2019-2020密码行业身份识别与验证研究报告.pptx

2019-2020密码行业身份识别与验证研究报告,PKI系统结构,PKI介绍,行业发展,01,02,04,目录,客户分析,03,PKI结构,当前，网络安全在某种意义上已经成为一个事关国家安全和社会经济稳定的重大问题，受到越来越 多的重视。在网络安全中，身份认证是第一道，甚至是最重要的一道防线。身份认证就是在网络系统 中通过某种手段确认操作者身份的过程，其目的在于判明和确认通信双方和信息内容的真实性。,一般情况下，用户在访问系统之前，首先 要经过身份认证系统来识别身份，而后才 能访问监视器。根据用户的身份和授权数 据库来决定用户是否有权访问某个资源， 审计系统记录用户的请求和行为，同时入 侵检测系统会实时或非实时地检测是否有 入侵行为。可以看出，身份认证是网络安 全体系中的第一道关卡，其它的安全服务 如访问控制、审计等都依赖于它。一旦非 法用户通过了身份认证，就会对系统和资 源的安全构成极大的威胁。因此，身份认 证是网络安全中的一个重要环节。,在整个安全系统中，身份认证技术是重点，基本安全服务就是身份认证，其他安全服务也 都建立在身份认证的基础上。这使得身份认证系统具有十分重要的地位，也最容易遭受攻击。 因此，建立安全的身份认证系统是网络安全的首要步骤。目前常用的网络身份认证机制包括基 于口令的身份认证机制、挑战/响应认证机制、基于DCE/Kerberos的认证机制以及基于公共 密钥的认证机制。,PKI机制,（1）基于口令的认证机制：基于口令的身份认证技术一般包括账户名和密码，用户通过固定 的用户名确认身份信息，通过密码验证是否是本人。因简单易用，基于口令的身份认证技术 是目前使用最为广泛的身份认证方式，一般包括基于静态口令的认证方式和动态口令认证。 基于口令的身份认证系统简单效率高，但安全性比较差，仅依赖于口令，口令一旦泄露，用 户即可被冒充。容易受到攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻 击等很容易攻破该认证系统。,（2）基于挑战/响应的认证机制：基于挑战/响应的身份认证机制，即认证服务器端向客户端 发送不同的挑战码，客户端程序收到挑战码后，根据客户端和服务器之间共享的密钥信息， 以及服务器端发送的挑战码，做出相应应答。服务器根据应答的结果确定是否接受客户端的 身份声明。本质上讲，这种机制也是一次性口令。,PKI机制,具体认证过程为：1）客户向认证服务器发出请求，要求进行身份认证；2）认证服务器 从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理；3）认证服务器内 部产生一个随机数，作为挑战码，发送给客户；4）客户将用户名字和随机数合并，使用单 向Hash函数（例如MD5算法）生成一个字节串作为应答；5）认证服务器将应答串与自己的 计算结果比较，若二者相同，则通过一次认证；否则，认证失败；6）认证服务器通知客户认 证成功或失败。,基于挑战/响应认证机制的身份认证系统 一定程度上加强了安全性，但并不能完全 阻止黑客破坏。比如未验证黑客身份为超 级用户，黑客有可能使用拒绝服务性的攻 击方式，使得授权用户不能通过认证。,PKI机制,（3）基于DCE/Kerberos的认证机制：Kerberos是为解决分布式网络认证而设计的可信第三方认证协议。 网络上的每个实体持有不同的密钥，是否知道该密钥便是身份的证明。网络上的Kerberos服务起着可信仲 裁者的作用，可提供安全的网络认证。与传统的认证协议相比，Kerberos协议具有一系列的优势。首先，它支持双向的身份认证，而大部分传统 的认证协议都是基于服务器可信的网络环境，往往都是只验客户，但客户无法验证服务器。Kerberos协议 中只有AS和TGS是可信的，网络的所有工作站、服务器都是不可信的。当用户与服务器进行交互时，Kerberos为客户抵挡了网络恶意攻击和欺骗。其次，Kerberos实现了一次性签放，在有效期内可多次使 用。