第8章公钥证书与证书机构

第8章公钥证书与证书机构了解以下内容：公钥证书公钥证书基本概念，公钥证书系统分类公钥证书的类型、内容、生成途径、格式、吊销、使用期限、授权信息证书机构证书机构证书吊销列表CA系统的组成1第8章公钥证书与证书机构8.1公钥证书数字证书（数字认证）用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份。是一个担保人、计算机系统或者组织者的身份和密钥所有权的电子文档。非对称体制身份识别的关键是将用户身份与密钥绑定。CA(CertificateAuthority)通过为用户发放数字证书(Certificate)来证明用户公钥与用户身份的对应关系。2第8章公钥证书与证书机构8.1公钥证书系统的类型单公钥证书系统一个系统中所有的用户共用同一个CA。由一个证书机构CA和一群用户组成，CA证书机构负责证书的发放、管理和仲裁，各用户拥有自己的公/私钥对。多公钥证书系统建立一个可信赖的证书链3第8章公钥证书与证书机构证书的有效性证书没有超过有效密钥没有被修改。证书不在CA发行的无效证书清单中。48.1.2公钥证书的类型客户证书证实客户身份和密钥所有权服务器证书证明服务器的身份和公钥安全邮件证书证实电子邮件用户的身份和公钥CA证书证实CA身份和CA的签名密钥。58.1.3公钥证书的内容证书的格式定义在ITU-TX.509标准里。证书有两部分组成：证书数据的组成P112发行证书的CA签名与签名算法68.1.4公钥和私钥对的生成和要求密钥对生成的两种途径密钥对持有者自己生成密钥对由通用系统（CA）生成密钥的安全保护私钥安全送到用户手中（安全信道）公钥送给CA生成证书密钥安全保存定期更换密钥对不同类型密钥对的要求P11378.1.5公钥证书的申请、更新、分配公钥--私钥对的管理包括公钥—私钥对的生成、发行、分配、更新、暂停使用、吊销等。证书的生成：向CA注册，填写申请表，CA对注册者进行确认CA认证申请者的身份后，按以下步骤生成证书（1）CA检索所需的证书内容信息（2）CA证实这些证书信息内容的正确性；CA用其签名密钥对证书签名（3）将证书的一个拷贝送给注册者（4）CA将证书送给证书数据库，向公用检索业务机构公布（5）CA将证书存档（6）CA将证书的一些生成细节记入审计记录中。

88.1.6公钥证书的格式ISO/IEC/ITUX.500标准命名树结构P11598.1.7公钥证书的吊销吊销的原因：有效期、私钥泄露、篡改等如何吊销：用户可以向CA申请吊销其证书，CA审核对于已吊销的证书，CA将它们记入吊销列表（CRL），并向可能的用户公布，已供查询。CRL定时更新可以通过广播立即吊销108.1.8证书的使用期限证书本身具有有效期，还有使用期限证书作为加密用时，必须对公钥所有者的身份认定后才能使用，解密密钥的使用期可长。使用数字签名注意的是：历史性当前的合法性118.1.9公钥证书的授权信息128.1.10数字证书的使用P117个人证书的申请和安装138.2证书机构证书机构CA（CertificationAuthority）:用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。创建证书的过程：CA系统首先获取用户A的请求，其中包括用户的公钥，CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。其他用户将用A的公钥对证书进行验证。CA还负责维护和发布证书吊销表.148.2.1CA的组成一个CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器。安全服务器：提供证书申请、浏览、证书吊销表以及证书下载CA服务器：负责证书的签发注册机构RA：登记中心服务器LDAP目录服务器：提供目录浏览器，负责将注册机构服务器传输过来的用户信息以及数字证书加到服务器上。数据库服务器：用于认证机构数据、日志和统计信息的存储和管理。