網(wǎng)絡(luò)運(yùn)維|公鑰基礎(chǔ)設(shè)施PKI

2020-05-06 17:19 作者：艾銻無(wú)限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，在當(dāng)今網(wǎng)絡(luò)中，存在著大量攻擊，那么安全技術(shù)有多么的重要可想而知，這里跟大家介紹DHCP Snooping。

PKI簡(jiǎn)介

定義

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure），是一種遵循既定標(biāo)準(zhǔn)的證書(shū)管理平臺(tái)，它利用公鑰技術(shù)能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供安全服務(wù)。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。

目的

隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展，電子商務(wù)已逐步被人們所接受，并得到不斷普及。但通過(guò)網(wǎng)絡(luò)進(jìn)行電子商務(wù)交易時(shí)，存在如下問(wèn)題：

• 交易雙方并不現(xiàn)場(chǎng)交易，無(wú)法確認(rèn)雙方的合法身份。
• 通過(guò)網(wǎng)絡(luò)傳輸時(shí)信息易被竊取和篡改，無(wú)法保證信息的安全性。
• 交易雙方發(fā)生糾紛時(shí)沒(méi)有憑證可依，無(wú)法提供仲裁。

為了解決上述問(wèn)題，PKI技術(shù)應(yīng)運(yùn)而生，其利用公鑰技術(shù)保證在交易過(guò)程中能夠?qū)崿F(xiàn)身份認(rèn)證、保密、數(shù)據(jù)完整性和不可否認(rèn)性。因而在網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易中，特別是電子政務(wù)和電子商務(wù)業(yè)務(wù)，PKI技術(shù)得到了廣泛的應(yīng)用。

受益

• 用戶受益
  • 通過(guò)PKI證書(shū)認(rèn)證技術(shù)，用戶可以驗(yàn)證接入設(shè)備的合法性，從而可以保證用戶接入安全、合法的網(wǎng)絡(luò)中。
  • 通過(guò)PKI加密技術(shù)，可以保證網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的安全性，數(shù)據(jù)不會(huì)被篡改和窺探。
  • 通過(guò)PKI簽名技術(shù)，可以保證數(shù)據(jù)的私密性，未授權(quán)的設(shè)備和用戶無(wú)法查看該數(shù)據(jù)。
• 企業(yè)受益
  • 企業(yè)可以防止非法用戶接入企業(yè)網(wǎng)絡(luò)中。
  • 企業(yè)分支之間可以建立安全通道，保證企業(yè)數(shù)據(jù)的安全性。

PKI的應(yīng)用場(chǎng)景

在IPSec VPN中應(yīng)用

如圖1所示，設(shè)備作為網(wǎng)絡(luò)A和網(wǎng)絡(luò)B的出口網(wǎng)關(guān)，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B的內(nèi)網(wǎng)用戶通過(guò)公網(wǎng)進(jìn)行相互通信。因?yàn)楣W(wǎng)是不安全的網(wǎng)絡(luò)，為了保護(hù)數(shù)據(jù)的安全性，設(shè)備采用IPSec技術(shù)，與對(duì)端設(shè)備建立IPSec隧道。通常情況下，IPSec采用預(yù)共享密鑰方式協(xié)商IPSec。但是，在大型網(wǎng)絡(luò)中IPSec采用預(yù)共享密鑰方式時(shí)存在密鑰交換不安全和配置工作量大的問(wèn)題。為了解決上述問(wèn)題，設(shè)備之間可以采用基于PKI的證書(shū)進(jìn)行身份認(rèn)證來(lái)完成IPSec隧道的建立。
圖1  在IPSec VPN中應(yīng)用組網(wǎng)圖  采用基于PKI的證書(shū)進(jìn)行身份認(rèn)證后，IPSec在進(jìn)行IKE協(xié)商過(guò)程中交換密鑰時(shí)，會(huì)對(duì)通信雙方進(jìn)行身份認(rèn)證，保證了密鑰交換的安全。而且，證書(shū)可以為IPSec提供集中的密鑰管理機(jī)制，并增強(qiáng)整個(gè)IPSec網(wǎng)絡(luò)的可擴(kuò)展性。同時(shí)，在采用證書(shū)認(rèn)證的IPSec網(wǎng)絡(luò)中，每臺(tái)設(shè)備都擁有PKI認(rèn)證中心頒發(fā)的本地證書(shū)。有新設(shè)備加入時(shí)，只需要為新增加的設(shè)備申請(qǐng)一個(gè)證書(shū)，新設(shè)備就可以與其它設(shè)備進(jìn)行安全通訊，而不需要對(duì)其他設(shè)備的配置進(jìn)行修改，這大大減少了配置工作量。
 
以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理