老兵自白：2026年中，密码行业的五个趋势

写在前面

2026年已经过了一半。

每年这个时候，我都会做一次半年度复盘：行业发生了什么变化？哪些趋势在加速，哪些在减速？我的判断对不对？

今年比较特殊。AI Agent爆发，PQC工程化提速，密评市场竞争加剧，密码监管框架持续完善……行业比往年热闹得多。

热闹之下，有些趋势正在清晰地展开。我想把这些趋势分享出来，不一定对，但都是我的真实观察。

趋势一：PQC迁移从口号变成行动

去年这个时候，PQC（后量子密码）还是一个"说起来很重要，做起来不知道从哪下手"的领域。

今年不一样了。

OpenSSL 3.5.6发布，原生支持ML-KEM。nginx出了PQC TLS教程。Chrome和Firefox默认启用X25519MLKEM768混合组。

技术链条已经打通，标准已经落地，工程化已经有路径。

我看到的变化是：国内开始有企业真正启动PQC评估了。

以前跟企业聊PQC，他们说"等国际标准出来再说"、"等国密融合标准再说"。现在这些声音少了，取而代之的是"我们已经开始评估了"、"我们的TLS层计划明年支持PQC"。

当然，真正动手迁移的还是少数。大多数企业还在评估阶段，还没有进入实施阶段。

但从"观望"到"评估"，已经是巨大的进步。

我的判断：2026年下半年到2027年，会有一批头部企业开始PQC迁移的试点。2028年到2030年，迁移会进入高峰期。密码行业的企业，如果还没布局PQC相关的产品和服务，现在要开始准备了。

趋势二：AI Agent带火密码新需求

今年上半年最热的话题，没有之一，就是AI Agent。

我参加的各种行业会议，十个有八个在聊AI Agent。代码助手、客服机器人、自动化运维、智能数据分析——AI Agent正在渗透到企业运营的各个环节。

但我发现一个有趣的现象：AI Agent带火的不只是AI，还有安全。

企业在引入AI Agent之后，突然意识到一个问题：AI Agent处理的数据安全吗？AI Agent的身份怎么验证？AI Agent的行为能审计吗？

这些问题，以前没人问过。现在它们成了企业决策者最关心的问题之一。

答案指向密码技术：密钥管理、数字签名、证书认证、隐私计算。

我接触到的密码厂商，今年上半年来自AI Agent安全方向的咨询量明显增加。有些厂商已经开始推出针对AI Agent的密码产品，比如AI Agent专用的KMS、AI Agent行为审计工具等。

