第8章公钥证书与证书机构

1、1 第第8 8章章 公钥证书与证书机构公钥证书与证书机构 了解以下内容：了解以下内容： 公钥证书公钥证书 公钥证书基本概念，公钥证书基本概念， 公钥证书系统分类公钥证书系统分类 公钥证书的类型、内容、生成途径、格式、吊销、公钥证书的类型、内容、生成途径、格式、吊销、 使用期限、授权信息使用期限、授权信息 证书机构证书机构 证书机构证书机构 证书吊销列表证书吊销列表 CA系统的组成系统的组成 2 第第8 8章章 公钥证书与证书机构公钥证书与证书机构 8.1 公钥证书公钥证书 数字证书（数字认证）数字证书（数字认证） 用数字办法确认、鉴定、认证网络上参与用数字办法确认、鉴定、认证网络上参与 信息交

2、流者或服务器的身份。是一个担保信息交流者或服务器的身份。是一个担保 人、计算机系统或者组织者的身份和密钥人、计算机系统或者组织者的身份和密钥 所有权的电子文档。所有权的电子文档。 非对称体制身份识别的关键是将用户身份非对称体制身份识别的关键是将用户身份 与密钥绑定。与密钥绑定。CA(Certificate Authority) 通过为用户发放数字证书通过为用户发放数字证书(Certificate)来来 证明用户公钥与用户身份的对应关系。证明用户公钥与用户身份的对应关系。 3 第第8 8章章 公钥证书与证书机构公钥证书与证书机构 8.1 公钥证书系统的类型公钥证书系统的类型 单公钥证书系统单公钥

3、证书系统 l 一个系统中所有的用户共用同一个一个系统中所有的用户共用同一个CA。 l 由一个证书机构由一个证书机构CA和一群用户组成，和一群用户组成，CA证书机构证书机构 负责证书的发放、管理和仲裁，各用户拥有自己的负责证书的发放、管理和仲裁，各用户拥有自己的 公公/私钥对。私钥对。 多公钥证书系统多公钥证书系统 l 建立一个可信赖的证书链建立一个可信赖的证书链 4 第第8 8章章 公钥证书与证书机构公钥证书与证书机构 证书的有效性证书的有效性 证书没有超过有效证书没有超过有效 密钥没有被修改。密钥没有被修改。 证书不在证书不在CA发行的无效证书清单中。发行的无效证书清单中。 5 8.1.2

4、8.1.2 公钥证书的类型公钥证书的类型 客户证书客户证书 证实客户身份和密钥所有权证实客户身份和密钥所有权 服务器证书服务器证书 证明服务器的身份和公钥证明服务器的身份和公钥 安全邮件证书安全邮件证书 证实电子邮件用户的身份和公钥证实电子邮件用户的身份和公钥 CA证书证书 证实证实CA身份和身份和CA的签名密钥。的签名密钥。 6 8.1.3 公钥证书的内容公钥证书的内容 证书的格式定义在证书的格式定义在ITU-T X.509 标准里。标准里。 证书有两部分组成：证书有两部分组成： 证书数据的组成证书数据的组成 P112 发行证书的发行证书的CA签名与签名算法签名与签名算法 7 8.1.4 公

5、钥和私钥对的生成和要求公钥和私钥对的生成和要求 密钥对生成的两种途径密钥对生成的两种途径 密钥对持有者自己生成密钥对持有者自己生成 密钥对由通用系统（密钥对由通用系统（CA）生成）生成 密钥的安全保护密钥的安全保护 私钥安全送到用户手中（安全信道）私钥安全送到用户手中（安全信道） 公钥送给公钥送给CA生成证书生成证书 密钥安全保存密钥安全保存 定期更换密钥定期更换密钥 对不同类型密钥对的要求对不同类型密钥对的要求P113 8 8.1.5 公钥证书的申请、更新、分配公钥证书的申请、更新、分配 n公钥公钥-私钥对的管理包括公钥私钥对的管理包括公钥私钥对的生成、发行、私钥对的生成、发行、 分配、更新

6、、暂停使用、吊销等。分配、更新、暂停使用、吊销等。 n证书的生成：证书的生成： n向向CA注册，填写申请表，注册，填写申请表，CA对注册者进行确认对注册者进行确认 nCA认证申请者的身份后，按以下步骤生成证书认证申请者的身份后，按以下步骤生成证书 n （1）CA检索所需的证书内容信息检索所需的证书内容信息 n （2）CA证实这些证书信息内容的正确性；证实这些证书信息内容的正确性；CA 用其签名密钥对证书签名用其签名密钥对证书签名 n （3）将证书的一个拷贝送给注册者）将证书的一个拷贝送给注册者 n （4）CA将证书送给证书数据库，向公用检索将证书送给证书数据库，向公用检索 业务机构公布业务机构

