第8章公鑰證書與證書機(jī)構(gòu)

第8章公鑰證書與證書機(jī)構(gòu)了解以下內(nèi)容：公鑰證書公鑰證書基本概念，公鑰證書系統(tǒng)分類公鑰證書的類型、內(nèi)容、生成途徑、格式、吊銷、使用期限、授權(quán)信息證書機(jī)構(gòu)證書機(jī)構(gòu)證書吊銷列表CA系統(tǒng)的組成1第8章公鑰證書與證書機(jī)構(gòu)8.1公鑰證書數(shù)字證書（數(shù)字認(rèn)證）用數(shù)字辦法確認(rèn)、鑒定、認(rèn)證網(wǎng)絡(luò)上參與信息交流者或服務(wù)器的身份。是一個擔(dān)保人、計算機(jī)系統(tǒng)或者組織者的身份和密鑰所有權(quán)的電子文檔。非對稱體制身份識別的關(guān)鍵是將用戶身份與密鑰綁定。CA(CertificateAuthority)通過為用戶發(fā)放數(shù)字證書(Certificate)來證明用戶公鑰與用戶身份的對應(yīng)關(guān)系。2第8章公鑰證書與證書機(jī)構(gòu)8.1公鑰證書系統(tǒng)的類型單公鑰證書系統(tǒng)一個系統(tǒng)中所有的用戶共用同一個CA。由一個證書機(jī)構(gòu)CA和一群用戶組成，CA證書機(jī)構(gòu)負(fù)責(zé)證書的發(fā)放、管理和仲裁，各用戶擁有自己的公/私鑰對。多公鑰證書系統(tǒng)建立一個可信賴的證書鏈3第8章公鑰證書與證書機(jī)構(gòu)證書的有效性證書沒有超過有效密鑰沒有被修改。證書不在CA發(fā)行的無效證書清單中。48.1.2公鑰證書的類型客戶證書證實(shí)客戶身份和密鑰所有權(quán)服務(wù)器證書證明服務(wù)器的身份和公鑰安全郵件證書證實(shí)電子郵件用戶的身份和公鑰CA證書證實(shí)CA身份和CA的簽名密鑰。58.1.3公鑰證書的內(nèi)容證書的格式定義在ITU-TX.509標(biāo)準(zhǔn)里。證書有兩部分組成：證書數(shù)據(jù)的組成P112發(fā)行證書的CA簽名與簽名算法68.1.4公鑰和私鑰對的生成和要求密鑰對生成的兩種途徑密鑰對持有者自己生成密鑰對由通用系統(tǒng)（CA）生成密鑰的安全保護(hù)私鑰安全送到用戶手中（安全信道）公鑰送給CA生成證書密鑰安全保存定期更換密鑰對不同類型密鑰對的要求P11378.1.5公鑰證書的申請、更新、分配公鑰--私鑰對的管理包括公鑰—私鑰對的生成、發(fā)行、分配、更新、暫停使用、吊銷等。證書的生成：向CA注冊，填寫申請表，CA對注冊者進(jìn)行確認(rèn)CA認(rèn)證申請者的身份后，按以下步驟生成證書（1）CA檢索所需的證書內(nèi)容信息（2）CA證實(shí)這些證書信息內(nèi)容的正確性；CA用其簽名密鑰對證書簽名（3）將證書的一個拷貝送給注冊者（4）CA將證書送給證書數(shù)據(jù)庫，向公用檢索業(yè)務(wù)機(jī)構(gòu)公布（5）CA將證書存檔（6）CA將證書的一些生成細(xì)節(jié)記入審計記錄中。

88.1.6公鑰證書的格式ISO/IEC/ITUX.500標(biāo)準(zhǔn)命名樹結(jié)構(gòu)P11598.1.7公鑰證書的吊銷吊銷的原因：有效期、私鑰泄露、篡改等如何吊銷：用戶可以向CA申請吊銷其證書，CA審核對于已吊銷的證書，CA將它們記入吊銷列表（CRL），并向可能的用戶公布，已供查詢。CRL定時更新可以通過廣播立即吊銷108.1.8證書的使用期限證書本身具有有效期，還有使用期限證書作為加密用時，必須對公鑰所有者的身份認(rèn)定后才能使用，解密密鑰的使用期可長。使用數(shù)字簽名注意的是：歷史性當(dāng)前的合法性118.1.9公鑰證書的授權(quán)信息128.1.10數(shù)字證書的使用P117個人證書的申請和安裝138.2證書機(jī)構(gòu)證書機(jī)構(gòu)CA（CertificationAuthority）:用于創(chuàng)建和發(fā)布證書，它通常為一個稱為安全域的有限群體發(fā)放證書。