• 身份认证
• 信息传输、存储的完整性
• 信息传输、存储的机密性
• 操作的不可否认性

    "基础设施"的目的就是：只要遵循必要的原则，不同的实体就可以方便地使用基础设施提供的服务。

    PKI公开密钥基础设施就是为整个组织（"组织"适可以被定义的）提供安全的基本框架，可以被组织中任何需要安全的应用和对象使用。安全设施的"接入点"是统一的，便于使用（就像是TCP/IP栈和墙上的电源插座一样）。

    PKI这个具有普适性的安全基础设施适用与多种环境的框架。这个框架避免了零碎的、点对点的，特别是没有互操作性的解决犯案，引入了可管理的机制以及跨越多个应用和计算平台的一致安全性。 PKI公开密钥基础设施设施可以实现"应用支撑"的功能。对于"应用支撑"举一个例子来讲，电力系统就是一个应用支撑，它可以让"应用"，如烤炉、电灯正常工作。进一步将，电力基础设施具有通用性和实用性的特点，它能支持新的"应用"（如吹风机），而这些"应用"在电力基础设施设计的时候还没有出现。PKI公开密钥基础设施具有同样的特性。（与PKI安全基础设施对应的应用是指需要安全服务而使用安全基础设施的模块，例如Web浏览器、电子邮件客户端程序、IPSec支撑的设备等等）

    PKI公开密钥基础设施能够让应用程序增强自己的数据和资源的安全，以及与其他数据和资源交换中的安全。使用PKI安全基础设施像将电器插入墙上的插座一样简单。
    1） 具有易用的、重所周知的界面
    2） 基础设施提供的服务是可预测的且一致、有效的。
    3） 应用设施无需要了解基础设施是如何提供服务的。

    遵循PKI基础设施的方法来获得安全的好处有很多。单个应用程序随时可以从基础设施得到安全服务，增强并简化了登录过程，对终端用户透明，在整个环境中提供全面的安全。实施PKI公开密钥基础设施的商业驱动包括了节省费用、互操作性、简化管理，真正安全的可能性。

    PKI的核心的技术基础是给予公钥密码学的"加密"和"签名"技术。

    通过"解密"和"签名"技术的结合试用就可解决网络的如下问题：

• 身份认证
• 信息传输、存储的完整性
• 信息传输、存储的机密性
• 操作的不可否认性
  

    下图是PKI中加密技术图解：

    下图是PKI中签名技术图解：

    认证中心（CA）

    公钥加密需要解决一个关键问题：加密信息的发送者需要认定公钥确实是接收者的，如果他用第三者的公钥去加密，他希望的接收者无法解密该信息，而拥有对应私钥的第三者却可以做到。这实际上就涉及到应用公钥技术的关键：如何确认某个人真正拥有公钥（及对应的私钥）。

    在PKI 中，为了确保用户的身份及他所持有密钥的正确匹配，公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心（Certification Authority，CA），来确认公钥拥有人的真正身份。就象公安局发放的身份证一样，认证中心发放一个叫"数字证书"的身份证明。这个数字证书包含了用户身份的部分信息及用户所持有的公钥。象公安局对身份证盖章一样，认证中心利用本身的私钥为数字证书加上数字签名。

    任何想发放自己公钥的用户，可以去认证中心申请自己的证书。认证中心在鉴定该人的真实身份后，颁发包含用户公钥的数字证书。其他用户只要能验证证书是真实的，并且信任颁发证书的认证中心，就可以确认用户的公钥。

    认证中心是公钥基础设施的核心，有了大家信任的认证中心，用户才能放心方便的使用公钥技术带来的安全服务。

    概括起来，进行电子交易的互联网用户所面临的安全问题有：

• 保密性 如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取
• 完整性 如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易
• 身份认证与授权 在电子商务的交易过程中，如何对双方进行认证，以保证交易双方身份的正确性
• 抗抵赖 在电子商务的交易完成后，如何保证交易的任何一方无法否认已发生的交易

    对于这些安全问题，目前最有效的解决方案是建立在公开密钥技术基础上的PKI/CA (Public Key Infrastructure/Certification Authority)技术。