2024年密码行业研究报告：商密行业逐渐走向成熟，把握行业发展带来的新机遇

一、密码、密评简介

1.1 密码：保障网络安全的核心技术支撑

密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码技术是保障网络信息安全的核心技术。从密码的分类来看，根据《中华人民共和国密码法》，该法律明确我国密码分为核心密码、普通密码和商用密码三大类。其中，核心密码、普通密码用于保护国家秘密信息。商用密码是指对不属于国家秘密内容的信息进行加密保护、安全认证所使用的密码技术、密码产品和密码服务。

密码技术是保障数据安全有效、可靠、经济的手段。密码提供的核心功能包括加密保护和安全认证。能够为数据安全提供机密性、真实性、完整性和不可否认性的保障能力。数据机密性：保证数据不被泄露给非授权的个人、计算机等实体。数据真实性：保证数据来源可靠，没有被伪造和篡改。 数据完整性：保证数据没有受到非授权的篡改和破坏。 不可否认性：保证已经发生的数据操作行为无法被否认。

1.2 商用密码：商密行业起步较晚，目前已形成一定立法规范体系

1.2.1 我国商密发展历程

密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息。商用密码产品是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品，即承载密码技术、实现密码功能的实体。我国商用密码发展起步较晚，历程始于近现代密码时代。整体来看，我国商用密码经历了起步形成、快速发展、立法规范三个发展阶段。起步阶段（20 世纪 90 年代到 2008 年左右）：商用密码的应用需求起源于20世纪90年代开启的“金字”工程。正是随着一系列信息化工程的实施，国家对信息技术应用的要求不断提高，商用密码的应用需求应运而生。2002 年，中央机构编制委员会批准国家密码管理委员会办公室下设商用密码管理办公室，进一步明确了商用密码管理体制机制，为后续商用密码的发展与管理提供了重要保障。 快速发展阶段（2008 年-2018 年左右）：该阶段商用密码的技术标准体系逐步建立和完善。同时，随着数字化技术与社会经济发展的深度融合，商用密码的应用领域实现了突破性的扩展。受电子政务、电子商务等数字化社会经济新模式的不断带动，政务、金融等重要领域的商用密码应用需求快速增长，商用密码产业得到了广泛的市场空间和发展机遇。立法规范阶段（2019 年-至今）：随着 2019 年 10 月 26 日《中华人民共和国密码法》（以下简称《密码法》）的正式发布，我国商用密码进入立法规范阶段。《密码法》是我国密码领域的第一部法律，以立法形式来明确包括商用密码在内的密码管理和应用，体现了国家对于密码这一网络信息安全核心技术的高度重视，也标志着我国商用密码产业进入了新的发展阶段。

1.2.2 商密产品的分类

从密码商用密码产品分类来看，目前按形态划分为 6 类：密码软件、密码芯片、密码模块、密码板卡、密码整机、密码系统。

按功能划分，可划分为 7 类：密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。 表 3：商用密码产品分类（按功能）

1.2.3 我国商密产业发展现状

纵观我国商密行业，目前呈现出产业链条逐步完善、产业应用场景逐步丰富、产业结构逐步优化的特征： （1）产业链条逐步完善：商密产业链主要涵盖了上游的密码基础设施提供商、中游产品和解决方案厂商，以及下游的用户销售。 商密产业链上游的密码设备提供商，这类厂商注重密码芯片技术、密码板卡以及密码算法的实现，主要提供商密芯片和商密模板，为整机及终端产品生产提供技术支持，以三未信安、电科网安等公司为代表。 中游厂商在密码硬件设计、基础密码产品设计方面较为突出，同时负责将密码产品整合进入解决方案，主要提供密码整机、软件、系统以及服务。该类厂商从行业上游厂商购买相关硬件产品，根据下游客户需求进行改动、整合，为下游提供整体密码解决方案。中游厂商以信安世纪、吉大正元、格尔软件等公司为代表。 产业链下游是各行业的密码应用用户，包括政府、军工、金融、通信等企业级客户和新兴和个人用户市场。 在下游应用端，从商用密码在传统行业的应用来看，目前，政务、通信、金融仍是商用密码的三大主力市场，其中金融占比接近 25%，通信与金融各占约19%、15%，三大行业市场份额合计超 50%。

