PKI 是 Public Key Infrastructure 的縮寫,其主要功能是綁定證書持有者的身份和相關的密鑰對(通過為公鑰及相關的用戶身份信息簽發數字證書),為用戶提供方便的證書申請、證書作廢、證書獲取、證書狀態查詢的途徑,并利用數字證書及相關的各種服務(證書發布,黑名單發布,時間戳服務等)實現通信中各實體的身份認證、完整性、抗抵賴性和保密性。
PKI 基本組件
| 組件 | 描述 |
|---|---|
| 數字證書 | 包含了用于簽名和加密數據的公鑰的電子憑證,是PKI的核心元素 |
| 認證中心(CA) | 數字證書的申請及簽發機關,CA必須具備權威性 |
| 證書資料庫 | 存儲已簽發的數字證書和公鑰,以及相關證書目錄,用戶可由此獲得所需的其他用戶的證書及公鑰 |
| 證書吊銷列表(CRL)/OCSP | 在有效期內吊銷的證書列表,在線證書狀態協議OCSP是獲得證書狀態的國際協議 |
| 密鑰備份及恢復 | 為避免因用戶丟失解密密鑰而無法解密合法數據的情況,PKI提供備份與恢復密鑰的機制。必須由可信的機構來完成。并且,密鑰備份與恢復只能針對解密密鑰,簽名私鑰不能夠作備份 |
| PKI應用接口(API) | 為各種各樣的應用提供安全、一致、 可信的方式與PKI交互,確保建立起來的網絡環境安全可靠,并降低管理成本 |
