PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

PKI技术是公钥基础设施的简称，这种技术的主要原理是遵循既定标准的密钥管理平台，能够为互联网的应用提供加密服务以及数字签名服务。简单来说，PILl技术就是一种基础设施，主要是利用公钥理论和技术来提供一切安全服务。这种技术是目前网络安全建设的核心和关键，也是为电子商务发展提供保障的基础。PKI技术的应用一定程度上能够满足人们对网络交易安全保障的需求。PK|技术逐渐行成了一种复杂的系统，会涉及到其他的密钥，对于这些密钥的安全性要求也不同。

公钥基础设施(PKI)是一个利用非对称加密算法原理和技术实现并提供安全服务的具有通用性的技术规范和标准。是管理非对称加密算法的密钥和确认信息。整合数字证书、公钥加密技术和CA的系统。其结合了软件、加密技术和组织需要进行非对称加密算法的服务。

公钥基础设施(PKI)是一种遵循既定标准的密钥管理平台，它通过“信息加密”和“数字签名”等密码服务及所必需的密钥和证书管理体系，为实现网络通信保密性、完整性和不可否认性的一套完整、成熟可靠的解决方案。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心。也是电子商务的关键和基础技术。1

应用PKI技术的完整的系统主要包括以下几点：

1、CA数字认证中心。

CA数字认证中心是PKI的重要内容，CA数字认证中心负责为用户发放包含身份认证的数字证书，数字证书是用户身份信息以及用户密钥的集合，通过认证后用户能与相应的系统进行数据通信。

2、数字证书目录服务器。

该服务器主要为用户提供发送数字证书以及对数字证书的查询服务，通过查询服务可以对证书的真实性进行确定，还可以查询被列为黑名单的数字证书信息。

3、具有高强度密码算法(SSL)的安全服务器。

主要用来识别数字证书拥有者的身份，以及在使用互联网服务时通信的必要通道。

4、Web(安全通信平台)。

Web有WebClient端和WebServer端两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性、身份验证。

5、应用PKI技术的信息化系统。

在应用PKI技术的系统中，要包含完整的PKI体系，明确第三方CA数字认证中心，明确身份验证时所需的用户信息、提供证书的可控性管理权限，在认证过程中的策略以及实现认证的方法等。

应用PKI技术的信息化系统必须具有第三方CA认证中心、CA证书存储库、CA证书撤销系统、密钥恢复以及备份系统、应用PKI接口，通过这些系统能够实现一个完整的PKI应用体系。2

1、采用公开密钥密码技术，能够支持不可篡改的数字签名，在数字签名中包括了验证者的身份信息、验证信息等数据，能够保障数字证书的安全性，同时，在验证的过程中，可以追溯验证者的信息，对数据的安全性提供了较高的保护。通过第三方对数字证书的验证，可以更加完善PKI技术的安全性、可靠性。

2、非对称性密码技术的应用，是PKI的主要特点。通过PKI的非对称性密码技术，可以为处于分布式开放网络中的数据通信提供机密性服务，可以为用户的通信提供安全保障。

3、支持离线验证身份。基于PKI技术的数字证书，支持离线的身份验证。由于数字证书由CA第三方认证中心发放，数字证书中已经存储用户的身份验证信息以及身份验证的密钥，在身份验证的过程中不需要在线查询，提供了多重身份验证方式。

4、PKI的体系中包含了CA数字证书的撤销服务，使得用户对数字证书应用得到可控，保障了用户在各种环境下身份信息的安全，防止了身份信息的丢失以及被盗后的恶意应用，为CA数字证书提供了可控的安全机制。

5、PKI技术具有良好的网络交互能力。PKI技术能够通过网络为正在交互的双方系统提供有效的安全机制，能够为大规模分布式网络以及更复杂的网络环境提供安全服务，使得网络数据的传输得到有效的保障。2

1、RSA加密算法

RSA算法是经典的公开密钥加密算法，使用十分广泛。RSA是1977年由罗纳德·李维斯特(RonRivest)、阿迪萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们都在麻省理工学院工作．RSA就是他们三个姓氏开头字母拼在一起组成的。