1 金融领域：商用密码密码在金融领域应用广泛，在网上银行、电子保单和网上证券安全方面，通过基于密码技术的数字证书、数字签名、电子签章、时间戳等，提供身份认证、以及业务数据和电子合同的机密性完整性保护。在金融领域商用密码的应用阶段成效方面，商用密码应用推广效果显著，现已初步建立标准、规范、评估相结合的金融领域商用密码应用推广指导约束机制。自 2020 年 10 月，在国有六大银行、15 家股份制银行，百余家城市银行中新增的金融市场，100%使用了基于国产算法的芯片。同时，全国累积发行行应用国密算法的银行卡超过 10 亿张。以三未信安为例，证券服务接入采用了国密安全接入技术，通过工业标准的 SSL 加密算法保障安全性，具有身份认证、传输加密、权限控制、强审计与单点登录等多种功能，三未信安深入参与了证券业务安全接入的密码建设工作，硬件密码设备部署网关后面向主站业务系统，提供集中、统一的安全认证服务;同时依托于密钥分割、协作签名的专利技术，为用户提供移动端安全合规的数字签名。

2 政务领域：根据数观天下，在政务云方面，商密公司主要提供面向“云”、“数”提供两大类密码服务，其中面向“云”密码服务：提供基于密码资源池面向云环境中重要资源如云上应用系统、云平台、云管平台等覆盖认证、传输、存储等机密性、完整性以及不可否认性的要求；面向“数”密码服务：包括敏感数据加密、数据库加密、大数据加密、密文检索、透明数据加密、数据密钥权限管理服务。解决不同环节中数据生命周期安全。

3 电信领域：在电信领域，以中国电信的密码服务管理平台为例，该平台将密码设备管理、密码计算接口和服务、密码应用、密码服务监视等密码管理与服务内容进行整合，形成统一调度、管理、监视、展现的密码服务运营新模式。为云上租户提供密码资源配置和使用的自服务功能；为云上信息系统提供加解密、签名验签等基础密码运算服务，密钥管理服务，以及即将推出的时间戳服务、协同签名服务、数据库透明加密服务等增值密码服务。

4 电力领域：商用密码在电力行业重要信息系统中，提供了体系化、规模化的安全保障，可保障发电环节，输电环节、变电环节、配电环节及用电信息采集环节的安全稳定运行。在能源领域，目前全国部署支持商用密码的智能电表超 5 亿只；

5 医疗领域：商用密码满足医疗云/医疗信息系统上各项业务应用的安全需求，为构建一体化“互联网+医疗服务"提供密码支撑保障，助力数字化转型，全面提升各类医疗信息系统密码应用水平。

6 交通领域：2015 年，交通运输行业基于 SM4 算法的对称密钥管理系统和证书认证系统正式启用；2017 年，基于 SM2 算法的交通一卡通证书认证系统和密钥管理系统正式启用。联网收费系统密码应用平台主要由硬件基础设施、密码服务子系统、密钥管理子系统、设备管理子系统、综合业务管理与感知子系统和密码安全模块（SDK/API）共六部分组成。

（2）产业应用场景逐步丰富：随着商用密码产业的发展，商用密码应用场景也逐渐丰富，除金融、能源、基础设施等传统场景外，商用密码在新兴场景也有应用需求。根据数观天下调研显示，目前商用密码在七大新兴应用场景均有应用实施，包括物联网、车联网、工业互联网、智慧城市、区块链、5G 安全，以及云计算。

