《PKI技术及其应用》期中试卷

PKI技术及其应用
邓晓军
【期刊名称】《湖南冶金职业技术学院学报》
【年(卷),期】2004(0)4
【摘要】介绍了公钥基础设施(PublicKeyInfrastructure,简称PKI)技术及其组成,分析了PKI的应用现状和前景。

并针对这种目前建设网络安全基础与核心的技术,讨论了在我国开展PKI建设存在的一些问题,并对如何应对这些问题提出了相关的解决办法。

【总页数】4页(P40-42)
【关键词】信息安全;公钥基础设施(PKI);数字签名;数字证书
【作者】邓晓军
【作者单位】湖南冶金职业技术学院
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.电子签名技术在区域卫生信息平台中的几点应用探索——基于PKI技术的卫生系统电子认证服务应用 [J], 王晓花;王新华;邵淼;马洁
2.PKI技术在应用系统中的应用 [J], 尹晓晖
3.PKI技术在质检机构客户身份认证系统中的应用 [J], 康剑萍; 何曙; 王沈敏
4.PKI技术在电子病历系统中的应用 [J], 陈芝
5.基于PKI技术在电力系统信息网络中的安全应用分析 [J], 唐波
因版权原因，仅展示原文概要，查看原文内容请购买。

pki试题数据加密与PKI技术一、判断题1、数字签名技术是网络环境中进行公文签发、项目审批等流程必不可少的技术手段。

对3、身份认证的目的是进行权限的控制，从而在网络环境中建立起按级别划分的行政管理制度。

对2、数据加密技术可以通过对电子文档进行数字签名，来保证文档不被篡改，一旦被篡改，可以马上检查出来。

错4、对文件进行数字签名和验证签名一方面可以确认文件发送者的身份，另一方面也可以保证文件的完整性且不被篡改。

对6、USB-KEY在设计中采用了独特的安全性设计，使得证书的私钥不会从USB-KEY中读出造成泄密，因此保证了密钥的安全，也进一步保存了证书的安全性。

对5、VPN技术是一种密钥管理平台，它能够为网络应用提供加密和数字签名等安全服务以及所必需的密钥和证书管理体系。

错7、VPN是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议（尤其是IPSec）和建立在PKI上的加密与签名技术来获得机密性保护。

对8、PPTP/L2TP是IETF（Internet Engineer Task Force）完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。

错10、CA认证作为信息安全基础设施之一，为互联网上用户身份的鉴别提供了重要手段。

对9、Stunnel是一个可以用SSL对任意TCP 连接加密的程序。

对二、单选题1、古典密码的代表密码体制主要有：A、单表代替密码B、Caesar密码C、Vigenere密码D、Hill密码 A2、1977年1月，美国政府决定采纳哪个公司的设计的方案作为非机密数据的正式数据加密标准。

A、DELLB、微软C、IBMD、SUN C3、IDEA算法用来加密的密钥有多少位？A、24B、56C、64D、128 D4、DES算法用来加密的密钥有多少位？A、24B、56C、64D、128 B5、NIST将3-DES指定为过渡的加密标准的时间是：A、1997年B、1998年C、1999年D、2000年 C6、在3DES算法中，密钥最高可以达到多少位？A、96B、128C、168D、200 C7、3DES在EDE工作模式的情况下时，它的有效密钥为多少位？A、168B、112C、64D、56 B8、以下哪个算法是Schnorr和ElGamal签名算法的变种，被美国NIST作为DSS （DigitalSignature Standard）。

请求撤销后， 也会继续签证书（密钥变化 了）
41
简答题(11)
11. 为什么在X.500目录中，节点必然是 节点？
对于节点的操作，会转到对真实节点的 操作，所以，“增加下级节点”操作， 对于节点是没有意义的，不可能有下 级节点
因为有 ，如果有，其下面的节点也永远 不可能被查询到
42
简答题(12)
对于 ，用形式（2）是有意义的。它通过证书的签发者 +序列号，来区分用自己的哪一个证书来签发了该证 书。如下图。
34
CA1
CA2
Issuer=CA1 SerilaNumber=1
Issuer=CA1 SerialNumber=2
Issuer=CA2 SerialNumber=2
CA3有三个证书
A的证书 Issuer=CA3 Authority Cert Issuer=CA1 Authority Cert Serial Number=2
3. 用于签名的可以。以前的签名照样可以验证 ，其他人不能假冒签名。
4. 用于密钥协商的有问题。导致密钥协商进行 不了。
31
简答题(3)
3. 有个，在其系统运行的初始阶段，其所签 发的所有证书都没有出现问题（也就是， 都不需要撤销），这时候，有没有必要签 发？为什么？
4. 需要 5. 即使是所有的证书都没有问题，也应该明
5. 按证书的不同，可以将数字证书分为2种：证 书、订户证书。 Y.
6. 证书策略说明了证书签发的详细流程。 N。说明了证书安全使用等级（范围），说明 了为了达到相应的，有什么样的措施和要求
24
判断题(3)
7. 证书认证路径 的多个证书中，最多包含了1个 订户证书。 Y。 ：从 证书到 证书（或证书）。

