comsec作业八：PKI与用户认证

14.8 什么是公钥证书？
公钥证书包含公钥和其他信息，由证书颁发机构产生并提供给具有对应私钥的通信方。一个通信方可通过传输自己的证书向另一个通信方传递自己的关键信息。其他通信方可以验证该证书是由认证机构生成的。

14.9 公钥证书的使用有哪些要求？
1、任何通信方可以读取证书并确定证书拥有者的姓名和公钥。
2、任何通信方可以验证该证书出自证书管理员，而不是伪造的。
3、只有证书管理员可以产生并更新证书。
4、任何通信方可以产生并更新证书。

14.10 X.509 标准的用途是什么？
X.509定义了X.500用户目录的一个认证服务框架，这个目录可以作为公钥证书类型的存取库。每个证书包含该用户的公钥并由一个可信的签证机构用私钥签名。

14.11 什么是证书链？
证书链（Certificate chain）指的是一系列的数字证书，它们形成一条链，并用于验证网站的身份。每个证书都由一个可信任的机构签名，并包含了有关网站所有者的信息。

14.12 X.509 证书如何撤销？
每个签证机构可保留一张表，将其用做证书撤销表（CRL），若要撤销某一证书，则将该证书及其序列号、撤销时间一起放入表中。

15.1 给出一个重放攻击的例子。
1、简单重放攻击：敌手复制消息然后重放给消息接受者。
2、可记录的重放攻击：敌手在有效的时间窗口中能够重放一个时间戳消息，如果原本的和重放的时间戳消息都在时间窗内收到，则这一事件能被日志记录下来。
3、不可被检测的重放攻击：敌手在有效的时间窗口中能够重放一个时间戳消息，而且敌手阻止了原消息，则这种攻击不能被检测。
4、无更改的重放攻击：这个重放是给消息发送者的，这种攻击可能出现是因为对称加密的使用，发送者很难识别发送的消息与接收的消息的内容上的不同。

15.2 列出三个常用的防止重放攻击的方法。
1、为每一个用于认证交互的消息附上一个序列号，新的消息只有其序列号满足适当的顺序时才会被接收。
2、时间戳：只有当消息中包含一个时间戳时，A才接收该消息。该时间戳由A来判断，要接近于A所知的当前时间。该方法要求不同参与者之间的时钟是同步的。
3、挑战/应答：A想要一个来自B的新消息，首先发给B一个临时交互号（询问），并要求后面从B收到的消息（回复）包含正确的临时交互号值。

15.5 在网络或者 Internet 上， 和用户认证相关联的三个威胁是什么？
1、用户可能通过某种途径进入工作站并假装成其他用户操作工作站。
2、用户可以通过变更工作站的网络地址，从该机上发送伪造的请求。
3、用户可以监听信息或使用重放攻击，以获得服务或破坏正常操作。