密码行业系列深度报告之一：PKI应用领域广市场前景好，密码行业大有可为.pdf

敬请参阅报告结尾处的免责声明 东方财智 兴盛之源 D ON GX IN G S E C U R IT IES行业研究 东兴证券股份有限公司证券研究报告 PKI应用领域广市场前景好， 密码 应用 大有可为 密码 行业 深度 系列 报告 之一 2019年 04月 24 日 看好 /维持 国防 军工 深 度 报告 投资摘要： PKI系统构建网络安全防线。 在网络安全中，身份认证作为第一道，甚至是最重要的一道防线。身份认证就是在网络系统中通过某种手段确认操作者身份的过程，其目的在于判明和确认通信双方和信息内容的真实性。基于公共密钥的认证机制拥有 Kerberos 的认证机制的优点，同时使用非对称加密技术，拥有极高的安全性，也解决了用户过多时密钥管理的问题，是目前应用中最为安全可靠的方法，但是实现起来较为复杂，需要建设相应的配套设施，目前较为流行和完善的是以 PKI 为核心的一套信息安全系统。当前网络技术快速升级迭代，建设基于 PKI的网络 安全系统是网络安全面临的一项紧迫 任务。 受益等保 2.0， PKI应用领域将得到极大推广，在物联网时代极具市场前景。PKI中核心载体为数字证书，即由具有公信力的机构（ CA）为个人 颁发 的身份证明，其可看作个人在虚拟网络世界的身份证。 PKI产品广泛应用于平时生活中，使用 PKI技术的应用包括安全认证网管关（保证远程连接安全）、网银（ Usb Key 证书或文件证书）、安全电子交易（数字签名和验签）等。目前，国内设计高等级安全性应用的相关领域，均不同程度的采用了 PKI 技术。受益等保2.0，在金融领域、移动支付领域、云计算领域、电子政务领域都对 PKI 技术有 强 需求。且未来物联网有巨大市场空间，密码应用产业将是一片蓝海 。 密码应用 大有可为， 密码相关企业 将充分受益 。 卫士通作为我国网络安全国家队，深耕 密码行业， 已经围绕密码体系构建了非常完整的安全系统。 新任董事长 卿 昱 上任后管理风格变化明显，目前已经与各业务线主管签订年度 目标 责任书， 提出奋战二季度。 格尔软件作为 PKI系统基础设施提供商，为我国 政府多个部门提供产品，是 PKI行业领军企业。数字认证 作为 PKI系统应用方，是电子认证技术优势企业，可提供一体化的 电子认证解决方案，充分受益电子认证行业快速发展。 中国网安新任董事长 卿昱认为，全民密码时代 需要构建一个密码管理的体系和统一信任的体系，为密码的普适性提供 基础的核心支撑。同时，全民密码时代也要打通密码和电力、通信、交通、金融等行业接口，实现数据的互联、互通和共享。 我国 密码行业 受益于 目前我国对安全 日益重视的大趋势 ， 在自主可控、等保 2.0等行业利好催化下 ， 密码行业相关公司将 进一步做大做强 。我们看好密码 行业的发展，给予看好评级。 投资策略： 把握 密码行业 投资主题，我们重点推荐卫士通 （ 002268.SZ） ， 背靠中国网安， 持续拓展 密码技术应用，已形成完整的信息安全产品体系，一季度开局顺利、成绩骄人 。 格尔软件（ 603232.SH），已形成基于 PKI的信息安全产品系列，并不断拓宽产品应用范围，实现国际化支持；主营业务在政府、军工、电子政务、金融领域稳步推进，国产自主可控、未来业绩增长可期。数字认证(300579.SZ)，是领先的网络安全解决方案提供商，提供电子认证服务、安全集成、安全咨询与运维服务，业务多点开花，已在政务、金融、医疗卫生、电信、教育、交通等领域建立领先优势， “ 一体化 ” 电子认证解决方案具备竞争优势，市场占有率有望进一步提高 。 