網絡運維|公鑰基礎設施PKI

2020-05-06 17:19 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡運維工程師，在當今網絡中，存在著大量攻擊，那么安全技術有多么的重要可想而知，這里跟大家介紹DHCP Snooping。

PKI簡介

定義

公鑰基礎設施PKI（Public Key Infrastructure），是一種遵循既定標準的證書管理平臺，它利用公鑰技術能夠為所有網絡應用提供安全服務。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。

目的

隨著網絡技術和信息技術的發展，電子商務已逐步被人們所接受，并得到不斷普及。但通過網絡進行電子商務交易時，存在如下問題：

• 交易雙方并不現場交易，無法確認雙方的合法身份。
• 通過網絡傳輸時信息易被竊取和篡改，無法保證信息的安全性。
• 交易雙方發生糾紛時沒有憑證可依，無法提供仲裁。

為了解決上述問題，PKI技術應運而生，其利用公鑰技術保證在交易過程中能夠實現身份認證、保密、數據完整性和不可否認性。因而在網絡通信和網絡交易中，特別是電子政務和電子商務業務，PKI技術得到了廣泛的應用。

受益

• 用戶受益
  • 通過PKI證書認證技術，用戶可以驗證接入設備的合法性，從而可以保證用戶接入安全、合法的網絡中。
  • 通過PKI加密技術，可以保證網絡中傳輸的數據的安全性，數據不會被篡改和窺探。
  • 通過PKI簽名技術，可以保證數據的私密性，未授權的設備和用戶無法查看該數據。
• 企業受益
  • 企業可以防止非法用戶接入企業網絡中。
  • 企業分支之間可以建立安全通道，保證企業數據的安全性。

PKI的應用場景

在IPSec VPN中應用

如圖1所示，設備作為網絡A和網絡B的出口網關，網絡A和網絡B的內網用戶通過公網進行相互通信。因為公網是不安全的網絡，為了保護數據的安全性，設備采用IPSec技術，與對端設備建立IPSec隧道。通常情況下，IPSec采用預共享密鑰方式協商IPSec。但是，在大型網絡中IPSec采用預共享密鑰方式時存在密鑰交換不安全和配置工作量大的問題。為了解決上述問題，設備之間可以采用基于PKI的證書進行身份認證來完成IPSec隧道的建立。
圖1  在IPSec VPN中應用組網圖  采用基于PKI的證書進行身份認證后，IPSec在進行IKE協商過程中交換密鑰時，會對通信雙方進行身份認證，保證了密鑰交換的安全。而且，證書可以為IPSec提供集中的密鑰管理機制，并增強整個IPSec網絡的可擴展性。同時，在采用證書認證的IPSec網絡中，每臺設備都擁有PKI認證中心頒發的本地證書。有新設備加入時，只需要為新增加的設備申請一個證書，新設備就可以與其它設備進行安全通訊，而不需要對其他設備的配置進行修改，這大大減少了配置工作量。
 
以上文章由北京艾銻無限科技發展有限公司整理