（计算机软件与理论专业论文）pki中ldap服务的研究与实现.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体己经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：越, v - 弦v v 日期：型鱼篷主! 些 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：! 拯蛛师签名： ! 堕盔兰堡圭兰堡笙苎 p k i 中l d a p 服务的研究与实现 学生：曲美霞 导师：扬志敏教授 摘要 l d a p ( l i g h t w e i g h td i r e c t o r y a c c e s sp r o t o c 0 1 ) 是在x 5 0 0 基础上发展起来的， 用在i n t e r a c t 和i n t r a n e t 之间实现网络信息快速访问的目录访问协议，它采用简 化的目录结构和目录访问方法，提供了不同目录、不同用户和目录之间进行信息 交流的标准方法。按照此协议实现的服务器为l d a p 服务器，它是c a 的重要组 成部分，可以存储p k i 证书系统产生的新证书和证书撤销列表c r l ( c e r t i f i c a t e r e v o c a t i o n l i s t ) 。一个目录服务器是一个单纯的目录服务程序，可以实现证书的 查询、添加、删除等基本的目录服务。但是在实际应用中，除了要求提供基本的 目录服务之外还需要对目录服务器的运行配置进行修改，以实现对目录服务器的 运行配置，从而组成一个完整的目录服务。 论文以p k i 为基础框架，按照r f c 2 2 5 1 的协议规定，对l d a p 的相关知识 和协议模型进行了分析和介绍。结合实际的需要，基本的目录服务采用了 o p e n l d a p 开发的目录服务软件s l a n ，它运行于l i n u x 下。对于配置目录服务的 运行设置，改变以前的比较原始的必须到目录服务器去修改运行配置文件的方 法，论文采用了基于s o c k e t 的t c p 网络编程，在不同的系统下给用户提供图形 界面远程设置目录服务器的运行配置文件，真正实现了一个完整的目录服务。 论文分三部分，第一部分以p k i 基础框架为基础介绍了p k i 的组成，从而介 绍c a 的证书库及相关技术。第二部分针对实现证书库的l d a p 协议对l d a p 的相关理论和协议模型进行了详细介绍。第三部分针对实际应用需要，对完整的 l d a p 服务进行了讨论，通过采用s o c k e t 网络编程对远程控制目录服务运行配置 给出了解决方法和实现步骤。 论文给出了在不同的系统环境下实现对目录服务器配置文件进行重新修改的 完整实现。改变了原始的修改配置文件的方法，完成了远程控制目录服务器的运 行配置，对将来开发基于目录服务的管理服务器都有很好的指导作用。 关键宇：目录；l d a p ；s o c k e t ；t c p f l p ；l d a p 服务 山东大学硕士学位论文 r e s e a r c ha n di m p l e m e n t a t i o no fl d a ps e r v i c e i np k i g r a d u a t es t u d e n t ：o um e i x i a t u t o r ：p r o f y a n gz h i l i n a b s t r a c t l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) i sw i d e l yu s e df o rt h ef a s ta n d h i g h l ye f f i c i e n ta c c e s st ot h ei n t e r n e ta n di n t r a n e ta sa na c c e s sp r o t o c o ld e v e l o p e do n t h eb a s eo f t h ex 5 0 0 。i tp r o v i d e st h es t a n d a r dm e t h o do f t h ec o m m u n i c a t i o nb e t w e e n d i f f e r e n td i r e c t o r i e sa n dt h ec o m m u n i c a t i o nb e t w e e nd i f f e r e n tu s e r sa n dd i r e c t o r i e s b y u s i n g t h es i m p l i f i e d d i r e c t o r ys t r u c t u r ea n dd i r e c t o r ya c c e s sm e t h o d 。