江苏省电子政务证书认证系统应用培训材料

南京市LDAP构架
“推”方 式
“拉”方 式
南京市LDAP配置
服务器IP地址 端口，注意：不是389
匿名登录
南京市LDAP配置
CRL列表
南京市LDAP配置
LDAP客户端及开发工具
LDAP所支持的客户端工具有很多种，目前比较流 行的有LDAPExplorerTool、LDAPBrowers等等。
参数说明：
ld：Session handle dn：用户DN，可以为NULL passwd：可以为NULL
LDAP接口函数
3.ULONG ldap_search_s( LDAP *ld, UNICODE PTCHAR base, ULONG scope, UNICODE PTCHAR filter, UNICODE PTCHAR attrs[], ULONG attrsonly, LDAPMessage **res );
LDAP概念
LDAP（Lightweight Directory Acess Protocol）是目录服务在TCP/IP上的 实现（RFC 1777 V2版和RFC 2251 V3版）。它是对X500的目录协议的移植，但 是简化了实现方法，所以称为轻量级的目录服务。 在LDAP中目录是按照树型结构组织，目录由条目（Entry）组成，条目相当 于关系数据库中表的记录；条目是具有区别名DN（Distinguished Name）的属 性（Attribute）集合，DN相当于关系数据库表中的关键字（Primary Key）； 属性由类型（Type）和多个值（Values）组成，相当于关系数据库中的域 （Field）由域名和数据类型组成， 只是为了方便检索的需要，LDAP中的Type可 以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必 须是不相关的。 LDAP中条目的组织一般按照特定关系进行组织，非常的直观。LDAP把数据存 放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。 LDAP协议集还规定了DN的命名方法、存取控制方法、搜索格式、复制方法、 URL格式、开发接口等 。
江苏省电子政务证书认证系统
应用培训材料
2006 年 11 月
提纲


数字证书基础介绍 南京CA分中心系统设计 LDAP/OCSP标准和开发接口 MS CAPI/PKCS#11标准和开发接口 系统二次开发接口 总结
--20分钟 --10分钟 --10分钟 --20分钟 --30分钟
数字证书基础介绍
不同
加密方式比较
对称
密钥数量 单个Key 型态 管理
Key必须保密 简单，但不容易管理 一对Key 一个是公开的Key，一个是私 用的Key 需要数字证书和CA 较快 用于特定需求，处理小量资 料的加密和签名
非对称
加密速度 非常快 应用
用于大量资料的加密处理
摘要算法原理

用来辨别数据是否被篡改 将数据通过摘要算法产生输出结果 产生的结果为固定长度，通常为128或160bits
总结
应用系统进行证书嵌入改造过程中，难点和工作量 不体现在程序的开发上，而在于现有系统配置上。 ——SSL的启用和配置
谢谢大家！
讨
论
小结
PKI的作用： --机密性 --真实性 --身份认证 --不可否认
南京市CA分中心系统设计
南京市CA分中心系统设计原则
设计原则




安全保密第一原则 技术安全和管理安全并重原则 准确了解保护对象原则 多层次多安全单元保护防范原则 责任与风险分散和最小授权原则 综合性全方位和统一的保护与防范原则 用户使用方便原则
不断发展的动态原则
南京市CA分中心系统体系结构
南京市CA分中心系统说明


南京市CA分中心采用双证书体系 颁发的证书类型 --个人证书 --单位证书 --设备证书

颁发的证书遵循X.509 V3标准
数字证书内容
数字证书内容
CRL列表具体内容
应用架构
LDAP V3标准
CSP/PKCS#11标准
cKey （COS ）
……
cKey （COS ）
基于MS CAPI的具体实现
基于MS CAPI的具体实现



提供基于cKey加密算法的CSP 应用程序不能直接与CSP进行通讯 应用程序通过调用CryptoAPI 接口函数来与 CSP进行 通讯
基于MS CAPI的具体实现
CAPI函数的具体说明在MSDN上可以查到。
LDAP遵循标准

RFC 2251 – Lightweight Directory Access Protocol (v3) RFC 2252 – LDAP (v3): Attribute Syntax Definitions RFC 2253 – LDAP (v3): UTF-8 String Representation of Distinguished Names RFC 2254 – String Representation of LDAP Search Filters RFC 2255 – The LDAP URL Format RFC 2256 – A Summary of X.500(96) User Schema for use with LDAP (v3) RFC 2829 – Authentication Methods for LDAP RFC 2830 – LDAP (v3): Extensions for Transport Layer Security
LDAP/OCSP标准和开发接口介绍
LDAP概念
LDAP（轻量目录访问协议）的英文全称是Lightweight Directory Access Protocol。它是基于X.500标准的，但是 简单多了并且可以根据需要定制。 与X.500不同，LDAP支持TCP/IP 。 LDAP最大的优势是：可以在任何计算机平台上，用很容 易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目 录。而且也很容易定制应用程序为它加上LDAP的支持。 LDAP协议是跨平台的和标准的协议 。 LDAP服务器可以用“推”或“拉”的方法复制部分或全 部数据 。
小结



