中國公開密鑰基礎(chǔ)設(shè)施（PKI）行業(yè)現(xiàn)狀及物聯(lián)網(wǎng)推動行業(yè)發(fā)展分析[圖]

    在網(wǎng)絡(luò)安全中，身份認(rèn)證作為第一道，甚至是最重要的一道防線。身份認(rèn)證就是在網(wǎng)絡(luò)系統(tǒng)中通過某種手段確認(rèn)操作者身份的過程，其目的在于判明和確認(rèn)通信雙方和信息內(nèi)容的真實性?；诠裁荑€的認(rèn)證機(jī)制擁有Kerberos的認(rèn)證機(jī)制的優(yōu)點，同時使用非對稱加密技術(shù)，擁有極高的安全性，也解決了用戶過多時密鑰管理的問題，是目前應(yīng)用中最為安全可靠的方法，但是實現(xiàn)起來較為復(fù)雜，需要建設(shè)相應(yīng)的配套設(shè)施，目前較為流行和完善的是以PKI為核心的一套信息安全系統(tǒng)。當(dāng)前網(wǎng)絡(luò)技術(shù)快速升級迭代，建設(shè)基于PKI的網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)安全面臨的一項緊迫任務(wù)。

    PKI中核心載體為數(shù)字證書，即由具有公信力的機(jī)構(gòu)（CA）為個人頒發(fā)的身份證明，其可看作個人在虛擬網(wǎng)絡(luò)世界的身份證。PKI產(chǎn)品廣泛應(yīng)用于平時生活中，使用PKI技術(shù)的應(yīng)用包括安全認(rèn)證網(wǎng)管關(guān)（保證遠(yuǎn)程連接安全）、網(wǎng)銀（UsbKey證書或文件證書）、安全電子交易（數(shù)字簽名和驗簽）等。目前，國內(nèi)設(shè)計高等級安全性應(yīng)用的相關(guān)領(lǐng)域，均不同程度的采用了PKI技術(shù)。受益等保2.0，在金融領(lǐng)域、移動支付領(lǐng)域、云計算領(lǐng)域、電子政務(wù)領(lǐng)域都對PKI技術(shù)有強(qiáng)需求。且未來物聯(lián)網(wǎng)有巨大市場空間，密碼應(yīng)用產(chǎn)業(yè)將是一片藍(lán)海。

    一、現(xiàn)狀

    隨著信息化的快速發(fā)展，對國家、組織、公司或個人來說至關(guān)重要的信息越來越多的通過網(wǎng)絡(luò)來進(jìn)行存儲、傳輸和處理，為獲取這些關(guān)鍵信息的各種網(wǎng)絡(luò)犯罪也相應(yīng)急劇上升。企業(yè)以及電子政務(wù)的信息系統(tǒng)面臨著越來越嚴(yán)重的外部或內(nèi)部的各種攻擊，包括黑客組織、犯罪集團(tuán)或信息戰(zhàn)時期信息對抗等國家行為的攻擊。當(dāng)前，網(wǎng)絡(luò)安全在某種意義上已經(jīng)成為一個事關(guān)國家安全和社會經(jīng)濟(jì)穩(wěn)定的重大問題，受到越來越多的重視。

    在網(wǎng)絡(luò)安全中，身份認(rèn)證是第一道，甚至是最重要的一道防線。身份認(rèn)證就是在網(wǎng)絡(luò)系統(tǒng)中通過某種手段確認(rèn)操作者身份的過程，其目的在于判明和確認(rèn)通信雙方和信息內(nèi)容的真實性。

    用戶訪問網(wǎng)絡(luò)資源的流程

    數(shù)據(jù)來源：公開資料整理

    一般情況下，用戶在訪問系統(tǒng)之前，首先要經(jīng)過身份認(rèn)證系統(tǒng)來識別身份，而后才能訪問監(jiān)視器。根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫來決定用戶是否有權(quán)訪問某個資源，審計系統(tǒng)記錄用戶的請求和行為，同時入侵檢測系統(tǒng)會實時或非實時地檢測是否有入侵行為?？梢钥闯觯矸菡J(rèn)證是網(wǎng)絡(luò)安全體系中的第一道關(guān)卡，其它的安全服務(wù)如訪問控制、審計等都依賴于它。一旦非法用戶通過了身份認(rèn)證，就會對系統(tǒng)和資源的安全構(gòu)成極大的威脅。因此，身份認(rèn)證是網(wǎng)絡(luò)安全中的一個重要環(huán)節(jié)。

