WNSPKI與證書服務(wù)應(yīng)用知識(shí)點(diǎn)_第1頁
WNSPKI與證書服務(wù)應(yīng)用知識(shí)點(diǎn)_第2頁
WNSPKI與證書服務(wù)應(yīng)用知識(shí)點(diǎn)_第3頁
WNSPKI與證書服務(wù)應(yīng)用知識(shí)點(diǎn)_第4頁
WNSPKI與證書服務(wù)應(yīng)用知識(shí)點(diǎn)_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

第六章PKI與證書效勞應(yīng)用EditbyLCHSH什么是PKI?PKIPublicKeyInfrastructure的縮寫,意為“公鑰根底構(gòu)造PKI由哪些組件構(gòu)成?①公鑰加密技術(shù)②數(shù)字證書:用于用戶的身份的驗(yàn)證③證書頒發(fā)機(jī)構(gòu)CCA是一個(gè)可信任的實(shí)體,負(fù)責(zé)公布、更和撤消證書④注冊機(jī)構(gòu)RRA擁有承受用戶的懇求等功能PKI體系能夠?qū)崿F(xiàn)的功能有哪些?①身份驗(yàn)證②數(shù)據(jù)完整性③數(shù)據(jù)機(jī)密性④操作的不行否認(rèn)性什么是密鑰?密鑰是一組信息編碼,自身包含了密碼規(guī)章資料。規(guī)章進(jìn)展解密就可以清楚無誤地得到正確的信息了。用密鑰進(jìn)展加密,有哪些類型?一般來說密鑰加密的方法有三種類型:對(duì)稱加密、非對(duì)稱加密和Hash加密。①對(duì)稱加密無法保證密鑰的安全性。RC5、RC6、Blowfish和Twofish,其中最終兩種算法位數(shù)長,而且加密解密速度很快。②非對(duì)稱加密能恰恰與另一把相反,一把用于加密時(shí),則另一把就用于解密。公共密鑰是由其仆人加以公開的,而私人密鑰必需保密存放。為發(fā)送一份保密報(bào)文,發(fā)送者必需使用接收者的公共密鑰對(duì)數(shù)據(jù)進(jìn)展加密,一旦加密,只有接收方用其私人密鑰才能加以解密。“數(shù)字簽名“的根底,假設(shè)要一個(gè)用戶用自己的私人密鑰對(duì)數(shù)據(jù)進(jìn)展了處理別人可以用他供給的公共密鑰對(duì)數(shù)據(jù)加以處理由于僅僅擁有者本人知道私人密鑰這種被處理過的報(bào)文就形成了一種電子簽名 一種別人無法產(chǎn)生的文件。③Hash加密是通過數(shù)學(xué)運(yùn)算,把不同長度的信息轉(zhuǎn)化到128位編碼中,形成Hash值,通過比較這通過比較Hash值來推斷信息途中是否被截獲修改,是否由合法的發(fā)送人發(fā)送或者合法的接收人接收等。用這種方法,可以防止密鑰喪失的問題,由于它的加密局部是隨機(jī)生成的,假設(shè)沒有正確的Hash值根本就無法解開加密局部,而且它還具備了數(shù)字簽名的力量,可以證明發(fā)MD4、MD5SHA。PKI加密技術(shù)中的公鑰和私鑰有什么特點(diǎn)?①密鑰是成對(duì)生成的,這兩個(gè)密鑰互不一樣,兩個(gè)密鑰可以相互加密和解密②不能依據(jù)一個(gè)密鑰來推算得出另一個(gè)密鑰③公鑰對(duì)外公開;私鑰只有私鑰的持有人才知道④私鑰應(yīng)當(dāng)由密鑰的持有人妥當(dāng)保管數(shù)據(jù)加密的過程及作用是什么?數(shù)據(jù)。數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機(jī)密性。