網(wǎng)絡(luò)運維|公鑰基礎(chǔ)設(shè)施PKI

2020-05-06 17:19 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運維工程師，在當(dāng)今網(wǎng)絡(luò)中，存在著大量攻擊，那么安全技術(shù)有多么的重要可想而知，這里跟大家介紹DHCP Snooping。

PKI簡介

定義

公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure），是一種遵循既定標(biāo)準(zhǔn)的證書管理平臺，它利用公鑰技術(shù)能夠為所有網(wǎng)絡(luò)應(yīng)用提供安全服務(wù)。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。

目的

隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展，電子商務(wù)已逐步被人們所接受，并得到不斷普及。但通過網(wǎng)絡(luò)進(jìn)行電子商務(wù)交易時，存在如下問題：

• 交易雙方并不現(xiàn)場交易，無法確認(rèn)雙方的合法身份。
• 通過網(wǎng)絡(luò)傳輸時信息易被竊取和篡改，無法保證信息的安全性。
• 交易雙方發(fā)生糾紛時沒有憑證可依，無法提供仲裁。

為了解決上述問題，PKI技術(shù)應(yīng)運而生，其利用公鑰技術(shù)保證在交易過程中能夠?qū)崿F(xiàn)身份認(rèn)證、保密、數(shù)據(jù)完整性和不可否認(rèn)性。因而在網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易中，特別是電子政務(wù)和電子商務(wù)業(yè)務(wù)，PKI技術(shù)得到了廣泛的應(yīng)用。

受益

• 用戶受益
  • 通過PKI證書認(rèn)證技術(shù)，用戶可以驗證接入設(shè)備的合法性，從而可以保證用戶接入安全、合法的網(wǎng)絡(luò)中。
  • 通過PKI加密技術(shù)，可以保證網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的安全性，數(shù)據(jù)不會被篡改和窺探。
  • 通過PKI簽名技術(shù)，可以保證數(shù)據(jù)的私密性，未授權(quán)的設(shè)備和用戶無法查看該數(shù)據(jù)。
• 企業(yè)受益
  • 企業(yè)可以防止非法用戶接入企業(yè)網(wǎng)絡(luò)中。
  • 企業(yè)分支之間可以建立安全通道，保證企業(yè)數(shù)據(jù)的安全性。

PKI的應(yīng)用場景

在IPSec VPN中應(yīng)用

如圖1所示，設(shè)備作為網(wǎng)絡(luò)A和網(wǎng)絡(luò)B的出口網(wǎng)關(guān)，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B的內(nèi)網(wǎng)用戶通過公網(wǎng)進(jìn)行相互通信。因為公網(wǎng)是不安全的網(wǎng)絡(luò)，為了保護(hù)數(shù)據(jù)的安全性，設(shè)備采用IPSec技術(shù)，與對端設(shè)備建立IPSec隧道。通常情況下，IPSec采用預(yù)共享密鑰方式協(xié)商IPSec。但是，在大型網(wǎng)絡(luò)中IPSec采用預(yù)共享密鑰方式時存在密鑰交換不安全和配置工作量大的問題。為了解決上述問題，設(shè)備之間可以采用基于PKI的證書進(jìn)行身份認(rèn)證來完成IPSec隧道的建立。
圖1  在IPSec VPN中應(yīng)用組網(wǎng)圖  采用基于PKI的證書進(jìn)行身份認(rèn)證后，IPSec在進(jìn)行IKE協(xié)商過程中交換密鑰時，會對通信雙方進(jìn)行身份認(rèn)證，保證了密鑰交換的安全。而且，證書可以為IPSec提供集中的密鑰管理機(jī)制，并增強(qiáng)整個IPSec網(wǎng)絡(luò)的可擴(kuò)展性。同時，在采用證書認(rèn)證的IPSec網(wǎng)絡(luò)中，每臺設(shè)備都擁有PKI認(rèn)證中心頒發(fā)的本地證書。有新設(shè)備加入時，只需要為新增加的設(shè)備申請一個證書，新設(shè)備就可以與其它設(shè)備進(jìn)行安全通訊，而不需要對其他設(shè)備的配置進(jìn)行修改，這大大減少了配置工作量。
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理