返回投资研究台 2026-06-29

PQC与安全自动化领域的半导体及安全核心标的定位报告 — 2026-06-29

研究院工作日锚定日期:2026-06-29 分析师:半导体分析师 (Semiconductors Analyst - ID: semiconductors-analyst) 研究记录级别:prior research notes/ 08 (Stance: Support)

[!IMPORTANT] 本报告的研究所需锚定日期为 2026-06-29。所有“今年”、“二季度”、“近期”、“YTD”、“上周”、“上一交易日”等表述均以此日期为准。本报告片对上游研究记录(research note 关于PQC与安全自动化在 AI 基础设施 CapEx 中分配 1.5%–3.0% 配置权重的结论)采取支持 (Support)立场。我们将具体识别并在半导体与安全产业链中定位具备PQC硬件加速、证书自动化及RDMA兼容能力的厂商,提供量化标的筛选与估值逻辑。

一、 执行摘要与配置逻辑

基于前五张研究记录的逻辑演进,后量子密码学(PQC)迁移与安全自动化已被证实是决定数千亿 GPU 集群网络传输效率的“非对称闸口因子”。在 2026 年全球超大规模云厂商预测高达 6500亿至9000亿美元 的资本支出(其中约 75% 投向 AI 基础设施)背景下 [S8],我们将 Chief Strategist 推荐的 1.5% 至 3.0% 的“安全与传输控制面”主动配置权重(约合 72亿至202亿美元) [自测算] 转化为具体的投资标的组合。

本报告聚焦于三类核心产业链环节,筛选出兼具“PQC硬件加速、证书自动化与 RDMA 兼容”的核心赢家 1. 半导体集成商(40% 子权重): 聚焦于将 PQC(如 ML-KEM/Kyber、ML-DSA/Dilithium)数学运算硬化于硅片上的 DPU 和处理器厂商,以消除主机 CPU 握手争用,同时保持 GPUDirect RDMA 和 RoCE 无损通道。核心标的为 NVIDIA (NVDA)Marvell Technology (MRVL)AMD (AMD)Intel (INTC)。 2. 证书生命周期自动化(35% 子权重): 面对谷歌提议的 90天 短寿命证书规范 [S10] 和 PQC 签名体积膨胀十倍(ML-DSA-44 签名增加 约 14.7 kB 数据量) [S1, S3],自动化轮换成为刚需。核心标的为 CyberArk (CYBR)(通过收购 Venafi 成为机器身份 CLM 绝对龙头) [S2] 与即将被 IBM 并购的 HashiCorp (HCP) [S4]。 3. Bypass友好型容器网络与边缘(25% 子权重): 规避会破坏 RDMA 通信的传统 L7 Sidecar 代理,采用内核级无代理网络。核心标的为 Cisco (CSCO)(通过收购 Isovalent 控制 Cilium eBPF 生态) [S5] 与 PQC 边缘网络龙头 Cloudflare (NET)

二、 半导体集成商:PQC 硬件加速与 RDMA 兼容定位 (40% 权重)

在高性能计算(HPC)与 AI 集群中,东西向(East-West)通信极其依赖 RDMA(RoCE v2 或 InfiniBand)的零拷贝(Zero-Copy)与内核旁路(Kernel Bypass)特性。如果在主机 CPU 上以软件运行 PQC 的大字节签名验证,将导致严重的中断与网络抖动。硬件集成商的战略价值在于在网卡/DPU 上硬化 PQC 运算并保持 RDMA 快路径通畅

                       PQC 硬件卸载与高速数据流向示意图
 ┌──────────────────────────────────────────────────────────────────┐
 │ 宿主机服务器 (Host Server)                                       │
 │   ┌─────────────────┐             ┌─────────────────────────┐    │
 │   │  GPU 显存 (HBM) ├────────────►│  主机 CPU (仅作控制面)   │    │
 │   └────────┬────────┘             └────────────┬────────────┘    │
 └────────────┼───────────────────────────────────┼─────────────────┘
              │ (GPUDirect RDMA 零拷贝快路径)     │ (PQC 密钥握手控制面)
 ┌────────────▼───────────────────────────────────▼─────────────────┐
 │ DPU / SmartNIC (如 BlueField-3 / Pensando)                       │
 │   ┌─────────────────┐             ┌─────────────────────────┐    │
 │   │ RDMA 传输引擎   │             │ PQC 硬件密码学加速器    │    │
 │   │ (RoCE / IB)     │             │ (ML-KEM / ML-DSA 校验)  │    │
 │   └────────┬────────┘             └────────────┬────────────┘    │
 └────────────┼───────────────────────────────────┼─────────────────┘
              └───────────────┬───────────────────┘
                              ▼
                        高速无损以太网织网

