「PKI」- Public Key Infrastructure（公钥基础设施）

2023-01-30 CREATED BY JENKINSBOT

问题描述

随着网络技术和信息技术的发展，电子商务已逐步被人们所接受，并得到不断普及。

但通过网络进行电子商务交易时，存在如下问题：
1）交易双方并不现场交易，无法确认双方的合法身份。
2）通过网络传输时信息易被窃取和篡改，无法保证信息的安全性。
3）交易双方发生纠纷时没有凭证可依，无法提供仲裁。

以下图为例（总结这些技术间的演进过程），甲和乙通过 Internet 进行通信，丙为攻击者专门破坏甲和乙间的通信：

为了解决上述问题，PKI 技术应运而生，PKI（Public Key Infrastructure，公钥基础设施），是一种遵循既定标准的证书管理平台，通过利用公钥技术能够为所有网络应用提供安全服务。

PKI 的核心技术就围绕着数字证书的申请、颁发、使用等整个生命周期进行展开，而在这整个生命周期过程中，PKI 会使用到对称密钥加密、公钥加密、数字信封、数字签名技术。

其利用公钥技术保证在交易过程中能够实现身份认证、保密、数据完整性、不可否认性。

在网络通信和网络交易中，特别是电子政务和电子商务业务，PKI技术得到了广泛的应用。
PKI 技术是信息安全技术的核心，也是电子商务的关键和基础技术。

管理员可以通过HTTPS方式安全地登录HTTPS服务器的Web界面，并通过Web界面对设备进行管理。

为了提高双方建立SSL连接时的安全性，在设备上为 HTTPS Client 指定由 Web 浏览器信任的 CA 颁发的本地证书。这样，Web浏览器可以验证本地证书的合法性，避免了可能存在的主动攻击，保证了管理员的安全登录。

设备作为网络A和网络B的出口网关，网络A和网络B的内网用户通过公网进行相互通信。因为公网是不安全的网络，为了保护数据的安全性，设备采用IPSec技术，与对端设备建立IPSec隧道。

通常情况下，IPSec采用预共享密钥方式协商IPSec。但是，在大型网络中IPSec采用预共享密钥方式时存在密钥交换不安全和配置工作量大的问题。

为了解决上述问题，设备之间可以采用基于PKI的证书进行身份认证来完成IPSec隧道的建立。

SSL VPN可以为出差员工提供方便的接入功能，使其在出差期间也可以正常访问内部网络。

通常情况下，出差员工使用用户名和密码的方式接入内部网络。但是，这种安全手段存在保密性差的问题，一旦用户名和密码令泄漏，可能导致非法用户接入内部网络，从而造成信息泄漏。