缺乏安全性被认为是阻碍电子商务发展的主要障碍,而逐渐成熟、完善的公开密钥基础设施(Public Key Infrastructure,简称PKI)体系将成为重要的Internet网络安全解决方案。PKI提供了一个框架,在这个框架中,各种各样的组件组合起来为电子商务提供了四个主要的安全功能:保密性,完整性,身份认证,不可否认性。本文首先从安全需求出发,介绍了当前流行的两个认证体系:Kerberos认证体系和PKI体系。然后对计算机网络中最基本的安全技术――密码技术进行了阐述,密码技术提供了数据加密、数字签名、信息完整性验证、身份识别等功能来增强网络信息传输的安全性。本文的对整个PKI体系进行了研究,首先介绍了PKI的基本原理,包括体系结构、相关标准和信任模型。然后对PKI的内容进行了详细描述,PKI包括多个组件,其中最核心的是认证中心CA。PKI的组件组合起来可以提供认证、完整性、保密性、安全时间戳、不可否认等服务。最后从证书和密钥的生命周期出发,详细介绍了每一个阶段中PKI的提供的服务和功能。在仔细研究PKI以及相关协议的基础上,本文提出了PKI的完整实现 — FSCA(Fair-and-Square Certification Authority)。FSCA是管理和发布X.509证书的系统。通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,形成X.509公钥证书,用以在Internet网上验证用户的身份。FSCA系统在设计上严格遵从PKI规范,并且采用了访问控制、权限管理等安全机制,真正保证了权威、公正和可信赖的特性。 具体来说,本文的主要贡献有:对PKI体系进行了完备而详尽的分析和阐述提出了PKI实现――FSCA,FSCA系统的体系结构、对外服务及其系统管理严格遵从PKI规范,并且从设计到实现具有完全的自主知识产<WP=3>权,符合国家安全部门的有关规定。构建功能完备的CA子系统。FSCA的CA子系统提供产生密钥、生成证书、发布证书、撤销证书、发布证书撤销列表等服务。构建管理完善的RA子系统。FSCA的RA子系统负责处理用户证书申请、证书撤销等请求,管理用户信息。构建管理完善的证书发布系统。FSCA的证书发布子系统采用LDAP目录服务器发布证书/CRL,用户可以通过Web方式方便地查询、下载和安装CA根证书和用户证书。