7、公布 n （5）CA将证书存档将证书存档 n （6）CA将证书的一些生成细节记入审计记录将证书的一些生成细节记入审计记录 中。中。 9 8.1.6 公钥证书的格式公钥证书的格式 ISO/IEC/ITU X.500标准标准 命名树结构命名树结构P115 10 8.1.7 公钥证书的吊销公钥证书的吊销 吊销的原因：有效期、私钥泄露、篡改等吊销的原因：有效期、私钥泄露、篡改等 如何吊销：如何吊销： 用户可以向用户可以向CA申请吊销其证书，申请吊销其证书，CA审核审核 对于已吊销的证书，对于已吊销的证书，CA将它们记入吊销列表将它们记入吊销列表 （CRL），并向可能的用户公布，已供查询。），并向可能的

8、用户公布，已供查询。 CRL 定时更新定时更新 可以通过广播可以通过广播 立即吊销立即吊销 11 8.1.8 证书的使用期限证书的使用期限 证书本身具有有效期，还有使用期限证书本身具有有效期，还有使用期限 证书作为加密用时，必须对公钥所有者的身份认证书作为加密用时，必须对公钥所有者的身份认 定后才能使用，解密密钥的使用期可长。定后才能使用，解密密钥的使用期可长。 使用数字签名注意的是：使用数字签名注意的是： 历史性历史性 当前的合法性当前的合法性 12 8.1.9 公钥证书的授权信息公钥证书的授权信息 13 8.1.10 数字证书的使用数字证书的使用P117 个人证书的申请和安装个人证书的申请

9、和安装 14 8.2 证书机构证书机构 证书机构证书机构CA（ Certification Authority）:用于创用于创 建和发布证书，它通常为一个称为安全域的有限建和发布证书，它通常为一个称为安全域的有限 群体发放证书。群体发放证书。 创建证书的过程：创建证书的过程： CA系统首先获取用户系统首先获取用户A的请求，其中包括用户的公钥，的请求，其中包括用户的公钥， CA将根据用户的请求信息产生证书，并用自己的私钥将根据用户的请求信息产生证书，并用自己的私钥 对证书进行签名。对证书进行签名。 其他用户将用其他用户将用A的公钥对证书进行验证。的公钥对证书进行验证。 CA还负责维护和发布证书吊

10、销表还负责维护和发布证书吊销表. 15 8.2.1 CA的组成的组成 一个一个CA系统包括安全服务器、注册机构系统包括安全服务器、注册机构RA、 CA服务器、服务器、LDAP目录服务器和数据库服务器。目录服务器和数据库服务器。 安全服务器：提供证书申请、浏览、证书吊销表以及安全服务器：提供证书申请、浏览、证书吊销表以及 证书下载证书下载 CA服务器：负责证书的签发服务器：负责证书的签发 注册机构注册机构RA：登记中心服务器：登记中心服务器 LDAP目录服务器：提供目录浏览器，负责将注册机目录服务器：提供目录浏览器，负责将注册机 构服务器传输过来的用户信息以及数字证书加到服务构服务器传输过来的用

11、户信息以及数字证书加到服务 器上。器上。 数据库服务器：用于认证机构数据、日志和统计信息数据库服务器：用于认证机构数据、日志和统计信息 的存储和管理。的存储和管理。 16 8.2.2 认证机构的功能认证机构的功能 认证机构：不直接从电子商务中获利的受认证机构：不直接从电子商务中获利的受 法律承认的可信任的权威机构，负责发放法律承认的可信任的权威机构，负责发放 和管理电子证书。和管理电子证书。 提供的服务：提供的服务： 证书申请证书申请 证书更新证书更新 证书吊销或撤销证书吊销或撤销 证书的公布和查询证书的公布和查询 17 8.2.3 证书合法性验证链证书合法性验证链 18 2012试题试题 1

12、1.身份认证中证书的发行者是（）身份认证中证书的发行者是（） A.政府机构政府机构B.认证授权机构认证授权机构 C.非盈利自发机构非盈利自发机构D.个人个人 12.在在CA体系结构中起承上启下作用的是（体系结构中起承上启下作用的是（C） A.安全服务器安全服务器 B.CA服务器服务器 C.注册机构注册机构RA D.LDAP服务器服务器 13.Internet上软件的签名认证大部分都来自于（）上软件的签名认证大部分都来自于（） A.Baltimore公司公司B.Entrust公司公司 C.Sun公司公司D.VeriSign公司公司 18.在公钥证书数据的组成中不包括（）在公钥证书数据的组成中不包

