首页 > 知识点讲解
       PKI技术
知识路径: > 网络安全 > 安全技术与协议 > 保密 > 密钥管理 > 密钥管理体制 > 
被考次数:1次     被考频率:低频率     总体答错率:51%     知识难度系数:     
考试要求:掌握      相关知识点:2个      
        在密钥管理中,不依赖秘密信道的密钥分发技术一直是一个难题。1976年,Deffie和Hellman提出了双钥密码体制和D-H密钥交换协议,大大促进了这一领域的进程。但是,在双钥体制中只是有了公、私钥的概念,私钥的分发仍然依赖于秘密通道。1991年,PGP首先提出了Web of Trust信任模型和密钥由个人产生的思路,避开了私钥的传递,从而避开了秘密通道,推动了PKI技术的发展。
        公钥基础结构(Public Key Infrastructure, PKI)是运用公钥的概念和技术来提供安全服务的、普遍适用的网络安全基础设施,包括由PKI策略,软、硬件系统,认证中心(CA),注册机构(RA),证书签发系统和PKI应用等构成的安全体系,如下图所示。
        
        PKI的组成
        PKI策略定义了信息安全的指导方针和密码系统的使用规则,具体内容包括CA之间的信任关系、遵循的技术标准、安全策略、服务对象、管理框架、认证规则、运作制度、所涉及的法律关系等;软、硬件系统是PKI运行的平台,包括认证服务器、目录服务器等;认证中心(Certificate Authority, CA)负责密钥的生成和分配;注册机构(Registration Authority, RA)是用户(Subscriber)与CA之间的接口,负责对用户的认证;证书签发系统负责公钥数字证书的分发,可以由用户自己或通过目录服务器进行发放;PKI的应用非常广泛,包括Web通信、电子邮件、电子数据交换、电子商务、网上信用卡交易、虚拟专用网等都是PKI潜在的应用领域。
        20世纪90年代以来,PKI技术逐渐得到了各国政府和许多企业的重视,由理论研究进入商业应用阶段。IETF和ISO等国际组织陆续颁布了X.509、PKIX、PKCS、S/MIME、SSL、SET、IPSec、LDAP等一系列与PKI应用有关的标准;RSA、VeriSign、Entrust、Baltimore等网络安全公司纷纷推出了PKI产品和服务;网络设备制造商和软件公司开始在网络产品中增加PKI功能;美国、加拿大、韩国、日本和欧盟等国家相继建立了PKI体系;银行、证券、保险和电信等行业的用户开始接受和使用PKI技术。
        PKI解决了不依赖秘密信道进行密钥管理的重大课题,但这只是概念的转变,并没有多少新技术。PKI是在民间密码研究摆脱政府控制的斗争中发展起来的,而这种斗争一度达到了白热化程度,PGP的发明者Philip Zimmermann曾经因为违反美国的密码产品贸易管制政策而被联邦政府调查。PKI以商业运作的形式壮大起来,以国际标准的形式确定。PKI技术完全开放,甚至连一向持反对态度的美国国防部(DoD)、联邦政府也不得不开发PKI策略。DoD定义的KMI/PKI标准规定了用于管理公钥证书和对称密钥的技术、服务和过程,KMI是提供信息保障能力的基础架构,而PKI是KMI的主要组成部分,提供了生成、生产、分发、控制和跟踪公钥证书的服务框架。
        KMI和PKI两种密钥管理体制各有其优、缺点和适用范围:①KMI具有很好的封闭性,而PKI则具有很好的扩展性。②KMI的密钥管理机制可形成各种封闭环境,可作为网络隔离的基本逻辑手段;而PKI则适用于各种开放业务,但却不适应封闭的专用业务和保密性业务。③KMI是集中式的基于主管方的管理模式,为身份认证提供直接信任和一级推理信任,但密钥更换不灵活;PKI是依靠第三方的管理模式,只能提供一级以下推理信任,但密钥更换非常灵活。④KMI适用于保密网和专用网;而PKI则适用于安全责任完全由个人或单方面承担,安全风险不涉及他方利益的场合。
        从实际应用方面看,互联网中的专用网主要处理内部事务,同时要求与外界联系。因此,KMI主内、PKI主外的密钥管理结构是比较合理的。如果一个专用网是与外部没有联系的封闭网,那么仅有KMI就已足够。如果一个专用网可以与外部联系,那么要同时具备两种密钥管理体制,至少KMI要支持PKI。如果是开放网业务,则完全可以用PKI技术处理。
 
本知识点历年真题:
隶属试卷 题号/题型 题干 难度系数/错误率
   2013年下半年
   网络工程师
   上午试卷 综合知识
第43题
选择题
PKI体制中,保证数字证书不被篡改的方法是(43)。

51%
 
 相关知识点:
 
软考在线指南
优惠劵及余额
在线支付
修改密码
下载及使用
购买流程
取消订单
联系我们
关于我们
联系我们
商务合作
旗下网站群
高级资格科目
信息系统项目管理师 系统分析师
系统架构设计师 网络规划设计师
系统规划与管理师
初级资格科目
程序员 网络管理员
信息处理技术员 信息系统运行管理员
中级资格科目
系统集成项目管理工程师 网络工程师
软件设计师 信息系统监理师
信息系统管理工程师 数据库系统工程师
多媒体应用设计师 软件评测师
嵌入式系统设计师 电子商务设计师
信息安全工程师
 

本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。


工作时间:9:00-20:00

客服

点击这里给我发消息 点击这里给我发消息 点击这里给我发消息

商务合作

点击这里给我发消息

客服邮箱service@rkpass.cn


京B2-20210865 | 京ICP备2020040059号-5 |京公网安备 11010502032051号 | 营业执照 | Copyright ©2000-2019 All Rights Reserved 软考在线版权所有