（3）产业结构逐步优化：从商用密码产品形态来看，目前以硬件为主，但软件、服务占比有上升趋势。我们曾在网络安全行业深度报告《关注网安行业需求改善，看好AI 带来的行业新机遇》中提到过，我国网络安全产品目前以硬件为主，但软件、服务占比有明显上升趋势。在商用密码细分行业中，这个趋势同样适用。根据赛迪智库数据显示，截至2021年，我国商用密码产业中硬件占比为 74.5%；软件占比为 6.6%；服务占比18.9%。可以看出我国商用密码产品仍然以硬件为主导，与国外软硬件产品均衡、产品通用性较强等特性形成对比。不过相较于 2016 年硬件产品占比 95%的比例，我国商用密码产业结构正在逐步优化。

二、商密行业分析：预计未来行业增速快，且天花板高

2.1 商密行业空间

相较于欧美等发达国家，我国商密产业起步较晚，预计未来几年行业增速快，且行业天花板高。据数观天下数据显示，2021 年全球商用密码产业规模为375.7 亿美元，预计到2027年这一数字将达到 1026.4 亿美元，期间 CAGR 达 18.23%。看我国商密规模，根据数观天下数据，2021 年我国商用密码产业规模为 519.8 亿元，2022 年我国商用密码产业规模有望达到 707.64 亿元，同比增速高达 36.14%，预计到 2023 年有望达到985.9 亿元，同比增速高达 39.32%（该口径除了商用密码软件、服务外，还包括了部分集成项目，因此统计数据和实际感受到的规模可能存在一定差异）。目前，全球商密市场主要集中在北美、欧洲等发达国家，我们认为，随着我国商密产业的发展，未来我国商密产业有望迎来快速发展。

2.2 我国商密企业数量持续增长，中小规模企业比例较高

根据观研报告数据，截止到 2021 年底，我国商用密码行业企业达1477 家，较2020年同比增长 21.66%。2017-2021 期间 CAGR 约 19%。从区域分布来看，北京、广东、浙江、上海的商用密码企业数量之和占整个行业半数以上，北京和广东的商用密码企业居多。根据观研报告数据显示，截止到 2021 年底，我国商用密码企业主要集中在北京、广东两省市，合计占全国数量的 41.76%，商用密码企业向一线及发达城市聚集。从商密行业参与者规模来看，中小企业占据大多数，其中 20-99 人的团队规模占比最大，为32.29%。其次是100-199人和 10 人以下团队，分别占比 23.64%、16.8%。500 人及以上团队仅占比4.78%。

2.3 行业下游客户以政府、关基行业为主

从商业密码行业下游客户来看，主要以政府、关基行业为主，其中金融行业占比最高。我国商用密码产品广泛应用于金融、政务、通信、电力、交通、教育、医疗、电子商务等领域2021 年金融行业占比最高，为 24.05%。其次是政务、通信、电力、交通行业，分别占比19.31%、15.38%、12.31%、9.47%。

2.4 行业竞争分析

看商密行业整体竞争格局，目前格局较为分散。根据数说安全《2021-2022 商用密码行业分析报告》，截至到 2022 年 8 月，行业集中度 CR5 为 25%,CR9 为40.4%。

1.密码行业上游

看密码行业上游公司，该类公司聚焦于提供密码硬件相关产品（如：密码板卡、密码整机）。看处于密码上游硬件的公司，其中主要包括电科网安（原名：卫士通）、三未信安、江南天安、渔翁信息等，其中除了电科网安、三未信安外均为非上市公司。根据两家上市公司2022年年报披露数据，2022 年电科网安密码收入达 13.35 亿元，占营业收入比例为38.83%，同比增长 22.97%，2020-2022 年复合增速为 50.04%；2022 年三未信安实现营收3.4亿元，同比增长 25.69%，2020-2022 年复合增速为 29.74%。均呈现快速增长。从密码硬件主要产品来看，主要包括密码板卡和密码整机。