• 交叉证明为不同PKI实现相互集成提供了方便途径
子CA1
交叉证明
子CA2
第36页，共53页。
3.2.3 混合 模型 (hùnhé)
• 混合（Hybrid）模型是证书层次结构同交叉证明的结合 • 交叉证明可以在两个层次结构的任何两个CA间进行，
信任仅存在于这两个CA及其下面的子CA之间 • 混合模型很灵活，公司可以根据不同的业务需要建立不
第17页，共53页。
3.1.3.1 PKCS(续)
• PKCS#13目前尚未发布，其焦点集中于使用椭圆曲线 加密系统进行数据的加密和签发
• PKCS#14目前尚未发布，它将是一个关于伪随机数生 成的标准
• PKCS#15可使不同的智能卡供应商和不同的支持智能 卡的应用程序以一种通用格式(géshi)存储加密系统令牌
签名算法（SignatureAlgorithm）
签名值（SignatureValue）
第24页，共53页。
CA签发证书所使用的数字签名算 法
CA创建的实际数字签名
3.1.4.1 CRL(续)
• CA将CRL公布于一个公共存储库，终端实体都可以对 该存储库进行(jìnxíng)检索
• 主体在收到一个证书时，首先检索CRL，判断这个证 书是否是有效的
证书
Certificate Authority
第10页，共53页。
3.1.1 证书颁发(bānfā)机构（CA）(续)
• CA是PKI的核心 • CA管理证书 • 主体登记证书的过程 • CA可以续借和更新证书
第11页，共53页。
3.1.1 证书(zhèngshū)颁发机构（CA）(续) —— CA生成证书的过程
第34页，共53页。

6.防火墙可以阻止所有类型的网络攻击，是网络安全的第一道防线。（）
7.漏洞扫描是对网络或系统中的已知漏洞进行自动检测的过程。（√）
8.在进行渗透测试时，不需要获得系统所有者的明确许可。（×）
9.数字证书可以用来验证公钥的真实性，确保数据传输的安全性。（√）
10.网络安全事件发生后，最有效的措施是立即关闭所有网络连接。（×）
D.攻击目标是Web应用程序
5.以下哪些是操作系统级别的防护措施？（）
A.防火墙
B.安全基线配置
C.安全更新
D.入侵防御系统
6.以下哪些工具可以用于进行渗透测试？（）
A. Burp Suite
B. OWASP ZAP
C. Nmap
D. Microsoft Word
7.以下哪些是社交工程攻击的例子？（）
C.非对称加密攻击
D. DDoS攻击
8.以下哪个端口通常被用于远程桌面连接？（）
A. 80
B. 443
C. 3389
D. 21
9.在网络攻防中，以下哪个术语指的是合法用户使用非法手段获取数据？（）
A.黑客攻击
B.滥用
C.漏洞利用
D.病毒感染
10.以下哪个组织不是专门从事网络安全的？（）
A. Kaspersky Lab
A. Metasploit
B. Hydra
C. Wireshark
D. Aircrack-ng
17.以下哪种攻击方式针对的是无线网络？（）
A. ARP欺骗
B. DNS劫持
C.无线网络钓鱼
D.网络嗅探
18.以下哪个工具用于检测网络中的恶意软件？（）
A. VirusTotal
B. Malwarebytes

PKI技术及其发展应用PKI（Public Key Infrastructure，公钥基础设施），是一种基于非对称加密技术的安全体系，用于确保网络通信的机密性、完整性和身份认证。

