《电子商务中证书认证中心的分析与设计.doc》由会员分享,可在线阅读,更多相关《电子商务中证书认证中心的分析与设计.doc(39页珍藏版)》请在三一办公上搜索。
1、分类号: 单位代码:14100密 级: 学 号:07106020129Shandong University of Political and Law 学 士 学 位 论 文论文题目: 电子商务中证书认证中心的分析与设计系 部 信息科学技术系 专 业 信息管理与信息系统 年 级 07级 班 级 本科1班 学生姓名 路朕 指导老师 张燕燕 职 称 副教授 2011年 05月16日论文题目: 电子商务中证书认证中心的分析与设计 系 部 信息科学技术系 专 业 信息管理与信息系统 年 级 07级 班 级 本科1班 学生姓名 路朕 学 号 07106020129 指导老师 张燕燕(副教授)2011年0
2、5年16日 原 创 性 声 明本人声明:所呈交的论文是本人在导师指导下进行的研究成果。除了文中特别加以标注和致谢的地方外,论文中不包含其他人已发表或撰写过的研究成果。参与同一工作的其他同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 签 名: _ 日 期: 本论文使用授权说明本人完全了解山东政法学院有关保留、使用学位论文的规定,即:学校有权保留论文及送交论文复印件,允许论文被查阅和借阅;学校可以公布论文的全部或部分内容。(保密的论文在解密后应遵守此规定)学生签名: 指导教师签名: 日期: 目 录摘要IABSTRACTIII第一章 引言11.1 研究背景11.2 国内CA发展现
3、状21.3研究内容及目标31.4本论文组织结构4第二章PKI技术介绍52.1数字证书概念及元素分析52.2数字信封概念及元素分析62.3微软CryptoAPI体系介绍72.4 SSL协议72.5 LDAP标准及其SCHEMA9第三章 证书认证系统设计133.1证书认证系统总体架构133.1.1证书认证系统网络拓扑图设计133.1.2证书认证系统模块逻辑架构设计143.2KMC子系统设计153.2.1 KMC子系统结构设计153.2.2 KMC子系统功能设计161.13.3 CA子系统设计173.3.1 CA子系统结构设计173.3.2 CA管理终端功能设计183.3.3证书签发服务程序功能设计
4、203.3.5签名服务程序功能设计213.3.6以查询终端功能设计213.3.7 CA审计终端功能设计223.4 RA子系统设计233.4.1 RA子系统结构设计233.4.2 队管理终端功能设计243.4.3 RA业务终端功能设计243.5证书发布子系统OCSP/LDAP设计243.5.1 LDAP架构设计253.5.2 OCSP架构设计253.6证书模板机制设计253.6.1 证书模板定义253.6.2证书模板元素分析263.6.3证书模板流程设计26第四章证书认证系统改进与思考274.1 CA业务实现模式探讨274.2 CA业务性能提高探讨274.3 CA系统改进的思考28参考文献29致
5、 谢30摘 要随着信息安全技术和公钥基础设施的飞速发展,以及各级证书认证系统的建设和推广,巫需发展可靠的、满足多种应用的证书认证系统方案。CA系统不能满足各种安全应用的局限性也越来越受到人们的重视。国内CA发展现状和中国电子认证服务业的法律法规,也对证书认证系统提出了更高要求。CA市场的规范化、淘汰制、重组机制也迫切要求建立一个功能完善、技术先进、安全可靠、服务领先的证书认证系统。本论文的证书认证系统体系结构包含四个重要的实体:密钥管理中心子系统、CA中心子系统、RA中心子系统、OCSP/LDAP证书发布子系统。该证书认证系统提供对数字证书全生命周期的过程管理,包括用户注册管理、证书证书注销列
6、表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等。本论文在证书认证系统的设计上,采用自上而下的方法进行描述。先从网络拓扑和逻辑架构两方面设计系统总体架构;然后分析了KMC子系统、CA子系统、RA子系统、OCSP/LDAP子系统的程序组成和模块组成;最后讨论和设计了证书模板机制。本论文在证书认证系统的实现上,采用抓主要矛盾的方法进行描述。先从总体业务流程和证书申请流程两方面介绍业务流程实现;然后详细描述系统业务关键点实现,包括证书认证系统报文、RA/CA业务报文元素分析、证书管理类报文实现、证书申请类报文实现等;最后对证书模板机制、统一接口、系统安
7、全性设计进行实现性描述。与传统的证书认证系统相比,具有以下创新性:(1)建立一个功能完善、技术先进、安全可靠、服务领先的PKI架构,支持RCA-CA-SCA-RA-LRA层次结构。(2)建设完整的双证书(加密证书和签名证书)模式,兼容单证书模式。(3)可灵活裁减的层次化结构,可根据应用系统的需求灵活组合各个子系统,从而构建满足不同应用的证书认证系统。(4)支持强大的证书模板申请机制、更好面对复杂的证书应用。(5)系统具有开放性,能二次开发,能够适应内外部环境的变化。证书认证系统为各行各业提供基础性服务,已在电子政务领域、电子商务领域广泛使用。目前证书认证系统同授权管理系统(PMI)、单点登录系
