中国公开密钥基础设施（PKI）行业现状及物联网推动行业发展分析[图]

    在网络安全中，身份认证作为第一道，甚至是最重要的一道防线。身份认证就是在网络系统中通过某种手段确认操作者身份的过程，其目的在于判明和确认通信双方和信息内容的真实性。基于公共密钥的认证机制拥有Kerberos的认证机制的优点，同时使用非对称加密技术，拥有极高的安全性，也解决了用户过多时密钥管理的问题，是目前应用中最为安全可靠的方法，但是实现起来较为复杂，需要建设相应的配套设施，目前较为流行和完善的是以PKI为核心的一套信息安全系统。当前网络技术快速升级迭代，建设基于PKI的网络安全系统是网络安全面临的一项紧迫任务。

    PKI中核心载体为数字证书，即由具有公信力的机构（CA）为个人颁发的身份证明，其可看作个人在虚拟网络世界的身份证。PKI产品广泛应用于平时生活中，使用PKI技术的应用包括安全认证网管关（保证远程连接安全）、网银（UsbKey证书或文件证书）、安全电子交易（数字签名和验签）等。目前，国内设计高等级安全性应用的相关领域，均不同程度的采用了PKI技术。受益等保2.0，在金融领域、移动支付领域、云计算领域、电子政务领域都对PKI技术有强需求。且未来物联网有巨大市场空间，密码应用产业将是一片蓝海。

    一、现状

    随着信息化的快速发展，对国家、组织、公司或个人来说至关重要的信息越来越多的通过网络来进行存储、传输和处理，为获取这些关键信息的各种网络犯罪也相应急剧上升。企业以及电子政务的信息系统面临着越来越严重的外部或内部的各种攻击，包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。当前，网络安全在某种意义上已经成为一个事关国家安全和社会经济稳定的重大问题，受到越来越多的重视。

    在网络安全中，身份认证是第一道，甚至是最重要的一道防线。身份认证就是在网络系统中通过某种手段确认操作者身份的过程，其目的在于判明和确认通信双方和信息内容的真实性。

    用户访问网络资源的流程

    数据来源：公开资料整理

    一般情况下，用户在访问系统之前，首先要经过身份认证系统来识别身份，而后才能访问监视器。根据用户的身份和授权数据库来决定用户是否有权访问某个资源，审计系统记录用户的请求和行为，同时入侵检测系统会实时或非实时地检测是否有入侵行为。可以看出，身份认证是网络安全体系中的第一道关卡，其它的安全服务如访问控制、审计等都依赖于它。一旦非法用户通过了身份认证，就会对系统和资源的安全构成极大的威胁。因此，身份认证是网络安全中的一个重要环节。

    在整个安全系统中，身份认证技术是重点，基本安全服务就是身份认证，其他安全服务也都建立在身份认证的基础上。这使得身份认证系统具有十分重要的地位，也最容易遭受攻击。因此，建立安全的身份认证系统是网络安全的首要步骤。目前常用的网络身份认证机制包括基于口令的身份认证机制、挑战/响应认证机制、基于DCE/Kerberos的认证机制以及基于公共密钥的认证机制。

    基于公共密钥的认证机制架构

    数据来源：公开资料整理

常用身份认证机制

数据来源：公开资料整理

    二、PKI分析

    基于公共密钥的认证机制实现起来较为复杂，需要建设相应的配套设施，目前较为流行和完善的是以PKI为核心的一套信息安全系统。
身份认证技术是网络安全基础性和核心的技术，构成网络空间安全的第一道防线，发挥着，保底作用。当前网络技术快速升级迭代，建设基于PKI的网络安全系统是网络安全面临的一项紧迫任务。

    PKI即公钥基础设施（PublicKeyInfrastructure），是用公钥概念与技术来实施和提供安全服务的普适安全基础设施，是产生、管理、储存、分发和撤销基于公开密钥密码学的公钥证书所必须的软件、硬件、人、策略和处理过程的集合；是国际公认的能够全面解决信息安全问题的、普遍适用的一整套信息安全系统。

    PKI技术架构

    数据来源：公开资料整理

    1、哈希算法

    保证数据的完整性，用指定算法根据原始数据计算出校验值。接收方用同样的算法计算一次校验值，如果和随数据提供的校验值一样，就说明数据是完整的。常用的几种数据校验方式有奇偶校验、CRC校验、LRC校验、格雷码校验、基于摘要算法的校验等。其中，基于摘要算法的校验是安全性最高的方式。

