公开密钥基础设施PKI(Public Key Infrastructure)是一种利用非对称密码技术为电子商务、电子政务和电子事务的开展提供一整套安全的基础平台。PKI技术遵循国际标准,采用加密和数字签名等密码服务,能够为网络应用系统透明地提供所需要的密钥和数字证书(简称证书)的管理。在详述了国内外PKI技术应用状况、发展趋势及采用的关键技术的基础之上,分析了PKI技术是如何保证数据机密性、真实性、完整性和不可否认性的。以PKI技术的一般架构为前提,讨论了其构成特征和核心技术,重点是认证中心CA(Certificate Authority)、证书库、密钥备份及恢复系统、证书撤消处理系统和PKI应用接口等五大组成部分的功能。结合远程网上阅卷应用系统的安全需求,给出了一个基于PKI的系统架构,阐述了安全架构中的身份认证和数据加密机制。将对称密码算法和非对称密码算法共同使用,增强了应用系统的安全性。详细设计了系统安全架构中的关键部分,实现了CA系统的主要功能。根据X.509标准,结合证书使用特点,定义了证书和证书撤消列表CRL(Certificate Revocation List)结构,构建了证书服务器,阐述了基于完全CRL的证书撤消流程。为完成证书和CRL的存储以及证书的发布和撤消,设计了基于轻量级目录访问协议LDAP(Lightweight Directory Access Protocol)的证书库。通过分析在线证书状态协议OCSP(Online Certificate Status Protocol),给出了证书状态的在线查询步骤要点。