P K I的主要部件包括簽發數字證書的認證機構C A( C e r t i f i c a t i o n Authority),登記和準許證書簽發的注冊機構RA(Registration Authority),密鑰管理中心KM(KeyManager)和傳播終端實體證書、撤銷消息以及政策相關資訊的 資料庫系統等。一個完整的PKI必須存在某種魯棒的、規模可擴充的資料庫系統,以便使用者能找到安全通信需要的證書,一個大規模的PKI系統如果沒有資料庫是無法使用的。本文主要介紹LDAP目錄服務用于建構PKI系統資料庫的應用。
LDAP,即輕量級目錄通路協定(Lightweight Directory Access Protocol)。首先LDAP是一個協定簇,是簡化了笨重的X.500目錄通路協定得來的。LDAP是一個資料庫,但是又不是一個資料庫。說他是資料庫,因為他是一個資料存儲的東西。但是說他不是資料庫,是因為他的作用沒有資料庫這麼強大,而是一個目錄。我們熟悉的windows的檔案系統就是一個目錄,如c盤下存放各種檔案夾和檔案,每個檔案夾下一層又一層的檔案夾和檔案,整個目錄就是一個樹狀結構。
還有我們熟悉的電話簿(黃頁)。我們用電話簿的目的是為了查找某個公司的電話,在這個電話簿中附帶了一些這個公司的基本資訊,比如位址,經營範圍,聯系方式等。其實這個例子就是一個LDAP在現實生活中的表現。電話簿的組織結構是一條一條的資訊組成,資訊按照行業,類别進行了分類。每條記錄都分成了若幹的區域,其中涵蓋了我們要的資訊。這就是一個目錄。一個樹狀的結構,每個葉子都是由一條一條的分成若幹區域的記錄。LDAP就是這麼一個東西。從概念上說,LDAP樹的每個結點就是一個條目,每個條目作為一個記錄,每個條目有自己得到唯一差別名稱(DN),描述條目某個方面的資訊,由一個或多個屬性組成。
目前應用最多的一個LDAP server是微軟的AD(Active Directory),可用于統一安全政策、統一身份驗證。LDAP作為一個統一認證的解決方案,查詢是LDAP的優勢,适用于讀操作遠大于寫操作的應用場景。LDAP是一個輕量級的産品,主要目的是為了查,是以在架構和優化主要是針對讀。由于LDAP 所具有的查詢效率高、樹狀的資訊管理模式、分布式的部署架構以及靈活而細膩的通路控制,使LDAP 廣泛地應用于基礎性、關鍵性資訊的管理,如使用者資訊、網絡資源資訊等。其中作為PKI系統的資料庫就是其中的一個應用。
PKI技術采用證書管理公鑰,通過可信的第三方機構CA,把使用者的公鑰和使用者的其他資訊(如名稱、電子郵件、身份證等)捆綁在一起,在Internet網上驗證使用者身份。一個完整而有效的PKI系統,除了證書的建立、釋出和撤銷,還必須提供存儲和釋出這些證書的證書庫,作為相應的證書管理服務,沒有一個好的證書管理系統,将極大影響一個PKI系統的規模、可伸縮性和在協同網絡中的運作成本。 證書管理服務包括建立證書請求、生成證書、證書撤銷和私鑰的安全存儲等。 PKI系統必須把公鑰和證書撤銷清單CRL作為使用者或應用程式的屬性儲存在證書庫中,并讓使用者可以通路這個庫。
在CA中使用LDAP,使用LDAP來存放證書,主要有以下幾點原因:
- 使用者的廣泛性和多樣性決定了獲驗證書應該在任何平台上進行;
- 由于資料主要是面向查詢的,是以每一張證書在釋出後一般不需要修改;
- 沒有複雜的資料結構,使用者名與條目一一對應,每一個條目存儲該使用者的所有證書;
- 公開密鑰體制決定了證書資料屬于公開資訊。
LDAP在CA中扮演着兩個角色:
- 對于CA來講,LDAP伺服器是證書和證書撤銷清單CRL的存儲體;