    摘要算法也被称为哈希（Hash）算法、散列算法。Hash函数其作用是对整个消息进行变换，产生一个长度固定但较短的数据序列，这一过程可看作是一种压缩编码。接受者收到发送的信息序列后，按照发送端同样的方法对接收的数据或解密后的数据的前面部分进行计算，得到相应的r位数字Ar或Dr而后，与接收恢复后的As或Ds逐位进行比较，若全部相同，就可认为收到的信息是合法的，否则检出消息有错或被窜改过。当主动攻击者在不知道密钥的情况下，随机选择r位碰运气，其成功伪造消息的概率为2−。常见的摘要算法包括MD5、SHA、MAC等。

    在PKI系统中使用的是MAC(MessageAuthenticationCode)验证方法，兼容了MD和SHA算法的特性，并在此基础上加上了密钥，因此MAC算法也经常被称作HMAC算法。

    哈希算法流程

数据来源：公开资料整理

    2、数据加密

    信息加密技术常用的方法为对称加密算法和非对称加密算法。

    在对称加密算法中，数据发信方将原始数据和加密密钥经过特殊加密算法处理后，变成复杂的加密密文发送出去。收信方收到密文后，需要使用加密用过的密钥及相同算法的逆算法对密文进行解密。在对称加密算法中，只使用的一个密钥，发收信双方均使用该密钥对数据进行加密和解密。

    对称算法流程

数据来源：公开资料整理

    对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。不足之处是，交易双方使用同样的钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的唯一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。因为密钥管理困难，使用成本较高，对称加密算法在分布式网络系统上使用较为困难。

    非对称加密算法使用两把完全不同但又完全匹配的一对钥匙——公钥和私钥。非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。

    在PKI体系中使用的是双钥和单钥密码相结合的混合加密体制，即加密时采用单钥密码，密钥传送则采用双钥密码。这样既解决了密钥管理的困难，又解决了加解密速度的问题。

    3、 数字证书

    PKI中最重要的就是引入了数字证书。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件，最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字签名，是指用户用自身私钥对原始数据的哈希摘要进行加密所得的数据，是非对称密钥加密技术与Hash摘要技术的应用。数字签名技术是将摘要信息用发送者的私钥加密，生成一段信息，与原文一起传送给接收者。这段信息类似于现实中的签名或印证，接收方对其进行验证，判断原文真伪。数字签名在PKI中提供数据完整性保护和不可否认性服务。

    4、 交叉认证

    建立和管理一个全世界所有用户都信赖的全球性系统是不现实的，比较可行的方案是建立多个信任域，独立地运行和操作，然后在不同的信任域之间建立起‚交叉认证的能力。在网络环境中，PKI为需要进行安全通信的双方建立了一种信任关系，这种信任关系的建立是通过对证书链的验证来完成的。证书链由一系列彼此相连接的证书组成，起始端称为‚信任锚，是验证方信任的起始点。证书链的末端是要验证的用户证书，中间可能存在零或多个CA证书。‚信息锚的选择和证书链的构造方式不是唯一的，并构成了不同的信任模式。信任模式包括级联模式、网状模式、以及混合模式等。

    PKI是目前应用最为广泛的一种加密和认证体系，其安全性建立在负载的数学运算方式上，能够有效解决身份认证、访问控制、数据安全、数字签名及验证等诸多安全问题。

    三、应用市场

    网络安全形势不容乐观，加强网络身份认证体系建设势在必行。

    我国是网络高级持续性威胁攻击主要受害国，金融、能源、交通、教育等行业是‚重灾区。近年来电子政务、电子商务高速发展，但网络安全监管和防御能力严重‚拖后腿。网络安全投资占信息化建设总经费比例不足1%，与美国15%、欧洲10%的水平差距甚大。既没摆脱高端技术受制于人现状，也没做到服务应用安全可控。网络攻击、信息窃取和破坏事件屡屡发生。

    基础信息网络和重要信息系统隐患突出。有关部门对我政府机构、金融、电信、能源、铁路部门和军工企业等120多个单位896个信息系统检测，发现高危漏洞1.2万个。国家安全信息库显示，截止2017年10月，境内被植入后门的网站2180个，全国政务网站存在3004个告警信息，境内被篡改网站数量5163个，被木马或僵尸程序控制IP地址对应主机数84万个。仅2018年12月，境内感染网络病毒的终端数为近78万个；境内被篡改网站数量为1376个，其中被篡改政府网站数量为80个；境内被植入后门的网站数量为2317个，其中政府网站有34个；针对境内网站的仿冒页面数量为5324个；国家信息安全漏洞共享平台（CNVD）收集整理信息系统安全漏洞1206个，其中，高危漏洞481个，可被利用来实施远程攻击的漏洞有1067个。