創(chuàng)建證書的過程：CA系統(tǒng)首先獲取用戶A的請求，其中包括用戶的公鑰，CA將根據(jù)用戶的請求信息產(chǎn)生證書，并用自己的私鑰對證書進(jìn)行簽名。其他用戶將用A的公鑰對證書進(jìn)行驗(yàn)證。CA還負(fù)責(zé)維護(hù)和發(fā)布證書吊銷表.148.2.1CA的組成一個CA系統(tǒng)包括安全服務(wù)器、注冊機(jī)構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器。安全服務(wù)器：提供證書申請、瀏覽、證書吊銷表以及證書下載CA服務(wù)器：負(fù)責(zé)證書的簽發(fā)注冊機(jī)構(gòu)RA：登記中心服務(wù)器LDAP目錄服務(wù)器：提供目錄瀏覽器，負(fù)責(zé)將注冊機(jī)構(gòu)服務(wù)器傳輸過來的用戶信息以及數(shù)字證書加到服務(wù)器上。數(shù)據(jù)庫服務(wù)器：用于認(rèn)證機(jī)構(gòu)數(shù)據(jù)、日志和統(tǒng)計信息的存儲和管理。158.2.2認(rèn)證機(jī)構(gòu)的功能認(rèn)證機(jī)構(gòu)：不直接從電子商務(wù)中獲利的受法律承認(rèn)的可信任的權(quán)威機(jī)構(gòu)，負(fù)責(zé)發(fā)放和管理電子證書。提供的服務(wù)：證書申請證書更新證書吊銷或撤銷證書的公布和查詢168.2.3證書合法性驗(yàn)證鏈172012試題11.身份認(rèn)證中證書的發(fā)行者是（）A.政府機(jī)構(gòu)B.認(rèn)證授權(quán)機(jī)構(gòu)C.非盈利自發(fā)機(jī)構(gòu)D.個人12.在CA體系結(jié)構(gòu)中起承上啟下作用的是（C）A.安全服務(wù)器B.CA服務(wù)器C.注冊機(jī)構(gòu)RAD.LDAP服務(wù)器13.Internet上軟件的簽名認(rèn)證大部分都來自于（）A.Baltimore公司B.Entrust公司C.Sun公司D.VeriSign公司18.在公鑰證書數(shù)據(jù)的組成中不包括（）A.版本信息B.證書序列號C.有效使用期限D(zhuǎn).授權(quán)可執(zhí)行性1819.對PKI的最基本要求是（）A.支持多政策B.透明性和易用性C.互操作性D.支持多平臺29.PKI不可否認(rèn)業(yè)務(wù)的類型分為______、______和提交的不可否認(rèn)性。34.PKI(名詞解釋)37.簡述數(shù)字信封的使用方法及特點(diǎn)。39.有效證書應(yīng)滿足的條件有哪些？40.簡述證書申請的方式。34.PKI192011年10月9．?dāng)?shù)字證書的作用是證明證書用戶合法地?fù)碛凶C書中列出的（）A．私人密鑰B．加密密鑰C．解密密鑰 D．公開密鑰10．LDAP服務(wù)器提供（）A．目錄服務(wù)B．公鑰服務(wù)C．私鑰服務(wù) D．證書服務(wù)11．下列服務(wù)器中不是CA的組成的是（）A．安全服務(wù)器B．PKI服務(wù)器C．LDAP服務(wù)器 D．?dāng)?shù)據(jù)庫服務(wù)器12．下列選項中，不屬于有影響的提供PKI服務(wù)的公司的是（）A．Baltimore公司B．Entrust公司C．VeriSign公司 D．Sun公司2013．密鑰管理的目的是維持系統(tǒng)中各實(shí)體的密鑰關(guān)系，下列選項中不屬于密鑰管理抗擊的可能威脅的是（）A．密鑰的遺失B．密鑰的泄露C．密鑰未經(jīng)授權(quán)使用 D．密鑰的確證性的喪失38．密鑰對生成的兩種途徑是什么？39．簡述證書政策的作用和意義。212011年1月11.公鑰證書的格式定義在ITU的X.500系列標(biāo)準(zhǔn)中的哪個標(biāo)準(zhǔn)里?(B)A.X.501 B.X.509C.X.511 D.X.51912.CA設(shè)置的地區(qū)注冊CA不具有的功能是(D)A.