WNSPKI與證書服務(wù)應(yīng)用知識(shí)點(diǎn)

第六章PKI與證書效勞應(yīng)用EditbyLCHSH什么是PKI？PKIPublicKeyInfrastructure的縮寫，意為“公鑰根底構(gòu)造PKI由哪些組件構(gòu)成？①公鑰加密技術(shù)②數(shù)字證書：用于用戶的身份的驗(yàn)證③證書頒發(fā)機(jī)構(gòu)CCA是一個(gè)可信任的實(shí)體，負(fù)責(zé)公布、更和撤消證書④注冊(cè)機(jī)構(gòu)RRA擁有承受用戶的懇求等功能PKI體系能夠?qū)崿F(xiàn)的功能有哪些？①身份驗(yàn)證②數(shù)據(jù)完整性③數(shù)據(jù)機(jī)密性④操作的不行否認(rèn)性什么是密鑰？密鑰是一組信息編碼，自身包含了密碼規(guī)章資料。規(guī)章進(jìn)展解密就可以清楚無(wú)誤地得到正確的信息了。用密鑰進(jìn)展加密，有哪些類型？一般來(lái)說(shuō)密鑰加密的方法有三種類型：對(duì)稱加密、非對(duì)稱加密和Hash加密。①對(duì)稱加密無(wú)法保證密鑰的安全性。RC5、RC6、Blowfish和Twofish，其中最終兩種算法位數(shù)長(zhǎng)，而且加密解密速度很快。②非對(duì)稱加密能恰恰與另一把相反，一把用于加密時(shí)，則另一把就用于解密。公共密鑰是由其仆人加以公開(kāi)的，而私人密鑰必需保密存放。為發(fā)送一份保密報(bào)文，發(fā)送者必需使用接收者的公共密鑰對(duì)數(shù)據(jù)進(jìn)展加密，一旦加密，只有接收方用其私人密鑰才能加以解密。“數(shù)字簽名“的根底，假設(shè)要一個(gè)用戶用自己的私人密鑰對(duì)數(shù)據(jù)進(jìn)展了處理別人可以用他供給的公共密鑰對(duì)數(shù)據(jù)加以處理由于僅僅擁有者本人知道私人密鑰這種被處理過(guò)的報(bào)文就形成了一種電子簽名 一種別人無(wú)法產(chǎn)生的文件。③Hash加密是通過(guò)數(shù)學(xué)運(yùn)算，把不同長(zhǎng)度的信息轉(zhuǎn)化到128位編碼中，形成Hash值，通過(guò)比較這通過(guò)比較Hash值來(lái)推斷信息途中是否被截獲修改，是否由合法的發(fā)送人發(fā)送或者合法的接收人接收等。用這種方法，可以防止密鑰喪失的問(wèn)題，由于它的加密局部是隨機(jī)生成的，假設(shè)沒(méi)有正確的Hash值根本就無(wú)法解開(kāi)加密局部，而且它還具備了數(shù)字簽名的力量，可以證明發(fā)MD4、MD5SHA。PKI加密技術(shù)中的公鑰和私鑰有什么特點(diǎn)？①密鑰是成對(duì)生成的，這兩個(gè)密鑰互不一樣，兩個(gè)密鑰可以相互加密和解密②不能依據(jù)一個(gè)密鑰來(lái)推算得出另一個(gè)密鑰③公鑰對(duì)外公開(kāi)；私鑰只有私鑰的持有人才知道④私鑰應(yīng)當(dāng)由密鑰的持有人妥當(dāng)保管數(shù)據(jù)加密的過(guò)程及作用是什么？數(shù)據(jù)。數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機(jī)密性。數(shù)字簽名的過(guò)程及作用是什么？數(shù)字簽名的過(guò)程：發(fā)送方使用自己的私鑰加密，接收方使用發(fā)送方的公鑰解密。什么是數(shù)字證書？