2021年商用密码应用安全性评估白皮书.pdf

技术白皮书商用密码应用安全性评估白皮书（ 2021 年）中国软件评测中心网络空间安全测评工程技术中心中国计算机行业协会数据安全专业委员会 2021 年 9 月版权声明本白皮书版权属于中国软件评测中心，并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明 “来源：中国软件评测中心 ”。违反上述说明的，本单位将追究其相关法律责任。编写小组：（按姓氏首字母排序）陈靖高振鹏高志欢韩志峰胡建勋黄斐一黄学臻计晓军姜玉琳李世斌李晓明李杺恬李志鹏李研梁潇林青刘欣刘元刘芮汐刘金春卢佐华马多贺孟斌宋岳峰唐刚田峰王东阳魏向杰吴连勇文雪刚肖光雁徐赵虎薛竹君叶茂祥于乐张兵张宏张峰张弘扬张久珍张士莹张晓娜张建荣郑东周庆山朱宇泽编写单位：中国软件评测中心（工业和信息化部软件与集成电路促进中心）中国计算机行业协会数据安全专业委员会参研单位：（按笔画排序）上海观安信息技术股份有限公司公安部第一研究所中国电信集团系统集成有限责任公司中国科学院信息工程研究所中国移动通信集团有限公司中国联合网络通信有限公司中核核信信息技术 (北京 )有限公司长春吉大正元信息技术股份有限公司北京大学信息管理系北京梆梆安全科技有限公司北京天融信网络安全技术有限公司北京安瑞科技有限公司北京数盾信息科技有限公司北京瀛和律师事务所西安邮电大学全球能源互联网研究院有限公司远江盛邦（北京）网络安全科技股份有限公司启明星辰信息技术集团股份有限公司国家互联网应急中心奇安信科技集团股份有限公司金蝶国际软件集团有限公司陕西泽众维密信息技术有限公司绿盟科技集团股份有限公司联通数字科技有限公司新华三信息安全技术有限公司 ISC2北京分会目录前言 . - 1 - 一、密码的重要性 . - 3 - 二、商用密码概述 . - 5 - （一）商用密码概念 . - 5 - （二）商用密码发展现状 . - 5 - （三）商用密码研究热点 . - 7 - 三、商用密码标准化进展 . - 9 - （一）密码标准体系 . - 9 - （二）密码标准成果 . - 11 - 四、商用密码典型应用场景 . - 20 - （一）电信和互联网领域 . - 21 - （二）工业互联网领域 . - 23 - （三）车联网领域 . - 27 - （四）物联网领域 . - 30 - （五）智慧交通领域 . - 32 - （六）电子政务领域 . - 33 - （七）金融领域 . - 35 - 五、商用密码应用中存在的问题 . - 36 - （一）商用密码应用领域不够广泛 . - 37 - （二）商用密码应用方式不够规范 . - 37 - （三）商用密码应用服务不够安全 . - 38 - （四）商用密码应用需求难以契合 . - 38 - 六、商用密码应用问题原因分析 . - 39 - （一）商用密码管理体制仍需健全 . - 39 - （二）商用密码标准体系尚待完善 . - 39 - （三）商用密码产业支撑力量不足 . - 39 - （四）商用密码技术缺乏自主可控 . - 40 - 七、商用密码应用安全性评估概述 . - 41 - （一）密评开展背景 . - 41 - （二）密评发展历程 . - 41 - （三）密评总体流程 . - 43 - （四）密评必要性 . - 45 - 八、商用密码应用安全性评估内容要求 . - 47 - （一）密评要点 . - 47 - （二）通用测评要求 . - 48 - （三）单元测评要求 . - 50 - （四）整体测评要求 . - 53 - （五）风险分析和评价 . - 54 - 九、商用密码应用管理建议 . - 55 - （一）建立健全商用密码管理机制 . - 55 - （二）持续完善密码标准支撑体系 . - 56 - （三）优化商用密码产业生态环境 . - 57 - （四）提升密码技术自主创新能力 . - 57 - （五）着力培养密码行业人才队伍 . - 58 - 十、商用密码发展展望 . - 59 - （一）商用密码将得到广泛应用 . - 59 - （二）密码产业将得到强势发展 . - 59 - （三）标准体系将得到日益完善 . - 60 - （四）科创能力将得到显著提升 . - 61 - （五）密评工作将得到有力推进 . - 61 - - 1 - 前言为加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益， 1999年 10月 7日，国务院发布商用密码管理条例。 2020年 1月 1日，中华人民共和国密码法施行，这是全面坚持总体国家安全观，规范密码应用和管理，促进密码事业发展的技术性、专业性法律。因此，建立和完善商用密码应用安全性评估制度，规范商用密码安全性评估工作流程，确保商用密码应用的合规性、正确性、有效性具备重要意义，既是应对我国网络安全严峻形势的迫切需要，也是落实国家重要领域和关键行业网络安全防护责任的有效手段，更是全面贯彻落实密码法基本要求，推进商用密码法治建设的重要举措。为做好商用密码应用安全性评估工作，本白皮书基于商用密码的行业应用现状，一是说明了密码的重要性，并对商用密码及当前商用密码的标准化进展进行了概述；二是举例说明了商用密码在不同行业的应用需求；三是总结了商用密码应用当前存在的系列问题，并分析原因；四是介绍商用密码应用安全性评估工作，说明了进行商用密码应用安全性评估的必要性，描述了评估内容；五是针对当前商用密码应用存在的问题，提出了管理建议，并且对商用密码的发展趋势做出展望。中国软件评测中心（工业和信息化部软件与集成电路促进中心），简称“中国评测”，是工业和信息化部直属单位，创立于 1990 年。成立 30 年来，中国评测秉承“诚信、担当、唯实、创先”的核心价值观和“专业就是实力”的宗旨，先后承担了 10 万余款软 - 2 - 硬件产品和 1万余项信息系统工程的测试任务，已成为国内权威的第三方软、硬件产品及信息系统工程质量安全与可靠性检测机构。中国评测的业务网络覆盖全国 500多个城市，出具的测试报告在 61 个国家和地区实现互认。中国软件评测中心网络空间安全测评工程技术中心致力于信息系统的网络安全防护和安全运行，支撑政府主管部门履行网络安全相关的社会管理和公共服务职能。长期服务和支撑国家部委、地方政府以及电信、交通、能源、银行、证券、保险、教育、卫生、广电等各大行业，提供网络信息安全战略咨询规划、网络安全平台设计咨询、信息安全风险评估、网络安全等级保护测评、关键信息基础设施保护评估、数据安全能力和合规性评估、 APP安全认证检测、商用密码应用安全性评估等网络信息安全相关服务。在编写商用密码应用安全性评估白皮书（ 2021）的过程中，白皮书编写小组获得了众多专家的指导与帮助，各参编单位专家给予了专业的宝贵建议，为白皮书的撰写提供了重要参考。在此，中国软件评测中心对各参编单位表示衷心的感谢。由于行业发展和技术迭代迅速，编写者能力有限，本书难免存在不足，期待各位读者积极发现问题，并予以批评指正。同时，中国软件评测中心非常期待能够与网络安全行业、密码行业的机构和专家深入合作，推进产学研用协同发展，共同推动我国密码安全事业高质量发展。 - 3 - 一、密码的重要性应用先进的密码技术能够使公民、法人或其他组织的合法权益得到有效保障。随着经济社会数字化发展步伐加快，密码所承载的商用价值和社会价值愈发受到各界重视。近年来，各类网络安全事件时有发生。 2011年，国内某知名程序员社区数据库被攻破，大约 600万条用户注册信息和密码等资料在互联网被公开，该公司证实在 2009 年前确实使用过明文密码的方式存储用户数据，就此埋下了安全隐患，大量用户被通知建议修改密码。 