PKI的应用特别广泛,作为安全基础设施,它主要可提供以下内容。
1.认证服务
认证服务就是身份识别和鉴别,即确认实体为自己声称的实体,辨别身份的真假。我们以甲乙两方的认证为例子:甲先得验证乙的证书的真假,当乙在网上把证书传给甲时,甲先要用CA的公钥将证书上CA的数字签名解开,若签名验证通过,那么证明乙拿着的证书是真的;接下来甲还要核验乙身份的真假,乙可把自己的口令用私钥实施数字签名传给甲,甲已在乙的证书或证书库里查出了乙的公钥,甲就可用乙的公钥来验证乙的数字签名。若此签名验证通过,乙网上的身份就无法怀疑了。
2.数据完整性服务
完成数据完整性服务的主要方法为数字签名,它不仅可进行实体认证,又可确保被签名数据的完整性,这是由密码哈希算法与签名算法保证的。签名是拿自己的私钥加密此哈希值,之后与数据传给接收方。若敏感数据于传输及处理时被篡改,接收方则无法拿到完整的数据签名,验证则是失败的;相反,若签名验证成功,则证明接收方拿到的是没有修改过的完整数据。
3.数据保密性服务
PKI的保密性服务用的是“数字信封”机制,也就是发送方先得到一个对称密钥,并拿该密钥加密敏感数据。同时,发送方还拿接收方的公钥加密对称密钥,就如将它装进一个“数字信封”。然后,将被加密的对称密钥与敏感数据共同传向接收方。接收方拿自己的私钥打开“数字信封”,并产生对称密钥,然后拿对称密钥将被加密的敏感数据解开。
4.不可否认性服务
不可否认性服务指在技术上确保实体认可其行为。其中,人们更在乎的是数据来源的、接收的与接收后的不可否认性。此外,还有传输的、创建的与同意的不可否认性。
5.公证服务
PKI里的公证服务和一般社会公证人的服务有不一样的地方,PKI里支持的公证服务指“数据认证”,即公证人想说明数据的有效性与正确性,此种公证由数据验证的方式决定。
