免费智能真题库 > 历年试卷 > 网络规划设计师 > 2017年下半年 网络规划设计师 上午试卷 综合知识
  第45题      
  知识点:   证书应用   认证   认证中心
  章/节:   安全认证方法与技术       

 
甲和乙从认证中心CA1获取了自己的证书I和I,丙从认证中心CA2获取了自己的证书I,下面说法中错误的是( )。
 
 
  A.  甲、乙可以直接使用自己的证书相互认证
 
  B.  甲与丙及乙与丙可以直接使用自己的证书相互认证
 
  C.  CA1和CA2可以通过交换各自公钥相互认证
 
  D.  证书I、I和I中存放的是各自的公钥
 
 
 

 
  第51题    2010年上半年  
   58%
RSA是一种公开密钥加密算法。其原理是:已知素数p、q,计算n=pq,选取加密密钥e,使e与(p-1)×(q-1)互质,计算解密密钥d&eq..
  第43题    2022年下半年  
   40%
以下关于CA为用户领发的证书的描述中,正确的是()。
  第43题    2011年下半年  
   46%
PKI的基本组件不包括以下哪个部分?(43)。
   知识点讲解    
   · 证书应用    · 认证    · 认证中心
 
       证书应用
        数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密和解密。每个用户将设定两个私钥(仅为本人所知的专用密钥,用来解密和签名)、公钥(由本人公开,用于加密和验证签名)和两个密钥,用以实现:
        (1)发送机密文件。发送方使用接收方的公钥进行加密,接收方便使用自己的私钥解密。
        (2)接收方能够通过数字证书来确认发送方的身份,发送方无法抵赖。
        (3)信息自数字签名后可以保证信息无法更改。
               数字证书的格式
               数字证书的格式一般使用X.509国际标准。X.509是广泛使用的证书格式之一,X.509用户公钥证书是由可信赖的证书权威机构(证书授权中心,CA)创建的,并且由CA或用户存放在X.500的目录中。
               在X.509格式中,数字证书通常包括版本号、序列号(CA下发的每个证书的序列号都是唯一的)、签名算法标识符、发行者名称、有效性、主体名称、主体的公开密钥信息、发行者唯一识别符、主体唯一识别符、扩充域、签名(即CA用自己的私钥对上述域进行数字签名的结果,也可以理解为CA中心对用户证书的签名)。
               数字证书的获取
               任何一个用户只要得到CA中心的公钥,就可以得到该CA中心为该用户签署的公钥。因为证书是不可伪造的,因此对于存放证书的目录无须施加特别的保护。
               因为用户数量多,因此会存在多个CA中心。但如果两个用户使用的是不同CA中心发放的证书,则无法直接使用证书,但如果两个证书发放机构之间已经安全地交换了公开密钥,则可以使用证书链来完成通信。
               证书的吊销
               证书到了有效期、用户私钥已泄露、用户放弃使用原CA中心的服务、CA中心私钥泄露都需吊销证书。这时CA中心会维护一个证书吊销列表CRL,以供大家查询。
 
       认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议
 
       认证中心
        CA是电子商务体系中的核心环节,是电子交易中信赖的基础。它通过自身的注册审核体系,检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性,与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责发放(给个人、计算机设备和组织机构)并管理所有参与网上交易的实体所需的数字证书,并为其使用证书的一切行为提供信誉的担保。但是,CA本身并不涉及商务数据加密、订单认证过程以及线路安全。
        概括地说,CA的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书,具体描述如下:
        (1)接收验证最终用户数字证书的申请。
        (2)确定是否接受最终用户数字证书的申请——证书的审批。
        (3)向申请者颁发或拒绝颁发数字证书。
        (4)接收、处理最终用户的数字证书更新请求——证书的更新。
        (5)接收最终用户数字证书的查询、撤销。
        (6)产生和发布证书废止列表(CRL),验证证书状态。
        (7)数字证书的归档。
        (8)密钥归档。
        (9)历史数据归档。
        通常CA中心会采用“统一建设,分级管理”的原则,分为多层结构进行建设和管理,即统一建立注册中心(Registration Authority, RA)系统,各地区以及各行业可以根据具体情况设置不同层次的下级RA中心或本地注册中心(Local Registration Authority, LRA)。各级下级RA机构统一接受CA中心的管理和审计,证书用户可通过LRA业务受理点完成证书业务办理。RA系统负责本地管理员。用户的证书申请审核,并为LRA系统在各分支机构的分布建设提供策略支撑,完成CA中心的证书注册服务的集中处理。
   题号导航      2017年下半年 网络规划设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第45题    在手机中做本题