    截止到2018年6月底，我国互联网普及率增长至57.7%，网民规模达到8.02亿人，较2017年底增长3.8%。而2009年，我国网民规模仅有3.84人人，互联网普及率仅为29.0%。我国网民数量快速增长，用户规模庞大，网络应用日益多样化，推动了我国互联网市场高速发展，但同时网络安全问题日益严重，2018年，我国多个地区的多家医院遭遇勒索病毒；包括华住集团和万豪集团在内的酒店用户信息被频繁泄露；苹果手机用户账号被盗刷。这一系列网络安全事件表明我国信息安全工作正面临严峻考验，网络身份认证推行势在必行。

    2017年，我国网络身份认证市场中，硬件产品市场份额占比达到50.1%；软件产品市场份额占比为39.1%；服务产品市场份额占比为10.8%。我国网络身份认证市场中，硬件产品占据最大市场份额，由于我国网络身份认证仍处于普及阶段，硬件市场需求较大，随着后期普及率不断上升，软件和服务市场占有率将逐步上升。

    我国网络身份认证应用主要集中在银行与金融相关领域，随着技术不断成熟，网络身份认证应用范围将逐步扩大至电子政务、企事业OA/VPN系统、云计算、IC卡等各种用户信息较为密集、同样面临信息安全问题的行业中。

    行业规模持续扩大随着下游应用市场不断扩宽，我国网络身份认证行业发展前景广阔。我国网络身份认证市场规模由2014年的44亿元增长至2018年的132亿元，年均复合增长率达到31.6%。

    2014-2018年我国网络身份认证信息安全行业市场规模

数据来源：公开资料整理

    四、行业发展趋势

    身份认证领域占整体安全规模的比重将超30%，据调查数据显示，预计到2022年，网络身份认证信息安全市场规模有望达到291亿元，前景可观。网络身份认证信息安全行业发展趋势未来将有如下五大发展趋势：

    1、 网络安全日益严峻，互联网及移动互联网信息安全急需加强。

    随着互联网的发展，尤其是商务类应用的快速发展，网络安全问题日益严峻，互联网信息安全急需加强。此外，移动支付的兴起，令移动信息安全问题也随之凸显。

    2、 网上银行、电子支付快速发展，将推动身份认证信息安全产品的应用。

    随着电子银行业的迅速发展，业务的安全性也日益受到用户的重视，安全性仍是选择手机银行品牌的核心考虑因素。因此，网上银行、电子支付快速发展将进一步推动身份认证信息安全产品的应用。

    3、 身份认证信息安全产品的应用范围将从银行业逐步扩展到其他行业。

    如电子商务、电子政务、移动支付、云计算等。

    4、产品升级换代将越来越快。随着应用环境的日益复杂，各种攻击手段层出不穷，客观上将促进身份认证安全产品的不断升级换代。

    5、加密算法升级换代、数字认证存在有效期、OTP动态令牌产品电池寿命期有限等将推动存量市场的产品更新换代。

    6、国家不断完善网络安全政策，网络安全重要性凸显，国家战略出台指导行业发展。

我国网络安全方面主要政策

数据来源：公开资料整理

    网络安全等级保护已经进入2.0时代，等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施，对重要基础设施重要系统以及“云、物、移、大、工”纳入等保监管，将互联网企业纳入等级保护管理。等保2.0的标准是国内非涉密信息系统的安全集成标准，网络安全法是作为法律、中国信息安全的基本法。网络安全法中明确的提到信息安全的建设要遵照等级保护标准来做建设。

    伴随着物联网技术的兴起，5G、区块链、人工智能这三大引领未来的信息技术将对当今世界产生深远影响。从家用电器、健康监测设备、路面传感器到智能门锁和无人驾驶汽车，以物联网为代表的下一代智能联网设备，正迅速成为人们工作和生活的重要组成部分，由此带来的最大挑战是，如何在突破既有边界防护的情况下，灵活高效地解决谁是谁、谁拥有谁、谁能访问谁、谁为谁服务等问题。
未来，从基础网络系统到应用代码和数据，从海量边缘节点到核心网络，从智能家居到工业互联，密码将追随物联网泛在部署的脚步而无处不在。物联网将成为密码产业发展的蓝海，为提升产业供给、带动创新发展提供广阔空间。

    相关报告：智研咨询发布的《2019-2025年中国PKI行业市场深度分析及投资战略研究报告》

标签： [db:TAGG]

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。