PKI技术的发展应用范围广泛，包括数字证书、数字签名、SSL/TLS协议、电子邮件安全等。

PKI技术的核心是公钥和私钥的配对使用。

私钥只有持有者知道，用于数据的加密和数字签名；公钥可以公开，用于数据的解密和验证签名。

通过公钥加密，发送者可以将数据安全地传输给接收者，只有接收者使用其私钥才能解密数据。

而通过私钥签名，发送者可以确保数据的完整性和真实性，接收者可以通过发送者的公钥验证签名。

1.数字证书：数字证书是PKI体系中最重要的组成部分。

数字证书通过授权机构（CA）签发，用于确认公钥和身份的关联性。

证书中包含公钥、持有者的身份信息等，由CA对这些信息进行签名。

通过验证证书，用户可以确认数据的真实性和完整性，从而确保通信的安全。

2.数字签名：数字签名是PKI技术中的一项重要应用，用于验证数据的真实性和完整性。

发送者使用私钥对数据进行签名，接收者使用发送者的公钥验证签名。

如果数据在传输过程中被篡改，验证过程将失败。

数字签名被广泛应用于电子合同、电子交易等场景，以确保数据的可靠性。

3. SSL/TLS协议：SSL（Secure Sockets Layer）和TLS（Transport Layer Security）是一种基于PKI的安全传输协议。

通过使用数字证书和非对称加密，SSL/TLS协议可以确保网络通信的安全性。

SSL/TLS协议被广泛应用于网上银行、电子商务等需要保护用户隐私和数据安全的场景。

4.电子邮件安全：PKI技术可以用于确保电子邮件的机密性和完整性。

通过使用数字证书和加密算法，可以对邮件内容进行加密，防止被窃听和篡改。

同时，数字签名可以确保邮件的真实性和完整性。

1.长期可信性：PKI技术的可信性依赖于授权机构（CA）。

四、判断题
1. ×
2. ×
3. ×
4. ×
5. √
6. ×
7. ×
8. ×
9. √
10. √
五、主观题（参考）
1.数字签名通过使用发送方的私钥对文档的哈希值进行加密，接收方使用发送方的公钥解密验证哈希值，确保文档在传输过程中未被篡改，从而保证真实性和完整性。
2.身份认证确保只有合法用户访问系统资源。方法如：密码（易于使用但可能被破解）、生物识别（安全性高但成本高）、智能卡（安全但需要额外硬件）。各自优势和局限性取决于应用场景和需求。
数字签名与身份认证考核试卷
考生姓名：__________答题日期：__________得分：__________判卷人：__________
一、单项选择题（本题共20小题，每小题1分，共20分，在每小题给出的四个选项中，只有一项是符合题目要求的）
1.数字签名技术用于保证数据的（）
A.保密性
B.完整性
标准答案
一、单项选择题
1. B
2. D
3. C
4. A
5. B
6. C
7. A
8. C
9. B
10. C
11. A
12. B
13. D
14. A
15. C
16. C
17. C
18. A
19. A
20. D
二、多选题
1. ACD
2. BC
3. AB
4. ABC
5. ABC
6. ABC
7. ABC
8. ABC
9. ABC
10. ABC
11. ABC
12. ABC
13. ABC
14. ABC

C. DES
D. SHA
10.以下哪个不是防范跨站脚本（XSS）攻击的措施？（）
A.输入数据验证
B.输出数据编码
C.使用内容安侵检测系统（NIDS）的类型？（）
A.基于主机的入侵检测系统（HIDS）
B.基于网络的入侵检测系统（NIDS）
C.分布式入侵检测系统（DIDS）
D.防火墙入侵检测系统（FIDS）
12.以下哪个不是恶意软件的类型？（）
A.病毒
B.蠕虫
C.木马
D.间谍软件
13.以下哪个不是防范社会工程攻击的措施？（）
A.提高员工的安全意识
B.定期更新安全软件
C.对敏感信息进行加密
D.限制远程访问权限
14.以下哪个不是常见的网络嗅探工具？（）
A. Wireshark
C.在社交媒体上发布虚假广告
D.通过电话请求敏感信息
20.以下哪些是提高网络安全的最佳实践？（）
A.定期更新系统和应用程序
B.使用强密码策略
C.进行安全意识和培训
D.关闭所有外部网络连接
请在此处继续填写其他题型的题目。
三、填空题（本题共10小题，每小题2分，共20分，请将正确答案填到题目空白处）
1.在网络通信中，_______协议用于保证通信双方的身份和数据完整性。（）
C.散列函数
D.以上都是
17.以下哪些是入侵检测系统（IDS）的作用？（）
A.监控网络流量
B.分析可疑行为
C.发送警报
D.自动阻止攻击
18.以下哪些是安全策略的重要组成部分？（）
A.访问控制
B.用户培训
C.安全配置
D.定期维护
19.以下哪些是网络钓鱼攻击的常见形式？（）

pki课程设计一、课程目标知识目标：1. 学生能理解PKI（公钥基础设施）的基本概念，掌握其组成要素和运作原理；2. 学生能了解数字证书的申请、使用和管理过程，理解其在网络安全中的作用；3. 学生能掌握加密技术的基本原理，了解公钥和私钥的应用场景。