數(shù)字簽名的過程及作用是什么?數(shù)字簽名的過程:發(fā)送方使用自己的私鑰加密,接收方使用發(fā)送方的公鑰解密。什么是數(shù)字證書?數(shù)字證收把公鑰和擁有對(duì)應(yīng)私鑰的主體的標(biāo)識(shí)信息〔如名稱、電子郵件、身份證號(hào)等〕Web用戶身份驗(yàn)證、Web效勞器身份驗(yàn)證、安全電子郵件、Internet協(xié)議安全〔IPSec〕等;數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA簽發(fā)的。證書包含哪些內(nèi)容?證書包含如下內(nèi)容:使用者的公鑰值;使用者標(biāo)識(shí)信息〔如名稱和電子郵件地址有效期〔證書的有效時(shí)間;頒發(fā)者標(biāo)識(shí)信息;頒發(fā)者的數(shù)字簽名。CA的作用是什么?CA的核心功能就是頒發(fā)和治理數(shù)字證書。證書的發(fā)放過程如何?①證書申請(qǐng)用戶依據(jù)個(gè)人信息填好申請(qǐng)證書的信息并提交證書申請(qǐng)信息。②RA確認(rèn)用戶在企業(yè)內(nèi)部網(wǎng)中,一般使用手工驗(yàn)證的方式,這樣更能保證用戶信息的安全性和真實(shí)性。③證書策略處理假設(shè)驗(yàn)證懇求成功,那么,系統(tǒng)指定的策略就被運(yùn)用到這個(gè)懇求上,比方名稱的約束、密鑰長度的約束等。④RA提交用戶申請(qǐng)信息到CARA用自己私鑰對(duì)用戶申請(qǐng)信息簽名,保證用戶申請(qǐng)信息是RA提交給CA的。⑤CA為用戶生成密鑰對(duì)CA的簽名密鑰對(duì)用戶的公鑰和用戶信息ID進(jìn)展簽名,生成電子證書這樣,CA就將用戶的信息和公鑰捆綁在一起了,然后,CA將用戶的數(shù)字證書和用戶的公用密鑰公布到名目中。⑥CA將電子證書傳送給批準(zhǔn)該用戶的RA⑦RA將電子證書傳送給用戶〔或者用戶主動(dòng)取回〕⑧用戶驗(yàn)證CA頒發(fā)的證書確保自己的信息在簽名過程中沒有被篡改,而且通過CA的公鑰驗(yàn)證這個(gè)證書確實(shí)由所信任的CA機(jī)構(gòu)頒發(fā)。什么是SSL?SSL是一種國際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議,您用的掃瞄器就支持此協(xié)議。SSL〔SecureSocketsLayer〕Netscape公司爭論出來的,后來成為了Internet網(wǎng)上安全通訊與交易的標(biāo)準(zhǔn)。SSL協(xié)議使用通訊雙方的客戶證書以及CA根證書,允許客戶/效勞器應(yīng)用以一種不能特征:信息保密性、信息完整性、相互鑒定。什么是S?S〔SecureHypertextTransferProtocol〕安全超文本傳輸協(xié)議。它使用安全套接字層(SSL)進(jìn)展信息交換,簡潔來說它是的安全版。它是由Netscape開發(fā)并內(nèi)置于其掃瞄器中,用于對(duì)數(shù)據(jù)進(jìn)展壓縮和解壓操作,并返回S實(shí)際上應(yīng)用了Netscape〔SSL〕作為〔S443,而不是象80來和TCP/IP進(jìn)展〕SSL使用40位關(guān)鍵字作為RC4流加密算法,這對(duì)于商業(yè)信息的加密是適宜的。S和SSL支持使用X.509數(shù)字認(rèn)證,假設(shè)需要的話用戶可以確認(rèn)發(fā)送者是誰。SSL的工作原理如何?