研究背景
随着物联网、云计算、移动互联网等技术的快速发展,数据安全成为信息安全市场的热点,而PKI应用技术成为数据安全的核心。随着信息安全政策进一步落地,作为细分子行业之一,PKI产业公司收入增速有望大幅提速,有望超预期。
PKI系统介绍
PKI(PublicKeyInfrastructure,公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。其目的通过一组由硬件、软件、参与者、管理政策与流程组成的基础架构来创造、管理、分配、使用、存储以及撤销数字证书。PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,提供了全面的信息安全支持。
一个典型的PKI系统如图所示,其中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。
PKI安全策略建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。
证书机构CA是PKI的信任基础,它管理公钥的整个生命周期。
注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。
证书发布系统负责证书的发放,如可以通过用户自己,或是通过目录服务。
PKI主要功能
PKI在实际应用上是一套软硬件系统和安全策略的集合,它提供了一整套安全机制,包括管理加密密钥和证书的公布,提供密钥管理(包含密钥更新,密钥恢复和密钥托付等)、证书管理(包含证书产生和撤销等)和策略管理等。
PKI机制
在整个安全系统中,身份认证技术是重点,基本安全服务就是身份认证,其他安全服务也都建立在身份认证的基础上。这使得身份认证系统具有十分重要的地位,也最容易遭受攻击。因此,建立安全的身份认证系统是网络安全的首要步骤。目前常用的网络身份认证机制包括基于口令的身份认证机制、挑战/响应认证机制、基于DCE/Kerberos的认证机制以及基于公共密钥的认证机制。
PKI应用安全支撑平台
平台在架构上从下至上分为3个层次,底层是作为安全基础的PKI安全服务层,具体分为PKI管理、基础平台服务和通用安全服务等三个层面。在PKI安全服务层之上,设置分别对应于四个安全层次的安全支撑,包括网络安全、主机安全、应用安全和数据安全。根据纵深防御的具体要求,分别针对每个层次的安全风险,有效地提供不同的安全防护服务。
RSA算法与SM2算法对比
目前我国密码体系仍然普遍使用RSA算法,中国的三大运营商及不少银行、国内很多企业和网站甚至完全采用国外密码体系和产品,这具有很大的安全隐患。与RSA算法相比,SM2算法具有抗攻击性强、CPU占用少、内容使用少、网络消耗低、加密速度快等特点。基于ECC的SM2证书普遍采用256位密钥长度,加密强度等同于3072位RSA证书,远高于业界普遍采用的2048位RSA证书。
主要法律法规
目前我国密码技术体系基本形成,在某些领域上的研究深度达到了国际水平,如SM4分组密码算法、PKI/CA等技术。国家密码局发布了完全自主设计的SM系列算法的相关标准与规范,2018年12月SM2/3/9密码算法纳入ISO/IEC国际标准,标志着我国密码算法国际标准体系已初步成型,全面采用国产通用加密算法的条件和时机日趋成熟。
PKI竞争格局
目前,我国PKI产品市场中,格尔软件、吉大正元、亚信安全、数字认证组成该细分领域的优势企业。前述信息安全厂商拥有的PKI产品市场份额占PKI总体市场份额的比例超过40%,掌握着PKI基础设施及PKI安全应用领域的关键技术,具备丰富的行业相关经验与客户资源,同时在技术创新与研究开发方面处于行业优势地位。
数据显示:2016年至2020年,我国PKI产品市场复合增长率为23.05%;至2020年,市场规模将达到55.67亿元。2016年至2020年,我国PKI安全应用产品市场复合增长率为23.27%;至2020年,市场规模将达到36.65亿元。在传统政府客户保持旺盛需求的基础上,在政策、自主可控、新应用泛在化等多重利好下,PKI行业有望打开更大的市场空间,行业增长有望提速。
PKI国产算法替代空间测算
受政策影响,以政府机构和军工集团为主的单位,正不断加快PKI国密算法升级改造的步伐。加密算法国产替代环节,仅政府机构和军工集团领域的国产替代空间接近129亿元。未来考虑到芯片等硬件级别替换和银行金融领域渗透,整体国产替代市场空间有望超过200亿元。目前PKI体系建设在部委、省级有了较好的覆盖,而市场空间更大的市县级目前渗透率还较低,此次密码法将密码工作所需经费纳入县级以上政府财政预算后,预计PKI建设向市县级渗透的速度有望加快。
行业优势企业对比
PKI应用
PKI是目前应用最为广泛的一种加密和认证体系,其安全性建立在负载的数学运算方式上,能够有效解决身份认证、访问控制、数据安全、数字签名及验证等诸多安全问题。PKI中核心载体为数字证书,即由具有公信力的机构(CA)为个人颁发的身份证明,其可看作个人在虚拟网络世界的身份证。网络用户通过次身份证已确认其身份的合法性和有效性,从而彻底解决其在虚拟网络世界的身份认证和信任问题。
管理跨多个地点和拥抱影子的身份和设备,它需要PKI能力。企业挑战,以提供安全访问更广泛的服务,应用程序和物理位置,同时防范日益复杂的威胁。
PKI产业链
目前,国内设及高等级安全性应用的相关领域,均不同程度的采用了PKI技术。PKI产品广泛应用于日常生活,我国大部分计算机操作系统包括Windows、iOS等和浏览器,均内置了对PKI技术的基础支撑,如支持数字证书管理、支持HTTPS连接的相关组件。其他使用PKI技术的应用包括:安全认证网管关(保证远程连接安全)、网银(UsbKey证书或文件证书)、安全电子交易(数字签名和验签)等。网络安全体系是不断发展与进步的,PKI提出已有十多年,国外相关产业早已完善,而国内在近些年也在跟随国际步伐,不断改革创新,逐步形成了比较完善的产品体系。
未来发展
按当前发展势头,身份认证领域占整体安全规模的比重将超30%,据前瞻产业研究院《中国网络身份认证信息安全行业与前景分析报告》,预计到2022年,网络身份认证信息安全市场规模有望达到291亿元,前景可观。网络身份认证信息安全行业发展趋势未来将有如下五大发展趋势:
1、身份认证信息安全产品的应用范围将从银行业逐步扩展到其他行业。如电子商务、电子政务、移动支付等。
2、加密算法升级换代、数字认证存在有效期、OTP动态令牌产品电池寿命期有限等将推动存量市场的产品更新换代。
3、云PKI:适应移动互联、云计算环境的下一代PKI/CA服务产品,可以应对大规模多样化的移动端、云平台带来的安全挑战。
4、零信任:包括云身份服务系统、零信任网关、安全策略管理中心。和传统安全产品的区别在于采用云服务架构设计,通过实现先认证后访问、持续信任评估、动态访问控制等功能,帮助企业在新IT环境下构建零信任安全体系。
5、区块链技术:拟研发自主可控的面向联盟链的区块链技术平台,以打造区块链密码支撑环境、区块链应用开发和实施体系。
