【正确答案】 D

【答案解析】本题是考查PKI(Public Key Infrastructure，公钥基础设施)的系统组成的基础知识。
一个标准的PKI域必须具备以下主要内容。
(1)认证机构(Certificate Authority, CA)。CA是PKI的核心执行机构，是PKI的主要组成部分，通常称为认证中心。从广义上讲，认证中心还应该包括证书申请注册机构(Registration Authority, RA)，它是数字证书的申请注册、证书签发和管理机构。
(2)证书和证书库。证书是数字证书或电子证书的简称，它符合X.509标准，是网上实体身份的证明。证书是由具备权威性、可信任性和公正性的第三方机构签发的，因此，它是权威性的电子文档。
证书库是CA颁发证书和撤销证书的集中存放地，是网上的公共信息库，可供公众进行开放式查询。一般来说，查询的目的有两个：一是想得到与之通信实体的公钥；二是要验证通信对方的证书是否已进入“黑名单”。证书库支持分布式存放，即可以采用数据库镜像技术，将CA签发的证书中与本组织有关的证书和证书撤销列表存放到本地，以提高证书的查询效率，减少向总目录查询的瓶颈。
(3)密钥备份和恢复。密钥备份和恢复是密钥管理的主要内容，用户由于某些原因将解密数据的密钥丢失，从而使已被加密的密文无法解开。为避免这种情况的发生，PKI提供了密钥备份与密钥恢复机制，当用户证书生成时，加密密钥即被CA备份存储；当需要恢复时，用户只需向CA提出申请，CA就会为用户自动进行恢复。
(4)密钥和证书的更新。一个证书的有效期是有限的，这种规定在理论上是基于当前非对称算法和密钥长度的可破译性分析；在实际应用中，是由于长期使用同一个密钥有被破译的危险，因此，为了保证安全，证书和密钥必须有一定的更换频度。为此，PKI对已发的证书必须有一个更换措施，这个过程称为“密钥更新或证书更新”。
证书更新一般由PKI系统自动完成，不需要用户干预。即在用户使用证书的过程中，PKI也会自动到目录服务器中检查证书的有效期，在有效期结束之前，PKI/CA会自动启动更新程序，生成一个新证书来代替旧证书。
(5)客户端软件。为方便客户操作，解决PKI的应用问题，在客户端装有客户端软件，以实现数字签名、加密传输数据等功能。此外，客户端软件还负责在认证过程中，查询证书和相关证书的撤销信息，以及进行证书路径处理，对特定文档提供时间戳请求等。
(6)支持交叉认证。交叉认证就是多个PIG域之间实现互操作。交叉认证实现的方法有多种：一种方法是桥接CA，即用一个第三方CA作为桥，将多个CA连接起来，成为一个可信任的统一体；另一种方法是多个CA的根CA(RCA)互相签发根证书，这样，当不同PKI域中的终端用户沿着不同的认证链检验认证到根时，就能达到互相信任的目的。
(7)自动管理历史密钥。从以上密钥更新的过程不难看出，经过一段时间后，每一个用户都会形成多个旧证书和至少一个当前新证书。这一系列旧证书和相应的私钥就组成了用户密钥和证书的历史档案。记录整个密钥历史是非常重要的。例如，某用户几年前用自己的公钥加密的数据或者其他人用自己的公钥加密的数据无法用现在的私钥解密时，那么该用户就必须从他的密钥历史档案中，查找到几年前的私钥来解密数据。
由此可见，PKI是一个采用公钥理论和技术来提供安全服务的具有普适性的安全基础设施，是网络安全建设的基础及核心。PKI采用证书来进行公钥管理，其主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术，从而有效地保护通信数据的机密性、完整性和有效性。
一个典型的PKI系统框架通常包括注册机构RA、证书颁发机构CA和证书发布系统等。其中，认证机构CA负责管理公钥的整个生命周期，其作用包括发放证书、规定证书的有效期和发布证书废除列表；注册机构RA提供用户和CA之间的一个接口，主要完成收集用户信息和确认用户身份的功能；证书发布系统负责证书的集中存放，用户可以从此处获得其他用户的证书和公钥，一般采用证书库或目录服务。“公开可访问的目录”有迷惑的效果，但是并不等同于目录服务。