基于公钥安全的PKI体系，在电子政务、电子商务、金融、证券等行业都有比较广泛的应用，提供通信或交易中各实体的身份认证、保证数据的完整、抗否认性和信息保密等安全目标。PKI技术的发展，在为电子商务等应用提供了安全保障的同时，也可能为犯罪分子进行犯罪活动提供了便利。为解决这个问题，有人提出双证书方案，将签名密钥和解密密钥分开，这就要求在PKI体系中除了CA外，还需要另外一个第三方可信任机构——密钥管理中心，专门负责解密密钥的托管。本文的方案将采用分割托管密钥的机制，密钥托管的两个分管方就是KMC和某个CA(是代用户申请密钥的CA)。本文中给出的安全密钥托管方案是技术与管理的结合。在本方案中CA分担了部分密钥托管的功能，但用户密钥在生命周期里的主要管理和控制仍然由KMC完成。密钥的安全是系统安全的关键因素之一，本文中研究了多种安全密钥存储技术，包括硬件设备的密钥保护技术、私人密钥的口令保护技术、数字信封等技术的安全性和特点。分析了PKI体系中各类密钥的特点，根据不同密钥的功能和安全要求将密钥分为关键密钥、加密密钥、终端密钥、会话密钥等，综合密钥的特点和安全要求，采用适当的密钥安全存储技术，提出可行的密钥存储方案。在KMC与CA进行分布式产生RSA密钥、进行用户密钥的分发时都必须具有安全可靠的通信协议作为支撑。KMC为CA提供服务的完整过程包括请求、响应、回执以及异常情况的处理等。本通信协议主要解决身份认证、保密性、完整性、非否认性等安全问题，并结合分割密钥托管方案，保证托管密钥的安全性。本文还研究了在PKI体系下对电子数据的安全审计的一般模型。在安全系统中建立一个安全审计模块，负责内部各功能模块或与系统外部进行的事件或业务的检查、有关资料分析和统计等服务。本文中的电子数据的安全审计是以数字签名技术为基础，记录有效的数据元素，以保证这些电子证据的有效性和可验证性。针对以上方面的研究和改进，开发了基于以上技术的密钥托管系统，目前已经提交国家有关部门进行技术鉴定。