PKI/CA与数字证书技术大全

图书标准信息

• 作者 张明德、刘伟 著
• 出版社 电子工业出版社
• 出版时间 2015-06
• 版次 1
• ISBN 9787121261060
• 定价 98.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 528页
• 字数 888千字
• 正文语种 简体中文

【内容简介】

数字证书技术不仅涉及的技术领域广泛、标准规范庞杂，还涉及运营管理和法律法规；本书是中国第一部全面介绍数字证书技术的书籍，涵盖技术、标准、运营、法规等内容。为方便读者快速理解PKI、快速把握数字证书技术，并能快速运用到具体的工作当中，本书主要从七个方面来全面介绍数字证书技术，主要内容包括：如何理解PKI、PKI技术基础、PKI之数字证书与私钥（网络身份证）、PKI之CA与KMC（管理网络身份证）、PKI之应用（使用网络身份证）、PKI之运营（CA中心）、PKI之法规与标准。

【作者简介】

国家电子商务标准化总体组，成员。国密局电子交易密码应用工作组，成员。科技支撑计划：“电子交易密码应用示范工程”，2008-2010，子课题三负责人863课题：“中国人民银行信息系统安全总体技术框架研究及示范”2003-2005，主要研究人员十五公关课题：“银行、保险及金融机构信息交换密码技术应用规范”2003-2004，主要研究人员国密局课题：“PBOC 2.0国产密码算法应用研究”、“网上银行国产密码算法应用研究”2009-2010，主要研究人员安标委课题：“电子交易密码应用技术框架”、“电子支付密码应用技术规范”等，2008-2010，主要研究人员

