在網絡安全中，身份認證作為第一道，甚至是最重要的一道防線。身份認證就是在網絡系統中通過某種手段確認操作者身份的過程，其目的在于判明和確認通信雙方和信息內容的真實性。基于公共密鑰的認證機制擁有Kerberos的認證機制的優點，同時使用非對稱加密技術，擁有極高的安全性，也解決了用戶過多時密鑰管理的問題，是目前應用中最為安全可靠的方法，但是實現起來較為復雜，需要建設相應的配套設施，目前較為流行和完善的是以PKI為核心的一套信息安全系統。當前網絡技術快速升級迭代，建設基于PKI的網絡安全系統是網絡安全面臨的一項緊迫任務。

    PKI中核心載體為數字證書，即由具有公信力的機構（CA）為個人頒發的身份證明，其可看作個人在虛擬網絡世界的身份證。PKI產品廣泛應用于平時生活中，使用PKI技術的應用包括安全認證網管關（保證遠程連接安全）、網銀（UsbKey證書或文件證書）、安全電子交易（數字簽名和驗簽）等。目前，國內設計高等級安全性應用的相關領域，均不同程度的采用了PKI技術。受益等保2.0，在金融領域、移動支付領域、云計算領域、電子政務領域都對PKI技術有強需求。且未來物聯網有巨大市場空間，密碼應用產業將是一片藍海。

    一、現狀

    隨著信息化的快速發展，對國家、組織、公司或個人來說至關重要的信息越來越多的通過網絡來進行存儲、傳輸和處理，為獲取這些關鍵信息的各種網絡犯罪也相應急劇上升。企業以及電子政務的信息系統面臨著越來越嚴重的外部或內部的各種攻擊，包括黑客組織、犯罪集團或信息戰時期信息對抗等國家行為的攻擊。當前，網絡安全在某種意義上已經成為一個事關國家安全和社會經濟穩定的重大問題，受到越來越多的重視。

    在網絡安全中，身份認證是第一道，甚至是最重要的一道防線。身份認證就是在網絡系統中通過某種手段確認操作者身份的過程，其目的在于判明和確認通信雙方和信息內容的真實性。

    用戶訪問網絡資源的流程

    數據來源：公開資料整理

    一般情況下，用戶在訪問系統之前，首先要經過身份認證系統來識別身份，而后才能訪問監視器。根據用戶的身份和授權數據庫來決定用戶是否有權訪問某個資源，審計系統記錄用戶的請求和行為，同時入侵檢測系統會實時或非實時地檢測是否有入侵行為。可以看出，身份認證是網絡安全體系中的第一道關卡，其它的安全服務如訪問控制、審計等都依賴于它。一旦非法用戶通過了身份認證，就會對系統和資源的安全構成極大的威脅。因此，身份認證是網絡安全中的一個重要環節。

    在整個安全系統中，身份認證技術是重點，基本安全服務就是身份認證，其他安全服務也都建立在身份認證的基礎上。這使得身份認證系統具有十分重要的地位，也最容易遭受攻擊。因此，建立安全的身份認證系統是網絡安全的首要步驟。目前常用的網絡身份認證機制包括基于口令的身份認證機制、挑戰/響應認證機制、基于DCE/Kerberos的認證機制以及基于公共密鑰的認證機制。

    基于公共密鑰的認證機制架構

    數據來源：公開資料整理

常用身份認證機制

數據來源：公開資料整理

    二、PKI分析

    基于公共密鑰的認證機制實現起來較為復雜，需要建設相應的配套設施，目前較為流行和完善的是以PKI為核心的一套信息安全系統。
身份認證技術是網絡安全基礎性和核心的技術，構成網絡空間安全的第一道防線，發揮著，保底作用。當前網絡技術快速升級迭代，建設基于PKI的網絡安全系統是網絡安全面臨的一項緊迫任務。

    PKI即公鑰基礎設施（PublicKeyInfrastructure），是用公鑰概念與技術來實施和提供安全服務的普適安全基礎設施，是產生、管理、儲存、分發和撤銷基于公開密鑰密碼學的公鑰證書所必須的軟件、硬件、人、策略和處理過程的集合；是國際公認的能夠全面解決信息安全問題的、普遍適用的一整套信息安全系統。

    PKI技術架構

    數據來源：公開資料整理

    1、哈希算法

    保證數據的完整性，用指定算法根據原始數據計算出校驗值。接收方用同樣的算法計算一次校驗值，如果和隨數據提供的校驗值一樣，就說明數據是完整的。常用的幾種數據校驗方式有奇偶校驗、CRC校驗、LRC校驗、格雷碼校驗、基于摘要算法的校驗等。其中，基于摘要算法的校驗是安全性最高的方式。

