PKI介绍

PKI（Public Key Infrastructure）即公钥基础设施，是提供公钥加密和数字签名服务的系统，目的是为了自动管理密钥和证书，保证网上数据信息传输的机密性、真实性、完整性和不可否认性。PKI采用证书进行公钥管理，通过第三方的可信任机构，把用户的公钥和用户的其它标识信息捆绑在一起，从而在网上验证用户的身份。一个PKI系统由公钥密码技术（Public Key Cryptography）、证书认证机构（CA）、注册机构（RA）、数字证书（Digital Certificate）和相应的PKI存储库组成。

以下介绍几个PKI相关的术语：

• 公钥密码技术：用户使用公钥密码技术产生密钥对，分别为公钥（public key）和私钥（private key），公钥向外界公开，私钥则自己保留。公钥与私钥互为补充，被一个密钥加密的数据，只可以用相匹配的另外一个密钥解密。
• 认证机构（CA）：是一个向个人、计算机或任何其它实体颁发证书的可信实体。CA受理证书服务申请，根据证书管理策略验证申请方的信息，然后用其私钥对证书进行签名，并颁发该证书给申请方。
• 注册机构（RA）：RA是CA的延伸，RA向CA转发证书服务申请，也向目录服务器转发CA颁发的数字证书和证书撤消列表，以提供目录浏览和查询服务。
• 证书撤销列表（CRL）：证书具有一定的使用期限，但是由于密钥被泄露、业务终止等原因，CA可通过撤销证书缩短证书的使用期限。一个证书一旦被撤消，证书中心就要公布CRL来声明该证书是无效的，并列出不能再使用的证书的序列号。

安全网关的以下功能模块支持PKI功能：

• IKE VPN：建立IKE VPN时，支持PKI认证。
• HTTPS/SSH：使用HTTPS或者SSH方式访问安全网关时，支持PKI认证。