电子商务中证书认证中心的分析与设计_第1页
电子商务中证书认证中心的分析与设计_第2页
电子商务中证书认证中心的分析与设计_第3页
电子商务中证书认证中心的分析与设计_第4页
电子商务中证书认证中心的分析与设计_第5页
已阅读5页,还剩36页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、分类号: 单位代码:14100密 级: 学 号:07106020129shandong university of political and law 学 士 学 位 论 文论文题目: 电子商务中证书认证中心的分析与设计系 部 信息科学技术系 专 业 信息管理与信息系统 年 级 07级 班 级 本科1班 学生姓名 路朕 指导老师 张燕燕 职 称 副教授 2011年 05月16日论文题目: 电子商务中证书认证中心的分析与设计 系 部 信息科学技术系 专 业 信息管理与信息系统 年 级 07级 班 级 本科1班 学生姓名 路朕 学 号 07106020129 指导老师 张燕燕(副教授)2011年0

2、5年16日 原 创 性 声 明本人声明:所呈交的论文是本人在导师指导下进行的研究成果。除了文中特别加以标注和致谢的地方外,论文中不包含其他人已发表或撰写过的研究成果。参与同一工作的其他同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 签 名: _ 日 期: 本论文使用授权说明本人完全了解山东政法学院有关保留、使用学位论文的规定,即:学校有权保留论文及送交论文复印件,允许论文被查阅和借阅;学校可以公布论文的全部或部分内容。(保密的论文在解密后应遵守此规定)学生签名: 指导教师签名: 日期: 目 录摘要iabstractiii第一章 引言11.1 研究背景11.2 国内ca发展现

3、状21.3研究内容及目标31.4本论文组织结构4第二章pki技术介绍52.1数字证书概念及元素分析52.2数字信封概念及元素分析62.3微软cryptoapi体系介绍72.4 ssl协议72.5 ldap标准及其schema9第三章 证书认证系统设计133.1证书认证系统总体架构133.1.1证书认证系统网络拓扑图设计133.1.2证书认证系统模块逻辑架构设计143.2kmc子系统设计153.2.1 kmc子系统结构设计153.2.2 kmc子系统功能设计161.13.3 ca子系统设计173.3.1 ca子系统结构设计173.3.2 ca管理终端功能设计183.3.3证书签发服务程序功能设计

4、203.3.5签名服务程序功能设计213.3.6以查询终端功能设计213.3.7 ca审计终端功能设计223.4 ra子系统设计233.4.1 ra子系统结构设计233.4.2 队管理终端功能设计243.4.3 ra业务终端功能设计243.5证书发布子系统ocsp/ldap设计243.5.1 ldap架构设计253.5.2 ocsp架构设计253.6证书模板机制设计253.6.1 证书模板定义253.6.2证书模板元素分析263.6.3证书模板流程设计26第四章证书认证系统改进与思考274.1 ca业务实现模式探讨274.2 ca业务性能提高探讨274.3 ca系统改进的思考28参考文献29致

5、 谢30摘 要随着信息安全技术和公钥基础设施的飞速发展,以及各级证书认证系统的建设和推广,巫需发展可靠的、满足多种应用的证书认证系统方案。ca系统不能满足各种安全应用的局限性也越来越受到人们的重视。国内ca发展现状和中国电子认证服务业的法律法规,也对证书认证系统提出了更高要求。ca市场的规范化、淘汰制、重组机制也迫切要求建立一个功能完善、技术先进、安全可靠、服务领先的证书认证系统。本论文的证书认证系统体系结构包含四个重要的实体:密钥管理中心子系统、ca中心子系统、ra中心子系统、ocsp/ldap证书发布子系统。该证书认证系统提供对数字证书全生命周期的过程管理,包括用户注册管理、证书证书注销列