13、括（） A.版本信息版本信息B.证书序列号证书序列号 C.有效使用期限有效使用期限D.授权可执行性授权可执行性 19 19.对对PKI的最基本要求是（）的最基本要求是（） A.支持多政策支持多政策B.透明性和易用性透明性和易用性 C.互操作性互操作性D.支持多平台支持多平台 29.PKI不可否认业务的类型分为不可否认业务的类型分为_、_和提和提 交的不可否认性。交的不可否认性。 34.PKI(名词解释名词解释) 37.简述数字信封的使用方法及特点。简述数字信封的使用方法及特点。 39.有效证书应满足的条件有哪些？有效证书应满足的条件有哪些？ 40.简述证书申请的方式。简述证书申请的方式。 34

14、.PKI 20 2011年年10月月 9数字证书的作用是证明证书用户合法地拥有证书中列数字证书的作用是证明证书用户合法地拥有证书中列 出的（）出的（） A私人密钥私人密钥 B加密密钥加密密钥 C解密密钥解密密钥 D公开密钥公开密钥 10LDAP服务器提供（）服务器提供（） A目录服务目录服务 B公钥服务公钥服务 C私钥服务私钥服务D证书服证书服 务务 11下列服务器中不是下列服务器中不是CA的组成的是（）的组成的是（） A安全服务器安全服务器 BPKI服务器服务器 CLDAP服务器服务器 D数据库服务器数据库服务器 12下列选项中，不属于有影响的提供下列选项中，不属于有影响的提供PKI服务的公

15、司的服务的公司的 是（）是（） ABaltimore公司公司 BEntrust公司公司 CVeriSign公司公司 DSun公司公司 21 13密钥管理的目的是维持系统中各实体的密钥关系，下密钥管理的目的是维持系统中各实体的密钥关系，下 列选项中不属于密钥管理抗击的可能威胁的是（）列选项中不属于密钥管理抗击的可能威胁的是（） A密钥的遗失密钥的遗失 B密钥的泄露密钥的泄露 C密钥未经授权使密钥未经授权使 用用D密钥的确证性的丧失密钥的确证性的丧失 38密钥对生成的两种途径是什么？密钥对生成的两种途径是什么？ 39简述证书政策的作用和意义。简述证书政策的作用和意义。 22 2011年年1月月 1

16、1.公钥证书的格式定义在公钥证书的格式定义在ITU的的X.500系列标准中的哪个系列标准中的哪个 标准里标准里?( B ) A.X.501 B.X.509 C.X.511 D.X.519 12.CA设置的地区注册设置的地区注册CA不具有的功能是不具有的功能是( D ) A.制作证书制作证书 B.撤销证书注册撤销证书注册 C.吊销证书吊销证书D.恢恢 复备份密钥复备份密钥 13.认证机构对密钥的注册、证书的制作、密钥更新、吊认证机构对密钥的注册、证书的制作、密钥更新、吊 销进行记录处理使用的技术是销进行记录处理使用的技术是( C ) A.加密技术加密技术 B.数字签名技术数字签名技术 C.身份认

17、证技术身份认证技术 D.审计追踪技术审计追踪技术 19.CA服务器产生自身的私钥和公钥，其密钥长度至少为服务器产生自身的私钥和公钥，其密钥长度至少为 ( C ) A.256位位 B.512位位 C.1024位位D.2048位位 23 20.作为对作为对PKI的最基本要求，的最基本要求，PKI必须具备的性能是必须具备的性能是 ( B ) A.支持多政策支持多政策 B.透明性和易用性透明性和易用性 C.互操作性互操作性D.支支 持多平台持多平台 28.采用密码技术保护的现代信息系统，其安全性取决于采用密码技术保护的现代信息系统，其安全性取决于 对对_密钥密钥_的保护，而不是对的保护，而不是对_算法

18、算法_和硬件本身的保护。和硬件本身的保护。 40.简述认证机构的证书吊销功能。简述认证机构的证书吊销功能。 41.简述数字证书中公钥简述数字证书中公钥私钥对应满足的要求。私钥对应满足的要求。 24 2010年年10月月 11.在下列选项中，不属于公钥证书的证书数据的是（在下列选项中，不属于公钥证书的证书数据的是（ ） A.CA的数字签名的数字签名 B.CA的签名算法的签名算法 C.CA的识别码的识别码 D.使使 用者的识别码用者的识别码 12.在公钥证书发行时规定了失效期，决定失效期的值的在公钥证书发行时规定了失效期，决定失效期的值的 是（是（ ） A.用户根据应用逻辑用户根据应用逻辑 B.C

