计算机行业深度报告：PKI信息安全基石，密码法助腾飞

www.chinastock.com.cn证券研究报告请务必阅读正文最后的中国银河证券股份公司免责声明 [table_research] 行业深度报告●计算机行业 2019年12月24日 PKI信息安全基石，密码法助腾飞 计算机行业 推荐 维持评级 核心观点：  PKI是网络信息安全基石。随着计算机技术的飞速发展，数字世界逐渐被建立,越来越多的信息被网络存储、传输和处理。网络信息安全变得越来越重要。PKI技术作为信息安全技术的核心，通过在开放环境中为开放性业务提供机遇非对称密码技术的一系列安全服务，达到帮助通信对象进行安全的信息交互，在线交易和互联网上的各种活动。  PKI 国内市场群雄逐鹿，国内厂商暂时领先。PKI技术发展快，更新换代周期短，产品技术水平高，根据政策法规出台的产品调整创新和根据需求自发性创新的能力成为推动企业在行业内入的竞争优势的关键。因PKI行业为存在头部厂商领先技术，市场资质准入要求，以及丰富的行业解决方案经验。尤其是客户粘性极高，所以PKI行业进入壁垒相对较高。现有市场存在群雄争霸，国内厂商领先，多寡头分割的情况。后入厂商难以打破现有市场格局。其市场集中度相对较高，前端企业拥有优势。  头部厂商成业内标杆，等保2.0密码法助腾飞。以格尔软件、吉大正元、卫士通为首的PKI行业寡头公司，以其各自人才、资质、技术、对口客户等多方面优势为领先条件，丰富的客户案例竖立了良好的标杆。从财务状况来看，随着密码法、等保2.0等多项网络信息安全相关法律法规的落地，提振整个行业的增速，作为细分子行业之一，PKI产业公司收入增速有望大幅提速。  投资建议：网络安全等级保护已经进入2.0时代，各项网络信息安全法规相关的法律、条例的落地也昭示着国家对网络信息安全的重视，以及网络信息安全的未来。虽现有竞争格局难以打破，但未来PKI技术可应用领域还非常广阔。厂商从服务商业到服务社会的导向日益明晰，PKI产业未来发展可期。建议关注：格尔软件（603232.SH），我们预计公司2019-2021年EPS分别为0.68、0.80、0.91，对应PE为47X、40X、35X  风险提示：政策推进不及预期的风险；技术创新不及预期的风险 分析师 钱劲宇 ：（021）20252621 ：qianjinyu@chinastock.com.cn 执业证书编号：S0130517110002 联系人 李璐昕 ：（021）20252650 ：liluxin_yj@chinastock.com.cn [table_marketdata] 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 投资概要： 驱动因素、关键假设及主要预测： 信息安全整体市场增长较为稳健，根据IDC预测，我国网络信息安全市场未来还将保持25%左右的增速增长，随着密码法、等保2.0等多项网络信息安全相关法律法规的落地，提振整个行业的增速。 PKI技术发展快，更新换代周期短，产品技术水平高，根据政策法规出台的产品调整创新和根据需求自发性创新的能力成为推动企业在行业内入的竞争优势的关键。因PKI行业为存在头部厂商领先技术，市场资质准入要求，以及丰富的行业解决方案经验。尤其是客户粘性极高，所以PKI行业进入壁垒相对较高。现有市场存在群雄争霸，国内厂商领先，多寡头分割的情况，后入厂商难以打破现有市场格局。 PKI 行业规模至 2020 年可接达 55.67 亿，信息安全产业 2020 年预计将达 761.95 亿元，随着信息安全政策进一步落地，作为细分子行业之一，PKI产业公司收入增速有望大幅提速，有望超预期。 我们与市场不同的观点： 市场普遍认为，作为网络安全的细分子行业之一，PKI产业链市场受益于网络安全政策法规不如防火墙等主流硬件市场。我们认为，PKI产业公司在未来几年内收入增速有望大幅提速，摄像头等PKI下游应用进度有望超预期，行业增速变化更大。 投资建议： 网络安全等级保护已经进入2.0时代，各项网络信息安全法规相关的法律、条例的落地也昭示着国家对网络信息安全的重视，以及网络信息安全的未来。虽现有竞争格局难以打破，但未来PKI技术可应用领域还非常广阔。厂商从服务商业到服务社会的导向日益明晰，PKI产业未来发展可期。建议关注：格尔软件（603232.SH）等。 股价表现的催化剂： 网络信息安全威胁加剧；国家进一步出台相关政策。 主要风险因素： 政策推进不及预期的风险；技术创新不及预期的风险。 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 目录 一、PKI是网络信息安全的基石 ...................................................... 1 （一）PKI系统介绍 .............................................................. 1 （二）PKI技术架构及算法介绍 .................................................... 3 （三）PKI发展历程 .............................................................. 6 二、PKI 国内市场群雄逐鹿，国内厂商暂时领先 ........................................ 7 （一）PKI 市场介绍 .............................................................. 7 （二）市场集中度较高 ........................................................... 