PKI是一種新的安全技術(shù)，它由公鑰密碼技術(shù)、數(shù)字證書(shū)、證書(shū)發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來(lái)保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。

PKI（Public Key Infrastructure）公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，目的是為了管理密鑰和證書(shū)。一個(gè)機(jī)構(gòu)通過(guò)采用PKI框架管理密鑰和證書(shū)可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。PKI主要包括四個(gè)部分：X.509格式的證書(shū)（X.509 V3）和證書(shū)廢止列表CRL（X.509 V2）；CA/RA操作協(xié)議；CA管理協(xié)議；CA政策制定。一個(gè)典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分：

1.認(rèn)證中心CA CA是PKI的核心，CA負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶（包括各種應(yīng)用程序）的證書(shū)，把用戶的公鑰和用戶的其他信息捆綁在一起，在網(wǎng)上驗(yàn)證用戶的身份，CA還要負(fù)責(zé)用戶證書(shū)的黑名單登記和黑名單發(fā)布，后面有CA的詳細(xì)描述。

2.X.500目錄服務(wù)器 X.500目錄服務(wù)器用于發(fā)布用戶的證書(shū)和黑名單信息，用戶可通過(guò)標(biāo)準(zhǔn)的LDAP協(xié)議查詢自己或其他人的證書(shū)和下載黑名單信息。

3.具有高強(qiáng)度密碼算法(SSL)的安全WWW服務(wù)器 出口到中國(guó)的WWW服務(wù)器，如微軟的IIS、Netscape的WWW服務(wù)器等，受出口限制，其RSA算法的模長(zhǎng)最高為512位，對(duì)稱(chēng)算法為40位，不能滿足對(duì)安全性要求很高的場(chǎng)合，為解決這一問(wèn)題，采用了山東大學(xué)網(wǎng)絡(luò)信息安全研究所開(kāi)發(fā)的具有自主版權(quán)的SSL安全模塊，在SSL安全模塊中使用了自主開(kāi)發(fā)的SJY系列密碼設(shè)備，并且把SSL模塊集成在Apache WWW服務(wù)器中，Apache WWW服務(wù)器在WWW服務(wù)器市場(chǎng)中占有百分之50以上的份額，其可移植性和穩(wěn)定性很高。

4.Web（安全通信平臺(tái)） Web有Web Client端和Web Server端兩部分，分別安裝在客戶端和服務(wù)器端，通過(guò)具有高強(qiáng)度密碼算法的SSL協(xié)議保證客戶端和服務(wù)器端數(shù)據(jù)的機(jī)密性、完整性、身份驗(yàn)證。

5.自開(kāi)發(fā)安全應(yīng)用系統(tǒng) 自開(kāi)發(fā)安全應(yīng)用系統(tǒng)是指各行業(yè)自開(kāi)發(fā)的各種具體應(yīng)用系統(tǒng)，例如銀行、證券的應(yīng)用系統(tǒng)等。

完整的PKI包括認(rèn)證政策的制定（包括遵循的技術(shù)標(biāo)準(zhǔn)、各CA之間的上下級(jí)或同級(jí)關(guān)系、安全策略、安全程度、服務(wù)對(duì)象、管理原則和框架等）、認(rèn)證規(guī)則、運(yùn)作制度的制定、所涉及的各方法律關(guān)系內(nèi)容以及技術(shù)的實(shí)現(xiàn)。

【編輯推薦】

1. PKI基礎(chǔ)內(nèi)容介紹（1）
2. PKI基礎(chǔ)內(nèi)容介紹（2）
3. PKI基礎(chǔ)內(nèi)容介紹（3）
4. PKI基礎(chǔ)內(nèi)容介紹（4）
5. PKI基礎(chǔ)內(nèi)容介紹（6）