數(shù)字證收把公鑰和擁有對(duì)應(yīng)私鑰的主體的標(biāo)識(shí)信息〔如名稱、電子郵件、身份證號(hào)等〕Web用戶身份驗(yàn)證、Web效勞器身份驗(yàn)證、安全電子郵件、Internet協(xié)議安全〔IPSec〕等；數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA簽發(fā)的。證書包含哪些內(nèi)容？證書包含如下內(nèi)容：使用者的公鑰值；使用者標(biāo)識(shí)信息〔如名稱和電子郵件地址有效期〔證書的有效時(shí)間；頒發(fā)者標(biāo)識(shí)信息；頒發(fā)者的數(shù)字簽名。CA的作用是什么？CA的核心功能就是頒發(fā)和治理數(shù)字證書。證書的發(fā)放過(guò)程如何？①證書申請(qǐng)用戶依據(jù)個(gè)人信息填好申請(qǐng)證書的信息并提交證書申請(qǐng)信息。②RA確認(rèn)用戶在企業(yè)內(nèi)部網(wǎng)中，一般使用手工驗(yàn)證的方式，這樣更能保證用戶信息的安全性和真實(shí)性。③證書策略處理假設(shè)驗(yàn)證懇求成功，那么，系統(tǒng)指定的策略就被運(yùn)用到這個(gè)懇求上，比方名稱的約束、密鑰長(zhǎng)度的約束等。④RA提交用戶申請(qǐng)信息到CARA用自己私鑰對(duì)用戶申請(qǐng)信息簽名，保證用戶申請(qǐng)信息是RA提交給CA的。⑤CA為用戶生成密鑰對(duì)CA的簽名密鑰對(duì)用戶的公鑰和用戶信息ID進(jìn)展簽名，生成電子證書這樣，CA就將用戶的信息和公鑰捆綁在一起了，然后，CA將用戶的數(shù)字證書和用戶的公用密鑰公布到名目中。⑥CA將電子證書傳送給批準(zhǔn)該用戶的RA⑦RA將電子證書傳送給用戶〔或者用戶主動(dòng)取回〕⑧用戶驗(yàn)證CA頒發(fā)的證書確保自己的信息在簽名過(guò)程中沒(méi)有被篡改，而且通過(guò)CA的公鑰驗(yàn)證這個(gè)證書確實(shí)由所信任的CA機(jī)構(gòu)頒發(fā)。什么是SSL？SSL是一種國(guó)際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議，您用的掃瞄器就支持此協(xié)議。SSL〔SecureSocketsLayer〕Netscape公司爭(zhēng)論出來(lái)的，后來(lái)成為了Internet網(wǎng)上安全通訊與交易的標(biāo)準(zhǔn)。SSL協(xié)議使用通訊雙方的客戶證書以及CA根證書，允許客戶/效勞器應(yīng)用以一種不能特征：信息保密性、信息完整性、相互鑒定。什么是S？S〔SecureHypertextTransferProtocol〕安全超文本傳輸協(xié)議。它使用安全套接字層(SSL)進(jìn)展信息交換，簡(jiǎn)潔來(lái)說(shuō)它是的安全版。它是由Netscape開(kāi)發(fā)并內(nèi)置于其掃瞄器中，用于對(duì)數(shù)據(jù)進(jìn)展壓縮和解壓操作，并返回S實(shí)際上應(yīng)用了Netscape〔SSL〕作為〔S443，而不是象80來(lái)和TCP/IP進(jìn)展〕SSL使用40位關(guān)鍵字作為RC4流加密算法，這對(duì)于商業(yè)信息的加密是適宜的。S和SSL支持使用X.509數(shù)字認(rèn)證，假設(shè)需要的話用戶可以確認(rèn)發(fā)送者是誰(shuí)。SSL的工作原理如何？