陆洲 010-66554142 luzhoudxzq 执业证书编号 : S1480517080001 王习 010-66554034 Wangxidxzq 执业证书编号 : S1480518010001 研究助理：张卓琦 010-66554018 Zhangzq_y jsdxzq 执业证书编号 : S1480117080010 细分行业 评级 动态 密码行业 看好 维持 行业基本资料 占比 % 股票家数 53 1.46% 重点公司家数 3 行业市值 8325.13 亿元 1.32% 流通市值 544.01 亿元 1.09% 行业平均市盈率 89.51 / 市场平均市盈率 16.54 / 行业指数走势图 资料来源： 东兴证券研究所 相关研究报告 东兴证券深度报告 密码 行业系列深度报告之一 ： PKI应用领域广市场前景好 ， 密码行业大有可为 P2 DON GX IN G SECURIT IES风险提示： PKI应用推广不足预期，业绩增速不及预期。 行业重点公司盈利预测 简称 EPS(元 ) PE PB 18A 19E 20E 18A 19E 20E 卫士通 0.19 0.65 0.96 156 45 31 5.63 格尔软件 0.84 1.09 1.42 49 38 29 5.67 数字认证 0.72 1.02 1.48 65 46 32 9.30 东兴证券深度报告 密码 行业系列深度报告之一 ： PKI应用领域广市场前景好 ， 密码行业大有可为 P3 敬请参阅报告结尾处的免责声明 东方财智 兴盛之源 DON GX IN G SECURIT IES目录 1. PKI 系统构建网络安全防线 . 5 1.1 身份认证技术是网络安全最重要的一道防线 . 5 1.2 基于 PKI 建设的身份认证 系统最为安全可靠 . 5 2. PKI 是网络安全的定海神针 . 8 2.1 PKI 介绍 . 8 2.2 PKI 相关产品完善，商业政务多点开花 .16 2.3 PKI 产品市场 .22 3. 等保 2.0推动信息安全行业，物联网时代信息安全大有可为 .25 3.1 网络安全形势不容乐观，加强网络身份认证体系建设势在必行 .25 3.2 国家战略政策推动网络安全发展，等保 2.0 利好整体信息安全行业 .28 3.3 物联网将成为密码产业发展的蓝海 .30 4. 推荐标的 .32 4.1 卫士通：背靠中国网安快速发展，形成信息安全产品体系 .32 4.1.1 卫士通拥有信息安全完整产业链 .32 4.1.2 中国网安：用 “网络安全 ”捍卫 “光荣使命 ” 以 “改革升级 ”擦亮 “国字招牌 ” .32 4.2 格尔软件： PKI 产品领军企业 .35 4.2.1 专注 PKI 领域，拥有显著竞争优势 .35 4.2.2 PKI 产品体系完整丰富 .37 4.2.3 利润持续增长，未来可期 .39 4.3 数字认证：电子认证技术优势企业 .40 4.3.1 公司主要业务 .40 4.3.2 提供 “一体化 ”电子认证解决方案 .42 4.3.3 公司将受益于电子认证行业快速发展 .43 表格目录 表 1：常用身份认证机制 . 8 表 2： PKI 产品介绍 .17 表 3：卫士通产品种类 .22 表 4：吉大正元 PKI 相关产品种类 .24 表 5：数字认证 PKI 相关产品种类 .25 表 6：近年我国网络安全方面主要政策 .28 表 7：格尔软件 PKI 产品 .37 表 8：重点跟踪公司 .44 P4 东兴证券深度报告 密码 行业系列深度报告之一 ： PKI应用领域广市场前景好 ， 密码行业大有可为 敬请参阅报告结尾处的免责声明 东方财智 兴盛之源 DON GX IN G SECURIT IES插图目录 图 1：用户访问网络资源的流程 . 5 图 2：典型基于挑战 /响应的认证机制的认证过程 . 6 图 3：基于公共密钥的认证机制架 构 . 7 图 4： PKI 技术架构 . 9 图 5：哈希算法流程 .10 图 6：对称算法流程 .10 图 7：非对称算法流程 . 