制作證書 B.撤銷證書注冊C.吊銷證書 D.恢復(fù)備份密鑰13.認(rèn)證機(jī)構(gòu)對密鑰的注冊、證書的制作、密鑰更新、吊銷進(jìn)行記錄處理使用的技術(shù)是(C)A.加密技術(shù) B.數(shù)字簽名技術(shù)C.身份認(rèn)證技術(shù) D.審計追蹤技術(shù)19.CA服務(wù)器產(chǎn)生自身的私鑰和公鑰，其密鑰長度至少為(C)A.256位 B.512位C.1024位 D.2048位2220.作為對PKI的最基本要求，PKI必須具備的性能是(B)A.支持多政策 B.透明性和易用性C.互操作性 D.支持多平臺28.采用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)，其安全性取決于對_密鑰_的保護(hù)，而不是對_算法_和硬件本身的保護(hù)。40.簡述認(rèn)證機(jī)構(gòu)的證書吊銷功能。41.簡述數(shù)字證書中公鑰—私鑰對應(yīng)滿足的要求。232010年10月11.在下列選項中，不屬于公鑰證書的證書數(shù)據(jù)的是（）A.CA的數(shù)字簽名 B.CA的簽名算法C.CA的識別碼 D.使用者的識別碼12.在公鑰證書發(fā)行時規(guī)定了失效期，決定失效期的值的是（）A.用戶根據(jù)應(yīng)用邏輯 B.CA根據(jù)安全策略C.用戶根據(jù)CA服務(wù)器 D.CA根據(jù)數(shù)據(jù)庫服務(wù)器13.在PKI的性能要求中，電子商務(wù)通信的關(guān)鍵是（）A.支持多政策 B.支持多應(yīng)用C.互操作性 D.透明性18.在VeriSign申請個人數(shù)字證書，其試用期為（）A.45天 B.60天C.75天 D.90天2419.不可否認(rèn)業(yè)務(wù)中，用來保護(hù)收信人的是（）A.源的不可否認(rèn)性 B.遞送的不可否認(rèn)性C.提交的不可否認(rèn)性 D.委托的不可否認(rèn)性28.密鑰管理是最困難的安全性問題，其中密鑰的_____________和_____________可能是最棘手的。29.安全電子郵件證書是指個人用戶收發(fā)電子郵件時，采用___________機(jī)制保證安全。它的申請不需要通過業(yè)務(wù)受理點(diǎn)，由用戶直接通過自己的瀏覽器完成，用戶的_______________由瀏覽器產(chǎn)生和管理。34.遞送的不可否認(rèn)性37.簡述證書合法性驗(yàn)證鏈。40.密鑰對生成的途徑有哪些？252010年1月9.在對公鑰證書格式的定義中已被廣泛接受的標(biāo)準(zhǔn)是(C)A.X.500 B.X.502C.X.509 D.X.60010.使用者在更新自己的數(shù)字證書時不可以采用的方式是(A)A.電話申請 B.E-Mail申請C.Web申請 D.當(dāng)面申請11.在PKI的構(gòu)成模型中，其功能不包含在PKI中的機(jī)構(gòu)是(D)A.CA B.ORAC.PAA D.PMA20.在下列選項中，屬于實(shí)現(xiàn)遞送的不可否認(rèn)性的機(jī)制的是(B)A.可信賴第三方數(shù)字簽名 B.可信賴第三方遞送代理C.可信賴第三方持證 D.線內(nèi)可信賴第三方2630.為了對證書進(jìn)行有效的管理，證書實(shí)行__分級___管理，認(rèn)證機(jī)構(gòu)采用了__樹形__結(jié)構(gòu)，證書可以通過一個完整的安全體系得以驗(yàn)證。31.商務(wù)服務(wù)的不可否認(rèn)性（名詞解釋）39．簡述密鑰管理中存在的威脅。40．如何對密鑰進(jìn)行安全保護(hù)？272009年10月11．?dāng)?shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進(jìn)行（）A．加密 B．加密、解密C．解密 D．安全認(rèn)證12．通常PKI的最高管理是通過（）A．