2018年中国国产密码与商业密码发展现状及密码行业发展前景分析[图]

密码王密 2019-09-09 05:57 来源：智研咨询

密码技术是保障网络安全的核心技术，密码算法和密码产品的自主可控是确保我国信息安全的重中之重。当前我国大多采用国外制定的加密算法，存在着大量的不可控因素，一旦被不法分子利用攻击，所产生的损失将不可估量。实现密码产品自主可控软硬件全国产化替换，是防止后门漏洞的最有效方法，是保障网络安全的终极举措。国密算法具备自主知识产权，符合国家信息产品国产化战略。我们认为随着国产替代趋势的进一步加强，存量市场上，国密算法将有望实现对RSA等国际算法的加速替代。

国家将密码分为核心密码、普通密码、商用密码，实行分类管理。以商用密码SM2算法为例，SM2拥有更高的安全性能和更快加密速度。目前主流的RSA算法是基于大整数因子分解数学难题(IFP)进行设计，其数学原理相对简单，单位安全强度相对较低。SM2是基于ECC，单位安全强度相对较高。基于ECC的SM2证书普遍采用256位密钥长度，加密强度等同于3072位RSA证书，高于业界普遍采用的2048位RSA证书。更长的密钥意味着必须来回发送更多的数据以验证连接，产生更大的性能损耗和时间延迟。SM2算法能够以较小的密钥和较少的数据传递建立HTTPS连接，在确保相同安全强度的前提下提升连接速度。

SM2 在同等加密强度下采用更短的密钥长度，连接速度更快

RSA 密钥长度	ECC 密钥长度	保密年限
1024	160	2010
2048	224	2030
3072	256	2040
7680	384	2080
15360	512	2120

数据来源：公开资料整理

一、现状

密码作为保护网络与信息安全的重要手段，在身份识别、安全隔离、信息加密、完整性保护和抗抵赖等方面发挥着不可替代的重要作用。国产密码产业涉及以基础密码设备为主的硬件产品及安全信息系统为主的软件产品，并衍生出相关安全运维服务，运用范围广，应用场景复杂多变，目前广泛运用于金融、政务、电子商务等领域。

金融方面，2013年，中国人民银行发布《中国金融集成电路（IC）卡规范》，首次支持SM算法；2014年，中国银联修订发布《中国银联金融IC卡技术规范》支持SM算法。自此，金融IC卡开始试点应用SM算法并逐步规模化应用。2014年以来，中国银联先后修订发布了交换系统、受理终端规范支持SM算法，并成功实施改造推广。政务方面，截至2018年上半年，随着CA系统SM2国产算法升级的加速推进，目前已有26个省及5个部委完成算法升级工作；新CA系统签发国密算法SM2证书总计60256张，同比增长近7.6倍，国密产品得到广泛应用。

从安防角度，国密产品可运用于视频监控系统安全解决方案，通过终端接入管理，加强安全认证，保障视频安全传输，免受人为破坏。从车联网角度，以密码技术为核心的安全支撑平台主要由证书认证系统、授权管理系统、密钥管理系统和安全管理系统共同构成，可为智能运输系统提供身份鉴别、授权管理、安全传输、数据保护、责任认定和安全管理六项数据安全服务。从工业互联网角度，国密相关产品可用于加强平台双方的身份认证，防止数据被篡改，实现安全连接、安全执行和安全存储。

密码供给能力进一步提升，在国家专项支持和应用需求的有力牵引下，支持商用密码算法的密码产品已达 1390多款，其中安全芯片 127款。密码产品检测能力显著提升，信息系统的密码应用安全性评估试点逐步展开，首批 10 家密评机构已经国家密码管理局认定，稳步开展密码应用安全性评估试点工作。密码标准体系建设逐步健全，已发布68 项商用密码行业标准；密码标准国际化实现重要突破，祖冲之算法成为 3GPP 标准、SM2 和SM9 算法成为 ISO 国际标准。

国产密码主要产品形态

产品名称	产品型号数量（个）
安全芯片	127
POS密码应用系统	103
智能IC卡	98
智能密码钥匙	48
密码键盘	42
电子签章系统	34
SSL VPN安全网关	33
动态令牌	32
签名验签服务器	32
蓝牙型智能密码钥匙	31

数据来源：公开资料整理

随着商用密码技术不断创新，我国商用密码产业有望持续蓬勃发展，未来市场规模持续超过百亿元。

从政府角度来看，根据《电子政务电子认证服务质量评估要求》国家政策要求，用户证书应当是基于SM2密码算法的签名证书和加密证书。根据密码法草案征求意见稿，县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级预算。国密产品有望实现从国家级机关到县级机关的逐步渗透。从央企角度来看，央企涉及国有资产且资产规模大，业务范围广且子公司较多，在经营过程中需要通过加强身份认证等实现安全保障。且国家密码局规定自2011年3月1日起，国家政府机关、事业单位、大型央企等都应使用SM2算法，全面推广SM2算法，提高国密产品渗透率，将为国密行业带来重大机遇。

