免费智能真题库 > 历年试卷 > 信息安全工程师 > 2017年上半年 信息安全工程师 上午试卷 综合知识
  第31题      
  知识点:   公钥基础设施(PKI)技术   PKI
  章/节:   认证技术方法       

 
下面不属于PKI组成部分的是()。
 
 
  A.  证书主体
 
  B.  使用证书的应用和系统
 
  C.  证书权威机构
 
  D.  AS
 
 
 

 
  第60题    2016年下半年  
   59%
在PKI中,不属于CA的任务是(60)。
  第60题    2018年上半年  
   56%
在PKI中,关于RA的功能,描述正确的是( )。
  第55题    2017年上半年  
   64%
以下关于公钥基础设施(PKI)的说法中,正确的是()。
   知识点讲解    
   · 公钥基础设施(PKI)技术    · PKI
 
       公钥基础设施(PKI)技术
        公钥密码体制不仅能够实现加密服务,而且也能提供识别和认证服务。除了保密性之外,公钥密码可信分发也是其所面临的问题,即公钥的真实性和所有权问题。针对该问题,人们采用“公钥证书”的方法来解决,类似身份证、护照。公钥证书是将实体和一个公钥绑定,并让其他的实体能够验证这种绑定关系。为此,需要一个可信第三方来担保实体的身份,这个第三方称为认证机构,简称CA(Certification Authority)。CA负责颁发证书,证书中含有实体名、公钥以及实体的其他身份信息。而PKI(Public Key Infrastructure)就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复。一般来说,PKI涉及多个实体之间的协商和操作,主要实体包括CA、RA、终端实体(End Entity)、客户端、目录服务器,如下图所示。
        
        PKI组成及服务示意图
        PKI各实体的功能分别叙述如下:
        . CA(Certification Authority):证书授权机构,主要进行证书的颁发、废止和更新;认证机构负责签发、管理和撤销一组终端用户的证书。
        . RA(Registration Authority):证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保;RA可以充当CA和它的终端用户之间的中间实体,辅助CA完成其他绝大部分的证书处理功能。
        . 目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务。
        . 终端实体(End Entity):指需要认证的对象,例如服务器、打印机、E-mail地址、用户等。
        . 客户端(Client):指需要基于PKI安全服务的使用者,包括用户、服务进程等。
 
