PKI 就是 Public Key Infrastructure 的縮寫，翻譯過來就是公開密鑰基礎設施。它是利用公開密鑰技術(shù)所構(gòu)建的，解決網(wǎng)絡安全問題的，普遍適用的一種基礎設施。美國政府的一個報告中把 PKI 定義為全面解決安全問題的基礎結(jié)構(gòu)，從而大大擴展了 PKI 的概念。而我們認為，采用了公開密鑰技術(shù)的基礎設施就可以稱為 PKI 。公開密鑰技術(shù)也就是利用非對稱算法的技術(shù)。說 PKI 是基礎設施，就意味著它對信息網(wǎng)絡的重要。將 PKI 在網(wǎng)絡信息空間的地位與電力基礎設施在工業(yè)生活中的地位進行類比非常確切。電力系統(tǒng)，通過伸到用戶的標準插座為用戶提供能源。 PKI 通過延伸到用戶本地的接口，為各種應用提供安全的服務，如認證、身份識別、數(shù)字簽名、加密等。從概念上講，如果離開使用 PKI 的應用系統(tǒng)， PKI 本身沒有任何實際的用處，正如電力系統(tǒng)離開電器設備也沒有用一樣。有了 PKI ，安全應用程序的開發(fā)者不用再關(guān)心那些復雜的數(shù)學運算和模型，而直接按照標準使用一種插座（接口）。用戶也不用關(guān)心如何進行對方的身份鑒別而可以直接使用標準的插座，正如在電力基礎設施上使用電吹風一樣。

PKI 中最基本的元素就是數(shù)字證書。所有安全的操作主要通過證書來實現(xiàn)。 PKI 的硬設備還包括簽置這些證書的證書機構(gòu) (CA) ，登記和批準證書簽置的登記機構(gòu) (RA) ，以及存儲和發(fā)布這些證書的電子目錄。 PKI 中還包括證書策略，證書路徑以及證書的使用者。所有這些都是 PKI 的基本元素。許多這樣的基本元素有機地結(jié)合在一起就構(gòu)成了 PKI 。

PKI 到底是什么，通過類比可以讓我們有更好的理解。

首先看看產(chǎn)出。電力基礎設施提供能源， PKI 提供網(wǎng)絡安全服務。能源可以用于許多需要能源的設備，而安全服務可以為其他需要安全的應用提供保障。 PKI 可以提供的安全服務包括保密、完整、真實和不可否認。服務原理也是一個基礎設施的重要特征，電力系統(tǒng)通過輸送電子（電壓）提供電能， PKI 通過傳播數(shù)字證書保證安全。數(shù)字證書是一段數(shù)字，該數(shù)字說明了一個身份，是由 CA 通過數(shù)字簽名獲得的。任何人無法修改它，因為任何人都不能假冒 CA 但卻可以驗證數(shù)字證書是否正確。數(shù)字證書是可以公開的。數(shù)字證書在分發(fā)過程中沒有被篡改的問題。這一點，在討論 PKI 的安全時必須清楚。正是由于數(shù)字證書的不可修改，才使得 PKI 的管理和維護變得簡單可行。

通過其組成我們從另一個側(cè)面理解 PKI 。電力系統(tǒng)包括各種發(fā)電廠，連接電纜，并網(wǎng)控制設備，變電站，用電接口（如插座）等， PKI 包括 CA （證書機構(gòu)）， RA （登記機構(gòu)），資料庫，客戶接口等。 CA 是簽發(fā)證書的場所， RA 是登記的場所，資料庫是管理證書的地方，客戶接口是提供服務的標準接口。

系統(tǒng)結(jié)構(gòu)也能表達一個基礎設施的特征。一個發(fā)電機加兩根電線可能不是電力基礎結(jié)構(gòu)，甚至連電力基礎結(jié)構(gòu)中的部件都不是。同樣，一個 CA 和幾個用戶也不能算是 PKI 。一個不滿足一定規(guī)范的 CA 可能都不能稱為 PKI 的部件。 PKI 的部件的重要特點就是能夠互操作。而互操作規(guī)范就是一種評判一個設備是否為 PKI 部件的一個標準。 PKI 應該是由多個可以互操作的 CA 、 RA 、資料庫和眾多接口組成的大的系統(tǒng)。

PKI 是目前唯一的能夠基本全面解決安全問題的可能的方案。 PKI 通過電子證書以及管理這些電子證書的一整套設施，維持網(wǎng)絡世界的秩序；通過提供一系列的安全服務，為網(wǎng)絡電子商務、電子政務提供有力的安全保障。各國政府和許多民間機構(gòu)都在紛紛研究和開發(fā) PKI 產(chǎn)品，以望走在信息安全的前列。 PKI 同時是一個安全產(chǎn)品，可以成為對網(wǎng)絡社會進行管理和維護的重要手段。誰擁有這項技術(shù)，誰就可能擁有對整個網(wǎng)絡的控制權(quán)。 PKI 中最重要的設備就是 CA 。 CA 不僅是發(fā)放證書的機構(gòu)，同時它也可以擁有密鑰恢復能力。

控制 CA 和 CA 技術(shù)就非常關(guān)鍵。從國家安全的角度來說，“統(tǒng)一領導、集中管理、定點研制、專控經(jīng)營、滿足使用”就非常有意義。我們必須擁有自己的 CA 極其外圍軟件的自主的知識產(chǎn)權(quán)，擁有自己的，別人無法替代的位置。

為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權(quán)威性、公正性、唯一性的機構(gòu)，負責向電子商務的各個主體頒發(fā)并管理符合國內(nèi)、國際安全電子交易協(xié)議標準的電子商務安全證書 , CA 體系應醞而生。

CA 機構(gòu)，又稱為證書授證 (Certificate Authority) 中心，是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu) , 它作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。 CA 中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，以實現(xiàn)公鑰的分發(fā)并證明其合法性。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件 , 作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。 CA 機構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。在 SET 交易中， CA 不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網(wǎng)關(guān)發(fā)放證書。它負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。

電子商務 CA 體系包括兩大部分，即符合 SET 標準的 SET CA 認證體系和其他基于 X.509 的 CA 認證體系。

對于一個大型的應用環(huán)境，認證中心往往采用一種多層次的分級結(jié)構(gòu)，各級的認證中心類似于各級行政機關(guān)，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。

認證中心主要有以下五種功能：

•  證書的頒發(fā)

中心接收、驗證用戶 ( 包括下級認證中心和最終用戶 ) 的數(shù)字證書的申請，將申請的內(nèi)容進行備案，并根據(jù)申請的內(nèi)容確定是否受理該數(shù)字證書申請。如果中心接受該數(shù)字證書申請，則進一步確定給用戶頒發(fā)何種類型的證書。新證書用認證中心的私鑰簽名以后，發(fā)送到目錄服務器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應答信息都要使用認證中心的簽名。

•  證書的更新

認證中心可以定期更新所有用戶的證書，或者根據(jù)用戶的請求來更新用戶的證書。

•  證書的查詢

證書的查詢可以分為兩類，其一是證書申請的查詢，認證中心根據(jù)用戶的查詢請求返回當前用戶證書申請的處理過程；其二是用戶證書的查詢，這類查詢由目錄服務器來完成，目錄服務器根據(jù)用戶的請求返回適當?shù)淖C書。
(4) 證書的作廢

當用戶的私鑰由于泄密等原因造成用戶證書需要申請作廢時，用戶需要向認證中心提出證書作廢的請求，認證中心根據(jù)用戶的請求確定是否將該證書作廢。另外一種證書作廢的情況是證書已經(jīng)過了有效期，認證中心自動將該證書作廢。認證中心通過維護證書作廢列表 (Certificate Revocation List,CRL) 來完成上述功能。

•  證書的歸檔

證書具有一定的有效期，證書過了有效期之后就將作廢，但是我們不能將作廢的證書簡單地丟棄，因為有時我們可能需要驗證以前的某個交易過程中產(chǎn)生的數(shù)字簽名，這時我們就需要查詢作廢的證書。基于此類考慮，認證中心還應當具備管理作廢證書和作廢私鑰的功能。總的說來，基于認證中心的安全方案應該很好地解決網(wǎng)上用戶身份認證和信息安全傳輸問題。