数字证书相关知识结构PKI/PMI基本概念、组成部分、工作原理

PKI

一、 PKI基本概念

　　公钥基础设施PKI（Public Key Infrastructure），是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

　　原有的单密钥加密技术采用特定加密密钥加密数据，而解密时用于解密的密钥与加密密钥相同，这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密，则不可避免地出现安全漏洞。因为在发送加密数据的同时，也需要将密钥通过网络传输通知接收者，第三方在截获加密数据的同时，只需再截取相应密钥即可将数据解密使用或进行非法篡改。

区别于原有的单密钥加密技术，PKI采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。

　　PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

二、 PKI的基本组成

　　完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。

　　认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；

　　数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；

　　密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。

　　证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

　　应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。

　　通常来说，CA是证书的签发机构,它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥（即私钥和公钥），私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书机制。

　　数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性，又称为数字ID。数字证书由一对密钥及用户信息等数据共同组成，并写入一定的存储介质内，确保用户信息不被非法读取及篡改。

PMI

三、授权管理基础设施PMI

授权管理基础设施PMI (Privilege Management Infrastructure)是国家信息安全基础设施的一个重要组成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。

　　授权管理基础设施PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由资源的所有者来进行访问控制。同公钥基础设施PKI相比，两者主要区别在于：PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。

　　授权管理基础设施PMI 在体系上可分为三级，分别是SOA 中心、AA 中心和AA 代理点。在实际应用中这种分级体系需要灵活配置，可以是三级、二级或一级。

　　SOA 中心

　　信任源点（SOA 中心）是整个授权管理体系的中心业务节点，也是整个授权管理基础设施PMI 的最终信任源和最高管理机构。SOA 中心的职责主要包括授权管理策略的管理、应用授权受理、AA 中心的设立审核及管理、授权管理体系业务的规范化等。

　　AA 中心

　　AA中心是授权管理基础设施PMI 的核心服务节点，是对应于具体应用系统的授权管理分系统，由具有设立AA 中心业务需求的各应用单位负责建设，并与SOA 中心通过业务协议达成相互信任关系。AA 中心的职责主要包括应用授权受理、属性证书的发放和管理以及AA代理点的设立审核和管理等。AA 中心需要为其所发放的所有属性证书维持一个历史记

录和更新记录

　　AA 代理点

　　AA 代理点是授权管理基础设施PMI 的用户代理节点，也称为资源管理中心，是与具体应用用户的接口，是对应AA 中心的附属机构，接受AA 中心的直接管理，由各AA 中心负责建设，并报经主管的SOA 中心同意并签发相应的证书。AA 代理点的设立和数目由各AA 中心根据自身的业务发展需求而定。AA 代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责对具体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理。