ComSec作业八：PKI与用户认证

第14章 密钥管理与分发

14.8 什么是公钥证书？

答：公钥证书包含公钥和其他信息，由证书颁发机构产生并提供给具有对应私钥的通信方。一个通信方可通过传输自己的证书向另一个通信方传递自己的关键信息。其他通信方可以验证该证书是由认证机构生成的。

14.9 公钥证书的使用有哪些要求？

答：
①任何通信方可以读取证书并确定证书拥有者的姓名和公钥；
②如何通信方可以验证该证书出自证书管理员，而不是伪造的；
③只有证书管理员可以产生并更新证书；
④任何通信方可以验证证书的时效性；

14.10 X.509标准的用途是什么？

答：X.509定义了X.500用户目录的一个认证服务框架，这个目录可以作为公钥证书类型的存取库。每个证书包含该用户的公钥并由一个可信的签证机构用私钥签名。

14.11 什么是证书链？

答：证书链由不同的证书颁发机构创建的一系列证书组成，其中的每个证书都是一个CA颁发的证书，并且可以用于获取链中下一个CA的公钥。

14.12 X.509证书如何撤销？

答：每个签证机构可保留一张表，将其用做证书撤销表（CRL），若要撤销某一证书，则将该证书及其序列号、撤销时间一起放入表中。

第15章 用户认证

15.1 给出一个重放攻击的例子。

答：

①简单重放攻击：敌手复制消息然后重放给消息接受者。
②可记录的重放攻击：敌手在有效的时间窗口中能够重放一个时间戳消息，如果原本的和重放的时间戳消息都在时间窗内收到，则这一事件能被日志记录下来。
③不可被检测的重放攻击：敌手在有效的时间窗口中能够重放一个时间戳消息，而且敌手阻止了原消息，则这种攻击不能被检测。
④无更改的重放攻击：这个重放是给消息发送者的，这种攻击可能出现是因为对称加密的使用，发送者很难识别发送的消息与接收的消息的内容上的不同。

15.2 列出三个常用的防止重放攻击的方法。

答：

①为每一个用于认证交互的消息附上一个序列号，新的消息只有其序列号满足适当的顺序时才会被接收；
②时间戳：只有当消息中包含一个时间戳时，A才接收该消息。该时间戳由A来判断，要接近于A所知的当前时间。该方法要求不同参与者之间的时钟是同步的。
③挑战/应答：A想要一个来自B的新消息，首先发给B一个临时交互号（询问），并要求后面从B收到的消息（回复）包含正确的临时交互号值。

15.5 在网络或者Internet上，和用户认证相关联的三个威胁是什么？

答：

①用户可能通过某种途径进入工作站并假装成其他用户操作工作站；
②用户可以通过变更工作站的网络地址，从该机上发送伪造的请求；
③用户可以监听信息或使用重放攻击，以获得服务或破坏正常操作；