|
## PKI
PKI(Public Key Infrastructure,公开密钥基础设施)是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务及所需的密钥和证书管理的体系。
X.509定于PKI为:创建、管理、存储、发布和撤销基于公钥密码系统的数字证书所需要的硬件、软件、人和过程的集合。
PKI基础设施采用证书管理公钥,通过CA将用户的公钥和用户的其它标识信息捆绑在一起,在Internet网上验证用户的身份。
PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
一个典型、完整、有效的PKI应用系统至少应具有以下功能:
(1)证书的版本信息;
(2)黑名单的发布和管理;
(3)密钥的备份和恢复;
(4)自动更新密钥;
(5)自动管理历史密钥;
(6)支持交叉认证。
PKI主要包括四个部分:
(1)X.509格式的证书(X.509v3)和证书撤销列表CRL(X.509 v2);
(2)CA/RA操作协议;
(3)CA管理协议;
(4)CA政策制定。
一个典型、完整、有效的PKI应用系统至少应具有以下组成部分:
(1)CA认证中心CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其它信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布。
(2)X.500目录服务器X.500目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其它人的证书和下载黑名单信息。
(3)用于加密用途的密钥管理系统KM
(4)具有高强度密码算法(SSL)的安全WWW服务器
(5)数字签名服务系统
|