【目录】

目    录
第一部分  如何理解PKI
第1章  为什么会出现PKI技术2
1．1  保密通信催生了密码技术2
1．1．1  古代中国军队的保密通信方法2
1．1．2  传统密码学与古代西方保密通信方法3
1．1．3  两次世界大战的密码斗法6
1．1．4  现代密码学与信息时代7
1．2  密码技术普及推动了密钥管理技术的发展9
1．2．1  密钥管理9
1．2．2  对称密钥管理技术11
1．2．3  非对称密码技术简化了密钥管理12
1．3  PKI本质是把非对称密钥管理标准化14
1．4  私钥专有性使人联想到手写签名15
1．5  电子签名法赋予电子签名与认证法律地位16
第2章  PKI包括哪些内容18
2．1  PKI体系框架18
2．2  PKI/数字证书与私钥20
2．3  PKI/CA与KMC22
2．4  PKI/应用25
2．5  PKI/运营27
2．6  PKI/法规与标准29
2．6．1  国内法规29
2．6．2  国内标准30
2．6．3  国际标准31
2．7  PKI/信任模型36
2．7．1  根CA信任模型37
2．7．2  交叉认证信任模型38
2．7．3  桥CA信任模型39
2．7．4  信任列表信任模型39
第3章  其他非对称密钥管理体系41
3．1  PGP41
3．2  EMV42
第二部分  PKI技术基础
第4章  ASN．1及其编码规则48
4．1  ASN．1（抽象文法描述语言）48
4．2  BER（基本编码规则）与DER（定长编码规则）50
4．2．1  数据类型标识50
4．2．2  BER基本编码规则52
4．2．3  DER定长编码规则54
第5章  密码技术56
5．1  密码算法56
5．1．1  算法分类56
5．1．2  对称密码算法56
5．1．3  非对称密码算法60
5．1．4  摘要算法62
5．2  运算模式（工作模式）64
5．2．1  ECB64
5．2．2  CBC64
5．2．3  CFB64
5．2．4  OFB65
5．3  扩展机制65
5．3．1  MAC与HMAC65
5．3．2  OTP67
5．3．3  数字签名68
5．3．4  数字信封69
5．4  密码应用实践70
5．4．1  软件加密与硬件加密70
5．4．2  网络层加密与应用层加密72
5．4．3  密钥管理的基本原则72
5．4．4  密码设备的自身安全性73
5．5  密码算法ASN．1描述74
5．5．1  密码算法格式74
5．5．2  密码算法OID75
5．6  密码消息ASN．1描述75
5．6．1  通用内容消息ContentInfo75
5．6．2  明文数据消息Data75
5．6．3  数字签名消息SignedData76
5．6．4  数字信封消息EnvelopedData77
5．6．5  数字签名及信封消息SignedAndEnvelopedData78
5．6．6  摘要消息DigestedData78
5．6．7  加密数据消息EncryptedData79
5．6．8  密钥协商消息KeyAgreementInfo79
5．6．9  密码消息类型OID79
5．7  Base64编码80
第6章  LDAP技术82
6．1  目录服务与LDAP概述82
6．1．1  目录服务简介82
6．1．2  X．500协议简介83
6．1．3  LDAP协议简介84
6．1．4  LDAP模型简介85
6．1．5  LDAP Schema88
6．1．6  LDAP认证方式91
6．1．7  LDIF数据交换文件94
6．2  常见LDAP产品介绍97
6．2．1  IBM TDS97
6．2．2  Sun Java系统目录服务器97
6．2．3  Novell eDirectory98
6．2．4  GBase 8d98
6．2．5  OpenLDAP99
6．2．6  Microsoft Active Directory99
6．3  LDAP部署与优化100
6．3．1  复制介绍100
6．3．2  引用机制介绍101
6．3．3  复制机制的部署102
6．3．4  引用机制的部署104
6．3．5  LDAP优化105
6．4  面向LDAP的系统设计与开发106
6．4．1  LDAP管理工具106
6．4．2  应用接口编程与实例109
6．4．3  LDAP应用案例119
第7章  实验一120
7．1  DER编码示例：X．501 Name类型120
7．1．1  ASN．1描述与实例120
7．1．2  DER编码过程121
7．2  RSA算法示例123
7．2．1  密钥产生123
7．2．1  加密解密124
第三部分  PKI之数字证书与私钥：网络身份证
第8章  公/私钥格式126
8．1  RSA126
8．2  SM2128
第9章  数字证书格式130
9．1  基本格式130
9．1．1  证书域组成（Certificate）130
9．1．2  证书内容（tbsCertificate）130
9．2  标准扩展项135
9．2．1  标准扩展项（Standard Extensions）135
9．2．2  专用互联网扩展项145
9．3  国内扩展项146
9．3．1  卫生系统专用扩展项146
9．3．2  国内通用扩展项147
第10章  数字证书分类150
10．1  根据证书持有者分类150
10．2  根据密钥分类150
第11章  私钥与证书存储方式152
11．1  证书保存形式152
11．1．1  DER文件形式152
11．1．2  Base64文件形式154
11．1．3  PKCS#7文件形式154
11．1．4  Windows证书库形式155
11．2  私钥保存形式157
