解析:
公鑰證書與證書機構
名詞解釋
1,數字認證:是指用數字辦證確認,鑒定,認證網絡上參與信息交流者或服務器的身份。
2,公鑰證書:它將公開密鑰與特定的人,器件或其他實體聯系起來。公鑰證書是由證書機構簽署的,其中包含有持證者的確切身份。
3,公鑰數字證書:網絡上的證明文件,證明雙鑰體制中的公鑰所有者就是證書上所記錄的使用者。
4,單公鑰證書:壹個系統中所有的用戶的互相認證。
5,多公鑰證書:用於不有證書的用戶的相互認證。
6,客戶證書:證明客戶身份和密鑰所有權。
7,服務器證書:證實服務器的身份和公鑰。
8,安全郵件證書:證實電子郵件用戶的身份和公鑰。
9,CA證書:證實CA身份和CA的簽名密鑰。
10,證書機構CA用於創建和發布證書,它通常為壹個稱為安全域的有限群體發放證書。
11,安全服務器:面向普通用戶,用於提供證書的申請,瀏覽,證書吊銷表以及證書下載等安全服務。
12,CA服務器:是整個證書機構的核心,負責證書的簽發。
13,LDAP服務器:提供目錄瀏覽服務,負責將註冊機構服務器傳輸過來的用戶信息以及數字證書加入到服務器上。
14,數據庫服務:是認證機構的核心部分,用於認證機構數據,日誌和統計信息的存儲和管理。
15,公鑰用戶需要知道公鑰的實體為公鑰用戶。
16,證書更新當證書持有者的證書過期,證書被竊取,受到攻擊時通過更新證書的方法,使其用新的證書繼續參與網上認證。證書的更新包括證書的更換和證書的延期兩種情況。
簡答題:
1,有效證書應滿足的條件有哪些?
答:(1)證書沒有超過有效期。(2)密鑰沒有被修改。如果密鑰被修改後,原證書就應當收回,不再使用。如果雇員離開了其公司,對應的證書就可收回,如果不收回,且密鑰沒被修改,則可繼續使用該證書;(3)證書不在CA發行的無效證書清單中。CA負責回收證書,並發行無效證書清單。用戶壹旦發現密鑰泄露就應及時將證書吊銷。並由CA通知停用並存檔備案。
2,密鑰對生成的兩種途徑是什麽?
答:(1)密鑰對持有者自己生成:用戶自己用硬件或軟件生成密鑰對。如果該密鑰對用於數字簽名時,應支持不可否認性。(2)密鑰對由通用系統生成:由用戶依賴,可信賴的某壹中心機構生成,然後安全地送到特定用戶的設備中。利用這類中心的資源,可產生高質量密鑰對,易於備份和管理。
3,證書有哪些類型?
答:(1)個人證書:證實客戶身份和密鑰所有權。在壹些情況下,服務器會在建立SSL邊接時要求用個人證書來證實客戶身份。用戶可以向壹個CA申請,經審查後獲得個人證書。
(2)服務器證書:證實服務器的身份和公鑰。當客戶請求建立SSL連接時,服務器把服務器證書傳給客戶。客戶收到證書後,可以檢查發行該證書的CA是否應該信任。對於不信任的CA,瀏覽器會提示用戶接受或拒絕這個證書。
(3)郵件證書:證實電子郵件用戶的身份和公鑰。壹些有安全功能的電了郵件應用程序能使用郵件證書來驗證用戶身份和加密解密信息。
(4)CA證書:證實CA身份和CA的簽名密鑰。在Netscape瀏覽器裏,服務器管理員可以看到服務受接受的CA證書,並選擇是否信任這些證書。CA證書允許CA發行其他類型的證書。
4,如何對密鑰進行安全保護?
答:密鑰按算法產生後,首先將私鑰送給用戶,如需備份,應保證安全性,將公鑰送給CA,用以生成相應證書,
為了防止未授權用戶對密鑰的訪問,應將密鑰存入防竄擾硬件或卡中,或加密後存入計算機的文件中。
此處,定期更換密碼對是保證安全的重要措施。
5,CA認證申請者的身份後,生成證書的步驟有哪些?
答:(1)CA檢索所需的證書內容信息;(2)CA證實這些信息的正確性;(3)回CA用其簽名密鑰對證書簽名;(4)將證書的壹個拷貝送給註冊者,需要時要求註冊者回送證書的收據;(5)CA將證書送入證書數據庫,向公用檢索業務機構頌;(6)通常,CA將證書存檔;(7)CA將證書生成過程中的壹些細節記入審記記錄中。
6,公鑰證書的基本作用?
答:將公鑰與個人的身份,個人信息件或其他實體的有關身份信息聯系起來,在用公鑰證實數字簽名時,在確信簽名之前,有時還需要有關簽名人的其他信息,特別是要知道簽名者是否已被授權為對某特定目的的簽名人。
授權信息的分配也需用證書實現,可以通過發放證書宣布某人或實體具有特定權限或權威,使別人可以鑒別和承認。
7,雙鑰密碼體制加密為什麽可以保證數據的機密性?
答:雙鑰密碼體制加密時有壹對公鑰和私鑰,公鑰可以公開,私鑰由持有者保存,公鑰加密過的數據中有持有者的私鑰能解開,這樣就保證了數據的機密性。經私鑰加密過的數據——數字簽名可被所具有公鑰的人解開,由於私鑰只有持有者壹人保存,就樣就證明信息發自私鑰持有者,具有不可否認證和完整性。