技術領域

本發明涉及通信技術領域，尤其涉及一種基于密鑰交換協議的LDAP（Lightweight?Directory?Access?Protocol，輕量目錄訪問協議）實現方法和裝置。

背景技術

LDAP是目前在網絡上廣泛使用的提供目錄服務的協議。LDAP目錄幾乎可以存儲所有類型的數據：電子郵件地址、DNS（Domain?Name?System，域名系統）信息、NIS（Network?Information?Service，網絡信息服務）映射、安全性密鑰、聯系人信息列表和計算機名等。在PKI（Public?KeyInfrastructure，公鑰基礎設施）領域，主要用于存儲CA（certificateauthority，認證中心）寫入的公鑰數字證書和CRL（證書撤消列表，Certificate?Revocation?List）文件。

由于LDAP所具有的查詢效率高、樹狀信息管理模式、分布式部署框架以及靈活而細膩的訪問控制等特性，使LDAP廣泛地應用于基礎性、關鍵性信息的管理，如用戶信息、網絡資源信息的管理等。作為目錄服務的提供者，保護信息及資源的機密性，完整性及避免有效攻擊就成為了LDAP必須考慮的安全方面的重要問題。

現階段LDAP?v3是主流的LDAP版本，其支持的認證機制有匿名認證、簡單認證和SASL（Simple?Authentication?and?Security?Layer，簡單認證和安全層協議）認證。SASL用來在基于鏈接的協議之間建立一個安全層，是一個在LDAP服務器和LDAP客戶端之間進行認證保護雙方安全通信的框架，經過雙方協商采用某種方式的認證機制來建立這種認證。SASL定義了多種認證機制，LDAP?v3服務器與客戶端可以使用任意一種認證機制。

目前的LDAP協議還沒有標準的SASL實現，由于RSA算法具有重大安全隱患，導致現在的LDAP服務面臨極大的安全威脅。因此，在SASL框架的基礎上添加更安全的機制，保證整個LDAP服務使用的安全性、保密性是一個亟待解決的問題。

發明內容

本發明的實施例提供了一種基于密鑰交換協議的LDAP實現方法和裝置，以提高LDAP服務的安全性。

一種基于密鑰交換協議和輕量目錄訪問協議的信息傳輸方法，包括：

在LDAP服務器和LDAP客戶端之間使用SASL協商建立基于SM2密鑰交換協議的安全通道；

所述LDAP客戶端以協商出的共享對稱密鑰加密需要傳輸的信息，將加密后的信息通過所述安全通道傳輸給所述LDAP服務器，所述LDAP服務器用協商出的共享對稱密鑰解密所述加密后的信息。

一種基于密鑰交換協議和輕量目錄訪問協議的信息傳輸系統，包括：

LDAP客戶端，用于和LDAP服務器之間使用SASL協商建立基于SM2密鑰交換協議的安全通道，以協商出的共享對稱密鑰加密需要傳輸的信息，將加密后的信息通過所述安全通道傳輸給所述LDAP服務器；

LDAP服務器，用于和LDAP客戶端之間使用簡單認證和安全層協議SASL協商建立基于SM2密鑰交換協議的安全通道，用協商出的共享對稱密鑰解密所述加密后的信息。

由上述本發明的實施例提供的技術方案可以看出，本發明實施例通過將SM2密鑰交換協議算法引入到客戶端調用LDAP服務的認證過程中，對現有LDAP安全機制進行了擴展，有效地提高了LDAP服務的安全性，提高了LDAP服務的運算效率。

附圖說明

為了更清楚地說明本發明實施例的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明實施例一提供的一種基于密鑰交換協議和LDAP的信息傳輸方法的實現原理示意圖；

圖2為本發明實施例一提供的一種基于密鑰交換協議和LDAP的信息傳輸方法的具體處理流程示意圖；

圖3為本發明實施例三提供的一種基于密鑰交換協議和LDAP的信息傳輸系統的具體結構示意圖。

具體實施方式

為便于對本發明實施例的理解，下面將結合附圖以幾個具體實施例為例做進一步的解釋說明，且各個實施例并不構成對本發明實施例的限定。

實施例一

該實施例提供的一種基于密鑰交換協議和LDAP的信息傳輸方法的實現原理示意圖如圖1所示，具體處理流程示意圖如圖2所示，包括如下的處理步驟：