11．2．1  PKCS#8文件形式158
11．2．2  PKCS#12文件形式158
11．2．3  Java Keystore文件形式160
11．2．4  密码设备形式161
11．2．5  软件系统形式162
第12章  私钥与证书访问方式164
12．1  CryptoAPI164
12．1．1  CryptoAPI简介164
12．1．2  使用证书166
12．1．3  使用私钥168
12．2  PKCS#11172
12．2．1  PKCS#11简介172
12．2．2  使用证书178
12．2．3  使用私钥181
12．3  JCA/JCE183
12．3．1  JCA/JCE简介183
12．3．2  使用证书187
12．3．3  使用私钥189
12．4  CNG190
12．4．1  CNG简介190
12．4．2  使用证书195
12．4．3  使用私钥196
12．5  PC/SC200
12．5．1  PC/SC简介200
12．5．2  使用证书202
12．5．3  使用私钥213
12．6  国密接口213
12．6．1  国密接口简介213
12．6．2  使用证书215
12．6．3  使用私钥217
第13章  实验二222
13．1  RSA公钥格式编码示例222
13．1．1  ASN．1描述与实例222
13．1．2  DER编码过程222
13．2  数字证书格式编码示例223
13．2．1  ASN．1描述与实例223
13．2．2  DER编码过程225
13．3  Windows证书库操作示例229
13．3．1  查看证书库内容229
13．3．2  导入证书230
13．3．3  导出证书233
第四部分  PKI之CA与KMC：管理网络身份证
第14章  系统结构236
14．1  国际标准236
14．2  国内标准237
14．2．1  证书认证系统CA237
14．2．2  密钥管理系统KMC239
第15章  系统设计241
15．1  证书认证系统CA241
15．1．1  用户注册管理系统RA241
15．1．2  证书/CRL签发系统242
15．1．3  证书/CRL存储发布系统243
15．1．4  证书/CRL查询系统244
15．1．5  证书管理系统245
15．1．6  安全管理系统245
15．2  密钥管理系统KMC246
15．3  企业级CA总体设计示例248
15．3．1  技术路线选择248
15．3．2  模块设计250
15．3．3  数据库设计251
15．3．4  双证书技术流程设计253
第16章  对外在线服务256
16．1  OCSP/SOCSP服务256
16．1．1  OCSP256
16．1．2  SOCSP258
16．2  CRL服务259
16．2．1  基本域组成（CertificateList）259
16．2．2  CRL内容（tbsCertList）260
16．2．3  CRL扩展项crlExtensions262
16．2．4  CRL条目扩展项crlEntryExtensions265
16．3  LDAP服务267
16．3．1  发布数字证书到LDAP267
16．3．2  访问LDAP获取数字证书268
第17章  网络部署结构270
17．1  运营型CA270
17．2  企业级CA273
17．2．1  双层标准模式273
17．2．2  双层简化模式273
17．2．3  单层单机模式274
17．2．4  纯硬件模式274
17．3  按企业管理模式部署CA276
17．3．1  单机构276
17．3．2  集团公司+集中部署+集中发证276
17．3．3  集团公司+集中部署+分布发证277
17．3．4  集团公司+两级部署+分布发证278
第18章  实验三280
18．1  OpenSSL CA示例280
18．1．1  简介280
18．1．2  安装配置280
18．1．3  申请证书284
18．1．4  生成并下载CRL287
18．1．5  导入CA证书到IE可信任证书库290
18．2  EJBCA示例291
18．2．1  简介291
18．2．2  安装配置292
18．2．3  申请证书300
18．2．4  下载CRL303
第五部分  PKI之应用：使用网络身份证
第19章  基本应用308
19．1  身份认证308
19．2  保密性310
19．3  完整性311
19．4  抗抵赖性312
19．5  证书有效性验证314
第20章  通用应用技术315
20．1  SSL/TLS（Secure Socket layer/Transport Layer Security）315
20．1．1  概述315
20．1．2  记录协议315
20．1．3  握手协议316
20．1．4  警告协议317
20．1．5  改变密码约定协议318
20．1．6  应用数据协议318
20．2  IPSec318
20．3  Kerberos323
20．4  TSP326
20．5  SET331
20．6  3-D Secure333
20．7  WAP335
20．8  S/MIMI338
第21章  常见应用345
21．1  防止假网站与Web服务器证书345
21．1．1  假网站345
21．1．2  使用Web服务器证书预防假网站346
21．2  防止假软件与代码签名证书348
21．2．1  Web技术的发展348
21．2．2  插件技术与假网银软件350
21．2．3  使用代码签名证书预防假网银软件351
21．3  网上银行系统352
21．3．1  简介352
21．3．2  应用安全需求353
21．3．3  应用安全总体架构354