11 图 8： PKI 系统数字签名技术流程 .12 图 9：信任模式：级联，网状，混合 .13 图 10： PKI 主要功能 .14 图 11：典型 PKI 系统组成 .14 图 12： PKI 产品产业链 .16 图 13：多应用安全金融信息系统框架 .18 图 14：安全金融信息系统基础设施 .18 图 15： 云计算数据安全体系 .20 图 16： 云计算安全层级 .20 图 17： PKI 产品市场竞争格局 .22 图 18： 格尔软件产品 .23 图 19： 2014-2018年我国网络身份认证信息安全行业市场规模（亿元） .27 图 20： 网络安全等级保护发布 .29 图 21： 网络安全等级保护变化 .30 图 22： 格尔软件 PKI 产品 .37 图 23： 数字认证一体化电子认证解决方案 .42 东兴证券深度报告 密码 行业系列深度报告之一 ： PKI应用领域广市场前景好 ， 密码行业大有可为 P5 敬请参阅报告结尾处的免责声明 东方财智 兴盛之源 DON GX IN G SECURIT IES1. PKI 系统构建网络安全防线 1.1 身份认证技术是网络安全最重要的一道防线 随着信息化的快速发展，对国家、组织、公司或个人来说至关重要的信息越来越多的通过网络来进行存储、传输和处理，为获取这些关键信息的各种网络犯罪也相应急剧上升。企业以及电子政务的信息系统面临着越来越严重的外部或内部的各种攻击，包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。当前，网络安全在某种意义上已经成为一个事关国家安全 和 社会经济稳定的重大问题， 受 到越来越多的重视。 在网络安全中，身份认证 是 第一道 ， 甚至是最重要的一道防线。 身份认证就是在网络系统中通过某种手段确认操作者身份的过程，其目的在于判明和确认 通信双方和信息内容的真实性。 图 1： 用户访问网络资源的流程 资料来源：百度百科、东兴证券研究所 一般情况下，用户在访问系统之前，首先要经过身份认证系统来识别身份， 而后才能访问监视器。 根据用户的身份和授权数据库来决定用户是否有权访问某个资源，审计系统记录用户的请求和行为，同时入侵检测系统 会 实时或非实时地检测是否有入侵行为。可以看出，身份认证是网络安全体系中的第一道关卡，其它的安全服务如访问控制、审计等都 依赖于它。 一旦非法用户通过了身份认证，就会对系统和资源的安全构成极大的威胁。因此，身份认证是网络安全中的一个重要环节。 1.2 基于 PKI 建设的身份认证系统最为安全可靠 在整个安全系统中 ，身份认证技术是重点，基本安全服务就是身份认证， 其他 安全服务也都建立在身份认证的基础上 。这 使 得 身份认证系统具有十分重要的地位，也最容易 遭受 攻击。因此，建立安全的身份认证系统是网络安全的首要步骤。目前常用的网络身份认证机制包括基于口令的身份认证机制、挑战 /响应认证机制、基于DCE/Kerberos 的认证机制以及基于公共密钥的认证机制。 （ 1） 基 于口 令的认证机制 基于口令的身份认证技术一般包括账户名和密码，用户通过固定的用户名确认身份信息，通过密码验证是否是本人。因简单易用， 基于口令的身份认证技术 是目前使用最P6 东兴证券深度报告 密码 行业系列深度报告之一 ： PKI应用领域广市场前景好 ， 密码行业大有可为 敬请参阅报告结尾处的免责声明 东方财智 兴盛之源 DON GX IN G SECURIT IES为广泛的身份认证方式，一般包括基于静态口令的认证方式和动态口令认证。基于口令的身份认证系统简单效率高 ， 但安全性比较差 ， 仅依赖于口令，口令一旦泄露，用户即可被冒充 。容易受到 攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。 （ 2） 基于挑战 /响应的认证机制 基于 挑战 /响应的身份认证机制 ，即认证服务器端向 客户端发送不同的挑战码，客户端程序收到 挑战码 后 ，根据客户端和服务器之间共享的密钥信息，以及服务器端发送的挑战码 ， 做出相应 应答。服务器根据应答的结果确定是否接受客户端的身份声明。本质上讲，这种机制也是一次性口令。 