2011年軟件水平考試網(wǎng)絡(luò)工程師全面復(fù)習(xí)資料(29)

　　2. 密鑰的分配技術(shù)

　　密鑰的分配技術(shù)解決的是在網(wǎng)絡(luò)環(huán)境中需要進(jìn)行安全通信的端實(shí)體之間建立共享的對稱密鑰問題。

　　密鑰分配中心方式KDC(Key Distribution Center)

　　這是當(dāng)前一種主流方式。每個(gè)節(jié)點(diǎn)或用戶只需保管與KDC之間使用的密鑰加密密鑰，而KDC為每個(gè)用戶保管一個(gè)互不相同的密鑰加密密鑰。當(dāng)兩個(gè)用戶需要通信時(shí)，需向KDC申請，KDC將工作密鑰(也稱會(huì)話密鑰)用這兩個(gè)用戶的密鑰加密密鑰分別進(jìn)行加密后送給這兩個(gè)用戶。在這種方式下，用戶不用保存大量的工作密鑰，而且可以實(shí)現(xiàn)一報(bào)一密，但缺點(diǎn)是通信量大，而且需要有較好的鑒別功能，以識(shí)別KDC和用戶。

　　KDC方式還可以變形為電話號(hào)碼本方式，適用于非對稱密碼體制。通過建立用戶的公開密碼表，在密鑰的連通范圍內(nèi)進(jìn)行散發(fā)，也可以采用目錄方式進(jìn)行動(dòng)態(tài)查詢，用戶在進(jìn)行保密通信前，首先產(chǎn)生一個(gè)工作密鑰并使用對方的公開密鑰加密傳輸，對方獲悉這個(gè)工作密鑰后，使用對稱密碼體制與其進(jìn)行保密通信。

　　此外還有離散對數(shù)方法和智能卡方式，基本的思想是利用數(shù)學(xué)的方法使得別人無法獲得密鑰。

　　3. 公開密鑰的全局管理機(jī)制

　　公開密鑰體制主要針對開放型的大型互聯(lián)網(wǎng)絡(luò)的應(yīng)用環(huán)境而設(shè)計(jì)的，這種網(wǎng)絡(luò)環(huán)境中需要有一個(gè)協(xié)調(diào)的公開密鑰管理機(jī)制，以保證公開密鑰的可靠性。

　　公開密鑰的管理一般基于公證機(jī)制，即需要一個(gè)通信的A、B雙方都信任的第三方N來證明A和B的公開密鑰的可靠性，這需要N分別對A和B的公開密鑰進(jìn)行數(shù)字簽名，形成一個(gè)證明這個(gè)公開密鑰可靠性的證書。在一個(gè)大型網(wǎng)絡(luò)中，這樣的公證中心可以有多個(gè)，另外這些公證中心若存在信任關(guān)系，則用戶可以通過一個(gè)簽名鏈去設(shè)法驗(yàn)證一個(gè)公證中心簽發(fā)的證書。

　　公開密鑰管理的另外一個(gè)重要方面是如何撤消過去簽發(fā)，但是現(xiàn)在已經(jīng)失效的密鑰證書。

　　4.基于X.509證書的PKI(Public Key Infrastructure)

　　它是一種行業(yè)標(biāo)準(zhǔn)或者行業(yè)解決方案，在X.509方案中,默認(rèn)的加密體制是公鑰密碼體制。為進(jìn)行身份認(rèn)證，X.509標(biāo)準(zhǔn)及公共密鑰加密系統(tǒng)提供了數(shù)字簽名的方案。用戶可生成一段信息及其摘要(亦稱作信息“指紋”)。用戶用專用密鑰對摘要加密以形成簽名,接收者用發(fā)送者的公共密鑰對簽名解密,并將之與收到的信息“指紋”進(jìn)行比較,以確定其真實(shí)性。

　　PKI是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，目的是為了管理密鑰和證書。它能夠?yàn)樗�有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理。一個(gè)機(jī)構(gòu)通過采用PKI框架管理密鑰和證書可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

　　PKIX(PublicKeyInfrastructureonX.509，簡稱PKIX)系列標(biāo)準(zhǔn)由IETFPKIX工作小組制定，定義了X.509證書在INTERNET上的使用，證書的生成、發(fā)布和獲取，各種產(chǎn)生和分發(fā)密鑰的機(jī)制，以及怎樣實(shí)現(xiàn)這些標(biāo)準(zhǔn)的輪廓結(jié)構(gòu)等。

　　2010年下半年軟考試題及答案解析匯總

　　2010年下半年軟件水平考試答案

　　2011年軟考網(wǎng)絡(luò)工程師全面復(fù)習(xí)資料匯總