单选题
在如图所示PKI系统结构中,负责生成和签署数字证书的是______,负责验证用户身份的是______。
【正确答案】
A
【答案解析】
【正确答案】
B
【答案解析】[解析] 典型实用的PKI系统主要由认证机构(CA)、注册机构(RA)、证书库、证书发布系统、PKI策略及软/硬件系统(如PKI客户端)等组成,如图所示。各组成部分的介绍请参见下表。
|
PKI系统组成
|
|
| 组成部分 | 说明 |
| 认证机构(CA) |
它是PKI的信任基础,管理公钥的整个生命周期,其作用是创建、发布和管理证书。创建证
书的时候,CA系统首先获取用户的请求信息,其中包括用户公钥(公钥一般由用户端产生, 如电子邮件程序或浏览器等),CA将根据用户的请求信息产生证书,并用自己的私钥对证 书进行签名。其他用户、应用程序或实体将使用CA的公钥对证书进行验证。若一个CA系 统是可信的,则验证证书的用户可以确信他所验证的证书中的公钥属于证书所代表的那个 实体 |
| 注册机构(RA) |
它是用户与CA之间的一个接口,主要完成收集用户信息和确认用户身份的功能,向CA提
出证书请求。RA可以设置在直接面对客户的业务部门(如银行的营业部等)。对于一个规 模较小的PKI应用系统,可将注册管理的职能由认证中心CA来完成,而不设立独立运行的 RA。但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能。PKI国际标准推 荐由一个独立的RA来完成注册管理的任务,从而增强应用系统的安全 |
| 证书发布系统 |
负责证书的发放,例如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组
织中现存的,也可以是PKI方案中提供的 |
| PKI策略 |
它建立和定义了一个组织机构信息安全方面的指导方针,同时也定义了密码系统使用的处
理方法和原则,包括一个组织怎样处理密钥和有价值的信息,根据风险的级别定义安全控 制的级别。通常,PKI中有两种类型的策略:①证书策略,用于管理证书的使用;②CPS (Certificate Practice Statement),它实际上是一些操作过程的详细文档,描述了如何在实 践中增强和支持安全策略,包括CA是如何建立和运作的,证书是如何发行、接收和废除的, 密钥是如何产生、注册的,以及密钥是如何存储的,用户是如何得到它的等。一些由商业 证书发放机构(CCA)或者可信的第三方操作的PKI系统需要CPS |
| 软/硬件系统 |
例如,PKI客户端的主要功能是使各种网络应用能够以透明、安全、一致、可信的方式与
PKI交互,从而使用户能够方便地使用加密、数字签名等安全服务 |