    摘要算法也被稱為哈希（Hash）算法、散列算法。Hash函數其作用是對整個消息進行變換，產生一個長度固定但較短的數據序列，這一過程可看作是一種壓縮編碼。接受者收到發送的信息序列后，按照發送端同樣的方法對接收的數據或解密后的數據的前面部分進行計算，得到相應的r位數字Ar或Dr而后，與接收恢復后的As或Ds逐位進行比較，若全部相同，就可認為收到的信息是合法的，否則檢出消息有錯或被竄改過。當主動攻擊者在不知道密鑰的情況下，隨機選擇r位碰運氣，其成功偽造消息的概率為2−。常見的摘要算法包括MD5、SHA、MAC等。

    在PKI系統中使用的是MAC(MessageAuthenticationCode)驗證方法，兼容了MD和SHA算法的特性，并在此基礎上加上了密鑰，因此MAC算法也經常被稱作HMAC算法。

    哈希算法流程

數據來源：公開資料整理

    2、數據加密

    信息加密技術常用的方法為對稱加密算法和非對稱加密算法。

    在對稱加密算法中，數據發信方將原始數據和加密密鑰經過特殊加密算法處理后，變成復雜的加密密文發送出去。收信方收到密文后，需要使用加密用過的密鑰及相同算法的逆算法對密文進行解密。在對稱加密算法中，只使用的一個密鑰，發收信雙方均使用該密鑰對數據進行加密和解密。

    對稱算法流程

數據來源：公開資料整理

    對稱加密算法的優點是算法公開、計算量小、加密速度快、加密效率高。在計算機專網系統中廣泛使用的對稱加密算法有DES、IDEA和AES。不足之處是，交易雙方使用同樣的鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的唯一鑰匙，這會使得發收信雙方所擁有的鑰匙數量成幾何級數增長，密鑰管理成為用戶的負擔。因為密鑰管理困難，使用成本較高，對稱加密算法在分布式網絡系統上使用較為困難。

    非對稱加密算法使用兩把完全不同但又完全匹配的一對鑰匙——公鑰和私鑰。非對稱加密算法實現機密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密信息進行加密后再發送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的信息進行解密。甲方只能用其專用密鑰解密由其公用密鑰加密后的任何信息。

    在PKI體系中使用的是雙鑰和單鑰密碼相結合的混合加密體制，即加密時采用單鑰密碼，密鑰傳送則采用雙鑰密碼。這樣既解決了密鑰管理的困難，又解決了加解密速度的問題。

    3、 數字證書

    PKI中最重要的就是引入了數字證書。數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息和公開密鑰的文件，最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字簽名，是指用戶用自身私鑰對原始數據的哈希摘要進行加密所得的數據，是非對稱密鑰加密技術與Hash摘要技術的應用。數字簽名技術是將摘要信息用發送者的私鑰加密，生成一段信息，與原文一起傳送給接收者。這段信息類似于現實中的簽名或印證，接收方對其進行驗證，判斷原文真偽。數字簽名在PKI中提供數據完整性保護和不可否認性服務。

    4、 交叉認證

    建立和管理一個全世界所有用戶都信賴的全球性系統是不現實的，比較可行的方案是建立多個信任域，獨立地運行和操作，然后在不同的信任域之間建立起‚交叉認證的能力。在網絡環境中，PKI為需要進行安全通信的雙方建立了一種信任關系，這種信任關系的建立是通過對證書鏈的驗證來完成的。證書鏈由一系列彼此相連接的證書組成，起始端稱為‚信任錨，是驗證方信任的起始點。證書鏈的末端是要驗證的用戶證書，中間可能存在零或多個CA證書。‚信息錨的選擇和證書鏈的構造方式不是唯一的，并構成了不同的信任模式。信任模式包括級聯模式、網狀模式、以及混合模式等。

    PKI是目前應用最為廣泛的一種加密和認證體系，其安全性建立在負載的數學運算方式上，能夠有效解決身份認證、訪問控制、數據安全、數字簽名及驗證等諸多安全問題。

    三、應用市場

    網絡安全形勢不容樂觀，加強網絡身份認證體系建設勢在必行。

    我國是網絡高級持續性威脅攻擊主要受害國，金融、能源、交通、教育等行業是‚重災區。近年來電子政務、電子商務高速發展，但網絡安全監管和防御能力嚴重‚拖后腿。網絡安全投資占信息化建設總經費比例不足1%，與美國15%、歐洲10%的水平差距甚大。既沒擺脫高端技術受制于人現狀，也沒做到服務應用安全可控。網絡攻擊、信息竊取和破壞事件屢屢發生。

    基礎信息網絡和重要信息系統隱患突出。有關部門對我政府機構、金融、電信、能源、鐵路部門和軍工企業等120多個單位896個信息系統檢測，發現高危漏洞1.2萬個。國家安全信息庫顯示，截止2017年10月，境內被植入后門的網站2180個，全國政務網站存在3004個告警信息，境內被篡改網站數量5163個，被木馬或僵尸程序控制IP地址對應主機數84萬個。僅2018年12月，境內感染網絡病毒的終端數為近78萬個；境內被篡改網站數量為1376個，其中被篡改政府網站數量為80個；境內被植入后門的網站數量為2317個，其中政府網站有34個；針對境內網站的仿冒頁面數量為5324個；國家信息安全漏洞共享平臺（CNVD）收集整理信息系統安全漏洞1206個，其中，高危漏洞481個，可被利用來實施遠程攻擊的漏洞有1067個。