6、表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等。本论文在证书认证系统的设计上,采用自上而下的方法进行描述。先从网络拓扑和逻辑架构两方面设计系统总体架构;然后分析了kmc子系统、ca子系统、ra子系统、ocsp/ldap子系统的程序组成和模块组成;最后讨论和设计了证书模板机制。本论文在证书认证系统的实现上,采用抓主要矛盾的方法进行描述。先从总体业务流程和证书申请流程两方面介绍业务流程实现;然后详细描述系统业务关键点实现,包括证书认证系统报文、ra/ca业务报文元素分析、证书管理类报文实现、证书申请类报文实现等;最后对证书模板机制、统一接口、系统安

7、全性设计进行实现性描述。与传统的证书认证系统相比,具有以下创新性:(1)建立一个功能完善、技术先进、安全可靠、服务领先的pki架构,支持rca-ca-sca-ra-lra层次结构。(2)建设完整的双证书(加密证书和签名证书)模式,兼容单证书模式。(3)可灵活裁减的层次化结构,可根据应用系统的需求灵活组合各个子系统,从而构建满足不同应用的证书认证系统。(4)支持强大的证书模板申请机制、更好面对复杂的证书应用。(5)系统具有开放性,能二次开发,能够适应内外部环境的变化。证书认证系统为各行各业提供基础性服务,已在电子政务领域、电子商务领域广泛使用。目前证书认证系统同授权管理系统(pmi)、单点登录系

8、统、统一用户管理系统的集成应用成为行业热点;证书认证系统对国家标准的ecc密码算法的应用支持也将成为行业的另一看点,也对证书认证系统提出更高的要求。本文的意义在于,针对证书认证系统,提出了一套完整的实现方法,有较强的实用价值,可为各级证书认证系统的实际建设提供一种方案。本文的模板机制也可用在授权管理系统的属性证书的签发;本文的设计方法和分析手段也可用来指导其他大型项目的开发。关键词:密钥管理中心;ca;ra;ocsp;ldapabstractwith the rapid development of information security techniques and public key

9、infrastrre(pki),as well as all levels of the certificate certification center builded and promoted,we urgently need to develop the certificate authentication (ca)system,which is reliable and meet a variety of complex application.we are more and more paying attention to the limitation,which ca system

10、 cannot meet a great deal of security application.the fact that the status of the development of domestic ca system and laws and regulation of chinas electronic authentication service industry put forward to the higher requirements.it is eager to establish a fully functional,technologically advanced

11、,safe and reliable system based on pki tecnologies,which the ca market of standardization,and elimination system,restructuring mechanism.the ca system architecture includes four key entities:the kmc subsystem,the kmc subsystem provide the management processes of digital certificate lifecycle,include

12、 user register management,certificate/crl generation and issuance,certificate/crl storage and release,the certificate status queries,key generation and management,process safety auditing.this ca systems architecture includes four key entities:the kmc subsystem,the kmc subsystem,the ca subsystem,the

13、ra subsystem,the cosp/ldap subsystem.this ca systems provide the management processes of digital certificate lifecycle,include user register management ,certificate/crl generation and issuance,certificate/crl storage and release,the certificate status queries,key generation and management,process sa

14、fety auditing.this thesis,the top-down method described is used on the design of ca systems.it first designs the overallfrance of the ca system from two aspects:the network topology and logical structure;and then designs the composition of the procedures and modules of the kmc subsystem,ca subsystem

15、,ra subsystem,ocsp/ldap subsystem;finally discusses and designs the certificate template mechanism.this thesis,using the method of grasping the principal contradicition describes the templement of authentication system.it starts with business processes to implement from two aspects:and then has a de

16、tailed description of the system to implenment business-critical points,including the message of ca system message, the construction of the racas interface,the analysis of racas business message,programming message to zertification, programming message to certificate management;finally has a realiza

17、ble description on the certificate template mechanism,a unified interface,system security design.compared with the traditional ca system, it has the following improvement and innovation.(1)it establishis a fully functional,technologically advanced,safe and reliable system beased on pki technologies,

