理论教育 PKI技术及应用研究成果

PKI技术及应用研究成果

时间:2023-10-28 理论教育 版权反馈
【摘要】:简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI技术是数字加密技术的一部分,广义上说,采用公开密钥技术的都可以称为PKI技术。PKI技术的应用范围非常广泛,典型的基于PKI技术的常用技术包括虚拟专用网、安全电子邮件、Web安全等。

PKI技术及应用研究成果

(一)PKI概述

PKI(Public Key Infrastructure)即“公钥基础设施”,是一种按照既定标准的密钥管理平台,能够为所有网络应用提供加密、数字签名、识别和认证等密码服务及所必需的密钥和证书管理体系。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务关键和基础技术。

PKI技术是数字加密技术的一部分,广义上说,采用公开密钥技术的都可以称为PKI技术。一个完整的PKI系统必须包括权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口(API)5个基本构成部分。使用PKI技术的意义在于:通过PKI技术可以构建一个可管、可控、安全的互联网络;可以在互联网中构建一个完整的授权服务体系;可以建设一个适用性好、安全性高的统一平台。

PKI技术的应用范围非常广泛,典型的基于PKI技术的常用技术包括虚拟专用网(Virtual Private Network,VPN)、安全电子邮件、Web安全等。在本节第二小节所学习的PGP系统就是保障电子邮件安全的一种非常重要的手段;Web安全的内容将在第七章详细介绍;下面主要介绍另一种典型的基于PKI的安全技术——虚拟专用网。

(二)虚拟专用网(VPN)

VPN是一种架构在公共网络(如Internet)上的专业数据通信网络,利用网络层安全协议(尤其是IPSec)和建立在PKI上的加密和认证技术,来保证传输数据的机密性、完整性、身份验证和不可否认性。作为大型企业网络的补充,VPN技术通常用于实现远程安全接入和管理,目前被很多企业所广泛采用。图4-44所示的就是一个远程访问VPN的例子。

图4-44 远程访问VPN示意图

通常情况下,一个完整的VPN远程访问系统包括3个基本单元:VPN服务器、客户端和数据通道。目前,除了Windows Server操作系统内置的VPN系统之外,大多数网络交换机路由器和网络管理软件都已经集成了VPN功能,可以用于搭建VPN服务器,用户无需增加额外的投资,即可实现安全可靠的远程连接。下面的演示实验通过Windows Server 2003搭建VPN服务器,实现VPN远程连接访问。

【实验目的】

安装并配置Windows Server内置的VPN系统,使得远程用户可以穿过互联网,通过VPN技术访问公司内网资源,保证传输数据的机密性、完整性、身份验证和不可否认性。

【实验场景】

一个企业的分支机构局域网内部的PC,需要跨越不安全的公共网络Internet访问企业总部的内部资源,为了保证数据的安全传输,可以使用VPN构建安全隧道进行访问。

【实验拓扑

VPN系统拓扑图如图4-45所示。

图4-45 VPN系统拓扑图

图4-45中,PCl-VPN-Client模拟VPN客户端,PC2-Internet模拟Internet上的路由器,PC3-VPN-Server模拟VPN服务器,PC4-Server模拟企业总部的内部服务器。

【实验环境

交换机sw1和4台装有Windows Server 2003操作系统的计算机PCI、PC2、PC3、PC4。

【实验内容】

任务1:配置PC机的IP地址

PCI、PC2、PC3、PC4 4台计算机的IP地址配置如表4-5所示。

表4-5 VPN系统中各计算机的IP地址配置表

任务2:在PC2上配置路由。

(1)停止PC2计算机上的防火墙服务:在服务列表中将“Windows Firewall/Internet Connection Sharing(ICS)”服务禁用。

(2)执行【开始】→【程序】→【管理工具】→【路由和远程访问】命令,显示图4-46所示的【路由和远程访问】对话框。

图4-46 【路由和远程访问】对话框

(3)用鼠标右键单击服务器名称“405-05(本地)”,在弹出的快捷菜单中选择【配置并启用路由和远程访问】选项,显示如图4-47所示的安装向导。

图4-47 路由和远程访问服务器安装向导之一

(4)单击按钮,显示如图4-48所示的对话框,在其中选择选项。

图4-48 路由和远程访问服务器安装向导之二

(5)单击按钮,显示如图4-49所示的对话框,在其中选择选项。

图4-49 路由和远程访问服务器安装向导之三

(6)单击按钮,显示如图4-50所示的对话框。

图4-50 路由和远程访问服务器安装向导之四

(7)单击按钮完成安装向导,并在随后出现的对话框中选择【是】按钮,确认启动路由和远程访问服务。这样,PC2的路由功能就启动起来了,如图4-51所示。

图4-51 启动路由和远程访问服务

(8)测试PC1与PC3的连通性,如图4-52所示。

图4-52 路由测试

任务3:在PC3上配置并启用VPN服务器。

(1)停止PC3计算机上的防火墙服务,具体操作步骤和PC2上的一样,这里不再重复。

(2)打开【路由和远程访问】对话框(和图4-47类似),用鼠标右键单击服务器名称“405-06(本地)”,在弹出的快捷菜单中选择【配置并启用路由和远程访问】命令,启动配置向导。