l d a p d i r e c t o r y s e r v e ri st h em a i n c o m p o n e n t o fc a a c c o r d i n g t ot h el d a p p r o t o c o l ，i tc a t lb eu s e dt o s t o r et h ec e r t i f i c a t e sa n d c r l ( c e r t i f i c a t er e v o c a t i o nl i s t ) 。b u to n el d a p d i r e c t o r y s e r v e ri so n l yap u r ed i r e c t o r ys e r v e r ，i tc a n _ f u l f i l lt h eb a s i cd i r e c t o r y o p e r a t i o ns u c h a ss e a r c h 、a d d 、d e l e t e d i r e c t o r ys e r v i c e s 。a c c o r d i n g t ot h ep r a c t i c a ld e m a n d ，u s e r sa l s o n e e dm o d i f yt h ec o n f i g u r a t i o nf i l eo f t h e d i r e c t o r ys e r v e r 。b a s i cd i r e c t o r yo p e r a t i o n s a n dm o d i f i c a t i o nf o rt h ec o n f i g u r a t i o nf i l eb yt h er e m o t eu s e r si nt h ed i f f e r e n ts y s t e m c o n s i s to f t h eo v e r a l ld i r e c t o r ys e r v i c e 。 t h i sp a p e ra n a l y z e st h el d a p t h e o r ya n dp r o t o c o lm o d e la c c o r d i n gt ot h er f c 2 2 51o nt h eb a s eo ft h eo v e r a l ls t r u c t u r eo f p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 。i nt h e p r a c t i c a ld e m a n d , t h i sp a p e ru s e st h eo p e n l d a ps o f t w a r et op r o v i d et h eb a s i cd i r e c t o r y s e r v i c ew h i c hr u ni nt h el i n u x 。t h i s p a p e ra l s ou s e st h et c pn e t w o r kp r o g r a m m i n g b a s e do nt h es o c k e t t e c h n o l o g y t o i m p l e m e n tt h er e m o t em o d i f i c a t i o nf o rt h e d i r e c t o r ys e r v e r sc o n f i g u r a t i o nf i l ei nt h ed i f f e r e n ts y s t e mf o rt h er e i n o t eu s e r s ，t h i s m e t h o dc a nc h a n g et h ep r i m i t i v em e t h o dt h a tr e m o t eu s e r sm u s t g ot ot h ed i r e c t o r y s e r v e rt om o d i f yt h e c o n f i g u r a t i o nf i l e 。s ow ec a l lg e ta no v e r a l ld i r e c t o r ys e r v i c e 。 t h i sp a p e rc o n s i s t so ft h r e es e c t i o n s 。a c c o r d i n gt oh ep k i s t r u c t u r e f i r s ts e c t i o n i n t r o d u c e st h ec o m p o n e n to ft h ep k ia n dt h ec e r t i f i c a t ed a t a b a s eo f t h ec a 。s e c o n d s 。