公開密鑰基礎(chǔ)設(shè)施：概念、標(biāo)準(zhǔn)和實(shí)施

第一部分　概念 　1
第1章　概述　3
第2章　公鑰密碼學(xué)　5
  2.1　對稱和非對稱密碼　5
    2.1.1　私鑰密碼　5
    2.1.2　新方向：公鑰密碼　7
  2.2　公鑰和私鑰對　8
  2.3　公鑰密碼的服務(wù)　8
    2.3.1　陌生人之間的安全　8
    2.3.2　加密　9
    2.3.3　數(shù)字簽名　9
    2.3.4　數(shù)據(jù)完整性　10
    2.3.5　密鑰的建立　10
    2.3.6　其他服務(wù)　11
  2.4　算法　11
    2.4.1　RSA　11
    2.4.2　DSA　11
    2.4.3　DH　12
    2.4.4　ECDSA and ECDH　12
    2.4.5　SHA-1　12
  2.5　小結(jié)　12
  參考文獻(xiàn)　13
第3章　基礎(chǔ)設(shè)施的概念　15
  3.1　普適性基礎(chǔ)(Pervasive Substrate)　15
  3.2　應(yīng)用支撐　15
    3.2.1　安全登錄　16
    3.2.2　終端用戶透明　17
    3.2.3　全面的安全性　18
  3.3　商業(yè)驅(qū)動　18
  3.4　公開密鑰基礎(chǔ)設(shè)施的定義　19
    3.4.1　認(rèn)證機(jī)構(gòu)　19
    3.4.2　證書庫　20
    3.4.3　證書撤消　20
    3.4.4　密鑰備份和恢復(fù)　20
    3.4.5　自動密鑰更新　21
    3.4.6　密鑰歷史檔案　21
    3.4.7　交叉認(rèn)證　21
    3.4.8　支持不可否認(rèn)　22
    3.4.9　時(shí)間戳　22
    3.4.10　客戶端軟件　22
  3.5　小結(jié)　23
第4章　核心PKI服務(wù)：認(rèn)證. 完整性和機(jī)密性　25
  4.1　定義　25
    4.1.1　認(rèn)證　25
    4.1.2　完整性　28
    4.1.3　機(jī)密性　28
  4.2　機(jī)制　29
    4.2.1　認(rèn)證　29
    4.2.2　完整性　29
    4.2.3　機(jī)密性　30
  4.3　可操作性的考慮　30
    4.3.1　性能　31
    4.3.2　在線和離線操作的比較　31
    4.3.3　基礎(chǔ)算法的通用性　31
    4.3.4　實(shí)體命名　32
  4.4　小結(jié)　32
  參考文獻(xiàn)　32
第5章　PKI支撐的服務(wù)　35
  5.1　安全通信　35
  5.2　安全時(shí)間戳　35
  5.3　公證　36
  5.4　不可否認(rèn)　36
    5.4.1　與其他服務(wù)連接　37
    5.4.2　對安全數(shù)據(jù)文檔的需求　37
    5.4.3　不可否認(rèn)服務(wù)的復(fù)雜性　37
    5.4.4　人為因素　38
  5.5　特權(quán)管理　38
    5.5.1　認(rèn)證和授權(quán)　38
    5.5.2　授權(quán)機(jī)構(gòu) 　38
    5.5.3　委托　39
    5.5.4　與PKI的連接　39
  5.6　創(chuàng)建PKI支撐的服務(wù)所需要的機(jī)制　39
    5.6.1　數(shù)字簽名. 雜湊函數(shù). 消息認(rèn)證碼(MAC)和密碼　39
    5.6.2　可信的時(shí)間源　40
    5.6.3　特權(quán)策略創(chuàng)建機(jī)制　40
    5.6.4　特權(quán)策略處理引擎　40
    5.6.5　特權(quán)管理基礎(chǔ)設(shè)施機(jī)制　40
  5.7　可操作性的考慮　41
    5.7.1　可信時(shí)間的傳遞機(jī)制　41
    5.7.2　安全協(xié)議　41
    5.7.3　服務(wù)器冗余　41
    5.7.4　物理上安全的歸檔設(shè)備　42
    5.7.5　現(xiàn)實(shí)生活　42
  5.8　“綜合PKI”和當(dāng)前現(xiàn)實(shí)　42
  5.9　小結(jié)　44
  參考文獻(xiàn)　44
第6章　證書和認(rèn)證　47
  6.1　證書　47
    6.1.1　證書結(jié)構(gòu)和語義　48
    6.1.2　證書驗(yàn)證　51
    6.1.3　可選的證書格式　52
  6.2　證書策略　54
    6.2.1　對象標(biāo)識符　55
    6.2.2　策略機(jī)構(gòu)　56
  6.3　認(rèn)證機(jī)構(gòu)　56
  6.4　注冊機(jī)構(gòu)　57
  6.5　小結(jié)　57
  參考文獻(xiàn)　58
第7章　密鑰和證書管理　61
  7.1　密鑰/證書生命周期管理　61
    7.1.1　初始化階段　62
    7.1.2　頒發(fā)階段　66
    7.1.3　取消階段　68
  7.2　小結(jié)　70
  參考文獻(xiàn)　70
第8章　證書撤消　73
  8.1　周期發(fā)布機(jī)制　73
    8.1.1　證書撤消列表(CRL)　74
