智能卡与公共密钥体系PKI 捷德公司产品经理闫岩何为PKI 技术？ 随着

PKI技术摘要：公钥基础设施(PKI )是信息安全基础设施的一个重要组成部分，是一种普遍适用的网络安全基础设施。

随着PKI的广泛应用和不断发展，目前它已经形成一套比较成熟完善的理论和应用模型。

PKI在电子商务、电子政务以及网络安全保障等方面发挥着极为重要的作用。

PKI是以公钥密码理论为基础的，它的应用涵盖了密码学中的大部分知识和技术，它是一个开放结构，基十安全和效率的改进是没有终点的，直到一个新的安全体系可以完全替代它。

关键词:PKI;认证中心；密钥；信任模式；数字签名；一、前言日前应用的网络传输安个保障技术卞要是防火墙技术。

所谓，“防火墙”是指一种将内部网和公众访问网分开的力法，它实际上是一种隔离技术，能够最大限度地阻止网络中的黑客来访问你的网络。

当浏览WEB页面，注册个人信息时，由于Internet的开放型和匿名性，浏览者不知道WEB页面是否是一个欺骗用户个人资料的陷阱，而WEB也不知道注册者所填写的资料的真实性，因此彼此双方都不能信任。

这些都迫切需要一种机制来保障浏览器与WEB服务器身份的真实性以及传输信息的保密性。

利用PKI 技术，在浏览器和WEB 服务器之间建立基于SSL协议的安个连接，通信双力利用数字证书验证对方的身份，然后共同协商一个会话密钥，加密通道的信息，从而实现对应用层的透明。

二、PKI的组成1)认证和注册机构认证机构（CA）和注册机构（RA）中负责与用户打交道的部分。

CA的功能是按照制定的安全策略验证用户提交资料的真实性。

设置RA的主要的目的是接收用户提交的资料，它的功能可以是由CA代替，但在概念上RA是独立的，在实际中设置RA也有利于分担CA的负担并实现一些增强的功能，如实施对用户信息的预审核策略等。

2)证书管理在PKI中，证书管理管理部分负责发布公钥证书并及时撤销过期的证书。

3)密钥管理PKI的密钥主要涉及密钥更新、密钥备份与恢复、密钥历史档案管理三个部分。

4)非否认服务由于产生时间戳等数据的功能通用性比较强，在又可信第三方产生的情况下能够获得更好的非否认证证据，因此，PKI系统一般有选择的讲他们作为服务提供给用户。

PKI（Public Key Infrastructure,公钥基础设施）技术，PKI技术采用证书管理公钥，通过第三方的可信机构——认证中心（Certificate Authority, CA），把用户的公钥和用户的其他标识信息（如名称、E-mail、身份证号等）捆绑在一起，在Internet上验证用户的身份。

目前，通用的办法是采用建立在PKI基础上的数字证书，通过对要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。

双钥密码算法又称公钥密码算法，是指加密密钥和解密密钥为两个不同密钥的密码算法。

公钥密码算法不同于单钥密码算法又称对称密码算法，它使用了一对密钥，一个用于加密信息，另一个则用于解密信息，通信双方无需事先交换密钥就可进行保密通信。

其中加密密钥不同于解密密钥，加密密钥要公之于众，谁都可以用，解密密钥只有解密人自己知道。

这两个密钥之间存在着相互依存关系，即用其中一个密钥加密的信息只能用另一个密钥进行解密。

若以公钥作为加密密钥，以用户专用密钥（私钥）作为解密密钥，则可以实现多个用户加密的信息只能有一个用户解读；反之，以用户私钥作为加密密钥而以公钥作为解密密钥，则可实现由一个用户加密的信息而由多个用户解读。