c t i o ni sm a d e u po f t h el d a pb a s i ct h e o r i e sa n d p r o t o c o lm o d e l ；a c c o r d i n gt ot h e ， 山东大学硕士学位论文 p r a c t i c a ld e m a n d ，t h i sp a p e rd i s c u s s e st h eo v e r a l ll d a ps e r v i c e ，i ta l s og i v e st h e s o l u t i o na n dt h ei m p l e m e n t a t i o nt or e m o t ec o n t r o lf o rt h ec o n f i g u r a t i o nf i l eb yu s i n g t h es o c k e tn e t w o r k p r o g r a m m i n gt e c h n o l o g y i nt h et h i r ds e c t i o n 。 t h i sp a p e rp r o v i d e sam e t h o da n di m p l e m e n t a t i o no f m o d i l y i n gt h ec o n f i g u r a t i o n f i l et ot h es l a p d ( t h ed i r e c t o r ys e r v e r ) i nad i f f e r e n tp l a t f o r m 。t h i sm e t h o d c h a n g e st h e p r i m i t i v em e t h o df o rc h a n g i n gt h ec o n f i g u r a t i o nf i l e a n di m p l e m e n t st h er e m o t e c o n t r o lt oad i r e c t o r ys e r v e r 。a l lo ft h i sw i l l g i v e a ni n s t r u c t i o n a l h e l pt o t h e i m p l e m e n t a t i o no f a n a d m i n i s t r a t i v es e r v e ri nt h ef u t u r e 。 k e yw o r d s ：d i r e c t o r y ；l d a p ；s o c k e t ；t c p i p ；l d a p s e r v i c e 3 山东大学硕士学位论文 1 1 序言 第1 章绪论 在信息化社会中，计算机通信网络在政治、军事、金融、商业、交通、电信、 文教等各个领域的作用日益增大。社会对计算机网络的依赖性也日益增强。尤其 是计算机技术和通信技术结合所形成的信息基础设旌建设，它已经成为反应信息 社会特征的最重要的标志。人们也建立了各种完备的信息系统，这些信息系统必 须通过计算机网络接受和处理信息，实现其相互间的联系、通信和对目标的管理 控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网 络正在逐步改变人们的工作方式和生活方式，成为当今社会发展的一个主题。随 着网络的开放性、共享性和互联程度扩大，特别是i n t e m e t 的出现，网络的重要 性和对社会的影响也越来越显著。随着网络上各种新业务的兴起，如电子商务 ( e l e c t r o n i cc o m m e r c e ) 、电子现金( e l e c t r o n i cc a s h ) 、数字货币( d i g i t a lc a s h ) 、网 络银行( n e t w o r kb a n k ) 等，以及各种专用网的建设，如金融网等，使得安全问题 显得越来越重要 所以网络的安全性和可靠性将成为世界各国共同研究的焦点。 1 2 系统的网络安全威胁 计算机网络的发展，使信息共享应用日益广泛。但是信息在公共通信网络上 存储、共享和传输，会被非法窃听、截取、篡改或毁坏而导致不可估量的损失。 尤其是银行系统、商业系统、管理部门、政府或军事领域对公共通信网络中的存 储与传输的数据安全问题更为关注。如果因为安全因素使得信息不敢放在 i n t e m e t 这样的公共网络，那么办公效率及资源的利用率都会受到影响。甚至使 得人们丧失了对i n t e m e t 及信息高速公路的信赖。 首先，网络提供了资源的共享性、用户使用的方便性，通过分布式处理提高 了系统效率和可靠性，并且还具有可扩充性。另一方面，正是这些特点增加了网 络受攻击的可能性。对网络的威胁来自很多方面，并且随着时间的变化而变化。 在过去的十几年中，网络黑客一直在通过计算机的漏洞来对计算机系统进行攻 山东大学硕士学位论文 击。而且攻击的方法越来越复杂。1 9 8 8 年，大部分入侵者的方法仅仅是猜口令、 利用系统的配置不当，以及系统上软件本身的漏洞。到了1 9 9 4 年，这些方法仍 被使用，但又增加了新的方法。有些入侵者甚至通过读操作系统源代码的方法来 获取系统的漏洞，并以此展开对系统的攻击。