免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2009年下半年 信息系统管理工程师 上午试卷 综合知识
  第68题      
  知识点:   访问控制和鉴别   数字证书
  关键词:   数字证书   网站        章/节:   信息安全知识       

 
某网站向CA申请了数字证书,用户通过(68)来验证网站的真伪。
 
 
  A.  CA的签名
 
  B.  证书中的公钥
 
  C.  网站的私钥
 
  D.  用户的公钥
 
 
 

 
  第22题    2012年上半年  
   20%
(22)是不能查杀计算机病毒的软件。
  第23题    2020年下半年  
   26%
在信息系统安全管理中,以下措施,(23)能最有效地防范计算机病毒。
  第24题    2018年上半年  
   15%
信息安全的基本要素包括真实性、机密性、不可抵赖性、可审査性等方面。建立有效的责任机制,防止用户否认其行为属于( )。
   知识点讲解    
   · 访问控制和鉴别    · 数字证书
 
       访问控制和鉴别
               鉴别
               鉴别机制是以交换信息的方式确认实体真实身份的一种安全机制。身份可被鉴别的实体称为主体,主体具有一个或多个与之对应的辨别标识符。可被鉴别的主体有:人类用户;进程;实开放系统;OSI层实体;组织机构。鉴别的基本目的是防止其他实体占用和独立操作被鉴别实体的身份,这类危害被称为“冒充”。
               识别将可辨别标识符与某一主体联系起来,与其他主体区别。有时候,一个主体可以拥有并使用一个或多个辨别标识符。在给定的安全域内可辨别标识符要能够将一个主体与域中的其他主体区分开来。在不同的安全域中发生鉴别时,可以将辨别标识符与安全域标识符连接使用,以区别不同安全域中使用同一可辨别标识符的实体。
               鉴别提供了实体声称其身份的保证,只有在主体和验证者的关系背景下,鉴别才是有意义的。有两种重要的关系背景:①主体由申请者来代表,申请者和验证者之间存在着特定通信关系(实体鉴别);②主体为验证者提供数据项来源。其中,申请者用于描述一类实体,这类实体本身就是用于鉴别的主体或者代表用于鉴别的主体。验证者用于描述一类实体,这类实体本身就是要求被鉴别的实体或者代表要求被鉴别的实体。鉴别信息是指申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。
               鉴别的方法主要有如下5种。
               (1)用拥有的(如IC卡)进行鉴别。
               (2)用所知道的(如密码)进行鉴别。
               (3)用不可改变的特性(如生物学测定的标识特征)进行鉴别。
               (4)相信可靠的第三方建立的鉴别(递推)。
               (5)环境(如主机地址)。
               鉴别分为单向鉴别和双向鉴别。在单项鉴别中,一个实体充当申请者,另一个实体充当验证者;在双向鉴别中,每个实体同时充当申请者和鉴别者,并且两个方向上可以使用相同或者不同的鉴别机制。
               用户在被允许得到访问控制信息之前必须被鉴别,从而允许其在访问控制策略下访问资源,即鉴别服务可以将鉴别结果传送给访问控制服务。
               访问控制的一般概念
               访问控制决定了谁能够访问系统、能访问系统的哪些种资源和如何使用这些资源,是控制对计算机系统或网络的访问的一种方法,目的是防止对信息系统资源的非授权访问和使用。访问控制的手段包括用户识别代码、密码、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。
               访问控制是对进入系统进行控制,而选择性访问控制是进入系统后,对像文件和程序这类的资源的访问进行控制。一般来说,提供的权限有:读、写、创建、删除、修改等。安全级别指定用户所具有的权限,有管理员任务的人拥有所有的权限,最终用户只有有限的权限。
               下面讨论一下访问控制和内部控制的关系。
               内部控制是为了在组织内保障以下目标的实现而采取的方法。
               (1)信息的可靠性和完整性。
               (2)政策、计划、规程、法律、法规和合同的执行。
               (3)保护资产。
               (4)资源使用的经济性和有效性。
               (5)业务及计划既定目的和目标的达成。
               内部控制和访问控制的共同目标是保护资产。例如,内部控制涉及所有的有形资产和无形资产,包括与计算机相关的资产和与计算机无关的资产。而访问控制涉及与知识相关的无形资产(例如程序、数据和程序库)和有形资产(例如硬件和机房)。访问控制是整体安全控制的一部分。
               访问控制的策略
               实现访问控制的三种最常用的方法有。
               (1)要求用户输入一些保密信息,如用户名和密码。
               (2)采用物理识别设备,例如访问卡,钥匙或令牌。
               (3)采用生物统计学系统,基于某种特殊的物理特征对人进行唯一性识别。
               其中,密码是只有系统和用户自己知道的简单字符串,是进行访问控制的简单而有效的方法,但是一旦被别人知道了就不能提供任何安全了。除了密码之外,访问控制的特性还包括。
               (1)多个密码:即一个密码用于进入系统,另一个密码用于规定操作权限。
               (2)一次性密码:系统生成一次性密码的清单,例如,第一次用A,第二次用B,第三次用C,等等。
               (3)基于时间的密码:访问使用的正确密码随时间变化,变化基于时间和一个秘密的用户钥匙,密码隔一段时间就发生变化,变得难以猜测。
               (4)智能卡:访问不但需要密码,还需要物理的智能卡才有权限接近系统。
               (5)挑战反应系统:使用智能卡和加密的组合来提供安全访问控制/身份识别系统。
               下面按类别对访问控制的手段进行举例:
               物理类控制手段如下。
               (1)防御型手段:文书备份、围墙和栅栏、保安、证件识别系统、加锁的门、双供电系统、生物识别型门禁系统、工作场所的选择、灭火系统。
               (2)探测型手段:移动监测探头、烟感和温感探头、闭路监控、传感和报警系统。
               管理类控制手段:
               (1)防御型手段:安全知识培训、职务分离、职员雇用手续、职员离职手续、监督管理、灾难恢复和应急计划、计算机使用的登记。
               (2)探测型手段:安全评估和审计、性能评估、强制假期、背景调查、职务轮换。
               技术类控制手段:
               (1)防御型手段:访问控制软件、防病毒软件、库代码控制系统、密码、智能卡、加密、拨号访问控制和回叫系统。
               (2)探测型手段:日志审计、入侵探测系。
 
