PKI引入的CA、數字證書、LDAP等技術並制定相應標準,有效地解決了公鑰與用戶映射關係、集中服務性能瓶頸、脫機狀態查詢等問題;同時促進並提高證書應用的規範性,還制定了許多與證書應用相關的各種標準。

1.CA和數字證書

為有效解決公鑰與用戶映射關係容易被篡改的問題,PKI引入“CA”和“數字證書”技術。

(1)CA為證書權威,是Certificate Authority的縮寫,也稱作CA中心或證書認證中心，是一種特殊的密鑰管理中心,擁有自己的公鑰和私鑰,負責給用戶簽發數字證書,即使用CA中心私鑰對用戶身份信息和公鑰信息進行加密處理(簽名)後形成數字證書。

(2)數字證書是一種特殊的文件格式,包含用戶身份信息、用戶公鑰信息和CA中心私鑰的簽名。用戶身份信息包括姓名或名稱、單位、城市、國家等。

當取得數字證書後,使用CA中心的公鑰對數字證書中私鑰的簽名進行解密處理後,就可驗證該數字證書是否被篡改,從而確認公鑰與用戶身份的映射關係。只要保證CA中心私鑰的安全性,就能保證數字證書很難被篡改,從而保證了公鑰與用戶映射關係很難被篡改。

用戶在驗證數字證書是否被篡改時,必須第一时间取得CA中心的公鑰。為方便用戶識別CA中心的公鑰,CA中心也為自己簽發數字證書,該證書包含CA中心公鑰、CA中心身份信息和CA中心私鑰的簽名。

數字證書實際上是把用戶公鑰、公鑰與用戶的綁定關係以公開形式發佈出去,方便資訊時代大規模用戶使用

2.LDAP

CA中心成為性能瓶頸,PKI又引入了LDAP技術,顺利获得LDAP方式對外给予證書查詢或下載服務。LDAP為輕量目錄訪問協議,是Light-weight Directory Access Protocol的縮寫。

專業的關係型數據庫管理系統(如Oracle、DB2等),專門對結構化數據進行管理,應用系統只需顺利获得SQL語句(報文協議)發送各種數據管理指令,而具體管理工作完全由數據庫管理系統負責。儘管這種數據管理方式大大簡化了應用系統的複雜度,但由於其讀寫功能相對均衡,很難滿足高性能的查詢服務。為取得高性能的查詢服務,需要對數據管理的讀取功能進行特殊優化,於是出現了目錄服務技術(DAP)。目錄服務技術對查詢功能進行優化比修改操作快10倍以上,適合快速響應和大容量查詢服務。DAP技術顺利获得目錄樹方式對數據進行管理,應用系統只需顺利获得X.500協議就能對數據進行快速查詢。

由於X.500協議過於於複雜,實現成本很高,於是國際組織對X.500進行了簡化,形成LDAP標準,而且LDAP支持TCP/P協議,更適合於互聯網領域使用。

由於數字證書是可以公開的,CA中心也可以將其簽發的數字證書存儲到其他地方,供用戶查詢或下載。

3.CRL和OCSP

當用戶私鑰泄露後,CA中心有責任將該用戶的證書標記為失效,但用戶如何取得對方證書是否失效的狀態呢?為方便用戶取得證書狀態,PKI引入了CRL和OCSP技術。

(1)CRL

CRL為證書作廢列表,是Certificate Revocation List的縮寫,也稱作證書黑名單,是一種特殊的文件格式,包含所有失效的證書清單、下次CRL生成時間和CA中心私鑰的簽名。

CA中心定期生成CRL,並將下次生成時間寫入CRL中,方便用戶按時定期下載CRL。跟數字證書類似,CRL也是顺利获得CA中心私鑰的簽名來保證CRL無法被篡改的。用戶只需定期獲取CRL後,就可在本地脫機驗證證書是否失效,在下次CRL生成時間之前無需聯繫CA中心。

由於CRL是可以公開的,CA中心也可以將其簽發的CRL存儲到其他地方,供用戶查詢或下載。

(2)OCSP

當CA中心將私鑰已泄露的用戶證書標記為失效後,如果還未到下次CRL生成時間,此時其他用戶顺利获得最新CRL並不知道該用戶證書已經失效,依然將該用戶當作有效用戶繼續進行各種保密通信和合法交易,可能會造成一定的損失。

為解決CRL滯後的缺陷,避免給高實時性或高風險交易造成重大損失,PKI引入了OCSP，對用戶给予實時的證書狀態查詢服務。

OCSP為在線證書狀態協議,是Online Certificate Status Protocol的縮寫,當用戶需要實時查詢對方證書是否有效時,可顺利获得OCSP協議實時訪問CA中心取得對方證書的當前狀態。

4.其他PK標準

除與CA直接相關的上述標準外,PKI還包括其他很多標準,如密碼相關標準、證書應用標準、證書存儲標準、證書訪問標準、CA運營標準等。

密碼相關標準包括ASN、DHER、HMAC、DES、AES、RSA、ECC等。。

證書應用標準包括SSU/TLS、SET、WAP、IPSec、TsP、PM11等

證書存儲標準包括PKCS系列標準、ISO7816系列標準等。

證書訪問標準包括PKCS11、CryptoAPI、JCE、PCSC等。

CA運營標準包括CP、CPS等。