PKI 就是 Public Key Infrastructure 的縮寫，翻譯過來就是公開密鑰基礎(chǔ)設(shè)施。它是利用公開密鑰技術(shù)所構(gòu)建的，解決網(wǎng)絡(luò)安全問題的，普遍適用的一種基礎(chǔ)設(shè)施。美國政府的一個(gè)報(bào)告中把 PKI 定義為全面解決安全問題的基礎(chǔ)結(jié)構(gòu)，從而大大擴(kuò)展了 PKI 的概念。而我們認(rèn)為，采用了公開密鑰技術(shù)的基礎(chǔ)設(shè)施就可以稱為 PKI 。公開密鑰技術(shù)也就是利用非對(duì)稱算法的技術(shù)。說 PKI 是基礎(chǔ)設(shè)施，就意味著它對(duì)信息網(wǎng)絡(luò)的重要。將 PKI 在網(wǎng)絡(luò)信息空間的地位與電力基礎(chǔ)設(shè)施在工業(yè)生活中的地位進(jìn)行類比非常確切。電力系統(tǒng)，通過伸到用戶的標(biāo)準(zhǔn)插座為用戶提供能源。 PKI 通過延伸到用戶本地的接口，為各種應(yīng)用提供安全的服務(wù)，如認(rèn)證、身份識(shí)別、數(shù)字簽名、加密等。從概念上講，如果離開使用 PKI 的應(yīng)用系統(tǒng)， PKI 本身沒有任何實(shí)際的用處，正如電力系統(tǒng)離開電器設(shè)備也沒有用一樣。有了 PKI ，安全應(yīng)用程序的開發(fā)者不用再關(guān)心那些復(fù)雜的數(shù)學(xué)運(yùn)算和模型，而直接按照標(biāo)準(zhǔn)使用一種插座（接口）。用戶也不用關(guān)心如何進(jìn)行對(duì)方的身份鑒別而可以直接使用標(biāo)準(zhǔn)的插座，正如在電力基礎(chǔ)設(shè)施上使用電吹風(fēng)一樣。

PKI 中最基本的元素就是數(shù)字證書。所有安全的操作主要通過證書來實(shí)現(xiàn)。 PKI 的硬設(shè)備還包括簽置這些證書的證書機(jī)構(gòu) (CA) ，登記和批準(zhǔn)證書簽置的登記機(jī)構(gòu) (RA) ，以及存儲(chǔ)和發(fā)布這些證書的電子目錄。 PKI 中還包括證書策略，證書路徑以及證書的使用者。所有這些都是 PKI 的基本元素。許多這樣的基本元素有機(jī)地結(jié)合在一起就構(gòu)成了 PKI 。

PKI 到底是什么，通過類比可以讓我們有更好的理解。

首先看看產(chǎn)出。電力基礎(chǔ)設(shè)施提供能源， PKI 提供網(wǎng)絡(luò)安全服務(wù)。能源可以用于許多需要能源的設(shè)備，而安全服務(wù)可以為其他需要安全的應(yīng)用提供保障。 PKI 可以提供的安全服務(wù)包括保密、完整、真實(shí)和不可否認(rèn)。服務(wù)原理也是一個(gè)基礎(chǔ)設(shè)施的重要特征，電力系統(tǒng)通過輸送電子（電壓）提供電能， PKI 通過傳播數(shù)字證書保證安全。數(shù)字證書是一段數(shù)字，該數(shù)字說明了一個(gè)身份，是由 CA 通過數(shù)字簽名獲得的。任何人無法修改它，因?yàn)槿魏稳硕疾荒芗倜?CA 但卻可以驗(yàn)證數(shù)字證書是否正確。數(shù)字證書是可以公開的。數(shù)字證書在分發(fā)過程中沒有被篡改的問題。這一點(diǎn)，在討論 PKI 的安全時(shí)必須清楚。正是由于數(shù)字證書的不可修改，才使得 PKI 的管理和維護(hù)變得簡單可行。

通過其組成我們從另一個(gè)側(cè)面理解 PKI 。電力系統(tǒng)包括各種發(fā)電廠，連接電纜，并網(wǎng)控制設(shè)備，變電站，用電接口（如插座）等， PKI 包括 CA （證書機(jī)構(gòu)）， RA （登記機(jī)構(gòu)），資料庫，客戶接口等。 CA 是簽發(fā)證書的場(chǎng)所， RA 是登記的場(chǎng)所，資料庫是管理證書的地方，客戶接口是提供服務(wù)的標(biāo)準(zhǔn)接口。

系統(tǒng)結(jié)構(gòu)也能表達(dá)一個(gè)基礎(chǔ)設(shè)施的特征。一個(gè)發(fā)電機(jī)加兩根電線可能不是電力基礎(chǔ)結(jié)構(gòu)，甚至連電力基礎(chǔ)結(jié)構(gòu)中的部件都不是。同樣，一個(gè) CA 和幾個(gè)用戶也不能算是 PKI 。一個(gè)不滿足一定規(guī)范的 CA 可能都不能稱為 PKI 的部件。 PKI 的部件的重要特點(diǎn)就是能夠互操作。而互操作規(guī)范就是一種評(píng)判一個(gè)設(shè)備是否為 PKI 部件的一個(gè)標(biāo)準(zhǔn)。 PKI 應(yīng)該是由多個(gè)可以互操作的 CA 、 RA 、資料庫和眾多接口組成的大的系統(tǒng)。