8、统、统一用户管理系统的集成应用成为行业热点;证书认证系统对国家标准的ECC密码算法的应用支持也将成为行业的另一看点,也对证书认证系统提出更高的要求。本文的意义在于,针对证书认证系统,提出了一套完整的实现方法,有较强的实用价值,可为各级证书认证系统的实际建设提供一种方案。本文的模板机制也可用在授权管理系统的属性证书的签发;本文的设计方法和分析手段也可用来指导其他大型项目的开发。关键词:密钥管理中心;CA;RA;OCSP;LDAPABSTRACTWith the rapid development of information security techniques and Public Key
9、Infrastrre(PKI),as well as all levels of the certificate Certification Center Builded and promoted,We urgently need to develop the Certificate Authentication (CA)system,which is reliable and meet a variety of complex application.We are more and more paying attention to the limitation,which CA system
10、 cannot meet a great deal of security application.The fact that the status of the development of domestic CA system and laws and regulation of Chinas electronic authentication service industry put forward to the higher requirements.It is eager to establish a fully functional,technologically advanced
11、,safe and reliable system based on PKI tecnologies,which the CA market of standardization,and elimination system,restructuring mechanism.The CA system architecture includes four key entities:the KMC Subsystem,the KMC Subsystem provide the management processes of digital certificate lifecycle,include
12、 user register management,certificate/CRL generation and issuance,certificate/CRL storage and release,the certificate status queries,key generation and management,process safety auditing.This CA systems architecture includes four key entities:the KMC Subsystem,the KMC Subsystem,the CA Subsystem,the
13、RA Subsystem,the COSP/LDAP Subsystem.This CA systems provide the management processes of digital certificate lifecycle,include user register management ,certificate/CRL generation and issuance,certificate/CRL storage and release,the certificate status queries,key generation and management,process sa
14、fety auditing.This thesis,the top-down method described is used on the design of CA systems.It first designs the overallfrance of the CA system from two aspects:the network topology and logical structure;And then designs the composition of the Procedures and modules of the KMC subsystem,CA subsystem
15、,RA subsystem,OCSP/LDAP subsystem;finally discusses and designs the certificate template mechanism.This thesis,using the method of grasping the principal contradicition describes the templement of authentication system.It starts with business processes to implement from two aspects:and then has a de