    在整個安全系統(tǒng)中，身份認(rèn)證技術(shù)是重點，基本安全服務(wù)就是身份認(rèn)證，其他安全服務(wù)也都建立在身份認(rèn)證的基礎(chǔ)上。這使得身份認(rèn)證系統(tǒng)具有十分重要的地位，也最容易遭受攻擊。因此，建立安全的身份認(rèn)證系統(tǒng)是網(wǎng)絡(luò)安全的首要步驟。目前常用的網(wǎng)絡(luò)身份認(rèn)證機(jī)制包括基于口令的身份認(rèn)證機(jī)制、挑戰(zhàn)/響應(yīng)認(rèn)證機(jī)制、基于DCE/Kerberos的認(rèn)證機(jī)制以及基于公共密鑰的認(rèn)證機(jī)制。

    基于公共密鑰的認(rèn)證機(jī)制架構(gòu)

    數(shù)據(jù)來源：公開資料整理

常用身份認(rèn)證機(jī)制

數(shù)據(jù)來源：公開資料整理

    二、PKI分析

    基于公共密鑰的認(rèn)證機(jī)制實現(xiàn)起來較為復(fù)雜，需要建設(shè)相應(yīng)的配套設(shè)施，目前較為流行和完善的是以PKI為核心的一套信息安全系統(tǒng)。
身份認(rèn)證技術(shù)是網(wǎng)絡(luò)安全基礎(chǔ)性和核心的技術(shù)，構(gòu)成網(wǎng)絡(luò)空間安全的第一道防線，發(fā)揮著，保底作用。當(dāng)前網(wǎng)絡(luò)技術(shù)快速升級迭代，建設(shè)基于PKI的網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)安全面臨的一項緊迫任務(wù)。

    PKI即公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure），是用公鑰概念與技術(shù)來實施和提供安全服務(wù)的普適安全基礎(chǔ)設(shè)施，是產(chǎn)生、管理、儲存、分發(fā)和撤銷基于公開密鑰密碼學(xué)的公鑰證書所必須的軟件、硬件、人、策略和處理過程的集合；是國際公認(rèn)的能夠全面解決信息安全問題的、普遍適用的一整套信息安全系統(tǒng)。

    PKI技術(shù)架構(gòu)

    數(shù)據(jù)來源：公開資料整理

    1、哈希算法

    保證數(shù)據(jù)的完整性，用指定算法根據(jù)原始數(shù)據(jù)計算出校驗值。接收方用同樣的算法計算一次校驗值，如果和隨數(shù)據(jù)提供的校驗值一樣，就說明數(shù)據(jù)是完整的。常用的幾種數(shù)據(jù)校驗方式有奇偶校驗、CRC校驗、LRC校驗、格雷碼校驗、基于摘要算法的校驗等。其中，基于摘要算法的校驗是安全性最高的方式。

    摘要算法也被稱為哈希（Hash）算法、散列算法。Hash函數(shù)其作用是對整個消息進(jìn)行變換，產(chǎn)生一個長度固定但較短的數(shù)據(jù)序列，這一過程可看作是一種壓縮編碼。接受者收到發(fā)送的信息序列后，按照發(fā)送端同樣的方法對接收的數(shù)據(jù)或解密后的數(shù)據(jù)的前面部分進(jìn)行計算，得到相應(yīng)的r位數(shù)字Ar或Dr而后，與接收恢復(fù)后的As或Ds逐位進(jìn)行比較，若全部相同，就可認(rèn)為收到的信息是合法的，否則檢出消息有錯或被竄改過。當(dāng)主動攻擊者在不知道密鑰的情況下，隨機(jī)選擇r位碰運氣，其成功偽造消息的概率為2−。常見的摘要算法包括MD5、SHA、MAC等。

    在PKI系統(tǒng)中使用的是MAC(MessageAuthenticationCode)驗證方法，兼容了MD和SHA算法的特性，并在此基礎(chǔ)上加上了密鑰，因此MAC算法也經(jīng)常被稱作HMAC算法。

    哈希算法流程

數(shù)據(jù)來源：公開資料整理

    2、數(shù)據(jù)加密

    信息加密技術(shù)常用的方法為對稱加密算法和非對稱加密算法。

    在對稱加密算法中，數(shù)據(jù)發(fā)信方將原始數(shù)據(jù)和加密密鑰經(jīng)過特殊加密算法處理后，變成復(fù)雜的加密密文發(fā)送出去。收信方收到密文后，需要使用加密用過的密鑰及相同算法的逆算法對密文進(jìn)行解密。在對稱加密算法中，只使用的一個密鑰，發(fā)收信雙方均使用該密鑰對數(shù)據(jù)進(jìn)行加密和解密。

