全部科目 > 信息安全工程师 >
2021年下半年 上午试卷 综合知识
第 30 题
知识点 安全服务   PKI   公钥基础设施   基础设施   硬件  
关键词 安全服务   公钥证书   硬件   安全   公钥  
章/节 网络信息安全目标与功能  
 
 
公钥基础设施PKI是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。公钥基础设施中,实现证书废止和更新功能的是()。
 
  A.  CA
 
  B.  终端实体
 
  C.  RA
 
  D.  客户端




 
 
相关试题     网络信息安全目标与功能 

  第71题    2021年下半年  
Methods for(71)people differ significantly from those for authenticating machines and programs, and this is because of the major differences in the ca..

  第26题    2021年下半年  
等级保护制度是中国网络安全保障的特色和基石,等级保护20新标准强化了可信计算技术使用的要求。其中安全保护等级()要求对应用程序的所有执行环节进行动态可信验..

  第56题    2022年下半年  
()是指攻击者利用入侵手段,将恶意代码植入目标计算机,进而操纵受害机执行恶意活动。

 
知识点讲解
· 安全服务
· PKI
· 公钥基础设施
· 基础设施
· 硬件
 
        安全服务
        . 专家服务。由专业的安全专家团队提供安全咨询、网站渗透测试、应急响应等保合规等服务。
        . 公共互联网威胁量化评估。提供实时的、客观的网络安全风险量化与风险评估的服务,通过微信小程序能够直观呈现企业网络安全指数、安全等级及详细安全问题等信息。
        . 威胁情报云查服务。提供威胁情报(IoC)查询服务、IP/Domain/文件等信誉查询服务。
        . 网络资产风险监测系统。能够对网络设备及应用服务的可用性、安全性与合规性等进行定期的安全扫描、持续性的风险预警和漏洞检测,并且提供专业的修复建议,降低安全风险。
 