PKI 是目前唯一的能夠基本全面解決安全問題的可能的方案。 PKI 通過電子證書以及管理這些電子證書的一整套設(shè)施，維持網(wǎng)絡(luò)世界的秩序；通過提供一系列的安全服務(wù)，為網(wǎng)絡(luò)電子商務(wù)、電子政務(wù)提供有力的安全保障。各國政府和許多民間機(jī)構(gòu)都在紛紛研究和開發(fā) PKI 產(chǎn)品，以望走在信息安全的前列。 PKI 同時(shí)是一個(gè)安全產(chǎn)品，可以成為對(duì)網(wǎng)絡(luò)社會(huì)進(jìn)行管理和維護(hù)的重要手段。誰擁有這項(xiàng)技術(shù)，誰就可能擁有對(duì)整個(gè)網(wǎng)絡(luò)的控制權(quán)。 PKI 中最重要的設(shè)備就是 CA 。 CA 不僅是發(fā)放證書的機(jī)構(gòu)，同時(shí)它也可以擁有密鑰恢復(fù)能力。

控制 CA 和 CA 技術(shù)就非常關(guān)鍵。從國家安全的角度來說，“統(tǒng)一領(lǐng)導(dǎo)、集中管理、定點(diǎn)研制、專控經(jīng)營、滿足使用”就非常有意義。我們必須擁有自己的 CA 極其外圍軟件的自主的知識(shí)產(chǎn)權(quán)，擁有自己的，別人無法替代的位置。

為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不僅需要對(duì)用戶的身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個(gè)具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個(gè)主體頒發(fā)并管理符合國內(nèi)、國際安全電子交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全證書 , CA 體系應(yīng)醞而生。

CA 機(jī)構(gòu)，又稱為證書授證 (Certificate Authority) 中心，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu) , 它作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。 CA 中心為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書，以實(shí)現(xiàn)公鑰的分發(fā)并證明其合法性。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件 , 作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。 CA 機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。在 SET 交易中， CA 不僅對(duì)持卡人、商戶發(fā)放證書，還要對(duì)獲款的銀行、網(wǎng)關(guān)發(fā)放證書。它負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個(gè)體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。

電子商務(wù) CA 體系包括兩大部分，即符合 SET 標(biāo)準(zhǔn)的 SET CA 認(rèn)證體系和其他基于 X.509 的 CA 認(rèn)證體系。

對(duì)于一個(gè)大型的應(yīng)用環(huán)境，認(rèn)證中心往往采用一種多層次的分級(jí)結(jié)構(gòu)，各級(jí)的認(rèn)證中心類似于各級(jí)行政機(jī)關(guān)，上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書，最下一級(jí)的認(rèn)證中心直接面向最終用戶。

認(rèn)證中心主要有以下五種功能：

•  證書的頒發(fā)

中心接收、驗(yàn)證用戶 ( 包括下級(jí)認(rèn)證中心和最終用戶 ) 的數(shù)字證書的申請(qǐng)，將申請(qǐng)的內(nèi)容進(jìn)行備案，并根據(jù)申請(qǐng)的內(nèi)容確定是否受理該數(shù)字證書申請(qǐng)。如果中心接受該數(shù)字證書申請(qǐng)，則進(jìn)一步確定給用戶頒發(fā)何種類型的證書。新證書用認(rèn)證中心的私鑰簽名以后，發(fā)送到目錄服務(wù)器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應(yīng)答信息都要使用認(rèn)證中心的簽名。

•  證書的更新

認(rèn)證中心可以定期更新所有用戶的證書，或者根據(jù)用戶的請(qǐng)求來更新用戶的證書。

•  證書的查詢

證書的查詢可以分為兩類，其一是證書申請(qǐng)的查詢，認(rèn)證中心根據(jù)用戶的查詢請(qǐng)求返回當(dāng)前用戶證書申請(qǐng)的處理過程；其二是用戶證書的查詢，這類查詢由目錄服務(wù)器來完成，目錄服務(wù)器根據(jù)用戶的請(qǐng)求返回適當(dāng)?shù)淖C書。
(4) 證書的作廢

當(dāng)用戶的私鑰由于泄密等原因造成用戶證書需要申請(qǐng)作廢時(shí)，用戶需要向認(rèn)證中心提出證書作廢的請(qǐng)求，認(rèn)證中心根據(jù)用戶的請(qǐng)求確定是否將該證書作廢。另外一種證書作廢的情況是證書已經(jīng)過了有效期，認(rèn)證中心自動(dòng)將該證書作廢。認(rèn)證中心通過維護(hù)證書作廢列表 (Certificate Revocation List,CRL) 來完成上述功能。

•  證書的歸檔

證書具有一定的有效期，證書過了有效期之后就將作廢，但是我們不能將作廢的證書簡單地丟棄，因?yàn)橛袝r(shí)我們可能需要驗(yàn)證以前的某個(gè)交易過程中產(chǎn)生的數(shù)字簽名，這時(shí)我們就需要查詢作廢的證書。基于此類考慮，認(rèn)證中心還應(yīng)當(dāng)具備管理作廢證書和作廢私鑰的功能。總的說來，基于認(rèn)證中心的安全方案應(yīng)該很好地解決網(wǎng)上用戶身份認(rèn)證和信息安全傳輸問題。