2、安全套接字层(SSL)

目前电子商务行业发展势头迅猛，大有方兴未艾之势。电子商务关键信息的加密是电子商务信息安全领域需要考虑的重要内容。公钥密码学的优点是便于密码的管理、分发；缺点在于计算开销大、处理速度慢。在实际应用中对称密钥算法和公钥加密算法经常结合使用。SSL是两者相结合的典型，所有以HTFPS开头的网页的访问都是公钥密码学的典型应用。

3、安全电子邮件

电子邮件是互联网上的典型和普遍的应用．但电子邮件的安全性问题也日益凸显。通过公钥密码学对邮件进行签名和加密，可以实现邮件的保密性，验证邮件的完整性和不可否证性。从而真正实现安全的电子邮件。1

PKI现阶段为计算机用户提供的服务主要包括认证，提升数据的保密性、完整性、不可否认性以及公证等，其实体模型主要包括PKI的用户、管理实体、证书和CRL库几部分，而CA是其管理实体的核心构成，CA与数字证书、证书用户之间要建立一定的信任关系，才能保证PKI的作用得到发挥，结合现阶段国际上的信任结构常见类型，可以发现分布式信任结构、WEB信任结构、认证机构的严格层次结构、用户中心信任结构和交叉认证五种信任结构都能够取得较好的效果。而通过我国PKI信任结构统计发现，目前我国仍以单一的认证机构严格层次结构为主，占总比例的90%以上[1]。现阶段SSL安全协议、SET安全协议都得到较大范围的应用，其中通过安全能力的建设、互换服务器和客户机密钥和身份验证等环节实现服务器和用户身份认证鉴别、提升数据的隐藏性和完整性的SSL安全协议现阶段主要应用于网上商店及网上银行中，而SET在电子交易、电子商务中应用的更为普遍。而具有内部通信量对安全处理相关开销不会构成明显影响，对应用程序和最终用户相对透明，且提升不同防火墙和服务器之间的安全指数等优势的IPSec现阶段主要应用于内部网虚拟专用网中，通用性非常可观。3

PKI就是一种基础设施，其目标就是要充分利用公钥密码学的理论基础，建立起一种普遍适用的基础设施，为各种网络应用提供全面的安全服务。公开密钥密码为我们提供了一种非对称性质，使得安全的数字签名和开放的签名验证成为可能。而这种优秀技术的使用却面临着理解困难、实施难度大等问题。正如让电视机的开发者理解和维护发电厂有一定的难度一样，要让每一个应用程序的开发者完全正确地理解和实施基于公开密钥密码的安全有一定的难度。PKI希望通过一种专业的基础设施的开发，让网络应用系统的开发人员从繁琐的密码技术中解脱出来而同时享有完善的安全服务。

将PKI在网络信息空间的地位与电力基础设施在工业生活中的地位进行类比可以更好地理解PKI。电力基础设施，通过伸到用户的标准插座为用户提供能源，而PKI通过延伸到用户本地的接口，为各种应用提供安全的服务。有了PKI，安全应用程序的开发者可以不用再关心那些复杂的数学运算和模型，而直接按照标准使用一种插座（接口）。正如电冰箱的开发者不用关心发电机的原理和构造一样，只要开发出符合电力基础设施接口标准的应用设备，就可以享受基础设施提供的能源。

PKI与应用的分离也是PKI作为基础设施的重要标志。正如电力基础设施与电器的分离一样。网络应用与安全基础实现了分离，有利于网络应用更快地发展，也有利于安全基础设施更好地建设。正是由于PKI与其他应用能够很好地分离，才使得我们能够将之称为基础设施，PKI也才能从千差万别的安全应用中独立出来，才能有效地独立地发展壮大。PKI与网络应用的分离实际上就是网络社会的一次“社会分工”，这种分工可能会成为网络应用发展史上的重要里程碑。

本词条内容贡献者为: