在數位的世界之中，IT相關產品與日常生活的關係日益密切，以IT產品開發者的角度而言，如何確保其所設計產品的安全性、以IT產品的消費者的角度而言，如何在良莠不齊的產品之中，因應自身的需求，選擇合適而且安全的產品更是一個重要的課題。
本論文結合安全評估以及系統軟體元件之設計，在安全評估方面結合許多現行標準之規範，在安全評估方面以國際安全評估標準Common Criteria以及CIMC為範本，在系統軟體元件方面以CA-PKI相關標準X.509、OCSP、PKCS系列等為標的冀望讓使用者可以自行開發符合自身需求且符合國際安全標準的公開金鑰憑證管理系統，甚至在軟體元件重複利用的觀念下，未來有更多的元件被開發且經過安全認證，進而可以達成系統客製化的遠景。

摘 要 .................................................IV
致 謝 ..................................................V
目 錄 .................................................VI
圖 表 目 錄 .......................................VIII

第一章 導論 ..........................................1
1.1 前言 ..........................................1
1.2 近代密碼學技術 ..................................3
1.3 CA-PKI介紹 ..................................7
1.3.1 PKI的功能要求 ..................................8
1.3.2 PKI的物件介紹 ..................................9
1.3.3 PKI架構的組織成員 .........................10
1.3.4 PKI架構的組織類型 .........................12

第二章 安全評估 .........................................18
2.1 共通評估準則（COMMON CRITERIA）之介紹 .........18
2.2 CA-PKI四大等級之介紹 .........................22
2.2.1 CA-PKI四大等級劃分定義 .........................22
2.3 研究動機目的 .................................23

第三章 密碼元件管理 .................................24
3.1 金鑰產生 .................................24
3.2 金鑰儲存 .................................27
3.3 金鑰銷毀 .................................34
3.4 金鑰回復與託管 .................................37
3.5 金鑰輸出輸入 .................................40
3.6 密碼元件設計 .................................42

第四章 憑證管理 .................................50
4.1 憑證申請 .................................50
4.2 憑證簽發 .................................55
4.3 憑證註銷 .................................59
4.4 憑證驗證 .................................67
4.5 憑證發佈 .................................84
4.6 憑證更新 .................................88
4.7 憑證展期 .................................89
4.8 憑證換發 .................................90

第五章 結論 .........................................91
5.1 總結 .........................................91
5.2 未來展望 .................................91

第六章 參考文獻 .........................................93

附錄一 ASN.1 BER/DER簡介 .........................97
附錄二 CA-PKI架構流程圖 ........................100
附錄三 PKCS簡介 ................................101
附錄四 密碼演算法簡介 ................................102
自 述 ................................................105

[1] 高孟甫,黃宗立, “公開金鑰架構中金鑰與憑證相關安全認證之設計與研究” 國立成功大學資訊工程研究所碩士論文, 2001

[2] 阮孝緒,黃宗立, “公開金鑰系統安全管理認證之設計與研究” 國立成功大學資訊工程研究所碩士論文, 2001

[3] 陳彥學編著,”資訊安全理論與實務” 文魁資訊股份有限公司

[4] “通信安全密碼模組技術規範及開發相關驗證技術計劃簡介” 中華民國資訊安全學會

[5] NIST FIPS PUB 140-1”Security Requirements for Cryptographic Modules”

[6] ISO(1999)”Common Criteria for Information Technology Security Evaluation,” Version 2.1, ISO/IEC 15408

[7] 黃宗立,張中和,吳賀祥,曾宏偉,“CA-PKI系統功能等級劃分”國立成功大學資訊工程研究所資訊安全實驗室著, 2002.

[8] 吳賀祥,黃宗立, “公開金鑰憑證管理系統安全評估與分及自動化之設計與實作” 國立成功大學資訊工程研究所碩士論文, 2002

[9] RSA Data Security Inc. PKCS#1v2.1: RSA Cryptography Standard, Jan.5, 2001.

[10] RSA Data Security Inc. PKCS#5v2: Password-Based Cryptography Standard, Mar.25, 1999.

[11] RSA Data Security Inc. PKCS#7v1.5: Cryptographic Message Syntax Standard, May.26, 2000.

[12] RSA Data Security Inc. PKCS#8v1.2: Private-Key Information Syntax Standard, Nov.1, 1993.

[13] RSA Data Security Inc. PKCS#10v1.7: Certification Syntax Standard,May.26, 2000.

[14] 賴溪松, 韓亮, 張真誠, “近代密碼學及其應用,” 1998.

[15] William Stallings, Network And Internetwork Security Principles And Practice, Prentice Hall International Edition, 1995

[16] ITU-T Recommendation X.509 (1997 E): Information Technology – Open Systems Interconnection–The Directory : Authentication Framework, June 1997

[17] RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP

[18] RFC 1275 Replication Requirements to provide an Internet Directory using X.500

[19] RFC 1798 Connection-less Lightweight Directory Access Protocol

[20] RFC 2222 Simple Authentication and Security Layer (SASL)

[21] RFC 2251 Lightweight Directory Access Protocol (v3)

[22] Marc Branchaud “A Survey of Public-Key Infrastructures” March 1997

[23] Kimberly Caplan and James L. Sanders “Building an international security standard” March 1999 IT Pro

[24] Chair.Klaus J.Keus,BSI/GISA,Germany “Comomn Criteria Activities and Alternative Assurance”

[25]Steve Lipner,Mitretek Systems,McLean,Virginia “Twenty Years of Evaluation Criteria and Commercial Technology”

[26] FIPS 140-2:Security Requirements for Cryptographic Modules, May 25, 2001. Change Notice 1: 10/10/2001

[27] FIPS 46-3 and FIPS 81: Data Encryption Standard (DES) and DES Modes of Operation.

[28] FIPS 171 : Key Management Using ANSI X9.17.

[29] X.509 CCITT. Recommendation X.509: The Directory—Authentication Framework. 1988.

[30] X.500 CCITT. Recommendation X.500: The Directory—Overview of Concepts, Models and Services. 1988.

[31] An RSA Laboratories Technical Note Burton S. Kaliski Jr. “A Layman's Guide to a Subset of ASN.1, BER, and DER” Revised November 1, 1993

[32] D. Richard Kuhn , Vincent C. Hu , W. Timothy Polk , Shu-Jen Chang “Introduction to Public Key Technology and the Federal PKI Infrastructure”

[33] Clifford Cocks ”Split knowledge generation of RSA parameters”

[34] Marc Branchaud “A SURVEY OF PUBLIC-KEY INFRASTRUCTURES” March 1997

[35] Heinz Johner, Seiei Fujiwara, Amelia Sm Yeung, Anthony Stephanou, Jim Whitmore ” Deploying a Public Key Infrastructure” International Technical Support Organization

[36] NIST FIPS PUB “CSL BULLETIN For FIPS 140-1”

[37] Information Technology Promotion Agency,Japan The Security Center “Cryptrec Report 2000(Provisional Translation)” March 2001



相關參考網站
[1] http://niap.nist.gov/cc-scheme/
[2] http://www.commoncriteria.org/
[3] http://www.entrust.com
[4] http://niap.nist.gov
[5] http://csrc.nist.gov/cryptval/
[6] http://www.itl.nist.gov/fipspubs/
[7] http://www.ietf.org/
[8] http://www.rfc-editor.org/
[9] http://www.ccisa.org.tw/flame.htm
[10] http://www.entrust.com/index.cfm
[11] http://www.verisign.com/
[12] http://www.pkiforum.org/