①客戶端輸入U(xiǎn)RL路徑，向效勞器懇求網(wǎng)頁(yè)②效勞器將網(wǎng)站的公鑰輸入到客戶端的掃瞄器③雙方協(xié)商加密安全等級(jí)④掃瞄器依據(jù)加密安全等級(jí)，生成會(huì)話密鑰，用效勞器的公鑰對(duì)該會(huì)話密鑰加密，傳送給掃瞄器⑤網(wǎng)站效勞器利用自己的私鑰，把會(huì)話密鑰解出⑥雙方利用會(huì)話密鑰對(duì)傳送的全部數(shù)據(jù)進(jìn)展加密解密附：練習(xí)題在WindwosServer2003中安裝證書效勞時(shí)，可以看到CA類型有4種，企業(yè)根CA、企業(yè)附屬CA、獨(dú)立根CA、獨(dú)立附屬CA，以下關(guān)于這4種類型的CA的描述正確的選項(xiàng)是〔 〕。〔選擇二項(xiàng)〕A、企業(yè)根CA是指在組織的PKI中最受信任和最具權(quán)威的CAB、獨(dú)立附屬CA可以獨(dú)立安裝，而不需要獨(dú)立根CA的支持C、企業(yè)根CACA需要ADD、4CA都需要AD正確答案：AC分析：企業(yè)CA需要活動(dòng)名目的支持。獨(dú)立CA不需要使用活動(dòng)名目。在公鑰加密系統(tǒng)中，小尚期望給小李發(fā)一個(gè)經(jīng)過(guò)數(shù)據(jù)加密的文件，要想到達(dá)這個(gè)目的，小尚需要使用〔〕?！策x擇一項(xiàng)〕A、小尚的公鑰B、小尚的私鑰C、小李的公鑰D、小李的私鑰正確答案：C分析：解密。假設(shè)Bob要向Alice〔例DES〕加密數(shù)據(jù)。為了發(fā)送加密的數(shù)據(jù)以及安全的解密數(shù)據(jù)所需的DESBob〔 〕來(lái)對(duì)密鑰進(jìn)展加密，這樣Alice就是唯一能夠解密DES密鑰從而解密DES據(jù)的人。〔選擇一項(xiàng)〕A、Bob的公鑰B、Bob的私鑰C、AliceD、Alice正確答案：C分析：加密算法所使用的加密密鑰和解密密鑰是一樣的，密鑰被截獲后，就能對(duì)數(shù)據(jù)解密。所以，在本例中，使用接收方的公鑰再對(duì)加密密鑰加密，實(shí)現(xiàn)了加密密鑰的安全傳送。benet公司要通過(guò)互聯(lián)網(wǎng)向accp公司發(fā)送一份機(jī)密文件，為了保證傳輸過(guò)程中機(jī)密數(shù)據(jù)不被竊聽(tīng)，需要用〔〕加密后再進(jìn)展傳輸?！策x擇一項(xiàng)〕A、benetB、benetC、accp公司效勞器的公鑰D、accp公司效勞器的私鑰正確答案：C治理員分別在兩臺(tái)系統(tǒng)為WINDOWSSERVER2003上可選的CACA類型只有獨(dú)立根CA和獨(dú)立附屬CA，緣由為〔〕。(選擇一項(xiàng))A、在第一臺(tái)計(jì)算機(jī)在域中，而其次臺(tái)計(jì)算機(jī)在工作組中B、第一臺(tái)計(jì)算機(jī)在工作組中，而其次臺(tái)計(jì)算機(jī)在域中C、兩臺(tái)計(jì)算機(jī)都在域中。登錄用戶的權(quán)限不同造成可選的CAD、兩臺(tái)計(jì)算機(jī)都在工作組中。登錄用戶的權(quán)限不同造成可選的CA類型不同正確答案：A用戶jack訪問(wèn)某網(wǎng)站時(shí)得到“該頁(yè)必需通過(guò)安全通道查看”的提示，他應(yīng)當(dāng)〔 〕才能正常訪問(wèn)該網(wǎng)站。〔選擇一項(xiàng)〕A、下載和安裝相關(guān)安全插件B、指定完整的網(wǎng)頁(yè)路徑和文件名C、使用““://網(wǎng)站/“://網(wǎng)站IP：443”訪問(wèn)D、使用s正確答案：D分析：WEB效勞器上啟用了“安全通道SSL”之后，客戶端必需要使用s〔安全超文本傳輸協(xié)議〕協(xié)議與效勞器通信。