江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用的培訓(xùn)材料課件

江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料2006年11月江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)提綱數(shù)字證書基礎(chǔ)介紹 --20分鐘南京CA分中心系統(tǒng)設(shè)計(jì) --10分鐘LDAP/OCSP標(biāo)準(zhǔn)和開發(fā)接口 --10分鐘MSCAPI/PKCS#11標(biāo)準(zhǔn)和開發(fā)接口 --20分鐘系統(tǒng)二次開發(fā)接口 --30分鐘總結(jié)提綱數(shù)字證書基礎(chǔ)介紹 --20分鐘數(shù)字證書基礎(chǔ)介紹數(shù)字證書基礎(chǔ)介紹數(shù)字證書基礎(chǔ)

PKI（公開密鑰基礎(chǔ)設(shè)施）是通過使用公鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全，進(jìn)行數(shù)據(jù)加密和用戶身份驗(yàn)證的體系。

--對稱算法

--非對稱算法

--摘要算法

--算法應(yīng)用全過程

數(shù)字證書基礎(chǔ)PKI（公開密鑰基礎(chǔ)設(shè)施）是通過使用對稱算法原理。

相同對稱算法原理相同對稱算法問題

對于實(shí)際應(yīng)用而言，問題是如何管理這些對稱密鑰并保證其安全性。

對稱算法問題對于實(shí)際應(yīng)用而言，問題是如何管理這些對非對稱算法原理

不同非對稱算法原理不同加密方式比較

對稱非對稱密鑰數(shù)量單個Key一對Key型態(tài)Key必須保密一個是公開的Key，一個是私用的Key管理簡單，但不容易管理需要數(shù)字證書和CA加密速度非常快較快應(yīng)用用于大量資料的加密處理用于特定需求，處理小量資料的加密和簽名加密方式比較對稱非對稱密鑰數(shù)量單個Key一對Key型態(tài)Ke摘要算法原理用來辨別數(shù)據(jù)是否被篡改將數(shù)據(jù)通過摘要算法產(chǎn)生輸出結(jié)果產(chǎn)生的結(jié)果為固定長度，通常為128或160bits--不同輸入長度，相同輸出長度

--數(shù)字摘要不可能編造出相同摘要的數(shù)據(jù)文件文件中任一單元被修改，摘要結(jié)果大不相同摘要算法原理用來辨別數(shù)據(jù)是否被篡改摘要算法應(yīng)用使用摘要算法的作用：用來檢驗(yàn)數(shù)據(jù)的完整性用來產(chǎn)生簽章的數(shù)據(jù)源摘要算法應(yīng)用使用摘要算法的作用：摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源算法應(yīng)用全過程數(shù)字信封算法應(yīng)用全過程數(shù)字信封算法應(yīng)用全過程算法應(yīng)用全過程小結(jié)

PKI的作用：

--機(jī)密性

--真實(shí)性

--身份認(rèn)證

--不可否認(rèn)小結(jié)PKI的作用：南京市CA分中心系統(tǒng)設(shè)計(jì)南京市CA分中心系統(tǒng)設(shè)計(jì)南京市CA分中心系統(tǒng)設(shè)計(jì)原則

設(shè)計(jì)原則安全保密第一原則技術(shù)安全和管理安全并重原則準(zhǔn)確了解保護(hù)對象原則多層次多安全單元保護(hù)防范原則責(zé)任與風(fēng)險分散和最小授權(quán)原則綜合性全方位和統(tǒng)一的保護(hù)與防范原則用戶使用方便原則不斷發(fā)展的動態(tài)原則

南京市CA分中心系統(tǒng)設(shè)計(jì)原則設(shè)計(jì)原則南京市CA分中心系統(tǒng)體系結(jié)構(gòu)南京市CA分中心系統(tǒng)體系結(jié)構(gòu)南京市CA分中心系統(tǒng)說明南京市CA分中心采用雙證書體系頒發(fā)的證書類型--個人證書