①客戶端輸入U(xiǎn)RL路徑,向效勞器懇求網(wǎng)頁②效勞器將網(wǎng)站的公鑰輸入到客戶端的掃瞄器③雙方協(xié)商加密安全等級(jí)④掃瞄器依據(jù)加密安全等級(jí),生成會(huì)話密鑰,用效勞器的公鑰對(duì)該會(huì)話密鑰加密,傳送給掃瞄器⑤網(wǎng)站效勞器利用自己的私鑰,把會(huì)話密鑰解出⑥雙方利用會(huì)話密鑰對(duì)傳送的全部數(shù)據(jù)進(jìn)展加密解密附:練習(xí)題在WindwosServer2003中安裝證書效勞時(shí),可以看到CA類型有4種,企業(yè)根CA、企業(yè)附屬CA、獨(dú)立根CA、獨(dú)立附屬CA,以下關(guān)于這4種類型的CA的描述正確的選項(xiàng)是〔 〕?!策x擇二項(xiàng)〕A、企業(yè)根CA是指在組織的PKI中最受信任和最具權(quán)威的CAB、獨(dú)立附屬CA可以獨(dú)立安裝,而不需要獨(dú)立根CA的支持C、企業(yè)根CACA需要ADD、4CA都需要AD正確答案:AC分析:企業(yè)CA需要活動(dòng)名目的支持。獨(dú)立CA不需要使用活動(dòng)名目。在公鑰加密系統(tǒng)中,小尚期望給小李發(fā)一個(gè)經(jīng)過數(shù)據(jù)加密的文件,要想到達(dá)這個(gè)目的,小尚需要使用〔〕?!策x擇一項(xiàng)〕A、小尚的公鑰B、小尚的私鑰C、小李的公鑰D、小李的私鑰正確答案:C分析:解密。假設(shè)Bob要向Alice〔例DES〕加密數(shù)據(jù)。為了發(fā)送加密的數(shù)據(jù)以及安全的解密數(shù)據(jù)所需的DESBob〔 〕來對(duì)密鑰進(jìn)展加密,這樣Alice就是唯一能夠解密DES密鑰從而解密DES據(jù)的人?!策x擇一項(xiàng)〕A、Bob的公鑰B、Bob的私鑰C、AliceD、Alice正確答案:C分析:加密算法所使用的加密密鑰和解密密鑰是一樣的,密鑰被截獲后,就能對(duì)數(shù)據(jù)解密。所以,在本例中,使用接收方的公鑰再對(duì)加密密鑰加密,實(shí)現(xiàn)了加密密鑰的安全傳送。benet公司要通過互聯(lián)網(wǎng)向accp公司發(fā)送一份機(jī)密文件,為了保證傳輸過程中機(jī)密數(shù)據(jù)不被竊聽,需要用〔〕加密后再進(jìn)展傳輸?!策x擇一項(xiàng)〕A、benetB、benetC、accp公司效勞器的公鑰D、accp公司效勞器的私鑰正確答案:C治理員分別在兩臺(tái)系統(tǒng)為WINDOWSSERVER2003上可選的CACA類型只有獨(dú)立根CA和獨(dú)立附屬CA,緣由為〔〕。(選擇一項(xiàng))A、在第一臺(tái)計(jì)算機(jī)在域中,而其次臺(tái)計(jì)算機(jī)在工作組中B、第一臺(tái)計(jì)算機(jī)在工作組中,而其次臺(tái)計(jì)算機(jī)在域中C、兩臺(tái)計(jì)算機(jī)都在域中。登錄用戶的權(quán)限不同造成可選的CAD、兩臺(tái)計(jì)算機(jī)都在工作組中。登錄用戶的權(quán)限不同造成可選的CA類型不同正確答案:A用戶jack訪問某網(wǎng)站時(shí)得到“該頁必需通過安全通道查看”的提示,他應(yīng)當(dāng)〔 〕才能正常訪問該網(wǎng)站?!