OCSP遵循标准

������ ������ ������ ������ ������ ������
遵循OCSPv1、OCSPv2 标准协议 遵循标准的高强度非对称加密算法 遵循X.509 V3 证书标准 遵循HTTP1.1 协议标准 遵循XML 标准 遵循国际电联ASN.1 编码规则 遵循CMP 标准
LDAP概念
LDAP（Lightweight Directory Acess Protocol）是目录服务在TCP/IP上的 实现（RFC 1777 V2版和RFC 2251 V3版）。它是对X500的目录协议的移植，但 是简化了实现方法，所以称为轻量级的目录服务。 在LDAP中目录是按照树型结构组织，目录由条目（Entry）组成，条目相当 于关系数据库中表的记录；条目是具有区别名DN（Distinguished Name）的属 性（Attribute）集合，DN相当于关系数据库表中的关键字（Primary Key）； 属性由类型（Type）和多个值（Values）组成，相当于关系数据库中的域 （Field）由域名和数据类型组成， 只是为了方便检索的需要，LDAP中的Type可 以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必 须是不相关的。 LDAP中条目的组织一般按照特定关系进行组织，非常的直观。LDAP把数据存 放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。 LDAP协议集还规定了DN的命名方法、存取控制方法、搜索格式、复制方法、 URL格式、开发接口等 。
南京市LDAP构架
“推”方 式
“拉”方 式
南京市LDAP配置
服务器IP地址 端口，注意：不是389
匿名登录
南京市LDAP配置
CRL列表
南京市LDAP配置
LDAP客户端及开发工具
LDAP所支持的客户端工具有很多种，目前比较流 行的有LDAPExplorerTool、LDAPBrowers等等。
LDAP接口函数定义
1．LDAP* ldap_init( PCHAR HostName, ULONG PortNumber);
参数说明：
HostName：LDAP服务器IP地址 PortNumber：LDAP服务器端口号
2．ULONG ldap_simple_bind_s( LDAP* ld, PCHAR dn, PCHAR passwd );
LDAP遵循标准

RFC 2251 – Lightweight Directory Access Protocol (v3) RFC 2252 – LDAP (v3): Attribute Syntax Definitions RFC 2253 – LDAP (v3): UTF-8 String Representation of Distinguished Names RFC 2254 – String Representation of LDAP Search Filters RFC 2255 – The LDAP URL Format RFC 2256 – A Summary of X.500(96) User Schema for use with LDAP (v3) RFC 2829 – Authentication Methods for LDAP RFC 2830 – LDAP (v3): Extensions for Transport Layer Security
小结
PKI的作用： --机密性 --真实性 --身份认证 --不可否认
南京市CA分中心系统设计
南京市CA分中心系统设计原则
设计原则




安全保密第一原则 技术安全和管理安全并重原则 准确了解保护对象原则 多层次多安全单元保护防范原则 责任与风险分散和最小授权原则 综合性全方位和统一的保护与防范原则 用户使用方便原则
cKey （COS ）
……
cKey （COS ）
基于MS CAPI的具体实现
基于MS CAPI的具体实现



提供基于cKey加密算法的CSP 应用程序不能直接与CSP进行通讯 应用程序通过调用CryptoAPI 接口函数来与 CSP进行 通讯
基于MS CAPI的具体实现
CAPI函数的具体说明在MSDN上可以查到。
不断发展的动态原则
南京市CA分中心系统体系结构
南京市CA分中心系统说明


