及时部分 如何理解PKI

第1章 为什么会出现PKI技术2

1.1 保密通信催生了密码技术2

1.1.1 古代中国军队的保密通信方法2

1.1.2 传统密码学与古代西方保密通信方法3

1.1.3 两次世界大战的密码斗法6

1.1.4 现代密码学与信息时代7

1.2 密码技术普及推动了密钥管理技术的发展9

1.2.1 密钥管理9

1.2.2 对称密钥管理技术11

1.2.3 非对称密码技术简化了密钥管理12

1.3 PKI本质是把非对称密钥管理标准化14

1.4 私钥专有性使人联想到手写签名15

1.5 电子签名法赋予电子签名与认证法律地位16

第2章 PKI包括哪些内容18

2.1 PKI体系框架18

2.2 PKI/数字证书与私钥20

2.3 PKI/CA与KMC22

2.4 PKI/应用25

2.5 PKI/运营27

2.6 PKI/法规与标准29

2.6.1 国内法规29

2.6.2 国内标准30

2.6.3 国际标准31

2.7 PKI/信任模型36

2.7.1 根CA信任模型37

2.7.2 交叉认证信任模型38

2.7.3 桥CA信任模型39

2.7.4 信任列表信任模型39

第3章 其他非对称密钥管理体系41

3.1 PGP41

3.2 EMV42

第二部分 PKI技术基础

第4章 ASN.1及其编码规则48

4.1 ASN.1(抽象文法描述语言)48

4.2 BER(基本编码规则)与DER(定长编码规则)50

4.2.1 数据类型标识50

4.2.2 BER基本编码规则52

4.2.3 DER定长编码规则54

第5章 密码技术56

5.1 密码算法56

5.1.1 算法分类56

5.1.2 对称密码算法56

5.1.3 非对称密码算法60

5.1.4 摘要算法62

5.2 运算模式(工作模式)64

5.2.1 ECB64

5.2.2 CBC64

5.2.3 CFB64

5.2.4 OFB65

5.3 扩展机制65

5.3.1 MAC与HMAC65

5.3.2 OTP67

5.3.3 数字签名68

5.3.4 数字信封69

5.4 密码应用实践70

5.4.1 软件加密与硬件加密70

5.4.2 网络层加密与应用层加密72

5.4.3 密钥管理的基本原则72

5.4.4 密码设备的自身安全性73

5.5 密码算法ASN.1描述74

5.5.1 密码算法格式74

5.5.2 密码算法OID75

5.6 密码消息ASN.1描述75

5.6.1 通用内容消息ContentInfo75

5.6.2 明文数据消息Data75

5.6.3 数字签名消息SignedData76

5.6.4 数字信封消息EnvelopedData77

5.6.5 数字签名及信封消息SignedAndEnvelopedData78

5.6.6 摘要消息DigestedData78

5.6.7 加密数据消息EncryptedData79

5.6.8 密钥协商消息KeyAgreementInfo79

5.6.9 密码消息类型OID79

5.7 Base64编码80

第6章 LDAP技术82

6.1 目录服务与LDAP概述82

6.1.1 目录服务简介82

6.1.2 X.500协议简介83

6.1.3 LDAP协议简介84

6.1.4 LDAP模型简介85

6.1.5 LDAP Schema88

6.1.6 LDAP认证方式91

6.1.7 LDIF数据交换文件94

6.2 常见LDAP产品介绍97

6.2.1 IBM TDS97

6.2.2 Sun Java系统目录服务器97

6.2.3 Novell eDirectory98

6.2.4 GBase 8d98

6.2.5 OpenLDAP99

6.2.6 Microsoft Active Directory99

6.3 LDAP部署与优化100

6.3.1 复制介绍100

6.3.2 引用机制介绍101

6.3.3 复制机制的部署102

6.3.4 引用机制的部署104

6.3.5 LDAP优化105

6.4 面向LDAP的系统设计与开发106

6.4.1 LDAP管理工具106

6.4.2 应用接口编程与实例109

6.4.3 LDAP应用案例119

第7章 实验一120

7.1 DER编码示例：X.501 Name类型120

7.1.1 ASN.1描述与实例120

