公匙基础设施之PKI架构

2.2.5  公匙基础设施

公钥基础设施( Public Key Infrastructure，PKI)，也称公开密钥基础设施。按照国际电联( International Telecommunications Union，ITU)制定的X.509标准，其定义，PKI“是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。”简单地说，PKI是一种遵循标准、利用公钥加密技术提供安全基础平台的技术和规范，是能够为网络应用提供信任、加密以及密码服务及的一 种基本解决方案。PKI的本质是实现了大规模网络中的公钥分发问题，为大规模网络中的信任建立基础。

1.PKI架构

PKI的组成一般包括证书权威机构(Certificate authority，CA)、证书注明‘机构( Registration Authority，RA)、证书库和终端实体等部分，如下图所示：

　　图中主要元素说明如下：

l、CA：是证书签发权威，也称数字证书管理中心，它作为PKI管理实体和服务的提供者，管理用户数字证书的生成、发放、更新和撤销等工作。

2、RA: RA是证书注册机构，又称数字证书注册中心，是数字证书的申请、审核和注册中心，同时也是CA认证机构的延伸。在逻辑上RA和CA是一个整体，主要负责提供证书注册、审核以及发证功能。

3、证书/CRL库：证书/CRL库主要用来发布、存储数字证书和证书撤销列表(Certificate Revocation List，CRL)，供用户查询、获取其他用户的数字证书和系统中的证书撤销列表所用。

4、终端实体：即( End Entity)，指拥有公私密钥对和相应公钥证书的最终用户，可以是人、设备、进程等。