前者可用于数字加密，后者可用于数字签名。

RSA公钥密码算法是一种公认的较为安全的公钥密码算法。

他的命名取自3个创始人：Rivest、Shamir和Adelman。

RSA算法的安全性基于数论中大整数分解的困难性，所以，RSA 需采用足够大的整数。

因子分解越困难，密码就越难以破译，加密强度就越高。

公钥基础设施是一个用非对称密钥算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。

PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务的开展提供一整套安全的基础设施。

用户利用PKI平台提供的安全服务进行安全通信。

PKI这种遵循标准的密钥管理平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密码和证书管理。

公钥基础设施（PKI）的原理与应用作者：数计系计科本091班林玉兰指导老师：龙启平摘要：安全是网络活动最重要的保障,随着Internet的发展，网络安全问题越来越受到人们的关注。

网络交易活动面临着诸如黑客窃听、篡改、伪造等行为的威胁，对重要的信息传递和控制也非常困难，交易安全无法得到保障，一旦受到攻击，就很难辨别所收到的信息是否由某个确定实体发出的以及在信息的传递过程中是否被非法篡改过。

而PKI技术是当前解决网络安全的主要方式之一，本文以PKI技术为基础，详细列举了公钥基础设施基本组成，PKI系统组件和PKI所提供的服务，并介绍了PKI技术特点与应用举例。

关键词：PKI，公钥，认证，网络安全。

一：什么叫公钥基础设施（PKI）？公钥基础设施（PKI）是当前解决网络安全的主要方式之一。

PKI技术是一种遵循既定标准的密钥管理平台，它的基础是加密技术，核心是证书服务，支持集中自动的密钥管理和密钥分配，能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。

简单来说PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施，是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体，PKI可以用来建立不同实体间的“信任”关系，她是目前网络安全建设的基础与核心。

在通过计算机网络进行的各种数据处理、事务处理和商务活动中，涉及业务活动的双方能否以某种方式建立相互信任关系并确定彼此的身份是至关重要的。

而PKI就是一个用于建立和管理这种相互信任关系的安全工具。

它既能满足电子商务、电子政务和电子事务等应用的安全需求，又可以有效地解决网络应用中信息的保密性、真实性、完整性、不可否认性和访问控制等安全问题。

二：公钥基础设施（PKI）系统的组成PKI一般包括以下十个功能组件：1、认证中心（CA）认证中心（CA）是PKI的核心组成部分，是证书签发的机构，是PKI应用中权威的、可信任的、公正的第三方机构。

PKI技术介绍PKI技术介绍一、PKI的概念公钥基础设施（Public Key Infrastructure，简称PKI）是目前网络安全建设的基础与核心’是电子商务安全实施的基本保障，因此，对PKI技术的研究和开发成为目前信息安全领域的热点。

从字面上理解，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。

PKI 技术是信息安全技术的核心，也是电子商务的关键和基础技86由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理的接触，因而使得用电子方式验证信任关系变得至关重要。

而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。

通常，一个实用的PKI体系应该是安全的、易用的、灵活的和经济的，它必须充分考虑互操作性和可扩展性。

一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解PKI的内部运作机制。

在一个典型、完整和有效的PKI系统中，除证书的创建和发布，特别是证书的撤销，一个可用的PKI产品还必须提供相应的密钥管理服务，包括密钥的备份、恢复和更新等。

没有一个好的密钥管理系统，将极大影响一个PKI系统的规模、可伸缩性和在协同网络中的运行成本。

在一个企业中，PKI系统必须有能力为一个用户管理多对密钥和证书，能够提供安全策略编辑和管理工具，如密钥周期和密钥用途等。

二、PKI的主要功能PKI的功能包括很多方面，主要有签发数字证书、作废证书、签发与发布证书作废表、存储与检索证书和证书作废表、密钥生成、密钥备份和恢复、密钥作废与更新、密钥归档等，以及最近增加的一些功能，知时戳、基于策略的证书校验等。

1注册管理注册管理主要完成收集用户信息、确认用户身份的功能。

这里指的用户是指将要向认证中心（即CA）申请数字证书的客户，它可以是个人，也可以是集团、企业等机构。

一般说来，注册管理都是由一个独立的注册机构（即RA）来承担的。

PKI原理作者：GONOW 2007-11-02 12:19:591976年，Whitfield Diffie和Martin Hellman提出了公开密钥理论，奠定了PKI体系的基础。