下面關(guān)于PKI〔〕?！策x擇二項(xiàng)〕A、數(shù)據(jù)的機(jī)密性可以通過(guò)數(shù)字簽名來(lái)實(shí)現(xiàn)B、數(shù)據(jù)的有效性可以通過(guò)數(shù)字簽名來(lái)實(shí)現(xiàn)C、數(shù)據(jù)的機(jī)密性可以通過(guò)數(shù)據(jù)加密來(lái)實(shí)現(xiàn)D、數(shù)據(jù)的有效性可以通過(guò)數(shù)據(jù)加密來(lái)實(shí)現(xiàn)正確答案：BC分析：數(shù)據(jù)加密可以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性，即不能被非法者解密。數(shù)字簽名可以實(shí)現(xiàn)身份驗(yàn)證、〔也可以稱為數(shù)據(jù)的有效性數(shù)據(jù)被他人截獲并做了修改后，接收方可以得知數(shù)據(jù)被篡改正。PKI〔 〕。〔選擇一項(xiàng)〕A、數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過(guò)程中不能被非法篡改B、數(shù)據(jù)的完整性是指數(shù)據(jù)不能被任憑否認(rèn)C、數(shù)據(jù)的有效性是指數(shù)據(jù)在傳輸過(guò)程中不能被非法授權(quán)者偷看D、數(shù)據(jù)的有效性是指數(shù)據(jù)不能被任憑否認(rèn)正確答案：DBenetAccpBenet員在通過(guò)Accp公司網(wǎng)站提交訂購(gòu)清單時(shí)，對(duì)方要求供給Benet公司的數(shù)字簽名。此時(shí)，Benet〔〕?！策x擇二項(xiàng)〕A、數(shù)據(jù)的完整性B、數(shù)據(jù)的機(jī)密性C、操作的不行否認(rèn)性D、用數(shù)字簽名加密傳輸?shù)臄?shù)據(jù)正確答案：AC分析：數(shù)據(jù)被修改正。WindowsServer2003IIS安全通信對(duì)話框如以下圖所示，選取以下〔 〕配置能使客戶端在沒(méi)有安裝客戶端證書的狀況下正常訪問(wèn)網(wǎng)站內(nèi)容。〔選擇二項(xiàng)〕A、無(wú)視客戶端證書B(niǎo)、承受客戶端證書C、要求客戶端證書D、啟用客戶端證書映射正確答案：AB分析：無(wú)視客戶端證書：無(wú)論用戶是否擁有證書，都將被授予訪問(wèn)權(quán)限。承受客戶端證書：用戶可以使用客戶端證書訪問(wèn)資源，但證書不是必需的，沒(méi)有證書也可以訪問(wèn)站點(diǎn)資源。在WindowsServer2003系統(tǒng)中對(duì)Web站點(diǎn)申請(qǐng)并安裝了證書要啟用安全通〔SS，在以下圖中勾選“要求安全通道〔SSL〕”，在“客戶端證書”中，設(shè)置“要求客戶端證書”，則以下表達(dá)正確的選項(xiàng)是〔 〕?！策x擇一項(xiàng)〕A、用戶可以使用客戶端證書訪問(wèn)資源，但證書并不必需B、無(wú)論用戶是否擁有證書，都將被授予訪問(wèn)權(quán)限C、客戶端必需申請(qǐng)和安裝客戶端證書，例如“用戶”證書D、客戶端必需申請(qǐng)和安裝客戶端證書，例如“Web效勞器”證書正確答案：C為了能夠在WindowsServer2003IIS效勞器的某個(gè)Web站點(diǎn)上啟用安全通道〔SSL〕需要〔 〕?！