策x擇一項(xiàng)〕A、下載和安裝相關(guān)安全插件B、指定完整的網(wǎng)頁路徑和文件名C、使用““://網(wǎng)站/“://網(wǎng)站IP:443”訪問D、使用s正確答案:D分析:WEB效勞器上啟用了“安全通道SSL”之后,客戶端必需要使用s〔安全超文本傳輸協(xié)議〕協(xié)議與效勞器通信。下面關(guān)于PKI〔〕。〔選擇二項(xiàng)〕A、數(shù)據(jù)的機(jī)密性可以通過數(shù)字簽名來實(shí)現(xiàn)B、數(shù)據(jù)的有效性可以通過數(shù)字簽名來實(shí)現(xiàn)C、數(shù)據(jù)的機(jī)密性可以通過數(shù)據(jù)加密來實(shí)現(xiàn)D、數(shù)據(jù)的有效性可以通過數(shù)據(jù)加密來實(shí)現(xiàn)正確答案:BC分析:數(shù)據(jù)加密可以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性,即不能被非法者解密。數(shù)字簽名可以實(shí)現(xiàn)身份驗(yàn)證、〔也可以稱為數(shù)據(jù)的有效性數(shù)據(jù)被他人截獲并做了修改后,接收方可以得知數(shù)據(jù)被篡改正。PKI〔 〕?!策x擇一項(xiàng)〕A、數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過程中不能被非法篡改B、數(shù)據(jù)的完整性是指數(shù)據(jù)不能被任憑否認(rèn)C、數(shù)據(jù)的有效性是指數(shù)據(jù)在傳輸過程中不能被非法授權(quán)者偷看D、數(shù)據(jù)的有效性是指數(shù)據(jù)不能被任憑否認(rèn)正確答案:DBenetAccpBenet員在通過Accp公司網(wǎng)站提交訂購清單時(shí),對(duì)方要求供給Benet公司的數(shù)字簽名。此時(shí),Benet〔〕?!策x擇二項(xiàng)〕A、數(shù)據(jù)的完整性B、數(shù)據(jù)的機(jī)密性C、操作的不行否認(rèn)性D、用數(shù)字簽名加密傳輸?shù)臄?shù)據(jù)正確答案:AC分析:數(shù)據(jù)被修改正。WindowsServer2003IIS安全通信對(duì)話框如以下圖所示,選取以下〔 〕配置能使客戶端在沒有安裝客戶端證書的狀況下正常訪問網(wǎng)站內(nèi)容?!策x擇二項(xiàng)〕A、無視客戶端證書B、承受客戶端證書C、要求客戶端證書D、啟用客戶端證書映射正確答案:AB分析:無視客戶端證書:無論用戶是否擁有證書,都將被授予訪問權(quán)限。承受客戶端證書:用戶可以使用客戶端證書訪問資源,但證書不是必需的,沒有證書也可以訪問站點(diǎn)資源。在WindowsServer2003系統(tǒng)中對(duì)Web站點(diǎn)申請(qǐng)并安裝了證書要啟用安全通〔SS,在以下圖中勾選“要求安全通道〔SSL〕”,在“客戶端證書”中,設(shè)置“要求客戶端證書”,則以下表達(dá)正確的選項(xiàng)是〔 〕。〔選擇一項(xiàng)〕A、用戶可以使用客戶端證書訪問資源,但證書并不必需B、無論用戶是否擁有證書,都將被授予訪問權(quán)限C、客戶端必需申請(qǐng)和安裝客戶端證書,例如“用戶”證書D、客戶端必需申請(qǐng)和安裝客戶端證書,例如“Web效勞器”證書正確答案:C為了能夠在WindowsServer2003IIS效勞器的某個(gè)Web站點(diǎn)上啟用安全通道〔SSL〕需要〔 〕?!