ComSec 8

ComSec 8

---

14.8 什么是公钥证书？

公钥证书包含公钥和公钥拥有者的标识，整个数据块由可信的第三方进行签名。通信的一方可以通过传递证书的方式将他的密钥信息传达给另一方。其他通信各方可以验证该证书是否由证书管理员生成。

14.9 公钥证书的使用有哪些要求？

1. 任何通信方可以读取证书并确定证书拥有者的姓名和公钥
2. 任何通信方可以验证该证书出自证书管理员，而不是伪造的
3. 只有证书管理员可以产生并更新证书
4. 任何通信方可以验证证书的时效性

14.10 X.509标准的用途是什么？

X.509是关于证书结构和认证协议的一种重要标准，定义了X.500用户目录的一个认证服务框架，这个目录可以作为公钥证书类型的存取库。每个证书包含该用户的公钥并由一个可信的签证机构用私钥签名。

14.11 什么是证书链？

由CA发放的CA的证书组成证书链，证书链中的每对CA必须互相发放证书，使得可以获取该证书链中下一个证书，才能使得用户找到一条路径来获得其他用户的公钥证书

14.12 X.509的证书链如何撤销？

CA保留一张包含所有被CA撤销并且还未到期的证书，包括发给用户和其他CA的证书，用作证书撤销表（CRL）。
假如需要撤销证书，需要把该证书的序列号和撤销时间放入CRL。

15.1 给出一个重放攻击的例子

1. 简单重放攻击就是，敌手复制消息然后重放给消息接收者。
2. 敌手在有效的时间窗口中能够重放一个时间戳消息，如果原本的和重放的时间戳消息都在时间窗内收到，则这一事件能被日志记录下来。
3. 与第2项类似，敌手在有效的时间窗口中能够重放一个时间戳消息，而且敌手阻止了原消息，则这种重放不能被检测。
4. 还有一种称为无更改的反向重放。这个重放是给消息发送者的，这种攻击可能出现是因为对称加密的使用，发送者很难识别发送的消息与接收的消息在内容上的不同。

15.2 列出三个常用的防止重放攻击的方法

1. 为每一个用于认证交互的消息附上一个序列号，新的消息只有其序列号满足适当的顺序时才会被接收
2. 时间戳 只有当消息中包含一个时间戳时，A才接收该消息。该时间戳由A来判断，要接近于A所知的当前时间。该方法要求不同参与者之间的时钟是同步的。
3. 挑战/应答 A想要一个来自B的新消息，首先发给B一个临时交互号（询问），并要求后面从B收到的消息（回复）包含正确的临时交互号值。

15.5 在网络或者Internet上，和用户认证相关联的三个威胁是什么？

1. 用户可能通过某种途径进入工作站并假装成其他用户操作工作站
2. 用户可以通过变更工作站的网络地址，从该机上发送伪造的请求
3. 用户可以监听信息或者使用重放攻击，以获得服务或破坏正常操作