PKI

PKI（Public Key Infrastructure）。是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务具有普遍性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供了在线身份认证，是CA认证、数字证书、数字签名以及相关的安全应用组件的集合。PKI的核心是解决信息网络空间中的信任问题，确定信息网络、信息空间中各种经济、军事、和管理行为行为主体（包括组织和个人）身份的唯一性、真实性和合法性。是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。管理PKI的机构即为CA中心。

 

PKI（Public Key Infrastructure，公开密钥基础设施）是一种遵循既定标准的密钥管理平台，它可以为各种网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI可以提供会话保密、认证、完整性、访问控制、源不可否认、目的不可否认、安全通信、密钥恢复和安全时间戳九项信息安全所需要的服务。在这个结构中，公开密钥密码算法居于中心地位，称其为PKI。利用PKI，人们方便地建立和维护一个可信的网络计算环境，无需直接见面就能够确认彼此的身份，安全地进行信息交换。

基本组成

　　完整的PKI系统有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书撤销系统、应用接口（API）等基本构成部分。

　　 权威认证机构?CA

　　CA是PKI的核心，主要职责是颁发证书、验证用户身份的真实性。一般情况下，证书必须由一个可信任的第三方权威机构――CA认证中心实施数字签名以后才能发布。而获得证书的用户通过对CA的签名进行验证，从而确定了公钥的有效性。

　　 数字证书库

　　数字证书库是证书集中存贮的地方，用户可以从此处获得其他用户可用的证书和公钥信息。数字证书库一般是基于LDAP或是基于X.500系列的，也可以基于其他平台。

　　 密钥备份及恢复系统

　　密钥可能会由于一些原因而使密钥的所有者无法访问。密钥的丢失将导致那些被密钥加过密的数据无法恢复。为避免这种情况的出现，就需要PKI提供密钥备份与恢复的机制。

　　 证书撤销处理系统

　　CA签发证书来把用户的身份和密钥绑定在一起。那么，当用户的身份改变或密钥遭到破坏时，就必须存在一种机制来撤销这种认可。

　　 PKI应用接口系统

　　一个完整的PKI必须提供良好的应用接口系统，以便各种应用都能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性，降低管理和维护的成本。