CA与目录服务及其它应用系统的接口规范.docVIP

PAGE  PAGE 21 胜利石油管理局企业标准 Q/SL TEC-n－2002 CA与目录服务及其它应用系统的接口规范 适用范围 本标准规定了胜利石油管理局CA与目录服务及其它应用系统的接口规范。 本标准适用于胜利油田CA与目录服务及其它应用系统相结合的开发接口指南。 规范解释权 本规范由胜利油田石油管理局信息中心解释。 术语定义 3.1 电子证书、证书(Digital certificate, certificate) 将用户的身份信息及其公钥用一种可信的方式绑定在一起的一条计算机记录。证书中包括签发者名称、用户身份信息、用户公钥以及CA对这些信息的签字。目前多数证书的格式都遵循ITU X.509标准定义的证书格式，因此符合X.509标准的证书称为X.509证书。 胜利油田企业内部员工持有由胜利油田CA认证中心签发的公钥证书和私钥，用于在胜利油田企业内部信息交流中确认用户的身份、进行数据和通讯过程的加解密（不包括国家涉密行为、商业行为和个人隐私）。 3.2 CA认证中心(Certificate Authority Center) 指胜利油田CA认证中心，其作用域为胜利油田内部单位。在此范围内，认证中心是进行网络身份认证的唯一可信任的权威机构。CA认证中心的授权机构是胜利油田有限公司，管理机构为胜利油田有限公司信息中心，证书服务器（Certification Authority – CA）被胜利油田企业内部所信任并负责创建、分发证书(ISO9495-8)为各类网络服务器和用户计算机发放证书，保持和管理一个网络环境内的相互信任体系，是公用密钥体系（Public Key Infrastructure - PKI）的关键组成部分,操作CA的人称为CA管理员。 3.3 LDAP目录服务 LDAP目录是一种类型的数据库，但不是关系型数据库，可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。 LDAP协议是跨平台的和标准的协议。LDAP是对X.500的目录协议的移植，简化了X.500实现方法。 LDAP条目组织一般按照地理位置和组织关系进行组织，非常的直观。 提供快速响应和大容量查询服务，并且提供多目录服务器的信息复制功能。允许根据需要使用ACL（访问控制列表）控制对数据读和写的权限。 3.4 CRL(Certificate Revocation List) 指证书作废表，其中记录尚未过期但已经声明作废的用户证书序列号，供证书使用者在认证与之通信的对方证书是否作废时查询。 3.5 哈希算法 (摘要) h = H(t). 操作流程：输入明文t, 经过Hash函数，产生摘要值h。 建议:在用到哈希值的地方使用sha1算法。 3.6 对称加密算法 1)加密 c = C(k, t) 操作流程：输入明文t, 经过C函数，用密钥k操作，产生密文c。 2)解密 t = C(k, c) 操作流程：输入密文c, 经过C函数，用密钥k操作，产生明文t。 建议:在用到对称加密的地方使用sdbi算法。 3.7 非对称加密算法 1)加密 c = C(k1, t) 操作流程：输入明文t, 经过C函数，用密钥k1操作，产生密文c。 2)解密 t = C(k2, c) 解密操作流程：输入密文c, 经过C函数，用密钥k2操作，产生明文t。 注:k1、k2是对应的公钥和私钥，（若k1为公钥则k2为私钥，反之亦然），即用其中的一个加密后，必须用另一个解密。 建议:在用到非对称加密的地方使用RSA算法。 3.8 签名算法 s = S (k, h, t) 操作流程：输入明文t, 经过s函数，用密钥k和哈希算法h操作，产生签名s。 注:签名算法是1和3操作的组合，其过程是先用哈希算法对明文进行摘要运算，产生摘要值hv，然后用发送方的私钥对摘要值和哈希标识进行加密，结果是数字签名值。 建议:在用到签名的的地方使用sha1-with-rsa算法。 3.9 验证签名算法 b = V (k, h, t, s) 操作流程：输入密文t, 经过v函数，用密钥k对签名值s进行解密，用哈希算法h对明文t进行哈希操作，然后对两个结果进行比较，相等既为验证通过，否则为验证失败。 注:签名算法是4操作的逆向操作。 建议:其验证算法与签名用到的算法是一致的。 4 结构数据的类型 4.1内容信息结构 ContentInfo ::= SEQUENCE { type ContentType, content [0] EXPLICIT ANY DEFINED BY contentType OPTIONAL } type说明内容的类型，其值为OBJECT IDENTIFEIR，如为一般数据、签名数据、信封数据、摘要数据、加密数据等。co