[发明专利]基于密钥交换协议的轻量目录访问协议实现方法和装置

权利要求书

1.一种基于密钥交换协议和轻量目录访问协议的信息传输方法，其特征在于，包括：

在LDAP服务器和LDAP客户端之间使用SASL协商建立基于SM2密钥交换协议的安全通道；

所述LDAP客户端以协商出的共享对称密钥加密需要传输的信息，将加密后的信息通过所述安全通道传输给所述LDAP服务器，所述LDAP服务器用协商出的共享对称密钥解密所述加密后的信息。

2.根据权利要求1所述的基于密钥交换协议和轻量目录访问协议的信息传输方法，其特征在于，所述的在LDAP服务器和LDAP客户端之间使用SASL协商建立基于SM2密钥交换协议的安全通道之前，包括：

认证中心根据对应加密机中指定的SM2密钥对，生成所述LDAP服务器和LDAP客户端的SM2算法的数字证书和证书链，将所述LDAP服务器的数字证书和证书链发送给所述LDAP服务器，将所述LDAP客户端的SM2算法的数字证书和证书链发送给所述LDAP客户端。

3.根据权利要求2所述的基于密钥交换协议和轻量目录访问协议的信息传输方法，其特征在于，所述的在LDAP服务器和LDAP客户端之间使用SASL协商建立基于SM2密钥交换协议的安全通道，包括：

所述LDAP客户端将本方的SM2密钥协商算法标识、椭圆曲线点、本方公钥、随机值，以及数字证书、证书链和签名信息发送给所述LDAP服务器；

所述LDAP服务器验证所述LDAP客户端的数字证书、证书链，如果验证成功，所述LDAP服务器根据所述LDAP客户端发送来的SM2密钥协商算法标识、椭圆曲线点、本方公钥、随机值和本地数据计算出SM1共享对称密钥，同时将本方的SM2密钥协商算法标识、椭圆曲线点、本方公钥、随机值，以及数字证书、证书链和签名信息发送给所述LDAP客户端；

所述LDAP客户端验证所述LDAP服务器的数字证书、证书链，如果验证通过，则所述LDAP客户端同样根据所述LDAP服务器发送来的SM2密钥协商算法标识、椭圆曲线点、本方公钥、随机值和本地数据计算出SM1共享对称密钥；

所述LDAP服务器和所述LDAP客户端之间SASL协商通信完毕，建立基于SM2密钥交换协议的安全通道。

4.根据权利要求3所述的基于密钥交换协议和轻量目录访问协议的信息传输方法，其特征在于，所述的LDAP服务器验证所述LDAP客户端的数字证书、证书链，包括：

所述LDAP服务器验证所述LDAP客户端的数字证书、证书链是否为认证中心颁发的有效证书，并且，所述LDAP客户端的数字证书、证书链和所述LDAP服务器的数字证书、证书链是否在同一认证体系内，如果是，则确定所述LDAP客户端的数字证书、证书链有效；否则，确定所述LDAP客户端的数字证书、证书链无效，返回数字证书、证书链验证失败信息给所述LDAP客户端；

在验证所述LDAP客户端的数字证书、证书链有效后，所述LDAP服务器从所述LDAP客户端的数字证书中获取所述LDAP客户端的权限信息，根据所述LDAP客户端的权限信息判断所述LDAP客户端是否有权限写入信息到LDAP服务，如果是，则所述LDAP服务器和所述LDAP客户端进行后续的安全通路建立操作；否则，返回身份验证失败信息给所述LDAP客户端。

5.根据权利要求3所述的基于密钥交换协议和轻量目录访问协议的信息传输方法，其特征在于，所述的LDAP客户端验证所述LDAP服务器的数字证书、证书链，包括：

所述LDAP客户端验证所述LDAP服务器的数字证书、证书链是否为认证中心颁发的有效证书，并且，所述LDAP服务器的数字证书、证书链和所述LDAP客户端的数字证书、证书链是否在同一认证体系内，如果是，则确定所述LDAP服务器的数字证书、证书链有效；否则，确定所述LDAP服务器的数字证书、证书链无效，返回数字证书、证书链验证失败信息给所述LDAP服务器。

6.一种基于密钥交换协议和轻量目录访问协议的信息传输系统，其特征在于，包括：

LDAP客户端，用于和LDAP服务器之间使用SASL协商建立基于SM2密钥交换协议的安全通道，以协商出的共享对称密钥加密需要传输的信息，将加密后的信息通过所述安全通道传输给所述LDAP服务器；

LDAP服务器，用于和LDAP客户端之间使用SASL协商建立基于SM2密钥交换协议的安全通道，用协商出的共享对称密钥解密所述加密后的信息。