第8章公鑰證書與證書機構(gòu)

第8章公鑰證書與證書機構(gòu)了解以下內(nèi)容：公鑰證書公鑰證書基本概念，公鑰證書系統(tǒng)分類公鑰證書的類型、內(nèi)容、生成途徑、格式、吊銷、使用期限、授權(quán)信息證書機構(gòu)證書機構(gòu)證書吊銷列表CA系統(tǒng)的組成1第8章公鑰證書與證書機構(gòu)8.1公鑰證書數(shù)字證書（數(shù)字認證）用數(shù)字辦法確認、鑒定、認證網(wǎng)絡(luò)上參與信息交流者或服務器的身份。是一個擔保人、計算機系統(tǒng)或者組織者的身份和密鑰所有權(quán)的電子文檔。非對稱體制身份識別的關(guān)鍵是將用戶身份與密鑰綁定。CA(CertificateAuthority)通過為用戶發(fā)放數(shù)字證書(Certificate)來證明用戶公鑰與用戶身份的對應關(guān)系。2第8章公鑰證書與證書機構(gòu)8.1公鑰證書系統(tǒng)的類型單公鑰證書系統(tǒng)一個系統(tǒng)中所有的用戶共用同一個CA。由一個證書機構(gòu)CA和一群用戶組成，CA證書機構(gòu)負責證書的發(fā)放、管理和仲裁，各用戶擁有自己的公/私鑰對。多公鑰證書系統(tǒng)建立一個可信賴的證書鏈3第8章公鑰證書與證書機構(gòu)證書的有效性證書沒有超過有效密鑰沒有被修改。證書不在CA發(fā)行的無效證書清單中。48.1.2公鑰證書的類型客戶證書證實客戶身份和密鑰所有權(quán)服務器證書證明服務器的身份和公鑰安全郵件證書證實電子郵件用戶的身份和公鑰CA證書證實CA身份和CA的簽名密鑰。58.1.3公鑰證書的內(nèi)容證書的格式定義在ITU-TX.509標準里。證書有兩部分組成：證書數(shù)據(jù)的組成P112發(fā)行證書的CA簽名與簽名算法68.1.4公鑰和私鑰對的生成和要求密鑰對生成的兩種途徑密鑰對持有者自己生成密鑰對由通用系統(tǒng)（CA）生成密鑰的安全保護私鑰安全送到用戶手中（安全信道）公鑰送給CA生成證書密鑰安全保存定期更換密鑰對不同類型密鑰對的要求P11378.1.5公鑰證書的申請、更新、分配公鑰--私鑰對的管理包括公鑰—私鑰對的生成、發(fā)行、分配、更新、暫停使用、吊銷等。證書的生成：向CA注冊，填寫申請表，CA對注冊者進行確認CA認證申請者的身份后，按以下步驟生成證書（1）CA檢索所需的證書內(nèi)容信息（2）CA證實這些證書信息內(nèi)容的正確性；CA用其簽名密鑰對證書簽名（3）將證書的一個拷貝送給注冊者（4）CA將證書送給證書數(shù)據(jù)庫，向公用檢索業(yè)務機構(gòu)公布（5）CA將證書存檔（6）CA將證書的一些生成細節(jié)記入審計記錄中。

88.1.6公鑰證書的格式ISO/IEC/ITUX.500標準命名樹結(jié)構(gòu)P11598.1.7公鑰證書的吊銷吊銷的原因：有效期、私鑰泄露、篡改等如何吊銷：用戶可以向CA申請吊銷其證書，CA審核對于已吊銷的證書，CA將它們記入吊銷列表（CRL），并向可能的用戶公布，已供查詢。CRL定時更新可以通過廣播立即吊銷108.1.8證書的使用期限證書本身具有有效期，還有使用期限證書作為加密用時，必須對公鑰所有者的身份認定后才能使用，解密密鑰的使用期可長。使用數(shù)字簽名注意的是：歷史性當前的合法性118.1.9公鑰證書的授權(quán)信息128.1.10數(shù)字證書的使用P117個人證書的申請和安裝138.2證書機構(gòu)證書機構(gòu)CA（CertificationAuthority）:用于創(chuàng)建和發(fā)布證書，它通常為一個稱為安全域的有限群體發(fā)放證書。創(chuàng)建證書的過程：CA系統(tǒng)首先獲取用戶A的請求，其中包括用戶的公鑰，CA將根據(jù)用戶的請求信息產(chǎn)生證書，并用自己的私鑰對證書進行簽名。其他用戶將用A的公鑰對證書進行驗證。CA還負責維護和發(fā)布證書吊銷表.148.2.1CA的組成一個CA系統(tǒng)包括安全服務器、注冊機構(gòu)RA、CA服務器、LDAP目錄服務器和數(shù)據(jù)庫服務器。安全服務器：提供證書申請、瀏覽、證書吊銷表以及證書下載CA服務器：負責證書的簽發(fā)注冊機構(gòu)RA：登記中心服務器LDAP目錄服務器：提供目錄瀏覽器，負責將注冊機構(gòu)服務器傳輸過來的用戶信息以及數(shù)字證書加到服務器上。數(shù)據(jù)庫服務器：用于認證機構(gòu)數(shù)據(jù)、日志和統(tǒng)計信息的存儲和管理。158.2.2認證機構(gòu)的功能認證機構(gòu)：不直接從電子商務中獲利的受法律承認的可信任的權(quán)威機構(gòu)，負責發(fā)放和管理電子證書。