    截止到2018年6月底，我國互聯網普及率增長至57.7%，網民規模達到8.02億人，較2017年底增長3.8%。而2009年，我國網民規模僅有3.84人人，互聯網普及率僅為29.0%。我國網民數量快速增長，用戶規模龐大，網絡應用日益多樣化，推動了我國互聯網市場高速發展，但同時網絡安全問題日益嚴重，2018年，我國多個地區的多家醫院遭遇勒索病毒；包括華住集團和萬豪集團在內的酒店用戶信息被頻繁泄露；蘋果手機用戶賬號被盜刷。這一系列網絡安全事件表明我國信息安全工作正面臨嚴峻考驗，網絡身份認證推行勢在必行。

    2017年，我國網絡身份認證市場中，硬件產品市場份額占比達到50.1%；軟件產品市場份額占比為39.1%；服務產品市場份額占比為10.8%。我國網絡身份認證市場中，硬件產品占據最大市場份額，由于我國網絡身份認證仍處于普及階段，硬件市場需求較大，隨著后期普及率不斷上升，軟件和服務市場占有率將逐步上升。

    我國網絡身份認證應用主要集中在銀行與金融相關領域，隨著技術不斷成熟，網絡身份認證應用范圍將逐步擴大至電子政務、企事業OA/VPN系統、云計算、IC卡等各種用戶信息較為密集、同樣面臨信息安全問題的行業中。

    行業規模持續擴大隨著下游應用市場不斷擴寬，我國網絡身份認證行業發展前景廣闊。我國網絡身份認證市場規模由2014年的44億元增長至2018年的132億元，年均復合增長率達到31.6%。

    2014-2018年我國網絡身份認證信息安全行業市場規模

數據來源：公開資料整理

    四、行業發展趨勢

    身份認證領域占整體安全規模的比重將超30%，據調查數據顯示，預計到2022年，網絡身份認證信息安全市場規模有望達到291億元，前景可觀。網絡身份認證信息安全行業發展趨勢未來將有如下五大發展趨勢：

    1、 網絡安全日益嚴峻，互聯網及移動互聯網信息安全急需加強。

    隨著互聯網的發展，尤其是商務類應用的快速發展，網絡安全問題日益嚴峻，互聯網信息安全急需加強。此外，移動支付的興起，令移動信息安全問題也隨之凸顯。

    2、 網上銀行、電子支付快速發展，將推動身份認證信息安全產品的應用。

    隨著電子銀行業的迅速發展，業務的安全性也日益受到用戶的重視，安全性仍是選擇手機銀行品牌的核心考慮因素。因此，網上銀行、電子支付快速發展將進一步推動身份認證信息安全產品的應用。

    3、 身份認證信息安全產品的應用范圍將從銀行業逐步擴展到其他行業。

    如電子商務、電子政務、移動支付、云計算等。

    4、產品升級換代將越來越快。隨著應用環境的日益復雜，各種攻擊手段層出不窮，客觀上將促進身份認證安全產品的不斷升級換代。

    5、加密算法升級換代、數字認證存在有效期、OTP動態令牌產品電池壽命期有限等將推動存量市場的產品更新換代。

    6、國家不斷完善網絡安全政策，網絡安全重要性凸顯，國家戰略出臺指導行業發展。

我國網絡安全方面主要政策

數據來源：公開資料整理

    網絡安全等級保護已經進入2.0時代，等級保護制度已被打造成新時期國家網絡安全的基本國策和基本制度。應急處置、災難恢復、通報預警、安全監測、綜合考核等重點措施全部納入等保制度并實施，對重要基礎設施重要系統以及“云、物、移、大、工”納入等保監管，將互聯網企業納入等級保護管理。等保2.0的標準是國內非涉密信息系統的安全集成標準，網絡安全法是作為法律、中國信息安全的基本法。網絡安全法中明確的提到信息安全的建設要遵照等級保護標準來做建設。

    伴隨著物聯網技術的興起，5G、區塊鏈、人工智能這三大引領未來的信息技術將對當今世界產生深遠影響。從家用電器、健康監測設備、路面傳感器到智能門鎖和無人駕駛汽車，以物聯網為代表的下一代智能聯網設備，正迅速成為人們工作和生活的重要組成部分，由此帶來的最大挑戰是，如何在突破既有邊界防護的情況下，靈活高效地解決誰是誰、誰擁有誰、誰能訪問誰、誰為誰服務等問題。
未來，從基礎網絡系統到應用代碼和數據，從海量邊緣節點到核心網絡，從智能家居到工業互聯，密碼將追隨物聯網泛在部署的腳步而無處不在。物聯網將成為密碼產業發展的藍海，為提升產業供給、帶動創新發展提供廣闊空間。

    相關報告：智研咨詢發布的《2019-2025年中國PKI行業市場深度分析及投資戰略研究報告》