假如用户在一个开放网络环境中需要访问多个服务器，如查询邮件、打印文件、访问FTP等都在不同 的服务器上，用户通过AS申请TGS的证书后，在有效期内利用该证书与TGS多次请求不同访问授权票据。 降低了用户输入口令次数，从而提高了用户的体验。最后，Kerberos提供了分布式网络环境下的域间认证 机制，允许客户花费少量的资源即可访问其他子域的服务，是传统的认证协议难以实现的。Kerberos协议也存在不足和安全隐患。Kerberos身份认证采用的是对称加密机制，加解密都需要相同的密钥，交换密钥时的安全性不能保障。Kerberos协议对时钟的要求比较高，必须在时钟基本同步的环境中， 如果引入事件同步机制则需保证同步机制的安全；若时间不同步，攻击者可以通过调节时钟来实现重放攻 击。,PKI机制,（4）基于公共密钥的认证机制：基于公共密钥的安全策略进行身份认证，即使用符合X.509协议 的身份证明。须有一个第三方的证明授拟中心为客户签发身份证明。客户和服务器信任该证明授权 中心，并各自获取证明，在会话和通讯时首先交换身份证明，其中包含了将各自的公钥交给对方， 然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。在确定是否接受对方的身份 证明时，还需检查有关服务器，以确认该证明是否有效。,基于公共密钥的认证机制拥有Kerberos的认证机制的优点， 同时使用非对称加密技术，拥 有极高的安全性，也解决了用 户过多时密钥管理的问题，是 目前应用中最为安全可靠的方 法。,PKI机制,PKI即公钥基础设施（PublicKeyInfrastructure），是用公钥概念与技术来实施和提供安全服 务的普适安全基础设施，是产生、管理、储存、分发和撤销基于公开密钥密码学的公钥证书所必须的 软件、硬件、人、策略和处理过程的集合；是国际公认的能够全面解决信息安全问题的、普遍适用的 一整套信息安全系统。PKI使用哈希算法、非对称加密等技术，保障网络安全,PKI算法,（1）哈希算法验证信息完整性摘要算法也被称为哈希（Hash）算法、 散列算法。Hash函数其作用是对整个消息 进行变换，产生一个长度固定但较短的数据序列，这一过程可看作是一种压缩编码。 接受者收到发送的信息序列后，按照发送 端同样的方法对接收的数据或解密后的数 据的前面部分进行计算，得到相应的r位数 字Ar或Dr而后，与接收恢复后的As或Ds 逐位进行比较，若全部相同，就可认为收 到的信息是合法的，否则检出消息有错或 被窜改过。在PKI系统中使用的是 MAC(MessageAuthenticationCode)验证 方法，兼容了MD和SHA算法的特性，并 在此基础上加上了密钥，因此MAC算法也 经常被称作HMAC算法。使用MAC验证消 息完整性的典型流程是,PKI哈希算法,（2）数据加密技术保障数据安全性信息加密技术常用的方法为对称加密算法和 非对称加密算法。在对称加密算法中，数据发 信方将原始数据和加密密钥经过特殊加密算法 处理后，变成复杂的加密密文发送出去。收信 方收到密文后，需要使用加密用过的密钥及相 同算法的逆算法对密文进行解密。在对称加密 算法中，只使用的一个密钥，发收信双方均使 用该密钥对数据进行加密和解密。,对称加密算法的优点是算法公开、计算量小、加密 速度快、加密效率高。在计算机专网系统中广泛使用的 对称加密算法有DES、IDEA和AES。不足之处是，交 易双方使用同样的钥匙，安全性得不到保证。此外，每 对用户每次使用对称加密算法时，都需要使用其他人不 知道的唯一钥匙，这会使得发收信双方所拥有的钥匙数 量成几何级数增长，密钥管理成为用户的负担。因为密 钥管理困难，使用成本较高，对称加密算法在分布式网 络系统上使用较为困难。,PKI对称加密,非对称加密算法使用两把完全不同但又完全匹配的一对钥匙公钥和私钥。非对称加密算法实 现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到 该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用 密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。