PKI 提供的基本服务有哪些
PKI的应用非常广泛,如安全浏览器、安全电子邮件、电子数据交换、Internet上的信用卡交易及VPN等。PKI作为安全基础设施,它能够提供的主要服务如下。
1.认证服务
认证服务即身份识别与认证,就是确认实体即为自己所声明的实体,鉴别身份的真伪。以甲乙双方的认证为例:甲首先要验证乙的证书的真伪,乙在网上将证书传送给甲,甲用CA的公钥解开证书上CA的数字签名,若签名通过验证,则证明乙持有的证书是真的;接着甲还要验证乙身份的真伪,乙可将自己的口令用其私钥进行数字签名传送给甲,甲已从乙的证书库中查得了乙的公钥,甲即可用乙的公钥来验证乙的数字签名。若该签名通过验证,乙在网上的身份就确凿无疑了。
2.数据完整性服务
数据完整性服务就是确认数据没有被修改过。实现数据完整性服务的主要方法是数字签名,它既可以提供实体验证,又可以保障被签名数据的完整性,这由杂凑算法和签名算法提供保证。杂凑算法的特点是输入数据的任何变化都会引起输出数据不可预测的极大变化,而签名是用自己的私钥将该杂凑值进行加密,然后与数据一道传送给接收方。如果敏感数据在传输和处理过程中被篡改,接收方就不会收到完整的数字签名,验证就会失败。反之,若签名通过了验证,就证明接收方收到的是未经修改的完整数据。
3.数据保密性服务
PKI的保密性服务采用了“数字信封”机制,即发送方先产生一个对称密钥,并用该对称密钥加密数据。同时,发送方还用接收方的公钥加密对称密钥,就像把它装入一个“数字信封”,然后把被加密的对称密钥(“数字信封”)和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”,并得到对称密钥,再用对称密钥解开被加密的敏感数据。
4.不可否认服务
不可否认服务是指从技术上保证实体对其行为的认可。在这中间,人们更关注的是数据来源的不可否认性、接收的不可否认性及接收后的不可否认性,此外还有传输的不可否认性、创建的不可否认性和同意的不可否认性。
5.公证服务
PKI中的公证服务与一般社会提供的公证人服务有所不同,PKI中支持的公证服务是指“数据认证”,也就是说,公证人要证明的是数据的有效性和正确性,这种公证取决于数据验证的方式。例如,在PKI中被验证的数据是基于杂凑值的数字签名、公钥在数学上的正确性和签名私钥的合法性。