158.2.2认证机构的功能认证机构：不直接从电子商务中获利的受法律承认的可信任的权威机构，负责发放和管理电子证书。提供的服务：证书申请证书更新证书吊销或撤销证书的公布和查询168.2.3证书合法性验证链172012试题11.身份认证中证书的发行者是（）A.政府机构B.认证授权机构C.非盈利自发机构D.个人12.在CA体系结构中起承上启下作用的是（C）A.安全服务器B.CA服务器C.注册机构RAD.LDAP服务器13.Internet上软件的签名认证大部分都来自于（）A.Baltimore公司B.Entrust公司C.Sun公司D.VeriSign公司18.在公钥证书数据的组成中不包括（）A.版本信息B.证书序列号C.有效使用期限D.授权可执行性1819.对PKI的最基本要求是（）A.支持多政策B.透明性和易用性C.互操作性D.支持多平台29.PKI不可否认业务的类型分为______、______和提交的不可否认性。34.PKI(名词解释)37.简述数字信封的使用方法及特点。39.有效证书应满足的条件有哪些？40.简述证书申请的方式。34.PKI192011年10月9．数字证书的作用是证明证书用户合法地拥有证书中列出的（）A．私人密钥B．加密密钥C．解密密钥 D．公开密钥10．LDAP服务器提供（）A．目录服务B．公钥服务C．私钥服务 D．证书服务11．下列服务器中不是CA的组成的是（）A．安全服务器B．PKI服务器C．LDAP服务器 D．数据库服务器12．下列选项中，不属于有影响的提供PKI服务的公司的是（）A．Baltimore公司B．Entrust公司C．VeriSign公司 D．Sun公司2013．密钥管理的目的是维持系统中各实体的密钥关系，下列选项中不属于密钥管理抗击的可能威胁的是（）A．密钥的遗失B．密钥的泄露C．密钥未经授权使用 D．密钥的确证性的丧失38．密钥对生成的两种途径是什么？39．简述证书政策的作用和意义。212011年1月11.公钥证书的格式定义在ITU的X.500系列标准中的哪个标准里?(B)A.X.501 B.X.509C.X.511 D.X.51912.CA设置的地区注册CA不具有的功能是(D)A.制作证书 B.撤销证书注册C.吊销证书 D.恢复备份密钥13.认证机构对密钥的注册、证书的制作、密钥更新、吊销进行记录处理使用的技术是(C)A.加密技术 B.数字签名技术C.身份认证技术 D.审计追踪技术19.CA服务器产生自身的私钥和公钥，其密钥长度至少为(C)A.256位 B.512位C.1024位 D.2048位2220.作为对PKI的最基本要求，PKI必须具备的性能是(B)A.支持多政策 B.透明性和易用性C.互操作性 D.支持多平台28.采用密码技术保护的现代信息系统，其安全性取决于对_密钥_的保护，而不是对_算法_和硬件本身的保护。40.简述认证机构的证书吊销功能。41.简述数字证书中公钥—私钥对应满足的要求。232010年10月11.在下列选项中，不属于公钥证书的证书数据的是（）A.CA的数字签名 B.CA的签名算法C.CA的识别码 D.使用者的识别码12.在公钥证书发行时规定了失效期，决定失效期的值的是（）A.用户根据应用逻辑 B.CA根据安全策略C.用户根据CA服务器 D.CA根据数据库服务器13.在PKI的性能要求中，电子商务通信的关键是（）A.支持多政策 B.支持多应用C.互操作性 D.透明性18.在VeriSign申请个人数字证书，其试用期为（）A.45天 B.60天C.75天 D.90天2419.不可否认业务中，用来保护收信人的是（）A.源的不可否认性 B.递送的不可否认性C.提交的不可否认性 D.委托的不可否认性28.密钥管理是最困难的安全性问题，其中密钥的_____________和_____________可能是最棘手的。29.安全电子邮件证书是指个人用户收发电子邮件时，采用___________机制保证安全。它的申请不需要通过业务受理点，由用户直接通过自己的浏览器完成，用户的_______________由浏览器产生和管理。34.递送的不可否认性37.