（1）密码板卡方面，当前主流密码板卡支持 SM1/RSA/ECDSA 等非对称算法，以及SM1/SM4SM7/SSF33/DES/3DES/AES 等对称密码算法。从主流公司披露的密码板卡性能来看，密码板卡的主要性能指标包括 SM2 非对称加密算法、SM4 对称加密算法和SM3哈希杂凑算法，均为关键技术指标，每一类算法应用场景不同，可以单独使用，也可以多场景下的混合使用。SM2 及 SM3 为电科网安公布的密码板卡的主要性能指标。SM2算法主要应用于网络环境下的身份认证、数字签名、抗抵赖等安全场景；SM3 算法主要应用于数据的完整性、防篡改等安全场景。三未信安密码板卡与电科网安的主要性能指标相近，综合各项指标整体处于行业先进水平。

（2）密码整机方面，根据产品功能和应用场景可分为服务器密码机、金融数据密码机和行业应用密码机，为 PKI、金融、证券、税务、海关、公安等各个行业，以及数字经济时代的云计算、大数据、物联网、区块链、人工智能等新兴领域，提供密码运算、密钥管理等基础支撑和服务。从主流厂商密码整机的性能来看，电科网安的SJJ1744 在SM2签名/验签、SM3 和 SM4 关键技术指标上较为优秀，三未信安相关产品在该项指标性能略低于电科网安，在关键技术指标上与电科网安处于相近技术水平，综合各项指标整体处于行业先进水平。上游密码公司的销售模式为直销模式。早期，上游密码公司通常不直接面对最终用户，将密码产品提供给网络安全产品与解决方案厂商（产业链中游厂商），由合作厂商整合后交付给政府、行业单位和企业等最终用户。随着业务发展，上游密码公司逐渐开始直接面对重要行业的最终用户，缩短了公司直销的中间环节。从商密上游公司的最终客户构成来看，主要包括政府、金融、能源、交通等行业。

2.密码行业的中游

由于商密行业涉及产品较多，在中游环节，涉及到众多成型的商密软硬件，比如身份与访问管理软件、商用密码整机、商用密码服务等。商密中游公司通常负责将上游提供的硬件产品进行集成等处理，最终以软件、硬件、服务的形态交付给下游客户。

我们认为，商密行业市场格局较为分散的主要原因在于：（1）我国商用密码行业企业数量较多，但大部分为中小型企业。行业较为碎片化，每家公司业务集中于少数区域或个别优势行业，难以形成绝对竞争优势。（2）从下游客户来看，各行业客户均有商密需求，客户市场比较分散。（3）我国商密行业发展起步较晚，三未信安等密码公司近几年才上市，上市企业在技术、市场份额、销售渠道上暂未形成显著的领先优势。 关于目前密码行业的竞争格局，我们认为，由于我国密码行业起步较晚，且配套法律法规也刚颁布不久，目前市场竞争较为激烈，且暂未出现一批具有强大竞争力的企业。而密码安全行业本身具有上游产品标准化+下游需求定制化的行业属性，由于客户具有定制化和差异化的需求，且密码安全的认证和加密两大功能均需要和业务绑定，对于密码厂商提出了对行业理解和提供全套解决方案的两大考验。未来，若行业公司想争取更多市场份额，应加强集密码算法、密码技术、密码产品、密码服务等一体化能力，同时深化对下游行业需求的认知。近两年，由于密码行业需求快速释放，部分大型企业通过收并购方式布局该领域，致使行业竞争加剧；但趋势上来看，优质的密码公司有望凭借对行业需求的理解以及技术的积累，抢占更多市场份额，市场集中度有望持续提升。

