PKI的发展

美国的PKI建设过程经历了1996年之前的无序、1996—2002年间以FBCA为核心的体系搭建、2003之后策略管理和体系建设并举的三个阶段。1996年以前，很多政府部门自建PKI系统，例如美国邮政服务部门、社会安全部门、美国国防部、能源部、美国商标与知识产权局等。1996年美国提出联邦桥接计划，2001年正式公布，计划最终建立一个覆盖美国80个机构、19个部的PKI以保护电子政府的通信安全2。

美国联邦PKI体系主要由联邦的桥认证机构(Federal Bridge CA，FBCA)、首级认证机构(Principal CA，PCA)和次级认证机构(Subordinate CA，SCA)等组成。联邦PKI的体系结构中没有采用根CA，而采用了首级CA2。

这是因为在美国，信任域的结构是多种多样的，美国联邦PKI体系结构可以支持分级(树状)维构、网状结构和信任列表等。联邦的桥CA是联邦PKI体系中能核心组织，是不同信任域之间能桥梁，主要负责为不同信任域能首级CA颁发交叉认证的证书，建立各个信任域的担保等级与联邦CA的担保等级之间的映射关系，更新交叉认证证书，发布交叉认证证书注销黑名单。但是联邦的桥CA不要求一个机构在与另一个机构发生信任关系时必须述循联邦PKI所确定的这种映射关系，而是可以采用它认为合适的映射关系确定彼此之间的信任2。

欧洲在PKI基础建设方面也成绩显著。已颁布了93/1999EC法规，强调技术中立、隐私权保护、国内与国外相互认证以及无歧视等原则。为了解决各国PKI之间的协同工作问题，它采取了一系列措施：积极资助相关研究所、大学和企业研究PKI相关技术；资助PKI互操作性相关技术研究，并建立CA网络及其顶级CA。并于2000年10月成立了欧洲桥CA指导委员会，于2001年3月23日成立了欧洲桥CA2。

我国的PKI技术从1998年开始起步，政府和各有关部门对PKI产业的发展给予了高度重视。2001年PKI技术被列为“十五”863计划信息安全主题重大项目，并于同年10月成立了国家863计划信息安全基础设施研究中心。国家电子政务工程中明确提出了要构建PKI体系。我国已全面推动PKI技术研究与应用。2004年8月28日，十届全国人大常委会第十一次会议28日表决通过了电子签名法，规定电子签名与手写签名或者盖章具有同等的法律效力。这部法律的诞生极大地推动了我国的PKI建设2。

1998年国内第一家以实体形式运营的上海CA中心(SHECA)成立，此后，PKI技术在我国的商业银行、政府采购以及网上购物中得到了广泛应用。国内的CA机构大致可分为区域型、行业型、商业型和企业型四类，并出现了得安科技、创原世纪、国创科技、吉大正元、国瑞数码等一批PKI服务提供商2。

PKI系统组成

一个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。

PKI安全策略

建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别1。

证书机构CA

证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书1。

注册机构RA

注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户，是指将要向认证中心(即CA)申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它接受用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA可以设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。当然，对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务，可以增强应用系统的安全1。

证书发布系统

证书发布系统负责证书的发放，如可以通过用户自己，或是通过目录服务器发放。目录服务器可以是一个组织中现存的，也可以是PKI方案中提供的1。

PKI的应用

PKI的应用非常广泛，包括应用在web服务器和浏览器之间的通信、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网(VPN)等1。