信息安全工程师知识点：密钥管理

密钥管理的主要内容包括什么？下面小编就来给大家介绍下信息安全工程师考试之密钥管理，希望可以帮大家进行考点梳理。

1．密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。

2．密钥管理的基本原则：区分密钥管理的策略和机制；全程安全原则；最小权利原则；责任分离原则；密钥分级原则；密钥更换原则；密钥应当选择长度足够、随机等。

3．密钥分为三级：初级密钥，直接用于如解密数据(通信，文件)的密钥，初级密钥可通过硬件或软件方式自动产生，也可由用户自己提供；二级密钥，用于保护初级密钥，二级密钥可经专职密钥安装人员批准，由系统自动产生，也可由专职密钥安装人员提供；主密钥(高级密钥)，用于对二级密钥和初级密钥进行保护，主密钥由密钥专职人员随机产生，并妥善安装。

4．采用数字签名技术可以确保公开钥的安全分配，经过可信实体签名的一组信息的集合被称为证书，而可信实体被称为签证机构CA。

5．PKI是一种标准的公钥密码的密钥管理平台。公钥证书是PKI中最基础的组成部分。此外，PKI还包括签发近书的机构（CA)，注册登记证书的机构（RA)，存储和发布证书的目录，密钥管理，时间戳服务，管理证书的各种软件和硬件设备，证书管理与应用的各种政策和法律，以及证书的使用者。

6．RA的主要功能：接收证书申请人的注册信息，并对其合法性进行认证；批准或拒绝证书的申请；批准或控绝恢复密钥的申请；批准或拒绝撤销证书的申请。

7．CA签发证书的过程：（1）用户向CA提交RA的注册批准信息及自己的身份等信息(或由RA向CA提交)；（2）CA验证所提交信息的正确性和真实性；（3）CA为用户产生密钥(或由用户自己产生并提供密钥)，并进行备份；（4）CA生成证书，并施加签名；（5）将证书的一个副本交给用户，并存档入库。

【练习题】

（1）PKI支持的服务不包括（）

A.非对称密钥技术及证书管理

B.目录服务

C.对称密钥的产生和分发

D.访问控制服务

（2）PKI的主要组成不包括()

A.证书授权CA

B.SSL

C.注册授权RA

D.证书存储库CR

（3）PKI管理对象不包括()

A.ID和口令

B.证书

C.密钥

D.证书撤消

（4）下面不属于PKI组成部分的是()

A.证书主体

B.使用证书的应用和系统

C.证书权威机构

D.AS

（5）PKI能够执行的功能是()

A.鉴别网络攻击方式

B.确认计算机的物理位置

C.保守消息的机密

D.确认用户具有的安全性特权

【参考答案】

（1—5）D B A D C