策x擇一項(xiàng)〕A、IIS所在的效勞器必需同時(shí)是CA〔證書頒發(fā)機(jī)構(gòu)〕B、取消身份驗(yàn)證方法中的“啟用匿名訪問(wèn)”選項(xiàng)C、IISCA(證書頒發(fā)機(jī)構(gòu))D、在該Web正確答案：D在公鑰加密技術(shù)中，分別需要公鑰和私鑰兩種密鑰，公鑰和私鑰的關(guān)系是〔 〕?！策x擇一項(xiàng)〕A、雙方密鑰可一樣也可不同B、雙方密鑰可隨便轉(zhuǎn)變C、公鑰和私鑰之間可以相互推算D、密鑰互不一樣，可以相互加密和解密正確答案：D分析：公鑰與私鑰是不同的，不能從一個(gè)推算出另一個(gè)。在證書的申請(qǐng)過(guò)程中，RA提交用戶申請(qǐng)信息到CA時(shí)會(huì)用自己的私鑰對(duì)用戶申請(qǐng)信息簽名，這樣做的目的時(shí)〔 〕?！策x擇一項(xiàng)〕A、保證申請(qǐng)信息是RA提交給CAB、將申請(qǐng)信息加密后再提交給CAC、使CARAD、讓CARA正確答案：A一家電子商務(wù)公司預(yù)備使用基于WindowsServer2003的IIS做為網(wǎng)上交易的Web平臺(tái)，并且在Web效勞器上建立和部署了網(wǎng)站的內(nèi)容。為了保證交易過(guò)程的安全性公司打算使用SSL技術(shù)實(shí)現(xiàn)交易過(guò)程的數(shù)據(jù)加密治理員在使用IIS證書向?qū)樵揥eb站點(diǎn)建證書的過(guò)程中，要求輸入“站點(diǎn)公用名稱”，則在此應(yīng)當(dāng)填寫的內(nèi)容是〔 〕。〔選擇一項(xiàng)〕A、這臺(tái)Web效勞器的NetBIOS名B、該公司網(wǎng)站的FQDN名C、這臺(tái)Web效勞器在公網(wǎng)上的IP地址正確答案：B分析：站點(diǎn)的FQDN是站點(diǎn)的標(biāo)識(shí)，這個(gè)標(biāo)識(shí)要寫入證書中。你是公司的網(wǎng)絡(luò)治理員公司處在單域的環(huán)境中沒(méi)有線路連接到Internet有10臺(tái)效勞器運(yùn)行了WindowsServer2003企業(yè)版，其余全部的80臺(tái)客戶機(jī)都運(yùn)行WindowsXP。你在一臺(tái)效勞器上安裝了證書效勞,全部員工報(bào)告說(shuō)他們不能夠在MMC中利用證書申請(qǐng)向?qū)暾?qǐng)用戶證書，你確定證書效勞安裝正確〔只有一臺(tái)證書效勞器〕，公司的局域網(wǎng)連接正常。那么造成這種現(xiàn)象的緣由最有可能是〔 〕?！策x擇一項(xiàng)〕A、治理員安裝的是企業(yè)根CAB、治理員安裝的是企業(yè)附屬CAC、治理員安裝的是獨(dú)立附屬CAD、治理員安裝的是獨(dú)立根CA正確答案：D分析：在域環(huán)境中，創(chuàng)立的第一個(gè)CA的類型應(yīng)當(dāng)為企業(yè)根CA。獨(dú)立CA工作在工作組環(huán)境中。在域環(huán)境中，可以創(chuàng)立出獨(dú)立根CA，客戶端可以用掃瞄器以WEB方式申請(qǐng)證書，但不能以MMC方式申請(qǐng)證書。在域成員機(jī)上創(chuàng)立了獨(dú)立根CA，而客戶端在工作組環(huán)境中，則客戶端以WEB方式和MMC方式都不能申請(qǐng)證書。安裝完證書效勞后，證書頒發(fā)機(jī)構(gòu)〔類型是獨(dú)立根CA〕的治理掌握臺(tái)可以治理的內(nèi)容有〔〕?！策x擇三項(xiàng)〕A、掛起的證書B(niǎo)、頒發(fā)