       PKI
        PKI的基本概念
        1.PKI的总体架构
        PKI(Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。它是支持安全五要素的技术基础设施。
        一个网络的PKI包括以下几个基本构件:
        .数字证书:由认证机构经过数字签名后发给网上信息交易主体(企业或个人、设备或程序)的一段电子文档。文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥和私钥信息及其他属性信息等。数字证书提供了PKI的基础。
        .认证中心:即CA,是PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。
        .数字证书注册审批机构:即RA,是CA的数字证书发放、管理的延伸。它负责数字证书申请者信息的录入、审核以及数字证书发放等工作。RA系统是整个CA中心得以正常运营不可缺少的一部分。
        .数字签名:利用发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理,这个过程和结果就是数字签名。
        .密钥和证书管理工具:管理和审计数字证书的工具,认证中心使用它来管理一个在CA上的证书。
        .双证书体系:PKI采用双证书体系,非对称算法支持RSA和ECC算法,对称密码算法支持国家密码管理委员会指定的算法。
        从宏观来看,PKI的体系架构概括为两大部分:
        .PKI信任服务体系:是为整个业务应用系统提供基于PKI数字证书认证机制的实体身份鉴别服务,包括了认证机构、注册机构、证书库、证书撤销和交叉认证等。
        .PKI密钥管理中心:即KMC,提供密钥管理服务,向授权管理部门提供应急情况下的特殊密钥回复功能。包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。
        2.双证书、双密钥机制
        一对密钥(一张证书)的弊端:
        .如果密钥不备份,当密钥损坏时,以前加密的信息不可解密。
        .如果密钥不备份,很难实现信息审计。
        .如果密钥不备份,数字签名的不可否认性很难保证。
        两对密钥(两张证书)的优点:
        .一对密钥用于签名,一对密钥用于加密。
        .加密密钥在密钥管理中心生成及备份,签名密钥由用户自行生成并保存。
        3.数字证书的主要内容
        数字证书是公开密钥体制的一种密钥管理媒介。主要内容有:
        .主体名称:唯一标识证书所有者的标识符。
        .签证机关名称(CA):唯一标识证书签发者的标识符。
        .主体的公开密钥:证书所有者的公开密钥。
        .CA的数字签名:CA对证书的数字签名,保证证书的权威性。
        .有效期:证书在该期间内有效。
        .序列号:CA产生的唯一性数字,用户证书管理。
        .用途:主体公钥的用途。
        数字证书生命周期
        PKI/CA对数字证书的管理是按照数字证书的生命周期实施的。数字证书的生命周期包括:
        .安全需求确定:安全需求的确定必须完成的工作包括标识需要证书的应用程序、确定所需要的安全级别、标识需要证书的用户、确定如何保护私有密钥。
        .证书登记:从CA申请和接收一个证书的过程称为登记。这个过程可分为几个步骤,包括生成一个密钥对、收集登记信息、申请证书、用CA的公开密钥对申请进行加密、验证信息、创建证书、发送或邮寄证书。
        .证书分发:企业CA向用户颁发证书。
        .证书撤回:CRL(证书撤销列表)不会撤回客户端上的所有证书,仅仅撤回CRL中指定的证书。
        .证书更新:当证书达到它的截止有效日期时会自动变得无效,需要更新一个新证书。
        .证书审计:使用审计来监控与证书服务器上证书的颁发有关的活动。
        证书映射为使用者使用数字证书进行实际的应用操作提供了安全的、实际的“交接认证”工作。证书到用户账户的映射可以分为:
        .一对一映射:创建从个人证书到相应的应用里用户账户的关系。当客户数目相对很小时,使用一对一映射。
        .多对一映射:为所有证书创建从一个特定CA到一个应用的用户账户的关系。能够把多个证书映射到一个用户的账户中。
        X.509的信任模型
        X.509中信任的定义为:如果实体A认为实体B严格按A所期望的那样行动,则A信任B。
        PKI/CA的信任结构类型包括:
        .层次信任结构:所有实体都信任唯一的根CA。
        .分布式信任结构:把信任分散到两个或更多个(或许是很多个)CA上。
        .Web模型的信任结构:与严格层次结构模型相似。在该模型中,许多CA的公钥被预装在正在使用的标准浏览器上,浏览器用户最初信任这些CA并把它们作为证书检验的根。
        .以用户为中心的信任模型:每个用户都对决定依赖哪个证书和拒绝哪个证书直接完全地负责。
        .交叉认证的信任关系:交叉认证是一种把以前无关的CA连接在一起的有用机制,从而使得在它们各自主体群之间的信任关系得到有效扩展,使彼此的终端实体之间的安全通信成为可能。
        认证机构职责
        认证中心(CA)是PKI/CA提供核心服务的执行机构,广义上还应包含证书的申请注册机构(RA)。
        CA的主要职责包括:
        .数字证书管理。
        .证书和证书库。
        .密钥备份以及恢复。
        .密钥和证书的更新。
        .证书历史档案。
        .客户端软件。
        .交叉认证。
        认证中心提供的服务主要包括:
        .认证:身份识别和鉴别,确认实体即为自己所声明的实体,鉴别身份的真伪。
        .数据完整性服务:确认数据没有被修改。
        .数据保密性服务:采用“数字信封”机制。
        .不可否认性服务:从技术上保证实体对其行为的认可。
        .公证服务:即数据认证,证明数据的有效性和正确性。
        PKI/CA应用模式
        PKI/CA是S-MIS和S2-MIS的安全基础平台。
        PKI/CA的应用范围包括:
        .电子商务应用。
        .电子政务。
        .网上银行。
        .网上证券。
        .其他应用。
   题号导航      2017年上半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第31题    在手机中做本题