江苏省电子政务证书认证系统应用培训材料.pptVIP

LDAP接口函数 3.ULONG ldap_search_s( LDAP *ld, UNICODE PTCHAR base, ULONG scope, UNICODE PTCHAR filter, UNICODE PTCHAR attrs[], ULONG attrsonly, LDAPMessage **res ); 参数说明： ld：Session handle dn：查找项 scope：查找域，可以为LDAP_SCOPE_SUBTREE filter：过滤项 attrs[]：其他属性值 attrsonly：是否返回值 res：LDAP服务器返回值 第三十一页，共五十七页。 LDAP接口函数 4．LDAPMessage *ldap_first_entry( LDAP *ld, LDAPMessage *res); 参数说明： ld：Session handle res：查找返回结果 5．struct berval **ldap_get_values_len( LDAP *ExternalHandle, LDAPMessage *Message, UNICODE PTCHAR attr ); 参数说明： ExternalHandle：Session handle Message：ldap_first_entry返回的结构 attr：指定返回类型 第三十二页，共五十七页。 南京市LDAP构架 “推”方式 “拉”方式 第三十三页，共五十七页。 南京市LDAP配置 服务器IP地址 端口，注意：不是389 匿名登录 第三十四页，共五十七页。 南京市LDAP配置 CRL列表 第三十五页，共五十七页。 南京市LDAP配置 第三十六页，共五十七页。 LDAP客户端及开发工具 LDAP所支持的客户端工具有很多种，目前比较流行的有LDAPExplorerTool、LDAPBrowers等等。 LDAPExplorerTool工具下载地址： 第三十七页，共五十七页。 OCSP概念 在线证书状态协议（OCSP）是维持服务器和其他网络资源安全的两种常用方案中的一种。另一种更老的方式（某种程度上被OCSP所替代）是证书注销列表（CRL）。　　 OCSP克服了CRL主要的限制：必须在客户端频繁地下载更新数据，才能保证列表的当前性。当用户试图访问某服务器时，OCSP会发送一个证书状态信息的请求。服务器返回一个“当前”、“终止”或“未知”的回复。该协议规定了在服务器（它包含证书状态）与客户应用程序（它被告知状态）之间传递信息的语法。OCSP给与使用已终止的证书的用户一定的宽限期，这样他们在重新申请前可以在一定时间内访问服务器。 第三十八页，共五十七页。 OCSP遵循标准 遵循OCSPv1、OCSPv2 标准协议 ?? 遵循标准的高强度非对称加密算法 ?? 遵循X.509 V3 证书标准 ?? 遵循HTTP1.1 协议标准 ?? 遵循XML 标准 ?? 遵循国际电联ASN.1 编码规则 ?? 遵循CMP 标准 第三十九页，共五十七页。 OCSP工作原理 第四十页，共五十七页。 江苏省电子政务证书认证系统 应用培训材料 2006 年 11 月 第一页，共五十七页。 提纲 数字证书基础介绍 --20分钟 南京CA分中心系统设计 --10分钟 LDAP/OCSP标准和开发接口 --10分钟 MS CAPI/PKCS#11标准和开发接口 --20分钟 系统二次开发接口 --30分钟 总结 第二页，共五十七页。 数字证书基础介绍 第三页，共五十七页。 数字证书基础 PKI（公开密钥基础设施）是通过使用公钥技术和数字证书来确保系统信息安全，进行数据加密和用户身份验证的体系。 --对称算法 --非对称算法 --摘要算法 --算法应用全过程 第四页，共五十七页。 对称算法原理 。 相同 第五页，共五十七页。 对称算法问题 对于实际应用而言，问题是如何管理这些对称密钥并保证其安全性 。 第六页，共五十七页。 非对称算法原理 不同