PKI并非是单一的物理对象或软件过程,而是一种使发布、管理与利用公开密钥都较易的系统,其中不仅提供可用的安全工具,还有系统安全解决方案:PKI由很多之间有联系的组件一起协作给出一整套服务,这些服务可让用户便捷地用公钥密码解决系统的安全问题。
可以从以下两个层次理解PKI:
(1)从狭义而言,PKI可认为是管理证书的工具,包括创建、管理、存储、分发、撤销公钥证书的一切软/硬件、人、政策法规与操作章程。用证书可把用户的公钥与身份信息绑定起来,不过怎样保障公钥与身份信息没有伪造,则需某些管理设施。PKI正是融合了技术与管理2方面因素,保障了证书中的信息是真实的,并全程管理证书。PKI给应用给出了可信的证书,因此也能说PKI是信任管理设施。
(2)从广义上而言,PKI是于开放网络上给出与满足安全电子交易的全部产品、服务、工具、政策法规、操作章程、协定与人的集合。从此意义上而言,PKI不只给出了可信的证书,还含有在密码学基础上构建的安全服务,如实体鉴别、消息的保密性与完整性及抗抵赖等服务。实现这些安全服务需由有关协议,可信的证书仅仅是让这些安全服务可信的基础。如消息的保密性服务需像SSL、TLS、S/MIME等的保密通信协议。自然,一个通信协议也存在能同时完成多种安全服务的可能,如SSL不仅能鉴别服务器,还能对消息进行保密传输。