PKI（Public Key Infrastructure 的缩写）即"公开密钥体系"，是一个利用现代密码学的公钥密码技术、并在开放的Internet网络环境中提供数据加密以及数字签名服务的、统一的技术框架。

常用的公开密钥算法有RSA、DSA和Diffie Hellman等。

使用公开密钥算法（又叫非对称加密算法）的用户同时拥有公钥和私钥。

私钥不能通过公钥计算出来。

私钥由用户自己持有，公钥可以明文发送给任何人，公开密钥理论解决了对称加密系统的密钥交换问题。

公钥加密/私钥解密完成对称算法密钥的交换：公开密钥算法的速度比对称算法慢得多，并且由于任何人都可以得到公钥，公开密钥算法对选择明文攻击很脆弱，因此公钥加密/私钥解密不适用于数据的加密传输。

为了实现数据的加密传输，公开密钥算法提供了安全的对称算法密钥交换机制，数据使用对称算法加密传输。

两个用户（A和B）使用公开密钥理论进行密钥交换的过程如下：在对称算法密钥的协商过程中，密钥数据使用公钥加密。

在保证私钥安全的前提下，攻击者即使截获传输的信息也不能得到加密算法的密钥，这就保证了对称算法密钥协商的安全性。

私钥加密/公钥解密完成身份验证、提供数字签名：公开密钥算法可以实现通信双方的身份验证。

下面是一个很简单的身份验证的例子（A 验证B的身份）：同样的原理，公开密钥算法可以进行数据的签名和验证。

A需要对一块数据签名，A 只需要使用自己的私钥加密该数据就可以完成签名。

A把数据和数据签名（私钥加密的结果）一起发送给B，B使用A的公钥解密签名，然后和数据进行比较，如果相同则该签名确实是A签署的，并且数据没有被篡改。

同样是因为公开密钥的算法较慢，数据签名一般不直接使用私钥加密数据，而是加密数据的散列值。

PKI认证体系原理PKI（Public Key Infrastructure，公钥基础设施）是一种用于建立和管理加密通信的系统，它提供了一种安全且可靠的手段来验证和确保通信方的身份，以及保护通信内容的机密性和完整性。

PKI认证体系的原理是建立在公钥密码学的基础上，其中包括数字证书、数字签名、证书颁发机构（CA）等核心概念。

首先，公钥加密算法是PKI认证体系的基础。

公钥加密算法使用了一对非对称的密钥，包括公钥和私钥。

公钥用于加密数据，私钥用于解密数据。

由于公钥不需要保密，可以自由地发布给其他人使用。

而私钥则必须保密，只有拥有私钥的人可以解密由公钥加密的数据。

其次，数字证书是PKI认证体系中用于验证通信方身份的重要工具。

证书将公钥与其拥有者的身份信息绑定在一起，并由证书颁发机构签名和颁发。

证书中包含了公钥、证书颁发机构的签名、证书持有人的身份信息，以及证书的有效期等信息。

通过验证数字证书的签名和有效期，可以确保证书的真实性和合法性。

证书颁发机构（CA）是PKI认证体系中的一个重要角色，负责验证证书申请人的身份信息，签发数字证书，并将其加入到信任的证书链中。

证书链是一组层级链接的证书，最顶层是根证书，自签署的根证书可以用来验证其他所有证书的真实性。

CA作为可信任的第三方机构，是PKI认证体系中的信任基础。

最后，证书撤销列表（CRL）是PKI认证体系中用于吊销证书的机制。

当证书持有者的私钥泄露或者证书信息发生变化时，CA可以将该证书添加到CRL中，标记该证书为无效或者吊销状态。

通信方在验证证书签名时，需要检查所使用的证书是否在CRL中，以确保证书的有效性。

总之，PKI认证体系通过公钥加密算法、数字证书、证书颁发机构和证书撤销列表等关键组成部分，为加密通信提供了安全和可靠的保障。

它通过数字证书对通信方身份进行验证和确认，并提供了机密性和完整性的保护，为电子商务、互联网通信等领域的安全通信提供了基础设施。

pki体系所遵循的国际标准概述及解释说明1. 引言1.1 概述PKI是公钥基础设施（Public Key Infrastructure）的缩写，是一种密钥管理体系，用于保证安全地传输和存储信息。

