公开密钥基础设施PKI

公开密钥基础设施（PKI，Public Key Infrastructure），是以不对称密钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的，来实施和提供安全服务的、具有普适性的安全基础设施。具体内容包括：

数字证书
不对称密钥密码技术
认证中心
证书和密钥的管理
安全代理软件
不可否认性服务
时间戳服务
相关信息标准
操作规范等等

也就是说，PKI是一个完整的服务体系。

PKI用于保证网络数据的安全传输。

一、体系结构

PKI的基础是数字证书，核心是认证中心CA。另外还有数字证书的注册审批机构RA、密钥管理中心KMC。

图中的VA是证书验证机构，不属于PKI体系，属于应用部分。比如浏览器。为啥我们访问一些知名的站点，使用的是HTTPS协议，浏览器非常顺当的连接过去，而我们自己开发的站点，用的是自签发证书，浏览器却弹出警告窗口，说我们网站可能不安全呢？原因就在于我们自己签发的证书，浏览器不认；而著名CA签发的证书，有公信力，浏览器从一开始就有一份这些CA的名单，认可它们的证书。

PKI的一些重要概念：

二、一些重要概念

1、双证书、双密钥机制

双证书：签名证书、加密证书
双密钥：签名一对密钥、加密一对密钥。签名密钥由用户自行生成并保存，加密密钥在KMC生成及备份。

生成过程：
1）用户使用客户端产生签名密钥对
2）用户的签名私钥保存在客户端
3）用户将签名密钥对的公钥传送给CA中心
4）CA中心为用户的签名公钥签名，产生“签名证书”
5）CA中心将签名证书传回客户端进行保存
6）KMC为用户生成加密密钥对
7）KMC备份加密密钥对
8）CA为加密密钥对生成证书，称为“加密证书”
9）CA将加密私钥和加密证书打包，打包成标准格式PKCS#12
10）将打包后的文件传回客户端
11）客户端装入加密证书和加密私钥

2、X.509 证书标准

X.509是一项标准，是PKI架构中数字证书的标准。本质上，数字证书是一种数据结构，它将密钥对（公钥在明，私钥在暗）绑定到具体身份，并进行签署。数字证书包含公钥，但不包含私钥。包含的公钥信息里，有公钥和相关使用方法名称。

除此之外，X.509数字证书还有签名算法标识符、认证机构、有效期限、证书持有人基本信息、CA签名等。

三、名词辨析

1、PMI

PMI（Privilege Management Infrastructure，权限管理基础设hi或授权管理基础设施）。即，PKI负责身份鉴别，PMI负责访问控制，安全基础的两大基石。

2、KPI

关键绩效指标。别搞错了。