南京市CA分中心系统LDAP/OCSP采用标准技术架构 建议大部分应用通过访问LDAP获取证书验证信息 特定应用可采用LDAP/OCSP混合验证证书 LDAP/OCSP 的作用是给用户开放针对南京市 CA 分中 心颁发的数字证书进行验证所必须的资源
MS CAPI/PKCS#11标准和开发介绍
LDAPExplorerTool工具下载地址：http://ldaptool.sourceforge.net/
OCSP概念
在线证书状态协议（OCSP）是维持服务器和其他网络 资源安全的两种常用方案中的一种。另一种更老的方式 （某种程度上被OCSP所替代）是证书注销列表（CRL）。 OCSP克服了CRL主要的限制：必须在客户端频繁地下载 更新数据，才能保证列表的当前性。当用户试图访问某服 务器时， OCSP 会发送一个证书状态信息的请求。服务器返 回一个“当前”、“终止”或“未知”的回复。该协议规 定了在服务器（它包含证书状态）与客户应用程序（它被 告知状态）之间传递信息的语法。 OCSP 给与使用已终止的 证书的用户一定的宽限期，这样他们在重新申请前可以在 一定时间内访问服务器。
参数说明：
ld：Session handle res：查找返回结果
5．struct berval **ldap_get_values_len( LDAP *ExternalHandle, LDAPMessage *Message, UNICODE PTCHAR attr );
参数说明：
ExternalHandle：Session handle Message：ldap_first_entry返回的结构 attr：指定返回类型
证书应用接口设计
系统接口标准
证书开发接口是为应用程序开发者提供安全平台接口，提
供1024/128位强度的加密算法，任何使用政务证书的应用系 统都可以通过接口实现集成，所有的功能和机制都由该接口 实现（包括证书验证，黑名单查询等）。提供的接口包括： OCSP / LDAP / CSP / PKCS#11 / CKey SDK，提供的接口支
参数说明：
ld：Session handle dn：查找项 scope：查找域，可以为LDAP_SCOPE_SUBTREE filter：过滤项 attrs[]：其他属性值 attrsonly：是否返回值 res：LDAP服务器返回值
LDAP接口函数
4．LDAPMessage *ldap_first_entry( LDAP *ld, LDAPMessage *res);
LDAP接口函数定义
1．LDAP* ldap_init( PCHAR HostName, ULONG PortNumber);
参数说明：
HostName：LDAP服务器IP地址 PortNumber：LDAP服务器端口号
2．ULONG ldap_simple_bind_s( LDAP* ld, PCHAR dn, PCHAR passwd );
OCSP工作原理
OCSP接口函数
INT CheckCertFromOcspServer（ char * Ip, int port, char * CaCert, char * UserCert );
参数说明：
Ip: ocsp server 地址 Port: ocsp server 端口 CaCert：CA证书 UserCert：被查询的用户证书
数字证书基础
PKI （公开密钥基础设施）是通过使用公钥技术和 数字证书来确保系统信息安全，进行数据加密和用户 身份验证的体系。 --对称算法 --非对称算法 --摘要算法 --算法应用全过程
对称算法原理
。
相同
对称算法问题
对于实际应用而言，问题 是如何管理这些对称密钥并保 证其安全性
。
非对称算法原理
USB Key软件架构
应 用 层
其他应用
……
MSIE
上层 API 函数
用 户 模 式 层 内 核 模 式 层
Microsoft CryptoAPI
cKey PKCS#11
cKey APIs
cKey CSP
Microsoft SmartCaቤተ መጻሕፍቲ ባይዱd Resource Manager
硬 件 设 备 层
Smart Card 驱动程序
基于PKCS#11的具体实现
系统二次开发接口
CKey619 SDK函数说明
CKey619 SDK.chm
总
结
总结
针对应用，南京市CA分中心系统均采用标准技术架构
LDAP V3标准
CSP/PKCS#11标准
总结
针对特定应用，例如：数字签名、网页签章等等 我们将提供C编写的SDK开发包供用户调用
--不同输入长度，相同输出长度 --数字摘要

不可能编造出相同摘要的数据文件 文件中任一单元被修改，摘要结果大不相同
摘要算法应用
使用摘要算法的作用：

用来检验数据的完整性 用来产生签章的数据源
摘要算法作用
检验数据的完整性
摘要算法作用
产生签章的数据源
算法应用全过程
数字信封
算法应用全过程
持Windows,Linux,Unix等平台。
小结




南京市 CA 分中心严格遵循 PKI 体系和国家密码行业 相关要求进行建设的 应用系统在进行证书嵌入改造过程中，可以分为两 个层次，即服务器端和客户端 服务器端接口部分，南京市 CA 分中心遵循 LDAP V3 标准 客 户 端 接 口 部 分 ， 南 京 市 CA 分 中 心 遵 循 MS CAPI/PKCS#11标准
OCSP遵循标准

������ ������ ������ ������ ������ ������
遵循OCSPv1、OCSPv2 标准协议 遵循标准的高强度非对称加密算法 遵循X.509 V3 证书标准 遵循HTTP1.1 协议标准 遵循XML 标准 遵循国际电联ASN.1 编码规则 遵循CMP 标准