一些网络黑客编写的攻击站点的工 具软件，在i n t e m e t 上也可以很容易地得到，这就给网络安全带来了更严峻的挑 战。 网络威胁是指对网络构成威胁的用户、事物、想法、软件等。网络威胁会利 用系统暴鼹的要害或弱点，导致网络信息的保密性、完整性和可用性程度下降， 造成不可估量的经济和政治上的损失。当前主要的威胁来自以下几个方面： 自然灾害、意外事故； 计算机犯罪； 人为行为，比如使用不当、安全意识差等； “黑客”行为，由于黑客的入侵或侵扰，比如非法访问、拒绝服务、计算机 病毒、非法链接等： 内部泄密； 外部泄密； 信息丢失： 电子谍报，比如信息流量分析和信息窃取等等。 信息战； 网络协议中的问题等，如网络协议t c p i p 协议的安全问题等。 1 3 网络安全防护措施 面对如此严重危害计算机网络的种种威胁和计算机网络安全，必须采取有力 的措施来保证计算机网络的安全。网络上的安全措施一般分为物理上的、逻辑上 的、政策上的： ( 1 ) 物理上：网络安全首先要保障网络上信息的物理安全。物理安全是指在 物理介质层次上对存储和传输的信息的安全保护。系统整个设计采用防 害措施，采用防电、防水、辐射防护、安装监视系统等。 ( 2 ) 政策上：健全系统使用的规章制度、采用严格的法律、法规进行规范和 山东大学颈士学位论文 打击网络犯罪。 ( 3 ) 逻辑上：研究开发有效的网络安全技术，提高系统的软件和硬件可靠性， 采用不同的安全机制，提供全方位的完善的安全服务。例如安全协议、 密码技术、数字签名、防火墙、安全管理、安全审计等，以防止网络上 传输的信息被非法窃取、篡改、伪造，保证其保密性( s e c r e c y ) 和完整性 ( i n t e g r i t y ) ：防止非法用户( 或程序) 的侵入，限制网络上用户( 或程序) 的 访问权限，保证信息存放的私有性( p r i v a c y ) 。除了私有性和完整性之外， 个安全的计算机网络还必须考虑通信双方的身份真实性( a u t h e n t i c i t y ) 和信息的可用性( a v a i l a b i l i 妫。 1 4 电子商务中的安全问题 1 4 1 电子商务技术 电子商务( e c o m m e r c e ) 是通过网络进行电子支付来得到信息产品或者得到传 递实物产品的承诺，是指商务流程的电子化。它涉及到金融机构、供应商、批发 商、制造厂商和消费者等各个方面，概括起来，即商家、银行和用户和证书机构 四个方面。目前以i n t e m e t 为基础的新代的电子商务可以利用世界范围连通的、 可交互的、无中心管理机构的i n t e m e t 发展业务。电子商务包括内容管理( c o n t e n t m a n a g e m e n t ) 、协同作_ q k ( c o l l a b o r a t i o n ) 和电子商贸( c o m m e r c e ) 。电子商务构架 由三个主要部分组成即解决方案，应用基础和基础设施( 客户机、联网、服务器、 企业集成、系统管理、安全) 在电子商务中最重要的一个问题就是保证i n t e m e t 上交易安全的可靠性和匿 名性，其中可靠性和安全性是相联系的，可靠性需要安全性来提供认证、完整性 和不可否认性。可靠性不等于安全性，服务器上的可靠协议对攻击者和用户都提 供可靠服务。匿名意味着某个参与交易的实体的真实身份与信息不关联，可以保 证个人隐私，但也存在着其他的威胁。 现代电子商务是建立在i n t e m e t 基础上的，由于i n t e m e t 是一个公用的网络， 是不安全的又是不可信的，所以无论是产品的销售者和消费者都面临着许多的安 全威胁，涉及到许多需要解决的安全问题。 山东大学硕士学位论文 1 4 2 电子商务中的安全要求与技术 安全性是发展电子商务韵一个决定性的因素，消费者和销售者对电子商务都 提出了要求，主要包括： 销售者 能鉴别消费者身份的真实性和能获得消费者对商品和服务付款的能力。 有效的争议解决处理机制，如果消费者收到商品和服务却说没有收到时，销 售者能够提供有效的证据来解决争议，提供解决之道。 消费者 能对销售者的身份进行鉴别，以保证消费者进行交易的对方就是消费者所希 望的银行、销售商等，而不是一个欺骗者。 能保证消费者的个人隐私和机密信息不被泄鼯给未经授权的入。 提供有效的争议解决机制，如果消费者为商品和服务提供了付款之后，没有 收到商品时可以为销售者提供有效的证据，解决争议。 所以一个电子商务需要提供： ( 1 ) 安全的支付机构：能够提供各种支付信息的传递和处理，同时要提供交 易双方的保密信息的分配。 ( 2 ) 提供不可否认商业交易：可以通过对各种信息源的签名和认证技术来实 现。 ( 3 ) 保证经过的i n t e m e t 的传递的数据的完整性，可以通过数据完整性和保密 业务来实现。 ( 4 ) 可信赖机构，如c a 中心。 1 5 论文课题的提出和意义 在信息化高速发展的今天，需要构建一个安全的信息基础乎台，为电子商务 提供良好的应用环境。