提供的服務：證書申請證書更新證書吊銷或撤銷證書的公布和查詢168.2.3證書合法性驗證鏈172012試題11.身份認證中證書的發(fā)行者是（）A.政府機構(gòu)B.認證授權(quán)機構(gòu)C.非盈利自發(fā)機構(gòu)D.個人12.在CA體系結(jié)構(gòu)中起承上啟下作用的是（C）A.安全服務器B.CA服務器C.注冊機構(gòu)RAD.LDAP服務器13.Internet上軟件的簽名認證大部分都來自于（）A.Baltimore公司B.Entrust公司C.Sun公司D.VeriSign公司18.在公鑰證書數(shù)據(jù)的組成中不包括（）A.版本信息B.證書序列號C.有效使用期限D(zhuǎn).授權(quán)可執(zhí)行性1819.對PKI的最基本要求是（）A.支持多政策B.透明性和易用性C.互操作性D.支持多平臺29.PKI不可否認業(yè)務的類型分為______、______和提交的不可否認性。34.PKI(名詞解釋)37.簡述數(shù)字信封的使用方法及特點。39.有效證書應滿足的條件有哪些？40.簡述證書申請的方式。34.PKI192011年10月9．數(shù)字證書的作用是證明證書用戶合法地擁有證書中列出的（）A．私人密鑰B．加密密鑰C．解密密鑰 D．公開密鑰10．LDAP服務器提供（）A．目錄服務B．公鑰服務C．私鑰服務 D．證書服務11．下列服務器中不是CA的組成的是（）A．安全服務器B．PKI服務器C．LDAP服務器 D．數(shù)據(jù)庫服務器12．下列選項中，不屬于有影響的提供PKI服務的公司的是（）A．Baltimore公司B．Entrust公司C．VeriSign公司 D．Sun公司2013．密鑰管理的目的是維持系統(tǒng)中各實體的密鑰關(guān)系，下列選項中不屬于密鑰管理抗擊的可能威脅的是（）A．密鑰的遺失B．密鑰的泄露C．密鑰未經(jīng)授權(quán)使用 D．密鑰的確證性的喪失38．密鑰對生成的兩種途徑是什么？39．簡述證書政策的作用和意義。212011年1月11.公鑰證書的格式定義在ITU的X.500系列標準中的哪個標準里?(B)A.X.501 B.X.509C.X.511 D.X.51912.CA設(shè)置的地區(qū)注冊CA不具有的功能是(D)A.制作證書 B.撤銷證書注冊C.吊銷證書 D.恢復備份密鑰13.認證機構(gòu)對密鑰的注冊、證書的制作、密鑰更新、吊銷進行記錄處理使用的技術(shù)是(C)A.加密技術(shù) B.數(shù)字簽名技術(shù)C.身份認證技術(shù) D.審計追蹤技術(shù)19.CA服務器產(chǎn)生自身的私鑰和公鑰，其密鑰長度至少為(C)A.256位 B.512位C.1024位 D.2048位2220.作為對PKI的最基本要求，PKI必須具備的性能是(B)A.支持多政策 B.透明性和易用性C.互操作性 D.支持多平臺28.采用密碼技術(shù)保護的現(xiàn)代信息系統(tǒng)，其安全性取決于對_密鑰_的保護，而不是對_算法_和硬件本身的保護。40.簡述認證機構(gòu)的證書吊銷功能。41.簡述數(shù)字證書中公鑰—私鑰對應滿足的要求。232010年10月11.在下列選項中，不屬于公鑰證書的證書數(shù)據(jù)的是（）A.CA的數(shù)字簽名 B.CA的簽名算法C.CA的識別碼 D.使用者的識別碼12.在公鑰證書發(fā)行時規(guī)定了失效期，決定失效期的值的是（）A.用戶根據(jù)應用邏輯 B.CA根據(jù)安全策略C.用戶根據(jù)CA服務器 D.CA根據(jù)數(shù)據(jù)庫服務器13.在PKI的性能要求中，電子商務通信的關(guān)鍵是（）A.支持多政策 B.支持多應用C.互操作性 D.透明性18.在VeriSign申請個人數(shù)字證書，其試用期為（）A.45天 B.60天C.75天 D.90天2419.不可否認業(yè)務中，用來保護收信人的是（）A.源的不可否認性 B.遞送的不可否認性C.提交的不可否認性 D.委托的不可否認性28.密鑰管理是最困難的安全性問題，其中密鑰的_____________和_____________可能是最棘手的。29.安全電子郵件證書是指個人用戶收發(fā)電子郵件時，采用___________機制保證安全。它的申請不需要通過業(yè)務受理點，由用戶直接通過自己的瀏覽器完成，用戶的_______________由瀏覽器產(chǎn)生和管理。34.遞送的不可否認性37.簡述證書合法性驗證鏈。40.密鑰對生成的途徑有哪些？252010年1月9.