信息系统项目管理师复习:PKI公开密钥基础设施
分享到微信
PKI公开密钥基础设施
安全五要素
安全五要素是指认证、权限、完整、加密、不可否认,就是在信息传递过程中,接收数据的人是否是应该得到它的人?接收数据的人是否拥有相应的等级来看这些信息?数据在传输和保存过程中,是否被他人暗中修改?数据的加密措施是否可靠?某人看到数据之后,如何证明是他这样做了?
PKI可作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题
PKI基础概念
公钥基础设施PKI是以公开密钥技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。
一个公共密钥基础架构是软件、加密技术和服务的组合。
一个网络的PKI包括以下几个基本组件。
1、数字证书:一个电子的证书,包含一个公共密钥和一个私有密钥,用于验证用户。证书提供了PKI的基础
2、密钥和证书管理工具。管理和审计数字证书的工具。使用证书管理单元来管理在一个CA上的证书。
3、认证机构:一个值得信任的机构或服务,它颁发数字证书并提供数字证书认证服务。
4、证书出版点:目录服务或储存和出版证书的位置。
公钥基础设施采用双证书体系,非对称算法支持RSA和ECC算法,对称密码算法支持国密办的算法。
公钥基础设施包含信任服务体系和密钥管理中心
1、信任服务体系:是为整个电子政务系统,提供基于PKI数字证书认证机制的实体身份鉴别服务,它包括了认证机构、注册机构、证书库、证书撤消和交叉认证等。
2、密钥管理中心提供密钥管理服务,向授权管理部门提供应急情况下的特殊密钥恢复功能。包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。
数字证书是把一个密钥对绑定到一个身份上的被签署的数据结构,整个证书有可信赖的第三方签名(即CA)。
X.509证书格式(内容)
1、版本号:区分X.509的不同版本号
2、序列号:由CA给每一个证书分配惟一的数字型编号
3、签名算法标识符:指定CA签发证书时所使用的公开密钥算法和HASH算法,需向国际指一标准组织注册。
4、认证机构:发出证书的机构惟一的CA的X.500名字
5、有效期限:证书有效的开始时间和结束时间
6、主题信息:证书持有人的姓名、服务处所等信息
7、认证机构的数字签名:以确保这个证书在发放之后没有被改过。
8、公钥信息:包括被证明有效的公钥值和加上使用这个公钥的方法名称。
主体(用户)公钥可两种产生方式
1、用户自己生成密钥对,然后将公钥以安全的方式传送给CA。
2、CA替用户生成密钥对,然后将其以安全的方式传送给用户。
用户A可通过两种方式获取用户B的数字证书和公钥,一种是由B将数字证书随同发送的正文信息一起传送给A,另一种是所有的数字证书集中存放于一个数字证书库中,用户A可从该地点取得B的数字证书。
公钥必须按规定的用途来使用,公钥有两大类用途
1、用于验证数字签名。消息接收者使用发送者的公钥对消息的数字签名进行验证
2、用于加密信息。消息发送者使用接收者的公钥加密用于加密消息的密钥,进行数据加密密钥的传递。
签名密钥对和加密密钥对
签名密钥对由签名私钥和验证公钥组成,签名私钥具有日常生活中公章、私章的效力,为保证其惟一性,签名私钥不能作备份和存档,丢失后只需重新生成新的密钥对,原来的签名可以使用旧公钥的备份来验证。验证公钥需要存档,用于验证旧的数字签名,签名密钥对一般有较长的生命期。
加密密钥对:由加密公钥和脱密私钥组成。为防止密钥丢失时丢失数据,脱密私钥应该进行备份,以便能在任何时候脱密历史密文数据,加密公钥无须备份,加密公钥丢失时,只需重新产生密钥对。加密密钥对的生命周期较短。
数字证书注册审批机构RA系统是CA的数字证书发放、管理的延伸。负责数字证书申请者的信息录入、审核以及数字证书发放等工作。
扫码关注公众号
温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!
信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。
信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。
相关内容
| 发表评论 查看完整评论 | |
考试新手指南
学习计划攻略
精华备考资料
案例论文干货
章节模拟试题
免费试听课程
推荐文章
各省市软考报名简章
信管网APP下载
考试信息推送