p k l ( p u b l i ck e y i n 触s t m c t u r c ) 正好满足了这个要求，它是 山东大学颈士学位论文 信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电 子商务、电子政务、电子事务等活动缺少物理的接触，因而使得用电子方式验证 信任关系变得至关重要。而p k i 技术恰好是一种适用于电子商务、电子政务、电 子事务的密码技术，它能够有效地解决电子商务应用中的机密性、真实性、完整 性、不可否认性和存取控制等安全问题。 p k i 技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施， 其中c a 认证中心是p k i 的核心组成部分，它的功能主要是为网上各种实体颁发 证明自己身份的电子证书，同时负责在使用中检验和管理证书。它是电子商务、 电子政务、网上银行、网上证券等网上交易具有权威性、可信任性以及公正性的 第三方机构。c a 中心由若干个服务器组成，其中用来存放证书和用户信息的是 l d a p 服务器。l d a p 服务器提供目录浏览服务，负责将登记中心服务器传输过 来的用户信息以及数字证书加入到服务器上。这样可以访问l d a p 服务器查看有 关证书信息，但是一个纯粹的l d a p 目录服务器( 在实际应用采用的是o p e n l d a p 的s l a p d 目录服务器) 仅仅提供了一个简单的目录查询和添加、删除信息结点的 操作，但是在实际应用中，用户可能需要对运行的目录服务进行重新的运行配置。 原始的目录服务器的运行配置还是需要到提供目录服务的目录服务器端去，找到 配置文件然后手动进行配置修改，这给远程的用户和不同的环境下的用户造成了 不便。论文中提出了实现一个管理服务功能简化了原始的服务器配置操作，采用 了基于s o c k e t 的t c p 网络编程技术，可以实现远程用户在本地通过o u i 来完成 对远程的目录服务器的配置文件的修改。 1 6 论文的组织结构 论文分三个部分： 介绍有关p k i 技术及其组成部分，引出组成c a 的证书库以及支持技术。 介绍有关的组成c a 的l d a p 服务器的相关知识和技术。按照r f c 2 2 5 1 的协议 规定，介绍l d a p 协议，l d a p 服务器应用。提出了论文课题要考虑和解决的问 题。 针对论文中提出的问题，结合实际的应用需求给出了实现完整的l d a p 服 9 山东大学硕士学位论文 务的设计方案。 论文针对实际需要提出了实现一个远程控制管理服务器的技术和方法，采 用了基于s o c k e t 的t c p 网络编程技术，对目录服务器的运行配置文件进行远程 的修改配置，从而解决了论文中给出的问题，真正实现了完整的目录服务。 山东大学硕士学位论文 第2 章轻量目录访问协议一l d a p 随着i n t r a n e t 的崛起和l d a p ( l i g h t w e i g h td i r e c t o r y a c c e s sp r o t o c 0 1 ) 的开发， 基于目录的各种网络应用越来越多，在x 5 0 9 公钥体系结构中，建议p k i ( 公钥 基础设施) 的组成部分c a 采用l d a p ( $ 至量- 目录访问协议) 目录服务器来存储 所有用户的证书和证书撤销列表，因为它具有很好的可扩展性和中央管理功能。 2 1 公钥基础设施( p k i ) p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) r 1 1 ”公开密钥基础设旖”，是利用公开密钥理论和 技术建立的提供安全服务的基础设旌。他是一种遵循既定标准的密钥管理平台， 能够为所有的网络应用提供加密和数字签名等密码服务所必需的密钥和证书管 理体系，是信息安全技术的核心。同时它能够很好的构建一个安全的信息基础平 台，为电子商务、电子政务和电子政务提供良好的应用环境，从而也是电子商务 的关键和基础技术。 2 1 i p k i 的基本组成部分 p k i 系统是由认证机构( c a ) 、注册机构( r a ) 、数字证书库、密钥备份及恢 复系统、证书撤销系统、应用程序接口等基本组成部分组成。 ( 1 ) 认证机构c a ( c e r t i f i c a t i o n a u t h o r i t y ) 证书机构c a 是p k i 的信任基础，它管理公钥的整个生命周期，其作用包括： 发放证书、规定证书的有效期和通过发布证书废除列表( c r l ) 确保必要时可以 废除证书。 ( 2 ) 注册机构r a ( r e g i s t r ya u t h o r i t y ) 尽管注册的功能可以直接由c a 来实现，专门用一个单独的机构即注册机构 ( r a ) 来实现注册功能是很有意义的。r a 的主要目的是分担c a 的部分功能 以增强可扩展性并且降低运营成本。 r a 的主要功能是接受证书的申请，验证申请者的身份：向c a 提出证书申请； 从证书资料库中获得证书和c r l ：产生证书撤销的要求；将证书发给证书的持 山东大学硕士学位论文 有者。 ( 3 ) 证书撤销系统 在现实环境中，必须存在一种机制来撤销c a 签发的证书。