隨著密碼法的出臺，我國將信息系統(tǒng)密碼應(yīng)用提升到了法律層面，而PKI是實(shí)現(xiàn)身份鑒別、數(shù)據(jù)保密性、完整性、不可否認(rèn)性等安全服務(wù)的重要支撐，有助于企業(yè)滿足信息系統(tǒng)密碼應(yīng)用和合規(guī)性要求，順利通過等保、密評。因此，今天小銳就帶大家去深入了解下關(guān)于PKI的那些事兒，一起往下看吧。

一、PKI是什么？

PKI英文全稱Public Key Infrastructure，即公鑰基礎(chǔ)設(shè)施。簡單地說，PKI是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，目的是為了自動(dòng)管理密鑰和證書，保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性真實(shí)性、完整性和不可否認(rèn)性。

二、PKI能夠提供什么？

• 真實(shí)性：標(biāo)識與身份鑒別——確保與你通信的另一方是它所聲稱的真實(shí)身份。
• 完整性：不被修改，沒有錯(cuò)誤——保證信息在存儲或傳輸過程中保持不被篡改、破壞。
• 機(jī)密性：隱私與保密——除了通信雙方之外，其他方無法獲知該信息。
• 非否認(rèn)性：責(zé)任確定——任何一方無法抵賴自己曾做過的操作。

三、PKI由什么組成？

事實(shí)上，PKI系統(tǒng)的組成可由實(shí)體組件和輔助組件兩部分構(gòu)成。

實(shí)體組件：

• 證書頒發(fā)機(jī)構(gòu)CA是一個(gè)獨(dú)立的可信第三方，為證書持有者簽發(fā)數(shù)字證書，數(shù)字證書中聲明了證書持有者的身份和公鑰。
• 證書持有者向CA申請數(shù)字證書，并向CA提供必要的信息以證明其身份及能力，獲得由CA簽發(fā)的證書。
• 依賴方是證書的驗(yàn)證方，依賴方與證書持有者進(jìn)行交互（如建立通信連接）時(shí)，需獲取證書持有者的數(shù)字證書，驗(yàn)證數(shù)字證書的真實(shí)性和有效性。

輔助組件：

• RA注冊機(jī)構(gòu)，負(fù)責(zé)進(jìn)行各種信息審查，確保證書申請者身份信息無誤。
• Repository資料庫，用于發(fā)布CA系統(tǒng)的各種公開信息。例如，證書、CRL、CP、CPS、OCSP等。
• CRL Issuer接收和處理撤銷信息，專門定期簽發(fā)證書撤銷列表。
• OCSP Server OCSP也用于檢查證書是否已經(jīng)撤銷，實(shí)時(shí)響應(yīng)PKI用戶的查詢請求。
• key management system密鑰管理系統(tǒng)，用于大量的密鑰管理工作，包括密鑰的生成、備份、托管和恢復(fù)等。

四、PKI的應(yīng)用

基于PKI技術(shù)，目前世界上已經(jīng)出現(xiàn)了許多依賴PKI的安全標(biāo)準(zhǔn)，即PKI的應(yīng)用標(biāo)準(zhǔn)，如安全的套接層標(biāo)準(zhǔn)SSL、傳輸層安全協(xié)議TLS、安全的多用途互聯(lián)網(wǎng)郵件拓展協(xié)議S/MIME和IP安全協(xié)議IPSEC等。這些標(biāo)準(zhǔn)主要應(yīng)用于web服務(wù)器和瀏覽器之間的通信、電子郵件、電子數(shù)據(jù)交換(EDI)、在Internet上的信用卡交易、虛擬專用網(wǎng)絡(luò) (VPN)、內(nèi)部 Wi-Fi和其他支持 MFA的服務(wù)領(lǐng)域。

以上就是小編收集的關(guān)于PKI的常見知識，PKI是信息安全的基石，通過對PKI的應(yīng)用我們可以實(shí)現(xiàn)可信的身份認(rèn)證、數(shù)據(jù)加密和數(shù)字簽名。作為國內(nèi)數(shù)字證書行業(yè)領(lǐng)先者，銳成信息深耕SSL證書領(lǐng)域11年，可提供自建PKI服務(wù)，讓您輕松安全地管理自簽發(fā)證書，同時(shí)滿足各種類型的企業(yè)對于SSL證書、用戶證書、S/MIME證書、設(shè)備證書的數(shù)字認(rèn)證需求。如您有更多疑問和需求，請聯(lián)系我們獲得支持。