2.2.5  公匙基礎設施

公鑰基礎設施( Public Key Infrastructure，PKI)，也稱公開密鑰基礎設施。按照國際電聯( International Telecommunications Union，ITU)制定的X.509標準，其定義，PKI“是一個包括硬件、軟件、人員、策略和規程的集合，用來實現基于公鑰密碼體制的密鑰和證書的產生、管理、存儲、分發和撤銷等功能。”簡單地說，PKI是一種遵循標準、利用公鑰加密技術提供安全基礎平臺的技術和規范，是能夠為網絡應用提供信任、加密以及密碼服務及的一 種基本解決方案。PKI的本質是實現了大規模網絡中的公鑰分發問題，為大規模網絡中的信任建立基礎。

1.PKI架構

PKI的組成一般包括證書權威機構(Certificate authority，CA)、證書注明‘機構( Registration Authority，RA)、證書庫和終端實體等部分，如下圖所示：

　　圖中主要元素說明如下：

l、CA：是證書簽發權威，也稱數字證書管理中心，它作為PKI管理實體和服務的提供者，管理用戶數字證書的生成、發放、更新和撤銷等工作。

2、RA: RA是證書注冊機構，又稱數字證書注冊中心，是數字證書的申請、審核和注冊中心，同時也是CA認證機構的延伸。在邏輯上RA和CA是一個整體，主要負責提供證書注冊、審核以及發證功能。

3、證書/CRL庫：證書/CRL庫主要用來發布、存儲數字證書和證書撤銷列表(Certificate Revocation List，CRL)，供用戶查詢、獲取其他用戶的數字證書和系統中的證書撤銷列表所用。

4、終端實體：即( End Entity)，指擁有公私密鑰對和相應公鑰證書的最終用戶，可以是人、設備、進程等。