在PKI体系中使用的是双钥和单钥密码相结合的混合加密体制，即加密时采用单钥密码，密钥传 送则采用双钥密码。这样既解决了密钥管理的困难，又解决了加解密速度的问题。,PKI非对称加密,（3）数字证书PKI中最重要的就是引入了数字证书。数字证书是一个经证书授权中心数字签名的包含公开 密钥拥有者信息和公开密钥的文件，最简单的证书包含一个公开密钥、名称以及证书授权中心 的数字签名。数字签名，是指用户用自身私钥对原始数据的哈希摘要进行加密所得的数据，是非对称密钥加密技术与Hash摘要技术的应用。数字签名技术是将摘要信息用发送者的私钥加密，生成一段信息，与原文一起传送给接收者。这段信息类似于现实中的签名或印证，接收方对其进行验证，判断原文真伪。数字签名在PKI中提供数据完整性保护和不可否认性服务。,PKI数字证书,一般情况下，PKI系统中的证书还包括密钥的有效时间、发证机关（证书授权中心）的名 称、该证书的序列号等信息，证书的格式遵循ITU-T标准化部门定义的X.509协议，这是PKI 技术体系中应用最为广泛、最为基础的一个国际标准。X.509证书包含以下数信息：证书版本。指出该证书使用了哪种版本的X.509标准，版本号会影响证书中的一些特定信息。证书的序列号。创建证书的实体(组织或个人)有责任为该证书指定一个独一无二的序列号，以区别于该实体发布的其他证书。序列号信息有许多用途，例如当一份证书被回收以后，它的序列号就被放入证书回收列表(CRL)之中。签名算法标识。指明CA签署证书所使用的算法。证书有效期。证书起始日期和时间以及终止日期和时间，指明证书何时失效。证书发行商名字。这是签发该证书的实体的唯一名字，通常是CA。使用该证书意味着信任签发证书的实体。(注意， 在某些情况下，例如根或顶级CA证书，发布者自己签发证书)证书主体名。证书持有人唯一的标示符，也称为DN(DistinguishedName)，这个名字在Internet上应该是唯一的。主体公钥信息。包括证书持有人的公钥、算法(指明密钥属于哪种密码系统)的标示符和其他相关的密钥参数。发布者的数字签名。这是使用发布者私钥生成的签名。,PKI数字证书,（4）交叉认证建立和管理一个全世界所有用户都信赖的 全球性系统是不现实的，比较可行的方案是建 立多个信任域，独立地运行和操作，然后在不 同的信任域之间建立起交叉认证的能力。在网 络环境中，PKI为需要进行安全通信的双方建 立了一种信任关系，这种信任关系的建立是通 过对证书链的验证来完成的。证书链由一系列 彼此相连接的证书组成，起始端称为信任锚， 是验证方信任的起始点。证书链的末端是要验证的用户证书，中间可能存在零或多个CA证书。信息锚的选择和证书链的构造方式不是唯一的，并构成了不同的信任模式。信任模式包括级联模式、网状模式、以及混合模式等。,PKI交叉认证,PKI是目前应用最为广泛的一种加密和认证体系，其安全性建立在负载的数学运算方式上，能够 有效解决身份认证、访问控制、数据安全、数字签名及验证等诸多安全问题。PKI中核心载体为数字 证书，即由具有公信力的机构（CA）为个人颁发的身份证明，其可看作个人在虚拟网络世界的身份 证。网络用户通过次身份证已确认其身份的合法性和有效性，从而彻底解决其在虚拟网络世界的身 份认证和信任问题。,PKI在实际应用上是一套软硬件 系统和安全策略的集合，它提 供了一整套安全机制，包括管 理加密密钥和证书的公布，提 供密钥管理（包含密钥更新， 密钥恢复和密钥托付等）、证 书管理（包含证书产生和撤销 等）和策略管理等。,PKI应用,典型、完整、有效的PKI体系一般包括数字证书认证系统（CA）、证书注册系统（RA）、密钥管理系统（KM）、目录服务系统（LDAP）及在线证书状态验证系统（OCSP）等。