随着教育信息化建设的快速发展，应用领域从传统的信息系统逐渐向大型、核心的各种管理系统扩展，特别随着下一代互联网、网格等各种新技术的发展，在高校之间进行资源共享已成为迫切需求，越来越多的高校老师和学生也希望通过互联网进行重要数据的传输，PKI (Public Key Infrastructure) 公钥基础设施以其提供的安全基础服务成为各类身份识别、数据安全解决方案的基础。虽然目前我国已建立多家PKI/CA中心，各企事业单位内部也建立了许多小型PKI/CA，但这些CA中心主要用于电子商务或电子政务，应用场合比较单一，现有产品也不适合具有流动、开放、发展创新特点的高校应用环境。 本文主要探讨了如何设计实现构建一个开放、可扩展的PKI系统，为高校的各类信息安全技术解决方案提供基础服务平台，主要工作及贡献如下： (1) 设计和实现了一个可实际应用的多级PKI/CA系统，通过分布式的高校CA中心为学校用户签发安全有效的数字证书。 (2) 采用 JCA、JCE 开发技术框架，分离了底层加密算法具体实现和接口，可使用不同提供商提供的密钥算法实现包，未来可采用自主实现的密钥算法实现包。 (3) 采用 Petri 网进行系统核心流程模型设计，Petri 网既有直观的图形表示又有严格的数学定义，还包括丰富的系统分析技术，是一种适合对并发、异步的动态行为进行分析的系统技术理论。 (4) 在真实IPv6地址、统一的用户标识、X．509公钥证书体系的基础上，将IPv6地址融入数字证书，实现IPv6地址实名使用与基于证书的身份认证的结合，对构造新的、更合理的证书的管理机制和信任机制做有益的尝试。