--單位證書

--設(shè)備證書頒發(fā)的證書遵循X.509V3標(biāo)準(zhǔn)南京市CA分中心系統(tǒng)說明南京市CA分中心采用雙證書體系數(shù)字證書內(nèi)容數(shù)字證書內(nèi)容數(shù)字證書內(nèi)容數(shù)字證書內(nèi)容CRL列表具體內(nèi)容CRL列表具體內(nèi)容應(yīng)用架構(gòu)

LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)準(zhǔn)應(yīng)用架構(gòu)LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)證書應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)

證書開發(fā)接口是為應(yīng)用程序開發(fā)者提供安全平臺接口，提供1024/128位強(qiáng)度的加密算法，任何使用政務(wù)證書的應(yīng)用系統(tǒng)都可以通過接口實(shí)現(xiàn)集成，所有的功能和機(jī)制都由該接口實(shí)現(xiàn)（包括證書驗(yàn)證，黑名單查詢等）。提供的接口包括：OCSP/LDAP/CSP/PKCS#11/CKeySDK，提供的接口支持Windows,Linux,Unix等平臺。

證書應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國家密碼行業(yè)相關(guān)要求進(jìn)行建設(shè)的應(yīng)用系統(tǒng)在進(jìn)行證書嵌入改造過程中，可以分為兩個層次，即服務(wù)器端和客戶端服務(wù)器端接口部分，南京市CA分中心遵循LDAPV3標(biāo)準(zhǔn)客戶端接口部分，南京市CA分中心遵循MSCAPI/PKCS#11標(biāo)準(zhǔn)小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國家密碼行業(yè)相關(guān)要求LDAP/OCSP標(biāo)準(zhǔn)和開發(fā)接口介紹LDAP/OCSP標(biāo)準(zhǔn)和開發(fā)接口介紹LDAP概念LDAP（輕量目錄訪問協(xié)議）的英文全稱是LightweightDirectoryAccessProtocol。它是基于X.500標(biāo)準(zhǔn)的，但是簡單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP。

LDAP最大的優(yōu)勢是：可以在任何計(jì)算機(jī)平臺上，用很容易獲得的而且數(shù)目不斷增加的LDAP的客戶端程序訪問LDAP目錄。而且也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。

LDAP協(xié)議是跨平臺的和標(biāo)準(zhǔn)的協(xié)議。

LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)。

LDAP概念LDAP（輕量目錄訪問協(xié)議）的英文LDAP概念

LDAP（LightweightDirectoryAcessProtocol）是目錄服務(wù)在TCP/IP上的實(shí)現(xiàn)（RFC1777V2版和RFC2251V3版）。它是對X500的目錄協(xié)議的移植，但是簡化了實(shí)現(xiàn)方法，所以稱為輕量級的目錄服務(wù)。在LDAP中目錄是按照樹型結(jié)構(gòu)組織，目錄由條目（Entry）組成，條目相當(dāng)于關(guān)系數(shù)據(jù)庫中表的記錄；條目是具有區(qū)別名DN（DistinguishedName）的屬性（Attribute）集合，DN相當(dāng)于關(guān)系數(shù)據(jù)庫表中的關(guān)鍵字（PrimaryKey）；屬性由類型（Type）和多個值（Values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫中的域（Field）由域名和數(shù)據(jù)類型組成，

只是為了方便檢索的需要，LDAP中的Type可以有多個Value，而不是關(guān)系數(shù)據(jù)庫中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個域必須是不相關(guān)的。

LDAP中條目的組織一般按照特定關(guān)系進(jìn)行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫，而不是關(guān)系數(shù)據(jù)庫。

LDAP協(xié)議集還規(guī)定了DN的命名方法、存取控制方法、搜索格式、復(fù)制方法、URL格式、開發(fā)接口等。

LDAP概念LDAP（LightweLDAP遵循標(biāo)準(zhǔn)RFC2251–LightweightDirectoryAccessProtocol(v3)RFC2252–LDAP(v3):AttributeSyntaxDefinitionsRFC2253–LDAP(v3):UTF-8StringRepresentationofDistinguishedNamesRFC2254–StringRepresentationofLDAPSearchFiltersRFC2255–TheLDAPURLFormatRFC2256–ASummaryofX.500(96)UserSchemaforusewithLDAP(v3)RFC2829–AuthenticationMethodsforLDAPRFC2830–LDAP(v3):ExtensionsforTransportLayerSecurityLDAP遵循標(biāo)準(zhǔn)RFC2251–LightweighLDAP接口函數(shù)定義1．LDAP*

ldap_init(

PCHAR

HostName,

ULONG

PortNumber);參數(shù)說明：HostName：LDAP服務(wù)器IP地址

PortNumber：LDAP服務(wù)器端口號2．ULONGldap_simple_bind_s(

LDAP*ld,

PCHARdn,

PCHARpasswd);

