了解

什么是 PKI？其工作原理是什么？

Q: 能否举例说明 PKI？

我们举一个网上银行的例子来说明 PKI 的常见实际应用。 当您通过浏览器登录自己的账户时，PKI 会加密连接并验证银行网站是否合法。 在后台，数字证书确认银行的身份，加密技术可确保您的登录详细信息和交易数据保持私密。 PKI 还可保护日常活动，例如收发电子邮件、使用 SSL/TLS 安全地浏览网页、在文档上进行数字签名以及对物联网 (IoT) 设备进行身份验证。

Q: PKI 对未来会产生哪些影响？

随着组织转向云优先战略、采用零信任安全模型以及通过物联网连接数十亿台设备，PKI 始终是数字信任的基石。 随着量子计算的兴起，PKI 也将不断演变以支持后量子密码学，从而能够在未来通过抗量子安全技术来保护当今的数据。

Q: 哪个更安全： PSK 还是 PKI？

公钥基础结构 (PKI) 比预共享密钥 (PSK) 更安全、更具可扩展性。 它支持强大的身份验证功能，更易于在大型网络中管理，并且符合零信任原则。

Q: 什么是 PKI 证书？

PKI 证书是由证书颁发机构 (CA) 签发的数字凭证，用于对用户、设备或应用程序进行身份验证。 它支持安全通信并且能够进行线上身份验证。

Q: 如何获得 PKI 证书？

组织向可信的证书颁发机构 (CA) 申请证书。 验证通过后，CA 会颁发证书，随后，该证书将被安装在用户的设备或服务器上。

Q: 什么是 PKI 身份验证？

PKI 身份验证使用证书和加密密钥来验证身份。 它通常用于安全登录、加密电子邮件以及设备之间的可信连接。

Q: 如何安装 PKI 证书？

安装取决于平台。 通常，证书文件会被导入浏览器、设备或服务器，然后链接到相应的服务或应用程序。

公钥基础设施 (PKI) 是一个安全框架，通过加密密钥对和数字证书实现身份验证、数据加密和数字通信保护。它是安全电子邮件、网上银行、云平台以及几乎所有可信数字互动的基石。

PKI 是数据安全的重要组成部分，构建了作为关键业务系统、设备和数据安全交互基础的信任层。

在本指南中，我们将探讨 PKI 如何在网络风险不断升级的背景下，为数字运营奠定安全基础，全面保护数据、身份和交易安全。

关键要点

公钥基础设施是数字信任的基础，它通过支持加密、身份验证和数字签名来确保数据、设备和身份安全。
PKI 系统包括证书、密钥、证书颁发机构、注册机构、HSM 和支持管理软件，所有这些组件协同工作来验证身份并保护系统中的敏感信息。
PKI 支持众多关键用例，例如 SSL/TLS 加密、安全电子邮件、文档签名、用户身份验证、物联网安全和机器身份管理。
PKI 的优势包括安全通信、访问控制、身份验证以及通过代码签名验证软件完整性。
处理金融、政府和医疗保健等敏感数据的行业使用 PKI 系统以遵守严格的隐私要求。

PKI 如何支持网络安全

公钥基础设施包括创建、管理、分发、使用、存储和吊销数字证书所需的策略、角色、硬件、软件和程序。这些证书的功能类似于电子护照或驾照，能够在用户、设备及服务进行连接或数据共享之前对其身份进行验证。

PKI 允许用户和系统在双向验证身份的前提下安全地交换数据。它可以为网上银行、电子商务及加密电子邮件等敏感活动提供防护。在当今 IT 环境中，此类系统对于保障网络安全、确保数据保护法律及法规的合规性而言至关重要。

例如，当居家办公的员工登录公司内部门户时，PKI 会加密连接并验证服务器身份。它还会对数据交换进行数字签名，以确保它们传输过程中的完整性。这种做法可以让员工和系统放心共享敏感信息，因为员工和系统知道自己在与合法授权实体进行通信。