技能目标：1. 学生能够运用所学知识，独立完成数字证书的申请和使用过程；2. 学生能够运用加密技术，实现简单的数据加密和解密操作；3. 学生能够分析网络安全问题，提出基于PKI的解决方案。

情感态度价值观目标：1. 培养学生关注网络安全，提高网络素养，树立正确的网络安全观念；2. 培养学生团队协作精神，学会在合作中解决问题，尊重他人意见；3. 培养学生主动学习、探究问题的兴趣，激发学生对信息技术学科的热爱。

课程性质：本课程为信息技术学科，旨在帮助学生了解和掌握PKI相关知识，提高网络安全意识和技能。

学生特点：本课程针对初中年级学生，他们对信息技术有一定的基础，好奇心强，善于探究，但可能对网络安全知识掌握不足。

教学要求：结合学生特点，采用案例教学、任务驱动等方法，注重实践操作，提高学生的实际应用能力。

在教学过程中，关注学生的个体差异，鼓励学生提问和分享，使他们在合作与交流中提高综合素质。

通过本课程的学习，使学生具备基本的网络安全知识和技能，为未来的网络生活打下坚实基础。

二、教学内容1. PKI基本概念：介绍PKI的定义、作用及其在网络安全中的应用；- 教材章节：第二章“网络安全基础”- 内容列举：公钥与私钥、加密与解密、数字签名、证书权威（CA）2. 数字证书：讲解数字证书的类型、申请流程、使用方法及管理策略；- 教材章节：第三章“数字证书与身份认证”- 内容列举：证书类型、证书申请、证书使用、证书吊销与更新3. 加密技术：阐述对称加密、非对称加密的原理及在实际应用中的选择；- 教材章节：第四章“加密技术及其应用”- 内容列举：对称加密算法、非对称加密算法、混合加密系统4. 实践操作：组织学生进行数字证书申请、使用及加密解密操作；- 教材章节：第五章“实践操作”- 内容列举：证书申请与使用、加密解密实验、案例分析5. 网络安全解决方案：讨论基于PKI的网络安全解决方案，提高学生问题分析能力；- 教材章节：第六章“网络安全解决方案”- 内容列举：网络安全威胁、基于PKI的解决方案、实际案例分析教学大纲安排：第一课时：PKI基本概念及加密技术原理第二课时：数字证书的申请与使用第三课时：实践操作（数字证书申请、加密解密实验）第四课时：基于PKI的网络安全解决方案及案例分析教学内容注重科学性和系统性，结合教材章节，使学生在理论学习与实践操作中掌握PKI相关知识，提高网络安全意识和技能。

网络与信息安全管理员模拟试题（含答案）一、单选题（共69题，每题1分，共69分）1.PKI系统组成不包括()。

A、注册机构B、终端实体C、认证机构D、SSL正确答案：D2.以下不属于侧信道技术（利用非通信信道物理信息如能量消耗变化、电磁辐射变化进行分析攻击）的攻击技术是()。

A、能量分析B、计时分析C、B误注入D、干扰技术正确答案：D3.在Linux系统中，环境变量()指定了保存历史命令记录的条数。

A、HISTSIZEB、PATHC、USERD、TERM正确答案：A4.关于OSPF路由协议以下说法不正确的是()。

A、OSPF是一种内部网关协议B、OSPF协议的默认管理距离是C、OSPF是一种距离矢量路由协D、OSPF是一种链路状态路由协正确答案：C5.对消防安全监管，归属政府哪个职能部门管理()？A、电信管理B、公安机关C、工商行政D、文化行政正确答案：B6.Linux系统使用()命令挂载磁盘和分区。

