随着智能网联汽车的发展，汽车面临的网络安全威胁也日益增多，密码技术已成为国家和社会发展的重要保障。密码技术作为保障网络安全的核心技术，其标准化是推动密码技术高质量发展的关键。近日，工业和信息化部组织制定的GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，其中涉及诸多密码技术的应用，这也表明密码技术在汽车上的作用日益增加。本文将详细介绍《GM/Y 5001-2021 密码标准使用指南》，旨在引导汽车行业正确使用密码标准，构建安全可靠的信息保护体系。

密码标准体系框架从技术维、管理维和应用维三个维度对密码标准进行组织和刻画。

1 技术维

技术维是密码标准体系框架的基础，主要从技术层次的角度对密码标准进行刻画。它涵盖了密码技术的各个方面，包括密码术语与标识、密码算法、算法使用、密钥管理以及密码协议等。这些标准共同构成了密码技术的基础规范，为密码产品的研发和应用提供了坚实的理论支撑。

图2  技术维各大类关系

◆ 密码术语与标识：如GM/Z4001《密码术语》和GB/T33560《信息安全技术密码应用标识规范》，为密码领域提供了统一的术语定义和应用标识方法。

◆ 密码算法：包括对称密码算法（如GB/T32907《信息安全技术SM4分组密码算法》）、公钥密码算法（如GB/T32918《信息安全技术SM2椭圆曲线公钥密码算法》）和密码杂凑算法（如GB/T32905《信息安全技术SM3密码杂凑算法》）等，这些算法是密码技术的核心。

◆ 算法使用：如GB/T17964《信息安全技术分组密码算法的工作模式》和GB/T35276《信息安全技术SM2密码算法使用规范》，规范了密码算法在具体应用中的使用方法和要求。

◆ 密钥管理：如GB/T17901《信息技术安全技术密钥管理》，为密钥的生成、存储、分发、使用和销毁等环节提供了安全指导。

◆ 密码协议：如GB/T38636《信息安全技术传输层密码协议（TLCP）》，为密码技术在网络通信中的应用提供了协议规范。

2 管理维

管理维主要从密码产品的生产、保障能力建设和实施等方面进行规范。它涵盖了商用密码产品生产和保障能力建设的规范及实施指南，如GM/T0065《商用密码产品生产和保障能力建设规范》和GM/T0066《商用密码产品生产和保障能力建设实施指南》。这些标准对于提升密码产品的质量和安全性具有重要意义。

3 应用维

应用维是密码标准体系框架的重要组成部分，它主要关注密码技术在各个应用领域中的具体要求和技术指导。这些标准涵盖了密码技术在信息系统、电子文档、移动支付等多个领域的应用要求和技术规范，如GB/T39786《信息安全技术信息系统密码应用基本要求》和GM/T0070《电子保单密码应用技术要求》等。未来将有更多与车相结合的密码技术标准推广应用，逐步形成在汽车领域的密码标准体系。

1 密码基础类标准

密码基础类标准主要包括密码术语与标识、密码算法、算法使用、密钥管理和密码协议等。这些标准共同构成了密码技术的基础规范体系，为密码产品的研发和应用提供了统一的技术指导和要求。例如，《GB/T 32907 信息安全技术SM4分组密码算法》规定了SM4算法的结构、加密解密过程及密钥扩展算法；《GB/T 35276 信息安全技术SM2密码算法使用规范》则详细描述了SM2算法的使用方法、密钥及数据格式等。

2 基础设施类标准

基础设施类标准主要针对公钥基础设施（PKI）和标识基础设施等进行规范。这些标准包括证书认证系统密码协议、数字证书格式以及证书认证系统密码及相关安全技术等。如GM/T0014《数字证书认证系统密码协议规范》和GB/T20518《信息安全技术公钥基础设施数字证书格式》等标准，为构建安全可靠的公钥基础设施提供了技术支撑。

3 密码产品类标准

密码产品类标准主要规范了各类密码产品的接口、规格以及安全要求。这些标准包括设备接口标准（如《GM/T 0012可信计算可信密码模块接口规范》）、技术规范（如《GB/T 38556信息安全技术动态口令密码应用技术规范》）和产品规范（如《GM/T 0023 IPSec VPN网关产品规范》）等。与汽车行业关系紧密的《车载信息交互系统密码模块检测规范》《V2X证书认证系统检测规范》也在标准的制定中，为密码产品在车上的应用提供了统一的技术要求和规范。

4 应用支撑类标准

应用支撑类标准旨在提供通用的密码服务功能接口和应用规范，以便在不同的应用系统中实现密码技术的互操作性和一致性。例如，《GM/T 0019 通用密码服务接口规范》定义了使用公钥密码算法和双数字证书机制的密码服务接口；《GM/T 0020 证书应用综合服务接口规范》则提供了基于数字证书的证书信息解析、身份认证等高级密码服务接口。

5 密码应用类标准

密码应用类标准对特定应用场景下的密码应用提出具体要求和技术规范。这类标准广泛应用于金融、电力、交通等各个社会行业。例如，《GB/T 39786 信息安全技术 信息系统密码应用基本要求》针对信息系统密码应用提出了密码应用的技术要求。汽车行业的国家标准《汽车整车信息安全技术要求》已经正式发布，同时国家标准《汽车密码应用技术要求》也在制定当中，这对汽车行业的密码应用具有极大的促进作用。

6 密码检测类标准

密码检测类标准针对密码算法、协议及产品的安全性和合规性进行检测和验证。这类标准对于保障密码技术的安全性和可靠性具有重要意义。例如，《GM/T 0063 智能密码钥匙密码应用接口检测规范》规定了智能密码钥匙密码应用接口的测试方法和要求；《GB/T 38625 信息安全技术 密码模块安全检测要求》则详细说明了密码安全检测中密码模块的检测指标和检测方法。

下一步，中汽研科技持续推进商用密码检测能力建设，深入研究和推广前沿的商用密码检测方法，确保为客户提供更高效、更安全的测试服务。

专家介绍

鲍越

中汽研科技 技术专家

主要研究方向为汽车密码检测认证技术，牵头及参与制定《汽车密码应用技术要求》等标准3项，制定国内首个汽车整车可信安全认证规程、汽车车载可信安全模块认证规程，参与国家和省部级级课题8项，试点示范4项，发表汽车密码相关高水平论文3篇，授权发明专利1篇，入选工业和信息化领域商用密码应用典型建设方案2项。