第6讲 PKI中的目录基础.ppt

PKI技术 X.500与X.509 Public-key technology, including certificates, is used by the Directory to enable strong authentication, signed and/or encrypted operations, and for storage of signed and/or encrypted data in the Directory. 摘自ITU-T X.509标准 此处的Directory特指X.500目录 而不是我们通常的文件夹、目录 X.509 最早，X.509是为了提供X.500的安全服务，所以，X.509的设计与X.500有着密切联系 提供的安全服务包括 强鉴别、签名操作、加密操作、存储签名加密的数据 密切联系 例如，X.509证书中，用X.500 DN来标识不同的订户 X.509证书是为了IPv6而提出的话，就会用IP地址来标识不同的订户了 X.509中提出了证书、CA和CRL的概念，也描述了他们在X.500中的Entry Schema Schema是X.500中的概念，表示对某个Object Class的属性上的限制条件（下文详细讲解） 所以，有必要学习X.500目录 从X.500到IETF PKIX X.509标准是为了给X.500提供安全服务 IETF PKIX是为了将X.509定义的PKI用于Internet develop Internet standards needed to support an X.509-based PKI 而不是X.500目录的环境 X.509的设计初衷不是TCP/IP Internet 出现顺序是： X.500-X.509-PKIX 什么是X.500？ 以用户需求的角度引出X.500 以及目录Directory Entry Object Class DIT/DIB等等多种概念 信息时代需求——X.500 信息时代的需求就是： 实体（人或者计算机）想要得到信息。 而且应该是以一种友好的、组织结构良好的方式。 X.500目录服务就是一种信息服务，提供信息查询、管理。 以及必需的其他功能 例如Access Control、分布式、数据一致性、安全等等 获得和管理信息 平常如何获得信息？ BBS WWW网站，Sina/sohu 关系数据库 各种专用的MIS系统 获得信息的问题 获得信息的过程，必须解决3个问题 多个信息单元在系统上是如何组织的 BBS 帖子的组织：区－版－帖子 WWW 新闻的组织：频道－栏目－新闻 关系数据库 库、表、视图 信息单元本身的组织形式 以什么通信协议获得 获得信息的问题 要获得信息，必须解决3个问题 多个信息单元在系统上是如何组织的 信息单元本身的组织形式 BBS 帖子：由标题、作者、内容、时间等等组成 WWW 新闻：基本上是无结构的，新闻的内容都是直接写，机器难以直接获得 RDBMS 表的字段field，每个field代表了什么意义 以什么通信协议获得 获得信息的问题 要获得信息，必须解决3个问题 多个信息单元在系统上是如何组织的 信息单元本身的组织形式 以什么通信协议获得（问题1、2是为了让用户能更好地获取） 协议设计，是和1、2问题相关的 然后在设计某种协议就可以 HTTP对某个URL Telnet某个BBS、然后各种上下左右键 SQL语句查询某个表、某个字段 管理信息的问题 包括了： 访问控制 数据的限制 某些field只能是数字、不超过1024字节等 信息单元之间的相互关系 例如数据库的主键、外键等等 分布式的复制、一致性 在X.500中也同样应该解决 先看获得信息的问题 信息单元之间如何组织 要回答这个问题 要先知道是什么方面的信息 关于学生的信息（RDBMS） 直接列出每个人的身高、体重、年龄、成绩就可 每个人直接就是Table中的1条Record 简单并列关系 查找中国政府机构的信息 有几个部、每个部有几个司、局、处等等 类似于树、层次结构 信息单元本身的组织形式 对于人的基本情况 身高、体重、视力各种属性（属性只有1个值） 关系数据库表，每个field表示1种属性 电话号码（人可能有7个电话号码、278个电话号码、无数个电话号码） 单独的1个表，不合适 要什么方面的信息？ 要回答这2个问题，和信息本身表示了什么有关 多个信息单元在系统上是如何组织的 信息单元本身的组织形式 要存储不同的信息，其组织形式也会有所不同 那么，X.500要提供什么方面的信息？ 我们的目标是 我们希望 大一统/世界大同 任何方面的信息都能够很好地存储 EVERYTHING 解决方案 问题 能否有一种信息组织方法，能适用于世界上的所有事物？ 尝试的解决方案