    8.1.2　完全CRL　77
    8.1.3　Authority撤消列表(ARL)　77
    8.1.4　CRL分布點(diǎn)　77
    8.1.5　增強(qiáng)的CRL分布點(diǎn)和重定向CRL　78
    8.1.6　增量CRL　79
    8.1.7　間接CRL　80
    8.1.8　證書撤消樹　81
    8.1.9　在線查詢機(jī)制　82
    8.1.10　在線證書狀態(tài)協(xié)議(OCSP)　82
    8.1.11　未來：在線交易驗(yàn)證協(xié)議　84
  8.2　其他撤消選擇　84
  8.3　性能. 擴(kuò)展性和合時(shí)性　84
  8.4　小結(jié)　85
  參考文獻(xiàn)　86
第9章　信任模型　87
  9.1　認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)　88
  9.2　分布式信任結(jié)構(gòu)　89
    9.2.1　網(wǎng)狀配置　90
    9.2.2　中心輻射配置　90
  9.3　Web模型　91
  9.4　以用戶為中心的信任　92
  9.5　交叉認(rèn)證　93
  9.6　實(shí)體命名　95
  9.7　證書路徑處理　96
    9.7.1　路徑構(gòu)造　96
    9.7.2　路徑確認(rèn)　97
    9.7.3　信任錨的考慮　97
  9.8　小結(jié)　98
  參考文獻(xiàn)　98
第10章　單實(shí)體多證書　99
  10.1　多密鑰對　99
  10.2　密鑰對的用途　99
  10.3　密鑰對和證書之間的關(guān)系　100
  10.4　現(xiàn)實(shí)世界里的困難　101
  10.5　獨(dú)立的證書管理　102
  10.6　對不可否認(rèn)性的支持　102
  10.7　小結(jié)　103
  參考文獻(xiàn)　103
第11章　PKI信息的分發(fā)：資料庫與其他技術(shù)　105
  11.1　私下分發(fā)　105
  11.2　發(fā)布和資料庫　106
    11.2.1　隱私問題　108
    11.2.2　域間資料庫的實(shí)施選擇　108
  11.3　“帶內(nèi)”協(xié)議交換　111
  11.4　小結(jié)　111
  參考文獻(xiàn)　112
第12章　PKI的運(yùn)作考慮　113
  12.1　客戶端軟件　113
  12.2　離線運(yùn)作　114
  12.3　物理安全　115
  12.4　硬件部件　116
  12.5　用戶密鑰的泄漏　116
  12.6　災(zāi)難預(yù)防和恢復(fù)　118
    12.6.1　通知依托方　118
    12.6.2　災(zāi)難預(yù)防　119
    12.6.3　恢復(fù)　120
    12.6.4　其他的觀察　120
  12.7　小結(jié)　121
  參考文獻(xiàn)　121
第13章　法律框架　123
  13.1　數(shù)字簽名的法律狀況　123
  13.2　PKI的法律框架　125
    13.2.1　CA特許權(quán)的需求和債務(wù)　125
    13.2.2　角色和責(zé)任　126
    13.2.3　私有的企業(yè)PKI　128
    13.2.4　其他契約性質(zhì)的框架　129
  13.3　關(guān)于機(jī)密性的法規(guī)　129
  13.4　小結(jié)　129
  參考文獻(xiàn)　130
第14章　結(jié)論與進(jìn)一步閱讀的材料　131
  14.1　結(jié)論　131
  14.2　進(jìn)一步閱讀的材料　131
第二部分　標(biāo)準(zhǔn)　133
第15章　概述　135
第16章　主要的標(biāo)準(zhǔn)化活動　137
  16.1　X.509　137
  16.2　PKIX　138
  16.3　X.500　138
  16.4　LDAP　139
  16.5　ISO TC68　139
  16.6　ANSI X9F　140
  16.7　S/MIME　140
  16.8　IPSec　140
  16.9　TLS　141
  16.10　SPKI　141
  16.11　OpenPGP　142
  16.12　EDIFACT　142
  16.13　其他標(biāo)準(zhǔn)化活動　142
    16.13.1　U.S.FPKI　142
    16.13.2　MISPC　143
    16.13.3　GOC PKI　143
    16.13.4　SET　143
    16.13.5　SEMPER　144
    16.13.6　ECOM　144
  16.14　小結(jié)　144
  參考文獻(xiàn)　145
第17章　標(biāo)準(zhǔn)化現(xiàn)狀和發(fā)展　149
  17.1　現(xiàn)有標(biāo)準(zhǔn)的狀況　149
    17.1.1　X.509　149
    17.1.2　PKIX　149
    17.1.3　X.500　150
    17.1.4　LDAP　150
    17.1.5　S/MIME　150
    17.1.6　IPsec　150
    17.1.7　TLS　151
    17.1.8　工具包需求(Toolkit Requirements )(API 和機(jī)制)　151