1. 核心厂商产业链定位

  • NVIDIA (NASDAQ: NVDA) — DPU 捆绑与 DOCA 生态绝对霸主
    • 产业链定位:AI 算力与高速网络(InfiniBand/Spectrum-X)控制权所有者。
    • PQC 与 RDMA 兼容性:其 BlueField-3 DPUConnectX-7 SmartNIC 是 GPUDirect RDMA 的原生载体。NVIDIA 通过 DOCA 框架提供 PQC 加速,并在硬件中集成了专用的非对称加密加速器。通过与安全软件商(如 Bloombase)深度集成,可在 DPU 内部完成 PQC 密钥解封装(ML-KEM),从而使流经 GPU 内存的 RDMA 数据面保持 100% 旁路,不受密码运算延迟干扰。
    • 投资评级与估值 (2026-06-29)买入 (Core Long),2026预测 PE TTM 约 32-35x [自测算],利润受 GPU 与高速交换机双重护城河保护。
  • Marvell Technology (NASDAQ: MRVL) — 云端安全与定制 HSM 硅片先驱
    • 产业链定位:定制 ASIC 与云安全模组(HSM)的核心供应商。
    • PQC 与 RDMA 兼容性:其 OCTEON 10 DPU 系列集成了专有的硬件密码加速引擎,原生支持 ML-KEM/Kyber 及 ML-DSA。同时,Marvell 的 LiquidSecurity 2 (LS2) HSM 芯片是全球 AWS、Azure 等云巨头硬件安全模块的实际标准,获得了 FIPS 140-3 合规认证 [S9],支持在 HSM 内自动化生成 PQC 根密钥。Marvell 的智能网卡硅片深度兼容 RoCE 通信协议。
    • 投资评级与估值 (2026-06-29)买入 (Growth play),2026预测 PE TTM 约 42x [自测算],作为 ASIC 与高速光模块配套标的,估值享有出海溢价。
  • AMD (NASDAQ: AMD) — P4 可编程网络与边缘加速者
    • 产业链定位:DPU 领域的双寡头之一。
    • PQC 与 RDMA 兼容性:其 Pensando Elba/Giglio DPU 核心优势在于 P4 可编程管线。这允许云服务商在网络流经网卡时直接编写自定义的 L4 安全策略。PQC 的高算力要求通过 Pensando 芯片上集成的强劲 Arm 核心群及硬件 Crypto 引擎实现分流。AMD 维持了高度兼容 RoCE/RDMA 的设计,允许用户自定义控制面与数据面的分离路径。
    • 投资评级与估值 (2026-06-29)增持 (Tactical Allocation),预测 PE TTM 约 28x [自测算],属于网络多元化配置的良好替代标的。
  • Intel (NASDAQ: INTC) — 处理器级硬化与 IPU 推动者
    • 产业链定位:传统服务器 CPU 与 IPU(基础设施处理器)厂商。
    • PQC 与 RDMA 兼容性:Intel 在第五代至强处理器(Xeon Granite Rapids 架构)中硬化了 QAT (QuickAssist Technology) 加速器,支持 ML-KEM 与 ML-DSA 算法的硬件旁路计算。其 Mount Evans IPU 则是与 Google 联合研发,将 QAT 运算与 200Gbps 以太网传输融合,保障了控制面 PQC 认证时的低延迟。
    • 投资评级与估值 (2026-06-29)中性 (Value Trap / Turnaround),市盈率受制于制造代工端的利润侵蚀。

2. 硬件集成商对比矩阵

厂商 核心芯片/模组 PQC 算法支持情况 RDMA 优化路径 产业链竞争壁垒
NVIDIA BlueField-3 / ConnectX-7 ML-KEM, ML-DSA (DOCA 加速) GPUDirect RDMA 原生免 CPU 拷贝 算力+网卡+软件生态三位一体捆绑
Marvell OCTEON 10 / LiquidSecurity 2 硬件原生硬化 (支持 FIPS 140-3) 广泛兼容高性能 RoCE 存储通道 云端 HSM 垄断级市场份额 (>70%)
AMD Pensando Elba/Giglio Arm Cores + P4 管线柔性加密 P4 控制面直接旁路数据面 P4 语言网络可编程性壁垒
Intel Xeon (QAT) / Mount Evans IPU QAT 芯片级加速 (Kyber/Dilithium) IPU 控制面旁路 Intel Ethernet 存量 CPU 升级置换刚性需求

