公钥基础设施(PKI)是基于公钥密码技术实施的有普适性的基础设施,可给出机密性、完整性、真实性及抗抵赖性等安全服务。
PKI是一套软、硬件系统与安全策略的集合,它有一整套安全机制,让用户在清楚对方身份或分布范围非常大的情形下,将证书作为基础,由一系列信任关系实施通信与电子商务交易。从现在发展来看,PKI的范围特别广,不只局限在一般认为的CA机构,它也包括完整的安全策略及应用。
完整的PKI系统包括PKI策略、软/硬件系统、CA、RA、证书发布系统与PKI应用等。
(1)PKI安全策略建立和定义了组织信息安全的指导方针,同时还指出了使用密码系统的处理方法与原则。它含一个组织管理密钥与有价值信息的手段,根据风险的级别定义安全控制的级别。通常,在PKI里存在2种类型的策略:一是证书策略,用来管理证书的使用,比如,能辨认某CA是Internet上的公有CA,或是某企业内的私有CA;二是证书实践声明,它含CA建立与运作;证书发行、接收与废除;密钥产生、注册密钥存储;用户得到其等的方式。
(2)CA为PKI的信任基础,它负责公钥的从头至尾的生命周期,其功能有:证书的发放,指定证书的有效期,由CRL保证有需要时能废除证书。
(3)RA给用户与CA间提供一个接口,它得到且对用户身份进行认证,对CA表示证书请求。它主要负责获取用户信息与辨别其身份。注册管理通常是一个独立的RA执行。它接到用户要注册的申请,审查他的资格,并决定是不是可让CA向其签发数字证书。
(4)证书发布系统的职责是发放证书,如可由用户自己或目录服务。目录服务器能是组织里已有的,也能是PKI方案里给出的。
