PKI基础(三).PKI组成

　　PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。

　　　　PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分：X.509格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；CA/RA操作协议；CA管理协议；CA政策制定。一个典型、完整、有效的PKI应用系统至少应具有以下部分； 　　

　　. 认证中心CA CA是PKI的核心，CA负责管理PKI结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布，后面有CA的详细描述。 　　

　　. X.500目录服务器 X.500目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。

　　. 具有高强度密码算法(SSL)的安全WWW服务器 出口到中国的WWW服务器，如微软的IIS、Netscape的WWW服务器等，受出口限制，其RSA算法的模长最高为512位，对称算法为40位，不能满足对安全性要求很高的场合，为解决这一问题，采用了山东大学网络信息安全研究所开发的具有自主版权的SSL安全模块，在SSL安全模块中使用了自主开发的SJY系列密码设备，并且把SSL模块集成在Apache WWW服务器中，Apache WWW服务器在WWW服务器市场中占有百分之50以上的份额，其可移植性和稳定性很高。 　　

　　. Web（安全通信平台） Web有Web Client端和Web Server端两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性、身份验证。 　

　　. 自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统，例如银行、证券的应用系统等。

　　　　完整的PKI包括认证政策的制定（包括遵循的技术标准、各CA之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等）、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现。