PKI 就是 Public Key Infrastructure 的縮寫，翻譯過來就是公開密鑰基礎設施。它是利用公開密鑰技術所構建的，解決網絡安全問題的，普遍適用的一種基礎設施。美國政府的一個報告中把 PKI 定義為全面解決安全問題的基礎結構，從而大大擴展了 PKI 的概念。而我們認為，采用了公開密鑰技術的基礎設施就可以稱為 PKI 。公開密鑰技術也就是利用非對稱算法的技術。說 PKI 是基礎設施，就意味著它對信息網絡的重要。將 PKI 在網絡信息空間的地位與電力基礎設施在工業生活中的地位進行類比非常確切。電力系統，通過伸到用戶的標準插座為用戶提供能源。 PKI 通過延伸到用戶本地的接口，為各種應用提供安全的服務，如認證、身份識別、數字簽名、加密等。從概念上講，如果離開使用 PKI 的應用系統， PKI 本身沒有任何實際的用處，正如電力系統離開電器設備也沒有用一樣。有了 PKI ，安全應用程序的開發者不用再關心那些復雜的數學運算和模型，而直接按照標準使用一種插座（接口）。用戶也不用關心如何進行對方的身份鑒別而可以直接使用標準的插座，正如在電力基礎設施上使用電吹風一樣。

PKI 中最基本的元素就是數字證書。所有安全的操作主要通過證書來實現。 PKI 的硬設備還包括簽置這些證書的證書機構 (CA) ，登記和批準證書簽置的登記機構 (RA) ，以及存儲和發布這些證書的電子目錄。 PKI 中還包括證書策略，證書路徑以及證書的使用者。所有這些都是 PKI 的基本元素。許多這樣的基本元素有機地結合在一起就構成了 PKI 。

PKI 到底是什么，通過類比可以讓我們有更好的理解。

首先看看產出。電力基礎設施提供能源， PKI 提供網絡安全服務。能源可以用于許多需要能源的設備，而安全服務可以為其他需要安全的應用提供保障。 PKI 可以提供的安全服務包括保密、完整、真實和不可否認。服務原理也是一個基礎設施的重要特征，電力系統通過輸送電子（電壓）提供電能， PKI 通過傳播數字證書保證安全。數字證書是一段數字，該數字說明了一個身份，是由 CA 通過數字簽名獲得的。任何人無法修改它，因為任何人都不能假冒 CA 但卻可以驗證數字證書是否正確。數字證書是可以公開的。數字證書在分發過程中沒有被篡改的問題。這一點，在討論 PKI 的安全時必須清楚。正是由于數字證書的不可修改，才使得 PKI 的管理和維護變得簡單可行。

通過其組成我們從另一個側面理解 PKI 。電力系統包括各種發電廠，連接電纜，并網控制設備，變電站，用電接口（如插座）等， PKI 包括 CA （證書機構）， RA （登記機構），資料庫，客戶接口等。 CA 是簽發證書的場所， RA 是登記的場所，資料庫是管理證書的地方，客戶接口是提供服務的標準接口。

系統結構也能表達一個基礎設施的特征。一個發電機加兩根電線可能不是電力基礎結構，甚至連電力基礎結構中的部件都不是。同樣，一個 CA 和幾個用戶也不能算是 PKI 。一個不滿足一定規范的 CA 可能都不能稱為 PKI 的部件。 PKI 的部件的重要特點就是能夠互操作。而互操作規范就是一種評判一個設備是否為 PKI 部件的一個標準。 PKI 應該是由多個可以互操作的 CA 、 RA 、資料庫和眾多接口組成的大的系統。

PKI 是目前唯一的能夠基本全面解決安全問題的可能的方案。 PKI 通過電子證書以及管理這些電子證書的一整套設施，維持網絡世界的秩序；通過提供一系列的安全服務，為網絡電子商務、電子政務提供有力的安全保障。各國政府和許多民間機構都在紛紛研究和開發 PKI 產品，以望走在信息安全的前列。 PKI 同時是一個安全產品，可以成為對網絡社會進行管理和維護的重要手段。誰擁有這項技術，誰就可能擁有對整個網絡的控制權。 PKI 中最重要的設備就是 CA 。 CA 不僅是發放證書的機構，同時它也可以擁有密鑰恢復能力。

控制 CA 和 CA 技術就非常關鍵。從國家安全的角度來說，“統一領導、集中管理、定點研制、專控經營、滿足使用”就非常有意義。我們必須擁有自己的 CA 極其外圍軟件的自主的知識產權，擁有自己的，別人無法替代的位置。

為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發并管理符合國內、國際安全電子交易協議標準的電子商務安全證書 , CA 體系應醞而生。

CA 機構，又稱為證書授證 (Certificate Authority) 中心，是一個負責發放和管理數字證書的權威機構 , 它作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。 CA 中心為每個使用公開密鑰的用戶發放一個數字證書，以實現公鑰的分發并證明其合法性。數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件 , 作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。 CA 機構的數字簽名使得攻擊者不能偽造和篡改證書。在 SET 交易中， CA 不僅對持卡人、商戶發放證書，還要對獲款的銀行、網關發放證書。它負責產生、分配并管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環節。

電子商務 CA 體系包括兩大部分，即符合 SET 標準的 SET CA 認證體系和其他基于 X.509 的 CA 認證體系。

對于一個大型的應用環境，認證中心往往采用一種多層次的分級結構，各級的認證中心類似于各級行政機關，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。

認證中心主要有以下五種功能：

•  證書的頒發

中心接收、驗證用戶 ( 包括下級認證中心和最終用戶 ) 的數字證書的申請，將申請的內容進行備案，并根據申請的內容確定是否受理該數字證書申請。如果中心接受該數字證書申請，則進一步確定給用戶頒發何種類型的證書。新證書用認證中心的私鑰簽名以后，發送到目錄服務器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應答信息都要使用認證中心的簽名。

•  證書的更新

認證中心可以定期更新所有用戶的證書，或者根據用戶的請求來更新用戶的證書。

•  證書的查詢

證書的查詢可以分為兩類，其一是證書申請的查詢，認證中心根據用戶的查詢請求返回當前用戶證書申請的處理過程；其二是用戶證書的查詢，這類查詢由目錄服務器來完成，目錄服務器根據用戶的請求返回適當的證書。
(4) 證書的作廢

當用戶的私鑰由于泄密等原因造成用戶證書需要申請作廢時，用戶需要向認證中心提出證書作廢的請求，認證中心根據用戶的請求確定是否將該證書作廢。另外一種證書作廢的情況是證書已經過了有效期，認證中心自動將該證書作廢。認證中心通過維護證書作廢列表 (Certificate Revocation List,CRL) 來完成上述功能。

•  證書的歸檔

證書具有一定的有效期，證書過了有效期之后就將作廢，但是我們不能將作廢的證書簡單地丟棄，因為有時我們可能需要驗證以前的某個交易過程中產生的數字簽名，這時我們就需要查詢作廢的證書。基于此類考慮，認證中心還應當具備管理作廢證書和作廢私鑰的功能。總的說來，基于認證中心的安全方案應該很好地解決網上用戶身份認證和信息安全傳輸問題。