    對稱算法流程

數(shù)據(jù)來源：公開資料整理

    對稱加密算法的優(yōu)點是算法公開、計算量小、加密速度快、加密效率高。在計算機(jī)專網(wǎng)系統(tǒng)中廣泛使用的對稱加密算法有DES、IDEA和AES。不足之處是，交易雙方使用同樣的鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的唯一鑰匙，這會使得發(fā)收信雙方所擁有的鑰匙數(shù)量成幾何級數(shù)增長，密鑰管理成為用戶的負(fù)擔(dān)。因為密鑰管理困難，使用成本較高，對稱加密算法在分布式網(wǎng)絡(luò)系統(tǒng)上使用較為困難。

    非對稱加密算法使用兩把完全不同但又完全匹配的一對鑰匙——公鑰和私鑰。非對稱加密算法實現(xiàn)機(jī)密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機(jī)密信息進(jìn)行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的信息進(jìn)行解密。甲方只能用其專用密鑰解密由其公用密鑰加密后的任何信息。

    在PKI體系中使用的是雙鑰和單鑰密碼相結(jié)合的混合加密體制，即加密時采用單鑰密碼，密鑰傳送則采用雙鑰密碼。這樣既解決了密鑰管理的困難，又解決了加解密速度的問題。

    3、 數(shù)字證書

    PKI中最重要的就是引入了數(shù)字證書。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息和公開密鑰的文件，最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。數(shù)字簽名，是指用戶用自身私鑰對原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)，是非對稱密鑰加密技術(shù)與Hash摘要技術(shù)的應(yīng)用。數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，生成一段信息，與原文一起傳送給接收者。這段信息類似于現(xiàn)實中的簽名或印證，接收方對其進(jìn)行驗證，判斷原文真?zhèn)?。?shù)字簽名在PKI中提供數(shù)據(jù)完整性保護(hù)和不可否認(rèn)性服務(wù)。

    4、 交叉認(rèn)證

    建立和管理一個全世界所有用戶都信賴的全球性系統(tǒng)是不現(xiàn)實的，比較可行的方案是建立多個信任域，獨立地運行和操作，然后在不同的信任域之間建立起‚交叉認(rèn)證的能力。在網(wǎng)絡(luò)環(huán)境中，PKI為需要進(jìn)行安全通信的雙方建立了一種信任關(guān)系，這種信任關(guān)系的建立是通過對證書鏈的驗證來完成的。證書鏈由一系列彼此相連接的證書組成，起始端稱為‚信任錨，是驗證方信任的起始點。證書鏈的末端是要驗證的用戶證書，中間可能存在零或多個CA證書。‚信息錨的選擇和證書鏈的構(gòu)造方式不是唯一的，并構(gòu)成了不同的信任模式。信任模式包括級聯(lián)模式、網(wǎng)狀模式、以及混合模式等。

    PKI是目前應(yīng)用最為廣泛的一種加密和認(rèn)證體系，其安全性建立在負(fù)載的數(shù)學(xué)運算方式上，能夠有效解決身份認(rèn)證、訪問控制、數(shù)據(jù)安全、數(shù)字簽名及驗證等諸多安全問題。

    三、應(yīng)用市場

    網(wǎng)絡(luò)安全形勢不容樂觀，加強(qiáng)網(wǎng)絡(luò)身份認(rèn)證體系建設(shè)勢在必行。

    我國是網(wǎng)絡(luò)高級持續(xù)性威脅攻擊主要受害國，金融、能源、交通、教育等行業(yè)是‚重災(zāi)區(qū)。近年來電子政務(wù)、電子商務(wù)高速發(fā)展，但網(wǎng)絡(luò)安全監(jiān)管和防御能力嚴(yán)重‚拖后腿。網(wǎng)絡(luò)安全投資占信息化建設(shè)總經(jīng)費比例不足1%，與美國15%、歐洲10%的水平差距甚大。既沒擺脫高端技術(shù)受制于人現(xiàn)狀，也沒做到服務(wù)應(yīng)用安全可控。網(wǎng)絡(luò)攻擊、信息竊取和破壞事件屢屢發(fā)生。

    基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)隱患突出。有關(guān)部門對我政府機(jī)構(gòu)、金融、電信、能源、鐵路部門和軍工企業(yè)等120多個單位896個信息系統(tǒng)檢測，發(fā)現(xiàn)高危漏洞1.2萬個。國家安全信息庫顯示，截止2017年10月，境內(nèi)被植入后門的網(wǎng)站2180個，全國政務(wù)網(wǎng)站存在3004個告警信息，境內(nèi)被篡改網(wǎng)站數(shù)量5163個，被木馬或僵尸程序控制IP地址對應(yīng)主機(jī)數(shù)84萬個。僅2018年12月，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近78萬個；境內(nèi)被篡改網(wǎng)站數(shù)量為1376個，其中被篡改政府網(wǎng)站數(shù)量為80個；境內(nèi)被植入后門的網(wǎng)站數(shù)量為2317個，其中政府網(wǎng)站有34個；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為5324個；國家信息安全漏洞共享平臺（CNVD）收集整理信息系統(tǒng)安全漏洞1206個，其中，高危漏洞481個，可被利用來實施遠(yuǎn)程攻擊的漏洞有1067個。

    截止到2018年6月底，我國互聯(lián)網(wǎng)普及率增長至57.7%，網(wǎng)民規(guī)模達(dá)到8.02億人，較2017年底增長3.8%。而2009年，我國網(wǎng)民規(guī)模僅有3.84人人，互聯(lián)網(wǎng)普及率僅為29.0%。我國網(wǎng)民數(shù)量快速增長，用戶規(guī)模龐大，網(wǎng)絡(luò)應(yīng)用日益多樣化，推動了我國互聯(lián)網(wǎng)市場高速發(fā)展，但同時網(wǎng)絡(luò)安全問題日益嚴(yán)重，2018年，我國多個地區(qū)的多家醫(yī)院遭遇勒索病毒；包括華住集團(tuán)和萬豪集團(tuán)在內(nèi)的酒店用戶信息被頻繁泄露；蘋果手機(jī)用戶賬號被盜刷。這一系列網(wǎng)絡(luò)安全事件表明我國信息安全工作正面臨嚴(yán)峻考驗，網(wǎng)絡(luò)身份認(rèn)證推行勢在必行。

    2017年，我國網(wǎng)絡(luò)身份認(rèn)證市場中，硬件產(chǎn)品市場份額占比達(dá)到50.1%；軟件產(chǎn)品市場份額占比為39.1%；服務(wù)產(chǎn)品市場份額占比為10.8%。我國網(wǎng)絡(luò)身份認(rèn)證市場中，硬件產(chǎn)品占據(jù)最大市場份額，由于我國網(wǎng)絡(luò)身份認(rèn)證仍處于普及階段，硬件市場需求較大，隨著后期普及率不斷上升，軟件和服務(wù)市場占有率將逐步上升。

    我國網(wǎng)絡(luò)身份認(rèn)證應(yīng)用主要集中在銀行與金融相關(guān)領(lǐng)域，隨著技術(shù)不斷成熟，網(wǎng)絡(luò)身份認(rèn)證應(yīng)用范圍將逐步擴(kuò)大至電子政務(wù)、企事業(yè)OA/VPN系統(tǒng)、云計算、IC卡等各種用戶信息較為密集、同樣面臨信息安全問題的行業(yè)中。

    行業(yè)規(guī)模持續(xù)擴(kuò)大隨著下游應(yīng)用市場不斷擴(kuò)寬，我國網(wǎng)絡(luò)身份認(rèn)證行業(yè)發(fā)展前景廣闊。我國網(wǎng)絡(luò)身份認(rèn)證市場規(guī)模由2014年的44億元增長至2018年的132億元，年均復(fù)合增長率達(dá)到31.6%。

    2014-2018年我國網(wǎng)絡(luò)身份認(rèn)證信息安全行業(yè)市場規(guī)模

數(shù)據(jù)來源：公開資料整理

    四、行業(yè)發(fā)展趨勢

    身份認(rèn)證領(lǐng)域占整體安全規(guī)模的比重將超30%，據(jù)調(diào)查數(shù)據(jù)顯示，預(yù)計到2022年，網(wǎng)絡(luò)身份認(rèn)證信息安全市場規(guī)模有望達(dá)到291億元，前景可觀。網(wǎng)絡(luò)身份認(rèn)證信息安全行業(yè)發(fā)展趨勢未來將有如下五大發(fā)展趨勢：