A、mountB、partitionC、labelD、disk正确答案：A7.当个人信息控制者停止运营其产品或服务时，下列做法不正确的是()。

A、在暗网出售个人信息B、及时停止继续收集个人信息的活动C、将停止运营的通知以逐一送达或公告的形式通知个人信息主体D、对其所持有的个人信息进行删除或匿名化处理正确答案：A8.某单位一个大办公室内共需放置24台台式计算机，那么在进行网络规划时，一般考虑采用的传输介质是()。

A、微波B、多模光纤C、双绞线D、单模光纤正确答案：C9.互联网信息内容治理原则中，行政监管原则具有的优势不包括()。

A、权威性B、技术专业性C、公正性D、灵活性正确答案：D10.()是传输层以上实现两个异构系统互连的设备。

A、路由器B、网关C、集线器D、网桥正确答案：A11.PKI系统组成不包含()？A、评估机构B、认证机构C、注册机构D、证书撤销列表发布正确答案：A12.著作权的权利内容包括发表权、署名权、修改权、展览权、表演权、放映权、广播权、信息网络传播权、摄制权等。

5-2.集中式和分布式密钥生成系统各有特点，什么方法可以解决它们的缺点？5-3.密钥归档系统依赖于安全策略和PKI实现，描述它需要给那些不同类型的系统提供接口，如何实现？5-4.简单介绍密钥恢复，并说明从密钥恢复的观点来看，3种密钥的区别与恢复的原因。

5-5.证书管理包括那些内容？简单描述各部分内容之间的关系。

5-6.CA对证书负责之前，证书必须完成注册过程，这个过程存在那些问题？5-7.密钥所有权确认步骤称为拥有证据，它的确认过程是如何的？5-8.CA证书的更新是一个过程，是如何处理的？为什么需要这样实现？5-9.CRL有哪些形式？简单描述一下CRL在证书撤销过程中的作用。

5-10.在线证书验证有那些动机？根据我们现今了解的一个实现简单说明这些动机。

解答：密钥管理涉及的过程有：创建密钥，分发密钥，保护密钥，归档密钥和恢复密钥。

首先，由于某个原因需要创建一个密钥对，这个创建过程有可能是在客户端进行也可能在一个密钥生成中心完成。

接着，这些密钥和相应的证书通常保存在一个应用指定的密钥存储中。

有些情况下，这些密钥存储提供一个标准的API，以便使用API的其他应用可以共享对相同密钥资料的访问。

有可能在密钥存储间传输密钥，可选择的密钥共享方法是提供导入/导出机制。

PKCS#11标准定义了一个加密存储容器，作为密钥存储间安全传输密钥的交换格式。

作为提供强壮系统的部分要求，大多数组织增加使用密钥归档和恢复系统，允许用户重新获得丢失的密钥。

5-2.集中式和分布式密钥生成系统各有特点，什么方法可以解决它们的缺点？解答：密钥生成系统主要有集中式和分布式，它们各有特点：集中式：中心密钥生成使密钥归档和恢复之类的服务简单化，因为只有少量的基础设施组件对归档系统有接口。

这在大多数情况下运行得很好，因为加密密钥是最有可能需要保存归档系统中的密钥类型。

它的负面影响是，它变成一个非常敏感的安全组件，因为它处于攻击者破坏你的PKI系统的显眼未知。

1.比较区分密码编码学和密码分析学。

答：密码编码学致力于建立难以被敌方或对手攻破的安全密码体制；密码分析学力图破译敌方或对手已有的密码体制。

2.对称密码学与非对称密码学的特点。

答：对称密码学特点：1）同一个密钥既用于加密也用于解密；2）加密数度快；3）接受者需要得到对称密钥，所以对称加密容易受到中途拦截窃听的攻击；4）对称密码系统当中密钥的个数大约是以参与者数目的平方的速度增长，因此很难将它的使用扩展到大范围的人群中；5）对称密码系统需要复杂的密钥管理；6）对称密码技术不适用数字签名和不可否认性。

非对称密码学特点：1）使用非对称密码技术时，用一个密钥加密的东西只能用另一个密钥解密；2）不必发送密钥给接受者，所以非对称不必担心密钥被中途拦截的问题；3）需要分发的密钥的数目和参与者的数目一样，这样，在参与者数目很大的情况下，非对称密码技术仍然会工作得很好；4）非对称密码技术没有复杂的密钥分发问题；5）非对称密码技术不需要事先在各参与方之间建立关系以交换密钥；6）非对称密码技术支持数字签名和不可否认性；7）非对称加密速度相对较慢；8）非对称加密会导致得到的密文变长。