7.1.2 DER编码过程121

7.2 RSA算法示例123

7.2.1 密钥产生123

7.2.1 加密解密124

第三部分 PKI之数字证书与私钥：网络身份证

第8章 公/私钥格式126

8.1 RSA126

8.2 SM2128

第9章 数字证书格式130

9.1 基本格式130

9.1.1 证书域组成(Certificate)130

9.1.2 证书内容(tbsCertificate)130

9.2 标准扩展项135

9.2.1 标准扩展项(Standard Extensions)135

9.2.2 专用互联网扩展项145

9.3 国内扩展项146

9.3.1 卫生系统专用扩展项146

9.3.2 国内通用扩展项147

第10章 数字证书分类150

10.1 根据证书持有者分类150

10.2 根据密钥分类150

第11章 私钥与证书存储方式152

11.1 证书保存形式152

11.1.1 DER文件形式152

11.1.2 Base64文件形式154

11.1.3 PKCS#7文件形式154

11.1.4 Windows证书库形式155

11.2 私钥保存形式157

11.2.1 PKCS#8文件形式158

11.2.2 PKCS#12文件形式158

11.2.3 Java Keystore文件形式160

11.2.4 密码设备形式161

11.2.5 软件系统形式162

第12章 私钥与证书访问方式164

12.1 CryptoAPI164

12.1.1 CryptoAPI简介164

12.1.2 使用证书166

12.1.3 使用私钥168

12.2 PKCS#11172

12.2.1 PKCS#11简介172

12.2.2 使用证书178

12.2.3 使用私钥181

12.3 JCA/JCE183

12.3.1 JCA/JCE简介183

12.3.2 使用证书187

12.3.3 使用私钥189

12.4 CNG190

12.4.1 CNG简介190

12.4.2 使用证书195

12.4.3 使用私钥196

12.5 PC/SC200

12.5.1 PC/SC简介200

12.5.2 使用证书202

12.5.3 使用私钥213

12.6 国密接口213

12.6.1 国密接口简介213

12.6.2 使用证书215

12.6.3 使用私钥217

第13章 实验二222

13.1 RSA公钥格式编码示例222

13.1.1 ASN.1描述与实例222

13.1.2 DER编码过程222

13.2 数字证书格式编码示例223

13.2.1 ASN.1描述与实例223

13.2.2 DER编码过程225

13.3 Windows证书库操作示例229

13.3.1 查看证书库内容229

13.3.2 导入证书230

13.3.3 导出证书233

第四部分 PKI之CA与KMC：管理网络身份证

第14章 系统结构236

14.1 国际标准236

14.2 国内标准237

14.2.1 证书认证系统CA237

14.2.2 密钥管理系统KMC239

第15章 系统设计241

15.1 证书认证系统CA241

15.1.1 用户注册管理系统RA241

15.1.2 证书/CRL签发系统242

15.1.3 证书/CRL存储系统243

15.1.4 证书/CRL查询系统244

15.1.5 证书管理系统245

15.1.6 安全管理系统245

15.2 密钥管理系统KMC246

15.3 企业级CA总体设计示例248

15.3.1 技术路线选择248

15.3.2 模块设计250

15.3.3 数据库设计251

15.3.4 双证书技术流程设计253

第16章 对外在线服务256

16.1 OCSP/SOCSP服务256

16.1.1 OCSP256

16.1.2 SOCSP258

16.2 CRL服务259

16.2.1 基本域组成(CertificateList)259

16.2.2 CRL内容(tbsCertList)260

16.2.3 CRL扩展项crlExtensions262

16.2.4 CRL条目扩展项crlEntryExtensions265

16.3 LDAP服务267

16.3.1 数字证书到LDAP267

16.3.2 访问LDAP获取数字证书268

第17章 网络部署结构270

17.1