南京市CA分中心采用双证书体系 颁发的证书类型 --个人证书 --单位证书 --设备证书

颁发的证书遵循X.509 V3标准
数字证书内容
数字证书内容
CRL列表具体内容
应用架构
LDAP V3标准
CSP/PKCS#11标准
LDAPExplorerTool工具下载地址：/
OCSP概念
在线证书状态协议（OCSP）是维持服务器和其他网络 资源安全的两种常用方案中的一种。另一种更老的方式 （某种程度上被OCSP所替代）是证书注销列表（CRL）。 OCSP克服了CRL主要的限制：必须在客户端频繁地下载 更新数据，才能保证列表的当前性。当用户试图访问某服 务器时， OCSP 会发送一个证书状态信息的请求。服务器返 回一个“当前”、“终止”或“未知”的回复。该协议规 定了在服务器（它包含证书状态）与客户应用程序（它被 告知状态）之间传递信息的语法。 OCSP 给与使用已终止的 证书的用户一定的宽限期，这样他们在重新申请前可以在 一定时间内访问服务器。
OCSP工作原理
OCSP接口函数
INT CheckCertFromOcspServer（ char * Ip, int port, char * CaCert, char * UserCert );
参数说明：
Ip: ocsp server 地址 Port: ocsp server 端口 CaCert：CA证书 UserCert：被查询的用户证书
参数说明：
ld：Session handle dn：用户DN，可以为NULL passwd：可以为NULL
LDAP接口函数
3.ULONG ldap_search_s( LDAP *ld, UNICODE PTCHAR base, ULONG scope, UNICODE PTCHAR filter, UNICODE PTCHAR attrs[], ULONG attrsonly, LDAPMessage **res );
参数说明：
ld：Session handle dn：查找项 scope：查找域，可以为LDAP_SCOPE_SUBTREE filter：过滤项 attrs[]：其他属性值 attrsonly：是否返回值 res：LDAP服务器返回值
LDAP接口函数
4．LDAPMessage *ldap_first_entry( LDAP *ld, LDAPMessage *res);
基于PKCS#11的具体实现
系统二次开发接口
CKey619 SDK函数说明
CKey619 SDK.chm
总
结
总结
针对应用，南京市CA分中心系统均采用标准技术架构
LDAP V3标准
CSP/PKCS#11标准
总结
针对特定应用，例如：数字签名、网页签章等等 我们将提供C编写的SDK开发包供用户调用
--不同输入长度，相同输出长度 --数字摘要

不可能编造出相同摘要的数据文件 文件中任一单元被修改，摘要结果大不相同
摘要算法应用
使用摘要算法的作用：

用来检验数据的完整性 用来产生签章的数据源
摘要算法作用
检验数据的完整性
摘要算法作用
产生签章的数据源
算法应用全过程
数字信封
算法应用全过程
USB Key软件架构
应 用 层
其他应用
……
MSIE
上层 API 函数
用 户 模 式 层 内 核 模 式 层
Microsoft CryptoAPI
cKey PKCS#11
cKey APIs
cKey CSP
Microsoft SmartCard Resource Manager
硬 件 设 备 层
Smart Card 驱动程序
持Windows,Linux,Unix等平台。
小结




南京市 CA 分中心严格遵循 PKI 体系和国家密码行业 相关要求进行建设的 应用系统在进行证书嵌入改造过程中，可以分为两 个层次，即服务器端和客户端 服务器端接口部分，南京市 CA 分中心遵循 LDAP V3 标准 客 户 端 接 口 部 分 ， 南 京 市 CA 分 中 心 遵 循 MS CAPI/PKCS#11标准
LDAP/OCSP标准和开发接口介绍
LDAP概念
LDAP（轻量目录访问协议）的英文全称是Lightweight Directory Access Protocol。它是基于X.500标准的，但是 简单多了并且可以根据需要定制。 与X.500不同，LDAP支持TCP/IP 。 LDAP最大的优势是：可以在任何计算机平台上，用很容 易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目 录。而且也很容易定制应用程序为它加上LDAP的支持。 LDAP协议是跨平台的和标准的协议 。 LDAP服务器可以用“推”或“拉”的方法复制部分或全 部数据 。
江苏省电子政务证书认证系统
应用培训材料
2006 年 11 月
提纲


数字证书基础介绍 南京CA分中心系统设计 LDAP/OCSP标准和开发接口 MS CAPI/PKCS#11标准和开发接口 系统二次开发接口 总结
--20分钟 --10分钟 --10分钟 --20分钟 --30分钟