手協(xié)議 316
20．1．4 警告協(xié)議 317
20．1．5 改變密碼約定協(xié)議 318
20．1．6 應(yīng)用數(shù)據(jù)協(xié)議 318
20．2 IPSec 318
20．3 Kerberos 323
20．4 TSP 326
20．5 SET 331
20．6 3-D Secure 333
20．7 WAP 335
20．8 S/MIMI 338
第21章 常見應(yīng)用 345
21．1 防止假網(wǎng)站與Web服務(wù)器證書 345
21．1．1 假網(wǎng)站 345
21．1．2 使用Web服務(wù)器證書預(yù)防假網(wǎng)站 346
21．2 防止假軟件與代碼簽名證書 348
21．2．1 Web技術(shù)的發(fā)展 348
21．2．2 插件技術(shù)與假網(wǎng)銀軟件 350
21．2．3 使用代碼簽名證書預(yù)防假網(wǎng)銀軟件 351
21．3 網(wǎng)上銀行系統(tǒng) 352
21．3．1 簡(jiǎn)介 352
21．3．2 應(yīng)用安全需求 353
21．3．3 應(yīng)用安全總體架構(gòu) 354
21．4 網(wǎng)上報(bào)稅系統(tǒng) 355
21．4．1 簡(jiǎn)介 355
21．4．2 應(yīng)用安全需求 356
21．4．3 應(yīng)用安全總體架構(gòu) 356
21．5 電子病歷系統(tǒng) 357
21．5．1 簡(jiǎn)介 357
21．5．2 應(yīng)用安全需求 357
21．5．3 應(yīng)用安全總體架構(gòu) 359
21．5．4 網(wǎng)絡(luò)部署結(jié)構(gòu) 359
21．6 公交IC卡在線充值系統(tǒng) 361
21．6．1 簡(jiǎn)介 361
21．6．2 應(yīng)用安全需求 361
21．6．3 應(yīng)用安全總體架構(gòu) 362
21．6．4 充值交易流程 362
第22章 實(shí)驗(yàn)四 365
22．1 Windows IIS服務(wù)器證書配置 365
22．1．1 下載并安裝服務(wù)器證書 366
22．1．2 配置SSL策略 373
22．1．3 訪問(wèn)Web Server 374
22．2 Apache服務(wù)器證書配置 375
22．2．1 下載并安裝服務(wù)器證書 375
22．2．2 配置SSL策略 379
22．2．3 訪問(wèn)Web Server 381
22．3 Tomcat服務(wù)器證書配置 381
22．3．1 下載并安裝服務(wù)器證書 381
22．3．2 配置SSL策略 384
22．3．3 訪問(wèn)Web Server 384
第六部分 PKI之運(yùn)營(yíng)：CA中心
第23章 機(jī)房建設(shè) 388
23．1 業(yè)務(wù)系統(tǒng) 388
23．1．1 證書認(rèn)證中心 388
23．1．2 密鑰管理中心 390
23．2 應(yīng)用安全 391
23．3 數(shù)據(jù)備份 394
23．4 系統(tǒng)可靠性 394
23．5 物理安全 394
23．6 人事管理制度 396
第24章 運(yùn)營(yíng)文件 397
24．1 CPS 397
24．2 CP 398
24．3 RA管理 399
第25章 業(yè)務(wù)管理 402
25．1 管理模式 402
25．1．1 總體框架 402
25．1．2 具體要求 404
25．1．3 管理模式示例 410
25．2 主要業(yè)務(wù)流程 412
25．2．1 證書申請(qǐng)類 412
25．2．2 證書作廢類 417
25．2．3 證書查詢類 418
25．3 客戶服務(wù) 420
第26章 資質(zhì)申請(qǐng) 422
26．1 電子認(rèn)證服務(wù)使用密碼許可證 422
26．1．1 政策法規(guī)要點(diǎn) 422
26．1．2 申請(qǐng)流程 423
26．2 電子認(rèn)證服務(wù)許可證 424
26．2．1 政策法規(guī)要點(diǎn) 424
26．2．2 申請(qǐng)流程 425
26．3 電子政務(wù)電子認(rèn)證服務(wù)管理 426
26．4 衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理 427
26．4．1 政策法規(guī)要點(diǎn) 427
26．4．2 接入流程 428
第七部分 PKI之法規(guī)與標(biāo)準(zhǔn)
第27章 國(guó)內(nèi)法規(guī) 432
27．1 電子簽名法 432