PKI通过使用加密技术生成一对密钥，其中包括公钥和私钥，以确保数据的机密性、完整性和可靠性。

在当前数字化时代中，信息安全成为了企业和个人亟需解决的问题。

PKI体系提供了一种可靠且灵活的方式来实现数字身份验证、加密通信和数字签名等安全功能。

它已经得到了世界范围内的广泛应用，并获得了国际标准的认可。

1.2 文章结构本文将围绕PKI体系所遵循的国际标准展开讨论。

文章分为以下几个部分：- 引言：概述文章内容、PKI体系简介及国际标准重要性。

- PKI体系简介：定义与原理、组成部分、作用和应用领域。

- PKI国际标准概述：介绍X.509证书标准、PKCS标准系列和ISO/IEC标准体系。

- 主要国际标准组织和机构介绍：详细介绍Internet Engineering T ask Force(IETF)、International Organization for Standardization (ISO)和Public Key Infrastructure Forum (PKIF)等组织和机构。

- 结论：总结国际标准对PKI体系的重要性和作用，并展望PKI的发展趋势。

1.3 目的本文旨在介绍和解释PKI体系所遵循的国际标准，深入了解PKI体系的基础原理和其在信息安全领域中的应用。

通过对国际标准组织和机构进行介绍，读者能更好地了解PKI体系与国际标准之间的关联，以及国际标准在推动PKI发展过程中所起到的至关重要的作用。

最后，我们将对PKI体系未来的发展趋势进行展望。

通过本文的阐述，读者将能够全面了解PKI体系与国际标准之间的关系及其前景。

2. PKI体系简介:2.1 PKI的定义与原理:公钥基础设施（Public Key Infrastructure，PKI）是一种安全框架，用于实现加密和身份验证。

智能卡与公共密钥体系 PKI筑安全新需求随着电子邮件及电子商务的蓬勃发展，人们正面临如何进行安全信息交换的巨大挑战，因此导致构成PKI的部件以及相关程序，如数字签名或不同加密机制等技术变得尤为重要。

那么，PKI究竟是什么？它和智能卡又有什么样的关系呢？何为PKI 技术？随着电子邮件及电子商务的蓬勃发展，人们正面临如何进行安全信息交换的巨大挑战，因此导致构成PKI的部件以及相关程序，如数字签名或不同加密机制等技术变得尤为重要。

PKI一词被解释成为是一种框架体系，通过它，因特网上的用户可实现安全信息数据交换，满足商务对保密性，完整性，真实性及不可否认性的4项安全需求，其构成主要包括硬件，软件，人员，指导原则及方法。

那么，PKI 是如何实际进行操作的呢？通过使用彼此之间存在着数学关联的密钥对或公钥加密(或非对称)算法，即一个私钥和一个公钥，可以解决对称算法无法解决的不可否认性的问题。

如通过收件人的公开密钥进行加密的信息保证了只有特定的收件人才能读取，而此收件人只有通过使用相应的私有密钥才能完成对此信息的解密。

信息的私密性则可通过PKI的特定程序实现保护。

智能卡与PKIPKI 技术和智能卡之间的关系在于私有密钥以及第三方认证机构所颁发的数字证书的存储可以在极为安全的智能卡上实现。

由于智能卡所携带的微型芯片可实现存储、加/解密、卡内生成密钥对等功能，因此数字签名可以由输入相应的PIN启动，并由存储在智能卡上的私钥自动计算生成。

这包括一系列计算过程，首先计算邮件文字的哈什值，再通过私钥对哈什值进行加密，之后被加密的哈什值即数字签名与原文一起发出，通过发送人的公开密钥，特定的收件人就可以对数字签名进行解密了。