16、tailed description of the system to implenment business-critical points,including the message of CA system message, the construction of the RACAs interface,the analysis of RACAs business message,programming message to zertification, programming message to certificate management;finally has a realiza
17、ble description on the certificate template mechanism,a unified interface,system security design.Compared with the traditional CA system, it has the following improvement and Innovation.(1)it establishis a fully functional,technologically advanced,safe and reliable system beased on PKI technologies,
18、 which support the RCA-CA-SCA-RA-LRA hierarchical structure.(2)it supports a compatible with a single certificate(encryption certificate and signed certificate)mode, compatible with a single certificate mode.(3)It has the flexible hierarchical structure and freely makes up the various subsystem to m
19、eet a great deal of security applications.(4)it offer the certificate template mechanism to meet a great deal of application of digital certificate.(5)it is open to secondary development and is able to adapt to internal and external environment changes.The CA System provides basic services for all s
20、ectors and it has been used in e-govement ares,e-commerce fields. The integrated application of CA system,PMI system,SSO system becomes the industry hot spots and it raises higher requirements on the CA system.In this paper,the significance lies in the fact that putting forward a complete set of met
21、hods on CA system, that has a strang practical value,that provides an idea of all levels of construction of CA system.Template mechanism of this paper can also be used to sign attribute certificate in Privilege Management Infrastrcture(PMI)System. The design methods and analytical models can also be
22、 used to guide the development of other large-scale projects.Keyword: KMC; CA ;OCSP; LDAP第一章 引言1.1 研究背景公钥基础设施 (Public Key Infrastrueture,PKI)是利用公钥概念和加密技术为网上通信提供符合标准的一整套安全基础平台。公钥基础设施能为各种不同安全需求的用户提供各种不同的网上安全服务,主要有身份识别(认证)、数据保密性、数据完善性、不可否认性及时间戳服务等。从广义上讲,所有提供公钥加密和数字签名服务的系统都可叫做PKI系统。随着信息安全技术、PKI体系的飞速发展,以
23、及各级证书认证 (Certificate Authority,CA)系统的建设和推广,巫需发展可靠的、满足多种应用的CA系统方案。中国电子认证服务业发展在政策环境、法律法规上也制定了一系列规范,基本历程描述如图1-1所示:2004年2月28日 中华人民共和国电子签名法2005年2月8日电子认证服务管理办法2005年3月31日 电子认证服务密码管理办法2006年2月23日国务院办公厅法【2006】11号明确了:电子签名法律效力电子签名的安全保障措施电子认证服务市场准入条件进一步规范:电子认证服务行为和管理进一步说明:身份认定,授权管理,责任界定进一步规范:规范电子认证服务提供使用密码的行为图1-
