什么是公钥基础设施(PKI)?

 
公钥基础结构(PKI)是一组策略和规则，旨在保护信息的电子传输，用于跨越一系列网络活动，如电子邮件和电子商务。
该框架允许在网络中创建，管理，分发和存储数字证书和公共加密密钥，在这些情况下，需要比密码更强大的东西来验证个人的身份。
虽然可以通过其他方式加密数据，但PKI还允许绑定身份，例如组织或个人，从而使验证成为可能。
PKI在哪里使用?
PKI在大量应用程序中使用功能，但它最常用于保护数字平台和服务。常见的部署是保护数据传输，以便通过网络发送的信息只能由预期的接收者查看。
它还用于使用OpenPGP(Open Pretty Good Privacy)和S / MIME(安全/多用途Internet邮件扩展)发送电子邮件，使用智能卡进行用户身份验证以及使用SSL(安全套接字层)签名或加密对客户端系统进行身份验证。
在访问需要用户签名的电子文档和在线表单时，您可能还会遇到PKI的变体。虽然还有其他方法可以验证电子文档，但PKI是目前最容易使用的方式，因为双方并不需要相互了解。
PKI的组成部分
PKI包含许多组件，以确保它可以保护数据，包括硬件，软件，策略和标准。它们共同创建密钥和数字证书，分发和管理它们。如果需要因任何原因删除密钥和证书，它们也用于撤销密钥和证书。
数字证书用于保护网站或私人系统。您可能听说过用于在网站和用户可能传输的数据之间实现“数字握手”的SSL证书。这些是数字证书的示例，也称为X.509证书。
为确保连接安全，PKI需要颁发安全授权的证书颁发机构(CA)。它验证密钥或证书中涉及的人员的身份以及它所使用的系统。 CA可以在内部发布，也可以由第三方提供商发布，其中包括Comodo，Symantec，Thawte和Trustwave。 CA还将颁发或撤销证书，并保留其记录。
在CA下方，注册机构或从属CA将为特定用途颁发证书。它们由主CA认证。证书系统的最后一部分是证书存储，它是所有密钥和证书的保存位置，无论是活动的，待处理的还是拒绝的。商店通常在本地系统上，因此它们很容易访问，不会通过互联网传输。
PKI中也有对，包括公钥和私钥。使用公钥加密的任何数据都可以使用私钥解密，反之亦然。任何申请公钥的人都可以获得这一点，它通常是公共证书的一部分。私钥保密，不共享。
数字签名是通过数字证书的散列生成的。然后使用CA的私钥对其进行加密，并将其作为数字签名附加到公共证书。
信任链
为了增强PKI的安全性，需要一种称为信任链的可信关系。此层次结构描述了使用从属(中间)CA时身份之间的信任关系。这样做的主要优点是它允许下级CA授权证书。
通过验证从一端到根证书的每个硬件和软件组件来创建信任链。这是为了确保PKI中仅使用受信任的软件和硬件。