為解決Internet的安全問題，世界各國對其進行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI體系結構，PKI體系結構采用證書管理公鑰，通過第三方的可信機構CA，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網上驗證用戶的身份，PKI體系結構把公鑰密碼和對稱密碼結合起來，在Internet網上實現密鑰的自動管理，保證網上數據的機密性、完整性。

從廣義上講，所有提供公鑰加密和數字簽名服務的系統，都可叫做PKI系統，PKI的主要目的是通過自動管理密鑰和證書，可以為用戶建立起一個安全的網絡運行環境，使用戶可以在多種應用環境下方便的使用加密和數字簽名技術，從而保證網上數據的機密性、完整性、有效性，數據的機密性是指數據在傳輸過程中，不能被非授權者偷看，數據的完整性是指數據在傳輸過程中不能被非法篡改，數據的有效性是指數據不能被否認。一個有效的PKI系統必須是安全的和透明的，用戶在獲得加密和數字簽名服務時，不需要詳細地了解PKI是怎樣管理證書和密鑰的，一個典型、完整、有效的PKI應用系統至少應具有以下部分：

· 公鑰密碼證書管理。

    · 黑名單的發布和管理。

    · 密鑰的備份和恢復。

    · 自動更新密鑰。

    · 自動管理歷史密鑰。

    · 支持交叉認證。

由于PKI體系結構是目前比較成熟、完善的Internet網絡安全解決方案，國外的一些大的網絡安全公司紛紛推出一系列的基于PKI的網絡安全產品，如美國的VeriSign, IBM ,Entrust等安全產品供應商為用戶提供了一系列的客戶端和服務器端的安全產品，為電子商務的發展提供了安全保證。為電子商務、政府辦公網、EDI等提供了完整的網絡安全解決方案。

PKI是一種新的安全技術，它由公開密鑰密碼技術、數字證書、證書發放機構（CA）和關于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術實現電子商務安全的一種體系，是一種基礎設施，網絡通訊、網上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認證系統，即安全認證系統-CA/RA系統是PKI不可缺的組成部分。

PKI（Public Key Infrastructure）公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平臺，目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網絡環境。 X.509格式的證書和證書廢除列表(CRL)； CA/RA操作協議； CA管理協議； CA政策制定。

認證中心（CA）

公鑰加密需要解決一個關鍵問題：加密信息的發送者需要認定公鑰確實是接收者的，如果他用第三者的公鑰去加密，他希望的接收者無法解密該信息，而擁有對應私鑰的第三者卻可以做到。這實際上就涉及到應用公鑰技術的關鍵：如何確認某個人真正擁有公鑰（及對應的私鑰）。

在PKI 中，為了確保用戶的身份及他所持有密鑰的正確匹配，公開密鑰系統需要一個值得信賴而且獨立的第三方機構充當認證中心（Certification Authority，CA），來確認公鑰擁有人的真正身份。就象公安局發放的身份證一樣，認證中心發放一個叫"數字證書"的身份證明。這個數字證書包含了用戶身份的部分信息及用戶所持有的公鑰。象公安局對身份證蓋章一樣，認證中心利用本身的私鑰為數字證書加上數字簽名。

任何想發放自己公鑰的用戶，可以去認證中心申請自己的證書。認證中心在鑒定該人的真實身份后，頒發包含用戶公鑰的數字證書。其他用戶只要能驗證證書是真實的，并且信任頒發證書的認證中心，就可以確認用戶的公鑰。

認證中心是公鑰基礎設施的核心，有了大家信任的認證中心，用戶才能放心方便的使用公鑰技術帶來的安全服務。

概括起來，進行電子交易的互聯網用戶所面臨的安全問題有：

* 保密性 如何保證電子商務中涉及的大量保密信息在公開網絡的傳輸過程中不被竊取

* 完整性 如何保證電子商務中所傳輸的交易信息不被中途篡改及通過重復發送進行虛假交易

* 身份認證與授權 在電子商務的交易過程中，如何對雙方進行認證，以保證交易雙方身份的正確性

* 抗抵賴 在電子商務的交易完成后，如何保證交易的任何一方無法否認已發生的交易

對于這些安全問題，目前最有效的解決方案是建立在公開密鑰技術基礎上的PKI/CA (Public Key Infrastructure/Certification Authority)技術。