江苏省电子政务证书认证系统应用培训材料.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,江苏省电子政务证书认证系统,应用培训材料,2006,年,11,月,1,提纲,数字证书基础介绍,-20,分钟,南京,CA,分中心系统设计,-10,分钟,LDAP/OCSP,标准和开发接口,-10,分钟,MS CAPI/PKCS#11,标准和开发接口,-20,分钟,系统二次开发接口,-30,分钟,总结,2,数字证书基础介绍,3,数字证书基础,PKI,（公开密钥基础设施）是通过使用公钥技术和数字证书来确保系统信息安全，进行数据加密和用户身份验证的体系。,-,对称算法,-,非对称算法,-,摘要算法,-,算法应用全过

2、程,4,对称算法原理,。,相同,5,对称算法问题,对于实际应用而言，问题是如何管理这些对称密钥并保证其安全性,。,6,非对称算法原理,不同,7,加密方式比较,对称,非对称,密钥数量,单个,Key,一对,Key,型态,Key,必须保密,一个是公开的,Key,，一个是私用的,Key,管理,简单，但不容易管理,需要数字证书和,CA,加密速度,非常快,较快,应用,用于大量资料的加密处理,用于特定需求，处理小量资料的加密和签名,8,摘要算法原理,用来辨别数据是否被篡改,将数据通过摘要算法产生输出结果,产生的结果为固定长度，通常为,128,或,160bits,-,不同输入长度，相同输出长度,-,数字摘要,

3、不可能编造出相同摘要的数据文件,文件中任一单元被修改，摘要结果大不相同,9,摘要算法应用,使用摘要算法的作用：,用来检验数据的完整性,用来产生签章的数据源,10,摘要算法作用,检验数据的完整性,11,摘要算法作用,产生签章的数据源,12,算法应用全过程,数字信封,13,算法应用全过程,14,小结,PKI,的作用：,-,机密性,-,真实性,-,身份认证,-,不可否认,15,南京市,CA,分中心系统设计,16,南京市,CA,分中心系统设计原则,设计原则,安全保密第一原则,技术安全和管理安全并重原则,准确了解保护对象原则,多层次多安全单元保护防范原则,责任与风险分散和最小授权原则,综合性全方位和统一

4、的保护与防范原则,用户使用方便原则,不断发展的动态原则,17,南京市,CA,分中心系统体系结构,18,南京市,CA,分中心系统说明,南京市,CA,分中心采用双证书体系,颁发的证书类型,-,个人证书,-,单位证书,-,设备证书,颁发的证书遵循,X.509 V3,标准,19,数字证书内容,20,数字证书内容,21,CRL,列表具体内容,22,应用架构,LDAP V3,标准,CSP/PKCS#11,标准,23,证书应用接口设计,系统接口标准,证书开发接口是为应用程序开发者提供安全平台接口，提供,1024/128,位强度的加密算法，任何使用政务证书的应用系统都可以通过接口实现集成，所有的功能和机制都由

5、该接口实现（包括证书验证，黑名单查询等）。提供的接口包括：,OCSP/LDAP/CSP/PKCS#11/CKey SDK,，提供的接口支持,Windows,Linux,Unix,等平台。,24,小结,南京市,CA,分中心严格遵循,PKI,体系和国家密码行业相关要求进行建设的,应用系统在进行证书嵌入改造过程中，可以分为两个层次，即服务器端和客户端,服务器端接口部分，南京市,CA,分中心遵循,LDAP V3,标准,客户端接口部分，南京市,CA,分中心遵循,MS CAPI/PKCS#11,标准,25,LDAP/OCSP,标准和开发接口介绍,26,LDAP,概念,LDAP,（轻量目录访问协议）的英文全

6、称是,Lightweight Directory Access Protocol,。它是基于,X.500,标准的，但是简单多了并且可以根据需要定制。,与,X.500,不同，,LDAP,支持,TCP/IP,。,LDAP,最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的,LDAP,的客户端程序访问,LDAP,目录。而且也很容易定制应用程序为它加上,LDAP,的支持。,LDAP,协议是跨平台的和标准的协议。,LDAP,服务器可以用,“,推,”,或,“,拉,”,的方法复制部分或全部数据。,27,LDAP,概念,LDAP,（,Lightweight Directory Acess

7、Protocol,）是目录服务在,TCP/IP,上的实现（,RFC 1777 V2,版和,RFC 2251 V3,版）。它是对,X500,的目录协议的移植，但是简化了实现方法，所以称为轻量级的目录服务。,在,LDAP,中目录是按照树型结构组织，目录由条目（,Entry,）组成，条目相当于关系数据库中表的记录；条目是具有区别名,DN,（,Distinguished Name,）的属性（,Attribute,）集合，,DN,相当于关系数据库表中的关键字（,Primary Key,）；属性由类型（,Type,）和多个值（,Values,）组成，相当于关系数据库中的域（,Field,）由域名和数据类型