參數(shù)說明：

ld：Sessionhandledn：用戶DN，可以為NULLpasswd：可以為NULLLDAP接口函數(shù)定義1．LDAP*ldap_init(LDAP接口函數(shù)3.ULONGldap_search_s(

LDAP*ld,

UNICODEPTCHARbase,

ULONGscope,

UNICODEPTCHARfilter,

UNICODEPTCHARattrs[],

ULONGattrsonly,

LDAPMessage**res);參數(shù)說明：

ld：Sessionhandle dn：查找項(xiàng)

scope：查找域，可以為LDAP_SCOPE_SUBTREE filter：過濾項(xiàng)

attrs[]：其他屬性值

attrsonly：是否返回值

res：LDAP服務(wù)器返回值LDAP接口函數(shù)3.ULONGldap_search_sLDAP接口函數(shù)4．LDAPMessage*ldap_first_entry(LDAP*ld,LDAPMessage*res);參數(shù)說明：

ld：Sessionhandle

res：查找返回結(jié)果

5．structberval**ldap_get_values_len(LDAP*ExternalHandle,LDAPMessage*Message,UNICODEPTCHARattr );參數(shù)說明：

ExternalHandle：Sessionhandle Message：ldap_first_entry返回的結(jié)構(gòu)

attr：指定返回類型

LDAP接口函數(shù)4．LDAPMessage*ldap_f南京市LDAP構(gòu)架

“推”方式“拉”方式南京市LDAP構(gòu)架“推”方式“拉”方式南京市LDAP配置

服務(wù)器IP地址端口，注意：不是389匿名登錄南京市LDAP配置服務(wù)器IP地址端口，注意：不是389匿名南京市LDAP配置CRL列表南京市LDAP配置CRL列表南京市LDAP配置南京市LDAP配置LDAP客戶端及開發(fā)工具

LDAP所支持的客戶端工具有很多種，目前比較流行的有LDAPExplorerTool、LDAPBrowers等等。

LDAPExplorerTool工具下載地址：/

LDAP客戶端及開發(fā)工具LDAP所支持的客戶端工具OCSP概念

在線證書狀態(tài)協(xié)議（OCSP）是維持服務(wù)器和其他網(wǎng)絡(luò)資源安全的兩種常用方案中的一種。另一種更老的方式（某種程度上被OCSP所替代）是證書注銷列表（CRL）。

OCSP克服了CRL主要的限制：必須在客戶端頻繁地下載更新數(shù)據(jù)，才能保證列表的當(dāng)前性。當(dāng)用戶試圖訪問某服務(wù)器時，OCSP會發(fā)送一個證書狀態(tài)信息的請求。服務(wù)器返回一個“當(dāng)前”、“終止”或“未知”的回復(fù)。該協(xié)議規(guī)定了在服務(wù)器（它包含證書狀態(tài)）與客戶應(yīng)用程序（它被告知狀態(tài)）之間傳遞信息的語法。OCSP給與使用已終止的證書的用戶一定的寬限期，這樣他們在重新申請前可以在一定時間內(nèi)訪問服務(wù)器。OCSP概念在線證書狀態(tài)協(xié)議（OCSP）是維OCSP遵循標(biāo)準(zhǔn)

遵循OCSPv1、OCSPv2標(biāo)準(zhǔn)協(xié)議遵循標(biāo)準(zhǔn)的高強(qiáng)度非對稱加密算法遵循X.509V3證書標(biāo)準(zhǔn)遵循HTTP1.1協(xié)議標(biāo)準(zhǔn)遵循XML標(biāo)準(zhǔn)遵循國際電聯(lián)ASN.1編碼規(guī)則遵循CMP標(biāo)準(zhǔn)

