2.2.5 公匙基础设施
公钥基础设施( Public Key Infrastructure,PKI),也称公开密钥基础设施。按照国际电联( International Telecommunications Union,ITU)制定的X.509标准,其定义,PKI“是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。”简单地说,PKI是一种遵循标准、利用公钥加密技术提供安全基础平台的技术和规范,是能够为网络应用提供信任、加密以及密码服务及的一 种基本解决方案。PKI的本质是实现了大规模网络中的公钥分发问题,为大规模网络中的信任建立基础。
1.PKI架构
PKI的组成一般包括证书权威机构(Certificate authority,CA)、证书注明‘机构( Registration Authority,RA)、证书库和终端实体等部分,如下图所示:
图中主要元素说明如下:
l、CA:是证书签发权威,也称数字证书管理中心,它作为PKI管理实体和服务的提供者,管理用户数字证书的生成、发放、更新和撤销等工作。
2、RA: RA是证书注册机构,又称数字证书注册中心,是数字证书的申请、审核和注册中心,同时也是CA认证机构的延伸。在逻辑上RA和CA是一个整体,主要负责提供证书注册、审核以及发证功能。
3、证书/CRL库:证书/CRL库主要用来发布、存储数字证书和证书撤销列表(Certificate Revocation List,CRL),供用户查询、获取其他用户的数字证书和系统中的证书撤销列表所用。
4、终端实体:即( End Entity),指拥有公私密钥对和相应公钥证书的最终用户,可以是人、设备、进程等。