27．2 電子認(rèn)證服務(wù)管理辦法 436
27．3 電子認(rèn)證服務(wù)密碼管理辦法 440
27．4 電子政務(wù)電子認(rèn)證服務(wù)管理辦法 443
27．5 衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法 447
27．6 商用密碼管理?xiàng)l例 449
27．7 商用密碼科研管理規(guī)定 452
27．8 商用密碼產(chǎn)品生產(chǎn)管理規(guī)定 454
27．9 商用密碼產(chǎn)品銷售管理規(guī)定 456
27．10 商用密碼產(chǎn)品使用管理規(guī)定 458
27．11 境外組織和個(gè)人在華使用密碼產(chǎn)品管理辦法 459
第28章 國(guó)內(nèi)標(biāo)準(zhǔn) 461
28．1 通用性標(biāo)準(zhǔn) 461
28．1．1 祖沖之序列密碼算法（GM/T 0001） 461
28．1．2 SM4分組密碼算法（GM/T 0002） 461
28．1．3 SM2橢圓曲線公鑰密碼算法（GM/T 0003） 461
28．1．4 SM3密碼雜湊算法（GM/T 0004） 462
28．1．5 SM2密碼算法使用規(guī)范（GM/T 0009） 462
28．1．6 SM2密碼算法加密簽名消息語(yǔ)法規(guī)范（GM/T 0010） 463
28．1．7 數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范（GM/T 0014） 463
28．1．8 基于SM2密碼算法的數(shù)字證書格式規(guī)范（GM/T 0015） 464
28．1．9 通用密碼服務(wù)接口規(guī)范（GM/T 0019） 464
28．1．10 證書應(yīng)用綜合服務(wù)接口規(guī)范（GM/T 0020） 467
28．1．11 IPSec VPN技術(shù)規(guī)范（GM/T 0022） 467
28．1．12 SSL VPN技術(shù)規(guī)范（GM/T 0024） 468
28．1．13 安全認(rèn)證網(wǎng)關(guān)產(chǎn)品規(guī)范（GM/T 0026） 468
28．1．14 簽名驗(yàn)簽服務(wù)器技術(shù)規(guī)范（GM/T 0029） 469
28．1．15 安全電子簽章密碼技術(shù)規(guī)范（GM/T 0031） 469
28．1．16 時(shí)間戳接口規(guī)范（GM/T 0033） 470
28．1．17 基于SM2密碼算法的證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范（GM/T 0034） 470
28．1．18 證書認(rèn)證系統(tǒng)檢測(cè)規(guī)范（GM/T 0037） 471
28．1．19 證書認(rèn)證密鑰管理系統(tǒng)檢測(cè)規(guī)范（GM/T 0038） 472
28．1．20 證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范（GB/T 25056） 473
28．1．21 電子認(rèn)證服務(wù)機(jī)構(gòu)運(yùn)營(yíng)管理規(guī)范（GB/T 28447） 473
28．2 行業(yè)性標(biāo)準(zhǔn) 474
28．2．1 衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)規(guī)范 474
28．2．2 衛(wèi)生系統(tǒng)數(shù)字證書應(yīng)用集成規(guī)范 475
28．2．3 衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范 475
28．2．4 衛(wèi)生系統(tǒng)數(shù)字證書介質(zhì)技術(shù)規(guī)范 476
28．2．5 衛(wèi)生系統(tǒng)數(shù)字證書服務(wù)管理平臺(tái)接入規(guī)范 477
28．2．6 網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（JR/T 0068） 477
第29章 國(guó)際標(biāo)準(zhǔn) 479
29．1 PKCS系列 479
29．2 ISO 7816系列 491
29．3 IETF RFC系列 494
29．4 Microsoft規(guī)范 502
29．5 Java 安全API規(guī)范 504
29．6 CCID規(guī)范 506
附錄 主要參考資料 507