- 對于應用來講,LDAP是應用擷取他人或自己(包括CA)的證書以及CA簽發的CRL這些資訊的來源;
一般有如下的結構和流程
(1) CA伺服器利用LDAP的API向LDAP伺服器釋出、更新或删除數字證書和CRL:
(2) LDAP伺服器傳回操作成功或失敗的資訊;
(3)使用者根據一定的資訊查詢所需的證書或CRL;
(4) LDAP伺服器為使用者傳回所需的資訊或失敗資訊。
利用LDAP能夠很輕易的建構一個使用者的架構,用于存儲使用者證書、CA憑證、吊銷清單,以下就是一個基本的結構展示。
以下圖為例c=cn即國家為中國,cn=張三表示個人名稱為張三,o=百度表示百度公司為一個組織,ou=研發部表示組織機關研發部,cn=工程師1表示該組織機關下的個人。這些資訊在數字證書subject字段中進行展現,以百度的證書為例
參照上面的例子,該證書在LDAP可構造如下結構
其中L=beijing、S=Beijing可作為cn=baidu條目的附加資訊進行檢視,而不用作為樹的結構。使用者證書、CA憑證及吊銷清單CRL同樣也是作為條目的屬性進行存儲展示。
目前市面上已經有不少CA機構已經提供基于LDAP目錄服務的證書查詢服務,如廣東CA、深圳CA、天威誠信等,我們可以在其官網上找到相關的入口。以天威誠信的目錄服務為例,使用LDAP Admin用戶端工具通路其LDAP服務,可以看到如下的結構
其中以ou=Certificate Authority結點下存放CA憑證,以o=組織名稱 存放該組織的使用者證書,右邊顯示該結點下的屬性資訊,如個人資訊郵箱、證書等。這些資訊作為公開的資訊,可進行檢視下載下傳。
基于LDAP目錄服務的PKI資料庫核心思想就是利用 LDAP技術存儲并通路資料庫資料,它在可靠性、通路速度、開放性、跨平台等方面極大提高了 PKI系統的易用性,這對PKI系統全面走向開放性提供了有力的技術支援。随着Intemet發展和企業全球化程序,LDAP目錄服務逐漸成為一項關鍵網絡技術,該技術在PKI體系中的應用還有待進一步研究和探索。
P K I的主要部件包括簽發數字證書的認證機構C A( C e r t i f i c a t i o n Authority),登記和準許證書簽發的注冊機構RA(Registration Authority),密鑰管理中心KM(KeyManager)和傳播終端實體證書、撤銷消息以及政策相關資訊的 資料庫系統等。一個完整的PKI必須存在某種魯棒的、規模可擴充的資料庫系統,以便使用者能找到安全通信需要的證書,一個大規模的PKI系統如果沒有資料庫是無法使用的。本文主要介紹LDAP目錄服務用于建構PKI系統資料庫的應用。
LDAP,即輕量級目錄通路協定(Lightweight Directory Access Protocol)。首先LDAP是一個協定簇,是簡化了笨重的X.500目錄通路協定得來的。LDAP是一個資料庫,但是又不是一個資料庫。說他是資料庫,因為他是一個資料存儲的東西。但是說他不是資料庫,是因為他的作用沒有資料庫這麼強大,而是一個目錄。我們熟悉的windows的檔案系統就是一個目錄,如c盤下存放各種檔案夾和檔案,每個檔案夾下一層又一層的檔案夾和檔案,整個目錄就是一個樹狀結構。
還有我們熟悉的電話簿(黃頁)。我們用電話簿的目的是為了查找某個公司的電話,在這個電話簿中附帶了一些這個公司的基本資訊,比如位址,經營範圍,聯系方式等。其實這個例子就是一個LDAP在現實生活中的表現。電話簿的組織結構是一條一條的資訊組成,資訊按照行業,類别進行了分類。每條記錄都分成了若幹的區域,其中涵蓋了我們要的資訊。這就是一個目錄。一個樹狀的結構,每個葉子都是由一條一條的分成若幹區域的記錄。LDAP就是這麼一個東西。從概念上說,LDAP樹的每個結點就是一個條目,每個條目作為一個記錄,每個條目有自己得到唯一差別名稱(DN),描述條目某個方面的資訊,由一個或多個屬性組成。
