2.2.5  公匙基礎(chǔ)設(shè)施

公鑰基礎(chǔ)設(shè)施( Public Key Infrastructure，PKI)，也稱公開密鑰基礎(chǔ)設(shè)施。按照國際電聯(lián)( International Telecommunications Union，ITU)制定的X.509標(biāo)準(zhǔn)，其定義，PKI“是一個包括硬件、軟件、人員、策略和規(guī)程的集合，用來實現(xiàn)基于公鑰密碼體制的密鑰和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。”簡單地說，PKI是一種遵循標(biāo)準(zhǔn)、利用公鑰加密技術(shù)提供安全基礎(chǔ)平臺的技術(shù)和規(guī)范，是能夠為網(wǎng)絡(luò)應(yīng)用提供信任、加密以及密碼服務(wù)及的一 種基本解決方案。PKI的本質(zhì)是實現(xiàn)了大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問題，為大規(guī)模網(wǎng)絡(luò)中的信任建立基礎(chǔ)。

1.PKI架構(gòu)

PKI的組成一般包括證書權(quán)威機構(gòu)(Certificate authority，CA)、證書注明‘機構(gòu)( Registration Authority，RA)、證書庫和終端實體等部分，如下圖所示：

　　圖中主要元素說明如下：

l、CA：是證書簽發(fā)權(quán)威，也稱數(shù)字證書管理中心，它作為PKI管理實體和服務(wù)的提供者，管理用戶數(shù)字證書的生成、發(fā)放、更新和撤銷等工作。

2、RA: RA是證書注冊機構(gòu)，又稱數(shù)字證書注冊中心，是數(shù)字證書的申請、審核和注冊中心，同時也是CA認(rèn)證機構(gòu)的延伸。在邏輯上RA和CA是一個整體，主要負(fù)責(zé)提供證書注冊、審核以及發(fā)證功能。

3、證書/CRL庫：證書/CRL庫主要用來發(fā)布、存儲數(shù)字證書和證書撤銷列表(Certificate Revocation List，CRL)，供用戶查詢、獲取其他用戶的數(shù)字證書和系統(tǒng)中的證書撤銷列表所用。

4、終端實體：即( End Entity)，指擁有公私密鑰對和相應(yīng)公鑰證書的最終用戶，可以是人、設(shè)備、進(jìn)程等。