什么是PKI？PKI机制、系统构造详解

1 PKI是什么

PKI (PublicKeyInfrastructure，公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。其目的通过一组由硬件、软件、参与者、管理政策与流程组成的基础架构来创造、管理、分配、使用、存储以及撤销数字证书。PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥，为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证，提供了全面的信息安全支持。

2 PKI的特征

(1)真实性：标识与鉴别

(2)完整性：不被修改，没有错误

(3)机密性：隐私与保密

(4)非否定性：责任确定

(5)可用性：可获得、系统稳定

3 PKI的系统构造

一个典型的PKI系统如图所示，其中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。

PKI安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。

证书机构CA是PKI的信任基础，它管理公钥的整个生命周期。

注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。

证书发布系统负责证书的发放，如可以通过用户自己，或是通过目录服务。

4 PKI的功能

PKI在实际应用上是一套软硬件系统和安全策略的集合，它提供了一整套安全机制，包括管理加密密钥和证书的公布，提供密钥管理(包含密钥更新，密钥恢复和密钥托付等)、证书管理(包含证书产生和撤销等)和策略管理等。

5 PKI的机制

在整个安全系统中，身份认证技术是重点，基本安全服务就是身份认证，其他安全服务也都建立在身份认证的基础上。这使得身份认证系统具有十分重要的地位，也最容易遭受攻击。因此，建立安全的身份认证系统是网络安全的首要步骤。目前常用的网络身份认证机制包括基于口令的身份认证机制、挑战/响应认证机制、基于DCE/Kerberos的认证机制以及基于公共密钥的认证机制。

来源：《数观天下：PKI分析报告》