        PKI
        PKI的基本概念
        1.PKI的总体架构
        PKI(Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。它是支持安全五要素的技术基础设施。
        一个网络的PKI包括以下几个基本构件:
        .数字证书:由认证机构经过数字签名后发给网上信息交易主体(企业或个人、设备或程序)的一段电子文档。文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥和私钥信息及其他属性信息等。数字证书提供了PKI的基础。
        .认证中心:即CA,是PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。
        .数字证书注册审批机构:即RA,是CA的数字证书发放、管理的延伸。它负责数字证书申请者信息的录入、审核以及数字证书发放等工作。RA系统是整个CA中心得以正常运营不可缺少的一部分。
        .数字签名:利用发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理,这个过程和结果就是数字签名。
        .密钥和证书管理工具:管理和审计数字证书的工具,认证中心使用它来管理一个在CA上的证书。
        .双证书体系:PKI采用双证书体系,非对称算法支持RSA和ECC算法,对称密码算法支持国家密码管理委员会指定的算法。
        从宏观来看,PKI的体系架构概括为两大部分:
        .PKI信任服务体系:是为整个业务应用系统提供基于PKI数字证书认证机制的实体身份鉴别服务,包括了认证机构、注册机构、证书库、证书撤销和交叉认证等。
        .PKI密钥管理中心:即KMC,提供密钥管理服务,向授权管理部门提供应急情况下的特殊密钥回复功能。包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。
        2.双证书、双密钥机制
        一对密钥(一张证书)的弊端:
        .如果密钥不备份,当密钥损坏时,以前加密的信息不可解密。
        .如果密钥不备份,很难实现信息审计。
        .如果密钥不备份,数字签名的不可否认性很难保证。
        两对密钥(两张证书)的优点:
        .一对密钥用于签名,一对密钥用于加密。
        .加密密钥在密钥管理中心生成及备份,签名密钥由用户自行生成并保存。
        3.数字证书的主要内容
        数字证书是公开密钥体制的一种密钥管理媒介。主要内容有:
        .主体名称:唯一标识证书所有者的标识符。
        .签证机关名称(CA):唯一标识证书签发者的标识符。
        .主体的公开密钥:证书所有者的公开密钥。
        .CA的数字签名:CA对证书的数字签名,保证证书的权威性。
        .有效期:证书在该期间内有效。
        .序列号:CA产生的唯一性数字,用户证书管理。
        .用途:主体公钥的用途。
        数字证书生命周期
        PKI/CA对数字证书的管理是按照数字证书的生命周期实施的。数字证书的生命周期包括:
        .安全需求确定:安全需求的确定必须完成的工作包括标识需要证书的应用程序、确定所需要的安全级别、标识需要证书的用户、确定如何保护私有密钥。
        .证书登记:从CA申请和接收一个证书的过程称为登记。这个过程可分为几个步骤,包括生成一个密钥对、收集登记信息、申请证书、用CA的公开密钥对申请进行加密、验证信息、创建证书、发送或邮寄证书。
        .证书分发:企业CA向用户颁发证书。
        .证书撤回:CRL(证书撤销列表)不会撤回客户端上的所有证书,仅仅撤回CRL中指定的证书。
        .证书更新:当证书达到它的截止有效日期时会自动变得无效,需要更新一个新证书。
        .证书审计:使用审计来监控与证书服务器上证书的颁发有关的活动。
        证书映射为使用者使用数字证书进行实际的应用操作提供了安全的、实际的“交接认证”工作。证书到用户账户的映射可以分为:
        .一对一映射:创建从个人证书到相应的应用里用户账户的关系。当客户数目相对很小时,使用一对一映射。
        .多对一映射:为所有证书创建从一个特定CA到一个应用的用户账户的关系。能够把多个证书映射到一个用户的账户中。
        X.509的信任模型
        X.509中信任的定义为:如果实体A认为实体B严格按A所期望的那样行动,则A信任B。
        PKI/CA的信任结构类型包括:
        .层次信任结构:所有实体都信任唯一的根CA。
        .分布式信任结构:把信任分散到两个或更多个(或许是很多个)CA上。
        .Web模型的信任结构:与严格层次结构模型相似。在该模型中,许多CA的公钥被预装在正在使用的标准浏览器上,浏览器用户最初信任这些CA并把它们作为证书检验的根。
        .以用户为中心的信任模型:每个用户都对决定依赖哪个证书和拒绝哪个证书直接完全地负责。
        .交叉认证的信任关系:交叉认证是一种把以前无关的CA连接在一起的有用机制,从而使得在它们各自主体群之间的信任关系得到有效扩展,使彼此的终端实体之间的安全通信成为可能。
        认证机构职责
        认证中心(CA)是PKI/CA提供核心服务的执行机构,广义上还应包含证书的申请注册机构(RA)。
        CA的主要职责包括:
        .数字证书管理。
        .证书和证书库。
        .密钥备份以及恢复。
        .密钥和证书的更新。
        .证书历史档案。
        .客户端软件。
        .交叉认证。
        认证中心提供的服务主要包括:
        .认证:身份识别和鉴别,确认实体即为自己所声明的实体,鉴别身份的真伪。
        .数据完整性服务:确认数据没有被修改。
        .数据保密性服务:采用“数字信封”机制。
        .不可否认性服务:从技术上保证实体对其行为的认可。
        .公证服务:即数据认证,证明数据的有效性和正确性。
        PKI/CA应用模式
        PKI/CA是S-MIS和S2-MIS的安全基础平台。
        PKI/CA的应用范围包括:
        .电子商务应用。
        .电子政务。
        .网上银行。
        .网上证券。
        .其他应用。
 
        公钥基础设施
        PKI是Public Key Infrastructure的缩写,意为公钥基础设施,是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。PKI利用数字证书标识密钥持有人的身份,通过对密钥的规范化管理为组织机构建立和维护一个可信赖的系统环境,透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障,以满足各种应用系统的安全需求。
        PKI是一种遵循既定标准的密钥管理平台,能够为电子商务、电子政务、网上银行和网上证券等所有网络应用提供一整套安全基础平台,它是创建、颁发、管理、撤销公钥证书所涉及的所有软件、硬件的集合体。
        加密技术和认证技术是PKI的基础技术,PKI的核心机构是认证中心,数字证书是PKI最关键的产品和服务。
        PKI要求具有如下性能。
        . 可扩展性。能满足电子商务不断发展的需要。
        . 方便用户。保证其安全和经济性。
        . 支持与远程参与者通行无阻。
        . 支持多政策。
        . 透明性和易用性。
        . 互操作性。
        . 简单的风险管理。
        . 支持多平台。
        . 支持多应用。
 
        基础设施
        基础设施是指包括机房供配电系统、机房UPS系统、机房空调系统、机房弱电系统、机房消防系统等在内的,维持机房安全正常运转,确保机房环境满足信息系统设备运行要求的各类设施。
 
        硬件
        硬件是计算机物理设备的总称,也称为硬件设备,通常是电子的、机械的、磁性的或光的元器件或装置,一般分为中央处理器、存储器和输入、输出设备。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2025 All Rights Reserved
软考在线版权所有