chinastock 证券研究报告请务必阅读正文最后的中国银河证券股份公司免责声明 table_research 行业深度报告 计算机 行业 2019 年 12 月 24 日 PKI 信息安全基石，密码法助腾飞 计算机行业 推荐 维持 评级 核心观点 ： PKI 是网络信息安全基石 。 随着计算机技术的飞速发展，数字世界逐渐被建立 ,越来越多的信息被网络存储、传输和处理。网络信息安全变得越来越重要。 PKI 技术作为信息安全技术的核心，通过在开放环境中为开放性业务提供机遇非对称密码技术的一系列安全服务，达到帮助通信对象进行安全的信息交互，在线交易和互联网上的各种活动。 PKI 国内市场群雄逐鹿，国内厂商暂时领先 。 PKI 技术发展快，更新换代周期短，产品技术水平高，根据政策法规出台的产品调整创新和根据需求自发性创新的能力成为推动企业在行业内入的竞争优势的关键 。 因PKI 行业为存在头部厂商领先 技术，市场资质准入要求， 以及丰富的行业解决方案经验。 尤其是客户粘性极高，所以 PKI 行业进入壁垒相对较高。现有市场存在群雄争霸，国内厂商领先，多寡头分割的情况。后入厂商难以打破现有市场格局。其市场集中度相对较高，前端企业拥有优势。 头部厂商成业内标杆 ，等保 2.0 密码法助腾飞 。 以格尔软件、吉大正元、卫士通为首的 PKI 行业寡头公司，以其各自人才、资质、技术、对口客户等多方面优势为领先条件， 丰富的客户案例竖立了良好的标杆 。从财务状况来看，随着密码法、等保 2.0 等多项网络信息安全相关法律法规的落地， 提振整 个行业的增速，作为细分子行业之一， PKI 产业公司收入增速有望大幅提速 。 投资建议： 网络安全等级保护已经进入 2.0 时代，各项网络信息安全法规相关的法律、条例的落地也昭示着国家对网络信息安全的重视，以及网络信息安全的未来。虽现有竞争格局难以打破，但未来 PKI 技术可应用领域还非常广阔。厂商从服务商业到服务社会的导向日益明晰， PKI产业未来发展可期。建议 关注：格尔软件（ 603232.SH） ， 我们预计公司2019-2021 年 EPS 分别为 0.68、 0.80、 0.91，对应 PE 为 47X、 40X、 35X 风险 提示： 政策推进不及预期的风险；技术创新不及预期的风险 分析师 钱劲宇 ：（ 021） 20252621 ： qianjinyuchinastock 执业证书编号： S0130517110002 联系人 李璐昕 ：（ 021） 20252650 ： liluxin_yjchinastock table_marketdata 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 投资概要： 驱动因素、关键假设及主要预测： 信息安全整体市场增长较为稳健，根据 IDC 预测，我国网络信息安全市场未来还将保持 25%左右的增速增长， 随着密码法、等保 2.0 等多项网络信息安全相关法律法规的落地，提振整个行业的增速 。 PKI 技术发展快，更新换代周期短，产品技术水平高，根据政策法规出台的产品调整创新和根据需求自发性创新的能力成为推动企业在行业内入的竞争优势的关键。因 PKI 行业为存在头部厂商领先技术，市场资质准入要求，以及丰富的行业解决方案经验。尤其是客户粘性极高，所以 PKI 行业进入壁垒 相对较高。现有市场存在群雄争霸，国内厂商领先，多寡头分割的情况 ， 后入厂商难以打破现有市场格局 。 PKI 行业规模至 2020 年可接达 55.67 亿，信息安全产业 2020 年预计 将达 761.95 亿元，随着信息安全政策进一步落地， 作为细分子行 业之一， PKI 产业公司收入增速有望大幅提速 ， 有望超预期。 我们与市场不同的观点： 市场普遍认为， 作为网络安全的细分子行业之一 ， PKI 产业链 市场受益于网络安全政策法规不如防火墙等主流硬件市场。我们认为 ， PKI 产业公司 在 未来 几年 内 收入增速有望大幅提速 ， 摄像头等 PKI 下游 应用 进度 有望 超 预期 ，行业增速变化更大。 投资建议： 网络安全等级保护已经进入 2.0 时代，各项网络信息安全法规相关的法律、条例的落地也昭示着国家对网络信息安全的重视，以及网络信息安全的未来。虽现有竞争格局难以打破，但未来 PKI 技术可应用领域还非常广阔。厂商从服务商业到服务社会的导向日益明晰， PKI 产业未来发展可期。建议关注：格尔软件（ 603232.SH）等 。 股价表现的催化剂： 网络信息安全威胁加剧；国家进一步出台相关 政策 。 主要风险因素： 政策推进不及预期的风险；技术创新不及预期的风险 。 