目前應用最多的一個LDAP server是微軟的AD(Active Directory),可用于統一安全政策、統一身份驗證。LDAP作為一個統一認證的解決方案,查詢是LDAP的優勢,适用于讀操作遠大于寫操作的應用場景。LDAP是一個輕量級的産品,主要目的是為了查,是以在架構和優化主要是針對讀。由于LDAP 所具有的查詢效率高、樹狀的資訊管理模式、分布式的部署架構以及靈活而細膩的通路控制,使LDAP 廣泛地應用于基礎性、關鍵性資訊的管理,如使用者資訊、網絡資源資訊等。其中作為PKI系統的資料庫就是其中的一個應用。
PKI技術采用證書管理公鑰,通過可信的第三方機構CA,把使用者的公鑰和使用者的其他資訊(如名稱、電子郵件、身份證等)捆綁在一起,在Internet網上驗證使用者身份。一個完整而有效的PKI系統,除了證書的建立、釋出和撤銷,還必須提供存儲和釋出這些證書的證書庫,作為相應的證書管理服務,沒有一個好的證書管理系統,将極大影響一個PKI系統的規模、可伸縮性和在協同網絡中的運作成本。 證書管理服務包括建立證書請求、生成證書、證書撤銷和私鑰的安全存儲等。 PKI系統必須把公鑰和證書撤銷清單CRL作為使用者或應用程式的屬性儲存在證書庫中,并讓使用者可以通路這個庫。
在CA中使用LDAP,使用LDAP來存放證書,主要有以下幾點原因:
- 使用者的廣泛性和多樣性決定了獲驗證書應該在任何平台上進行;
- 由于資料主要是面向查詢的,是以每一張證書在釋出後一般不需要修改;
- 沒有複雜的資料結構,使用者名與條目一一對應,每一個條目存儲該使用者的所有證書;
- 公開密鑰體制決定了證書資料屬于公開資訊。
LDAP在CA中扮演着兩個角色:
- 對于CA來講,LDAP伺服器是證書和證書撤銷清單CRL的存儲體;
- 對于應用來講,LDAP是應用擷取他人或自己(包括CA)的證書以及CA簽發的CRL這些資訊的來源;
一般有如下的結構和流程
(1) CA伺服器利用LDAP的API向LDAP伺服器釋出、更新或删除數字證書和CRL:
(2) LDAP伺服器傳回操作成功或失敗的資訊;
(3)使用者根據一定的資訊查詢所需的證書或CRL;
(4) LDAP伺服器為使用者傳回所需的資訊或失敗資訊。
利用LDAP能夠很輕易的建構一個使用者的架構,用于存儲使用者證書、CA憑證、吊銷清單,以下就是一個基本的結構展示。
以下圖為例c=cn即國家為中國,cn=張三表示個人名稱為張三,o=百度表示百度公司為一個組織,ou=研發部表示組織機關研發部,cn=工程師1表示該組織機關下的個人。這些資訊在數字證書subject字段中進行展現,以百度的證書為例
參照上面的例子,該證書在LDAP可構造如下結構
其中L=beijing、S=Beijing可作為cn=baidu條目的附加資訊進行檢視,而不用作為樹的結構。使用者證書、CA憑證及吊銷清單CRL同樣也是作為條目的屬性進行存儲展示。
目前市面上已經有不少CA機構已經提供基于LDAP目錄服務的證書查詢服務,如廣東CA、深圳CA、天威誠信等,我們可以在其官網上找到相關的入口。以天威誠信的目錄服務為例,使用LDAP Admin用戶端工具通路其LDAP服務,可以看到如下的結構
其中以ou=Certificate Authority結點下存放CA憑證,以o=組織名稱 存放該組織的使用者證書,右邊顯示該結點下的屬性資訊,如個人資訊郵箱、證書等。這些資訊作為公開的資訊,可進行檢視下載下傳。