    1、 網(wǎng)絡(luò)安全日益嚴(yán)峻，互聯(lián)網(wǎng)及移動互聯(lián)網(wǎng)信息安全急需加強(qiáng)。

    隨著互聯(lián)網(wǎng)的發(fā)展，尤其是商務(wù)類應(yīng)用的快速發(fā)展，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，互聯(lián)網(wǎng)信息安全急需加強(qiáng)。此外，移動支付的興起，令移動信息安全問題也隨之凸顯。

    2、 網(wǎng)上銀行、電子支付快速發(fā)展，將推動身份認(rèn)證信息安全產(chǎn)品的應(yīng)用。

    隨著電子銀行業(yè)的迅速發(fā)展，業(yè)務(wù)的安全性也日益受到用戶的重視，安全性仍是選擇手機(jī)銀行品牌的核心考慮因素。因此，網(wǎng)上銀行、電子支付快速發(fā)展將進(jìn)一步推動身份認(rèn)證信息安全產(chǎn)品的應(yīng)用。

    3、 身份認(rèn)證信息安全產(chǎn)品的應(yīng)用范圍將從銀行業(yè)逐步擴(kuò)展到其他行業(yè)。

    如電子商務(wù)、電子政務(wù)、移動支付、云計算等。

    4、產(chǎn)品升級換代將越來越快。隨著應(yīng)用環(huán)境的日益復(fù)雜，各種攻擊手段層出不窮，客觀上將促進(jìn)身份認(rèn)證安全產(chǎn)品的不斷升級換代。

    5、加密算法升級換代、數(shù)字認(rèn)證存在有效期、OTP動態(tài)令牌產(chǎn)品電池壽命期有限等將推動存量市場的產(chǎn)品更新?lián)Q代。

    6、國家不斷完善網(wǎng)絡(luò)安全政策，網(wǎng)絡(luò)安全重要性凸顯，國家戰(zhàn)略出臺指導(dǎo)行業(yè)發(fā)展。

我國網(wǎng)絡(luò)安全方面主要政策

數(shù)據(jù)來源：公開資料整理

    網(wǎng)絡(luò)安全等級保護(hù)已經(jīng)進(jìn)入2.0時代，等級保護(hù)制度已被打造成新時期國家網(wǎng)絡(luò)安全的基本國策和基本制度。應(yīng)急處置、災(zāi)難恢復(fù)、通報預(yù)警、安全監(jiān)測、綜合考核等重點措施全部納入等保制度并實施，對重要基礎(chǔ)設(shè)施重要系統(tǒng)以及“云、物、移、大、工”納入等保監(jiān)管，將互聯(lián)網(wǎng)企業(yè)納入等級保護(hù)管理。等保2.0的標(biāo)準(zhǔn)是國內(nèi)非涉密信息系統(tǒng)的安全集成標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全法是作為法律、中國信息安全的基本法。網(wǎng)絡(luò)安全法中明確的提到信息安全的建設(shè)要遵照等級保護(hù)標(biāo)準(zhǔn)來做建設(shè)。

    伴隨著物聯(lián)網(wǎng)技術(shù)的興起，5G、區(qū)塊鏈、人工智能這三大引領(lǐng)未來的信息技術(shù)將對當(dāng)今世界產(chǎn)生深遠(yuǎn)影響。從家用電器、健康監(jiān)測設(shè)備、路面?zhèn)鞲衅鞯街悄荛T鎖和無人駕駛汽車，以物聯(lián)網(wǎng)為代表的下一代智能聯(lián)網(wǎng)設(shè)備，正迅速成為人們工作和生活的重要組成部分，由此帶來的最大挑戰(zhàn)是，如何在突破既有邊界防護(hù)的情況下，靈活高效地解決誰是誰、誰擁有誰、誰能訪問誰、誰為誰服務(wù)等問題。
未來，從基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)到應(yīng)用代碼和數(shù)據(jù)，從海量邊緣節(jié)點到核心網(wǎng)絡(luò)，從智能家居到工業(yè)互聯(lián)，密碼將追隨物聯(lián)網(wǎng)泛在部署的腳步而無處不在。物聯(lián)網(wǎng)將成為密碼產(chǎn)業(yè)發(fā)展的藍(lán)海，為提升產(chǎn)業(yè)供給、帶動創(chuàng)新發(fā)展提供廣闊空間。

    相關(guān)報告：智研咨詢發(fā)布的《2019-2025年中國PKI行業(yè)市場深度分析及投資戰(zhàn)略研究報告》