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 目录 一、 PKI 是网络信息安全的基石 . 1 （一） PKI 系统介绍 . 1 （二） PKI 技术架构及算法介绍 . 3 （三） PKI 发展历程 . 6 二、 PKI 国内市场群雄逐鹿，国内厂商暂时领先 . 7 （一） PKI 市场介绍 . 7 （二）市场集中度较高 . 7 （三）近年来不断推出相应法律法规 . 8 （四） PKI 市场壁垒较高，客户黏性是最大壁垒 . 9 三、主要公司介绍 . 10 （一）格尔软件 . 10 （二）吉大正元 . 11 四、未来趋势 . 12 五、投资建议 . 14 六、风险提示 . 14 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 1 一、 PKI 是网络信息安全的 基石 随着互联网的出现，人们的生活逐渐从现实世界走进了网络虚拟世界。虚拟世界中越来越多的电子活动依托着网络活动进行存储、传播、交互。而其中面临的最主要的问题就是网络安全，即确保电子活动的进行是对点，安全且完整的。如何确定主体各自的身份，建立相互之间的信任关系和确保数字信息的安全支持是网络安全的支柱。 图 1： 网络信息安全层次图 资料来源： 产业 信息 网 ，中国银河证券研究院 （一） PKI 系统介绍 PKI 技术是近 20 年来快速发展应用的一种安全技术。大量机构可通过采用 PKI 框架管理密钥和证书来建立一个安全的网络环境。 PKI（ Public Key Infrastructure，公钥基础设施）是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。其目的通过一组由硬件、软件、参与者、管理政策与流程组成的基础架构来创造、管理、分配、使用、存储以及撤销数字证书。 PKI 的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥，为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务（证书发布、黑名单发布等）实现通信过程中各实体的身份认证，提供了全面的信息安全支持： 图 2： PKI 信息安全支持 资料来源： 格尔 软件 招股 说明书 ， Sohu， 中国银河证券研究院 应用安全 系统安全 网络安全 安全的密码算法 真实性（标识与鉴别） 实体验证 人：口令、动态口令、拥有的设备、 PKI 设备：主机 IP地址、 MAC地址、对称密码、 PKI 信息验证 MAC， PKI 完整性（不被修改，没有错误） 保证数据不被改动，包括非人为的改动或人为的无意或恶意的篡改 检错、纠错码（针对机器错误、传输错误） 安全 mac/带密钥 hash 数字签名（ PKI） 机密性（隐私与保密） 保证信息不被为授权的其他人获得（访问控制） 加密：对称密码或非对称密码和PKI 信息隐藏 非否定性（责任确定） 确认原始发送者是谁并保证数据未被修改 不可否认由第三方来进行验证和仲裁 非对称算法，PKI 可用性（可获得，系统稳定性） 可获得，系统稳定性 PKI 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 2 上述五点信息安全支持的重要实现就是 PKI。而一个典型、完整和有效的 PKI 系统如图所示，其中包括 PKI 策略、软硬件系统、证书机构 CA、注册机构 RA、证书发布系统和PKI 应用等： 图 3： PKI 系统 资料来源： 数字 认证 官网 ，中国银河证券研究院 1. PKI 安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。一般情况下，在 PKI 中有两种类型的策略：一是证书策略，用于管理证书的使用，比如，可以确认某一 CA 是在 Internet 上的公有 CA，还是某一企业内部的私有 CA；另外一个就是 CPS（ Certificate Practice Statement）。一些由商业证书发放机构（ CCA）或者可信的第三方操作的 PKI 系统需要 CPS。这是一个包含如何在实践中 增强和支持安全策略的一些操作过程的详细文档。它包括 CA 是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册的，以及密钥是如何存储的，用户是如何得到它的等等。 2. 证书机构 CA 是 PKI 的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表（ CRL）确保必要时可以废除证书。后面将会在 CA 进行详细介绍。 