2025年信息系统安全专家证书颁发机构运作与信任模型专题试卷及解析.pdfVIP

2025年信息系统安全专家证书颁发机构运作与信任模型专题试卷及解析1

2025年信息系统安全专家证书颁发机构运作与信任模型专

题试卷及解析

2025年信息系统安全专家证书颁发机构运作与信任模型专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在PKI（公钥基础设施）信任模型中，哪种模型通过一个根CA为所有实体签

发证书，具有结构简单、易于管理的特点？

A、WebofTrust模型

B、层次信任模型

C、桥接CA模型

D、交叉认证模型

【答案】B

【解析】正确答案是B。层次信任模型采用树状结构，由根CA统一管理，具有明

确的信任路径和高效的管理机制。A选项WebofTrust模型采用去中心化信任，适用

于PGP等场景；C选项桥接CA模型用于不同PKI域间的互联；D选项交叉认证是

具体技术而非独立模型。知识点：PKI信任模型分类。易错点：混淆层次模型与桥接模

型的适用场景。

2、CA（证书颁发机构）在签发证书时必须遵循的核心流程不包括？

A、身份验证

B、密钥生成

C、证书签发

D、CRL发布

【答案】B

【解析】正确答案是B。密钥生成由申请方完成，CA只负责验证和签发。A、C、D

均为CA核心职责：身份验证确保真实性，证书签发是核心功能，CRL（证书吊销列表）

维护证书状态。知识点：CA运作流程。易错点：误将密钥生成视为CA职责。

3、在证书生命周期管理中，证书更新与证书重新签发的根本区别在于？

A、有效期延长

B、密钥对变更

C、主体信息修改

D、CA签名算法变更

【答案】B

【解析】正确答案是B。证书更新仅延长有效期且使用相同密钥，重新签发则必须

生成新密钥对。A是更新的特征，C、D属于重新签发的可能原因。知识点：证书生命

周期管理。易错点：混淆”更新”与”重新签发”的操作对象。

2025年信息系统安全专家证书颁发机构运作与信任模型专题试卷及解析2

4、以下哪种信任模型最适用于跨国企业需要统一管理多个独立PKI域的场景？

A、严格层次模型

B、WebofTrust模型

C、桥接CA模型

D、单CA模型

【答案】C

【解析】正确答案是C。桥接CA模型通过桥接CA实现不同PKI域的互操作，适

合分布式管理。A、D缺乏灵活性，B不适合企业级应用。知识点：信任模型选型。易

错点：忽视桥接CA的”域间互联”特性。

5、CA系统安全防护中，HSM（硬件安全模块）的主要作用是？

A、存储证书

B、生成随机数

C、保护私钥

D、验证签名

【答案】C

【解析】正确答案是C。HSM提供私钥的物理隔离和加密保护。A用证书库实现，

B、D可由软件完成。知识点：CA安全组件。易错点：混淆HSM与普通加密设备的区

别。

6、在X.509v3证书扩展项中，用于限制证书用途的字段是？

A、SubjectAlternativeName

B、KeyUsage

C、CRLDistributionPoints

D、AuthorityKeyIdentifier

【答案】B

【解析】正确答案是B。KeyUsage明确定义密钥可用场景（如数字签名、加密）。

A用于多域名，C指定吊销列表位置，D标识CA公钥。知识点：证书扩展字段。易错

点：混淆功能型扩展与标识型扩展。

7、当CA私钥泄露时，应立即采取的首要措施是？

A、通知所有用户

B、吊销所有子CA证书

C、发布新的根证书

D、启用备用CA

【答案】B

【解析】正确答案是B。吊销子CA证书可阻断信任链扩散。A、C、D为后续措施。

知识点：CA应急响应。易错点：忽视”阻断信任链”的优先级。

2025年信息系统安全专家证书颁发机构运作与信任模型专题试