2.2.5  公匙基礎(chǔ)設(shè)施

公鑰基礎(chǔ)設(shè)施( Public Key Infrastructure，PKI)，也稱公開密鑰基礎(chǔ)設(shè)施。按照國(guó)際電聯(lián)( International Telecommunications Union，ITU)制定的X.509標(biāo)準(zhǔn)，其定義，PKI“是一個(gè)包括硬件、軟件、人員、策略和規(guī)程的集合，用來實(shí)現(xiàn)基于公鑰密碼體制的密鑰和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。”簡(jiǎn)單地說，PKI是一種遵循標(biāo)準(zhǔn)、利用公鑰加密技術(shù)提供安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，是能夠?yàn)榫W(wǎng)絡(luò)應(yīng)用提供信任、加密以及密碼服務(wù)及的一 種基本解決方案。PKI的本質(zhì)是實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問題，為大規(guī)模網(wǎng)絡(luò)中的信任建立基礎(chǔ)。

1.PKI架構(gòu)

PKI的組成一般包括證書權(quán)威機(jī)構(gòu)(Certificate authority，CA)、證書注明‘機(jī)構(gòu)( Registration Authority，RA)、證書庫和終端實(shí)體等部分，如下圖所示：

　　圖中主要元素說明如下：

l、CA：是證書簽發(fā)權(quán)威，也稱數(shù)字證書管理中心，它作為PKI管理實(shí)體和服務(wù)的提供者，管理用戶數(shù)字證書的生成、發(fā)放、更新和撤銷等工作。

2、RA: RA是證書注冊(cè)機(jī)構(gòu)，又稱數(shù)字證書注冊(cè)中心，是數(shù)字證書的申請(qǐng)、審核和注冊(cè)中心，同時(shí)也是CA認(rèn)證機(jī)構(gòu)的延伸。在邏輯上RA和CA是一個(gè)整體，主要負(fù)責(zé)提供證書注冊(cè)、審核以及發(fā)證功能。

3、證書/CRL庫：證書/CRL庫主要用來發(fā)布、存儲(chǔ)數(shù)字證書和證書撤銷列表(Certificate Revocation List，CRL)，供用戶查詢、獲取其他用戶的數(shù)字證書和系統(tǒng)中的證書撤銷列表所用。

4、終端實(shí)體：即( End Entity)，指擁有公私密鑰對(duì)和相應(yīng)公鑰證書的最終用戶，可以是人、設(shè)備、進(jìn)程等。