通常的原因包括 用户身份的改变，私钥遭到破坏，证书过期等。p k i 系统中通过对c r l ( i t 正书撤 销列表) 的访问来实现告知用户哪些证书还可以使用，哪些证书不能继续使用。 ( 4 1 密钥备份及恢复系统 在任何p k i 中，都会有一定的用户丢失他们的私钥，p k i 采用了密钥的备份 和恢复来将因为私钥的丢失造成的损失减低到最小程度。 ( 5 】数字证书库 证书资料库用于存储已经颁发的证书，它必须是某种稳定可靠的、规模可扩 充的在线的资料库系统，用户可以由此获得所需要的其他用户的证书及公钥。 2 1 2 p k i 证书库功能 证书是数字证书或电子证书的简称，它符合x 5 0 9 标准，是网上实体身份的 证明。证书是由具备权威性、可信任性和公正性的第三方机构签发的，因此，它 是权威性的电子文档。 在p k i 系统中，证书系统生成证书后，要将合法的证书发布或者c r l ( 证书 撤销列表) 发布到数据仓库中，证书的使用者再从数据仓库中获取证书或者是 c r l 。 证书库是c a 颁发证书和撤销证书的集中存放地，可供用户进行开放式查询。 一般来说，查询的目的有两个：其一是想得到与之通信实体的公钥：其二是要验 证通信对方的证书是否已经进入”黑名单”。证书库可以支持分布式存放，即可以 采用数据库复制技术，将c a 签发的证书中与本组织有关的证书和证书撤销列表 存放到本地，以提高证书的查询效率，减少向总目录查询的瓶颈。 2 1 2 1 证书格式 ( i ) x 5 0 9v 3 数字证书 2 山东大学硕士学位论文 公钥证书将公钥和其所有者捆绑在一起。现在已经存在许多的公钥证书，但 是被普遍接受和使用的是i t u - t 推荐并定义的x 5 0 9v 3 ( 第三版) 标准的证书 格式。在建立p k i 时，采用x 5 0 9v 3 证书是非常重要的，因为统一格式可以保 证r k i 之间的互操作性。同时，x 5 0 9v 3 还定义了证书扩展标准，又使得x 5 0 9 v 3 公钥证书具有一定的灵活性。 ( 2 ) 证书格式 互联网工程任务小组 e t e 在r f c 2 4 5 9 中定义的x 5 0 9 v 3 证书格式是由 a s n 1 ( a b s t r a c ts y n t a xn o t a t i o no n e 抽象语法符号1 ) 定义的，由a s n 1 可区 分编码规则d e r ( d i s t i n g u i s h e de n c o d i n gr u l e s ) 进行编码。a s n 1d e r 编码规 则对每一个对象采用标签，长度和值的格式进行编码。 x 5 0 9v 3 证书的各个字段定义如下： ( 1 ) v e r s i o n ( 版本号) 该字段描述了本证书的版本号。0 、1 、2 分别表示v i ，v 2 ，v 3 。 ( 2 ) s e r i a ln u m b e r ( 序列号) 由c a 赋予每个证书的一个整数，对于给定的c a 所颁发的证书，该序列号 是唯一的，因此，颁发者名称和序列号便可以唯一的确定某个证书。 ( 3 ) i s s u e r s i g n a t u r e a l g o r i t h m ( 颁发者的数字签名算法) 该字段包含的是颁发者用来对本证书进行签名的算法标识符。该字段包含了 一个子字段a l g o r i t h m i d e n t i f i e r ，用来传递算法所需要的参数。颁发者所使用的算 法必须向国际标准组织如1 s o 注册。r f c l 4 5 9 推荐使用d s a 、r s a 、e c d s a 算法，以保证互操作性。 ( 4 ) i s s u e r d i s t i n g u i s h e dn a m e ( 颁发者名称) 该字段是颁发者的全球唯一标识符，即颁发该证书的c a 的唯一的x 5 0 0 名 字。 x 5 0 0 是一个在线目录标准，它规定了每个个体的命名的方法。x 5 0 0 名字 包括如下表所示信息。( 表2 1 ) l属性内容 山东大学硕士学位论文 c n普通名字 o u机构单位 。机构 l机构的位置( 通常为城市) s t 机构所在的州 c国家 ( 5 ) v a l i d i t yp e r i o d ( 有效期限) 该字段定义证书的有效期。他由两个日期组成：不早于和不迟于。证书只有 在这两个日期之间有效。 ( 6 ) s u b j e c t d i s t i n g u i s h e d n a m e ( 主体的名称) 该字段是证书主体，即证书持有者的名字。即表明证书应该发布给谁。主体 按照x 一5 0 0 的命名标准进行存放。 ( 7 ) s u b j e c tp u b l i ck e yi n f o r m a t i o n ( 主体的公钥信息) 该字段包含的是主体的公钥和相应的算法。r f c 2 4 5 9 推荐使用d s a 、r s a 和 e c d s a 算法。 ( 8 ) i s s u e ru n i q u ei d e n t i f i e r ( 颁发者的唯一标识符) 该字段是可选的，是为名字重用而设立的。 ( 9 ) s u b j e c tu n i q u ei d e n t i f i e r ( 主体的唯一标识符) 同前一字段 ( 1 0 ) e x t e n s i o n s ( 证书扩展) x 5 0 9 v 3 证书扩展机制允许通过标准化和类的方式将证书进行扩展以包含 额外的信息，从而适应特定环境下的要求。 ( 1 1 ) i s s u e r ss i g n a t u r eo i la l lt h e a b o v e 矗e l d s ( 颁发者对以上所有字段的签名1 颁发者c a 对以上所有字段进行签名，并将签名的结果存放在此。用c a 的 公钥证书验证这个签名，可以检查该证书的合法性。 此论文使用x 5 0 9v 3 证书格式。 2 1 2 2 证书库实现技术 证书库一般是基于轻量目录访问协议l d a p ( r f c 2 2 5 1 ) 或者是x 5 0 0 目录 山东大学硕士学位论文 协议的，由于l d a p 采用的是以t c p i p 为基础协议，采用简化的x 5 0 0 目录结 构和简化的目录访问方法，而且证书不需要经常更新，所以一般按照此协议来实 现证书库，其中按照l d a p 协议实现的l d a p 服务器是p k i 系统的一个重要组 成部分。 2 1 2 3 证书库的实现 l d a p 服务器提供目录浏览服务，负责将注册机构服务器传输过来的用户信 息以及数字证书加入到服务器上，同时将该证书的关键信息发布至l d a p 目录 中，该目录运行在l d a p 服务器上。这样其他用户通过访问l d a p 服务器就能 够得到其他用户的数字证书。 对于作废证书库( c r l s ) ，也把关键性的信息发布到l d a p 目录上，当证书进 行更新后，应该把更新信息发布到l d a p 目录上。 由r a 发布给l d a p 目录中的信息，在l d a p 目录服务器上，按照l d a p v 3 规定的语法进行编码。按照规定的格式进行存储、更新。进行查询时，用户需要 按照l d a p 访问协议，向服务器提交规定格式的请求，服务器作相应的处理后， 将结果返回给用户。 目录协议是建立p k i 的基础，p k i 公钥证书系统的构成是基于l d a p 目录协 议的，在构造原理上p k i 系统就是一个l d a p 服务器。 山东大学硕士学位论文 2 1 3 p k i 通用模型体系结构 图2 1p k i 体系结构图 2 2 轻量目录访问协议一- l d a p 概述 p k i 用户 目录协议是建立p k i 的基础，p k i 公钥证书系统的构成是基于l d a p 目录协 议的，在x 5 0 9 公钥体系结构中，建议c a 采用l d a p 目录服务器来存储所有用 户的证书和证书撤销列表，所以在构造原理上p k i 系统就是一个l d a p 服务器。 2 2 。1 目录概念 目录是用来保存资源( 各种用户和软硬件设旄) 信息的。目录是由一群数据 个体按照便于检索的结构组织起来的数据集合。简言之，目录是一种特殊的数据 库，它服务于各种应用程序。 目录中保存的信息一般是描述性，属性类的信息。目录访问的一般方式是读， 很少有写，目录访问主要是一些简单的更新，目录访问的目标是提供尽量快的响 应速度。 目录服务是软件、硬件、策略以及管理的集合体，目录服务包括以下几个方 山东大学硕士学位论文 面： a ) 包含在目录中的信息。 b ) 保存信息的软件服务端 c ) 存取信息的软件客户端 d ) 运行服务端，客户端软件的硬件 e ) 支撑系统，如操作系统、设备驱动等 ：f ) 连接客户端到服务器端以及各个服务器端之间的网络基础设施 g ) 策略。规定谁能访问，谁能更新，谁能存取等 h ) 维护和监视目录服务的软件 提供以目录检索服务为主要服务的服务器称为目录服务器。 目录服务器的主要技术特性： 复制策略： 在网络应用环境中，为了提高响应速度，在适当的位置设立目录服务器，构 成主从式或者是分布式目录服务器，复制策略考虑多个目录服务器之间如何 进行信息交换和同步。 安全访问： 目录服务器中存放的用户、口令、权限等是非常敏感的信息，在网络上传输 时，必须采用定的安全手段( s s l t l s s a s l ) 2 , 2 2 目录服务特点 目录服务的主要特点是： 检索功能强大，而增、删、改等数据库更新操作比较弱。因为目录服务器 是专门为了检索频率多于更新频率的数据服务而设计的。 目录中的属性类型一般是字符型的，因为它描述的主要信息是一些基于属 性的。 不支持数据库中的事务处理，免除了数据的完整性约束，大大简化了数据 操作。 净不支持数据库通用的s q l 查询接口。 山东大学硕士学位论文 2 2 3 l d a p 的产生 目录服务就是主要用来网络中的大量的用户信息的，如c a 证书等。从根本 上说他就是一个存放信息的数据库，它用来存放用户所在的组织、机构的名称、 以及个人的信息等等。由于初期的目录服务没有统一的标准，随着网络信息的逐 渐增加，网络规模的不断的扩大，网络信息的查询和网络信息的管理变得很不方 便。