3. 注册机构 RA 提供用户和 CA 之间的一个接口，它获取并认证用户的身份，向 CA 提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的 用户，是指将要向认证中心（即 CA）申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构（即 RA）来承担。它接受用户的注册申请，审查用户的申请资格，并决定是否同意 CA 给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此， RA 可以设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。当然，对于一个规模较小的 PKI 应用系统来说，可把注册管理的职能由认证中心 CA 来完成，而不设立独立运行的 RA。但这并不是取消了 PKI 的注册功能，而只是将其作 为 CA 的一项功能而已。 PKI 国际标准推荐由一个独立的 RA 来完成注册管理的任务，可以增强应用系统的安全。 4. 证书发布系统负责证书的发放，如可以通过用户自己，或是通过目录服务。目录服务器可以是一个组织中现存的，也可以是 PKI 方案中提供的。 PKI应用 证书机构 CA PKI策略 注册机构 RA 证书发布系统 软硬件系统 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 3 （ 二 ） PKI 技术架构及算法介绍 图 4： PKI 算法 资料来源： 产业 信息 网 ，中国银河证券研究院 （ 1） 信息加密：信息加密的基础即把需要被隐蔽的消息转化为隐蔽形式，再转化为原始消息的过程： 图 5： 加密算法 资料来源： 知乎 ，中国银河证券研究院 （ a）对称加密算法 对称加密 (也叫私钥加密 )指加密和解密使用相同密钥的加密算法。有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，同时解密密钥也可以从加密密钥中推算出来。而在大多数的对称算法中，加密密钥和解密密钥是相同的，所以也称这种加密算法为秘密密钥算法或单密钥算法。它要求发送方和接收方在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密，所以密钥的保密性对通信的安全性至关重要。 数字签名技术 构建信任体系 Hash算法 数据完整性 加密与非加密 信息加密 摘要算法 数字证书 交叉认证 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 4 图 6： 对称加密算法 资料来源： 知乎 ，中国银河证券研究院 （ b）非对称加密算法 非对称加密指的是：加密和解密使用不同的密钥，一把作为公开的公钥，另一把作为私钥。公钥加密的信息，只有私钥才能解密。私钥加密的信息，只有公钥才能解密。私钥只能由一方安全保管，不能外泄，而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密，而解密则需要另一个密钥。公钥公开，密钥自己保存，在通讯前不需要先同步密钥，这就避免了在同步私钥的过程中被盗取信息的风险。 非对称加密的主要算法有： RSA、 Elgamal、背包算法、 Rabin、 D-H、 ECC（椭圆 曲线加密算法）。 以非对称密钥密码的原理为基础设计和建设的、提供电子交易安全服务的一种网络应用的基础设施就是 PKI。 图 7： 非对称加密算法 资料来源： 知乎 ，中国银河证券研究院 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 5 在 PKI 体系中使用的是双钥和单钥密码相结合的混合加密体制，即加密时采用单钥密码，密钥传送则采用双钥密码。这种方式结合了两种加密算法的优点，同时又避开了加解密速度慢的问题。 表 1： 对称与非对称加密算法对比 对称加密算法 非对称加密算法 优点 缺点 优点 缺点 解密的效率要高得多 未曾谋面，缺少以前的联系 -难以密钥协商 用户数目增多 分发和管理密钥 -困难（多，变） -安全性问题（密钥泄露） -性能问题（瓶颈） 安全性更高，公钥是公开的，密钥是自己保存的，不需要将私钥给别人。 加密和解密花费时间长、速度慢，只适合对少量数据进行加密。 资料来源： 格尔 软件 招股说明书 ，中国银河证券研究院 （ 2）摘要算法 摘要算法是一种能产生特殊输出格式的算法，其中主要特征为加密过程不需要密钥，且密文被解密可能性基本为 0。对任何长度的信息进行哈希后，生成的都是一个固定长度的数据摘要，此摘要通常长为 128bits 或 160bits。