3.描述数字签名的工作过程。

答：创建数字签名验证数字签名4.什么是数字证书？一般包括哪些内容？答：数字证书用于担保这个特定的公钥是和这个特定的人相关联的。

一个数字证书的内容一般包括：所有者的公钥，所有者的名字，公钥的失效期，发放机构的名称（发放数字证书的CA），数字证书的序列号，发放机构的数字签名。

5.证书有效期是时间间隔，在这个期间CA保证它将保持关于证书的状况的信息。

有效期包括生效期（notBefore）和失效期（notAfter），应该如何处理以避免Y2K问题？答：Y2K问题的本质是不详细的公元年编码，使用详细的公元日期信息可避免Y2K问题。

6.当试图防止有人欺诈的时候，数字签名显得有点力量不足，那么，有什么有效的措施可以增加不可否认性呢？答：增加创建数字签名的时间；某个可信的拥有准确时钟的第三方；联合签名等。

试题以word形式上传，形如2008001张三.doc的文件，编程题代码直接写在题目下方，结果以抓图形式粘贴在该word文档中。

一、论述题（40分）：以文件网络传输的安全性分析为例，阐述pki系统产生的必要性与基本技术特点分析。

（不得少于400字）。

随着网络的发展，信息安全已成为焦点问题之一，尤其是网上支付和网络银行对信息安全的要求显得更为突出。

为了能在因特网上开展安全的电子商务活动，公开密钥基础设施（PKI, Public Key Infrastructure）逐步在国内外得到广泛应用。

pki系统基本技术特点分析1. 采用公开密钥密码技术，能够支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。

这种可追究的服务也为原发数据完整性提供了更高级别的担保。

2、由于密码技术的采用，保护机密性是PKI最得天独厚的优点。

3、由于数字证书可以由用户独立验证，不需要在线查询，原理上能够保证服务范围的无限制地扩张，这使得PKI能够成为一种服务巨大用户群的基础设施。

4、 PKI提供了证书的撤销机制，从而使得其应用领域不受具体应用的限制。

5、 PKI具有极强的互联能力。

不论是上下级的领导关系，还是平等的第三方信任关系，PKI都能够按照人类世界的信任方式进行多种形式的互联互通，从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。

二、编程题（60分，代码占40分，结果20分）：利用openssl，结合activeperl环境搭建，用vc++实现对原文pki exam的16位秘文的生成。

#include <stdio.h>#include <string.h>#include <windows.h>#include <openssl/evp.h>#include <openssl/x509.h>void tEVP_Encrypt(){unsigned char key[EVP_MAX_KEY_LENGTH];unsigned char iv[EVP_MAX_KEY_LENGTH];EVP_CIPHER_CTX ctx;unsigned char out[1024];int outl;int outltmp;char *msg="pki exam"int rv;int i;for(i=0;i<24;i++){key[i]=i;}for(i=0;i<8;i++){iv[i]=i;}EVP_CIPHER_CTX_init(&ctx);rv= EVP_EncryptInit_ex(&ctx,EVP_des_ede3_cbc(),NULL,key,iv); if(rv!=1){printf("Err\n");return;}rv = EVP_EncryptUpdate(&ctx,out,&outl,msg,strlen(msg));if(rv!=1){printf("Err\n");return;}rv = EVP_EncryptFinal_ex(&ctx,out+outl,&outltmp);if(v!=1){printf("Err\n");return;}outl = outl +outltmp;printf("原文为:%s\n",msg);printf("密文长度：%d\n密文数据：\n",outl);for(i=0;i<outl;i++){printf("0x%02x ",out[i]);}printf("\n");}int main(){OpenSSL_add_all_algorithms();tEVP_Encrypt();return 0;}。

2012-2013学年第1学期期中考试试题课程名称《PKI技术及其应用》考试方式（开）卷适用专业09计科考试时间（ 120 ）分钟一、名词解释（20分，每小题4分）1．公钥基础设施2. 数字证书3. 信任关系4．证书生命周期5．认证惯例陈述二、选择题(10分，每题2分)1.数字证书不包括( )A. 证书所有人公钥B.证书有效期C. 证书所有人私钥D. 认证机构名2.中国PKI论坛成立于( )A. 1980 年B. 1990年C. 1998年D. 2001年3．RA与CA功能的一个主要不同点在于（）A．注册、注销以及批准或拒绝对用户证书属性的变更要求B．对证书申请人进行合法性确认C．发放证书D．向有权拥有身份标记的人当面分发标记或恢复旧标记4. 以下哪种形式不是简单鉴别( )A.刮刮卡B. 口令+ID以明文方式传输C.随机数加密保护D.三向认证鉴别5．下列哪种方式不是PKI管理的传输方式（）A．基于TCP的管理协议 B．基于文件大小的协议C．通过电邮的管理协议D．通过HTTP的管理协议三、简答题( 共30分，每题10分)1．PKI的核心服务有哪些？2. CA如何对证书进行更新？3. 信任模型是什么？有哪几种典型的信任模型？四、分析题( 共40分，每题20分)1．试详细描述DES算法，并描述加密和解密的过程。

