pki加密PKI部署与应用

什么是pki？它由哪些部分组成

1、PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

PKI 的组成部分： 1、认证中心CA CA 是PKI 的核心，CA 负责管理PKI 结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA 还要负责用户证书的黑名单登记和黑名单发布，后面有CA 的详细描述。

?　 2、X.500?目录服务器?X.500 目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP?协议查询自己或其他人的证书和下载黑名单信息。

3、具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer(SSL)协议最初由Netscape 企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

4、 Web（安全通信平台） Web 有Web Client 端和Web Server 端两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。

? 5、自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统，例如银行、证券的应用系统等。

完整的PKI 包括认证政策的制定（包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等）、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。

扩展资料： PKI的优势： 1、 采用公开密钥密码技术，能够支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。

这种可追究的服务也为原发数据完整性提供了更高级别的担保。

支持可以公开地进行验证，或者说任意的第三方可验证，能更好地保护弱势个体，完善平等的网络系统间的信息和操作的可追究性。

2、 由于密码技术的采用，保护机密性是PKI最得天独厚的优点。

PKI不仅能够为相互认识的实体之间提供机密性服务，同时也可以为陌生的用户之间的通信提供保密支持。

3、 由于数字证书可以由用户独立验证，不需要在线查询，原理上能够保证服务范围的无限制地扩张，这使得PKI能够成为一种服务巨大用户群的基础设施。

PKI采用数字证书方式进行服务，即通过第三方颁发的数字证书证明末端实体的密钥，而不是在线查询或在线分发。

这种密钥管理方式突破了过去安全验证服务必须在线的限制。

4、 PKI提供了证书的撤销机制，从而使得其应用领域不受具体应用的限制。

撤销机制提供了在意外情况下的补救措施，在各种安全环境下都可以让用户更加放心。

另外，因为有撤销技术，不论是永远不变的身份、还是经常变换的角色，都可以得到PKI的服务而不用担心被窃后身份或角色被永远作废或被他人恶意盗用。

为用户提供“改正错误”或“后悔”的途径是良好工程设计中必须的一环。

5、 PKI具有极强的互联能力。

不论是上下级的领导关系，还是平等的第三方信任关系，PKI都能够按照人类世界的信任方式进行多种形式的互联互通，从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。

PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。

PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。

参考资料来源：搜狗百科——PKI

PKI部署与应用

PKI技术 　　为解决的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的安全解决方案，即目前被广泛采用的PKI体系结构，PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在网上验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在网上实现密钥的自动管理，保证网上数据的机密性、完整性。

　　从广义上讲，所有提供公钥加密和数字签名服务的系统，都可叫做PKI系统，PKI的主要目的是通过自动管理密钥和证书，可以为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中，不能被非授权者偷看，数据的完整性是指数据在传输过程中不能被非法篡改，数据的有效性是指数据不能被否认。

一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解PKI是怎样管理证书和密钥的，一个典型、完整、有效的PKI应用系统至少应具有以下部分： 　　· 公钥密码证书管理。

　　· 黑名单的发布和管理。

　　· 密钥的备份和恢复。

　　· 自动更新密钥。

　　· 自动管理历史密钥。

　　· 支持交叉认证。

　　由于PKI体系结构是目前比较成熟、完善的网络安全解决方案，国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安全产品，如美国的VeriSign, IBM ,Entrust等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品，为电子商务的发展提供了安全保证。

为电子商务、政府办公网、EDI等提供了完整的网络安全解决方案。

　　PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。

PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。

从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。

　　PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。

一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。

X.509格式的证书和证书废除列表(CRL)； CA/RA操作协议； CA管理协议； CA政策制定。