试题三（25分）

阅读下列说明，回答问题1至问题4，将解答填入答题卡纸的对应栏内

【说明】

A公司承接某市机关事业单位养老保险信息系统，项目覆盖整个市、区、县的机关事业单位在编人员的养老保险信息，实现数据集中统一管理。公司成立了项目组，任命小王招任项目经理。

项目组对项目进行调研后。成立了风险管理小组，编写了项目管理计划和风险管理计划，明确项目风险管理过程如下图所示：

项目组对风险登记册中的各风险制订了相应措施，部分措施如下所示∶

此外，在信息安全方面，养老保险数据信息涉及个人隐私，如果不法分子突破安全限制，会造成用户隐私泄漏或信息篡改。因此项目组采用PKI技术，为系统的安全运行提供了有效的保障。

PKI采用双证书体系，非对称算法支持RSA和ECC算法，对称密码算法支持国家密码管理委员会指定的算法。其中双证书包括签名证书和加密证书。—对密钥用于签名（签名密钥对）,—对密钥用于加密（加密密钥对） 。加密密钥在密钥管理中心生成及备份，签名密钥由用户自行生成并保存。

双密钥证书的生成过程如下：

(1)用户使用客户端产生签名密钥对。

(2)用户的签名私钥保存在客户端。

(3)用户将签名密钥对的公钥传送给CA中心。

(4) CA中心为用户的公钥签名，产生签名证书。

(5)CA中心将签名证书传回客户端进行保存。

(6)KMC(密钥管理中心)为用户生成加密密钥对。

(7)在KMC中备份加密密钥以备以后进行密钥恢复。

(8)CA中心为加密密钥对生成加密证书。

(9) CA中心将用户的加密私钥和加密证书打包成标准格式PKCS#12。

(10)将打包后的文件传回客户端。

(11) 用户的客户端装入加密公钥证书和加密私钥。

本题要求简述双密钥证书的生成过程。在PKI技术中，采用双密钥、双证书机制，包括签名证书和加密证书。签名密钥对用于签名，加密密钥对用于加密。加密密钥在密钥管理中心生成及备份，签名密钥由用户自行生成并保存。具体生成过程包括用户在客户端产生签名密钥对，将公钥传给CA中心以获取签名证书，同时KMC为用户生成加密密钥对并在KMC中备份加密密钥，CA中心生成加密证书。最后，CA中心将加密私钥和加密证书打包成标准格式PKCS#12传回客户端，客户端装入加密公钥证书和加密私钥完成双密钥证书的生成。