本文研究和分析了PKI和椭圆曲线密码机制,设计并实现了基于ECC的CA认证中心系统。该系统提供申请、签发、验证、查询和撤销ECC/RSA数字证书等服务。同时,利用ECC安全性和计算效率高等特点,系统内部各通信终端之间使用ECC证书建立安全的通信通道,在提高系统安全性能和传输效率的同时,有效地减少了网络资源的消耗。本文首先对PKI体系的底层技术进行深入研究,重点分析了非对称密码椭圆曲线密码体制,并将它与其他密码技术进行了比较。其次,基于本系统的设计目标和功能,设计出系统总体构架,包括客户端程序、安全服务器模块、注册中心RA模块、认证中心CA模块和证书/CRL库五个部分,模块之间通过ECC证书建立安全通道进行网络传输。然后,依照数字证书和ECC密钥相关标准规定,设计出ECC密钥、PKCS#8私钥、PKCS#10证书申请、X.509证书和PKI消息的数据结构。本课题实现了一个功能完备的基于ECC的CA认证中心系统,并通过相应接口函数,将系统签发的ECC证书应用于IPSec VPN中通信双方的身份认证。最后,对原型系统以及ECC证书在IPSec VPN中的应用进行了测试,并对测试结果进行分析。目前,ECC密码体制的应用前景已经越来越广泛,但是签发管理ECC证书的成熟PKI产品却很少。本文扩展PKI支持的公钥密码算法,在CA认证中心系统中引入椭圆曲线密码体制,系统发布的ECC证书与RSA证书相比,同等安全强度下体积更小、占用带宽更少而且性能更高,更加适合未来网络安全的发展需求。