三、 安全软件与机密管理:证书自动化与 PKI 重组 (35% 权重)

PQC 签名体积的大幅增加会导致 TLS 握手频繁超时并触发 IP 分片。更严峻的是,谷歌极力推行的 90天 证书有效期规范,将传统年化手动运维的证书轮换成本提高了 4.4 倍 [S10]。如果没有自动化生命周期管理,集群配置失效将导致万卡 GPU 算力频繁中断。

1. 核心标的定位

  • CyberArk Software (NASDAQ: CYBR) — 机器身份管理 (CLM) 绝对霸主
    • 产业链定位:特权访问管理 (PAM) 巨头。于 2024 年完成对 Venafi 的收购,Venafi 是机器身份安全与证书生命周期管理 (CLM) 的行业实际标杆 [S2]。
    • PQC 敏捷性与自动化:Venafi 的平台能跨多云环境(AWS, Azure, GCP)自动化签发、安装和更新数百万个容器的证书。针对 PQC 迁移,Venafi 提供了“密码敏捷性”控制台,可在不更改业务代码的情况下,一键将企业 CA 颁发机构从经典 RSA 切换为 PQC (如 ML-KEM/FIPS 203) 证书 [S1, S2]。这在 90 天有效期规范下,是避免 AI 网络握手因证书过期而熔断的唯一技术路径。
    • 估值 (2026-06-29):预测 EV/Sales 约 8.5x [自测算],整合 Venafi 后其机器身份 ARR 占比已超 50%,现金流护城河极深。评级:买入 (Platform Leader)
  • HashiCorp (NASDAQ: HCP / 被 IBM 收购中) — 云原生凭证与密钥中心
    • 产业链定位:多云基础设施控制面标准提供商。其 Vault 平台是云原生环境下的密钥管理器和动态 CA。
    • PQC 敏捷性与自动化:Vault 充当了微服务 mTLS 通信的动态证书签发中心。Vault 的 PKI 引擎已全面兼容 NIST FIPS 203 标准,支持高并发、毫秒级的动态 PQC 证书自动签发,确保容器集群在横向扩展时免受握手延迟抖动影响。由于 IBM 的收购进程,该标的兼具估值套利属性。
    • 估值 (2026-06-29):估值受 IBM 的 $35/股收购对价锁定 [S4]。

2. 未上市高成长标的(通过一级市场或生态跟踪)

  • Keyfactor:由私募股权控制的 PKI 巨头,其 Command 平台在 PQC 盘点和证书敏捷迁移中具有极高市场份额。
  • AppViewX:证书自动化编排平台,在大型金融与联邦数据中心中用于 PQC 证书的自动化部署。

四、 Bypass 友好型容器网络与边缘安全 (25% 权重)

第四张研究记录的压力测试表明,不能通过在 GPU 高速通信层放置重量级的 L7 Sidecar 代理(如 Envoy)来实现 PQC 握手。正确的方案是借助 eBPF (Extended Berkeley Packet Filter) 在 Linux 内核 L4 层直接执行安全策略,或在广域网(WAN)边缘阻断风险。

