江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料2023/5/27江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料提綱數(shù)字證書基礎(chǔ)介紹 --20分鐘南京CA分中心系統(tǒng)設(shè)計(jì) --10分鐘LDAP/OCSP標(biāo)準(zhǔn)和開發(fā)接口 --10分鐘MSCAPI/PKCS#11標(biāo)準(zhǔn)和開發(fā)接口 --20分鐘系統(tǒng)二次開發(fā)接口 --30分鐘總結(jié)江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料數(shù)字證書基礎(chǔ)介紹江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料數(shù)字證書基礎(chǔ)

PKI（公開密鑰基礎(chǔ)設(shè)施）是通過使用公鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全，進(jìn)行數(shù)據(jù)加密和用戶身份驗(yàn)證的體系。--對稱算法--非對稱算法--摘要算法--算法應(yīng)用全過程

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料對稱算法原理。

相同江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料對稱算法問題

對于實(shí)際應(yīng)用而言，問題是如何管理這些對稱密鑰并保證其安全性。

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料非對稱算法原理

不同江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料加密方式比較

對稱非對稱密鑰數(shù)量單個(gè)Key一對Key型態(tài)Key必須保密一個(gè)是公開的Key，一個(gè)是私用的Key管理簡單，但不容易管理需要數(shù)字證書和CA加密速度非?？燧^快應(yīng)用用于大量資料的加密處理用于特定需求，處理小量資料的加密和簽名江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料摘要算法原理用來辨別數(shù)據(jù)是否被篡改將數(shù)據(jù)通過摘要算法產(chǎn)生輸出結(jié)果產(chǎn)生的結(jié)果為固定長度，通常為128或160bits--不同輸入長度，相同輸出長度--數(shù)字摘要不可能編造出相同摘要的數(shù)據(jù)文件文件中任一單元被修改，摘要結(jié)果大不相同江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料摘要算法應(yīng)用使用摘要算法的作用：用來檢驗(yàn)數(shù)據(jù)的完整性用來產(chǎn)生簽章的數(shù)據(jù)源江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料算法應(yīng)用全過程數(shù)字信封江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料算法應(yīng)用全過程江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料小結(jié)

PKI的作用：--機(jī)密性

--真實(shí)性--身份認(rèn)證--不可否認(rèn)江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料南京市CA分中心系統(tǒng)設(shè)計(jì)江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料南京市CA分中心系統(tǒng)設(shè)計(jì)原則設(shè)計(jì)原則安全保密第一原則技術(shù)安全和管理安全并重原則準(zhǔn)確了解保護(hù)對象原則多層次多安全單元保護(hù)防范原則責(zé)任與風(fēng)險(xiǎn)分散和最小授權(quán)原則綜合性全方位和統(tǒng)一的保護(hù)與防范原則用戶使用方便原則不斷發(fā)展的動態(tài)原則

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料南京市CA分中心系統(tǒng)體系結(jié)構(gòu)江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料南京市CA分中心系統(tǒng)說明南京市CA分中心采用雙證書體系頒發(fā)的證書類型--個(gè)人證書--單位證書--設(shè)備證書頒發(fā)的證書遵循X.509V3標(biāo)準(zhǔn)江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料數(shù)字證書內(nèi)容江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料數(shù)字證書內(nèi)容江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料CRL列表具體內(nèi)容江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料應(yīng)用架構(gòu)

LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)準(zhǔn)江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料證書應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)

證書開發(fā)接口是為應(yīng)用程序開發(fā)者提供安全平臺接口，提供1024/128位強(qiáng)度的加密算法，任何使用政務(wù)證書的應(yīng)用系統(tǒng)都可以通過接口實(shí)現(xiàn)集成，所有的功能和機(jī)制都由該接口實(shí)現(xiàn)（包括證書驗(yàn)證，黑名單查詢等）。提供的接口包括：OCSP/LDAP/CSP/PKCS#11/CKeySDK，提供的接口支持Windows,Linux,Unix等平臺。