随着威胁态势的演变以及量子计算的发展，PKI 能够支持加密敏捷性。这意味着组织可以在保证运营不受影响的前提下转向更强的加密标准，包括能够抵抗量子攻击的标准。

公钥基础设施的组成部分

PKI 并非单一工具，而是一套互联运作的系统。系统内部共同管理加密、保护数据以及确保用户、设备和服务之间的通信安全。

公钥基础设施的组成部分包括：

PKI 密钥：用于加密的密钥对。此举可以保护数据，确保除预期收件人以外的任何人都无法读取数据。在密码学中，每个公钥都与一个私钥配对。公钥是自由公开分发的，而私钥对所有者是保密的。
数字证书：将证书持有人的身份链接到可用于加密和签署信息的密钥对的电子凭证。
证书颁发机构 (CA)：验证身份并签发数字证书的实体。
注册机构 (RA)：负责接受证书申请并对背后的个人或组织进行身份验证。
证书存储库：保存数字证书以用于查询和验证的安全存储系统。
集中式管理软件：允许组织统一管理密钥和数字证书的软件。
硬件安全模块 (HSM)：执行加密操作并安全存储私钥的物理设备。

PKI 通过整合这些组成部分，在用户、设备和系统上实施信任策略。通过身份验证、加密和证书管理，其构建出一个可扩展的框架，仅允许可信实体交换信息。

PKI 的工作原理是什么？

PKI 通过加密技术进行运作，加密技术是密码学的子集，运用数学算法将可读数据转换为不可读的格式。

加密算法主要分为两类。对称加密使用相同的密钥进行数据加密和解密。如果密钥被泄露，数据将不再安全。

相比之下，非对称加密使用相互关联的两个密钥。一个是公开共享的公钥，另一个是保密的私钥。 PKI 加密正是利用这种方法实现数据编码、用户身份验证和交易保护。

分步流程说明了 PKI 在实践中的运作原理：

每个用户、设备或系统生成一个保密私钥和一个公开共享的公钥。
证书颁发机构 (CA) 验证实体身份并签发数字证书，将公钥与身份进行绑定。身份与密钥对的关联能够支持 PKI 身份验证，确保仅可信用户、设备和系统才能访问敏感资源。
传输加密数据时，发件人使用收件人的公钥。只有匹配的私钥才能对其进行解密。
发件人也可以使用自己的私钥实施数字签名。
收件人系统向 CA 验证证书。其通过证书吊销列表 (CRL) 或在线状态协议 (OCSP) 来确保证书未被吊销，从而确认密钥是否可信。此举能够证明数据来源，确保数据完整性并确认数据未遭更改。
如果密钥或证书遭到泄露，PKI 系统可以立即吊销，从而维护整个网络的安全。

通过身份验证和数据保护，PKI 能够促进所有用户之间的信任。它还可以防止中间人 (MITM) 攻击、冒充和欺骗行为。例如，即使攻击者拦截了消息，在缺少私钥的情况下也无法解密。

组织可以通过 PKI 即服务 (PKIaaS) 管理 PKI，无需投入大量内部技术基础设施或专业知识。这种基于云的解决方案提供可扩展的证书管理、自动化密钥轮换及监控功能，可帮助各种规模的组织保障通信和交易安全。

数字证书

数字证书，有时称为“公钥证书”，是一种用于识别公钥所有者的电子文档。此证书使收件人能够确认密钥来自合法来源，从而降低了 MITM 攻击的风险。

PKI 证书通常包括：

可识别信息，例如证书持有者的姓名、证书的序列号及其到期日期
公钥副本，可供他人使用，用于加密数据和验证数字签名，同时为保密和身份验证提供支持
签发 CA 的数字签名，用于确认真实性

完善的证书生命周期管理对于维持安全数据交换以及确保加密和身份验证正常运行而言至关重要。 PKI 证书应从签发到失效全程进行跟踪和监控，并根据需要进行续订。如果证书遭到泄露或已过时，则可能会被撤销。

证书颁发机构

证书颁发机构是创建和颁发数字证书的可信第三方组织。它们负责身份验证，为构建安全数字通信信任链提供助力。

所有 CA 均维护证书吊销列表 (CRL)，该列表记录了在预定到期日期之前吊销的证书。它可以帮助组织识别失效或不再安全的证书。

从广义上讲，CA 有两种类型：

根 CA： PKI 系统中最值得信赖的实体。根 CA 使用自签名证书，通过向从属 CA 或直接向终端用户签发证书，从而创建信任基础。
从属 CA：它们由根 CA 或更高层的从属 CA 认证。这些机构会继承信任并向用户、设备或系统签发证书。