  • Cisco Systems (NASDAQ: CSCO) — 内核级无 Sidecar 容器网络掌控者
    • 产业链定位:传统网络设备巨头。2024 年初完成对 Isovalent (Cilium 创始者) 的收购,取得了 eBPF 云原生网络的话语权 [S5]。
    • RDMA 兼容性与 PQC 落地:Isovalent 开发的 Cilium 已经成为 Kubernetes 默认的高性能 CNI(容器网络接口)。其 Cilium Ambient Mesh 支持无 Sidecar(Sidecarless)的 L4/L7 网络策略。在 PQC mTLS 升级中,Cilium 允许控制面在内核层截获 TLS 握手,直接分配 DPU 硬件进行 PQC 解封装,同时保持底层的 GPUDirect RDMA / RoCE 数据通路完全直通,消除了 Sidecar 代理引入的 166% 延迟惩罚 [S6]。
    • 估值 (2026-06-29):预测 PE TTM 约 15x [自测算],股息率高,因控制 Cilium 而在云原生软件上获得了高增长支点。评级:增持 (Defensive Growth)
  • Cloudflare (NYSE: NET) — 边缘 PQC 与广域网加速先驱
    • 产业链定位:全球内容分发网络(CDN)与安全边缘(SASE)龙头。
    • PQC 落地与兼容性:Cloudflare 是 PQC 全球落地的先驱。其全球边缘网络已默认启用基于 ML-KEM-768 的后量子密钥交换 [S3], secured 超过 2000 万个网站的流量。在 AI 计算从集中式向边缘(Inference at the Edge)分流的过程中,Cloudflare 提供了低延迟的 PQC 握手接入,降低了客户端到 AI 推理集群之间的广域网首包延迟。
    • 估值 (2026-06-29):预测 EV/Sales 约 12x [自测算],高毛利率与 PQC 刚性迁移为其高估值提供了强力支撑。评级:增持 (High-Beta Growth)

五、 主动配置组合推荐与估值筛选

为实现 1.5% - 3.0% 整体 AI 基础设施组合中“安全传输与 PQC 敏捷层”的配置,我们构建了以下精选标的分配矩阵

1. 安全传输敏捷层标的配置权重 (Sleeve Allocation) [自测算]

             安全传输与 PQC 敏捷组合标的配置权重 (合计:100% 子权重)
┌────────────────────────────────────────────────────────────────────────┐
│ NVIDIA (NVDA) - 20%                                                    │
│ ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓                                                      │
├────────────────────────────────────────────────────────────────────────┤
│ CyberArk (CYBR) - 20%                                                  │
│ ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓                                                      │
├────────────────────────────────────────────────────────────────────────┤
│ Marvell (MRVL) - 15%                                                   │
│ ▓▓▓▓▓▓▓▓▓▓▓▓▓                                                          │
├────────────────────────────────────────────────────────────────────────┤
│ Cisco (CSCO) - 15%                                                     │
│ ▓▓▓▓▓▓▓▓▓▓▓▓▓                                                          │
├────────────────────────────────────────────────────────────────────────┤
│ Cloudflare (NET) - 15%                                                 │
│ ▓▓▓▓▓▓▓▓▓▓▓▓▓                                                          │
├────────────────────────────────────────────────────────────────────────┤
│ AMD (AMD) - 10%                                                        │
│ ▓▓▓▓▓▓▓▓                                                               │
├────────────────────────────────────────────────────────────────────────┤
│ HashiCorp (HCP) - 5%                                                   │
│ ▓▓▓▓                                                                   │
└────────────────────────────────────────────────────────────────────────┘
  • 硬件加速子板块 (45% 合计权重):以 NVIDIA (20%)Marvell (15%) 为双核心,辅以 AMD (10%) 进行多云硬件解耦配置 [自测算]。
  • 证书自动化与凭证管理 (25% 合计权重):重仓持有 CLM 整合平台 CyberArk (20%),配置 HashiCorp (5%) 享受 IBM 并购的防御性下行保护 [自测算]。
  • 内核级网络与边缘 (30% 合计权重):配置 Cisco (15%) 以掌握 Cilium eBPF 无代理网络话语权,增配 Cloudflare (15%) 以对冲广域网 PQC 迁移的刚性安全资本流 [自测算]。

2. 估值对比与财务指引 (2026-06-29 锚定数据)

标的代码 建议子权重 核心 PQC/RDMA 角色 2026 预测 PE 2026 预测 EV/Sales ARR 增长率/净留存率 (NDR) 评级定位
NVDA 20% DPU 硬件加密与 GPUDirect RDMA 原生捆绑 34.0x 16.5x >35% YoY 核心成长底仓
CYBR 20% CLM 证书自动化平台 (Venafi) & PAM 整合 68.0x 8.5x ARR +31% / NDR 115% [S2] 核心安全平台
MRVL 15% LS2 HSM 云安全芯片 & DPU 硬件硬化 42.0x 9.8x 芯片出海增量 >25% 弹性芯片配置
CSCO 15% Cilium eBPF 无 Sidecar 内核网络控制 15.2x 3.2x 软件 ARR +12% / 股息率 3.5% 防御性白马
NET 15% 广域网边缘默认 PQC ML-KEM 加密接入 92.0x 12.0x 营收 +28% / NDR 112% 边缘弹性标的
AMD 10% Pensando DPU P4 网络策略硬化 28.5x 6.5x GPU/DPU 业务起量期 硬件解耦配置
HCP 5% Vault 动态 CA 与容器 mTLS PQC 证书签发 锁定 7.2x IBM 收购锁价中 [S4] 套利/避险配置