OCSP遵循標(biāo)準(zhǔn)遵循OCSPv1、OCSPv2標(biāo)準(zhǔn)OCSP工作原理OCSP工作原理OCSP接口函數(shù)INTCheckCertFromOcspServer（

char*Ip,

intport,

char*CaCert,

char*UserCert);參數(shù)說明：

Ip:ocspserver地址

Port:ocspserver端口

CaCert：CA證書

UserCert：被查詢的用戶證書OCSP接口函數(shù)INTCheckCertFromOcsp小結(jié)南京市CA分中心系統(tǒng)LDAP/OCSP采用標(biāo)準(zhǔn)技術(shù)架構(gòu)建議大部分應(yīng)用通過訪問LDAP獲取證書驗(yàn)證信息特定應(yīng)用可采用LDAP/OCSP混合驗(yàn)證證書LDAP/OCSP的作用是給用戶開放針對南京市CA分中心頒發(fā)的數(shù)字證書進(jìn)行驗(yàn)證所必須的資源

小結(jié)南京市CA分中心系統(tǒng)LDAP/OCSP采用標(biāo)準(zhǔn)技術(shù)架構(gòu)MSCAPI/PKCS#11標(biāo)準(zhǔn)和開發(fā)介紹MSCAPI/PKCS#11標(biāo)準(zhǔn)和開發(fā)介紹USBKey軟件架構(gòu)USBKey軟件架構(gòu)基于MSCAPI的具體實(shí)現(xiàn)基于MSCAPI的具體實(shí)現(xiàn)基于MSCAPI的具體實(shí)現(xiàn)提供基于cKey加密算法的CSP應(yīng)用程序不能直接與CSP進(jìn)行通訊應(yīng)用程序通過調(diào)用CryptoAPI接口函數(shù)來與CSP進(jìn)行通訊

基于MSCAPI的具體實(shí)現(xiàn)提供基于cKey加密算法的CS基于MSCAPI的具體實(shí)現(xiàn)CAPI函數(shù)的具體說明在MSDN上可以查到。

基于MSCAPI的具體實(shí)現(xiàn)CAPI函數(shù)的具體說明在MSD基于PKCS#11的具體實(shí)現(xiàn)

基于PKCS#11的具體實(shí)現(xiàn)系統(tǒng)二次開發(fā)接口系統(tǒng)二次開發(fā)接口CKey619SDK函數(shù)說明CKey619SDK.chmCKey619SDK函數(shù)說明CKey619SDK.chm總結(jié)總結(jié)總結(jié)針對應(yīng)用，南京市CA分中心系統(tǒng)均采用標(biāo)準(zhǔn)技術(shù)架構(gòu)

LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)準(zhǔn)總結(jié)針對應(yīng)用，南京市CA分中心系統(tǒng)均采用標(biāo)準(zhǔn)技術(shù)架構(gòu)LDAP總結(jié)針對特定應(yīng)用，例如：數(shù)字簽名、網(wǎng)頁簽章等等我們將提供C編寫的SDK開發(fā)包供用戶調(diào)用總結(jié)針對特定應(yīng)用，例如：數(shù)字簽名、網(wǎng)頁簽章等等總結(jié)

應(yīng)用系統(tǒng)進(jìn)行證書嵌入改造過程中，難點(diǎn)和工作量不體現(xiàn)在程序的開發(fā)上，而在于現(xiàn)有系統(tǒng)配置上。

——SSL的啟用和配置

總結(jié)應(yīng)用系統(tǒng)進(jìn)行證書嵌入改造過程中，難點(diǎn)和工作量不體現(xiàn)在謝謝大家！謝謝大家！討論討論江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)應(yīng)用培訓(xùn)材料2006年11月江蘇省電子政務(wù)證書認(rèn)證系統(tǒng)提綱數(shù)字證書基礎(chǔ)介紹 --20分鐘南京CA分中心系統(tǒng)設(shè)計(jì) --10分鐘LDAP/OCSP標(biāo)準(zhǔn)和開發(fā)接口 --10分鐘MSCAPI/PKCS#11標(biāo)準(zhǔn)和開發(fā)接口 --20分鐘系統(tǒng)二次開發(fā)接口 --30分鐘總結(jié)提綱數(shù)字證書基礎(chǔ)介紹 --20分鐘數(shù)字證書基礎(chǔ)介紹數(shù)字證書基礎(chǔ)介紹數(shù)字證書基礎(chǔ)

