谈到安全，在万物互联的数字世界里，生活和工作之间的界限正在变得越来越模糊，传统的边界不再适用，传统的安全手段也不再适用。数字转型的步伐虽在不断加速，但威胁载体也在不断发展壮大，在数字互动过程中，信任的重要性不言而喻。

在过去，为了确保信息安全，企业一般通过使用复杂的密码或身份验证来提供深层次的安全需求，只不过这些方法都存在漏洞，比如密码很容易被窃取，不法分子也可以轻松拦截令牌身份验证、或者数字身份也能被盗用。

随后数字信任的出现和发展让我们所有人相信我们在网上所访问的站点、面临的对象、所做的事情、传输的信息是安全的，可以说数字信任是数字世界的信任背书，它能起到包括对用户、软件、服务器、设备、文档、数字内容、身份等进行保护。

只不过为了创建并维护数字信任，企业必须证明自己有能力为用户提供安全性、私密性和可靠性。数字信任需要几个组成部分，包括遵守标准、保持合规和运营、使用信任管理以及将信任扩展到互联生态系统。尽管建立数字信任涉及很多方面，但实现数字信任并确保用户安全的方法之一是使用零信任安全架构。

零信任这一概念首次于2010年提出，Forrester研究公司的首席分析师约翰·金德维格首次提“零信任”这一概念，其概念核心点在于“永不信任，持续验证，”也就是对身份、设备、应用默认不信任，需要对任何请求进行持续的信任管理。简单来说，数字信任在零信任安全框架中的实现，是以身份为基点，对任何请求实现动态访问控制，并通过强身份验证技术保护数据安全，满足传统数字身份的安全需求。

在零信任框架的技术实施中，并不是简单的基于IP地址验证数字身份，而是必须基于公钥基础设施（PKI）、多因素身份验证（MFA）和单点登录（SSO）等自适应身份验证方法定期验证数字身份。其中公钥基础设施PKI是基于公开密钥理论和技术建立起来的安全体系，该体系在统一的安全认证标准和规范基础上提供了在线身份认证，也是CA认证、数字证书、数字签名以及相关的安全应用组件的集合。

和零信任一样，PKI作为一种强实体鉴别技术，能够在开放网络和应用系统中提供身份认证与鉴别,保障信息的真实性。一方面，PKI为每个人员签发一张可信身份证书（实名），只有符合安全规则的身份才能通过验证，才能访问相应的资源，简单高效地解决了信任问题。另一方面，PKI中的密码技术可以用来加密需要保护的数据，从根本上有效的保护了数据资产。

可以说PKI技术对于零信任安全架构的实现和落地是至关重要的。目前很多基于PKI技术的零信任产品应用已经非常广泛，比如为网上金融、网上银行、网上证券等网络中的数据交换提供了完备的安全服务功能。

PKI技术的特点

• 身份验证——验证用户身份

• 完整性——数据没有被其他用户有意或无意地更改。

• 机密性——向用户保证他们只是一个解密数据的接收者

• 不可否认性——确保向信息发送方提供交付证明，向接收方提供发送方身份证明，这样双方以后都不能否认处理了信息。

零信任的特点

• 高安全性——信任关系是环环相扣，因此中间发生任何异常变化，会更容易被发现被检测到；

• 攻击难度大——多重验证，黑客要攻击的成本就越高，从而入侵的难度也就越大；

• 持续验证——每一次对资源的请求，都是一次重新校验的过程，安全的状态是动态的。

PKI体系同时可以在安全的通信中为非受控的端点系统提供信任保证，证书颁发机构为通信双方签发证书以建立安全的通信。端点系统接收到经过签名的证书后，将它的签名信息和系统中已经预置的可信证书颁发机构列表进行比对，就可以验证该证书是否有效。通过在系统中预置可信证书颁发机构列表的方式，端点系统就可以和之前从来没有通信过的未知系统建立安全信道。

可以说PKI技术的运用是实现零信任架构中身份认证的核心，也是解决人员信任问题最有效和最高效的技术。基于PKI技术的身份管理方案能有效解决零信任安全体系中“以身份为中心”的核心理念，可以简化身份管理和增强数据安全，更好地为企业实现零信任化转型提供有力地支持。