三、在多重催化下，商密行业有望进入新一轮发展周期

3.1 合规需求系商密行业发展核心驱动力之一

合规需求长期推动国内密码产业发展，为核心驱动力之一。密码产业在国内历史超30年，密码产业的底层技术、行业标准、发展趋势等主要是由政府合规性需求进行不断变革。2010年以前，中国采用国际密码算法；出于合规需求，2010 年至2020 年，密码局开始持续发布国密算法，包含对称算法（SM1、SM4、SM4、祖冲之等），非对称算法（SM2、SM9）以及哈希算法（SM3）等。近年来，数据安全事件频发，定期密评重要性凸显。同时，随着《中华人民共和国密码法》等法律法规的颁布，我国商密相关法律体系不断完善，伴随着合规需求的逐步落地，商密行业有望迎来新一轮快速发展。

2020 年 1 月,《密码法》正式施行，其中明确要求了关键信息基础设施对于商用密码的使用。 2021 年 9 月，《关键信息基础设施安全保护条例》正式实施，其中指出“关键信息基础设施中的密码使用和管理应符合相关法律法规”。 2021 年 10 月，《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）正式实施，其中明确阐明了密码应用的技术要求及管理要求。2023 年 7 月，《商用密码管理条例》正式实施，其中明确要求对于使用商用密码进行保护的关键信息基础设施，必须自行或者委托商用密码检测机构开展商用密码应用安全性评估，且运行后每年至少进行一次评估。

3.2 密码系信创安全重要部分，国密改造有望提速

受信创推动，国密改造进入“快车道”。随着密码法的实施以及国产密码受重视程度加深，底层芯片、板卡、装置性能要求有望不断提高，国产密码的“高质量升级”成为时代的需求。同时，密码也是信创建设中不可或缺的一环。我们认为，信创有望成为国密改造的重要切口，且国密改造业务在 2022 年批量启动与重点行业信创推进节奏基本一致，同时参考近年密评合规文件的升级趋势，信创合规有望在未来加速体现，国密改造或将与党政及各行业信创同频推进。 我国自主研发的密码算法已获得国际认可。我国国产密码算法逐渐成熟，国密改造底层基础基本夯实。自 2018 年以来，我国多项密码算法已作为 ISO/IEC 国际标准正式发布。其中包括 SM3 杂凑密码算法、SM2/SM9 签名算法、ZUC 序列算法、SM9 识别加密算法、SM4分组密码算法、SM9 密钥交换协议等。除此之外，ZUC 与美国AES、欧洲SNOW共同成为了 4G 移动通信密码算法国际标准。在与国际密码算法对应方面，目前我国国密已基本具备替代能力。针对密码技术的三大应用场景（数据加密、身份认证、消息认证）方面，已均完成与国际算法的对应。

以安恒信息的堡垒机国密改造为例，安恒信息堡垒机使用SM3 算法对数据原发数据和接受数据进行完整性校验计算，保证数据的可信。

我们认为，国密改造节奏或与信创推进节奏接近，先党政后重点行业。信创成为国产密码建设的重要切入点，国产密码在信创安全中的地位逐渐上升，同时参考密评合规文件的升级趋势，信创合规有望在未来加速体现，国密改造或将与党政及各行业信创同步推进，进一步打开国密市场空间。

3.3 新技术催生新需求，新安全场景密码建设有望加速

受新基建推动新技术融合，产生密码安全新需求。随着新基建等基础设施的加速构建，将有数以万亿计的新设备接入网络，5G、人工智能、边缘计算、区块链等新技术进一步与传统产业融合。新基建是促进产业升级的重要方向,也是国家和社会运行的重要物质基础，尤其是在 5G、工业互联网、数据中心等关键信息基础设施领域的安全保障显得尤为重要，密码应用的重要性日渐提升。促进商用密码与新一代信息网络、量子信息、人工智能、物联网、先进制造、工业控制、区块链、智能网联汽车、数字货币等新兴领域融合创新。我们预计在这些领域取得先机的密码企业有望率先从中受益，规模有望实现放量增长。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）