7 （三）近年来不断推出相应法律法规 ............................................... 8 （四）PKI市场壁垒较高，客户黏性是最大壁垒 ...................................... 9 三、主要公司介绍 ................................................................. 10 （一）格尔软件 ................................................................ 10 （二）吉大正元 ................................................................ 11 四、未来趋势 ..................................................................... 12 五、投资建议 ..................................................................... 14 六、风险提示 ..................................................................... 14 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 1 一、PKI是网络信息安全的基石 随着互联网的出现，人们的生活逐渐从现实世界走进了网络虚拟世界。虚拟世界中越来越多的电子活动依托着网络活动进行存储、传播、交互。而其中面临的最主要的问题就是网络安全，即确保电子活动的进行是对点，安全且完整的。如何确定主体各自的身份，建立相互之间的信任关系和确保数字信息的安全支持是网络安全的支柱。 图1：网络信息安全层次图 资料来源：产业信息网，中国银河证券研究院 （一）PKI系统介绍 PKI技术是近20年来快速发展应用的一种安全技术。大量机构可通过采用PKI框架管理密钥和证书来建立一个安全的网络环境。 PKI（Public Key Infrastructure，公钥基础设施）是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。其目的通过一组由硬件、软件、参与者、管理政策与流程组成的基础架构来创造、管理、分配、使用、存储以及撤销数字证书。 PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥，为用户获取证书、访问证书和宣告证书作废提供了方便的途径。同时利用数字证书及相关的各种服务（证书发布、黑名单发布等）实现通信过程中各实体的身份认证，提供了全面的信息安全支持： 图2：PKI信息安全支持 资料来源：格尔软件招股说明书，Sohu，中国银河证券研究院 应用安全 系统安全 网络安全 安全的密码算法 真实性（标识与鉴别） •实体验证 •人：口令、动态口令、拥有的设备、PKI •设备：主机IP地址、MAC地址、对称密码、PKI •信息验证 •MAC， PKI 完整性（不被修改，没有错误） •保证数据不被改动，包括非人为的改动或人为的无意或恶意的篡改 •检错、纠错码（针对机器错误、传输错误） •安全mac/带密钥hash •数字签名（PKI） 机密性（隐私与保密） •保证信息不被为授权的其他人获得（访问控制） •加密：对称密码或非对称密码和PKI •信息隐藏 非否定性（责任确定） •确认原始发送者是谁并保证数据未被修改 •不可否认由第三方来进行验证和仲裁 •非对称算法，PKI 可用性（可获得，系统稳定性） •可获得，系统稳定性 PKI 行业深度报告 请务必阅读正文最后的中国银河证券股份公司免责声明。 2 上述五点信息安全支持的重要实现就是PKI。而一个典型、完整和有效的PKI系统如图所示，其中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等： 图3：PKI系统 资料来源：数字认证官网，中国银河证券研究院 1. PKI 安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。一般情况下，在PKI中有两种类型的策略：一是证书策略，用于管理证书的使用，比如，可以确认某一CA是在Internet上的公有CA，还是某一企业内部的私有CA；另外一个就是CPS（Certificate Practice Statement）。一些由商业证书发放机构（CCA）或者可信的第三方操作的PKI系统需要CPS。这是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档。它包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册的，以及密钥是如何存储的，用户是如何得到它的等等。 2. 证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表（CRL）确保必要时可以废除证书。后面将会在CA进行详细介绍。 3. 注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户，是指将要向认证中心（即CA）申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构（即RA）来承担。它接受用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA可以设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。当然，对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成