,PKI应用,1）认证中心CA(CertificationAuthority)：是证书的签发机构，它负责生成、分发和注销数字证书，是PKI的核心执行机构2）注册机构RA(RegistrationAuthority)：主要功能包括对证书持有者的身份信息进行审核，通知CA中 心是否可以为该用户签发证书，维护申请数据库，将身份信息和其公钥进行绑定；3）密钥备份及恢复系统：当用户由于某种原因（遗忘口令、介质破坏等）丢失了密钥，使得密文数据无 法被解密时，PKI提供的密钥备份和恢复解密密钥。当用户证书生成时，加密密钥即被CA备份存储；当 需要恢复时，用户只需向CA提出申请，CA就会为用户自动恢复。4）证书注销列表CRL（CertificateRevocationList）：是PKI系统的一个重要组件。证书更新一般由PKI系统自动完成，不需要用户干预。即在用户使用证书的过程中，PKI也会自动到目录服务器中检查证书的有效期，当有效期结束之前，PKI/CA会自动启动更新程序，生成一个新证书来代替旧证书。5）证书历史档案：经过一段时间后，每一个用户都会形成多个旧证书和至少一个当前新证书。这一系列 旧证书和相应的私钥就组成了用户密钥和证书的历史档案。记录整个密钥历史是非常重要的。6）客户端证书处理系统：为了方便客户操作，在客户端装有软件，申请人通过浏览器申请、下载证书， 并可以查询证书的各种撤消信息以及进行证书路径处理，对特定的文档提供时间戳请求等。7）数字证书库：存储由CA发放的有效证书和CRL（证书废止列表）。8）证书持有者：获得并使用由CA发放的证书的机关、企业、个人或服务器。9）证书应用系统：利用最终用户的证书和密钥，提供加密、签名等应用服务。,PKI证书,目前，国内设及高等级安全性应用的相关领域，均不同程度的采用了PKI技术。PKI产品广 泛应用于日常生活，我国大部分计算机操作系统包括Windows、iOS等和浏览器，均内置了对PKI技术的基础支撑，如支持数字证书管理、支持HTTPS连接的相关组件。其他使用PKI技术的 应用包括：安全认证网管关（保证远程连接安全）、网银（UsbKey证书或文件证书）、安全电 子交易（数字签名和验签）等。网络安全体系是不断发展与进步的，PKI提出已有十多年，国外相关产业早已完善，而国内 在近些年也在跟随国际步伐，不断改革创新，逐步形成了比较完善的产品体系。,PKI产业链,信息化浪潮深刻影响着金融行业。虽 然金融行业仍遵循着客户-银行-清算银行- 中央银行这样多层级、中心化、相对稳定、 可靠的架构，但随着互联网的普及、移动 互联的深入应用以及人工智能等新技术的 兴起和应用，金融行业在产品服务、商业 模式、经营理念正面临着深刻变革和创新。,PKI金融行业,、经济、,当前出现了许多非传统的金 融活动方式，如电子支付（支付 宝、财付通)、互联网基金（余额 宝）、P2P等。信息化同时给金 融信息安全带来了极大的威胁， APT攻击、DNS劫持、勒索软件 软件供应链攻击等也开始锁向金 融领域，并且和传统的安全问题 交织在一起，触及到了国家金融安全的底线和命脉。,PKI金融行业,在云计算环境下，云计算IaaS层、PaaS层、SaaS层中的云平台、各类云业务系统的安全保 护都建立在PKI系统 上，密钥管理、身 份认证、访问控制 等与云计算深度融 合，作为云计算中 的基因嵌入各类云 计算服务平台中， 实现应用、安全一 体化。,PKI云计算,PKI云计算,目前，我国PKI产品市场中，格尔软件、吉大正元、成都卫士通、北京数字认证等组成该细 分领域的优势企业。前述信息安全厂商掌握着PKI基础设施及PKI安全应用领域的关键技术，具备 丰富的行业相关经验于客户资源，同时在技术创新于研究开发方面处于行业优势地位，主导着PKI 产品市场的发展。,PKI产品市场,成都卫士通信息产业股份有限公司是目前国内以密码为核心的信息安全产品和系统的供应 商，主要从事信息安全产品和系统的研发、生产、销售，安全集成和安全服务等业务，为用户 提供加密模块、安全平台、密码产品、安全设备整机等系列密码产品，以及安全产品和安全系 统集成服务。主要是PKI系列产品上游基础密码产品提供商，同时也提供PKI数字签名等产品 和整套安全系统服务。,卫士通介绍,格尔软件经过十余年的积累和研发， 形成了基于PKI的信息安全产品系列， 可以为客户提供专业的安全服务，能够 为用户量身定制信息安全整体解决方案。