    17.1.9　其他　151
  17.2　前進(jìn)中的標(biāo)準(zhǔn)化工作　151
  17.3　小結(jié)　152
  參考文獻(xiàn)　153
第18章　標(biāo)準(zhǔn)：必要但尚不足　157
  18.1　標(biāo)準(zhǔn). 描述和互操作性測試的作用　157
    18.1.1　描述和互操作性測試　158
  18.2　互操作性倡議　159
    18.2.1　汽車網(wǎng)絡(luò)交換　159
    18.2.2　橋CA示范　159
    18.2.3　聯(lián)邦公開密鑰基礎(chǔ)設(shè)施　159
    18.2.4　最小互操作性規(guī)范　160
    18.2.5　國家自動化票據(jù)交換所協(xié)會　160
    18.2.6　公開密鑰基礎(chǔ)設(shè)施X.509　161
    18.2.7　安全工業(yè)根CA驗(yàn)證概念(Securities Industry Root CA Proof of Concept)　162
  18.3　小結(jié)　162
  參考文獻(xiàn)　162
第19章　結(jié)論與進(jìn)一步閱讀的材料　165
  19.1　結(jié)論　165
  19.2　進(jìn)一步閱讀的建議　165
    19.2.1　證書/證書撤消列表語法和生命周期管理協(xié)議　165
    19.2.2　證書/證書撤消列表存儲和提取　166
    19.2.3　互操作性倡議　167
    19.2.4　標(biāo)準(zhǔn)化團(tuán)體Web站點(diǎn)　167
    19.2.5　書籍　168
第三部分　實(shí)施PKI應(yīng)考慮的若干因素　169
第20章　概述　171
第21章　實(shí)施PKI的益處及成本　173
  21.1　商務(wù)活動中需要考慮的因素　173
  21.2　成本考慮　174
  21.3　實(shí)施：現(xiàn)在立即實(shí)施還是以后實(shí)施　175
  21.4　小結(jié)　176
  參考文獻(xiàn)　176
第22章　PKI實(shí)施中的問題與決策　177
  22.1　可信模型：層次模型與分布式模型　177
  22.2　資源引進(jìn)與資源外包　178
  22.3　建立與購買　179
  22.4　封閉環(huán)境與開放環(huán)境　179
  22.5　X.509與其他證書格式　180
  22.6　目標(biāo)應(yīng)用與綜合解決方案　180
  22.7　標(biāo)準(zhǔn)與專用解決方案　180
  22.8　實(shí)現(xiàn)互操作需要考慮的因素　181
    22.8.1　證書和CRL　181
    22.8.2　復(fù)合的業(yè)界標(biāo)準(zhǔn)　181
    22.8.3　PKI支撐的應(yīng)用　181
    22.8.4　策略問題　181
  22.9　在線與離線操作　181
  22.10　外部設(shè)備支持　182
  22.11　設(shè)備要求　182
  22.12　人員要求　182
  22.13　證書撤消　183
  22.14　終端實(shí)體漫游　183
  22.15　密鑰恢復(fù)　183
  22.16　資料庫問題　184
  22.17　災(zāi)難應(yīng)急計(jì)劃與恢復(fù)　184
  22.18　安全保障　184
  22.19　風(fēng)險(xiǎn)緩和　185
  22.20　小結(jié)　185
  參考文獻(xiàn)　185
第23章　PKI實(shí)施中的障礙　187
  23.1　資料庫問題　187
    23.1.1　缺少業(yè)界標(biāo)準(zhǔn)　187
    23.1.2　多個(gè)生產(chǎn)廠家的產(chǎn)品間的可互操作性　188
    23.1.3　可升級性與性能　188
  23.2　專業(yè)人才　188
  23.3　PKI支撐的應(yīng)用　188
  23.4　公司層的資源引進(jìn)程度　189
  23.5　小結(jié)　189
  參考文獻(xiàn)　189
第24章　典型的商務(wù)模型　191
  24.1　內(nèi)部通信商務(wù)模型　191
  24.2　外部通信商務(wù)模型　192
    24.2.1　Business-to-Business(B2B)　192
    24.2.2　Business-to-Consumer(B2C)　193
  24.3　內(nèi)部－外部通信混合商務(wù)模型　193
  24.4　商務(wù)模型的影響　194
  24.5　政府資助的研究活動　194
  24.6　域間信任　195
    24.6.1　Entrust Worldwide　195
    24.6.2　Identrus　195
    24.6.3　VeriSign 可信網(wǎng)絡(luò)　195
    24.6.4　GTE CyberTrust OmniRoot　195
    24.6.5　其他可信網(wǎng)絡(luò)　196
  24.7　小結(jié)　196
  參考文獻(xiàn)　196
第25章　結(jié)論與進(jìn)一步閱讀的材料　197
  25.1　結(jié)論　197
  25.2　建議進(jìn)一步閱讀的材料　198