策x擇一項(xiàng)〕A、IIS所在的效勞器必需同時(shí)是CA〔證書頒發(fā)機(jī)構(gòu)〕B、取消身份驗(yàn)證方法中的“啟用匿名訪問”選項(xiàng)C、IISCA(證書頒發(fā)機(jī)構(gòu))D、在該Web正確答案:D在公鑰加密技術(shù)中,分別需要公鑰和私鑰兩種密鑰,公鑰和私鑰的關(guān)系是〔 〕?!策x擇一項(xiàng)〕A、雙方密鑰可一樣也可不同B、雙方密鑰可隨便轉(zhuǎn)變C、公鑰和私鑰之間可以相互推算D、密鑰互不一樣,可以相互加密和解密正確答案:D分析:公鑰與私鑰是不同的,不能從一個(gè)推算出另一個(gè)。在證書的申請(qǐng)過程中,RA提交用戶申請(qǐng)信息到CA時(shí)會(huì)用自己的私鑰對(duì)用戶申請(qǐng)信息簽名,這樣做的目的時(shí)〔 〕?!策x擇一項(xiàng)〕A、保證申請(qǐng)信息是RA提交給CAB、將申請(qǐng)信息加密后再提交給CAC、使CARAD、讓CARA正確答案:A一家電子商務(wù)公司預(yù)備使用基于WindowsServer2003的IIS做為網(wǎng)上交易的Web平臺(tái),并且在Web效勞器上建立和部署了網(wǎng)站的內(nèi)容。為了保證交易過程的安全性公司打算使用SSL技術(shù)實(shí)現(xiàn)交易過程的數(shù)據(jù)加密治理員在使用IIS證書向?qū)樵揥eb站點(diǎn)建證書的過程中,要求輸入“站點(diǎn)公用名稱”,則在此應(yīng)當(dāng)填寫的內(nèi)容是〔 〕?!策x擇一項(xiàng)〕A、這臺(tái)Web效勞器的NetBIOS名B、該公司網(wǎng)站的FQDN名C、這臺(tái)Web效勞器在公網(wǎng)上的IP地址正確答案:B分析:站點(diǎn)的FQDN是站點(diǎn)的標(biāo)識(shí),這個(gè)標(biāo)識(shí)要寫入證書中。你是公司的網(wǎng)絡(luò)治理員公司處在單域的環(huán)境中沒有線路連接到Internet有10臺(tái)效勞器運(yùn)行了WindowsServer2003企業(yè)版,其余全部的80臺(tái)客戶機(jī)都運(yùn)行WindowsXP。你在一臺(tái)效勞器上安裝了證書效勞,全部員工報(bào)告說他們不能夠在MMC中利用證書申請(qǐng)向?qū)暾?qǐng)用戶證書,你確定證書效勞安裝正確〔只有一臺(tái)證書效勞器〕,公司的局域網(wǎng)連接正常。那么造成這種現(xiàn)象的緣由最有可能是〔 〕?!策x擇一項(xiàng)〕A、治理員安裝的是企業(yè)根CAB、治理員安裝的是企業(yè)附屬CAC、治理員安裝的是獨(dú)立附屬CAD、治理員安裝的是獨(dú)立根CA正確答案:D分析:在域環(huán)境中,創(chuàng)立的第一個(gè)CA的類型應(yīng)當(dāng)為企業(yè)根CA。獨(dú)立CA工作在工作組環(huán)境中。在域環(huán)境中,可以創(chuàng)立出獨(dú)立根CA,客戶端可以用掃瞄器以WEB方式申請(qǐng)證書,但不能以MMC方式申請(qǐng)證書。在域成員機(jī)上創(chuàng)立了獨(dú)立根CA,而客戶端在工作組環(huán)境中,則客戶端以WEB方式和MMC方式都不能申請(qǐng)證書。安裝完證書效勞后,證書頒發(fā)機(jī)構(gòu)〔類型是獨(dú)立根CA〕的治理掌握臺(tái)可以治理的內(nèi)容有〔〕?!策x擇三項(xiàng)〕A、掛起的證書B、頒發(fā)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論