2. 试分析CA系统在网络基础上实施的安全性。

《PKI技术及其应用》标准答案1. 公钥基础设施：是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。

2. 数字证书：又叫“数字身份证”、“网络身份证”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。

3. 信任关系：当两个认证机构中的一方给对方的公钥或双方给对方的公钥颁发证书时，二者之间就建立了这种信任关系。

4. 证书生命周期：证书申请、证书生成、证书存储、证书发布、证书废止这一过程就是证书的生命周期。

PKI技术课后复习题pki技术课后复习题pki技术2021年秋季学期课后复习题pki技术课后复习题姓名：学号：1不定项选择题1、关于ca，下面说法那些是正确的a、ca负责签发订户的数字证书b、ca没有自己的数字证书c、ca就是pki的核心部件d、ca和ca之间无法相互证书、相互核发证书2、哪些证书的序列号应该出现在crl上a、有效期内的正常证书b、过期的证书c、尚未生效的证书d、相应私钥泄漏的、有效期内的ca证书3、ietfpkix的模型中，包含了如下的部件a、终端实体b、cac、rad、crlissuere、资料库f、pkiuser5、pki中，哪个部件负责审核订户提交信息的真实性a、cab、ocspc、endentityd、rae、密钥管理机构6、在pki中，以下哪些信息就是可以官方的a、最新的crlb、过期的订户证书c、ca 的公钥d、订户的公钥e、核发证书时，所用的hash算法f、订户私钥g、交叉证书7、oid可以用来表示如下：a、人类b、公钥算法c、对称算法d、数字证书e、证书策略8、完备的pki系统，可以包含了如下组件a、cab、rac、repositoryd、crlissuere、ocsp服务器9、在issueralternativename中，可以包括a、ca的emailb、ca的网站c、订户的emaild、ca的营业执照号码e、ca的ip地址10、对于订户证书x，如何以获取其所对应crl的方法（也就是crldistributionpoint拓展的信息），必须出现在a、订户证书x中b、其所对应的ca证书中c、其所对应的根ca证书中d、订户证书x的issuealternativename扩展中第1页共3页pki技术2021年秋季学期课后复习题2判断题（若认定为不信，须要详述错误原因）1、订户要将自己的公钥和私钥都同时交给ca，ca才能签发数字证书。

2、ca采用ecc亲笔签名算法给订户核发了一张所含rsa算法公钥的证书。

软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、信息安全的基本要素包括哪些？2、以下哪项不是信息安全威胁的常见类型？3、在信息安全中，以下哪个选项不属于常见的网络安全攻击类型？A. SQL注入B. 钓鱼攻击C. 拒绝服务攻击（DoS）D. 物理破坏4、以下关于密码学的描述中，哪项是错误的？A. 密码学是研究如何保护信息安全的学科。