       数字证书
        数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。
        数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密和解密。每个用户自己设定一个特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名,同时设定一个公共密钥(公钥),并由本人公开,为一组用户所共享,用于加密和验证。公开密钥技术解决了密钥发布的管理问题。一般情况下,证书中还包括密钥的有效时间、发证机构(证书授权中心)的名称及该证书的序列号等信息。数字证书的格式遵循ITUT X.509国际标准。
        用户的数字证书由某个可信的证书发放机构(Certification Authority,CA)建立,并由CA或用户将其放入公共目录中,以供其他用户访问。目录服务器本身并不负责为用户创建数字证书,其作用仅仅是为用户访问数字证书提供方便。
        在X.509标准中,数字证书的一般格式包含的数据域如下。
        (1)版本号:用于区分X.509的不同版本。
        (2)序列号:由同一发行者(CA)发放的每个证书的序列号是唯一的。
        (3)签名算法:签署证书所用的算法及参数。
        (4)发行者:指建立和签署证书的CA的X.509名字。
        (5)有效期:包括证书有效期的起始时间和终止时间。
        (6)主体名:指证书持有者的名称及有关信息。
        (7)公钥:有效的公钥以及其使用方法。
        (8)发行者ID:任选的名字唯一地标识证书的发行者。
        (9)主体ID:任选的名字唯一地标识证书的持有者。
        (10)扩展域:添加的扩充信息。
        (11)认证机构的签名:用CA私钥对证书的签名。
               证书的获取
               CA为用户产生的证书应具有以下特性:
               (1)只要得到CA的公钥,就能由此得到CA为用户签署的公钥。
               (2)除CA外,其他任何人员都不能以不被察觉的方式修改证书的内容。
               因为证书是不可伪造的,因此无须对存放证书的目录施加特别的保护。
               如果所有用户都由同一CA签署证书,则这一CA必须取得所有用户的信任。用户证书除了能放在公共目录中供他人访问外,还可以由用户直接把证书转发给其他用户。用户B得到A的证书后,可相信用A的公钥加密的消息不会被他人获悉,还可信任用A的私钥签署的消息不是伪造的。
               如果用户数量很多,仅一个CA负责为所有用户签署证书可能不现实。通常应有多个CA,每个CA为一部分用户发行和签署证书。
               设用户A已从证书发放机构X1处获取了证书,用户B已从X2处获取了证书。如果A不知X2的公钥,他虽然能读取B的证书,但却无法验证用户B证书中X2的签名,因此B的证书对A来说是没有用处的。然而,如果两个证书发放机构X1和X2彼此间已经安全地交换了公开密钥,则A可通过以下过程获取B的公开密钥:
               (1)A从目录中获取由X1签署的X2的证书X1《X2》,因为A知道X1的公开密钥,所以能验证X2的证书,并从中得到X2的公开密钥。
               (2)A再从目录中获取由X2签署的B的证书X2《B》,并由X2的公开密钥对此加以验证,然后从中得到B的公开密钥。
               在以上过程中,A是通过一个证书链来获取B的公开密钥的,证书链可表示为
               X1《X2》X2《B》
               类似地,B能通过相反的证书链获取A的公开密钥,表示为
               X2《X1》X1《A》
               以上证书链中只涉及两个证书。同样,有N个证书的证书链可表示为
               X1《X2X2《X3》…XN《B》
               此时,任意两个相邻的CAXi和CAXi+1已彼此间为对方建立了证书,对每一个CA来说,由其他CA为这一CA建立的所有证书都应存放于目录中,并使得用户知道所有证书相互之间的连接关系,从而可获取另一用户的公钥证书。X.509建议将所有的CA以层次结构组织起来,用户A可从目录中得到相应的证书以建立到B的以下证书链:
               X《W》W《V》V《U》U《Y》Y《Z》Z《B》
               并通过该证书链获取B的公开密钥。
               类似地,B可建立以下证书链以获取A的公开密钥:
               X《W》W《V》V《U》U《Y》Y《Z》Z《A》
               证书的吊销
               从证书的格式上可以看到,每个证书都有一个有效期,然而有些证书还未到截止日期就会被发放该证书的CA吊销,这可能是由于用户的私钥已被泄漏,或者该用户不再由该CA来认证,或者CA为该用户签署证书的私钥已经泄漏。为此,每个CA还必须维护一个证书吊销列表(Certificate Revocation List,CRL),其中存放所有未到期而被提前吊销的证书,包括该CA发放给用户和发放给其他CA的证书。CRL还必须由该CA签字,然后存放于目录中以供他人查询。
               CRL中的数据域包括发行者CA的名称、建立CRL的日期、计划公布下一CRL的日期以及每个被吊销的证书数据域。被吊销的证书数据域包括该证书的序列号和被吊销的日期。对一个CA来说,它发放的每个证书的序列号是唯一的,所以可用序列号来识别每个证书。
               因此,每个用户收到他人消息中的证书时都必须通过目录检查这一证书是否已经被吊销,为避免搜索目录引起的延迟以及因此而增加的费用,用户自己也可维护一个有效证书和被吊销证书的局部缓存区。
   题号导航      2009年下半年 信息系统管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第68题    在手机中做本题