18、 which support the rca-ca-sca-ra-lra hierarchical structure.(2)it supports a compatible with a single certificate(encryption certificate and signed certificate)mode, compatible with a single certificate mode.(3)it has the flexible hierarchical structure and freely makes up the various subsystem to m

19、eet a great deal of security applications.(4)it offer the certificate template mechanism to meet a great deal of application of digital certificate.(5)it is open to secondary development and is able to adapt to internal and external environment changes.the ca system provides basic services for all s

20、ectors and it has been used in e-govement ares,e-commerce fields. the integrated application of ca system,pmi system,sso system becomes the industry hot spots and it raises higher requirements on the ca system.in this paper,the significance lies in the fact that putting forward a complete set of met

21、hods on ca system, that has a strang practical value,that provides an idea of all levels of construction of ca system.template mechanism of this paper can also be used to sign attribute certificate in privilege management infrastrcture(pmi)system. the design methods and analytical models can also be

22、 used to guide the development of other large-scale projects.keyword: kmc; ca ;ocsp; ldap第一章 引言1.1 研究背景公钥基础设施 (public key infrastrueture,pki)是利用公钥概念和加密技术为网上通信提供符合标准的一整套安全基础平台。公钥基础设施能为各种不同安全需求的用户提供各种不同的网上安全服务,主要有身份识别(认证)、数据保密性、数据完善性、不可否认性及时间戳服务等。从广义上讲,所有提供公钥加密和数字签名服务的系统都可叫做pki系统。随着信息安全技术、pki体系的飞速发展,以

23、及各级证书认证 (certificate authority,ca)系统的建设和推广,巫需发展可靠的、满足多种应用的ca系统方案。中国电子认证服务业发展在政策环境、法律法规上也制定了一系列规范,基本历程描述如图1-1所示:2004年2月28日 中华人民共和国电子签名法2005年2月8日电子认证服务管理办法2005年3月31日 电子认证服务密码管理办法2006年2月23日国务院办公厅法【2006】11号明确了:电子签名法律效力电子签名的安全保障措施电子认证服务市场准入条件进一步规范:电子认证服务行为和管理进一步说明:身份认定,授权管理,责任界定进一步规范:规范电子认证服务提供使用密码的行为图1-

24、1中国电子认证服务业政策环境图为适应国家信息化发展需要,满足电子认证服务对证书认证系统密码及其相关安全技术的应用需求,规范我国电子认证服务系统的建设和管理,根据电子认证服务密码管理办法第十三条:“证书认证系统密码及其相关安全技术规范由国家密码管理局发布”的规定,国家密码管理局制定了证书认证系统密码及其相关安全技术规范。该规范适用于在中华人民共和国境内为公众服务的数字证书认证系统的设计、建设、检测、运行及管理。同时,其他数字证书认证系统的建设、运行及管理,可参照该规范。电子认证服务密码管理办法中也有如下描述:“第九条电子认证服务系统的运行应当符合证书认证系统密码及其相关安全技术规范。电子认证服务

25、提供者对其电子认证服务系统进行技术改造的,事先将具体方案报国家密码管理局备案,事后向国家密码管理局申请安全性审查,通过审查的方可投入运行。”1.2 国内ca发展现状(1)第一轮洗牌,全国100多家以,到目前仅22家入围,而且信产部将严格制准入。电子认证服务管理办法明确了ca认证机构的准入门槛,而且准入标相当高。网络信任体系建设的若干意见指出认证活动,提倡走社会化、专业化道路,“向社会公众提供服务的电子政机构提供服务。”,同时,相关条文使境外电子政务市场ca认证机构被排除在中国市场以外。信息产业部再三强调:“鼓励资源和服务共享,防止盲目重复建设”。ca行业由原来的完全自由竞争过度到政府适度控制状