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國家密碼行業(yè)相關(guān)要求進(jìn)行建設(shè)的應(yīng)用系統(tǒng)在進(jìn)行證書嵌入改造過程中，可以分為兩個(gè)層次，即服務(wù)器端和客戶端服務(wù)器端接口部分，南京市CA分中心遵循LDAPV3標(biāo)準(zhǔn)客戶端接口部分，南京市CA分中心遵循MSCAPI/PKCS#11標(biāo)準(zhǔn)江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料LDAP/OCSP標(biāo)準(zhǔn)和開發(fā)接口介紹江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料LDAP概念LDAP（輕量目錄訪問協(xié)議）的英文全稱是LightweightDirectoryAccessProtocol。它是基于X.500標(biāo)準(zhǔn)的，但是簡單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP。LDAP最大的優(yōu)勢是：可以在任何計(jì)算機(jī)平臺上，用很容易獲得的而且數(shù)目不斷增加的LDAP的客戶端程序訪問LDAP目錄。而且也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。

LDAP協(xié)議是跨平臺的和標(biāo)準(zhǔn)的協(xié)議。LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)。

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料LDAP概念

LDAP（LightweightDirectoryAcessProtocol）是目錄服務(wù)在TCP/IP上的實(shí)現(xiàn)（RFC1777V2版和RFC2251V3版）。它是對X500的目錄協(xié)議的移植，但是簡化了實(shí)現(xiàn)方法，所以稱為輕量級的目錄服務(wù)。在LDAP中目錄是按照樹型結(jié)構(gòu)組織，目錄由條目（Entry）組成，條目相當(dāng)于關(guān)系數(shù)據(jù)庫中表的記錄；條目是具有區(qū)別名DN（DistinguishedName）的屬性（Attribute）集合，DN相當(dāng)于關(guān)系數(shù)據(jù)庫表中的關(guān)鍵字（PrimaryKey）；屬性由類型（Type）和多個(gè)值（Values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫中的域（Field）由域名和數(shù)據(jù)類型組成，

只是為了方便檢索的需要，LDAP中的Type可以有多個(gè)Value，而不是關(guān)系數(shù)據(jù)庫中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個(gè)域必須是不相關(guān)的。LDAP中條目的組織一般按照特定關(guān)系進(jìn)行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫，而不是關(guān)系數(shù)據(jù)庫。LDAP協(xié)議集還規(guī)定了DN的命名方法、存取控制方法、搜索格式、復(fù)制方法、URL格式、開發(fā)接口等。

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料LDAP遵循標(biāo)準(zhǔn)RFC2251–LightweightDirectoryAccessProtocol(v3)RFC2252–LDAP(v3):AttributeSyntaxDefinitionsRFC2253–LDAP(v3):UTF-8StringRepresentationofDistinguishedNamesRFC2254–StringRepresentationofLDAPSearchFiltersRFC2255–TheLDAPURLFormatRFC2256–ASummaryofX.500(96)UserSchemaforusewithLDAP(v3)RFC2829–AuthenticationMethodsforLDAPRFC2830–LDAP(v3):ExtensionsforTransportLayerSecurity江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料LDAP接口函數(shù)定義1．LDAP*

ldap_init(

PCHAR

HostName,

ULONG

PortNumber);參數(shù)說明：HostName：LDAP服務(wù)器IP地址PortNumber：LDAP服務(wù)器端口號2．ULONGldap_simple_bind_s(

LDAP*ld,

PCHARdn,

PCHARpasswd);

參數(shù)說明：ld：Sessionhandledn：用戶DN，可以為NULLpasswd：可以為NULL江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料LDAP接口函數(shù)3.ULONGldap_search_s(

