公鑰基礎設施服務都提供哪些服務

公鑰基礎設施服務都提供的服務包括：

• 認證服務：認證服務即身份識別與認證，就是確認實體即為自己所聲明的實體，鑒別身份的真偽。以甲乙雙方的認證為例：甲首先要驗證乙的證書的真偽，乙在網上將證書傳送給甲，甲用CA的公鑰解開證書上CA的數字簽名，若簽名通過驗證，則證明乙持有的證書是真的；接著甲還要驗證乙身份的真偽，乙可將自己的口令用其私鑰進行數字簽名傳送給甲，甲已從乙的證書庫中查得了乙的公鑰，甲即可用乙的公鑰來驗證乙的數字簽名。若該簽名通過驗證，乙在網上的身份就確鑿無疑了。

• 數據完整性服務：數據完整性服務就是確認數據沒有被修改過。實現數據完整性服務的主要方法是數字簽名，它既可以提供實體驗證，又可以保障被簽名數據的完整性，這由雜湊算法和簽名算法提供保證。雜湊算法的特點是輸入數據的任何變化都會引起輸出數據不可預測的極大變化，而簽名是用自己的私鑰將該雜湊值進行加密，然后與數據一道傳送給接收方。如果敏感數據在傳輸和處理過程中被篡改，接收方就不會收到完整的數字簽名，驗證就會失敗。反之，若簽名通過了驗證，就證明接收方收到的是未經修改的完整數據。

• 數據保密性服務：PKI的保密性服務采用了“數字信封”機制，即發送方先產生一個對稱密鑰，并用該對稱密鑰加密數據。同時，發送方還用接收方的公鑰加密對稱密鑰，就像把它裝入一個“數字信封”，然后把被加密的對稱密鑰（“數字信封”）和被加密的敏感數據一起傳送給接收方。接收方用自己的私鑰拆開“數字信封”，并得到對稱密鑰，再用對稱密鑰解開被加密的敏感數據。

• 不可否認服務：不可否認服務是指從技術上保證實體對其行為的認可。在這中間，人們更關注的是數據來源的不可否認性、接收的不可否認性及接收后的不可否認性，此外還有傳輸的不可否認性、創建的不可否認性和同意的不可否認性。

• 公證服務：PKI中的公證服務與一般社會提供的公證人服務有所不同，PKI中支持的公證服務是指“數據認證”，也就是說，公證人要證明的是數據的有效性和正確性，這種公證取決于數據驗證的方式。例如，在PKI中被驗證的數據是基于雜湊值的數字簽名、公鑰在數學上的正確性和簽名私鑰的合法性。