在對公鑰證書格式的定義中已被廣泛接受的標準是(C)A.X.500 B.X.502C.X.509 D.X.60010.使用者在更新自己的數(shù)字證書時不可以采用的方式是(A)A.電話申請 B.E-Mail申請C.Web申請 D.當面申請11.在PKI的構(gòu)成模型中，其功能不包含在PKI中的機構(gòu)是(D)A.CA B.ORAC.PAA D.PMA20.在下列選項中，屬于實現(xiàn)遞送的不可否認性的機制的是(B)A.可信賴第三方數(shù)字簽名 B.可信賴第三方遞送代理C.可信賴第三方持證 D.線內(nèi)可信賴第三方2630.為了對證書進行有效的管理，證書實行__分級___管理，認證機構(gòu)采用了__樹形__結(jié)構(gòu)，證書可以通過一個完整的安全體系得以驗證。31.商務服務的不可否認性（名詞解釋）39．簡述密鑰管理中存在的威脅。40．如何對密鑰進行安全保護？272009年10月11．數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進行（）A．加密 B．加密、解密C．解密 D．安全認證12．通常PKI的最高管理是通過（）A．政策管理機構(gòu)來體現(xiàn)的 B．證書作廢系統(tǒng)來體現(xiàn)的C．應用接口來體現(xiàn)的 D．證書中心CA來體現(xiàn)的13．實現(xiàn)遞送的不可否認性的方式是（）A．收信人利用持證認可 B．可信賴第三方的持證C．源的數(shù)字簽名 D．證據(jù)生成28．VPN是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用______和建立在PKI上的______來獲得機密性保護。2833．公證服務（名詞解釋）36．簡述目前密鑰的自動分配途徑。37由于RSA的公鑰/私鑰對具有不同的功能，在對公鑰/私鑰對的要求上要考慮哪些不一致的情況？292009年1月14.將公鑰體制用于大規(guī)模電子商務安全的基本要素是(D)A.公鑰對 B.密鑰C.數(shù)字證書 D.公鑰證書15.通常PKI的最高管理是通過(A)A.政策管理機構(gòu)來體現(xiàn) B.證書作廢系統(tǒng)來體現(xiàn)C.應用接口來體現(xiàn) D.證書中心CA來體現(xiàn)24.PKI技術(shù)能夠有效地解決電子商務應用中信息的(ABCDE)A.機密性 B.真實性C.完整性 D.不可否認性E.存取控制3029.一個典型的CA系統(tǒng)包括安全服務器、注冊機構(gòu)RA、__CA服務器__、__LDAP服務器__和數(shù)據(jù)庫服務器等。34.CA證書35.公證服務40.簡述有效證書應滿足的條件。41.簡述實現(xiàn)遞送的不可否認性機制的方法。312008年10月15.在單公鑰證書系統(tǒng)中，簽發(fā)根CA證書的機構(gòu)是()A.國家主管部門 B.用戶C.根CA自己 D.其它CA16.CA系統(tǒng)一般由多個部分構(gòu)成，其核心部分為()A.安全服務器 B.CA服務器C.注冊機構(gòu)RA D.LDAP服務器23.下列公鑰—私鑰對的生成途徑合理的有(多選)A.網(wǎng)絡(luò)管理員生成B.CA生成C.用戶依賴的、可信的中心機構(gòu)生成D.密鑰對的持有者生成E.網(wǎng)絡(luò)管理員與用戶共同生成24.屬于數(shù)據(jù)通信的不可否認性業(yè)務的有(多選)A.簽名的不可否認性 B.遞送的不可否認性C.提交的不可否認性D.傳遞的不可否認性E.源的不可否認性3229.證書申請包括了用戶證書的申請與商家證書的申請，其申請方式包括_________和_________。35.認證服務40.簡述公鑰證書包含的具體內(nèi)容。332008年1月7．在電子商務環(huán)境下，實現(xiàn)公鑰認證和分配的有效工具是（C）A．數(shù)字證書 B．密鑰C．公鑰證書 D．公鑰對9．CA對已經(jīng)過了有效期的證書采取的措施是（B）A．直接刪除 B．記入吊銷證書表C．選擇性刪除 D．不作處理10．在PKI的構(gòu)成中，制定整個體系結(jié)構(gòu)的安全政策，并制定所有下級機構(gòu)都需要遵循的規(guī)章制度的是（A）A．PAA B．CAC．ORA D．PMA23．一個典型的CA系統(tǒng)的組成包括有（BCDE）A．文件服務器 B．安全服務器C．CA服務器 D．LDAP服務器E．數(shù)據(jù)庫服務器3428.PKI是基于__數(shù)字ID____的，作用就象是一個電子護照，把用戶的____數(shù)字簽名_____綁接到其公鑰上。38.簡述認證機構(gòu)提供的新證書發(fā)放的過程。352007年