政策管理機(jī)構(gòu)來體現(xiàn)的 B．證書作廢系統(tǒng)來體現(xiàn)的C．應(yīng)用接口來體現(xiàn)的 D．證書中心CA來體現(xiàn)的13．實(shí)現(xiàn)遞送的不可否認(rèn)性的方式是（）A．收信人利用持證認(rèn)可 B．可信賴第三方的持證C．源的數(shù)字簽名 D．證據(jù)生成28．VPN是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用______和建立在PKI上的______來獲得機(jī)密性保護(hù)。2833．公證服務(wù)（名詞解釋）36．簡述目前密鑰的自動分配途徑。37由于RSA的公鑰/私鑰對具有不同的功能，在對公鑰/私鑰對的要求上要考慮哪些不一致的情況？292009年1月14.將公鑰體制用于大規(guī)模電子商務(wù)安全的基本要素是(D)A.公鑰對 B.密鑰C.數(shù)字證書 D.公鑰證書15.通常PKI的最高管理是通過(A)A.政策管理機(jī)構(gòu)來體現(xiàn) B.證書作廢系統(tǒng)來體現(xiàn)C.應(yīng)用接口來體現(xiàn) D.證書中心CA來體現(xiàn)24.PKI技術(shù)能夠有效地解決電子商務(wù)應(yīng)用中信息的(ABCDE)A.機(jī)密性 B.真實(shí)性C.完整性 D.不可否認(rèn)性E.存取控制3029.一個典型的CA系統(tǒng)包括安全服務(wù)器、注冊機(jī)構(gòu)RA、__CA服務(wù)器__、__LDAP服務(wù)器__和數(shù)據(jù)庫服務(wù)器等。34.CA證書35.公證服務(wù)40.簡述有效證書應(yīng)滿足的條件。41.簡述實(shí)現(xiàn)遞送的不可否認(rèn)性機(jī)制的方法。312008年10月15.在單公鑰證書系統(tǒng)中，簽發(fā)根CA證書的機(jī)構(gòu)是()A.國家主管部門 B.用戶C.根CA自己 D.其它CA16.CA系統(tǒng)一般由多個部分構(gòu)成，其核心部分為()A.安全服務(wù)器 B.CA服務(wù)器C.注冊機(jī)構(gòu)RA D.LDAP服務(wù)器23.下列公鑰—私鑰對的生成途徑合理的有(多選)A.網(wǎng)絡(luò)管理員生成B.CA生成C.用戶依賴的、可信的中心機(jī)構(gòu)生成D.密鑰對的持有者生成E.網(wǎng)絡(luò)管理員與用戶共同生成24.屬于數(shù)據(jù)通信的不可否認(rèn)性業(yè)務(wù)的有(多選)A.簽名的不可否認(rèn)性 B.遞送的不可否認(rèn)性C.提交的不可否認(rèn)性D.傳遞的不可否認(rèn)性E.源的不可否認(rèn)性3229.證書申請包括了用戶證書的申請與商家證書的申請，其申請方式包括_________和_________。35.認(rèn)證服務(wù)40.簡述公鑰證書包含的具體內(nèi)容。332008年1月7．在電子商務(wù)環(huán)境下，實(shí)現(xiàn)公鑰認(rèn)證和分配的有效工具是（C）A．?dāng)?shù)字證書 B．密鑰C．公鑰證書 D．公鑰對9．CA對已經(jīng)過了有效期的證書采取的措施是（B）A．直接刪除 B．記入吊銷證書表C．選擇性刪除 D．不作處理10．在PKI的構(gòu)成中，制定整個體系結(jié)構(gòu)的安全政策，并制定所有下級機(jī)構(gòu)都需要遵循的規(guī)章制度的是（A）A．PAA B．CAC．ORA D．PMA23．一個典型的CA系統(tǒng)的組成包括有（BCDE）A．文件服務(wù)器 B．安全服務(wù)器C．CA服務(wù)器 D．LDAP服務(wù)器E．?dāng)?shù)據(jù)庫服務(wù)器3428.PKI是基于__數(shù)字ID____的，作用就象是一個電子護(hù)照，把用戶的____數(shù)字簽名_____綁接到其公鑰上。38.簡述認(rèn)證機(jī)構(gòu)提供的新證書發(fā)放的過程。352007年