邮件原文的哈什值在收件人的PC 机中同样也要进行运算，然后与解密后的进行对比，如果完全匹配，收件人则可以完全信赖信息的完整性和真实性。

发件人的公开密钥是通过认证中心—PKI的核心部分取得的。

虽然现在有很多人都把私有密钥和数字证书存储在计算机的硬盘当中，但出于安全的考虑，将私有密钥和数字证书存储在智能卡上则会更好。

⼀、概述 PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。

简单地说，PKI技术就是利⽤公钥理论和技术建⽴的提供信息安全服务的基础设施。

公钥体制是⽬前应⽤最⼴泛的⼀种加密体制，在这⼀体制中，加密密钥与解密密钥各不相同，发送信息的⼈利⽤接收者的公钥发送加密信息，接收者再利⽤⾃⼰专有的私钥进⾏解密。

这种⽅式既保证了信息的机密性，⼜能保证信息具有不可抵赖性。

⽬前，公钥体制⼴泛地⽤于CA认证、数字签名和密钥交换等领域。

PKI似乎可以解决绝⼤多数络安全问题，并初步形成了⼀套完整的解决⽅案，它是基于公开密钥理论和技术建⽴起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。

该体系在统⼀的安全认证标准和规范基础上提供在线⾝份认证，是CA认证、数字证书、数字签名以及相关安全应⽤组件模块的集合。

作为⼀种技术体系，PKI可以作为⽀持认证、完整性、机密性和不可否认性的技术基础，从技术上解决上⾝份认证、信息完整性和抗抵赖等安全问题，为络应⽤提供可靠的安全保障。

但PKI绝不仅仅涉及到技术层⾯的问题，还涉及到电⼦政务、电⼦商务以及国家信息化的整体发展战略等多层⾯问题。

PKI作为国家信息化的基础设施，是相关技术、应⽤、组织、规范和法律法规的总和，是⼀个宏观体系，其本⾝就体现了强⼤的国家实⼒。

PKI的核⼼是要解决信息络空间中的信任问题，确定信息络空间中各种经济、军事和管理⾏为主体（包括组织和个⼈）⾝份的惟⼀性、真实性和合法性，保护信息络空间中各种主体的安全利益。

公钥基础设施(PKI)是信息安全基础设施的⼀个重要组成部分，是⼀种普遍适⽤的络安全基础设施。

PKI是20世纪80年代由美国学者提出来了的概念，实际上，授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统⼀的安全电⼦政务平台等的构筑都离不开它的⽀持。

数字证书认证中⼼CA、审核注册中⼼RA(Registration Authority)、密钥管理中⼼KM(Key Manager)都是组成PKI的关键组件。

融合PKI技术公积金互联网系统安全保障研究随着互联网的普及和发展，公积金管理也逐渐在网络化的趋势下发展，越来越多的公积金业务都可以通过互联网进行办理，这无疑给公积金管理带来了更大的便利性，同时也带来了新的安全挑战。

为了保障公积金互联网系统的安全，需要采取一系列有效的安全措施，而融合PKI技术就是其中的一种重要的安全保障手段。

本文将就融合PKI技术的公积金互联网系统安全保障进行深入研究。

一、PKI技术简介PKI（Public Key Infrastructure，公钥基础设施）是一种基于公钥密码学的安全体系架构，它通过数字证书和公钥加密技术来管理密钥和证书，为网络通信提供了安全性和可信赖性。