26、态;信产部陈伟司长在2006中国信息化推进大会上的讲话中指出:2007年电认证工作重点将加大打击非法ca的力度,整顿电子认证服务市场。(2)第二轮竞争,运营服务能力相对较弱者被淘汰出局。2006行业年检:出现部分ca机构因内部管理混乱、运营条件达不到要求非法运作,被面临停牌的警告。2006年赛迪调查数据显示:目前22家合法ca机构中证书发放量最低的只有3千张证书。根本无法支撑符合法规要求的相关常规运作所需的运营支。电子认证服务服务管理办法第三十三条规定了取得资质的机构,在行许可的有效期内不得降低其设立时所具备的条件。电子签名法第三十一条规定了电子认证服务提供者不遵守认证业务规则和违法经营的,由

27、信产部将责令限期改正;逾期未改正的,吊销许可资质。行业管理部门将进一步出台相关的管理办法来构建公开、公平、公正的ca市场竞争机制,鼓励市场的充分竞争。这将有利于发挥基础设施完备、运营规范、有应用基础ca的运营优势,实现对资源的合理分配和有效利用。最终局面:基础设施完备、运营规范、有应用基础ca机构对运营不善的ca进行收购,最终只有少数强势ca的出现。(3)第三轮行业优化,将出现优劣互补,强强合作局面。现在已经建设的多个ca中心几乎都有明显的局部特征和探索性质,规模较小而且简单重复,难以满足社会化服务的要求。由于在ca中心自身的权威性要求下,必然需要运作规范,技术、资金实力雄厚,并能适应国际化趋

28、势的大型ca中心来为社会服务。基于国外ca行业的发展经验和国内目前的状况,我们认为该行业未来的发展必将呈集中化趋势。因此,未来几年中,行业内产业重组已是必然。1.3 研究内容及目标从中国电子认证服务业发展的法律法规到国内以发展现状,都对证书认证提出了更高的要求。研究内容为:根据国内外现有ca模式,设计一套成熟、稳定、面向复杂应用的证书认证,并注意ca系统的先进性、稳定性、及实用性;设计本系统会紧跟国内以,密切关注以市场的规范化、 淘汰制、重组机制。本证书认证系统目标如下:(1)建立一个功能完善、技术先进、安全可靠、服务领先的基于pki架构的体系,支持rca-ca-sca-ra-lra层次结构,

29、支持多级ca体系、支持多ra体系。(2)建设完整的双证书(加密证书和签名证书)模式,兼容单证书模式。(3)可灵活裁减的层次化、模块化结构,可以根据应用系统的具体要求灵活合系统中各个模块,从而构建满足不同应用的证书认证系统。(4)系统具有开放性,能二次开发,能够适应内外部环境的变化。程序开发可以根据接口标准,自行开发业务系统安全模块。(5)系统能支持到百万级证书。(6)证书模板支持,证书标准扩展项可自由定义,证书私有扩展项可自由定ra子系统根据证书模板申请证书,支持每个用户申请多个不同模板的证书。针对以上研究内容和目标,本文将从设计和实现两个方面详细介绍证书认证系1.4 本论文组织结构本文的主要

30、内容分为6章,各章的主要内容安排介绍如下:本文讨论了证书认证系统的设计与实现,共分为六章。第一章“引言”,分析证书认证系统的研究背景和国内ca发展现状,确本论文的研究内容及目标。第二章“pki技术介绍”,首先介绍了数字证书基本概念和元素组成、数信封基本概念及元素组成、微软cryptoapi体系,然后分析讨论ssl协议、ld协议、ocsp协议。本文均使用了这些典型pki技术。第三章“证书认证系统设计”,先从网络拓扑和逻辑架构两方面设计证书证系统总体架构;然后分析了kmc子系统、ca子系统、ra子系统、ocsp/ld子系统的程序组成和模块组成;最后讨论和设计了证书模板机制。第四章“证书认证系统改进

31、与思考”,先对以业务实现模式、以业务性进行探讨,然后对证书认证系统的改进提出几点思考。第二章pki技术介绍pki技术多种多样,应用非常广泛;本章介绍这些基本技术。证书认证系统设计与实现使用了以下典型pki技术:数字证书、数字信封、微软cryptoapi、ssl协议、ldap标准、ocsp协议等。2.1数字证书概念及元素分析数字证书2(digitaleertifieate)是一种“网络身份证”,它由证书认证心签发;它是一种包含持有者信息、持有者公钥、颁发者、颁发者签名等信息电子文件。为了适应pki技术的发展,ietf制定在工nternet上使用x.509和证书吊销表(certifi。aterev

32、oeationlist,crl)3的标准。x.509v3版本证书组元素分析见图2-1。证书第三层元素:证书第一层元素:特签名证书主体证书签名算法标志证书签名算法值证书第二层元素:证书主体有效期颁发者签名签名算法标识序列号版本持有者名称证书公钥证书发行者证书扩藏段持有者别名扩展主题密钥标识符扩展密钥用法扩展扩展从钥使用周期扩展策略约束扩展基本约束扩展主体目录服务系统扩展颁发者别名扩展策略映射扩展证书策略扩展权威密钥标识符扩展加强密钥周期算法名字约束扩展crl发布点扩展弘有internet扩展 自定义私有扩展自定义扩展关键性critical自定义扩展值extevalue自定义扩展old值证书组元素

33、分析见图2-1通过以上分析,数字证书元素可由待签名证书主题(tbscertificate)、证书签名算 法标示(signaturealgorithm)、证书签名值(signatvalue)等组成。其中证书第二层元素包括版本号、序列号、证书有效期、颁发者dn、持有者dn等;证书第三层元素主要是一些常用的标准扩展。证书第四层元素主要是自定义扩展,来满足证书对不同应用的需要。证书认证系统提供证书全生命周期管理,也提供证书各个元素的生成。其中证书自定义扩展的满足是系统实现的难点,本论文会通过可配置的证书模板机制满足其实现。2.2数字信封概念及元素分析(1)数字信封概念数字信封(digital enve

34、lope)中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。rsa公司的pkcs#7t5标准定义了密码信息封装的语法,其包含数据(data)格式、签名数据(signed一data)格式、信封数据(enveloped一data)格式、签名且信封数据(signed一and一enveloped一data)格式、杂凑数据(digested一dat

35、a)格式、加密数据(enveloped一data)等6种格式。(2)pkcs#7中信封数据(enveloped-data)格式元素分析如图2-2congtentinfocontenttypecontentemcryptedcontentinfoversiomrecipientinfosversioncontent typeenerypeted keyissuer serial numberkey emerypetiunalgarichmcontentemriptionalgarichmencryptedcontent 图2-2 pkcs#7中信封数据(enveloped-data)格式元素分析

36、其中对称密钥加密算法(keyencryptionalgorithm)指用什么算法加密对称密钥:已加密密钥(encryptedkey)指用接收方公钥加密后的对称密钥密文;信信封加密算法(content eneryption algorithm)指用什么算法加密数据;已加密数据(encrypted content)指用对称密钥加密数据以后的密文。2.3微软crvptoapi体系介绍(1)cryptoapi简介微软cryptoapi6是pki推荐使用的加密api。其功能是为应用程序开发者提供在win32环境下使用加密、验证等安全服务时的标准加密接口。cryptoapi处于应用程序和csp(crypt

37、ographieservieeprovider)之间。csp是一个真正执行加密功能的独立模块,典型的csp有微软rsabaseprovider。目前任何一个加密服务提供者若想成为微软的合法的csp,就必须获得微软授予的一个签名文件,该签名文件保证了微软cryptoapi识别该csp。通过微软的cryptoapi标准接口可以对csp中的证书和私钥进行操作,因此掌握csp原理以及cryptoapi,将证书、私钥写入到csp中具有重要意义。(2)cryptoapl框架结构cryptoapi共有五部分组成:简单消息函数(silllplified message funetions)、低层消息函数(lo

