公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)/PKI是什么意思

PKI的基本組成
完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口（API）等基本構(gòu)成部分，構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建。

認(rèn)證機(jī)構(gòu)（CA）：即數(shù)字證書的申請及簽發(fā)機(jī)關(guān)，CA必須具備權(quán)威性的特征；

數(shù)字證書庫：用于存儲已簽發(fā)的數(shù)字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰；密鑰備份及恢復(fù)系統(tǒng)：如果用戶丟失了用于解密數(shù)據(jù)的密鑰，則數(shù)據(jù)將無法被解密，這將造成合法數(shù)據(jù)丟失。為避免這種情況，PKI提供備份與恢復(fù)密鑰的機(jī)制。但須注意，密鑰的備份與恢復(fù)必須由可信的機(jī)構(gòu)來完成。并且，密鑰備份與恢復(fù)只能針對解密密鑰，簽名私鑰為確保其唯一性而不能夠作備份。

證書作廢系統(tǒng)：證書作廢處理系統(tǒng)是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內(nèi)也可能需要作廢，原因可能是密鑰介質(zhì)丟失或用戶身份變更等。為實現(xiàn)這一點,PKI必須提供作廢證書的一系列機(jī)制。

應(yīng)用接口（API）：PKI的價值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，因此一個完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保安全網(wǎng)絡(luò)環(huán)境的完整性和易用性。

通常來說，CA是證書的簽發(fā)機(jī)構(gòu),它是PKI的核心。眾所周知，構(gòu)建密碼服務(wù)系統(tǒng)的核心內(nèi)容是如何實現(xiàn)密鑰管理。公鑰體制涉及到一對密鑰（即私鑰和公鑰），私鑰只由用戶獨立掌握，無須在網(wǎng)上傳輸，而公鑰則是公開的，需要在網(wǎng)上傳送，故公鑰體制的密鑰管理主要是針對公鑰的管理問題，目前較好的解決方案是數(shù)字證書機(jī)制。

數(shù)字證書是公開密鑰體系的一種密鑰管理媒介。它是一種權(quán)威性的電子文檔，形同網(wǎng)絡(luò)計算環(huán)境中的一種身份證，用于證明某一主體（如人、服務(wù)器等）的身份以及其公開密鑰的合法性，又稱為數(shù)字ID。數(shù)字證書由一對密鑰及用戶信息等數(shù)據(jù)共同組成，并寫入一定的存儲介質(zhì)內(nèi)，確保用戶信息不被非法讀取及篡改。