什么是PKI?用途有哪些？

PKI是公钥基础设施的意思，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。

PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务，从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。

建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。

PKI的应用

PKI的应用非常广泛，包括应用在web服务器和浏览器之间的通信、电子邮件、电子数据交换（EDI）、在Internet上的信用卡交易和虚拟私有网（VPN）等。

通常来说，CA是证书的签发机构，它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。

公钥体制涉及一对密钥（即私钥和公钥），私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，较好的方案是数字证书机制。

一、目的与机能

公开密钥基础建设的设置使得未联系的电脑用户可以提出认证，并使用公钥证书内的公钥信息加密给对方。解密时，每个用户使用自己的私密密钥解密，该密钥通常被通行码保护。

大致而言，公开密钥基础建设由客户端软件、服务端软件、硬件、法律合约与保证、操作程序等组成。签署者的公钥证书也可能被第三者使用，用来验证由该签署者签署的数字签名。

通常，公开密钥基础建设协助参与者对话以达成机密性、消息完整性、以及用户认证，而不用预先交换任何秘密信息。然而互通连成员间的公开密钥基础建设受制于许多现实问题，例如不确定的证书撤销、证书中心发行证书的条件、司法单位规范与法律的变化、还有信任。

二、组成

PKI的组成要素主要有:用户（使用PKI的人或机构）；认证机构（Certification Authority,CA）（颁发证书的人或机构）；仓库（保存证书的数据库）。用户和认证机构称之为实体。

用户是使用PKI的人，使用PKI的人又分为两种：一种是向认证机构（CA）注册自己公钥的人，另一种是希望使用已注册公钥的人。

认证机构是对证书进行管理的人或机构。认证机构进行这几种操作：代用户生成密钥对（当然可以由用户自己生成）；对注册公钥的用户进行身份验证；生成并颁发证书；作废证书。另外，对公钥注册和用户身份验证可以由注册机构（Registration Authority,RA）来完成。

仓库（repository）是存放证书的数据库。仓库也叫证书目录。

三、用途

大部分企业级的公钥基础建设系统，依赖由更高端级的证书中心发行给低端证书中心的证书，而层层构筑而成的证书链，来创建某个参与者的身份识别证书的合法性。

这产生了不只一个电脑且通常涵盖多个组织的证书层次结构，涉及到多个来源软件间的合作。因此公开的标准对公钥基础建设相当重要。这个领域的标准化多由互联网工程工作小组的PKIX工作群完成。

企业公钥基础建设通常和企业的数据库目录紧密结合，每个员工的公钥内嵌在证书中，和人事资料一起存储。

今日最先进的目录科技是轻量目录访问协议（Lightweight Directory Access Protocol，LDAP）。事实上，最常见的证书格式X.509的前身X.500是用于LDAP的前置处理器的目录略图。

历史

1976年Whitfield Diffie、Martin Hellman|Hellman、Ron Rivest、Adi Shamir和Leonard Adleman等人相继公布了安全密钥交换与非对称密钥算法后，整个通信方式为之改变。

随着高速电子数字通信的发展，用户对安全通信的需求越来越强。

密码协议在这种诉求下逐渐发展，造就新的密码原型。全球互联网发明与扩散后，认证与安全通信的需求也更加严苛。光商务理由便足以解释一切。时在网景工作的Taher ElGamal等人发展出传输安全层协议，包含了密钥创建、服务器认证等。公开密钥基础建设的架构因此浮现。

厂商和企业家察觉了其后的广大市场，开始设立新公司并引导法律认知与保护。美国律师协会项目发行了一份对公开密钥基础建设操作的可预见法律观点的详尽分析，随后，多个美国州政府与其他国家的司法单位开始制定相关法规。消费者团体等则提出对隐私、访问、可靠性的质疑，也被列入司法的考虑中。

被制定的法规实有不同，将公开密钥基础建设的机制转换成商务操作有实际上的问题，远比许多先驱者所想的缓慢。

21世纪的前几年才慢慢发觉，密码工程没那么容易被设计与实践，某些存在的标准某方面甚至是不合宜的。

公开密钥基础建设的厂商发现了一个市场，但并非九零年代中期所预想的那个市场，这个市场发展得缓慢而且以不同的方式前进。

公开密钥基础建设并未解决所期待的问题，某些厂商甚至退出市场。

公开密钥基础建设最成功的地方是在政府部门，目前最大的公开密钥基础建设是美国防卫信息系统局 （Defense Information Systems Agency，DISA）的共同访问卡（Common access Cards）方案。

---