2011年软件水平考试网络工程师全面复习资料(29)

　　2. 密钥的分配技术

　　密钥的分配技术解决的是在网络环境中需要进行安全通信的端实体之间建立共享的对称密钥问题。

　　密钥分配中心方式KDC(Key Distribution Center)

　　这是当前一种主流方式。每个节点或用户只需保管与KDC之间使用的密钥加密密钥，而KDC为每个用户保管一个互不相同的密钥加密密钥。当两个用户需要通信时，需向KDC申请，KDC将工作密钥(也称会话密钥)用这两个用户的密钥加密密钥分别进行加密后送给这两个用户。在这种方式下，用户不用保存大量的工作密钥，而且可以实现一报一密，但缺点是通信量大，而且需要有较好的鉴别功能，以识别KDC和用户。

　　KDC方式还可以变形为电话号码本方式，适用于非对称密码体制。通过建立用户的公开密码表，在密钥的连通范围内进行散发，也可以采用目录方式进行动态查询，用户在进行保密通信前，首先产生一个工作密钥并使用对方的公开密钥加密传输，对方获悉这个工作密钥后，使用对称密码体制与其进行保密通信。

　　此外还有离散对数方法和智能卡方式，基本的思想是利用数学的方法使得别人无法获得密钥。

　　3. 公开密钥的全局管理机制

　　公开密钥体制主要针对开放型的大型互联网络的应用环境而设计的，这种网络环境中需要有一个协调的公开密钥管理机制，以保证公开密钥的可靠性。

　　公开密钥的管理一般基于公证机制，即需要一个通信的A、B双方都信任的第三方N来证明A和B的公开密钥的可靠性，这需要N分别对A和B的公开密钥进行数字签名，形成一个证明这个公开密钥可靠性的证书。在一个大型网络中，这样的公证中心可以有多个，另外这些公证中心若存在信任关系，则用户可以通过一个签名链去设法验证一个公证中心签发的证书。

　　公开密钥管理的另外一个重要方面是如何撤消过去签发，但是现在已经失效的密钥证书。

　　4.基于X.509证书的PKI(Public Key Infrastructure)

　　它是一种行业标准或者行业解决方案，在X.509方案中,默认的加密体制是公钥密码体制。为进行身份认证，X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(亦称作信息“指纹”)。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息“指纹”进行比较,以确定其真实性。

　　PKI是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。

　　PKIX(PublicKeyInfrastructureonX.509，简称PKIX)系列标准由IETFPKIX工作小组制定，定义了X.509证书在INTERNET上的使用，证书的生成、发布和获取，各种产生和分发密钥的机制，以及怎样实现这些标准的轮廓结构等。

　　2010年下半年软考试题及答案解析汇总

　　2010年下半年软件水平考试答案

　　2011年软考网络工程师全面复习资料汇总