Public Key Infrastructure

PKI(Public Key Infrastructure)，即公钥基础结构，利用公钥加密技术为网上电子商务的开展提供了一套安全基础平台，用户利用PKI平台提供的安全服务进行安全通信。简单地说，PKI的功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书)，实现通信中各实体的身份认证、完整性、不可否认性和保密性。

　　基于对称密钥加密、公开密钥加密以及安全的散列函数等基本安全技术和算法，电子商务采用以下几种安全技术来解决电子商务应用中遇到的各种问题：采用数字信封技术保证数据的传输安全；采用数字签名和双重数字签名技术进行身份认证并同时保证数据的完整性、完成交易防抵赖；采用口令字技术或公开密钥技术进行身份认证。

　　结合数字信封和数字签名就可以满足电子商务安全中对数据的安全性、数据的完整性和交易的不可抵赖性的要求，同时可以使用数字证书来进行交易双方身份的认证。

　　PKI系统的建立应该着眼于用户使用证书及相关服务的便利性，以及用户身份的可靠认证。一个典型的PKI体系结构如图所示。

　　PKI操作有十二种主要行为，包括：产生，证明和分发密钥；签名和验证；证书的获取；验证证书；保存证书；本地保存的证书的获取；密钥泄漏或证书中证明的某种关系中止的报告；密钥泄漏的恢复；CRL的获取；密钥更新；审计；存储等，这些行为分别和PKI中下列成员相关：PKI认证机构(P)，数据发布的目录(D)和用户(U)。

　　其中有几个重要的功能实体CRL，OCSP，LDAP等。CRL(Certificate Revoke List)证书撤销列表和OCSP(Online Certificate Status Protocol)在线证书状态查询都是为了保证用户证书的有效性。当验证用户证书的有效性时，需要查询CRL或者OCSP来保证用户的证书是有效的。如果用户因为某种原因，或者想更换新的证书，或者怀疑其私人密钥泄漏了，那么用户就可以报告CA要求撤销自己的证书，这时CRL或者OCSP中就会出现这个用户的证书信息，说明这个用户的证书已经失效，其它的用户不要再信任这个证书了。CRL和OCSP的区别在于，CRL是离线方式的，OCSP是在线方式的，是实时的。这种区别也造成CRL列表占用的空间会比OCSP大。

　　LDAP目录服务器是用来存放用户证书的，它对外提供了下载证书的接口。用户可以通过LDAP的接口来获取任何用户的证书。