24、1中国电子认证服务业政策环境图为适应国家信息化发展需要,满足电子认证服务对证书认证系统密码及其相关安全技术的应用需求,规范我国电子认证服务系统的建设和管理,根据电子认证服务密码管理办法第十三条:“证书认证系统密码及其相关安全技术规范由国家密码管理局发布”的规定,国家密码管理局制定了证书认证系统密码及其相关安全技术规范。该规范适用于在中华人民共和国境内为公众服务的数字证书认证系统的设计、建设、检测、运行及管理。同时,其他数字证书认证系统的建设、运行及管理,可参照该规范。电子认证服务密码管理办法中也有如下描述:“第九条电子认证服务系统的运行应当符合证书认证系统密码及其相关安全技术规范。电子认证服务
25、提供者对其电子认证服务系统进行技术改造的,事先将具体方案报国家密码管理局备案,事后向国家密码管理局申请安全性审查,通过审查的方可投入运行。”1.2 国内CA发展现状(1)第一轮洗牌,全国100多家以,到目前仅22家入围,而且信产部将严格制准入。电子认证服务管理办法明确了CA认证机构的准入门槛,而且准入标相当高。网络信任体系建设的若干意见指出认证活动,提倡走社会化、专业化道路,“向社会公众提供服务的电子政机构提供服务。”,同时,相关条文使境外电子政务市场CA认证机构被排除在中国市场以外。信息产业部再三强调:“鼓励资源和服务共享,防止盲目重复建设”。CA行业由原来的完全自由竞争过度到政府适度控制状
26、态;信产部陈伟司长在2006中国信息化推进大会上的讲话中指出:2007年电认证工作重点将加大打击非法CA的力度,整顿电子认证服务市场。(2)第二轮竞争,运营服务能力相对较弱者被淘汰出局。2006行业年检:出现部分CA机构因内部管理混乱、运营条件达不到要求非法运作,被面临停牌的警告。2006年赛迪调查数据显示:目前22家合法CA机构中证书发放量最低的只有3千张证书。根本无法支撑符合法规要求的相关常规运作所需的运营支。电子认证服务服务管理办法第三十三条规定了取得资质的机构,在行许可的有效期内不得降低其设立时所具备的条件。电子签名法第三十一条规定了电子认证服务提供者不遵守认证业务规则和违法经营的,由
27、信产部将责令限期改正;逾期未改正的,吊销许可资质。行业管理部门将进一步出台相关的管理办法来构建公开、公平、公正的CA市场竞争机制,鼓励市场的充分竞争。这将有利于发挥基础设施完备、运营规范、有应用基础CA的运营优势,实现对资源的合理分配和有效利用。最终局面:基础设施完备、运营规范、有应用基础CA机构对运营不善的CA进行收购,最终只有少数强势CA的出现。(3)第三轮行业优化,将出现优劣互补,强强合作局面。现在已经建设的多个CA中心几乎都有明显的局部特征和探索性质,规模较小而且简单重复,难以满足社会化服务的要求。由于在CA中心自身的权威性要求下,必然需要运作规范,技术、资金实力雄厚,并能适应国际化趋
28、势的大型CA中心来为社会服务。基于国外CA行业的发展经验和国内目前的状况,我们认为该行业未来的发展必将呈集中化趋势。因此,未来几年中,行业内产业重组已是必然。1.3 研究内容及目标从中国电子认证服务业发展的法律法规到国内以发展现状,都对证书认证提出了更高的要求。研究内容为:根据国内外现有CA模式,设计一套成熟、稳定、面向复杂应用的证书认证,并注意CA系统的先进性、稳定性、及实用性;设计本系统会紧跟国内以,密切关注以市场的规范化、 淘汰制、重组机制。本证书认证系统目标如下:(1)建立一个功能完善、技术先进、安全可靠、服务领先的基于PKI架构的体系,支持RCA-CA-SCA-RA-LRA层次结构,
29、支持多级CA体系、支持多RA体系。(2)建设完整的双证书(加密证书和签名证书)模式,兼容单证书模式。(3)可灵活裁减的层次化、模块化结构,可以根据应用系统的具体要求灵活合系统中各个模块,从而构建满足不同应用的证书认证系统。(4)系统具有开放性,能二次开发,能够适应内外部环境的变化。程序开发可以根据接口标准,自行开发业务系统安全模块。(5)系统能支持到百万级证书。(6)证书模板支持,证书标准扩展项可自由定义,证书私有扩展项可自由定RA子系统根据证书模板申请证书,支持每个用户申请多个不同模板的证书。针对以上研究内容和目标,本文将从设计和实现两个方面详细介绍证书认证系1.4 本论文组织结构本文的主要
30、内容分为6章,各章的主要内容安排介绍如下:本文讨论了证书认证系统的设计与实现,共分为六章。第一章“引言”,分析证书认证系统的研究背景和国内CA发展现状,确本论文的研究内容及目标。第二章“PKI技术介绍”,首先介绍了数字证书基本概念和元素组成、数信封基本概念及元素组成、微软CryptoAPI体系,然后分析讨论SSL协议、LD协议、OCSP协议。本文均使用了这些典型PKI技术。第三章“证书认证系统设计”,先从网络拓扑和逻辑架构两方面设计证书证系统总体架构;然后分析了KMC子系统、CA子系统、RA子系统、OCSP/LD子系统的程序组成和模块组成;最后讨论和设计了证书模板机制。第四章“证书认证系统改进
31、与思考”,先对以业务实现模式、以业务性进行探讨,然后对证书认证系统的改进提出几点思考。第二章PKI技术介绍PKI技术多种多样,应用非常广泛;本章介绍这些基本技术。证书认证系统设计与实现使用了以下典型PKI技术:数字证书、数字信封、微软CryptoAPI、SSL协议、LDAP标准、OCSP协议等。2.1数字证书概念及元素分析数字证书2(Digitaleertifieate)是一种“网络身份证”,它由证书认证心签发;它是一种包含持有者信息、持有者公钥、颁发者、颁发者签名等信息电子文件。为了适应PKI技术的发展,IETF制定在工nternet上使用X.509和证书吊销表(Certifi。ateRev
32、oeationList,CRL)3的标准。X.509v3版本证书组元素分析见图2-1。证书第三层元素:证书第一层元素:特签名证书主体证书签名算法标志证书签名算法值证书第二层元素:证书主体有效期颁发者签名签名算法标识序列号版本持有者名称证书公钥证书发行者证书扩藏段持有者别名扩展主题密钥标识符扩展密钥用法扩展扩展从钥使用周期扩展策略约束扩展基本约束扩展主体目录服务系统扩展颁发者别名扩展策略映射扩展证书策略扩展权威密钥标识符扩展加强密钥周期算法名字约束扩展CRL发布点扩展弘有internet扩展 自定义私有扩展自定义扩展关键性critical自定义扩展值exteValue自定义扩展OLD值证书组元素
33、分析见图2-1通过以上分析,数字证书元素可由待签名证书主题(TBSCertificate)、证书签名算 法标示(signatureAlgorithm)、证书签名值(signatValue)等组成。其中证书第二层元素包括版本号、序列号、证书有效期、颁发者DN、持有者DN等;证书第三层元素主要是一些常用的标准扩展。证书第四层元素主要是自定义扩展,来满足证书对不同应用的需要。证书认证系统提供证书全生命周期管理,也提供证书各个元素的生成。其中证书自定义扩展的满足是系统实现的难点,本论文会通过可配置的证书模板机制满足其实现。2.2数字信封概念及元素分析(1)数字信封概念数字信封(Digital Enve
34、lope)中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。RSA公司的PKCS#7t5标准定义了密码信息封装的语法,其包含数据(Data)格式、签名数据(Signed一data)格式、信封数据(Enveloped一data)格式、签名且信封数据(Signed一and一enveloped一data)格式、杂凑数据(Digested一dat
35、a)格式、加密数据(Enveloped一data)等6种格式。(2)PKCS#7中信封数据(Enveloped-data)格式元素分析如图2-2CongtentInfoContentTypeContentEmcryptedContentinfoVersiomRecipientInfosVersionContent typeEnerypeted keyIssuer serial numberKey emerypetiunAlgarichmContentEmriptionAlgarichmEncryptedContent 图2-2 PKCS#7中信封数据(Enveloped-data)格式元素分析
36、其中对称密钥加密算法(KeyEncryPtionAlgorithm)指用什么算法加密对称密钥:已加密密钥(EncryptedKey)指用接收方公钥加密后的对称密钥密文;信信封加密算法(Content eneryption algorithm)指用什么算法加密数据;已加密数据(Encrypted content)指用对称密钥加密数据以后的密文。2.3微软CrvptoAPI体系介绍(1)CryptoAPI简介微软cryptoAPI6是PKI推荐使用的加密API。其功能是为应用程序开发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口。CryptoAPI处于应用程序和CSP(Crypt
37、ographieServieeProvider)之间。CSP是一个真正执行加密功能的独立模块,典型的CSP有微软RSABaseProvider。目前任何一个加密服务提供者若想成为微软的合法的CSP,就必须获得微软授予的一个签名文件,该签名文件保证了微软CryptoAPI识别该CSP。通过微软的CryptoAPI标准接口可以对CSP中的证书和私钥进行操作,因此掌握CSP原理以及CryptoAPI,将证书、私钥写入到CSP中具有重要意义。(2)CryptoApl框架结构CryptoAPI共有五部分组成:简单消息函数(SIlllplified Message FunetionS)、低层消息函数(Lo
38、w一leve Message Functions) 、基本加密函数(BaseCryptographieFunetions)、证书编解码函数(Certifieate Eneode/DeeodeFunCtionS)和证书库管理函(CertifieateStoreFunetions)。其中前三者可用于对敏感信息进行加密或签名处理,可保证网络传输信心的私有性;后两者通过对证书的使用,可保证网络信息交流中的认证性。2.4 SSL协议(1)SSL协议简介安全套接层协议7(SeeureSoeketLayer,SsL)指使用公钥、私钥技术组合的安全网络通讯协议。SSL协议是网景公司(Netscape)推出的基
39、于WEB应用的安全协议,SSL协议指定了一种在应用程序协议(如Http、Telnet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,主要用于提高应用程序之间数据的安全性,对传送的数据进行加密和隐藏,确保数据在传送中不被改变,即确保数据的完整性。SSL协议8J由握手协议层和记录协议层组成,主要包括记录协议以及建立在记录协议之上的握手协议、警告协议、更改密码说明协议和应用数据协议等可以对会话和管理提供支持的子协议。(2)SSL握手流程SSL握手协议0完成了身份的建立和密钥的交换。在握手过程中,客户端
40、和服务器产生一个共享的会话密钥,可以验证彼此的身份。这个过程通过交换一系列的消息来完成。如图2-3所示:服务器客户端Client_helloServer_helloCertificate(Certificate_request)Server_hello_done (Certificate)Client_key_exchange(Certificate_verify)Change_cipher_specFinishedChange_cipher_specFinished 图2-3 SSL协议握手流程其具体步骤描述如下:(l)客户端发出一条Client_hello的消息,消息内容包括:客户端支持的
41、SSL版本号、客户端产生的32字节随机数、一个对等的会话1D、客户端支持的密钥算法的列表等。(2)服务器发出消息Server一hello进行响应,内容包括:服务器从客户端列表中选定的SSL版本号、服务器产生的32字节的随机数、会话ID、从客户端列表中选择的密码算法。服务器发送它的X.509证书,其中包括了服务器所有者的信息和服务器的公钥,客户端可以使用这个公钥向服务器发送加密的消息。只有与这个证书对应的私钥的所有者才能够对这些消息进行解密。同时,服务器可以向客户端请求证书。这个步骤是可选的,如不选,客户端被称为匿名。最后,服务器发送消息Server_hello_done,表示完成了通信步骤,等
42、待来自客户端的应答。(3)客户端检查服务器的证书和它发送的参数。如果服务器请求客户端证书,那么客户端响应一条证书消息,其中包含了它的X.509证书。客户端发送Client_key_exchange,这是一个随机数,客户端和服务器使用它来建立会话密钥。这个随机数产生于客户端和服务器在前面的通信步骤中交换的随机数,它使用服务器的公钥和RSA算法进行加密。如果客户端提供证书,那么将发送Certificate_verify消息。客户端对发送的所有消息进行Hash运算,并且使用自己的私钥进行签名,这样服务器就可以验证客户端确实持有与客户证书相对应的私钥。然后,客户端计算使用的加密密钥,另外还计算一个用于
43、消息认证码(MAC)的密钥,这个密钥可以用来验证数据完整性。这些密钥产生于客户端和服务器端在前面步骤中交换的秘密随机数。客户端发送Change_cipher_Spec消息,表示将使用这些密码算法和参数处理将来的通信,但是客户端不需将密钥告诉服务器,因为服务器可以使用前面交换的同样的随机数,独立的计算出这些密钥。最后,客户端发送交换结束消息,使用了会话密钥进行加密,并且包含了校验完整性的MAC内容。(4)服务器以它的Change_cipher_spec消息作为响应,向客户端显示它也将使用与客户端相同的参数来加密将来所有的通信内容。服务器发送交换结束消息来结束握手过程,这个消息使用协商好的密钥进行
44、加密。在此之前,所有的加密操作都使用非对称加密方式完成。客户端与服务器之间后续的通信部分现在都可以使用对称加密算法来加密。2.5 LDAP标准及其SCHEMA(1)LDAP简介轻量级目录访问协议 (Lightweight Directory Aeeess Protocol,LDAP)技术是一种标准的目录服务技术,它基于X.500标准。X.500是一种051的目录的服务模型,这个模型包括了所有的命名空间和查询更新协议,X.500通常也被称作“DAP” (Direetory Aeeess Protocol),这个协议运行在0SI网络协议层,功能及其强大,但是也由于丰富的数据模型和操作使得它非常复杂
45、而显得笨重。LDAP相对而言比较的简单,并且它可以根据应用的需要进行定制和扩展。与X.500最大的不同在于,LDAP一开始就设计为运行在TCP/IP协议上,是目录服务在TCP/IP上的实现 (RFC1777VZ版和 RFC2251V3版)。因此LDAP对于Internet访问的支持非常好,并且它还为浏览和查找目录以及内容读取提供了专门的优化,使得读取速度比一般的关系数据库要快得多。LDAP标准定义了在目录中访问信息的协议,规定了信息的形式和特性、信息存放的索引和组织方式、分布式的操作模型,并且还指明LDAP协议本身和信息模型都是可被扩展的。LDAP目录中可以存放各种类型的数据,包括并不仅限于下
46、列几种:简单文本、图片信息、URLS、二进制数据、数字证书等。不同类型的数据存放在不同类型的属性中,每一种属性有其特定的语法。LDAP标准基于X.500的子集提供了一套丰富的属性类型和语法,但是,又提供了自定义属性、语法、甚至是对象类型的能力。目录中的信息存放模型基于项(Entry),每个项拥有全局唯一的名字(DN)并且包含了基于属性的描述信息。项的存放基于树状模型,层次结构相当明晰,适于对应现实世界的组织模型。LDAP也为信息的检索提供了复杂的过滤条件,并且提供了相当的访问控制能力。LDAP中可以大量存放个人的信息。例如,一个机构可以将他所有员工的信息存放在LDAP目录中,供所有人员查阅。个人信息中可以包含有个人的姓名、职务、住址等等。通过把LDAP目录作为系统集成中的一个重要环节,可以简化员工在机构内部查询信息的步骤,而数据源可以放在任何地方。LDAP从设计开始发展到现在,己经在全世界范围内广