38、w一leve message functions) 、基本加密函数(basecryptographiefunetions)、证书编解码函数(certifieate eneode/deeodefunctions)和证书库管理函(certifieatestorefunetions)。其中前三者可用于对敏感信息进行加密或签名处理,可保证网络传输信心的私有性;后两者通过对证书的使用,可保证网络信息交流中的认证性。2.4 ssl协议(1)ssl协议简介安全套接层协议7(seeuresoeketlayer,ssl)指使用公钥、私钥技术组合的安全网络通讯协议。ssl协议是网景公司(netscape)推出的基

39、于web应用的安全协议,ssl协议指定了一种在应用程序协议(如http、telnet、nmtp和ftp等)和tcp/ip协议之间提供数据安全性分层的机制,它为tcp/ip连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,主要用于提高应用程序之间数据的安全性,对传送的数据进行加密和隐藏,确保数据在传送中不被改变,即确保数据的完整性。ssl协议8j由握手协议层和记录协议层组成,主要包括记录协议以及建立在记录协议之上的握手协议、警告协议、更改密码说明协议和应用数据协议等可以对会话和管理提供支持的子协议。(2)ssl握手流程ssl握手协议0完成了身份的建立和密钥的交换。在握手过程中,客户端

40、和服务器产生一个共享的会话密钥,可以验证彼此的身份。这个过程通过交换一系列的消息来完成。如图2-3所示:服务器客户端client_helloserver_hellocertificate(certificate_request)server_hello_done (certificate)client_key_exchange(certificate_verify)change_cipher_specfinishedchange_cipher_specfinished 图2-3 ssl协议握手流程其具体步骤描述如下:(l)客户端发出一条client_hello的消息,消息内容包括:客户端支持的

41、ssl版本号、客户端产生的32字节随机数、一个对等的会话1d、客户端支持的密钥算法的列表等。(2)服务器发出消息server一hello进行响应,内容包括:服务器从客户端列表中选定的ssl版本号、服务器产生的32字节的随机数、会话id、从客户端列表中选择的密码算法。服务器发送它的x.509证书,其中包括了服务器所有者的信息和服务器的公钥,客户端可以使用这个公钥向服务器发送加密的消息。只有与这个证书对应的私钥的所有者才能够对这些消息进行解密。同时,服务器可以向客户端请求证书。这个步骤是可选的,如不选,客户端被称为匿名。最后,服务器发送消息server_hello_done,表示完成了通信步骤,等

42、待来自客户端的应答。(3)客户端检查服务器的证书和它发送的参数。如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的x.509证书。客户端发送client_key_exchange,这是一个随机数,客户端和服务器使用它来建立会话密钥。这个随机数产生于客户端和服务器在前面的通信步骤中交换的随机数,它使用服务器的公钥和rsa算法进行加密。如果客户端提供证书,那么将发送certificate_verify消息。客户端对发送的所有消息进行hash运算,并且使用自己的私钥进行签名,这样服务器就可以验证客户端确实持有与客户证书相对应的私钥。然后,客户端计算使用的加密密钥,另外还计算一个用于

43、消息认证码(mac)的密钥,这个密钥可以用来验证数据完整性。这些密钥产生于客户端和服务器端在前面步骤中交换的秘密随机数。客户端发送change_cipher_spec消息,表示将使用这些密码算法和参数处理将来的通信,但是客户端不需将密钥告诉服务器,因为服务器可以使用前面交换的同样的随机数,独立的计算出这些密钥。最后,客户端发送交换结束消息,使用了会话密钥进行加密,并且包含了校验完整性的mac内容。(4)服务器以它的change_cipher_spec消息作为响应,向客户端显示它也将使用与客户端相同的参数来加密将来所有的通信内容。服务器发送交换结束消息来结束握手过程,这个消息使用协商好的密钥进行