任何原始信息的改变都是生成不同的数据摘要。因此，摘要算法具有不可逆性和防篡改的功能，著名的摘要算法有 RSA 公司的MD5 算法和 SHA-1 算法及其大量的变体。 几乎所有的数字签名方案都要和快速高效的摘要算法（ Hash 函数）一起使用，当公钥算法与摘要算法结合起来使用时，便构成了一种有效地数字签名方案。 这个 过程是：首先用摘要算法对消息进行摘要，然后在把摘要值用信源的私钥加密；接收方先把接收的明文用同样的摘要算法摘要，形成 “ 准签体 ” ，然后再把准签体与用信源的公钥解密出的 “ 签体 ” 进行比较，如果相同就认为消息是完整的，否则消息不完整。 这种方法使公钥加密只对消息摘要进行操作，因为一种摘要算法的摘要消息长度是固定的，而且都比较 “ 短 ” （相对于消息而言），正好符合公钥加密的要求。这样效率得到了提高，而其安全性也并未因为使用摘要算法而减弱。 （ 3）数字证书 数字证书是一个包含用户身份信息的文件 1.CA 的名称（颁发机构） 2.实体的名称（对象） 3.实体的公钥 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 6 4.数字签名 a）由可信的第三方进行签名（ certification authority） b）使用 CA 的私钥 c）保证信息的真实性和完整性 同时，数字证书还需要遵守 X.509 标准，其为密码学里公钥证书的格式标准。 （ 4）交叉认证 交叉认证是一种将以前无关的 CA 链接在一起的实用机制，从而使得在它们各自的主体之间的安全通信成为可能。交叉认证的实际构成法与一般证书认证相同，只是交叉认证的主体和颁发者都是 CA，而非终端实体。交叉认证可以是单向的，也可以是双向的。所谓的PKI 信任模型就是一个建立和管理信任的框架。在 PKI 中，当两个认证机构中的一个给对方的公钥或双方给对方的公钥颁发证书时，两者间就建立了这种信任关系。常用的信用模型有： 1）对等模型 2）网状模型 3）信任列表 4）层次模型 5）桥型模型 （ 三 ） PKI 发展历程 从 98 年开始，政府对 PKI 高度重视，并极力推动相关产业发展。 图 8: PKI 发展历程 资料来源： Sohu，中国银河证券研究院 1998 国内第一家以实体形式运营的上海 CA中心 (SHECA)成立，政府和各有关部门对 PKI产业的发展给予了高度重视 2001 PKI技术被列为 “十五 ”863计划信息安全主题重大项目，并于同年 10月成立了国家 863计划信息安全基础设施研究中心。 2002 2月经国家计委批准，正式成立了 “中国 PKI论坛 ”筹备工作组 7月 2日到 5日在北京召开了 “亚洲 PKI论坛 ”第二届年会 2004 8月 28日 十届全国人大常委会第十一次会议 28日表决通过了 电子签名法 ，规定电子签名与手写签名或者盖章具有同等的法律效力。这部法律的诞生极大地推动了我国的 PKI建设。 2005 6月 国家密码管理局证书认证系统密码及其相关安全技术规范 2007 正式发布 66项信息安全技术标准（其中 18项与 PKI密切相关，在 2006 2007年发布 7项）处于报批稿阶段的信息安全技术标准 12项，其中 6项与 PKI密切相关 第五批电子行业和信息技术国家标准制修订计划中，其中 3项与 PKI密切相关 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 7 二、 PKI 国内市场 群雄逐鹿，国内厂商暂时领先 （ 一 ） PKI 市场介绍 中国 PKI 产品市场竞争者既有 PKI 基础设施、安全应用产品的领军企业：如卫士通、吉大正元、格尔软件；也有专注于细分领域和特定行业安全应用的企业，如天威诚信、信安世纪、维豪、明朝万达、时代亿信等；还存在数量众多的国外企业，如 IBM、 ArcSign、Symantec、 VeriSign 等。其中，卫士通、吉大正元、格尔软件在中国业务市场广阔，和CA 中心、政府、军队、市场建立了密切稳定和合作关系，研发技术领先，行业经验优，品牌认知度较高。形成以吉大正元、格尔软件为首的多寡头格局。 图 9： PKI 竞争格局 资料来源： IDC，中国银河证券研究院 （二） 市场 集中度较高 受到国内外一系列信息安全事件影响，信息通信安全加密受到广泛关注。由于中国 PKI产业起步相对较晚，进入行业的门槛和壁垒相对较高，因此中国 PKI 市场集中度相对较高，前端企业拥有相对优势。因信息通信安全客户忠诚度高，再基于技术水平持平的情况下，此市场份额不会做出大幅改变 。 图 10： PKI 市场占有率 资料来源： IDC，中国银河证券研究院