试述公钥基础设施(PKI)为不同用户提供的安全服务。
【正确答案】:PKI作为安全基础设施,能为不同的用户按不同安全需求提供多种安全服务。这些服务主要包括认证、数据完整性、数据保密性、不可否认性、公正及时间戳服 务。 (1)认证 认证服务即身份识别与鉴别,就是确认实体即为自己所声明的实体,鉴别身份的真伪。如甲乙双方的认证,甲首先要验证乙的证书的真伪,当乙在网上将证书传送给 甲时,甲首先要用CA的公钥解开证书上CA的数字签名,如果签名通过验证,证明乙持有的证书是真的;接着甲还要验证乙身份的真伪,乙可以将自己的口令用自 己的私钥进行数字签名传送给甲,甲已经从乙的证书中或从证书库中查得了乙的公钥,甲就可以用乙的公钥来验证乙用自己独有的私钥进行的数字签名。如果该签名 通过验证,乙在网上的身份就确凿无疑。 (2)数据完整性服务 数据完整性服务就是确认数据没有被修改。实现数据完整性服务的主要方法是数字签名,它既可以提供实体认证,又可以保障被签名数据的完整性。这是因为密码哈 希算法和签名算法提供的保证。哈希算法的特点是输入数据的任何变化都会引起输出数据的不可预测的极大变化,而签名是用自己的私钥将该哈希值进行加密,和数 据一起传送给接收方。如果敏感数据在传输和处理过程中被篡改,接收方就不会收到完整的数据签名,验证就会失败。反之,如果签名通过了验证,就证明接收方收 到的是没经修改的完整性数据。 (3)保密性服务 PKI的保密性服务采用了“数字信封”机制,即发送方先产生一个对称密钥,并用该对称密钥加密敏感数据。同时,发送方还用接收方的公钥加密对称密钥,就像 把它装入一个“数字信封”。然后,把被加密的对称密钥(“数字信封”)和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”,得到对 称密钥,再用对称密钥解开被加密的敏感数据。 (4)不可否认性服务 不可否认性服务是指从技术上保证实体对其行为的认可。在这中间,人们更关注的是数据来源的不可否认性和接收的不可否认性以及接收后的不可否认性。此外还有 传输的不可否认性、创建的不可否认性和同意的不可否认性。 (5)公证服务 PKI中的公证服务与一般社会公证人提供的服务有所不同,PKI中支持的公证服务是指“数据认证”,也就是说,公证人要证明的是数据的有效性和正确性,这 种公证取决于数据验证的方式。例如,在PKI中被验证的数据是基于哈希值的数字签名、公钥在数学上的正确性和签名私钥的合法性。
