LDAP在PKI应用中的缺陷研究.doc

LDAP在PKI应用中的缺陷研究 学术研究 ACadenqicResearCh LDAP在PKI应用中的缺陷研究 包建璋陈剑波 (上海交通大学信息安全工程学院) 【摘要】今的LDAP轻量级目录访问协议,作为提供目录访问服务的协议,已成为支持PKI颁发证书和撤销证书列 表的主流协议.本文讨论rLDAPv2和v3版本协议在PKI应用中存在的不足.并对LDAP在单机和多机目录服务的应 用方面进行了分析,提出其缺陷和相对应的解决方案. 【关键词】LDAPPKI证书 LDAPsLimitationResearchWhenUsedinPI(I BaoJianzhangChenJianbo (InformationSecuriOEngineeringDepartment,SJTU) [Abstract]Thelightweightdirectoryaccessprotocol(LDAP)nowhasbecomethepredominantprotocolinsupportofpublickey inrastructure(PKI)accessingdirectoryservicesforcertificatesandcertificaterevocationlists(CRLs).Thispaper~Osobjectisto describthelimitationinboththeLDAPv2andv3protocols.Themethodofthispaperistoanalyzethisintwoways,firstlyfora centralizeddirectoryservice,andsecondlyforadistributeddirectoryservice.Andfinallythepapergivestheresultofthelimita— tionsofLDAEalongwiththesolutions+TheconclusionofthispaperisthatbecauseofLDAPSlineage,inheritingX.500,notfor PKI,itunavoidablyhassomedeficiencies,whichneedimprovingfurther. [Keywords]LDAPPKIcertificate 1引言 轻量级目录访问协议(LDAP)是一种英特网目录访问 的标准,其符台X.500模型.现今很多软件生产商的产品 支持该协c义,其广泛采用的还主要是LDAP的v2,v3这 两个版本: LDAPv2——X.500目录访问协议(X.500Direc— toryAccessProtocol,DAP)的简化版本,是轻量级目 录访问协c义的雏形. LDAPv3——LDAPv2的改进版本 LDAP的最初设计并不是主要用于支持PKI技术的, 收稿日期:2005-7-1 作者简介:包建璋.男,1980年生,硕士生,研究方向寿计算 机网络应用.陈剑波.男,1963年生,博士,教授,研究方向 为计算机网络应用,信息安全. 但因为LDAP提供了证书颁发以及i止书撤销列表(CRL)的 目录访问服务,反而成为支持PKI技术的主流协议.由于 其先天不足,LDAP必然在支持PKI方面还存在某些弊 端,文中将着重讨论其存在的弊端,以及应采取的应对方 案. 2单机LDAP的缺陷 2.1证书发放与回收 由于LDAP对于证书的内部编码机制是从ASN.1 BER二进制类型转化为简单的LDAPASCII字符串类型 【11 ,是不可逆过程,这使得LDAP其中的一种重要属性 RDN(relativedistinguishedname)无法确认它的类型, 因此无法在LDAPv2中实现支持证书回收服务.ASN与 ASCII字符串的关系是多对一的关系.只能由ASN得到 ASCII,不能由ASCII得到一个ASN.这样RDN的数据 类型可以有多个,而逆过程中无法分辨.所以LDAP服务 器无法通过ASCII字符串反查ASN.1,用以确认证书籀 信息安全与通信保密?2006.2I71 I 学术研究 ACa;dem}cResearch 名,因为它不唯一.一种相对复杂的解决法是把RDN 的数据类型和数值都进行编码,但这样做增加了大量额外 的工作负担,因为RDN要用到的频率相当高.还有一种 简单的方法是撤销LDAP的内部ASCII编码转换,即保 留ASN.1BERl. 当前的LDAPv3已经成功地解决了这个v2的漏洞, 在IDAPv3巾定义的传输方法选项中,有一种叫二进 制的选项,比如当要回收某个证书时,苗先要从LDAP 服务器得到证书,然后比对.『Ju入这个二进制传输 选项时,它就会强制LDAPv3服务器返回ASN.1BER 的编码格式的数据,而