14.8
What is a public-key certificate?
什么是公钥证书?
公钥证书包含公钥和其他信息,由证书颁发机构产生并提供给具有对应私钥的通信方。一个通信方可通过传输自己的证书向另一个通信方传递自己的关键信息。其他通信方可以验证该证书是由认证机构生成的。
14.9
What are the requirements for the use of a public-key certificate scheme?
使用公钥证书方案的要求是什么?
一、任何通信方可以读取证书并确定证书拥有者的姓名和公钥;
二、任何通信方可以验证该证书出自证书管理员,而不是伪造的;
三、只有证书管理员可以产生并更新证书;
四、任何通信方可以验证证书的时效性;
14.10
What is the purpose of the X.509 standard?
X.509标准的目的是什么?
X.509定义了X.500用户目录的一个认证服务框架,这个目录可以作为公钥证书类型的存取库。每个证书包含该用户的公钥并由一个可信的签证机构用私钥签名。
14.11
What is a chain of certificates?
什么是证书链?
证书链由不同的证书颁发机构创建的一系列证书组成,其中的每个证书都是一个CA颁发的证书,并且可以用于获取链中下一个CA的公钥。
14.12
How is an X.509 certificate revoked?
如何吊销X.509证书?
每个签证机构可保留一张表,将其用做证书撤销表(CRL),若要撤销某一证书,则将该证书及其序列号、撤销时间一起放入表中。
15.1
What are the steps involved in an authentication process?
身份验证过程涉及哪些步骤?
一、鉴定阶段:给安全系统提供身份标识(身份标识要认真的分配,因为身份认证是其他安全服务的基础,如访问控制服务)。
二、核实阶段:提供或产生可以证实实体和标识之间对应关系的认证信息。
15.2
List three general approaches to dealing with replay attacks.
列出三种处理重放攻击的一般方法。
一、为每一个用于认证交互的消息附上一个序列号,新的消息只有其序列号满足适当的顺序时才会被接收。
二、时间戳:只有当消息中包含一个时间戳时,A才接收该消息。该时间戳由A来判断,要接近于A所知的当前时间。该方法要求不同参与者之间的时钟是同步的。
三、挑战/应答:A想要一个来自B的新消息,首先发给B一个临时交互号(询问),并要求后面从B收到的消息(回复)包含正确的临时交互号值。
15.5
What are three threats associated with user authentication over a network or
Internet?
与网络或互联网上的用户身份验证相关的三种威胁是什么?
一、用户可能通过某种途径进入工作站并假装成其他用户操作工作站。
二、用户可以通过变更工作站的网络地址,从该机上发送伪造的请求。
三、用户可以监听信息或使用重放攻击,以获得服务或破坏正常操作。