(3)在如图4-53所示的配置对话框中选中单选项。

(4)单击按钮,显示如图4-54所示的对话框,在其中选中复选项。

图4-53 允许远程访问

图4-54 选择远程访问类型

(5)单击按钮,显示如图4-55所示的对话框,在其中指定连接到外网的网络接口。

(6)单击按钮,显示如图4-56所示的对话框,在其中指定连接到的内部网络。

图4-55 指定外网地址

图4-56 指定内网地址

(7)单击按钮,显示如图4-57所示的对话框,在其中选择单选项,为客户端指定IP地址范围。

(www.daowen.com)

图4-57 为客户端准备的IP地址池

(8)单击按钮,并在弹出的对话框中单击【新建】按钮,新建一个IP地址范围,如图4-58所示。

图4-58 新建一个IP地址范围

(9)单击按钮,确定IP地址范围,显示如图4-59所示的对话框。

(10)单击按钮,显示如图4-60所示的对话框。

(11)选择单选项,进行本地身份验证。单击按钮,并在随后出现的对话框中单击按钮,出现如图4-61所示的对话框。

图4-59 指定地址范围指定

图4-60 本地身份验证

图4-61 DHCP中继

(12)单击按钮完成配置工作。这时,在【路由和远程访问】对话框中将显示详细的配置信息,如图4-62所示。

图4-62 VPN接口

任务4:在PC3上建立VPN拨入用户账号。

(1)使用“计算机管理”工具,在Windows系统中创建一个名为“vpnuser1”、密码为“ntsec”的新用户。

(2)打开该用户账号的属性对话框,并切换到【拨入】选项卡,在【远程访问权限(拨入或VPN)】区域中选择单选项,如图4-63所示。

图4-63 创建VPN拨入用户

任务5:在PC1上配置VPN客户端。

(1)用鼠标右键单击【网上邻居】,在弹出的快捷菜单中选择【属性】选项,打开【网络连接】对话框。

(2)在【网络连接】对话框中单击【新建连接向导】按钮启动新建连接向导。

(3)在随后出现的【新建连接向导】对话框中单击按钮.显示如图4-64所示的【网络连接类型】对话框,在其中选中单选项。

(4)单击按钮,显示如图4-65所示的【网络连接】对话框,在其中选中单选项.

(5)单击按钮,显示如图4-66所示的【连接名】对话框,在其中为VPN连接命名。

(6)单击按钮,显示如图4-67所示的【VPN服务器选择】对话框,在其中输入VPN服务器的主机名或IP地址。

图4-64 选择网络连接类型

图4-65 创建VPN连接

图4-66 为VPN连接命名

图4-67 指定远程VPN服务器地址

(7)单击按钮,显示如图4-68所示的【可用连接】对话框。

(8)根据实际情况设定该连接【任何人使用】或【只有我使用】,单击按钮,显示【正在完成新建连接向导】对话框,在其中单按钮,完成新建连接向导。

任务6:在PC1上建立并测试VPN连接。

(1)双击前面新建的VPN连接,显示如图4-69所示的对话框。在【用户名文本框中输入“vpnuser1”,在【密码】文本框中输入“ntsec”,然后单击按钮。

图4-68 VPN网络使用人

图4-69 VPN拨号对话框

(2)用户名和密码验证成功后,在【网络连接】对话框中出现“PC3-Headquarter”,如图4-70所示。

(3)用鼠标右键单击【PC3-Headquarter】选项,在弹出的快捷菜单中选择【状态】选项,可以显示VPN连接的状态,如图4-71所示,从中可以看到VPN服务器类型、身份验证和加密算法、服务器和客户端的IP地址等信息。

图4-70 VPN连接成功

图4-71 VPN连接状态信息

(4)在PC1上使用“ipconfig”命令,也可以看到PC1从PC3(VPN Server)处获得了一个IP地址172.16.1.5,如图4-72所示。

图4-72 查看VPN客户端IP并测试VPN流量

这时使用ping 192.168.34.4(PC4)模拟访问总部内部的服务器可见也是成功的。

(5)在PC3上使用route print命令,可以看到有一条到达172.16.1.5(PC1)的路由,如图4-73所示。

图4-73 VPN服务器路由表

(6)在PC3上打开【路由和远程访问】对话框,依次展开【405-06(本地)】→【端口】,找到状态为“活动”的条目并双击它,可以看到VPN服务器接入的活动端口,如图4-74所示。

(7)用鼠标右键单击【端口】,在弹出的快捷菜单中选【属性】,显示如图4-75所示的对话框。

图4-74 VPN服务器接入的活动端口

图4-75 可同时接入的数量

可见默认情况下,VPN Server同时允许有PPTP类型的128个连接。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