链中的每个证书都负责认证下一个证书的真实性，从而从上到下创建持续可靠的信任路径。CA 之间的任何环节发生泄露都可能打破信任链，从而对 PKI 安全性造成潜在威胁。

CA 遵循特定步骤以创建证书：

密钥生成：用户或系统创建公钥和私钥对。
证书请求：证书签名请求 (CSR) 发送至 CA，包括其公钥和识别信息。
验证：CA 通常在 RA 的帮助下验证用户的身份。
证书颁发：一旦验证，CA 就会颁发包含用户公钥和其他身份详细信息的数字证书。该证书还由 CA 的私钥签名，从而创建数字签名。

要达成这些步骤的规模化管理必须实现自动化、策略执行和可见性。证书服务能帮助组织在降低风险并满足合规期望的同时避免增加复杂性。

证书管理系统

证书管理系统是可促进证书生命周期的各个方面的软件解决方案，涵盖从证书签发和配置，再到验证、吊销和续订。这些工具能够降低风险、提高可见性，并确保以一致的方法处理加密资产。

例如，一些解决方案会保留所有相关活动的详细日志，以帮助遵守监管要求和内部审计。通过单一事实来源进行集中管理，组织可以降低证书过期或被滥用的风险并加强数据保护。

自动化系统有助于防止“证书蔓延”，即在缺乏集中控制的复杂环境中部署数千张证书的情况。这些系统能够监控过期日期、管理续订并在必要时吊销证书，以确保系统安全。

自动化还能帮助企业大规模执行 PKI 策略，从而更有效地分配 IT 资源，确保组织上下的一致性。总体而言，自动化证书管理可防止因错误、停机和漏洞导致的运营中断，避免为犯罪分子提供可乘之机。

通用硬件安全模块

HSM 在 PKI 的安全架构中发挥着关键作用。 HSM 是物理设备，通过在强化的防篡改环境中生成、存储和处理密钥来保护加密过程。

例如，HSM 可以使用高质量的随机数生成器创建密钥对，这对于强加密而言至关重要。由于密钥永远不会以明文形式离开设备，因此它们面临威胁的风险最低。

另一个重要功能是私钥存储。将密钥保存在安全硬件中可以保护它们免受未经授权的实体提取或入侵。此举不仅可以保护密钥，更能使企业在硬件层面执行严格的安全策略。因此，对于所处行业需要高度安全保证（金融或政府等）的企业而言，HSM 是在 PKI 系统中保护数据和支持信任的重要因素。

公钥基础设施的优势

了解 PKI 的应用场景方能彰显其价值。以下是组织充分利用 PKI 的一些最重要的方式。

安全通信

PKI 是保护各种形式数字通信（包括电子邮件、消息服务等）的基石。它不仅能保护这些通信渠道，而且还让所有相关各方（包括消费者、合作伙伴、员工、公民、监管机构等）更加信赖这些渠道。

身份验证和访问控制

PKI 为用户访问系统、网络或在线服务提供了强大的身份验证机制。证书可以用作安全的数字身份形式，确保仅向经过验证的用户授予访问权限。

这些功能使得 PKI 成为零信任安全模型的关键部分。零信任基于“无验证不信任”的原则，这需要持续的身份验证来确认访问资源的每个用户和设备（无论位于何处）。通过将 PKI 集成至零信任策略中，组织可以增强安全性、简化合规流程以及大规模降低网络威胁风险。

文档签名和时间戳

由 PKI 支持的数字签名可验证电子文档的真实性和完整性。这对于法律文书、合同和其他需要原创证明、保密性和同意的记录至关重要。

文档签名证书有三个关键用途：

真实性：证书可确认文档已由持有证书中公钥相应私钥的个人或实体签署。
完整性：签名后对文档进行的任何修改都会使数字签名失效。这样可以确保收到的文档与签名者打算发送的文档完全一致，无需进行任何修改。
不可否认性：签名者不能否认他们在文档中签名的真实性，因为数字签名和相关证书为签名者的身份及其在签署时对文件内容的同意提供了有力的证据。

此外，数字签名将便捷性与强大的安全保障相结合，可显著提升效率并加速创收：采用数字签名的协议中有高达 80% 在不到一天的时间内完成签署，更有 44% 在 15 分钟内即可完成。

代码签名

软件开发人员使用代码签名证书对其脚本进行身份验证。这样，最终用户可以验证他们下载的软件是否未被修改。这有助于防范恶意软件、保持软件完整性并帮助消费者建立信心。

软件完整性

PKI 应用于代码签名，用以验证软件的来源和完整性。它能够确保应用程序、驱动程序和更新包在分发过程中不会被篡改。

物联网 (IoT)

收集、存储数据和向其他计算机传输数据的“智能”设备可能容易受到网络威胁。随着联网设备和工作负载数量的持续增长，尤其是在云环境和物联网环境中，确保安全、可扩展的身份验证机制已日渐成为一项重大挑战。

通过为每台设备提供唯一的数字证书，PKI 可以构建可扩展信任基础，从而验证通信的设备确实合法。即便在大型分布式网络中，该机制也可以防止未经授权的访问、欺骗和数据篡改行为。

除身份验证外，公钥基础设施还支持对传输中的数据进行端到端加密，从而确保设备、应用程序和云工作负载之间的通信始终安全且具备防篡改性能。

公钥基础设施用例

PKI 在面临特殊威胁的行业中至关重要，这些行业的数据泄露会带来严重的法律、财务和监管后果。

金融行业依赖 PKI 实现安全的网上银行服务、交易身份验证，并遵守严格的 KYC（了解您的客户）和 AML（反洗钱）合规要求。强大的数字证书安全性有助于在传输过程中保护客户数据，在大型交易中验证身份，并防止欺诈和未经授权的访问。
政府机构依赖 PKI 保护机密信息的通信安全、进行官方文件的数字签名以及验证公民身份。它还支持安全的在线业务办理，例如税务申报、社保登记及福利申领等。通过确保数据真实性和完整性，PKI 能够助力维护数字政府系统的公信力。
医疗保健组织利用 PKI 保护电子健康档案 (EHR)，确保患者数据的处理遵守《健康保险携带和责任法案》，并对网络中的医疗设备进行身份验证。它还可以确保远程医疗预约及患者门户网站的机密性，让医疗保健系统能够为更广泛的患者群体提供在线和远程服务。
员工分散的大型企业可以实施全方位 PKI 应用，从电子邮件加密，再到 VPN 访问和 IoT 设备身份验证。随着组织面临的攻击日益复杂，PKI 有助于确保只有通过验证的用户和设备才能访问资源。

PKI 最佳实践

这些最佳实践有助于加强 PKI 实施以及支持安全的证书管理。

随时更新策略和程序：证书策略 (CP) 和认证实践声明 (CPS) 对 PKI 至关重要。CP 是一份全面的文档，概述了证书颁发机构颁发的不同类别的证书及其适用策略。CPS 详细说明了 CA 如何以技术身份实施这些策略。使这些文档保持最新状态对于保持安全性、信任和法律合规性至关重要。应定期对其进行审查和修订，以适应网络安全、技术和监管变化的动态格局。
私钥保护： HSM 等强大机制能够提供物理和逻辑保护以防止篡改和未经授权访问。
定期进行密钥轮换和续订：密钥和证书不应无限期使用。建立定期密钥和证书轮换的例程，以降低与密钥泄露相关的风险并避免意外过期。这种加密敏捷性对于应对后量子威胁越来越重要，因为恶意行为者正在伺机窃取数据，等待具备破解当前算法能力的量子计算机问世之时再对数据进行解密。
实施强大的身份验证方案：要求多重身份验证 (MFA) 以增强安全性，用于访问 PKI 系统和执行敏感操作（例如证书颁发或吊销）。
集中管理证书和密钥：实施提供更高可见性和控制力的工具和流程，管理证书的整个生命周期（从颁发到吊销）。此举还通过实现透明度和可追溯性以支持审计和合规流程。
设置密钥备份和恢复策略：建立并定期测试备份和恢复程序，以确认关键的 PKI 组件在中断或灾难发生后可以快速安全地恢复。

托管 PKI 服务对于需要 PKI 但缺乏专业知识的组织而言非常实用。在此类场景中，托管 PKI 供应商通过管理策略、硬件及软件，确保 PKI 的运营符合最佳实践要求。

云 PKI 和混合部署模型

Cloud PKI 是一种基于服务的部署模型，其证书颁发机构 (CA)、密钥管理和生命周期工具均由提供商进行托管。组织无需投入或维护其物理基础设施，即可部署和管理数字证书。与提供完全控制权但需要高昂成本与 IT 资源的本地 PKI 相比，云 PKI 可以实现更快捷的部署、更轻松的扩展和更简洁的管理。

Cloud PKI 非常适合拥有大规模或分布式 IT 环境的企业。它可以加快证书签发速度，支持自动化生命周期管理，并增强合规可见性。

此外还有混合部署模型。混合 PKI 部署将基于云的服务与本地基础设施相结合。这种模型为组织提供更高的灵活性，使其在保持敏感组件控制权的同时享有云技术的可扩展性。

组织应选择符合自身资源、优先事项和目标的模型，以帮助组织持续满足监管要求，并灵活适应不断变化的工作负载。

PKI 与加密的未来

随着加密方法的不断演进，公钥基础设施仍将是数字信任的基础。但它也需要及时适应技术和业务的进步与变革。

随着量子计算的快速发展，当今的公钥算法将不再安全，这会对数字通信的机密性和完整性造成威胁。为做好应对，企业现在需要加强对加密敏捷性的关注，以确保有能力紧跟技术发展脚步，同时不对运营造成影响。

NIST 于 2024 年发布首个后量子加密标准，旨在统一抵御量子攻击的算法设计标准。这些新标准将重塑组织保护身份、数据和交易的方式。过渡到后量子密码学需要周密规划、全面了解证书系统，以及可扩展的生命周期管理工具。

为保持领先地位，组织需要支持自动化的 PKI 系统，用以无缝集成新算法。敏捷性、可见性和标准就绪能力将成为应对不断变化的法规与未来加密威胁的关键。

使用 Entrust PKI 完美平衡安全性和用户体验

Entrust 提供多种 PKI 软件解决方案，包括云原生 PKI 即服务 (PKIaaS)、托管 PKI 服务选项以及我们的本地 PKI 解决方案 Entrust Certificate Authority。这些解决方案可助力您的组织根据自身独特需求及数字生态系统，实现支持能力与安全性能之间的平衡。

针对寻求全面满足加密安全管理需求的综合解决方案的组织，Entrust 加密安全平台能够将公钥基础设施的所有关键组成部分与证书生命周期管理、密钥和机密管理以及 HSM 相整合，打造一个功能强大的集中管理界面。

立即查看我们的互动演示，亲自体验平台功能。

常见问题解答

能否举例说明 PKI？

我们举一个网上银行的例子来说明 PKI 的常见实际应用。当您通过浏览器登录自己的账户时，PKI 会加密连接并验证银行网站是否合法。在后台，数字证书确认银行的身份，加密技术可确保您的登录详细信息和交易数据保持私密。 PKI 还可保护日常活动，例如收发电子邮件、使用 SSL/TLS 安全地浏览网页、在文档上进行数字签名以及对物联网 (IoT) 设备进行身份验证。

PKI 对未来会产生哪些影响？

随着组织转向云优先战略、采用零信任安全模型以及通过物联网连接数十亿台设备，PKI 始终是数字信任的基石。随着量子计算的兴起，PKI 也将不断演变以支持后量子密码学，从而能够在未来通过抗量子安全技术来保护当今的数据。

哪个更安全？ PSK 还是 PKI？

公钥基础结构 (PKI) 比预共享密钥 (PSK) 更安全、更具可扩展性。它支持强大的身份验证功能，更易于在大型网络中管理，并且符合零信任原则。

什么是 PKI 证书？

PKI 证书是由证书颁发机构 (CA) 签发的数字凭证，用于对用户、设备或应用程序进行身份验证。它支持安全通信并且能够进行线上身份验证。

如何获得 PKI 证书？

组织向可信的证书颁发机构 (CA) 申请证书。验证通过后，CA 会颁发证书，随后，该证书将被安装在用户的设备或服务器上。

什么是 PKI 身份验证？

PKI 身份验证使用证书和加密密钥来验证身份。它通常用于安全登录、加密电子邮件以及设备之间的可信连接。

如何安装 PKI 证书？

安装取决于平台。通常，证书文件会被导入浏览器、设备或服务器，然后链接到相应的服务或应用程序。