8、组成，,只是为了方便检索的需要，,LDAP,中的,Type,可以有多个,Value,，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。,LDAP,中条目的组织一般按照特定关系进行组织，非常的直观。,LDAP,把数据存放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。,LDAP,协议集还规定了,DN,的命名方法、存取控制方法、搜索格式、复制方法、,URL,格式、开发接口等,。,28,LDAP,遵循标准,RFC 2251,Lightweight Directory Access Protocol(v3),RFC 2252,LDAP(v3):Attribute

9、 Syntax Definitions,RFC 2253,LDAP(v3):UTF-8 String Representation of Distinguished Names,RFC 2254,String Representation of LDAP Search Filters,RFC 2255,The LDAP URL Format,RFC 2256,A Summary of X.500(96)User Schema for use with LDAP(v3),RFC 2829,Authentication Methods for LDAP,RFC 2830,LDAP(v3):Exte

10、nsions for Transport Layer Security,29,LDAP,接口函数定义,1,LDAP*,ldap_init(,PCHAR,HostName,ULONG,PortNumber,);,参数说明：,HostName,：,LDAP,服务器,IP,地址,PortNumber,：,LDAP,服务器端口号,2,ULONG ldap_simple_bind_s(,LDAP*,ld,PCHAR,dn,PCHAR,passwd,);,参数说明：,ld,：,Session handle,dn,：用户,DN,，可以为,NULL,passwd,：可以为,NULL,30,LDAP,接口函数,

11、3.ULONG ldap_search_s(,LDAP,*ld,UNICODE PTCHAR,base,ULONG,scope,UNICODE PTCHAR,filter,UNICODE PTCHAR,attrs,ULONG,attrsonly,LDAPMessage,*res,);,参数说明：,ld,：,Session handle,dn,：查找项,scope,：查找域，可以为,LDAP_SCOPE_SUBTREE,filter,：过滤项,attrs,：其他属性值,attrsonly,：是否返回值,res,：,LDAP,服务器返回值,31,LDAP,接口函数,4,LDAPMessage*ld

12、ap_first_entry(,LDAP,*ld,LDAPMessage,*res,);,参数说明：,ld,：,Session handle,res,：查找返回结果,5,struct berval*ldap_get_values_len(,LDAP,*ExternalHandle,LDAPMessage,*Message,UNICODE PTCHAR,attr,);,参数说明：,ExternalHandle,：,Session handle,Message,：,ldap_first_entry,返回的结构,attr,：指定返回类型,32,南京市,LDAP,构架,“,推,”,方式,“,拉,”,方

13、式,33,南京市,LDAP,配置,服务器,IP,地址,端口，,注意：不是,389,匿名登录,34,南京市,LDAP,配置,CRL,列表,35,南京市,LDAP,配置,36,LDAP,客户端及开发工具,LDAP,所支持的客户端工具有很多种，目前比较流行的有,LDAPExplorerTool,、,LDAPBrowers,等等。,LDAPExplorerTool,工具下载地址：,遵循标准的高强度非对称加密算法,遵循,X.509 V3,证书标准,遵循,HTTP1.1,协议标准,遵循,XML,标准,遵循国际电联,ASN.1,编码规则,遵循,CMP,标准,39,OCSP,工作原理,40,OCSP,接口函数

14、INT CheckCertFromOcspServer,（,char,*Ip,int,port,char,*CaCert,char,*UserCert,);,参数说明：,Ip:ocsp server,地址,Port:ocsp server,端口,CaCert,：,CA,证书,UserCert,：被查询的用户证书,41,小结,南京市,CA,分中心系统,LDAP/OCSP,采用标准技术架构,建议大部分应用通过访问,LDAP,获取证书验证信息,特定应用可采用,LDAP/OCSP,混合验证证书,LDAP/OCSP,的,作用,是给用户,开放,针对南京市,CA,分中心颁发的数字证书进行验证所,必须的资源

15、42,MS CAPI/PKCS#11,标准和开发介绍,43,USB Key,软件架构,44,基于,MS CAPI,的具体实现,45,基于,MS CAPI,的具体实现,提供基于,cKey,加密算法的,CSP,应用程序不能直接与,CSP,进行通讯,应用程序通过调用,CryptoAPI,接口函数来与,CSP,进行通讯,46,基于,MS CAPI,的具体实现,CAPI,函数的具体说明在,MSDN,上可以查到。,47,基于,PKCS#11,的具体实现,48,系统二次开发接口,49,CKey619 SDK,函数说明,CKey619 SDK.chm,50,总 结,51,总结,针对应用，南京市,CA,分中心系统均采用标准技术架构,LDAP V3,标准,CSP/PKCS#11,标准,52,总结,针对特定应用，例如：数字签名、网页签章等等,我们将提供,C,编写的,SDK,开发包供用户调用,53,总结,应用系统进行证书嵌入改造过程中，,难点,和,工作量,不体现在程序的开发上，而在于现有系统配置上。,SSL,的启用和配置,54,谢谢大家！,55,讨 论,56,