信息化觀察網(wǎng)

研究背景

隨著物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，數(shù)據(jù)安全成為信息安全市場的熱點，而PKI應(yīng)用技術(shù)成為數(shù)據(jù)安全的核心。隨著信息安全政策進(jìn)一步落地，作為細(xì)分子行業(yè)之一，PKI產(chǎn)業(yè)公司收入增速有望大幅提速，有望超預(yù)期。

PKI系統(tǒng)介紹

PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全，并負(fù)責(zé)驗證數(shù)字證書持有者身份的一種體系。其目的通過一組由硬件、軟件、參與者、管理政策與流程組成的基礎(chǔ)架構(gòu)來創(chuàng)造、管理、分配、使用、存儲以及撤銷數(shù)字證書。PKI的功能是通過簽發(fā)數(shù)字證書來綁定證書持有者的身份和相關(guān)的公開密鑰，為用戶獲取證書、訪問證書和宣告證書作廢提供了方便的途徑。同時利用數(shù)字證書及相關(guān)的各種服務(wù)(證書發(fā)布、黑名單發(fā)布等)實現(xiàn)通信過程中各實體的身份認(rèn)證，提供了全面的信息安全支持。

一個典型的PKI系統(tǒng)如圖所示，其中包括PKI策略、軟硬件系統(tǒng)、證書機構(gòu)CA、注冊機構(gòu)RA、證書發(fā)布系統(tǒng)和PKI應(yīng)用等。

PKI安全策略建立和定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。

證書機構(gòu)CA是PKI的信任基礎(chǔ)，它管理公鑰的整個生命周期。

注冊機構(gòu)RA提供用戶和CA之間的一個接口，它獲取并認(rèn)證用戶的身份，向CA提出證書請求。

證書發(fā)布系統(tǒng)負(fù)責(zé)證書的發(fā)放，如可以通過用戶自己，或是通過目錄服務(wù)。

PKI主要功能

PKI在實際應(yīng)用上是一套軟硬件系統(tǒng)和安全策略的集合，它提供了一整套安全機制，包括管理加密密鑰和證書的公布，提供密鑰管理(包含密鑰更新，密鑰恢復(fù)和密鑰托付等)、證書管理(包含證書產(chǎn)生和撤銷等)和策略管理等。

PKI機制

在整個安全系統(tǒng)中，身份認(rèn)證技術(shù)是重點，基本安全服務(wù)就是身份認(rèn)證，其他安全服務(wù)也都建立在身份認(rèn)證的基礎(chǔ)上。這使得身份認(rèn)證系統(tǒng)具有十分重要的地位，也最容易遭受攻擊。因此，建立安全的身份認(rèn)證系統(tǒng)是網(wǎng)絡(luò)安全的首要步驟。目前常用的網(wǎng)絡(luò)身份認(rèn)證機制包括基于口令的身份認(rèn)證機制、挑戰(zhàn)/響應(yīng)認(rèn)證機制、基于DCE/Kerberos的認(rèn)證機制以及基于公共密鑰的認(rèn)證機制。

PKI應(yīng)用安全支撐平臺

平臺在架構(gòu)上從下至上分為3個層次，底層是作為安全基礎(chǔ)的PKI安全服務(wù)層，具體分為PKI管理、基礎(chǔ)平臺服務(wù)和通用安全服務(wù)等三個層面。在PKI安全服務(wù)層之上，設(shè)置分別對應(yīng)于四個安全層次的安全支撐，包括網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全。根據(jù)縱深防御的具體要求，分別針對每個層次的安全風(fēng)險，有效地提供不同的安全防護(hù)服務(wù)。

RSA算法與SM2算法對比

目前我國密碼體系仍然普遍使用RSA算法，中國的三大運營商及不少銀行、國內(nèi)很多企業(yè)和網(wǎng)站甚至完全采用國外密碼體系和產(chǎn)品，這具有很大的安全隱患。與RSA算法相比，SM2算法具有抗攻擊性強、CPU占用少、內(nèi)容使用少、網(wǎng)絡(luò)消耗低、加密速度快等特點。基于ECC的SM2證書普遍采用256位密鑰長度，加密強度等同于3072位RSA證書，遠(yuǎn)高于業(yè)界普遍采用的2048位RSA證書。

主要法律法規(guī)

目前我國密碼技術(shù)體系基本形成，在某些領(lǐng)域上的研究深度達(dá)到了國際水平，如SM4分組密碼算法、PKI/CA等技術(shù)。國家密碼局發(fā)布了完全自主設(shè)計的SM系列算法的相關(guān)標(biāo)準(zhǔn)與規(guī)范，2018年12月SM2/3/9密碼算法納入ISO/IEC國際標(biāo)準(zhǔn)，標(biāo)志著我國密碼算法國際標(biāo)準(zhǔn)體系已初步成型，全面采用國產(chǎn)通用加密算法的條件和時機日趨成熟。

PKI競爭格局

目前，我國PKI產(chǎn)品市場中，格爾軟件、吉大正元、亞信安全、數(shù)字認(rèn)證組成該細(xì)分領(lǐng)域的優(yōu)勢企業(yè)。前述信息安全廠商擁有的PKI產(chǎn)品市場份額占PKI總體市場份額的比例超過40%，掌握著PKI基礎(chǔ)設(shè)施及PKI安全應(yīng)用領(lǐng)域的關(guān)鍵技術(shù)，具備豐富的行業(yè)相關(guān)經(jīng)驗與客戶資源，同時在技術(shù)創(chuàng)新與研究開發(fā)方面處于行業(yè)優(yōu)勢地位。

