第4章  PKI的功能

建设PKI体系是为网上金融、网上银行、网上证券、电子商务、电子政务、网上交税、网上工商等多种网上办公、交易提供完备的安全服务功能，是公钥基础设施最基本、最核心的功能。作为基础设施要做到：遵循必要的原则，不同的实体可以方便地使用PKI安全基础设施提供的服务。

PKI安全基础设施提供的系统功能主要分安全服务功能和系统功能。

4.1  安全服务功能

PKI体系提供的安全服务功能，包括：身份认证、完整性、机密性、不可否认性、时间戳和数据的公正性服务。

4.1.1  网上身份安全认证

由于网络使用者匿名的特点，每个人都可以通过一定的手段假冒别人的身份实施非法的操作和网上交易，从而对系统或合法用户造成危害，因此，网上的身份认证在网络出现以来就一直是人们关注和研究的热点。人们已经认识到网上身份认证是一切电子商务应用的基础。

认证的实质就是证实被认证对象是否属实和是否有效的过程，常常被用于通信双方相互确认身份，以保证通信的安全。其基本思想是通过验证被认证对象的某个专有属性，达到确认被认证对象是否真实、有效的目的。被认证对象的属性可以是口令、数字签名或者指纹、声音、视网膜这样的生理特征等。

目前，实现认证的技术手段很多，通常有口令技术加ID（实体唯一标识）、双因素认证、挑战应答式认证、著名的Kerberos认证系统，以及X.509证书及认证框架。这些不同的认证方法所提供的安全认证强度也不一样，具有各自的优势、不足，以及所适用的安全强度要求不同的应用环境。而解决网上电子身份认证的公钥基础设施（PKI）技术近年来被广泛应用，并取得了飞速的发展，在网上银行、电子政务等保护用户信息资产等领域，发挥了巨大的作用。

数字签名技术是基于公钥密码学的强认证技术，其中每个参与交易的实体都拥有一对签名的密钥。每个参与的交易者都自己掌握进行签名的私钥，私钥不在网上传输，因此只有签名者自己知道签名私钥，从而保证其安全。公开的是进行验证签名的公钥。因此只要私钥安全，就可以有效地对产生该签名的声称者进行身份验证，保证交互双方的身份真实性。

为了保证公钥的可靠性，即保证公钥与其拥有者的有效绑定，通过PKI体系中的权威、公正的第三方——认证中心（CA，Certification Authority），为所服务的PKI域内的相关实体签发一个网上身份证——数字证书，来保证公钥的可靠性，以及它与合法用户的对应关系。数字证书中主要包含的就是证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名，以及有关的扩展内容等。

具备了这些条件，就可以在具体的业务中有效实现交易双方的身份认证。作为认证体系的PKI，完成身份认证主要体现在以下所述的3个步骤和层次。

（1）交易双方建立连接后，首先一方验证另一方所持证书的有效性，通过访问证书目录，查询各自的证书撤销列表，以确认各自的证书都是当前使用的有效证书。这一查询就可以对双方的身份进行确认，因为CA为每个实体签发证书前就对其身份做了必要信用度的审核。

（2）交易一方验证另一方所持证书是否为共同认可的可信CA签发，即CA的有效性。由于在系统的初始化时各交易实体已获得可信CA的公钥，而且每个实体所持证书中都有该CA所做的签名。因此，如果所要验证的证书是由该CA签发，那么验证一方就可以用所拥有的CA公钥对CA所做的签名进行有效的验证。这样保证了CA的可靠性。

（3）完成了以上的验证，证书的有效性得到了确认，在真正处理业务前，交易中的被验证一方还要对自己的ID和Password用所拥有的签名私钥进行签名，然后传给该交易中的验证一方。这时验证方就可以直接用被验证方的证书中的公钥对这次所做的签名进行验证，即用该公钥解密得到用户的ID和Password，并和用户注册的身份ID和Password进行比较，如果一致，就可以确认该用户的身份。可能有的系统是计算ID和Password的杂凑值，和事先存储的对应值进行比较，这样也可以有效地进行比较验证，而且避免了对用户口令的存储，以防口令泄露。

以上内容从3个方面保证了对所验证身份的可靠性。首先通过查询CRL，保证了交互各方的证书是可靠的；接着通过对CA签名的验证，保证了该CA正是为参与各方提供服务的可信的第三方CA；最后通过对被验证方身份和口令等属性的验证，保证了被认证对象的真实性。