PKI（公開密鑰基礎(chǔ)設(shè)施）是通過使用公鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全，進(jìn)行數(shù)據(jù)加密和用戶身份驗(yàn)證的體系。

--對稱算法

--非對稱算法

--摘要算法

--算法應(yīng)用全過程

數(shù)字證書基礎(chǔ)PKI（公開密鑰基礎(chǔ)設(shè)施）是通過使用對稱算法原理。

相同對稱算法原理相同對稱算法問題

對于實(shí)際應(yīng)用而言，問題是如何管理這些對稱密鑰并保證其安全性。

對稱算法問題對于實(shí)際應(yīng)用而言，問題是如何管理這些對非對稱算法原理

不同非對稱算法原理不同加密方式比較

對稱非對稱密鑰數(shù)量單個Key一對Key型態(tài)Key必須保密一個是公開的Key，一個是私用的Key管理簡單，但不容易管理需要數(shù)字證書和CA加密速度非?？燧^快應(yīng)用用于大量資料的加密處理用于特定需求，處理小量資料的加密和簽名加密方式比較對稱非對稱密鑰數(shù)量單個Key一對Key型態(tài)Ke摘要算法原理用來辨別數(shù)據(jù)是否被篡改將數(shù)據(jù)通過摘要算法產(chǎn)生輸出結(jié)果產(chǎn)生的結(jié)果為固定長度，通常為128或160bits--不同輸入長度，相同輸出長度

--數(shù)字摘要不可能編造出相同摘要的數(shù)據(jù)文件文件中任一單元被修改，摘要結(jié)果大不相同摘要算法原理用來辨別數(shù)據(jù)是否被篡改摘要算法應(yīng)用使用摘要算法的作用：用來檢驗(yàn)數(shù)據(jù)的完整性用來產(chǎn)生簽章的數(shù)據(jù)源摘要算法應(yīng)用使用摘要算法的作用：摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性摘要算法作用檢驗(yàn)數(shù)據(jù)的完整性摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源摘要算法作用產(chǎn)生簽章的數(shù)據(jù)源算法應(yīng)用全過程數(shù)字信封算法應(yīng)用全過程數(shù)字信封算法應(yīng)用全過程算法應(yīng)用全過程小結(jié)

PKI的作用：

--機(jī)密性

--真實(shí)性

--身份認(rèn)證

--不可否認(rèn)小結(jié)PKI的作用：南京市CA分中心系統(tǒng)設(shè)計(jì)南京市CA分中心系統(tǒng)設(shè)計(jì)南京市CA分中心系統(tǒng)設(shè)計(jì)原則

設(shè)計(jì)原則安全保密第一原則技術(shù)安全和管理安全并重原則準(zhǔn)確了解保護(hù)對象原則多層次多安全單元保護(hù)防范原則責(zé)任與風(fēng)險分散和最小授權(quán)原則綜合性全方位和統(tǒng)一的保護(hù)與防范原則用戶使用方便原則不斷發(fā)展的動態(tài)原則

南京市CA分中心系統(tǒng)設(shè)計(jì)原則設(shè)計(jì)原則南京市CA分中心系統(tǒng)體系結(jié)構(gòu)南京市CA分中心系統(tǒng)體系結(jié)構(gòu)南京市CA分中心系統(tǒng)說明南京市CA分中心采用雙證書體系頒發(fā)的證書類型--個人證書

--單位證書

--設(shè)備證書頒發(fā)的證書遵循X.509V3標(biāo)準(zhǔn)南京市CA分中心系統(tǒng)說明南京市CA分中心采用雙證書體系數(shù)字證書內(nèi)容數(shù)字證書內(nèi)容數(shù)字證書內(nèi)容數(shù)字證書內(nèi)容CRL列表具體內(nèi)容CRL列表具體內(nèi)容應(yīng)用架構(gòu)

LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)準(zhǔn)應(yīng)用架構(gòu)LDAPV3標(biāo)準(zhǔn)CSP/PKCS#11標(biāo)證書應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)

證書開發(fā)接口是為應(yīng)用程序開發(fā)者提供安全平臺接口，提供1024/128位強(qiáng)度的加密算法，任何使用政務(wù)證書的應(yīng)用系統(tǒng)都可以通過接口實(shí)現(xiàn)集成，所有的功能和機(jī)制都由該接口實(shí)現(xiàn)（包括證書驗(yàn)證，黑名單查詢等）。提供的接口包括：OCSP/LDAP/CSP/PKCS#11/CKeySDK，提供的接口支持Windows,Linux,Unix等平臺。

證書應(yīng)用接口設(shè)計(jì)系統(tǒng)接口標(biāo)準(zhǔn)小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國家密碼行業(yè)相關(guān)要求進(jìn)行建設(shè)的應(yīng)用系統(tǒng)在進(jìn)行證書嵌入改造過程中，可以分為兩個層次，即服務(wù)器端和客戶端服務(wù)器端接口部分，南京市CA分中心遵循LDAPV3標(biāo)準(zhǔn)客戶端接口部分，南京市CA分中心遵循MSCAPI/PKCS#11標(biāo)準(zhǔn)小結(jié)南京市CA分中心嚴(yán)格遵循PKI體系和國家密碼行業(yè)相關(guān)要求LDAP/OCSP標(biāo)準(zhǔn)和開發(fā)接口介紹LDAP/OCSP標(biāo)準(zhǔn)和開發(fā)接口介紹LDAP概念LDAP（輕量目錄訪問協(xié)議）的英文全稱是LightweightDirectoryAccessProtocol。它是基于X.500標(biāo)準(zhǔn)的，但是簡單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP。

LDAP最大的優(yōu)勢是：可以在任何計(jì)算機(jī)平臺上，用很容易獲得的而且數(shù)目不斷增加的LDAP的客戶端程序訪問LDAP目錄。而且也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。

LDAP協(xié)議是跨平臺的和標(biāo)準(zhǔn)的協(xié)議。

LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)。

LDAP概念LDAP（輕量目錄訪問協(xié)議）的英文LDAP概念

LDAP（LightweightDirectoryAcessProtocol）是目錄服務(wù)在TCP/IP上的實(shí)現(xiàn)（RFC1777V2版和RFC2251V3版）。它是對X500的目錄協(xié)議的移植，但是簡化了實(shí)現(xiàn)方法，所以稱為輕量級的目錄服務(wù)。在LDAP中目錄是按照樹型結(jié)構(gòu)組織，目錄由條目（Entry）組成，條目相當(dāng)于關(guān)系數(shù)據(jù)庫中表的記錄；條目是具有區(qū)別名DN（DistinguishedName）的屬性（Attribute）集合，DN相當(dāng)于關(guān)系數(shù)據(jù)庫表中的關(guān)鍵字（PrimaryKey）；屬性由類型（Type）和多個值（Values）組成，相當(dāng)于關(guān)系數(shù)據(jù)庫中的域（Field）由域名和數(shù)據(jù)類型組成，

只是為了方便檢索的需要，LDAP中的Type可以有多個Value，而不是關(guān)系數(shù)據(jù)庫中為降低數(shù)據(jù)的冗余性要求實(shí)現(xiàn)的各個域必須是不相關(guān)的。

LDAP中條目的組織一般按照特定關(guān)系進(jìn)行組織，非常的直觀。LDAP把數(shù)據(jù)存放在文件中，為提高效率可以使用基于索引的文件數(shù)據(jù)庫，而不是關(guān)系數(shù)據(jù)庫。