21．4  网上报税系统355
21．4．1  简介355
21．4．2  应用安全需求356
21．4．3  应用安全总体架构356
21．5  电子病历系统357
21．5．1  简介357
21．5．2  应用安全需求357
21．5．3  应用安全总体架构359
21．5．4  网络部署结构359
21．6  公交IC卡在线充值系统361
21．6．1  简介361
21．6．2  应用安全需求361
21．6．3  应用安全总体架构362
21．6．4  充值交易流程362
第22章  实验四365
22．1  Windows IIS服务器证书配置365
22．1．1  下载并安装服务器证书366
22．1．2  配置SSL策略373
22．1．3  访问Web Server374
22．2  Apache服务器证书配置375
22．2．1  下载并安装服务器证书375
22．2．2  配置SSL策略379
22．2．3  访问Web Server381
22．3  Tomcat服务器证书配置381
22．3．1  下载并安装服务器证书381
22．3．2  配置SSL策略384
22．3．3  访问Web Server384
第六部分  PKI之运营：CA中心
第23章  机房建设388
23．1  业务系统388
23．1．1  证书认证中心388
23．1．2  密钥管理中心390
23．2  应用安全391
23．3  数据备份394
23．4  系统可靠性394
23．5  物理安全394
23．6  人事管理制度396
第24章  运营文件397
24．1  CPS397
24．2  CP398
24．3  RA管理399
第25章  业务管理402
25．1  管理模式402
25．1．1  总体框架402
25．1．2  具体要求404
25．1．3  管理模式示例410
25．2  主要业务流程412
25．2．1  证书申请类412
25．2．2  证书作废类417
25．2．3  证书查询类418
25．3  客户服务420
第26章  资质申请422
26．1  电子认证服务使用密码许可证422
26．1．1  政策法规要点422
26．1．2  申请流程423
26．2  电子认证服务许可证424
26．2．1  政策法规要点424
26．2．2  申请流程425
26．3  电子政务电子认证服务管理426
26．4  卫生系统电子认证服务管理427
26．4．1  政策法规要点427
26．4．2  接入流程428
第七部分  PKI之法规与标准
第27章  国内法规432
27．1  电子签名法432
27．2  电子认证服务管理办法436
27．3  电子认证服务密码管理办法440
27．4  电子政务电子认证服务管理办法443
27．5  卫生系统电子认证服务管理办法447
27．6  商用密码管理条例449
27．7  商用密码科研管理规定452
27．8  商用密码产品生产管理规定454
27．9  商用密码产品销售管理规定456
27．10  商用密码产品使用管理规定458
27．11  境外组织和个人在华使用密码产品管理办法459
第28章  国内标准461
28．1  通用性标准461
28．1．1  祖冲之序列密码算法（GM/T 0001）461
28．1．2  SM4分组密码算法（GM/T 0002）461
28．1．3  SM2椭圆曲线公钥密码算法（GM/T 0003）461
28．1．4  SM3密码杂凑算法（GM/T 0004）462
28．1．5  SM2密码算法使用规范（GM/T 0009）462
28．1．6  SM2密码算法加密签名消息语法规范（GM/T 0010）463
28．1．7  数字证书认证系统密码协议规范（GM/T 0014）463
28．1．8  基于SM2密码算法的数字证书格式规范（GM/T 0015）464
28．1．9  通用密码服务接口规范（GM/T 0019）464
28．1．10  证书应用综合服务接口规范（GM/T 0020）467
28．1．11  IPSec VPN技术规范（GM/T 0022）467
28．1．12  SSL VPN技术规范（GM/T 0024）468
28．1．13  安全认证网关产品规范（GM/T 0026）468
28．1．14  签名验签服务器技术规范（GM/T 0029）469
28．1．15  安全电子签章密码技术规范（GM/T 0031）469
28．1．16  时间戳接口规范（GM/T 0033）470
28．1．17  基于SM2密码算法的证书认证系统密码及其相关安全技术规范（GM/T 0034）470
28．1．18  证书认证系统检测规范（GM/T 0037）471
28．1．19  证书认证密钥管理系统检测规范（GM/T 0038）472
28．1．20  证书认证系统密码及其相关安全技术规范（GB/T 25056）473
28．1．21  电子认证服务机构运营管理规范（GB/T 28447）473
28．2  行业性标准474
28．2．1  卫生系统电子认证服务规范474
28．2．2  卫生系统数字证书应用集成规范475
28．2．3  卫生系统数字证书格式规范475
28．2．4  卫生系统数字证书介质技术规范476
28．2．5  卫生系统数字证书服务管理平台接入规范477
28．2．6  网上银行系统信息安全通用规范（JR/T 0068）477
第29章  国际标准479
29．1  PKCS系列479
29．2  ISO 7816系列491
29．3  IETF RFC系列494
29．4  Microsoft规范502
29．5  Java 安全API规范504
29．6  CCID规范506
附录  主要参考资料507