实时证书注销检测 ·对于某些涉及高敏感级数据(如公司之间往来的财务数据) 的PK设施,注销证书和使该注销生效之间是不允许有时 间间隔的。如果一个被注销的证书不能立刻失去效用,就 有可能被恶意用户再次利用。 关键问题是能够让用户及时查询证书当前的状态(有效/ 注销),在线证书状态协议0sP( Online Certificate Status Protoco就是解决这一问题的一种实时证书注销 检查机制。终端实体向0SP响应程序发出证书状态查询请 求,0SP响应程序对查询请求将给出证书是否处于注销状 态的回答,在回答返回给终端之前,证书是不能被使用的 0cSP响应程序通常作为一种由GA提供的或被0A委派的服务 的形式提供
实时证书注销检测 • 对于某些涉及高敏感级数据(如公司之间往来的财务数据) 的PKI设施,注销证书和使该注销生效之间是不允许有时 间间隔的。如果一个被注销的证书不能立刻失去效用,就 有可能被恶意用户再次利用。 • 关键问题是能够让用户及时查询证书当前的状态(有效/ 注销),在线证书状态协议OCSP(Online Certificate Status Protocol)就是解决这一问题的一种实时证书注销 检查机制。终端实体向OSCP响应程序发出证书状态查询请 求,OCSP响应程序对查询请求将给出证书是否处于注销状 态的回答,在回答返回给终端之前,证书是不能被使用的。 OCSP响应程序通常作为一种由CA提供的或被CA委派的服务 的形式提供
目录服务与证书存储库 证书和CRL是一种经常受到用户查询的电子文档,需要采 用适当的形式进行存储与管理。虽然利用电子邮件也可以 完成GA与用户之间的证书与GRL交换,而且也是一种简单 可行的方案,但是当涉及的证书数量很大(成千上万)的 时候,这种方式的负担会很重,并且不能满足终端直接检 索证书与CRL的要求。 比较常用的方法是把证书与CRL集中存放在连网的证书存 储库中,这样就可以支持所有终端用户与GA可随时访问证 书库的要求。但需要为证书存储库定义良好的存储结构和 访问协议
目录服务与证书存储库 • 证书和CRL是一种经常受到用户查询的电子文档,需要采 用适当的形式进行存储与管理。虽然利用电子邮件也可以 完成CA与用户之间的证书与CRL交换,而且也是一种简单 可行的方案,但是当涉及的证书数量很大(成千上万)的 时候,这种方式的负担会很重,并且不能满足终端直接检 索证书与CRL的要求。 • 比较常用的方法是把证书与CRL集中存放在连网的证书存 储库中,这样就可以支持所有终端用户与CA可随时访问证 书库的要求。但需要为证书存储库定义良好的存储结构和 访问协议
时间戳颁发机构 PK|利用证书机制保护网络用户间交换信息的保密性,利 用数字签名可以保证数据的来源认证和数据的完整性。为 了保证通信双方都不能否认自己已经做过的事情,PK还 必须提供不可抵赖服务。实现不可抵赖服务服务,除了数 字签名机制外,还要几种附加组件 其一是提供某种形式的数字收条,SMME3支持使用数 字签名的收条; 其二是提供时间戳服务,防止否认接收方对所接收信息的 时间的否认。在数字签名中附加时间戳还可以防止网络中 发生重放攻击的事件
时间戳颁发机构 • PKI利用证书机制保护网络用户间交换信息的保密性,利 用数字签名可以保证数据的来源认证和数据的完整性。为 了保证通信双方都不能否认自己已经做过的事情, PKI还 必须提供不可抵赖服务。实现不可抵赖服务服务,除了数 字签名机制外,还要几种附加组件 • 其一是提供某种形式的数字收条,S/MIME v3支持使用数 字签名的收条; • 其二是提供时间戳服务,防止否认接收方对所接收信息的 时间的否认。在数字签名中附加时间戳还可以防止网络中 发生重放攻击的事件