LDAP協(xié)議集還規(guī)定了DN的命名方法、存取控制方法、搜索格式、復(fù)制方法、URL格式、開發(fā)接口等。

LDAP概念LDAP（LightweLDAP遵循標(biāo)準(zhǔn)RFC2251–LightweightDirectoryAccessProtocol(v3)RFC2252–LDAP(v3):AttributeSyntaxDefinitionsRFC2253–LDAP(v3):UTF-8StringRepresentationofDistinguishedNamesRFC2254–StringRepresentationofLDAPSearchFiltersRFC2255–TheLDAPURLFormatRFC2256–ASummaryofX.500(96)UserSchemaforusewithLDAP(v3)RFC2829–AuthenticationMethodsforLDAPRFC2830–LDAP(v3):ExtensionsforTransportLayerSecurityLDAP遵循標(biāo)準(zhǔn)RFC2251–LightweighLDAP接口函數(shù)定義1．LDAP*

ldap_init(

PCHAR

HostName,

ULONG

PortNumber);參數(shù)說明：HostName：LDAP服務(wù)器IP地址

PortNumber：LDAP服務(wù)器端口號2．ULONGldap_simple_bind_s(

LDAP*ld,

PCHARdn,

PCHARpasswd);

參數(shù)說明：

ld：Sessionhandledn：用戶DN，可以為NULLpasswd：可以為NULLLDAP接口函數(shù)定義1．LDAP*ldap_init(LDAP接口函數(shù)3.ULONGldap_search_s(

LDAP*ld,

UNICODEPTCHARbase,

ULONGscope,

UNICODEPTCHARfilter,

UNICODEPTCHARattrs[],

ULONGattrsonly,

LDAPMessage**res);參數(shù)說明：

ld：Sessionhandle dn：查找項(xiàng)

scope：查找域，可以為LDAP_SCOPE_SUBTREE filter：過濾項(xiàng)

attrs[]：其他屬性值

attrsonly：是否返回值

res：LDAP服務(wù)器返回值LDAP接口函數(shù)3.ULONGldap_search_sLDAP接口函數(shù)4．LDAPMessage*ldap_first_entry(LDAP*ld,LDAPMessage*res);參數(shù)說明：

ld：Sessionhandle

res：查找返回結(jié)果

5．structberval**ldap_get_values_len(LDAP*ExternalHandle,LDAPMessage*Message,UNICODEPTCHARattr );參數(shù)說明：

ExternalHandle：Sessionhandle Message：ldap_first_entry返回的結(jié)構(gòu)

attr：指定返回類型

LDAP接口函數(shù)4．LDAPMessage*ldap_f南京市LDAP構(gòu)架

“推”方式“拉”方式南京市LDAP構(gòu)架“推”方式“拉”方式南京市LDAP配置

服務(wù)器IP地址端口，注意：不是389匿名登錄南京市LDAP配置服務(wù)器IP地址端口，注意：不是389匿名南京市LDAP配置CRL列表南京市LDAP配置CRL列表南京市LDAP配置南京市LDAP配置LDAP客戶端及開發(fā)工具

LDAP所支持的客戶端工具有很多種，目前比較流行的有LDAPExplorerTool、LDAPBrowers等等。

LDAPExplorerTool工具下載地址：/

LDAP客戶端及開發(fā)工具LDAP所支持的客戶端工具OCSP概念

在線證書狀態(tài)協(xié)議（OCSP）是維持服務(wù)器和其他網(wǎng)絡(luò)資源安全的兩種常用方案中的一種。另一種更老的方式（某種程度上被OCSP所替代）是證書注銷列表（CRL）。

OCSP克服了CRL主要的限制：必須在客戶端頻繁地下載更新數(shù)據(jù)，才能保證列表的當(dāng)前性。當(dāng)用戶試圖訪問某服務(wù)器時，OCSP會發(fā)送一個證書狀態(tài)信息的請求。服務(wù)器返回一個“當(dāng)前”、“終止”或“未知”的回復(fù)。該協(xié)議規(guī)定了在服務(wù)器（它包含證書狀態(tài)）與客戶應(yīng)用程序（它被告知狀態(tài)）之間傳遞信息的語法。OCSP給與使用已終止的證書的用戶一定的寬限期，這樣他們在重新申請前可以在一定時間內(nèi)訪問服務(wù)器。OCSP概念在線證書狀態(tài)協(xié)議（OCSP）是維OCSP遵循標(biāo)準(zhǔn)

遵