公鑰基礎設施的設置使得未連接的計算機用戶能夠使用公鑰證書中的公鑰信息相互提交認證和加密。解密時,每個用戶用自己的私鑰解密,私鑰通常受密碼保護。
壹般來說,公鑰基礎設施由客戶端軟件、服務器軟件、硬件、法律合同和保證、操作程序等組成。簽名人的公鑰證書也可以被第三方用來驗證由簽名人簽名的數字簽名。
通常,公鑰基礎設施幫助會話中的參與者實現機密性、消息完整性和用戶認證,而無需事先交換任何秘密信息。然而,互聯成員之間的公鑰基礎設施受到許多實際問題的影響,如證書撤銷的不確定性、證書中心頒發證書的條件、司法規範和法律的變化以及信任等。
第二,作文
PKI的主要要素有:用戶(使用PKI的人或機構);證書頒發機構(CA)(頒發證書的個人或機構);倉庫(存儲證書的數據庫)。用戶和認證機構被稱為實體。
用戶是使用PKI的人,使用PKI的人有兩種:壹種是向證書頒發機構(CA)註冊自己的公鑰的人,另壹種是想使用註冊的公鑰的人。
認證機構是管理證書的個人或機構。認證機構進行這些操作:代表用戶生成密鑰對(當然也可以由用戶自己生成);對註冊公鑰的用戶進行身份驗證;生成和頒發證書;無效證書。此外,公鑰註冊和用戶認證可以由註冊機構(RA)完成。
存儲庫是用於存儲證書的數據庫。倉庫也稱為證書目錄。
第三,用途
大多數企業級公鑰基礎設施系統都依賴於上級證書中心頒發給下級證書中心的證書,通過逐層構建證書鏈來創建壹個參與者身份證書的合法性。
這導致了具有多臺計算機並且通常覆蓋多個組織的證書層次結構,這涉及多個源軟件之間的合作。因此,開放標準對於公鑰基礎設施非常重要。該領域的標準化大多由互聯網工程工作組的PKIX工作組完成。
企業公鑰基礎設施通常與企業數據庫目錄緊密結合,每個員工的公鑰都嵌入在證書中,與人員數據壹起存儲。
當今最先進的目錄技術是輕量級目錄訪問協議(LDAP)。實際上,最常見的證書格式X.509的前身X.500是用於LDAP的預處理程序的目錄草圖。
歷史
在1976年惠特菲爾德·迪菲、馬丁·海爾曼|海爾曼、羅恩·裏維斯特、阿迪·薩莫爾和倫納德·阿德曼先後公布了安全密鑰交換和非對稱密鑰算法之後,整個通信模式發生了變化。
隨著高速電子數字通信的發展,用戶對保密通信的需求越來越大。
密碼協議在這種訴求下逐漸發展起來,創造出新的密碼原型。在全球互聯網的發明和普及之後,對認證和安全通信的要求變得更加嚴格。光是商業原因就能說明壹切。在Netscape工作的Taher ElGamal和其他人開發了壹個傳輸安全層協議,包括密鑰創建、服務器認證等等。因此,公鑰基礎設施的體系結構應運而生。
制造商和企業家察覺到了隨之而來的巨大市場,並開始建立新的公司,引導法律意識和保護。美國律師協會項目發表了對公開密鑰基礎設施運行的可預見的法律觀點的詳細分析,隨後美國幾個州政府和其他國家的司法單位開始制定相關的法律法規。消費者團體提出了關於隱私、訪問和可靠性的問題,這些問題也被納入了司法考慮。
所制定的法律和法規實際上是不同的,將公鑰基礎設施的機制轉化為商業運營存在實際問題,這遠遠慢於許多先驅的想法。
在21世紀的最初幾年,人們慢慢發現,密碼工程並不是那麽容易設計和實踐的,現有的壹些標準在某些方面甚至是不合適的。
公鑰基礎設施的制造商已經找到了壹個市場,但它不是20世紀90年代中期預期的那個市場。這個市場發展緩慢,以不同的方式前進。
公鑰基礎設施並沒有解決預期的問題,壹些廠商甚至退出了市場。
最成功的公鑰基礎設施是在政府部門。目前,最大的公鑰基礎設施是美國國防信息系統局。(DISA國防信息系統局)* *通用訪問卡計劃。