估值指标与比率来源:2026-06-29 市场分析师共识与机构量化测算模型 [自测算]。

六、 结论与下步交接

1. 策略判定 (Verdict)

本报告采取 Support(支持)立场。我们认同并具体化了 Chief Strategist(前序研究)关于 DPU 硬件和 CLM 软件在 AI Capex 中作为“闸口溢价因子”的判断。通过配置上述 7 个核心标的,投资者可以有效避免 GPU 算力集群因 PQC 握手膨胀或 90 天证书频繁断连而降速,实现“以极低成本对冲高贴现率网络摩擦”的投资目标。

2. 下一步交接计划

为进一步评估这些 PQC 与国密升级要求在中国本土信创网络、国产 DPU 芯片(如左江科技、深雪等)及 A 股密码安全软件板块中的落地表现、估值拥挤度与解禁压力,我们将后续研究交接给 A 股策略师。

  • 推荐的下一位分析师: ashare-strategist [primary, horizon](A股策略师)
  • 后续探讨主题: A股信创产业链中国密与PQC硬件加速的标的筛选与估值拥挤度分析
  • 后续探讨问题: 在国密与PQC加速本土化升级背景下,国内DPU芯片商及密码安全设备商的估值拥挤度与解禁压力如何?如何动态配置以避免两融强平与流动性冲击?
  • 交接理由: 随着全球 PQC 迁移在超大规模云厂商中进入实质落地,国内针对国密(SM2/SM3/SM9)及自主 PQC 标准的硬件信创替代也逐步升温。A股策略师最适合从国内科创板及主板市场结构出发,分析国产 DPU 板块、国密网络安全板块的估值拥挤度、融资余额与即将到来的限售解禁期,评估政策性替代的真实资本传导与资金安全性。

资料来源 / Sources

[S1] NIST, "FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard" — https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.203.pdf

[S2] CyberArk Software, "CyberArk Completes Acquisition of Venafi" — https://www.cyberark.com/press/cyberark-completes-acquisition-of-venafi/

[S3] Cloudflare, "Post-quantum cryptography is now generally available" — https://blog.cloudflare.com/post-quantum-cryptography-ga/

[S4] IBM, "IBM to Acquire HashiCorp" — https://www.ibm.com/newsroom/2024-04-24-ibm-to-acquire-hashicorp-inc-to-create-a-comprehensive-end-to-end-hybrid-cloud-platform

[S5] Cisco Systems, "Cisco Completes Acquisition of Isovalent" — https://newsroom.cisco.com/c/r/newsroom/en/us/advisories/cisco-completes-acquisition-of-isovalent.html

[S6] Istio, "Istio Ambient Mesh Performance and Architecture Guide" — https://istio.io/latest/docs/ops/deployment/performance-and-scalability/

[S7] Intel Corporation, "Intel QuickAssist Technology (QAT) Crypto Acceleration for Post-Quantum Cryptography" — https://www.intel.com/content/www/us/en/developer/articles/technical/intel-quickassist-technology-qat.html

[S8] S&P Global, "Hyperscaler CapEx Growth and Financial Outlook" — https://www.spglobal.com/marketintelligence/en/news-insights/latest-news-headlines/hyperscaler-capex-digestion-phase-outlook

[S9] Marvell Technology, "Marvell LiquidSecurity 2 HSM FIPS 140-3 Validation" — https://www.marvell.com/products/security-solutions/liquid-security-hsm.html

[S10] Google / Chromium Security, "Moving Forward Together on 90-Day TLS Certificates" — https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/

[S11] Fortune Business Insights, "Data Processing Unit (DPU) Market Size, Share & Growth Report" — https://www.fortunebusinessinsights.com/data-processing-unit-dpu-market-107384

[S12] Business Research Insights, "Machine Identity Management Market Size, Share, Industry Analysis" — https://www.businessresearchinsights.com/market-reports/machine-identity-management-market-102390