PKI技术可以实现数字身份认证、加密通信和数据完整性验证等功能，是当前网络安全领域中最为成熟和有效的安全技术之一。

在公积金互联网系统中，应用PKI技术可以有效地保障系统的安全性，防范各种网络安全威胁。

二、公积金互联网系统存在的安全问题随着互联网技术的不断发展，公积金互联网系统的应用范围和用户数量不断扩大，但同时也面临着诸多安全问题。

公积金互联网系统面临着来自网络攻击的威胁，如黑客攻击、恶意软件攻击等，这可能导致用户数据泄露、个人隐私受到侵犯等问题。

公积金互联网系统也面临着用户身份认证和数据传输安全的问题，若无有效的安全措施，可能导致用户信息被盗用、数据被篡改等安全隐患。

如何有效地保障公积金互联网系统的安全性成为当前亟需解决的重要问题。

三、PKI技术在公积金互联网系统中的应用1. 数字证书认证PKI技术通过颁发数字证书对用户的身份进行认证，使用户在系统中的身份可以得到确认，避免了传统的用户名和密码认证方式容易受到攻击的问题。

在公积金互联网系统中，通过引入PKI技术的数字证书认证，可以有效地提高用户的身份认证安全性，防止非法用户的恶意访问和数据篡改等问题。

2. 数据加密传输在公积金互联网系统中，用户的公积金账户信息、交易记录等涉及个人隐私和财产安全的数据需要进行加密传输，以防止数据被窃取和篡改。

PKI期末试卷及答案信息102PKI期末试卷一，填空（1分x20=20分）1、SSL协议是独立的协议，它对其上层协议是透明的。

SSL协议提供安全连接时有一些基本属性，包括：通信内容保密验证使用非对称密钥可靠连接2、证书管理标准主要包括证书管理协议和证书请求消息格式3、CRL(Certificate Revocation List)中记录尚未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。

4、识别用户的身份的两种不同形式分别是身份认证和身份鉴定5、SET协议中的角色，包括持卡人、发卡银行、认证中心6、PKCS#1中定义的两个数据转换原语为I2OSP和OS2IP7、交叉认证就是能使一个CA扩展其信任范围的一种实现机制。

8、PKI体系现存的问题很多，包括相关法律体系的建立赔付机制的缺失用户认识不足9、D-H密钥交换协议的最大优势是，密钥交换双方不需要事先约定，利用离散对数的难解性来实现密钥的交换。

10、PKI是一种新的安全技术，它基于公开密钥密码技术，通过数字证书建立信任关系二，名词解释（6分x4=24分）1、LDAP;LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。

它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

2、信任域;信任域是PKI原理中，与信任模型有关的一个概念。

指的是一个组织内的个体在一组公共安全策略控制下所能信任的个体集合。

3、WPKIWPKI即“无线公开密钥体系”，它是将互联网电子商务中PKI(PublicKeyInfrastrcture)安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系，用它来管理在移动网络环境中使用的公开密钥和数字证书，有效建立安全和值得信赖的无线网络环境。

（十五）PKI技术作者：山石1.PKI概述PKI（Public Key Infrastructure）即"公开密钥基础设施"，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

PKI是一个用公钥概念与技术来实施和提供安全服务的普适性基础设施。

PKI也是一种标准的密钥管理平台，它能够为所有的网络应用提供加密和数据签名。

图1 密钥的生命周期2.PKI提供的基本服务（1）认证：采用数字签名技术，签名作用于相应的数据之上●被认证的数据——数据源认证服务●用户发送的远程请求——身份认证服务●远程设备生成的challenge信息——身份认证（2）完整性：PKI采用了两种技术●数字签名：既可以是实体认证，也可以是数据完整性●MAC(Message Authentication Code，消息认证码)：如DES-CBC-MAC或者HMAC-MD5（3）保密性●用公钥分发随机密钥，然后用随机密钥对数据加密（4）不可否认●发送方的不可否认——数字签名●接受方的不可否认——收条 + 数字签名3.PKI中的证书3.1.概述证书（Certificate），有时候简称为cert，是一个经证书授权中心数字签名的、包含公开密钥拥有者信息以及公开密钥的文件。

通过证书可以向系统中的其他实体证明自己的身份，也可通过证书进行公钥分发。

证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性。

证书中，最重要的信息是个体的名字、个人的公钥、机构的签名、算法和用途。

签名证书和加密证书的分开。

PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一。

最常采用的证书格式为X.509 V3，该证书包括：证书内容、签名算法和使用签名算法对证书的所作的签名等。