江苏省电子政务证书认证系统应用的培训材料课件.ppt

1、江苏省电子政务证书认证系统江苏省电子政务证书认证系统应用培训材料应用培训材料2006 年年 11 月月提纲提纲u数字证书基础介绍 -20分钟u南京CA分中心系统设计-10分钟uLDAP/OCSP标准和开发接口 -10分钟uMS CAPI/PKCS#11标准和开发接口 -20分钟u系统二次开发接口 -30分钟u总结数字证书基础介绍数字证书基础介绍数字证书基础数字证书基础 PKI（公开密钥基础设施）是通过使用公钥技术和数字证书来确保系统信息安全，进行数据加密和用户身份验证的体系。-对称算法 -非对称算法 -摘要算法 -算法应用全过程 对称算法原理对称算法原理。相同对称算法问题对称算法问题 对于实际

2、应用而言，问题是如何管理这些对称密钥并保证其安全性。非对称算法原理非对称算法原理 不同加密方式比较加密方式比较 对称非对称密钥数量单个Key一对Key型态Key必须保密一个是公开的Key，一个是私用的Key管理简单，但不容易管理需要数字证书和CA加密速度非常快较快应用用于大量资料的加密处理用于特定需求，处理小量资料的加密和签名摘要算法原理摘要算法原理 u用来辨别数据是否被篡改u将数据通过摘要算法产生输出结果u产生的结果为固定长度，通常为128或160bits -不同输入长度，相同输出长度 -数字摘要u不可能编造出相同摘要的数据文件u文件中任一单元被修改，摘要结果大不相同摘要算法应用摘要算法应用

3、 使用摘要算法的作用：使用摘要算法的作用：u用来检验数据的完整性u用来产生签章的数据源摘要算法作用摘要算法作用检验数据的完整性摘要算法作用摘要算法作用产生签章的数据源算法应用全过程算法应用全过程 数字信封算法应用全过程算法应用全过程 小结小结 PKIPKI的作用：的作用：-机密性机密性 -真实性真实性 -身份认证身份认证 -不可否认不可否认南京市南京市CACA分中心系统设计分中心系统设计南京市南京市CACA分中心系统设计原则分中心系统设计原则 设计原则u安全保密第一原则 u技术安全和管理安全并重原则 u准确了解保护对象原则 u多层次多安全单元保护防范原则 u责任与风险分散和最小授权原则 u综合

4、性全方位和统一的保护与防范原则 u用户使用方便原则 u不断发展的动态原则 南京市南京市CACA分中心系统体系结构分中心系统体系结构 南京市南京市CACA分中心系统说明分中心系统说明 u南京市CA分中心采用双证书体系u颁发的证书类型 -个人证书 -单位证书 -设备证书u颁发的证书遵循X.509 V3标准数字证书内容数字证书内容数字证书内容数字证书内容CRLCRL列表具体内容列表具体内容应用架构应用架构 LDAP V3LDAP V3标准标准CSP/PKCS#11CSP/PKCS#11标准标准证书应用接口设计证书应用接口设计 系统接口标准 证书开发接口是为应用程序开发者提供安全平台接口，提供1024

5、/128位强度的加密算法，任何使用政务证书的应用系统都可以通过接口实现集成，所有的功能和机制都由该接口实现（包括证书验证，黑名单查询等）。提供的接口包括：OCSP/LDAP/CSP/PKCS#11/CKey SDK，提供的接口支持Windows,Linux,Unix等平台。小结小结u南京市南京市CACA分中心严格遵循分中心严格遵循PKIPKI体系和国家密码行业体系和国家密码行业相关要求进行建设的相关要求进行建设的u应用系统在进行证书嵌入改造过程中，可以分为两应用系统在进行证书嵌入改造过程中，可以分为两个层次，即服务器端和客户端个层次，即服务器端和客户端u服务器端接口部分，南京市服务器端接口部分

6、，南京市CACA分中心遵循分中心遵循LDAP V3LDAP V3标准标准u客 户 端 接 口 部 分，南 京 市客 户 端 接 口 部 分，南 京 市 C AC A 分 中 心 遵 循分 中 心 遵 循 M S M S CAPI/PKCS#11CAPI/PKCS#11标准标准LDAP/OCSPLDAP/OCSP标准和开发接口介绍标准和开发接口介绍LDAPLDAP概念概念 LDAP（轻量目录访问协议）的英文全称是Lightweight Directory Access Protocol。它是基于X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP。LDA