LDAP*ld,

UNICODEPTCHARbase,

ULONGscope,

UNICODEPTCHARfilter,

UNICODEPTCHARattrs[],

ULONGattrsonly,

LDAPMessage**res);參數(shù)說明：ld：Sessionhandle dn：查找項(xiàng) scope：查找域，可以為LDAP_SCOPE_SUBTREE filter：過濾項(xiàng) attrs[]：其他屬性值 attrsonly：是否返回值 res：LDAP服務(wù)器返回值江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料LDAP接口函數(shù)4．LDAPMessage*ldap_first_entry(LDAP*ld,LDAPMessage*res);參數(shù)說明：

ld：Sessionhandle

res：查找返回結(jié)果

5．structberval**ldap_get_values_len(LDAP*ExternalHandle,LDAPMessage*Message,UNICODEPTCHARattr );參數(shù)說明：

ExternalHandle：Sessionhandle Message：ldap_first_entry返回的結(jié)構(gòu)attr：指定返回類型

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料南京市LDAP構(gòu)架

“推”方式“拉”方式江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料南京市LDAP配置

服務(wù)器IP地址端口，注意：不是389匿名登錄江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料南京市LDAP配置CRL列表江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料南京市LDAP配置江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料LDAP客戶端及開發(fā)工具

LDAP所支持的客戶端工具有很多種，目前比較流行的有LDAPExplorerTool、LDAPBrowers等等。LDAPExplorerTool工具下載地址：/

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料OCSP概念在線證書狀態(tài)協(xié)議（OCSP）是維持服務(wù)器和其他網(wǎng)絡(luò)資源安全的兩種常用方案中的一種。另一種更老的方式（某種程度上被OCSP所替代）是證書注銷列表（CRL）。OCSP克服了CRL主要的限制：必須在客戶端頻繁地下載更新數(shù)據(jù)，才能保證列表的當(dāng)前性。當(dāng)用戶試圖訪問某服務(wù)器時(shí)，OCSP會發(fā)送一個(gè)證書狀態(tài)信息的請求。服務(wù)器返回一個(gè)“當(dāng)前”、“終止”或“未知”的回復(fù)。該協(xié)議規(guī)定了在服務(wù)器（它包含證書狀態(tài)）與客戶應(yīng)用程序（它被告知狀態(tài)）之間傳遞信息的語法。OCSP給與使用已終止的證書的用戶一定的寬限期，這樣他們在重新申請前可以在一定時(shí)間內(nèi)訪問服務(wù)器。江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料OCSP遵循標(biāo)準(zhǔn)

遵循OCSPv1、OCSPv2標(biāo)準(zhǔn)協(xié)議遵循標(biāo)準(zhǔn)的高強(qiáng)度非對稱加密算法遵循X.509V3證書標(biāo)準(zhǔn)遵循HTTP1.1協(xié)議標(biāo)準(zhǔn)遵循XML標(biāo)準(zhǔn)遵循國際電聯(lián)ASN.1編碼規(guī)則遵循CMP標(biāo)準(zhǔn)

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料OCSP工作原理江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料OCSP接口函數(shù)INTCheckCertFromOcspServer（

char*Ip,

intport,

char*CaCert,

char*UserCert);參數(shù)說明：

Ip:ocspserver地址Port:ocspserver端口 CaCert：CA證書 UserCert：被查詢的用戶證書江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料小結(jié)南京市CA分中心系統(tǒng)LDAP/OCSP采用標(biāo)準(zhǔn)技術(shù)架構(gòu)建議大部分應(yīng)用通過訪問LDAP獲取證書驗(yàn)證信息特定應(yīng)用可采用LDAP/OCSP混合驗(yàn)證證書LDAP/OCSP的作用是給用戶開放針對南京市CA分中心頒發(fā)的數(shù)字證書進(jìn)行驗(yàn)證所必須的資源

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料MSCAPI/PKCS#11標(biāo)準(zhǔn)和開發(fā)介紹江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料USBKey軟件架構(gòu)江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料基于MSCAPI的具體實(shí)現(xiàn)江蘇省電子政務(wù)證書認(rèn)證