信息安全下游行业以政府为主，短期来看市场受政策驱动明显

数据来源：公开资料整理

当前，基于物联网（IoT）的攻击已经成为现实。据调查数据显示，近 20％的企业或相关机构在过去三年内遭受了至少一次基于物联网的攻击。当前，大量物联网设备及云服务端直接暴露于互联网，容易遭到网络攻击，若物联网设备存在的漏洞被发起攻击，不仅用户隐私将被暴露，而且还会影响基础通信网络的正常运行。我们认为，在物联网的发展过程中，物联网安全也应该得到足够重视，万物互联的发展趋势推动安全产品的使用场景多样化发展，有望提升国密行业增长中枢。

全球联网设备高速增长，万物互联成为趋势

数据来源：公开资料整理

安全事件频发，物联网安全支出将不断增长

数据来源：公开资料整理

二、格局

《“十三五”国家信息化规划》提出，构建关键信息基础设施安全保障体系，要加强密码应用，国家互联网大数据平台建设，要推进数据加解密、完整性验证等安全技术的应用。银行业清算办法、网络安全等级保护管理要求、政务信息化规划，也都提出密码应用要求。越来越多的国家相关法规落地到国密具体产品，不断强化密码应用与国家战略的融合，将促进国密产品得到进一步应用。

国产密码因所处行业特殊性较容易受到政策驱动影响。《密码法》作为统领全国密码工作的国家层面综合性法律，其的出台将填补密码领域的法律空白，推动密码在网络安全与信息化发展中发挥更大作用。据中国人大网公告，密码法草案的议案于2019年6月25日至29日在十三届全国人大常委会第十一次会议进行审议，密码法落地节奏有望得以加速。

信息安全行业具有特殊性和敏感性，专业技术水平要求较强，为了保证我国信息安全产业的稳定、规范和健康发展，国家规定信息安全行业内企业从事研发、生产和经营需要取得各类相应的资质认证。获取资质认证是新进入者参与竞争的先决条件，由于相关资质认证的要求较高且申请周期相对较长，因此新进入者难以在短期内进入市场并参与竞争。以CA为例，按照信息产业部《电子认证服务管理办法》的规定，CA的密码方案必须经过国家密码管理局的审批认证，CA信息系统必须通过国家信息安全产品的评测认证，取得国家认可的资质，才能投入运营。

由于行业的特殊性，信息安全行业的下游客户对上游产品供应厂商存在一定的依赖性，优质的客户资源不仅是上游厂商业务收入的稳定来源，也是宣传和扩大知名度的良好载体。信息安全行业的客户主要为国家部委、地方政府部门、军工企业、金融机构等，由于涉及安全保密问题等特殊性，其对信息安全厂商的选择极为慎重，且通常存在一定的路径依赖，不会轻易更换厂商。我们认为，拥有优质客户资源，可以为公司提供持久竞争力。

信息安全厂商主要为国家部委及政府部门

所属行业	客户名称
国家部委	国家发改委、国家安全部、全国人大、最高人民法院、公安部、外交部、民政部、国土资源部、国家统计局、国家药监局、国家密码管理局、国家审计署、国家信息中心、国家气象局、全国总工会、国务院法制办、国家外汇管理局、国家知识产权局等
地方政府部门	上海经信委、天津经信委、福建经信委、浙江工信厅、上询市委机要局、云南省委机要局、江苏省委机要局、新疆党委机要局、湖两省委机要局、福建省委机要局，河北省委机要局、陕西司法厅、安徽司法厅、安徽财政厅以及全国多地政府信息中心等
公安	各省市自治区公安厅局、公安部第一研究所、公安部第三研究所等
军工	中国航空工业集团公司、中国航天科技集团公司、中船重工集陌公司、中国工程物理研究院、中核工业集团公司等
金融机构	中国人民银行、中国银联、中国银行、中国工商银行、中国农业银行、中国建设银行、交通银行、招商银行、广发银行、平安银行、反洗钱监测中心、印钞造币总公司、上海银行、上海农商银行司、山东省城市商业银行合作联盟、山东省农村信用联合社、浙江省农村信用社联合社等
CA公司	新疆CA 公司、浙江CA 公司、安徽CA 公司、湖南CA 公司、河北CA公司、天津政务CA 公司、福建CA 公司、云南CA 公司等
大中型企事业单位	中海运集团、歌华集团、广东电信、福建联通、华力微电子、湖北电力、福建电力、深圳超算中心、新疆众和等