P来保证用户的证书是有效的。如果用户因为某种原因，或者想更换新的证书，或者怀疑其私人密钥泄漏了，那么用户就可以报告CA要求撤销自己的证书，这时CRL或者OCSP中就会出现这个用户的证书信息，说明这个用户的证书已经失效，其它的用户不要再信任这个证书了。CRL和OCSP的区别在于，CRL是离线方式的，OCSP是在线方式的，是实时的。这种区别也造成CRL列表占用的空间会比OCSP大。         LDAP目录服务器是用来存放用户证书的，它对外提供了下载证书的接口。用户可以通过LDAP的接口来获取任何用户的证书。

4、安全通信的应用协议    
       一个完整的电子商务的安全体系结构可以表示。电子商务安全体系由网络基础结构层、PKI体系结构层、安全协议层、应用系统层组成。其中，下层是上层的基础，为上层提供技术支持；上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。通过不同的安全控制技术，实现各层的安全策略，保证电子商务系统的安全。         网络基础结构层包括多厂商的网络服务及网络系统，用它们构成一种安全的、面向交易以及面向关系的通信网络联结。网络服务包括策略管理软件、地址管理软件、安全和网络管理软件。网络系统部件包括局域网、交换机、安全的虚拟专用网、负载平衡、缓冲、网关、数据与电话服务器、广域网接入设备、路由器、应用服务器以及数据存储服务器。          在PKI的基础之上，是安全协议层，为各种安全的通信应用提供了基础。常见的安全协议包括SSL协议（Secure Socket Layer Protocol）或者TLS（Transport Layer Secure Protocol）协议，以及专门用于电子交易的SET协议（Secure Electronic Transaction Protocol）。

（1）SSL协议

      SSL（Secure Socket Layer即安全套接层）协议是Netscape Communication公司推出在网络传输层之上提供的一种基于非对称密钥和对称密钥技术的用于浏览器和Web服务器之间的安全连接技术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。          SSL协议支持了电子商务关于数据的安全性、完整性和身份认证的要求，但是它没有保证不可抵赖性的要求。         客户端和服务端进行身份认证时，SSL协议支持三种方式的认证：双方的相互认证，只认证服务端的认证和双方都不认证。身份认证是通过验证数字证书的合法性来保证的，因为我们在上文提到，数字证书类似一个实体的身份证。         在认证通过之后，客户端和服务端产生一套完全一样的临时对称密钥，通过对数据进行对称加密操作来保证数据的安全性，通过MAC码的计算来保证数据的完整性。         但是我们可以看出，SSL协议对数据的安全性保护是建立在对称密钥算法基础上的，所以它不能够提供不可抵赖性的保证。这样，我们就没有办法区别一条消息究竟是谁创建的，因为双方共享着一套对称密钥。          而且，在SSL协议中，交易的参与者只有两方：商家和客户，它没有涉及到支付方。因此在一个要求严格的。