雷晓娟 崔广印 金 一

（北京中油瑞飞信息技术有限责任公司 北京 100007）

0 前言

数字证书在电子交易支付过程中充当第三方担保人角色，是唯一确认安全电子商务交易双方身份的工具。证书有效与否关系到电子交易的安全性。传统的CRL不能提供证书即时状态，而OCSP能够将证书的即时状态实时反馈给应用系统，弥补了CRL的不足。在实际应用中，应用系统作为OCSP客户端将证书查询请求发送给OCSP服务器，OCSP响应器将查询结果返回给客户端，这个过程涉及到构造OCSP请求数据和解析OCSP响应数据两个方面。本文结合应用实践，就OCSP协议语法及特点进行分析讨论。

1 OCSP语法分析

OCSP请求语法分析

客户端与服务器之间通讯需要遵循一套共同约定的语法向对方描述所传递的信息。OCSP协议作为一种标准协议是按照ASN.1描述在OCSP客户端与服务器之间所传递的信息。OCSP请求是根据语法规则经过DER编码的一组数据，这组数据包括协议版本号、请求者名字、请求信息、扩展项。请求语法如下：

在语法中数字签名、请求者名称以及扩展项是可以选择的。在实际请求中可以有选择的包含这些项，然而如果OCSP要求数字签名，那么数字签名项则是不可缺少的，否则OCSP相应器会返回一个sigRequired，告诉应用程序所发请求没有经过数字签名，如果OCSP对这个项没有做特殊要求，在请求中则不必包含。需要注意的是：哈希算法标识；发布者名称的哈希值；发布者公钥的哈希值；要查询的证书序列号是构成OCSP请求的关键项，是缺一不可的。

OCSP响应语法分析

客户端接收到的是OCSP响应器返回的一个经过DER编码的数据。OCSP响应器在接收到客户端的请求后，至少会发送OCSPResponseStatus 枚举结构中6种响应状态的其中一种指明对请求的处理状态。响应语法如下:

在以上OCSPResponse结构中，OCSPResponseStatus枚举了6种OCSP对请求的处理状态，“0”代表successful表示响应被有效确认，响应器会返回给客户端responseBytes响应信息。

responseBytes是个比较大的数据体，其中包含证书标识符、证书状态、响应有效时间等在内的大量信息，客户端需要做好接收大数据的准备，在实际应用中这个数据体大约接近3千字节。证书状态CertStatus，在OCSP协议中有3个响应标识符：good（0）、revoked（1）、unknown（2）。

0表示证书处于正常状态（good）；

1表示证书处于被撤销状态（revoked），在实际中这个意义会被扩展，不仅表示证书被撤销，还可以表示证书被冻结和证书已经过期失效等状态；

2表示证书处于未知状态（unknown），说明所查询的证书不是本CA所颁发。应用系统从responseBytes中提取所关心的证书状态值以判断证书的可信任性。 然而，如果OCSP响应器返回值指明对请求的处理状态不是successful，而是OCSPResponseStatus 枚举结构中其它5种响应之一，那么就没有responseBytes响应信息返回。OCSPResponseStatus 枚举结构中除0以外其余枚举值都是OCSP相应器向客户端说明请求被拒绝的原因，它们的含义分别是：

1 代表非法确认请求

2 代表发布者内部错误

3 代表稍候重试

4 代表必须对请求签名

代表请求未被授权

2 OCSP应用现状及前景

当前，不仅在金融交易，在信息化程度高的大型企业已经把信息安全列入到企业信息化发展规划中，使用数字证书实现身份认证和资源的访问控制，将OCSP作为先进的证书查询技术被应用，以OCSP作为主要证书状态查询手段，以CRL作为后备查询工具。OCSP已经开始逐步替代CRL成为证书查询的首选工具。

[1]ISO/IEC 8824-1:2002 抽象语法记法一（ASN.1 )第1部分：基本记忆规范.

[2]IETF(互联网工程特别工作组）RFC2560.