什么是公钥基础设施 (PKI)？

了解什么是公钥基础设施 (PKI)、它的主要组件，以及它如何使用数字证书和密钥对等加密机制保护电子通信以确保机密性、完整性、身份验证和不可否认性。

公钥基础设施（通常缩写为PKI）已成为保护在线通信和交易安全的核心组件。但这一关键安全框架究竟由什么构成？

公钥基础设施的本质是指促进个人、设备和系统等实体之间以安全电子方式传输信息、交易和通信的政策、程序、技术和组件。它旨在通过加密机制实现这一目标，以确保机密性、完整性、身份验证和不可否认性。

核心前提依赖于非对称加密，特别是公钥加密，它基于数学上关联的加密密钥对——私钥和公钥。这些密钥以只有另一个对应的密钥才能访问内容的方式加密和解密数据。稍后将详细介绍这一点。首先，让我们研究一下构成完整 PKI 系统的核心组件。

PKI 生态系统的主要组成部分

功能性 PKI 结合了技术、组织和程序元素。

证书颁发机构 (CA)

CA 是 PKI 的基础。它们颁发、撤销和更新数字身份证书。数字证书包含有关实体及其公钥的信息。本质上，数字证书将用于加密通信的加密密钥对绑定到密钥对所属的经过验证的身份。CA（例如沃通CA wosign.com）在对这些证书进行数字签名以供分发之前会广泛验证详细信息。

证书和颁发证书的 CA 受到依赖证书进行安全通信的用户和系统的信任。当接收者认识到信誉良好的 CA 已验证证书持有者时，这就引入了信任。

证书颁发机构和证书的信任

在证书颁发机构的背景下，“信任”的概念围绕着确保给定的数字证书是合法的，并且出具证书的实体是他们声称的那个人。这种信任框架对于互联网上的安全通信至关重要，尤其是对于网上银行、购物和机密通信等活动，在这些活动中，验证网站或服务的真实性至关重要。

公众信任

公众信任涉及由 CA 颁发的证书，这些证书受到主要浏览器公司、软件开发商和操作系统的广泛认可和自动信任。建立这种信任是因为 CA 在颁发证书之前遵循严格的政策和程序，确保申请证书的实体合法并有权使用相关域名、应用具有特定名称的数字签名或以其他方式代表与加密函数相关的身份。

公众信任源自标准机构“证书颁发机构浏览器论坛”或CA/浏览器论坛制定的准则和要求。CA/浏览器论坛是一个由证书颁发机构、互联网浏览器供应商和其他相关方自愿组成的联盟，他们制定准则来管理这些公众信任的证书的颁发和管理。主要浏览器公司和操作系统决定信任哪些 CA，并将其包含在其受信任的根证书存储中。如果 CA 不在此信任存储中，用户可能会收到证书不受信任的警告。

私人信托

私有信任涉及在封闭生态系统内颁发的证书，例如企业内联网或受控环境，其中涉及的实体彼此之间具有直接关系或信任。在这些情况下，组织可以充当自己的 CA（私有 CA），并向其用户、设备或服务颁发证书。这些证书不一定被外界认可，但在组织的生态系统内完全有效。

公共和私人信托的界限

公有和私有信任之间的主要区别在于所颁发证书的范围和认可度。公共信任的 CA 的根证书包含在主流浏览器和操作系统的受信任存储中，这使得其颁发的证书无需任何额外配置即可自动获得广大受众的信任。

相比之下，私有 CA 颁发的证书需要在私有网络之外希望信任这些证书的任何系统中进行手动信任配置。这些证书不会自动被更广泛的互联网信任，主要用于组织可以控制信任方的内部目的。

公共和私人信任模型在互联网安全和组织内部安全中都发挥着至关重要的作用，根据所需的信任和认可范围，每种模型都满足不同的需求。

PKI 层次结构

CA 分为两类。根 CA 是层次结构的顶端，而中级 CA 则在其下分发证书。

注册机构 (RA)

RA 会验证身份并建立注册流程，然后向 CA 申请相应的签名证书。RA 会确保只有合法实体才能按照 PKI 政策指南收到证书。证书生成前的广泛身份检查可增强利益相关者之间的信任。

公钥和私钥

这种数学关联的配对使 PKI 的内部加密工作得以实现。使用公钥加密的数据在没有相应的私钥解密的情况下无法访问。这在传输过程中保持了机密数据。使用私钥签名的数字签名可以用相应的公钥进行验证，以进行身份​​验证。

数字证书

数字证书包含姓名、组织、位置和相关公钥等识别详细信息。证书还带有颁发 CA 的数字签名，以确保绑定身份。证书符合 X.509 国际标准，可实现跨系统的互操作性。

证书吊销列表 (CRL)

CRL 包含由各个 CA 吊销的证书序列号列表，表明身份已被泄露。实体会交叉检查 CRL，以确保它们只与仍在有效期内的证书进行通信。此集中参考列表有助于高效地分发吊销信息。

PKI 用于什么？

PKI 不仅仅是一个理论框架——它还支持多种常见技术：

安全的 Web 活动：HTTPS、SSL/TLS 协议在浏览器和服务器之间建立安全连接，利用 PKI 进行由数字证书和公钥加密支持的底层加密。

电子邮件加密和签名：电子邮件中的敏感信息交换利用 PKI 标准通过 S/MIME（安全/多用途互联网邮件扩展）等证书类型来加密和签名电子邮件。

代码签名证书：对软件代码应用加密签名，以防止未经授权的更改并识别发布者。

身份验证和访问控制：企业 VPN 访问和楼宇入口系统的基于证书的身份验证机制通过 PKI 方法比 ID 密码协议提供了更为强大的安全性。

区块链交易：区块链账本上的所有交易都涉及通过非对称加密密钥进行签名来进行数字货币转移，而非对称加密密钥是由 PKI 原则围绕密钥之间的数学链接实现的。

随着全球各个行业的数字连接不断发展，PKI 将继续成为通过现有的证书、身份管理和加密标准实现隐私、信任和安全的基础要素。

PKI 如何工作？

现在我们了解了 PKI 的关键组件，我们可以讨论所有这些组件如何协同工作。

1、密钥对生成：每个实体创建一个公钥和私钥对。

2、证书颁发：受信任的证书颁发机构 (CA) 验证实体的身份并颁发包含公钥的数字证书。

3、分发：公钥和证书是分发的，而私钥保持秘密，应由证书持有者妥善保管。

4、加密：发送者使用接收者的公钥来加密消息。

5、解密：收件人使用他们的私钥来解密消息。

6、数字签名：发送者使用自己的私钥对消息进行签名，其他人可以使用发送者的公钥进行验证。

7、证书验证：实体在信任证书之前，使用 CA 的公钥来验证证书。

该系统可实现数字环境中的安全通信、身份验证和不可否认性。

PKI 的重要性

在 wosign.com，我们亲眼目睹了 PKI 在保护敏感数据传输方面带来的巨大价值。作为领先的公共信任证书颁发机构，我们始终致力于通过强大的身份验证、快速的证书颁发和主动的基础设施监控来推进 PKI 标准。

随着 PKI 元素深度融入现代网络安全和数字身份，我们预见它将在整个不断扩展的数字经济的未来隐私和完整性中发挥核心作用。