公钥基础设施PKI是什么?

　　大家也许清楚公钥的概念，那么对于公钥基础设施PKI，大家是否也知道它的概念呢?这是一个采用公钥概念和技术来提供安全服务的安全基础设施，具体的一些概念知识我们在下面就来看看吧。

　　PKI是目前网络安全建设的基础与核心，它覆盖的内容比较宽，是个被广泛接受的概念。一个成熟的加密体系必然要有一个成熟的密钥管理机制，公钥的管理机制都采用PKI机制，它是由公数字证书、证书发型机构、公开密钥技术和相关公钥安全策略等组成的。

　　PKI是一种遵循既定标准的密钥管理平台，它可以用在所有的网络应用中，如密集的加密和数字签名代码服务和必要的密钥和证书管理体系，简单来说，PKI是利用公共密钥理论和技术建立基础设施提供安全服务。 PKI技术是信息安全技术的核心，是电子商务的关键和基础和技术。 PKI的基础技术，包括加密，数字签名，数据完整性机制，数字信封，双重数字签名等。

　　PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术，从而保证网上数据的机密性、完整性和有效性。

　　一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解PKI的内部运作机制。在一个典型、完整和有效的PKI系统中，除证书的创建和发布，特别是证书的撤销外，一个可用的PKI产品还必须提供相应的密钥管理服务，包括密钥的备份、恢复和更新等。没有一个好的密钥管理系统，将极大地影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。

　　PKI在实际应用上市一套软硬件系统和安全策略的集合，它提供了一整套安全机制，使用户在不知道对方身份或分布地很广的情况下，以证书为基础，通过一系列的信任关系进行通信和电子商务交易。

　　PKI的体系结构

      PKI体系结构如下图所示。

　　PKI组成

　　一个完整的PKI系统必须具备权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口(API)等基本组成部分。

　　1、权威认证机构(Certificate Authority)：权威认证机构简称CA，是PKI的核心组成部分，也称作认证中心。它是数字证书的签发机构。CA是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。

　　2、数字证书库：在使用公钥体制的网络环境中，必须向公钥的使用者证明公钥的真实合法性。因此，在公钥体制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。目前较好的解决方案是引进证书(Certificate)机制。

　　(1)证书。证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络环境中的一种身份证，用于证明某一主体的身份以及其公开密钥的合法性。

　　(2)证书库。证书库是证书的集中存放地，是网上的一种公共信息库，供广大公众进行开放式查询。到证书库访问查询，可以得到想与之通信实体的公钥。证书库是扩展PKI系统的一个组成部分，CA的数字签名保证了证书的合法性和权威性。

　　3、密钥备份及恢复系统：如果用户丢失了密钥，会造成已经加密的文件无法解密，引起数据丢失，为了避免这种情况，PKI提供密钥备份及恢复机制。

　　4、证书作废系统：有时因为用户身份变更或者密钥遗失，需要将证书停止使用，所以提供证书作废机制。

　　5、PKI应用接口系统： PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。没有PKI应用接口系统，PKI就无法有效地提供服务。

　　整个PKI系统中，只有CA会和普通用户发生联系，其他所有部分对用户来说都是透明的。

　　PKI技术的重点

　　PKI公共密钥加密的基础上，主要解决的关键密钥认证问题。在网络上证明谁是公共密钥，就像现实证明谁是，像什么名字具有十分重要的意义。 PKI数字证书，证明谁是公共密钥。 PKI的核心技术，围绕发出的数码证书的应用程序的整个生命周期中使用撤消开始。 PKI证书撤销最容易被忽视，但它是其中的关键技术，是基础设施必须提供的服务。

　　PKI技术的研究对象，包括数字证书，证书颁发机构签发数字证书，证书用户证书持有人持有的证书，并使用证书服务，并以成为基础设施的注册证书必须具备Authoritycertificate存储和查询服务器证书状态查询服务器证书认证服务器。

　　PKI基础设施的互连两个或多个PKI管理域是非常重要的。 PKI域间互联网，以及如何更好的互连是建立一个无缝的关键网络应用的范围。关键设备的PKI公钥基础设施PKI最终用户之间的互连工艺，是PKI的网络应用程序之间的互操作性和PKI系统与接口技术发展的重要保证PKI技术的研究重点。

　　PKI的优势

　　作为一种安全技术，PKI已经深入到各级网络。这是一个放映的PKI强大的生命力和无可比拟的技术优势。PKI的精髓来自公钥密码技术，使得数字签名有了根本上的安全保障。以PKI为核心的对公共密钥加密技术、数字证书等元素不断的涌现出来。PKI的优势主要有以下几点：

　　1.采用不对称加密技术，能够支持可公开验证并不能冒充的数字签名，从而在支持可追究的服务上具有其不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。支持可以公开地进行验证，或者说任意的第三方可验证，能更好地保护弱势个体，完善平等的网络系统间的信息和操作的可追究性。

　　2.由于使用的加密技术，保护机密是的PKI的最独特的优势。 PKI不仅能够知道对方的实体提供保密性的服务，还可以提供不熟悉的用户之间的通信保密支持。

　　3.数字证书可以由用户自行验证，也没有必要去网上查询，以确保服务的原则，这使得PKI的基础设施，成为一个服务的庞大的用户群范围内的无限扩张，。 PKI使用数字证书，数字证书的实体的关键，而不是网上查询或在线分发由第三方发行。这样一个重要途径，突破过去的安全认证服务必须是在线的限制。

　　4.PKI证书有撤销机制，以便其应用领域的应用没有不受具体的限制。而撤销机制能在发生意外事故的情况下提供补救措施，在各种安全环境，让用户可以更放心。此外，由于撤销技术，不管是固定的身份，或不断变化的操作，都可以得到PKI的这个服务而不用担心他人恶意窃取或偷来的身份进行恶意行为。为用户提供“修改”或“撤销”的途径是良好工程设计中的重要部分。

　　PKI具有很强大的交集能力。不管是上下级的关系，还是平等的第三方信任关系，PKI都能够按照人的思维方式进行多种形式的互联沟通，从而使PKI能够更好的服务人们日常行为习惯的网络信息系统。

　　PKI可以将公钥密码与对称密码结合起来，使得在Internet上可以实现密钥的自动管理，所以可以保证网上数据的安全传输，为电子商务和网络通信提供安全保障。

　　以上就是本文的全部内容了，希望大家能够仔细阅读这些内容以便更好地掌握PKI的知识点哦，相信本文会给大家带来一定的帮助，感谢阅读。如果有什么建议或者意见，欢迎给小编留言哦。