图 2： 典型基于挑战 /响应的认证机制的认证过程 资料来源： 网络公开资料 ， 东兴证券研究所 具体 认证过程为： 1） 客户向认证服务器发出请求，要求进行身份认证； 2） 认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理； 3） 认证服务器内部产生一个随机数，作为挑战码，发送给客户； 4） 客户将用户名字和随机数合并，使用单向 Hash 函数（例如 MD5 算法）生成一个字节串作为应答； 5）认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败； 6） 认证服务器通知客户认证成功或失败。 基于挑战 /响应认证机制的身份认证系统一定程度上加强了安全性，但并不能完全阻止黑客破坏。比如未验证黑客身份为超级用户，黑客有可能使用拒绝服务性的攻击方式， 使得授权用户不能通过认证。 （ 3） 基于 DCE/Kerberos 的认证机制 Kerberos 是为解决分布式网络认证而设计的可信第三方认证协议。网络上的每个实体持有不同的密钥，是否知道该密钥便是身份的证明。网络上的 Kerberos 服务起着可信仲裁者的作用，可提供安全的网络认证。 东兴证券深度报告 密码 行业系列深度报告之一 ： PKI应用领域广市场前景好 ， 密码行业大有可为 P7 敬请参阅报告结尾处的免责声明 东方财智 兴盛之源 DON GX IN G SECURIT IES该认证机制下，设立可信任的第三方，即认证服务器（ AS）。 AS 为客户和服务器提供证明身份的身份证书以及双方安全通信的会话密钥。此外还 会 授予服务器（ TGS），TGS向 AS的可靠用户发出身份证书。除客户第一次获得的初始证书是由 AS签发外，其他票据都是由 TGS 签发的， 每个 票据可以使用多次直至期限。客户方请求服务方提供服务时，不仅要向服务方发送从 TGS 领来的身份证书，同时还要自己生成鉴别码 一并 发送。 与传统的认证协议相比， Kerberos 协议具有一系列的优势。 首先，它支持双向的身份认证， 而 大部分传统的认证协议都是基于服务器可信的网络环境，往往都是只验客户，但客户无法验证服务器。 Kerberos 协议中只有 AS 和 TGS 是可信 的 ，网络的所有工作站、服务器都是不可信的。当用户与服务器进行交互时， Kerberos 为客户抵挡了网络恶意攻击和欺骗。其 次， Kerberos 实现了一次性签放，在有效期内可多次使用。假如用户在一个开放网络环境中需要访问多个服务器，如查询邮件、打印文件、访问 FTP 等都在不同的服务器上，用户通过 AS 申请 TGS 的证书后，在有效期内利用该证书与 TGS 多次请求不同访问授权票据。降低 了 用户输入口令次数，从而提高了用户的体验。最后， Kerberos 提供了分布式网络环境下的域间认证机制， 允许客户花费少量的资源即可访问其他子域的服务，是 传统的认证协议难以实现 的 。 Kerberos 协议也存在不足和安全隐患。 Kerberos 身份认证采用的是对称加密 机制，加解密都需要相同的密钥，交换密钥时的安全性不能保障。 Kerberos 协议对时钟的要求比较高，必须在时钟基本同步的环境中，如果引入事件同步机制则需保证同步机制的安全；若时间不同步，攻击者可以通过调节时钟来实现重放攻击。在 Kerberos中，客户信息和服务器认证信息都集中存放在 AS 服务器中， 其 安全 性 严重依赖于AS 和 TGS 的性能和安全。随着用户数量的增加， Kerberos 需要维护复杂的密钥管理 。 （ 4）基于公共密钥的认证机制 基于公共密钥的安全策略进行身份认证， 即 使用符合 X.509 协议的身份证明。 须有一个第 三方的证明授拟中心为客户签发身份证明。客户和服务器 信任该证明授权中心 ，并 各自 获取证明， 在会话和通讯时首先交换身份证明，其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。在确定是否接受对方的身份证明时，还需检查有关服务器，以确认该证明是否有效。 图 3： 基于公共密钥的认证机制架构 P8 东兴证券深度报告 密码 行业系列深度报告之一 ： PKI应用领域广市场前景好 ， 密码行业大有可为 敬请参阅报告结尾处的免责声明 东方财智 兴盛之源