PKI是Public Key Infrastructure的縮寫,是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。這個定義涵蓋的內容比較寬,是一個被很多人接受的概念。這個定義說明,任何以公鑰技術爲基礎的安全基礎設施都是PKI。當然,沒有好的非對稱算法和好的密鑰管理就不可能提供完善的安全服務,也就不能叫做PKI。也就是說,該定義中已經隱含了必須具有的密鑰管理功能。
PKI(Public Key Infrastructure)公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平臺,目的是爲了管理密鑰和證書。一個機構通過採用PKI 框架管理密鑰和證書可以建立一個安全的網絡環境。PKI 主要包括四個部分:X.509 格式的證書(X.509 V3)和證書廢止列表CRL(X.509 V2);CA 操作協議;CA 管理協議;CA 政策制定。一個典型、完整、有效的PKI 應用系統至少應具有以下五個部分;
1) 認證中心CA CA 是PKI 的核心,CA 負責管理PKI 結構下的所有用戶(包括各種應用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網上驗證用戶的身份,CA 還要負責用戶證書的黑名單登記和黑名單發佈,後面有CA 的詳細描述。
2) X.500 目錄服務器 X.500 目錄服務器用於發佈用戶的證書和黑名單信息,用戶可通過標準的LDAP 協議查詢自己或其他人的證書和下載黑名單信息。
3) 具有高強度密碼算法(SSL)的安全WWW服務器 Secure socket layer(SSL)協議最初由Netscape 企業發展,現已成爲網絡用來鑑別網站和網頁瀏覽者身份,以及在瀏覽器使用者及網頁服務器之間進行加密通訊的全球化標準。
4) Web(安全通信平臺) Web 有Web Client 端和Web Server 端兩部分,分別安裝在客戶端和服務器端,通過具有高強度密碼算法的SSL 協議保證客戶端和服務器端數據的機密性、完整性、身份驗證。
5) 自開發安全應用系統 自開發安全應用系統是指各行業自開發的各種具體應用系統,例如銀行、證券的應用系統等。完整的PKI 包括認證政策的制定(包括遵循的技術標準、各CA 之間的上下級或同級關係、安全策略、安全程度、服務對象、管理原則和框架等)、認證規則、運作制度的制定、所涉及的各方法律關係內容以及技術的實現等。
完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口(API)等基本構成部分,構建PKI也將圍繞着這五大系統來着手構建。
PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。一個典型、完整、有效的PKI應用系統至少應具有以下部分:
· 公鑰密碼證書管理。
· 黑名單的發佈和管理。
· 密鑰的備份和恢復。
· 自動更新密鑰。
· 自動管理歷史密鑰。
· 支持交叉認證。
認證機構(CA):即數字證書的申請及簽發機關,CA必須具備權威性的特徵;
數字證書庫:用於存儲已簽發的數字證書及公鑰,用戶可由此獲得所需的其他用戶的證書及公鑰;
密鑰備份及恢復系統:如果用戶丟失了用於解密數據的密鑰,則數據將無法被解密,這將造成合法數據丟失。爲避免這種情況,PKI提供備份與恢復密鑰的機制。但須注意,密鑰的備份與恢復必須由可信的機構來完成。並且,密鑰備份與恢復只能針對解密密鑰,簽名私鑰爲確保其唯一性而不能夠作備份。
證書作廢系統:證書作廢處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內也可能需要作廢,原因可能是密鑰介質丟失或用戶身份變更等。爲實現這一點,PKI必須提供作廢證書的一系列機制。
應用接口(API):PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務,因此一個完整的PKI必須提供良好的應用接口系統,使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互,確保安全網絡環境的完整性和易用性。
通常來說,CA是證書的簽發機構,它是PKI的核心。衆所周知,構建密碼服務系統的核心內容是如何實現密鑰管理。公鑰體制涉及到一對密鑰(即私鑰和公鑰),私鑰只由用戶獨立掌握,無須在網上傳輸,而公鑰則是公開的,需要在網上傳送,故公鑰體制的密鑰管理主要是針對公鑰的管理問題,時下較好的解決方案是數字證書機制。