數(shù)據(jù)顯示：2016年至2020年，我國PKI產(chǎn)品市場復(fù)合增長率為23.05%;至2020年，市場規(guī)模將達(dá)到55.67億元。2016年至2020年，我國PKI安全應(yīng)用產(chǎn)品市場復(fù)合增長率為23.27%;至2020年，市場規(guī)模將達(dá)到36.65億元。在傳統(tǒng)政府客戶保持旺盛需求的基礎(chǔ)上，在政策、自主可控、新應(yīng)用泛在化等多重利好下，PKI行業(yè)有望打開更大的市場空間，行業(yè)增長有望提速。

PKI國產(chǎn)算法替代空間測算

受政策影響，以政府機構(gòu)和軍工集團(tuán)為主的單位，正不斷加快PKI國密算法升級改造的步伐。加密算法國產(chǎn)替代環(huán)節(jié)，僅政府機構(gòu)和軍工集團(tuán)領(lǐng)域的國產(chǎn)替代空間接近129億元。未來考慮到芯片等硬件級別替換和銀行金融領(lǐng)域滲透，整體國產(chǎn)替代市場空間有望超過200億元。目前PKI體系建設(shè)在部委、省級有了較好的覆蓋，而市場空間更大的市縣級目前滲透率還較低，此次密碼法將密碼工作所需經(jīng)費納入縣級以上政府財政預(yù)算后，預(yù)計PKI建設(shè)向市縣級滲透的速度有望加快。

行業(yè)優(yōu)勢企業(yè)對比

PKI應(yīng)用

PKI是目前應(yīng)用最為廣泛的一種加密和認(rèn)證體系，其安全性建立在負(fù)載的數(shù)學(xué)運算方式上，能夠有效解決身份認(rèn)證、訪問控制、數(shù)據(jù)安全、數(shù)字簽名及驗證等諸多安全問題。PKI中核心載體為數(shù)字證書，即由具有公信力的機構(gòu)(CA)為個人頒發(fā)的身份證明，其可看作個人在虛擬網(wǎng)絡(luò)世界的身份證。網(wǎng)絡(luò)用戶通過次身份證已確認(rèn)其身份的合法性和有效性，從而徹底解決其在虛擬網(wǎng)絡(luò)世界的身份認(rèn)證和信任問題。

管理跨多個地點和擁抱影子的身份和設(shè)備，它需要PKI能力。企業(yè)挑戰(zhàn)，以提供安全訪問更廣泛的服務(wù)，應(yīng)用程序和物理位置，同時防范日益復(fù)雜的威脅。

PKI產(chǎn)業(yè)鏈

目前，國內(nèi)設(shè)及高等級安全性應(yīng)用的相關(guān)領(lǐng)域，均不同程度的采用了PKI技術(shù)。PKI產(chǎn)品廣泛應(yīng)用于日常生活，我國大部分計算機操作系統(tǒng)包括Windows、iOS等和瀏覽器，均內(nèi)置了對PKI技術(shù)的基礎(chǔ)支撐，如支持?jǐn)?shù)字證書管理、支持HTTPS連接的相關(guān)組件。其他使用PKI技術(shù)的應(yīng)用包括：安全認(rèn)證網(wǎng)管關(guān)(保證遠(yuǎn)程連接安全)、網(wǎng)銀(UsbKey證書或文件證書)、安全電子交易(數(shù)字簽名和驗簽)等。網(wǎng)絡(luò)安全體系是不斷發(fā)展與進(jìn)步的，PKI提出已有十多年，國外相關(guān)產(chǎn)業(yè)早已完善，而國內(nèi)在近些年也在跟隨國際步伐，不斷改革創(chuàng)新，逐步形成了比較完善的產(chǎn)品體系。

未來發(fā)展

按當(dāng)前發(fā)展勢頭，身份認(rèn)證領(lǐng)域占整體安全規(guī)模的比重將超30%，據(jù)前瞻產(chǎn)業(yè)研究院《中國網(wǎng)絡(luò)身份認(rèn)證信息安全行業(yè)與前景分析報告》，預(yù)計到2022年，網(wǎng)絡(luò)身份認(rèn)證信息安全市場規(guī)模有望達(dá)到291億元，前景可觀。網(wǎng)絡(luò)身份認(rèn)證信息安全行業(yè)發(fā)展趨勢未來將有如下五大發(fā)展趨勢：

1、身份認(rèn)證信息安全產(chǎn)品的應(yīng)用范圍將從銀行業(yè)逐步擴(kuò)展到其他行業(yè)。如電子商務(wù)、電子政務(wù)、移動支付等。

2、加密算法升級換代、數(shù)字認(rèn)證存在有效期、OTP動態(tài)令牌產(chǎn)品電池壽命期有限等將推動存量市場的產(chǎn)品更新?lián)Q代。

3、云PKI：適應(yīng)移動互聯(lián)、云計算環(huán)境的下一代PKI/CA服務(wù)產(chǎn)品，可以應(yīng)對大規(guī)模多樣化的移動端、云平臺帶來的安全挑戰(zhàn)。

4、零信任：包括云身份服務(wù)系統(tǒng)、零信任網(wǎng)關(guān)、安全策略管理中心。和傳統(tǒng)安全產(chǎn)品的區(qū)別在于采用云服務(wù)架構(gòu)設(shè)計，通過實現(xiàn)先認(rèn)證后訪問、持續(xù)信任評估、動態(tài)訪問控制等功能，幫助企業(yè)在新IT環(huán)境下構(gòu)建零信任安全體系。

5、區(qū)塊鏈技術(shù)：擬研發(fā)自主可控的面向聯(lián)盟鏈的區(qū)塊鏈技術(shù)平臺，以打造區(qū)塊鏈密碼支撐環(huán)境、區(qū)塊鏈應(yīng)用開發(fā)和實施體系。