我的判断：AI Agent安全会成为密码行业下一个增长点。不是AI替代密码，而是AI给密码带来新的应用场景。这个场景的规模，可能比想象的还要大。

趋势三：密评市场竞争进入深水区

密评市场今年的主旋律是什么？

我的观察是：价格战进入尾声，整合潮正在开始。

价格战的底部已经不远了。我见过3万的报价，现在连成本都覆盖不了。这种报价不可能持续，迟早会有一批机构退出。

退出之后，市场会进入整合期。头部机构收购中小机构，资源整合，能力互补。这是所有成熟市场的必经之路。

整合之后，密评市场的格局会变成什么样子？

我的判断是：形成多家全国性龙头 + 若干区域性专业机构的格局。

全国性龙头有资源、有资质、有品牌，可以承接大型项目；区域性机构有本地化优势、有行业积累，可以在细分市场深耕。

价格会回归合理区间。不是回到高位，而是稳定在一个健康的利润水平，低于这个价格，服务质量无法保证；高于这个价格，市场不接受。

在这个整合过程中，有几类机构会比较难受：

第一类，没有差异化的小机构。既没有品牌优势，又没有技术特长，价格战又打不过，最后只能退出。

第二类，依赖低价策略的机构。它们用低价抢市场，但没有建立服务质量壁垒，一旦价格战打到成本线以下，客户就会流失。

第三类，团队不稳定的小机构。密评是人才密集型业务，团队不稳定意味着服务质量不稳定，客户信任度低。

而活得好的机构，通常有几个共同点：有一定的品牌积累、有稳定的团队、有差异化的服务能力、有一定的技术壁垒。

这个规律在任何成熟市场都适用，密评市场也不例外。

趋势四：密码监管框架持续完善

2026年，密码监管有几个值得关注的动作。

第一，密码应用安全性评估的覆盖范围继续扩大。

以前是等保2.0框架下的密码合规，现在越来越多的行业出了专门的密码合规要求。金融、政务、教育、医疗，关键信息基础设施，密码合规已经从"可选项"变成"必选项"。

第二，商用密码产品检测认证体系更加完善。

以前密码产品的检测认证周期长、流程复杂，企业抱怨很多。现在检测认证流程在简化，效率在提升，更多产品可以更快地获得认证。

我见过一个密码厂商，从提交认证申请到拿到证书，只用了三个月。以前可能要一年。

第三，PQC相关的合规框架开始制定。

PQC迁移已经开始，但合规框架还没跟上。国密局正在研究制定PQC融合标准，预计2027年会出台。

在此之前，企业PQC迁移主要还是参考国际标准——NIST的PQC标准、CNSA 2.0的要求。

趋势五：密码人才培养成为行业瓶颈

这是今年让我最担心的问题。

密码行业现在最缺什么？不是钱，不是市场，是人。

既懂密码学又懂工程实现的复合型人才，太少了。

我接触过很多密码项目，因为找不到合适的人，项目延期、质量打折。有的企业开出高薪招人，一年招不到一个合格的候选人。

为什么人才这么缺？

第一，密码学科的门槛高。

密码学需要扎实的数学基础——数论、代数、概率论。这些学科的学习周期长，不是短期培训能解决的。

第二，工程化经验积累慢。

密码算法的工程实现，比理论复杂得多。密钥怎么安全存储？侧信道攻击怎么防范？性能怎么优化？这些问题，需要多年的项目积累才能掌握。

第三，AI时代的新需求加剧了短缺。

AI Agent安全、隐私计算、后量子密码——这些新领域都需要密码人才。但培养一个密码学博士需要五年以上，远水解不了近渴。

第四，密码人才培养体系不完善。

高校的密码学课程，跟工程实践脱节严重。我见过很多密码学方向的硕士生，论文写得漂亮，但拿到实际的密码项目，不知道从哪下手。

企业在招人时，往往只能招有经验的人。但有经验的人就那么多，而且大部分已经被头部企业抢走了。

我的判断是：密码人才短缺会持续3-5年，短期内无法缓解。企业要解决这个问题，只能靠内部培养 + 外部合作，不能指望市场上有足够的人才供应。

那怎么办？

我的建议是：企业内部培养为主，外部引进为辅。

企业内部培养，就是选拔有数学基础、有学习意愿的年轻人，给他们系统的密码学培训 + 项目实战机会。培养周期大概2-3年，虽然长，但效果稳定。

外部引进，就是招聘有经验的人才。但要注意，密码行业的人才流动不频繁，有经验的人不多，而且薪资期望普遍较高。中小企业引进这类人才的难度较大。

还有一条路：跟高校合作。企业出场景、出需求，高校出理论、出人才。产学研合作，是解决密码人才短缺的长效机制。

写在最后

写完五个趋势，我有一个感受：密码行业正在经历一次范式转换。

以前密码是"合规驱动"——企业做密码，是为了满足监管要求。

现在密码是"价值驱动"——企业做密码，是因为密码能保护核心资产、能支撑新业务、能创造竞争优势。

这个转换刚刚开始，还有很多不确定性。但方向是清晰的：密码技术的价值，正在被重新定义。

从"合规工具"到"价值基础设施"，这是我对密码行业未来五年的核心判断。

各位同行，你们怎么看？

? 关于作者

明序，商用密码行业观察者，专注数据安全与密码技术领域。

本文仅代表个人观点，供行业从业者参考。