简述证书合法性验证链。40.密钥对生成的途径有哪些？252010年1月9.在对公钥证书格式的定义中已被广泛接受的标准是(C)A.X.500 B.X.502C.X.509 D.X.60010.使用者在更新自己的数字证书时不可以采用的方式是(A)A.电话申请 B.E-Mail申请C.Web申请 D.当面申请11.在PKI的构成模型中，其功能不包含在PKI中的机构是(D)A.CA B.ORAC.PAA D.PMA20.在下列选项中，属于实现递送的不可否认性的机制的是(B)A.可信赖第三方数字签名 B.可信赖第三方递送代理C.可信赖第三方持证 D.线内可信赖第三方2630.为了对证书进行有效的管理，证书实行__分级___管理，认证机构采用了__树形__结构，证书可以通过一个完整的安全体系得以验证。31.商务服务的不可否认性（名词解释）39．简述密钥管理中存在的威胁。40．如何对密钥进行安全保护？272009年10月11．数字证书采用公钥体制，即利用一对互相匹配的密钥进行（）A．加密 B．加密、解密C．解密 D．安全认证12．通常PKI的最高管理是通过（）A．政策管理机构来体现的 B．证书作废系统来体现的C．应用接口来体现的 D．证书中心CA来体现的13．实现递送的不可否认性的方式是（）A．收信人利用持证认可 B．可信赖第三方的持证C．源的数字签名 D．证据生成28．VPN是一种架构在公用通信基础设施上的专用数据通信网络，利用______和建立在PKI上的______来获得机密性保护。2833．公证服务（名词解释）36．简述目前密钥的自动分配途径。37由于RSA的公钥/私钥对具有不同的功能，在对公钥/私钥对的要求上要考虑哪些不一致的情况？292009年1月14.将公钥体制用于大规模电子商务安全的基本要素是(D)A.公钥对 B.密钥C.数字证书 D.公钥证书15.通常PKI的最高管理是通过(A)A.政策管理机构来体现 B.证书作废系统来体现C.应用接口来体现 D.证书中心CA来体现24.PKI技术能够有效地解决电子商务应用中信息的(ABCDE)A.机密性 B.真实性C.完整性 D.不可否认性E.存取控制3029.一个典型的CA系统包括安全服务器、注册机构RA、__CA服务器__、__LDAP服务器__和数据库服务器等。34.CA证书35.公证服务40.简述有效证书应满足的条件。41.简述实现递送的不可否认性机制的方法。312008年10月15.在单公钥证书系统中，签发根CA证书的机构是()A.国家主管部门 B.用户C.根CA自己 D.其它CA16.CA系统一般由多个部分构成，其核心部分为()A.安全服务器 B.CA服务器C.注册机构RA D.LDAP服务器23.下列公钥—私钥对的生成途径合理的有(多选)A.网络管理员生成B.CA生成C.用户依赖的、可信的中心机构生成D.密钥对的持有者生成E.网络管理员与用户共同生成24.属于数据通信的不可否认性业务的有(多选)A.签名的不可否认性 B.递送的不可否认性C.提交的不可否认性D.传递的不可否认性E.源的不可否认性3229.证书申请包括了用户证书的申请与商家证书的申请，其申请方式包括_________和_________。35.认证服务40.简述公钥证书包含的具体内容。332008年1月7．在电子商务环境下，实现公钥认证和分配的有效工具是（C）A．数字证书 B．密钥C．公钥证书 D．公钥对9．CA对已经过了有效期的证书采取的措施是（B）A．直接删除 B．记入吊销证书表C．选择性删除 D．不作处理10．在PKI的构成中，制定整个体系结构的安全政策，并制定所有下级机构都需要遵循的规章制度的是（A）A．PAA B．CAC．ORA D．PMA23．一个典型的CA系统的组成包括有（BCDE）A．文件服务器 B．安全服务器C．CA服务器 D．LDAP服务器E．数据库服务器3428.PKI是基于__数字ID____的，作用就象是一个电子护照，把用户的____数字签名_____绑接到其公钥上。38.简述认证机构提供的新证书发放的过程。352007年