44、加密。在此之前,所有的加密操作都使用非对称加密方式完成。客户端与服务器之间后续的通信部分现在都可以使用对称加密算法来加密。2.5 ldap标准及其schema(1)ldap简介轻量级目录访问协议 (lightweight directory aeeess protocol,ldap)技术是一种标准的目录服务技术,它基于x.500标准。x.500是一种051的目录的服务模型,这个模型包括了所有的命名空间和查询更新协议,x.500通常也被称作“dap” (direetory aeeess protocol),这个协议运行在0si网络协议层,功能及其强大,但是也由于丰富的数据模型和操作使得它非常复杂

45、而显得笨重。ldap相对而言比较的简单,并且它可以根据应用的需要进行定制和扩展。与x.500最大的不同在于,ldap一开始就设计为运行在tcp/ip协议上,是目录服务在tcp/ip上的实现 (rfc1777vz版和 rfc2251v3版)。因此ldap对于internet访问的支持非常好,并且它还为浏览和查找目录以及内容读取提供了专门的优化,使得读取速度比一般的关系数据库要快得多。ldap标准定义了在目录中访问信息的协议,规定了信息的形式和特性、信息存放的索引和组织方式、分布式的操作模型,并且还指明ldap协议本身和信息模型都是可被扩展的。ldap目录中可以存放各种类型的数据,包括并不仅限于下

46、列几种:简单文本、图片信息、urls、二进制数据、数字证书等。不同类型的数据存放在不同类型的属性中,每一种属性有其特定的语法。ldap标准基于x.500的子集提供了一套丰富的属性类型和语法,但是,又提供了自定义属性、语法、甚至是对象类型的能力。目录中的信息存放模型基于项(entry),每个项拥有全局唯一的名字(dn)并且包含了基于属性的描述信息。项的存放基于树状模型,层次结构相当明晰,适于对应现实世界的组织模型。ldap也为信息的检索提供了复杂的过滤条件,并且提供了相当的访问控制能力。ldap中可以大量存放个人的信息。例如,一个机构可以将他所有员工的信息存放在ldap目录中,供所有人员查阅。个

47、人信息中可以包含有个人的姓名、职务、住址等等。通过把ldap目录作为系统集成中的一个重要环节,可以简化员工在机构内部查询信息的步骤,而数据源可以放在任何地方。ldap从设计开始发展到现在,己经在全世界范围内广泛流行,成为一个成熟并且通用的服务。大型企业普遍采用ldap作为存放企业和员工信息的场所,各种应用程序也都能通过ldap提供的c或者java的api去从ldap目录中获取所需信息。(2)schemaschema 是ldap的一个重要组成部分,类似于数据库的模式定义,ldap schema定义了ldap目录所应遵循的结构和规则。比如一个objectclass会有哪些属性,这些属性又是什么结构

48、等等,schema给lda卫服务器提供了ldap目录中类别,属性等信息的识别方式,让这些可以被ldap服务器识别。在ldap的schema中,有四个重要的元素:1、对象类(objeetclass)objectclass定义了一个类别,这个类别会被不同的目录(在ldap中就是一个entry)用到,它说明了该目录应该有哪些属性,哪些属性是必须的,哪些又可选的。一个objectclass的定义包括名称(name),说明(desc),类型(structural或auxilary,表示是结构型的还是辅助型的),必须属性(must),可选属性(may)等信息。2、属性(atribute)attribute

49、就是一个上面objectclass中可能包含的属性,对其的定义包括名称,数据类型,单值还是多值以及匹配规则等。后面用具体的例子来说明。3、语法(syntax)syntax是ldap中的“语法”,其实就是ldap中会用到的数据类型和数据约束,这个语法是遵从xsoo中数据约束的定义的。其定义需要有一个id(遵从x.500)以及说明(desp)4、匹配规则(matehingrules)是用来指定某属性的匹配规则,实际上就是定义一个特殊的syntax的别名,让ldap服务器可以识别,并对定义的属性进行匹配。ld妙的schema的主要元素就是这些了,下面列举出了一些ldap规定好的或是现在比较通用的sc