19、A根据安全策略根据安全策略 C.用户根据用户根据 CA服务器服务器 D.CA根据数据库服务器根据数据库服务器 13.在在PKI的性能要求中，电子商务通信的关键是（的性能要求中，电子商务通信的关键是（ ） A.支持多政策支持多政策 B.支持多应用支持多应用 C.互操作性互操作性D.透透 明性明性 18.在在VeriSign申请个人数字证书，其试用期为（申请个人数字证书，其试用期为（ ） A.45天天B.60天天 C.75天天D.90天天 25 19.不可否认业务中，用来保护收信人的是（不可否认业务中，用来保护收信人的是（ ） A.源的不可否认性源的不可否认性B.递送的不可否认性递送的不可否认性

20、C.提交的不提交的不 可否认性可否认性D.委托的不可否认性委托的不可否认性 28.密钥管理是最困难的安全性问题，其中密钥的密钥管理是最困难的安全性问题，其中密钥的 _和和_可能是最棘手的。可能是最棘手的。 29.安全电子邮件证书是指个人用户收发电子邮件时，采用安全电子邮件证书是指个人用户收发电子邮件时，采用 _机制保证安全。它的申请不需要通过业务受机制保证安全。它的申请不需要通过业务受 理点，由用户直接通过自己的浏览器完成，用户的理点，由用户直接通过自己的浏览器完成，用户的 _由浏览器产生和管理。由浏览器产生和管理。 34.递送的不可否认性递送的不可否认性 37.简述证书合法性验证链。简述证书

21、合法性验证链。 40.密钥对生成的途径有哪些？密钥对生成的途径有哪些？ 26 2010年年1月月 9.在对公钥证书格式的定义中已被广泛接受的标准是在对公钥证书格式的定义中已被广泛接受的标准是( C ) A.X.500B.X.502 C.X.509D.X.600 10.使用者在更新自己的数字证书时不可以采用的方式是使用者在更新自己的数字证书时不可以采用的方式是( A ) A.电话申请电话申请B.E-Mail申请申请 C.Web申请申请D.当面申请当面申请 11.在在PKI的构成模型中，其功能不包含在的构成模型中，其功能不包含在PKI中的机构是中的机构是( D ) A.CA B.ORA C.PAA

22、D.PMA 20.在下列选项中，属于实现递送的不可否认性的机制的在下列选项中，属于实现递送的不可否认性的机制的 是是( B ) A.可信赖第三方数字签名可信赖第三方数字签名 B.可信赖第三方递送代理可信赖第三方递送代理 C.可信赖第三方持证可信赖第三方持证D.线内可信赖第三方线内可信赖第三方 27 30.为了对证书进行有效的管理，证书实行为了对证书进行有效的管理，证书实行 _分级分级_管理，认证机构采用了管理，认证机构采用了_树形树形 _结构，证书可以通过一个完整的安全体结构，证书可以通过一个完整的安全体 系得以验证。系得以验证。 31.商务服务的不可否认性商务服务的不可否认性 （名词解释）（

23、名词解释） 39简述密钥管理中存在的威胁。简述密钥管理中存在的威胁。 40如何对密钥进行安全保护？如何对密钥进行安全保护？ 28 2009年年10月月 11数字证书采用公钥体制，即利用一对互相匹配的密钥数字证书采用公钥体制，即利用一对互相匹配的密钥 进行（进行（ ） A加密加密B加密、解密加密、解密 C解密解密D安全认证安全认证 12通常通常PKI的最高管理是通过（的最高管理是通过（ ） A政策管理机构来体现的政策管理机构来体现的B证书作废系统来体现证书作废系统来体现 的的 C应用接口来体现的应用接口来体现的D证书中心证书中心CA来体现的来体现的 13实现递送的不可否认性的方式是（实现递送的不

24、可否认性的方式是（ ） A收信人利用持证认可收信人利用持证认可B可信赖第三方的持证可信赖第三方的持证 C源源 的数字签名的数字签名D证据生成证据生成 28VPN是一种架构在公用通信基础设施上的专是一种架构在公用通信基础设施上的专 用数据通信网络，利用用数据通信网络，利用_和建立在和建立在PKI上的上的 _来获得机密性保护。来获得机密性保护。 29 33公证服务公证服务 （名词解释）（名词解释） 36简述目前密钥的自动分配途径。简述目前密钥的自动分配途径。 37 由于由于RSA的公钥的公钥/私钥对具有不同的功能，私钥对具有不同的功能， 在对公钥在对公钥/私钥对的要求上要考虑哪些不一私钥对的要求上

