Chinaunix首页 | 论坛 | 博客
  • 博客访问: 191622
  • 博文数量: 56
  • 博客积分: 1410
  • 博客等级: 上尉
  • 技术积分: 625
  • 用 户 组: 普通用户
  • 注册时间: 2006-12-22 08:58
文章分类

全部博文(56)

文章存档

2011年(1)

2007年(46)

2006年(9)

我的朋友

分类: 网络与安全

2006-12-31 09:25:37

认证检查标准
企业对企业(B2B)电子商务公司越来越多地使用数字证书(由可信赖机构签发的电子身份证)来保证在线交易的安全性。这一行为引发了对另一种安全性的需要,即对这类证书的有效性进行检验。
在线证书状态协议(OCSP)是IETF颁布的用于检查数字证书在某一交易时间是否有效的标准。在OCSP之前,用户没有一种方便的途径来复查证书的有效性。OCSP使经理们可以实时进行这类检查,从而节省了时间和资金,它为电子商务提供了一种检验数字证书有效性的途径,比下载和处理证书撤销清单(CRL)的传统方式更快、更方便和更具独立性。
由证书机构签发的CRL是一张无效证书及其持有者的名单。这种CRL处理方式要求用户配置客户PC来处理来自多个证书机构的CRL。
由于证书机构没有经常签发CRL,或由于撤销证书的数量很大及用户基础很大,所以CRL常常会越变越大。当它们体积过于庞大变得难于使用时就带来了另一个问题,即每次CRL分发会大量消耗网络带宽和客户机处理能力。此外,业务伙伴可能需要几天的时间才能收到有关撤销证书的通知,从而增加了破坏安全性的可能。
OCSP实时在线地向用户提供证书状态,其结果是它比CRL处理快得多,并避免了令人头痛的逻辑问题和处理开销。
为立即检查证书是否被撤销,用户的客户机必须形成请求,并将请求转发到一个OCSP应答器,即网络中保存最新撤销信息的服务器应用程序。应答器回答下列三个有关证书有效性信息中的一个:“好”、“撤销”或“不知道”。尽管HTTP是最通用的方式,但OCSP请求是独立于协议的。
证书机构或其他实体向作为公共密钥基础设施的可信体系组成部分的可信赖机构提供OCSP应答器。对于使用OCSP应答器的用户来说,获得这一信息的最佳途径是使证书机构将信息直接输入到应答器中。根据证书机构与OCSP应答器之间的关系,证书机构可以转发即时的通知或证书撤销信息,并且这些信息可以立即提供给用户。
一项关键的决定涉及到是否使用在数据库中保存实际证书和状态信息的应答器。经常被称之为信息库的这类应答器,使各机构可以访问更多的有关证书和其状态的信息,因此用户可以做出有关交易伙伴可信度的更有依据的业务决定。这种方式的代价是付出维护证书数据库的费用。除了OCSP之外,信息库还支持供客户机应用使用的轻目录访问协议。
OCSP使各机构可以很容易地将多个应答器连接起来,方便企业对企业的交易。这意味着如果一家机构请求从应答器得到该证书的状态,但该应答器没有某一证书信息的话,应答器可以从其它应答器中获得这一信息。建立这种应答器网络可以赋予贸易伙伴验证“国外”证书和在Internet共同开展业务的更多的灵活性。
企业对企业电子商务机构可能打算连接到具有交易数据记录和支持账单应用的OCSP系统中。在记录每项业务交易的情况下,如果某人怀疑一项交易的话,应答器可以帮助解决纠纷。
OCSP给证书认证过程带来了效率并节省了费用,帮助用户增强了交易安全性。今后,业务合作伙伴将可以使用Web来实时检查与客户身份相关的多种属性,如信用历史和账单信息。
阅读(5891) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~