50、hema,一般的ld”服务器都应该可以识别这些定义。2.6 ocsp协议及元素分析(1)ocsp协议简介在线证书状态协议 (online certificate status protocol ocsp),是ietf颁布的用于检查数字证书在某一交易时间是否有效的标准(rfc2560)。ocsp协议不是一个可以直接传输的网络协议,它必须利用其他协议传输方可执行,在标准中,有提到可以建立在http、smtp、ldap(可以通过extendedrequest信息传送)的协议传输ocsp信息。ocsp共定义两道信息,client端发送一个服务请求信息(ocspreque)、服务器端回复应答信息(ocs

51、presponse)。通过ldap下载crl、通过ocsp直接查询证书状态这个解决方案各有利弊。通过ld妒下载crl方案适合网上商家,必须随时面对大量客户时使用。可以利用带宽空闲时间下载crl,以减少crl下载时间。至于一般使用者,并不是随时需要面对大量且不同对象,下载crl就变成了一个很大的负担,所以使用简单的ocsp协议,就显得效率高了。另外ocsp协议一般实时性也比较强。(2)ocsp协议元素分析a)ocsp协议请求报文元素关系图2-4ocsprequestthsrequestoptionalsignaturehashalgorithmissuernamehashissuerkeyhas

52、hversionrequesternamesinglerequestextensionrequestlistreqcertrequestextemsionsrequest(in)certid图2-4ocsp协议请求报文元素分析图由ocsp请求(ocsprequest)可以看出,客户端主要组织的信息由协议版本(version)请求者证书标识(requestorname)、待查询证书集合(requestlist)、请求扩展(requestextensions)、请求签名(optionalsignature)等。在证书标识(certid)元素中存放待查询证书信息(证书颁发者dn的hash信息、证书颁

53、发者公钥的hash信息、待查询证书序列号)。一次请求可以查询多个证书状态。b)ocsp协议应答报文元素关系如图2-4所示oscpresponseresponsebytessuccessful(0)malformedrequesed(1)intermalerror(2)trylater(3)slgrequired(4)unauthoiced(5)good(0)revoked(1)unkonwn(3)respons typeresponsesignature algorithmrbsresponsedatesignaturevertionresponderidproducedatresponses

54、responseextenslenscertstatuscertidresponsestatuecertstatusthisupdatesingalextentionssnextupdatebasieocspresponseresponsedate如图2-4ocsp协议应答报文元素关系由ocsp应答(ocspresponse)可以看出,服务器端主要组织的信息由协议版本(version)、响应器名称(responderid)、报文产生时间(producedi峨)、证书状态回复(responses)、可选扩展(responseextensions)、签名算法对象标识符号(signaturealgo

55、rithm)、对回复信息散列后的签名(signature)等。一次应答可以返回多个证书状态。此次更新(thisupdate)和下次更新(nextupdate)域定义了一个推荐的有效期。此时间长度和证书撤消列表中的此次更新,下次更新时间长度相一致。报文产生时间(producedat)可以防止重放攻击。第三章 证书认证系统设计3.1证书认证系统总体架构3.1.1证书认证系统网络拓扑图设计,如图3-1所示:图3-1 证书认证系统网络拓扑图kmc区:由kmc管理终端、kmc后台服务器、kmc数据库服务器组成。核心区:由签发服务器、主ocsp服务器、主目录服务器、ca数据库服务器组成。其中签发服务器上按照ca后台签发程序、crl签发程序、签名服务程序。管理区:由ca管理终端、ca查询终端、ca审计终端、ca监控终端。其中根据硬件需要,可以把这几个终端安装在一台机器上。服务区:由从目录服务器、从ocsp服务器等组成。远程ra区:由制证终端、raweb服务器、ra数据库服务器组成。raweb服务器提供web架构的服务,ra业务终端程序和ra管理终端程序可以架设在raweb服务器上。3.1.2证书认证系统模块逻辑架构设计证书认证系统提供对数字证

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论