B. 加密算法可以分为对称加密和非对称加密。

C. 数字签名可以用来验证信息的完整性和来源。

D. 加密算法的强度取决于密钥的长度。

5、以下关于密码学中哈希函数的说法，正确的是（）A. 哈希函数可以将任意长度的输入数据映射到固定长度的输出值B. 哈希函数具有可逆性，可以通过输出值反推出输入值C. 哈希函数的输出值是唯一的，不会有两个不同的输入值产生相同的输出D. 哈希函数在加密过程中用于保证数据完整性6、以下关于公钥密码体制的说法，不正确的是（）A. 公钥密码体制中，加密和解密使用不同的密钥B. 公钥密码体制的安全性依赖于密钥的保密性C. 公钥密码体制的密钥长度通常比对称密码体制长D. 公钥密码体制适用于所有类型的通信场景7、以下哪项不属于信息安全的基本原则？A. 完整性原则B. 可用性原则C. 不可抵赖性原则D. 安全性原则8、在网络安全防护中，以下哪种加密算法不属于对称加密算法？A. DESB. AESC. RSAD. 3DES9、以下哪个协议不属于OSI模型中的应用层协议？A. HTTPB. FTPC. SMTPD. ARP 10、在信息安全中，以下哪种措施不属于物理安全防护范畴？A. 安装门禁系统B. 设置防火墙C. 定期备份数据D. 使用加密技术11、下列关于密码学的描述中，错误的是：A. 密码学主要包括密码编码学和密码分析学两个分支B. 密码编码学关注如何有效地对信息进行加密C. 密码分析学研究的是如何对密文进行破译D. 现代密码学的目标仅限于保证通信内容的安全12、在SSL/TLS协议中，握手协议的主要作用是什么？A. 用于客户端和服务器相互认证，并协商加密算法B. 完成数据传输过程中的消息认证C. 提供一种机制让发送者否认已发送的消息D. 实现数据的可靠传输，确保数据包顺序到达13、在网络安全中，以下哪项不属于常见的攻击类型？A. 中间人攻击B. 拒绝服务攻击（DoS）C. SQL注入攻击D. 物理安全14、在信息安全体系中，以下哪个不是安全策略的基本要素？A. 安全目标B. 安全措施C. 安全评估D. 安全审计15、下列哪一项不属于常见的网络攻击类型？A. 拒绝服务攻击（DoS）B. SQL注入攻击C. 网络钓鱼攻击D. 数据加密保护16、在信息安全模型中，确保信息不被未授权访问的属性称为？A. 可用性B. 完整性C. 保密性D. 可控性17、在信息安全领域中，以下哪个选项不属于常用的加密算法？A. RSAB. AESC. DESD. HTTP18、在网络安全防护中，以下哪个措施不属于入侵检测系统的功能？A. 实时监控网络流量B. 检测和阻止恶意代码C. 记录安全事件D. 进行数据备份19、以下哪一项不是防止信息泄露的基本措施？A、数据加密传输B、敏感数据脱敏处理C、使用强密码D、公开关键业务数据20、在信息安全保障体系中，PDR模型强调的是？A、防护 - 检测 - 响应B、预防 - 设计 - 恢复C、政策 - 发展 - 记录D、保护 - 检测 - 反应21、题干：以下关于密码学中公钥加密算法的说法，错误的是（）。

第七章PKI的应用1.PKI的核心服务有哪些？答：基于PKI的服务就是提供常用PKI功能的可复用函数。

PKI的核心服务包括数字签名、身份认证、安全时间戳、安全公证服务和不可否认服务等。

2.PKI实体是如何实现认证、保密、不可否认服务的？答：认证服务：PKI认证服务使用数字签名来确认身份。

其基本过程是向待认证实体出示一项随机质询数据。

实体必须用自己的私钥对质询数据签名或者加密。

如果质询者能用实体证书中的公钥验证签名或者解密数据，那么实体就被认证了。

PKI向实体提供全面的认证服务必须满足两个需求：第一是实体甲必须能够准确无误地得到他希望通信的实体乙的公钥，这是证书的基本目的；第二是在甲没有乙的证书的情况下，甲必须可以从公共的资料库中查询。

通过这种方式，两个陌生人能够建立安全通信保密服务：PKI的保密性服务采用了类似于完整性服务的机制，具体如下：(1)甲生成一个对称密钥(使用密钥协商协议)。

(2)用对称密钥加密数据(使用对称分组密码)。

(3)将加密后的数据发送给对方。

不可否认服务：不可否认服务为当事双方间发生的相互作用提供不可否认的事实。

不可否认性不是一个独立的PKI支持的服务，它依赖于其他PKI支持的服务去实现。

其中主要依赖于时间戳，不可否认性服务需要安全时间戳服务来证明某个特别事件发生在某个特定时间或某个数据在特定日期已经存在等。

另外，不可抵赖服务还需要与数据认证服务连接，以证明“打包”成适合于存储的数据结构。

这些服务也必须与PKI的核心服务(认证、完整性和机密性服务)有机结合。

ISO标准为不可否认服务定义了一组详尽的角色以及不可否认服务的类型，包括源不可否认，交付不可否认，提交不可否认和传输不可否认。

3.在PKI中如何获得对方的证书和相关信息？答：PKI的证书是由一个可信的权威机构——认证中心颁发的。

用户产生了自己的密钥对后，将公共密钥及部分个人身份信息传送给一家认证中心。

认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来。