公开密钥基础建设(英语:Public Key Infrastructure,缩写:PKI),又称公开密钥基础架构、公钥基础建设、公钥基础设施、公开密码匙基础建设或公钥基础架构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。
密码学上,公开密钥基础建设借着数字证书认证机构(Certificate Authority,CA)将用户的个人身份跟公开密钥链接在一起。对每个证书中心用户的身份必须是唯一的。链接关系通过注册和发布过程创建,取决于担保级别,链接关系可能由CA的各种软件或在人为监督下完成。PKI的确定链接关系的这一角色称为注册管理中心(Registration Authority,RA)。RA确保公开密钥和个人身份链接,可以防抵赖。
可信赖的第三者(Trusted third party,TTP)也常被用来指证书中心。PKI有时被错误地拿来代表公开密钥密码学或公开密钥算法。
历史
1976年Whitfield Diffie、Martin Hellman|Hellman、Ron Rivest、Adi Shamir和Leonard Adleman等人相继公布了安全密钥交换与非对称密钥算法后,整个通信方式为之改变。随着高速电子数字通信的发展,用户对安全通信的需求越来越强。
密码协议在这种诉求下逐渐发展,造就新的密码原型。全球互联网发明与扩散后,认证与安全通信的需求也更加严苛。光商务理由便足以解释一切。时在网景工作的Taher ElGamal等人发展出传输安全层协议,包含了密钥创建、服务器认证等。公开密钥基础建设的架构因此浮现。
厂商和企业家察觉了其后的广大市场,开始设立新公司并启动法律认知与保护。美国律师协会项目发行了一份对公开密钥基础建设操作的可预见法律观点的详尽分析,随后,多个美国州政府与其他国家的司法单位开始制定相关法规。消费者团体等则提出对隐私、访问、可靠性的质疑,也被列入司法的考虑中。
被制定的法规实有不同,将公开密钥基础建设的机制转换成商务操作有实际上的问题,远比许多先驱者所想的缓慢。
21世纪的前几年才慢慢发觉,密码工程没那么容易被设计与实践,某些存在的标准某方面甚至是不合宜的。
公开密钥基础建设的厂商发现了一个市场,但并非九零年代中期所预想的那个市场,这个市场发展得缓慢而且以不同的方式前进。公开密钥基础建设并未解决所期待的问题,某些厂商甚至退出市场。公开密钥基础建设最成功的地方是在政府部门,目前最大的公开密钥基础建设是美国防卫信息系统局 (Defense Information Systems Agency,DISA)的共同访问卡(Common access Cards)方案。
PKI组成
- Certificate Authority(CA) 证书颁发机构(or系统),CA是PKI的基础,它管理着证书的整个生命周期,其作用包括:发放证书,规定证书有效期,废弃不良信用证书。
-
Registration Authority(RA) 证书注册,登记机构(or系统),RA提供一个用户和CA之前的桥梁,用户通过RA进行证书的申请,RA获取用户的身份信息并确认用户的信息,向CA提出证书申请。它接受用户的注册申请,审查用户的申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。因此,RA可以设置在直接面对客户的业务部门,如银行的营业部、机构认识部门等。当然,对于一个规模较小的PKI应用系统来说,可把注册管理的职能由认证中心CA来完成,而不设立独立运行的RA。但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,可以增强应用系统的安全。
这里的用户是指将要申请证书的客户,可以是个人,集团或团体,政府机构等。
-
Validation Authority(VA) 证书验证机构(or系统)。在PKI中,VA是一个实体,它根据X.509标准和RFC 5280(第69页)中描述的机制提供用于验证数字证书有效性的服务。
VA一般由第三方来提供,PKI对VA没有强制要求,可以是Nginx, Tomcat等。
- 证书存储-证书和私钥存储位置
- 证书管理中心-管理证书的申请,下发,存储
- 机构可信度-PKI系统就本身的证书进行说明,其目的是允许外部分析PKI的可信度。