1.6 公钥基础设施

公钥基础设施（Public Key Infrastructure, PKI）是基于公钥密码理论和技术提供安全服务的基础设施，包括创建、分发、管理、撤销数字证书所涉及的所有软件、硬件、人员和策略等。PKI遵循既定标准，在网络信息安全中扮演着关键的角色，为网络中的各类实体提供安全服务，具体如下。

1）身份鉴别：PKI用于实体的身份鉴别，通过数字证书验证实体的身份信息和公钥，确保通信双方的真实性和可信性。这种认证机制有助于防止身份欺骗和冒充。

2）数字签名：PKI使用数字证书和私钥来创建和验证数字签名。数字签名能够验证信息的完整性、真实性和抗抵赖性，确保数据在传输过程中没有被篡改，并且签署者无法否认其签名。

3）数据加密：PKI支持使用公钥进行数据加密，保护敏感信息在传输过程中的机密性。公钥用于加密数据，相应的私钥用于解密，确保只有授权方能够访问和解读加密数据。

4）密钥管理：PKI提供了密钥的生成、分发、存储和吊销等管理功能。它确保密钥的安全性和可信性，以及及时地吊销失效的密钥，保护系统免受未经授权的访问和攻击。

5）安全通信：PKI建立的加密通道和数字证书，保障了在公共网络上通信的安全性。它确保敏感数据的保密性和完整性，防止被窃听和篡改。

6）权限控制：PKI可以用于实现对网络资源和数据的访问权限控制，通过数字证书和加密机制，可以限制只有经过授权的用户才能访问受保护的资源，确保数据的安全性和合规性。

7）合规性：PKI提供了数字证书的可追溯性，为电子商务、电子签名、合同等领域的合规性提供了支持，并满足各国法律对数字身份和电子交易的要求。

PKI系统由不同的功能模块组成。这些模块具有不同的功能，具体如下。

（1）证书申请和审批

证书申请和审批是PKI系统最基本的功能。证书的申请和审批可直接由证书认证中心（Certificate Authority, CA）或由面向终端用户的注册审核机构（Registration Authority, RA）来完成。根据不同的应用，证书的申请方式分为离线申请方式、在线申请方式等。完成证书申请后，我们需进行相应的证书审批。具体来说，用户提交的证书申请表需经过RA或LRA中的审查人员进行审核。审核方式分在线审核和离线审核等。如果证书申请通过了RA或LRA的审核，该申请将通过专用的应用程序在PKI系统中注册用户，完成证书审批。

（2）密钥管理

密钥管理是PKI系统的重要功能。PKI系统可以产生CA的根密钥，并通过密钥备份与恢复系统保障根密钥的安全，避免密钥丢失导致无法解密的问题发生。PKI系统也为用户产生、分发、备份公私钥对，对用户的密钥强度和持有者身份进行审核，并通过数字证书将用户的公钥与用户身份绑定，将用户密钥存放在CA的资料库中备份。PKI系统具备密钥自动更新功能，可用于解决证书到期失效问题。对于加密密钥对和证书的更新，PKI系统采取对管理员和用户透明的方式进行，提供全面的密钥、证书及生命周期管理服务。PKI系统提供密钥历史档案管理，可管理密钥更新产生的新旧密钥。

（3）证书签发和下载

证书签发是PKI系统中CA的核心功能。完成了证书的申请和审批后，CA签发该请求的相应证书。

（4）证书的验证

在验证信息的数字签名时，用户必须事先获取信息发送者的公钥证书，以对信息进行验证，还需要CA对发送者所发的证书进行验证，以确定发送者身份的有效性。在发送数字签名证书的同时，CA可以发布证书链。这时，接收者拥有证书链上的每一个证书，从而可以验证发送者的证书。

（5）证书和目录查询

因为证书有有效期，所以进行身份验证时要保证当前证书是有效而没有过期的。另外，还有可能存在密钥泄露以及证书持有者身份、机构代码改变等问题，证书需要更新。因此在通过数字证书进行身份认证时，要保证证书的有效性。为了方便对证书有效性的验证，PKI系统提供了对证书状态信息的查询，以及对证书撤销列表的查询机制。CA支持实时访问证书目录和证书撤销列表，提供实时在线查询，以确认证书的状态。

（6）证书撤销

证书在使用过程中可能会因为各种因素而被废止，例如密钥泄露、相关从属信息变更、密钥有效期中止或者CA本身的安全隐患等。因此，证书撤销服务是PKI系统的一个必需功能。