7、P最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。LDAP协议是跨平台的和标准的协议。LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据。LDAPLDAP概念概念 LDAP（Lightweight Directory Acess Protocol）是目录服务在TCP/IP上的实现（RFC 1777 V2版和RFC 2251 V3版）。它是对X500的目录协议的移植，但是简化了实现方法，所以称为轻量级的目录服务。在LDAP中目录是按照树型结构组织，目录由条目（Entry）组成，条目

8、相当于关系数据库中表的记录；条目是具有区别名DN（Distinguished Name）的属性（Attribute）集合，DN相当于关系数据库表中的关键字（Primary Key）；属性由类型（Type）和多个值（Values）组成，相当于关系数据库中的域（Field）由域名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照特定关系进行组织，非常的直观。LDAP把数据存放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。LDAP协议集还规定了DN的命

9、名方法、存取控制方法、搜索格式、复制方法、URL格式、开发接口等。LDAPLDAP遵循标准遵循标准 nRFC 2251 Lightweight Directory Access Protocol(v3)nRFC 2252 LDAP(v3):Attribute Syntax DefinitionsnRFC 2253 LDAP(v3):UTF-8 String Representation of Distinguished NamesnRFC 2254 String Representation of LDAP Search FiltersnRFC 2255 The LDAP URL Format

10、nRFC 2256 A Summary of X.500(96)User Schema for use with LDAP(v3)nRFC 2829 Authentication Methods for LDAPnRFC 2830 LDAP(v3):Extensions for Transport Layer SecurityLDAPLDAP接口函数定义接口函数定义 1LDAPLDAP*ldap_init(ldap_init(PCHARPCHAR HostName,ULONGULONG PortNumber););参数说明：参数说明：HostName：LDAP服务器IP地址 PortNumbe

11、r：LDAP服务器端口号2ULONG ldap_simple_bind_s(ULONG ldap_simple_bind_s(LDAPLDAP*ld,PCHAR PCHAR dn,PCHARPCHAR passwd););参数说明：参数说明：ld：Session handle dn：用户DN，可以为NULL passwd：可以为NULLLDAPLDAP接口函数接口函数 3.ULONG ldap_search_s(3.ULONG ldap_search_s(LDAPLDAP*ld,UNICODE PTCHARUNICODE PTCHAR base,ULONGULONG scope,UNICODE

12、 PTCHARUNICODE PTCHAR filter,UNICODE PTCHARUNICODE PTCHAR attrs,ULONGULONG attrsonly,LDAPMessageLDAPMessage*res););参数说明：参数说明：ld：Session handle dn：查找项 scope：查找域，可以为LDAP_SCOPE_SUBTREE filter：过滤项 attrs：其他属性值 attrsonly：是否返回值 res：LDAP服务器返回值LDAPLDAP接口函数接口函数 4 4LDAPMessage LDAPMessage*ldap_first_entry(ldap

13、_first_entry(LDAP LDAP*ld,LDAPMessage LDAPMessage*res););参数说明：参数说明：ld：Session handle res：查找返回结果 5 5struct berval struct berval*ldap_get_values_len(ldap_get_values_len(LDAP LDAP*ExternalHandle,LDAPMessage LDAPMessage*Message,UNICODE PTCHAR UNICODE PTCHAR attr););参数说明：参数说明：ExternalHandle：Session handl

14、e Message：ldap_first_entry返回的结构 attr：指定返回类型 南京市南京市LDAPLDAP构架构架 “推推”方方式式“拉拉”方方式式南京市南京市LDAPLDAP配置配置 服务器服务器IPIP地址地址端口，端口，注意：不是注意：不是389389匿名登录匿名登录南京市南京市LDAPLDAP配置配置 CRLCRL列表列表南京市南京市LDAPLDAP配置配置 LDAPLDAP客户端及开发工具客户端及开发工具 LDAP所支持的客户端工具有很多种，目前比较流行的有LDAPExplorerTool、LDAPBrowers等等。LDAPExplorerTool工具下载地址：http:

15、/ 在线证书状态协议（OCSP）是维持服务器和其他网络资源安全的两种常用方案中的一种。另一种更老的方式（某种程度上被OCSP所替代）是证书注销列表（CRL）。OCSP克服了CRL主要的限制：必须在客户端频繁地下载更新数据，才能保证列表的当前性。当用户试图访问某服务器时，OCSP会发送一个证书状态信息的请求。服务器返回一个“当前”、“终止”或“未知”的回复。该协议规定了在服务器（它包含证书状态）与客户应用程序（它被告知状态）之间传递信息的语法。OCSP给与使用已终止的证书的用户一定的宽限期，这样他们在重新申请前可以在一定时间内访问服务器。OCSPOCSP遵循标准遵循标准 n 遵循遵循OCSPv1

16、OCSPv1、OCSPv2 OCSPv2 标准协议标准协议n 遵循标准的高强度非对称加密算法遵循标准的高强度非对称加密算法n 遵循遵循X.509 V3 X.509 V3 证书标准证书标准n 遵循遵循HTTP1.1 HTTP1.1 协议标准协议标准n 遵循遵循XML XML 标准标准n 遵循国际电联遵循国际电联ASN.1 ASN.1 编码规则编码规则n 遵循遵循CMP CMP 标准标准 OCSPOCSP工作原理工作原理 OCSPOCSP接口函数接口函数 INT CheckCertFromOcspServerINT CheckCertFromOcspServer（charchar*Ip,intin

17、t port,charchar*CaCert,charchar*UserCert););参数说明：参数说明：Ip:ocsp server 地址 Port:ocsp server 端口 CaCert：CA证书 UserCert：被查询的用户证书小结小结u南京市南京市CACA分中心系统分中心系统LDAP/OCSPLDAP/OCSP采用标准技术架构采用标准技术架构u建议大部分应用通过访问建议大部分应用通过访问LDAPLDAP获取证书验证信息获取证书验证信息u特定应用可采用特定应用可采用LDAP/OCSPLDAP/OCSP混合验证证书混合验证证书uLDAP/OCSPLDAP/OCSP的的作用作用是给用

18、户是给用户开放开放针对南京市针对南京市CACA分中分中心颁发的数字证书进行验证所心颁发的数字证书进行验证所必须的资源必须的资源 MS CAPI/PKCS#11MS CAPI/PKCS#11标准和开发介绍标准和开发介绍USB KeyUSB Key软件架构软件架构 基于基于MS CAPIMS CAPI的具体实现的具体实现 基于基于MS CAPIMS CAPI的具体实现的具体实现 u提供基于提供基于cKeycKey加密算法的加密算法的CSPCSPu应用程序不能直接与应用程序不能直接与CSPCSP进行通讯进行通讯u应用程序通过调用应用程序通过调用CryptoAPICryptoAPI接口函数来与接口函数

19、来与CSPCSP进行进行通讯通讯 基于基于MS CAPIMS CAPI的具体实现的具体实现 CAPICAPI函数的具体说明在函数的具体说明在MSDNMSDN上可以查到。上可以查到。基于基于PKCS#11PKCS#11的具体实现的具体实现 系统二次开发接口系统二次开发接口CKey619 SDKCKey619 SDK函数说明函数说明CKey619 SDK.chm总总 结结总结总结针对应用，南京市针对应用，南京市CACA分中心系统均采用标准技术架构分中心系统均采用标准技术架构 LDAP V3LDAP V3标准标准CSP/PKCS#11CSP/PKCS#11标准标准总结总结针对特定应用，例如：数字签名、网页签章等等针对特定应用，例如：数字签名、网页签章等等我们将提供我们将提供C C编写的编写的SDKSDK开发包供用户调用开发包供用户调用总结总结 应用系统进行证书嵌入改造过程中，应用系统进行证书嵌入改造过程中，难点难点和和工作量工作量不体现在程序的开发上，而在于现有系统配置上。不体现在程序的开发上，而在于现有系统配置上。SSLSSL的启用和配置的启用和配置 谢谢大家！谢谢大家！讨讨 论论