25、要考虑哪些不一 致的情况？致的情况？ 30 2009年年1月月 14.将公钥体制用于大规模电子商务安全的基本要素是将公钥体制用于大规模电子商务安全的基本要素是 ( D ) A.公钥对公钥对 B.密钥密钥 C.数字证书数字证书 D.公钥证书公钥证书 15.通常通常PKI的最高管理是通过的最高管理是通过( A ) A.政策管理机构来体现政策管理机构来体现B.证书作废系统来体现证书作废系统来体现 C.应用应用 接口来体现接口来体现D.证书中心证书中心CA来体现来体现 24.PKI技术能够有效地解决电子商务应用中信息的技术能够有效地解决电子商务应用中信息的 ( ABCDE ) A.机密性机密性 B.真

26、实性真实性 C.完整性完整性 D.不可否认性不可否认性 E. 存取控制存取控制 31 29.一个典型的一个典型的CA系统包括安全服务器、注系统包括安全服务器、注 册机构册机构RA、_CA服务器服务器_、_LDAP服服 务器务器_和数据库服务器等。和数据库服务器等。 34.CA证书证书 35.公证服务公证服务 40.简述有效证书应满足的条件。简述有效证书应满足的条件。 41.简述实现递送的不可否认性机制的方法。简述实现递送的不可否认性机制的方法。 32 2008年年10月月 15.在单公钥证书系统中，签发根在单公钥证书系统中，签发根CA证书的机构是证书的机构是( ) A.国家主管部门国家主管部门

27、B.用户用户 C.根根CA自己自己D.其它其它CA 16.CA系统一般由多个部分构成，其核心部分为系统一般由多个部分构成，其核心部分为( ) A.安全服务器安全服务器B.CA服务器服务器 C.注册机构注册机构RA D.LDAP服务器服务器 23.下列公钥下列公钥私钥对的生成途径合理的有私钥对的生成途径合理的有( 多选多选 ) A.网络管理员生成网络管理员生成 B.CA生成生成 C.用户依赖的、可信的中心机构生成用户依赖的、可信的中心机构生成 D.密钥对的持密钥对的持 有者生成有者生成 E.网络管理员与用户共同生成网络管理员与用户共同生成 24.属于数据通信的不可否认性业务的有属于数据通信的不可

28、否认性业务的有( 多选多选 ) A.签名的不可否认性签名的不可否认性 B.递送的不可否认性递送的不可否认性 C.提交的提交的 不可否认性不可否认性 D.传递的不可否认性传递的不可否认性 E.源的不可否认性源的不可否认性 33 29.证书申请包括了用户证书的申请与商家证书申请包括了用户证书的申请与商家 证书的申请，其申请方式包括证书的申请，其申请方式包括_ 和和_。 35.认证服务认证服务 40.简述公钥证书包含的具体内容。简述公钥证书包含的具体内容。 34 2008年年1月月 7在电子商务环境下，实现公钥认证和分配的有效工具是（在电子商务环境下，实现公钥认证和分配的有效工具是（C ） A数字证

29、书数字证书B密钥密钥 C公钥证书公钥证书 D公钥对公钥对 9CA对已经过了有效期的证书采取的措施是（对已经过了有效期的证书采取的措施是（B） A直接删除直接删除B记入吊销证书表记入吊销证书表 C选择性删除选择性删除 D不作处理不作处理 10在在PKI的构成中，制定整个体系结构的安全政策，并制定所有下的构成中，制定整个体系结构的安全政策，并制定所有下 级机构都需要遵循的规章制度的是（级机构都需要遵循的规章制度的是（A） APAABCA CORA DPMA 23一个典型的一个典型的CA系统的组成包括有（系统的组成包括有（BCDE ） A文件服务器文件服务器B安全服务器安全服务器 CCA服务器服务器 DLDAP服务器服务器 E数据库服务器数据库服务器 35 28.PKI是基于是基于_数字数字ID_的，作用就象的，作用就象 是一个电子护照，把用户的是一个电子护照，把用户的_数字签名数字签名 _绑接到其公钥上。绑接到其公钥上。 38.简述认证机构提供的新证书发放的过程。简述认证机构提