,格尔软件介绍,长春吉大正元信息技术股份有限公司成立于1999年2月，是我国信息安全行业PKI基础设施产 品和服务的主要提供商之一，主要从事信息安全产品的研发、生产、销售，并提供安全咨询、安全 集成和行业应用开发等服务，为用户提供包括信息安全建设、应用安全建设、数据安全建设等方面 的解决方案和集成服务。,吉大正元,北京数字认证股份有限公司是领先的网络安全解决方案提供商，致力于保障余户信息基础设 施安全可靠运行。面向全国客户提供电子认证服务、安全集成、安全咨询与运维服务。,北京数字认证,我国网络身份认证行业主要包 括硬件产品、软件产品和服务产品三 大细分领域。2017年，我国网络身 份认证市场中，硬件产品市场份额占 比达到50.1%；软件产品市场份额 占比为39.1%；服务产品市场份额 占比为10.8%。我国网络身份认证 市场中，硬件产品占据最大市场份额 ，由于我国网络身份认证仍处于普及 阶段，硬件市场需求较大，随着后期 普及率不断上升，软件和服务市场占 有率将逐步上升。,行业规模持续扩大随着下游应用市场不断扩宽，我国网络身份认证行业发展前景广阔。 我国网络身份认证市场规模由2014年的44亿元增长至2018年的132亿元，年均复合增长率 达到31.6%。,PKI恒业规模,按当前发展势头，身份认证领域占整体安全规模的比重将超30%，据前瞻产业研究院中国 网络身份认证信息安全行业与前景分析报告，预计到2022年，网络身份认证信息安全市场规模 有望达到291亿元，前景可观。网络身份认证信息安全行业发展趋势未来将有如下五大发展趋势：1）网络安全日益严峻，互联网及移动互联网信息安全急需加强。随着互联网的发展，尤其是商务类应 用的快速发展，网络安全问题日益严峻，互联网信息安全急需加强。此外，移动支付的兴起，令移动信 息安全问题也随之凸显。2）网上银行、电子支付快速发展，将推动身份认证信息安全产品的应用。随着电子银行业的迅速发展， 业务的安全性也日益受到用户的重视，安全性仍是选择手机银行品牌的核心考虑因素。因此，网上银行、 电子支付快速发展将进一步推动身份认证信息安全产品的应用。3）身份认证信息安全产品的应用范围将从银行业逐步扩展到其他行业。如电子商务、电子政务、移动 支付、云计算等。4）产品升级换代将越来越快。随着应用环境的日益复杂，各种攻击手段层出不穷，客观上将促进身份 认证安全产品的不断升级换代。5）加密算法升级换代、数字认证存在有效期、OTP动态令牌产品电池寿命期有限等将推动存量市场的产品更新换代。,未来发展,物联网将成为密码产业发展的蓝海,发挥密码支撑作用，促进万物互联安全密码是物联网安全的核心技术，是整个网络信任体系的基础支撑。物联网安全纵贯感知层、网络层、平台层和应 用层，涵盖传感器、基础设施、计算处理和行业应用，涉及数据的采集、传输、存储、处理、分析和使用，关系 物联网计算安全、运行安全、使用安全和管理安全，急需着眼全体系平台、全产业链条、全生命周期。密码是网络安全的核心技术，是网络信任的基石。密码支撑构建物联网网络安全生态圈，密码在物联网网络安全方面发挥保底作用，是最基础的防线。密码助力 打造物联网数据共享价值链，同时在物联网不同角色之间建立基于密码的安全通道。密码让物联网时代更美好密码是物联网产业发展的催化剂，应用促进发展，市场催生产业。物联网时代，安全内涵更加丰富，包括基础 网络安全、数据安全、计算安全和设备控制安全等。当前，密码与物联网等信息技术相互促进、融合发展已成为 普遍共识。联网健康发展。随着5G商用的到来，物联网正处在爆发的前夜，密码和物联网的有机结合，进一步促进产业的 蓬勃发展、喷涌而出。在从无到有的发展过程中，密码与物联网始终相伴相生、如影随形，密码技术的每一次创 新，必将带给物联网质的飞跃；而物联网的每一次重大变革，都反映出密码技术的突破。未来，从基础网络系统 到应用代码和数据，从海量边缘节点到核心网络，从智能家居到工业互联，密码将追随物联网泛在部署的脚步而 无处不在。物联网将成为密码产业发展的蓝海，为提升产业供给、带动创新发展提供广阔空间。,未来发展,THANK YOU,