为了提高性能，便于使用和管理分布式应用系统中服务、资源、用户、和其 他可访问的信息，就需要以一种更清晰、更统一的方式进行组织。目录服务标准 为查询网络信息提供了手段、为网络管理提供了方便。目前的目录服务标准是 x 5 0 0 ，l d a p 等标准。 2 2 4 x 5 0 0 与l d a p x 5 0 0 协议是i s o 和c c i t t 的目录服务标准，x 5 0 0 是一个全局的分布数据 库。一个x 5 0 0 目录实体可以代表真实世界中任何一个实体。 在i s o 的x 5 0 0 标准中，定义了比较复杂的目录服务，包括目录信息模型、 名字模型、功能模型和安全模型。它将目录条目采用分层形式进行组织，支持大 量信息的查询。但是由于x 5 0 0 标准中规定目录客户端和服务器之间进行通信采 用d a p ( d i r e c t o r ya c e s sp r o t o c 0 1 ) 协议。作为一个应用层协议，d a p 需要o s i 整个协议栈的支持。在一个配置较低的环境中，对整个o s i 协议栈的支持就很困 难和复杂。所以产生了一个轻量目录访问协议一l d a p 。 l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) 是由密歇根大学开发的目录服务 和访问协议，它是以t c p i p 协议为基础协议，在i n t e m e t n t r a n e t 上就可以实现 通信，并且它去除了早期x 5 0 0 协议的一些缺点，采用简化的x 5 0 0 目录结构和 简化的目录访问方法，试图提供不同的目录、用户、管理员和目录之间的交流的 标准方法。相对于以前的d a p ( 目录访问协议) 而言称为轻量目录访问协议l d a p 。 l d a p 与5 0 0 的d a p 的区别与联系： l d a p 是基于x 5 0 0 的一个x 5 0 0 的访问机制。 l d a p 是x 5 0 0 简化的目录访问方法和目录结构。 l d a p 通信采用的是基于t c p i p 的。x 5 0 0 标准中的d a p 采用o s i 协议 山东大学硕士学位论文 栈支持。 l d a p 必须根据x 5 0 0 来提供服务，但并不是在提供服务的过程中使用 x 5 0 0 协议。 2 2 5 目录与数据库 l d a p 是一个基于t c p i p 协议基础上的一种轻量目录访问协议，此处的目 录是一种特殊的数据库。它与通常意义下的数据库是有区别的。 目录中的数据更多的是执行读和查询操作，而不是用于更新操作。目录服 务器中的数据设计更多的是为了提高读和查询的性能。 目录中的数据一般是些静态的数据信息，不被经常更新的数据。数据库 要满足查询、读和大量的更新操作。 目录不支持事务。而一般的数据库是支持事务的。 l d a p 目录中，采用更加灵活和相对简单的存取协议来操作目录。数据库 采用的是s q l 来进行存取访问。 2 2 6 l d a p 自身的发展 l d a p 的两个前身协议一d a s ( d i r e c t o r ya s s i s t a n c es e r v i c e ) 和d i x i e p r o t o c o ls p e c i f i c a t i o n 是由i e t f 作为r f c 来发布的。但是他们都是不标准的r f c 都没有作为标准来提出。 l d a pv i 刚开始是作为x 5 0 0 的前端出现的。他只是一个目录访阔协议。 并不提供单独的目录服务。要获得目录服务还是需要x 5 0 0 的目录系统代理 ( d s a ) ，所有的d s a 按照一定的规则组织起来形成一个全球的分布式的目录系 统。 由于考虑到d s a 特别复杂，所以出现了第二代的l d a p , b ol d a pv 2 。它可 以提供独立的目录服务，采用了简单的编码方式，并且在t c p i p 上实现。但是 l d a pv 2 没有提供访问控制，访问安全方面仅在绑定目录时提供了明文密码和 k e r b e m s 两种选项。其中后者通常没有实现。 后来的l d a pv 3 除了支持l d a p v 2 的所有协议元素之外，还扩展和增加了 山东大学硕士学位论文 新的功能。 r e f e r r a l ( 推荐) 一当一个服务器没有存放需要的信息时，可以将另外的服 务器的推荐返回给客户端。 s e c u r i t y ( 安全) 一扩展的认证中采用了s a s l ( s i m p l ea u t h e n t i c a t i o n a n d s e c u r i t yl a y e r ) 机制。 i n t e r n a t i o n a l i z a t i o n ( 国际性) 一一采用的u t f 8 编码机制，使用1 s o1 0 6 4 6 的国 际字符 e x t e n s i b i l i t y ( 扩展性) 新的对象和操作可以被动态的定义，模式基于一种标 准的方式定义。 目前l d a p 协议已经获得了许多的软件公司的支持。m i c r o s o f t 、