免费智能真题库 > 历年试卷 > 网络规划设计师 > 2019年下半年 网络规划设计师 上午试卷 综合知识
  第45题      
  知识点:   PKI机制   第三方认证   认证
  章/节:   安全认证方法与技术       

 
下面关于第三方认证的服务说法中,正确的是( )。
 
 
  A.  Kerberos认证服务中保存数字证书的服务器叫CA
 
  B.  Kerberos和PKI是第三方认证服务的两种体制
 
  C.  Kerberos认证服务中用户首先向CA申请初始票据
 
  D.  Kerberos的中文全称是“公钥基础设施”
 
 
 

 
  第46题    2020年下半年  
   58%
在PKI系统中,负责验证用户身份的是(46),(47)用户不能够在PKI系用中申请数字证书。
  第46题    2012年下半年  
   50%
下图所示PKI系统结构中,负责生成和签署数字证书的是(45),负责验证用户身份的是(46)。
  第54题    2010年上半年  
   30%
PKI由多个实体组成,其中管理证书发放的是(54),证书到期或废弃后的处理方法是(55)。
 
  第58题    2019年下半年  
   48%
某高校探全面进行无线校园建设,要求实现室内外无线网络全覆盖,可以通过无线网访问所有校内资源,非本校师生不允许自由接入在室..
  第50题    2010年下半年  
   18%
很多系统在登录时都要求用户输入以图片形式显示的一个字符串,其作用是(50)。
 
   知识点讲解    
   · PKI机制    · 第三方认证    · 认证
 
       PKI机制
        解决了分发密钥时依赖秘密信道的问题,如下表所示。
        
        PKI机制
        一个标准的PKI域必须具备以下主要内容:
        (1)认证机构(Certificate Authority,CA)。CA是PKI的核心执行机构,是PKI的主要组成部分,通常称为认证中心。从广义上讲,认证中心还应该包括证书申请注册机构(Registration Authority,RA),它是数字证书的申请注册、证书签发和管理机构。
        (2)证书和证书库。证书是数字证书或电子证书的简称,符合X.509标准,是网上实体身份的证明。证书是由具备权威性、可信任性和公正性的第三方机构签发的,因此它是权威性的电子文档。
        证书库是CA颁发证书和撤销证书的集中存放地,是网上的公共信息库,可供公众进行开放式查询。一般来说,查询的目的有两个:其一是想得到与之通信实体的公钥;其二是要验证通信对方的证书是否已进入“黑名单”。证书库支持分布式存放,即可以采用数据库镜像技术,将CA签发的证书中与本组织有关的证书和证书撤销列表存放到本地,以提高证书的查询效率,减少向总目录查询的瓶颈。
        (3)密钥备份和恢复。密钥备份和恢复是密钥管理的主要内容,用户由于某些原因将解密数据的密钥丢失,从而使已被加密的密文无法解开。为避免这种情况的发生,PKI提供了密钥备份与密钥恢复机制,当用户证书生成时,加密密钥即被CA备份存储;当需要恢复时,用户只需向CA提出申请,CA就会为用户自动进行恢复。
        (4)密钥和证书的更新。一个证书的有效期是有限的,这种规定在理论上是基于当前非对称算法和密钥长度的可破译性分析;在实际应用中是由于长期使用同一个密钥有被破译的危险,因此为了保证安全,证书和密钥必须有一定的更换频度。为此,PKI对已发的证书必须有一个更换措施,这个过程称为“密钥更新或证书更新”。
        证书更新一般由PKI系统自动完成,不需要用户干预。即在用户使用证书的过程中,PKI也会自动到目录服务器中检查证书的有效期,当有效期结束之前,PKI/CA会自动启动更新程序,生成一个新证书来代替旧证书。
        (5)客户端软件。为方便客户操作,解决PKI的应用问题,在客户端装有客户端软件,以实现数字签名、加密传输数据等功能。此外,客户端软件还负责在认证过程中,查询证书和相关证书的撤销信息,以及进行证书路径处理,对特定文档提供时间戳请求等。
        (6)支持交叉认证。交叉认证就是多个PKI域之间实现互操作。交叉认证实现的方法有多种:一种方法是桥接CA,即用一个第三方CA作为桥,将多个CA连接起来,成为一个可信任的统一体;另一种方法是多个CA的根CA(RCA)互相签发根证书,这样当不同PKI域中的终端用户沿着不同的认证链检验认证到根时,就能达到互相信任的目的。
        (7)自动管理历史密钥。从以上密钥更新的过程不难看出,经过一段时间后,每一个用户都会形成多个旧证书和至少一个当前新证书。这一系列旧证书和相应的私钥就组成了用户密钥和证书的历史档案。记录整个密钥历史是非常重要的。例如,某用户几年前用自己的公钥加密的数据或者其他人用自己的公钥加密的数据无法用现在的私钥解密时,那么该用户就必须从他的密钥历史档案中,查找到几年前的私钥来解密数据。
 
       第三方认证
        第三方认证是指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP(Trusted Third Party)。如下图所示,第三方与每个认证的实体共享秘密,实体A和实体B分别与它共享秘密密钥KPAKPB。当实体A发起认证请求时,实体A向可信第三方申请获取实体A和实体B的密钥KAB,然后实体A和实体B使用KAB加密保护双方的认证消息。
        
        第三方认证原理图
        实体A和实体B基于第三方的认证方案有多种形式,本文选取一种基于第三方挑战响应的技术方案进行阐述。设A和B各生成随机数为RARBIDA为实体A的标识,IDB为实体B的标识,则认证过程简要描述如下:
        第一步,实体A向第三方P发送加密消息KPAIDBRA)。
        第二步,第三方收到KPAIDBRA)的消息后,解密获取实体A消息。生成消息KPARAKAB)和KPBIDAKAB),发送到实体A。
        第三步,实体A发送KPBIDAKAB)到实体B。
        第四步,实体B解密消息KPBIDAKAB),生成消息KABIDARB),然后发送给实体A。
        第五步,实体A解密KABIDARB),生成消息KABIDBRB)发送给实体B。
        第六步,实体B解密消息KABIDBRB),检查RB的正确性,若正确,则实体A认证通过。
        第七步,B回复A验证结果消息。
 
       认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议
   题号导航      2019年下半年 网络规划设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第45题    在手机中做本题