2012 年，某全球职场社交网站的 650 万条经过加密的密码数据遭到泄露，事发原因是由于该社交网站使用了未加盐的方法存储加密密码，从而加大了攻击者破解密码的可能性，进而给了黑客进入到用户数据库的可乘之机。 2016年，某全球互联网网站用户个人账户的保密算法被攻破，从而导致上亿用户的个人信息遭黑客窃取，其中涉及用户姓名、电子邮箱、电话号码、出生日期、部分登录密码等信息。 2019年，美国某知名图形图像和排版软件生产商旗下一处数据库由于没有采取密码技术做安全措施，导致任何人皆可访问该数据库，从而致使 750 万个软件用户的个人信息遭到泄露。这些网络安全事件进一步提高了企业对信息安全保护的重视程度，加快了密码发展应用步伐。只有充分保障网络信息的机密性、可用性、信息来源的真实性、数据的完整性以及行为的不可否认性，信息系统才能够安全稳定运行。密码是维护网络安全最有效、最可靠、最经济的技术手段，其作用可以概括简述为三点： - 4 - 一是密码可作为网络安全的核心技术和基础支撑，密码可以完整实现网络空间信息防泄密、内容防篡改、身份防假冒、行为抗抵赖等功能，满足网络与信息系统对机密性、完整性、真实性和不可否认性等安全需求；二是密码可承担网络信任体系的构建基础，密码算法和密码协议可解决人、机、物的身份标识、身份鉴别、统一管理、信任传递和行为审计问题，是实现安全、可信、可控的互联互通的核心技术手段，密码是网络空间传递价值和信任的重要媒介及手段；三是密码技术可作为重要的战略性资源，近年来，我国密码算法设计分析能力达到国际先进水平，我国自主设计的 ZUC序列密码、 SM2公钥密码、 SM3杂凑密码、 SM4对称密码、 SM9标识密码等商用密码算法已成为国际标准，这是与世界先进密码算法同台竞争、反复论证的结果 1。商务部、国家密码管理局、海关总署联合发布的商用密码进口许可清单、出口管制清单中，进口许可清单包括加密电话机、加密传真机、密码机（密码卡）、加密 VPN 设备等；出口管制清单中包括安全芯片、密码机（密码卡）、加密 VPN 设备、密钥管理产品、专用密码设备、量子密码设备、密码分析设备、密码研制生产设备、密码测试验证设备，以及相关软件和技术。因而密码技术和产品已经成为一种重要战略资源。 1 霍炜，郭启全，马原：商用密码应用与安全性评估，北京：电子工业出版社， 2020年版，第 13 页。 - 5 - 二、商用密码概述（一）商用密码概念根据商用密码管理条例中的定义，商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。商用密码具有广泛的应用前景，主要面向不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等数据进行加密保护。例如企业敏感信息的传输与存储加密、防止非法第三方获取数据、安全认证与数字签名等。（二）商用密码发展现状党的十八大以来，以习近平总书记为核心的党中央高度重视互联网、发展互联网、治理互联网，形成了网络强国战略思想，走出了一条中国特色治网之道，指引我国网信事业取得历史性成就，商用密码由此得到全面发展。工业和信息化部党组高度重视商用密码应用推进工作，团结商用密码各方力量，助力商用密码产业做大做强。 2021年 3月 11日，工业和信息化部商用密码应用产业促进联盟成立。联盟贯彻落实密码法有关要求，推动工业和信息化领域商用密码应用和创新发展，进而做大做强商用密码产业，推动商用密码产业健康、高质量发展。当前，商用密码在科技创新、产业发展和应用推广等方面的落实工作已经初见 - 6 - 成效 2。在科技创新方面，商用密码理论和技术研究取得重要进展。我国商用密码的自主创新能力持续增强，已取得一系列高水平、原创性科研成果。部分密码算法例如 ZUC 算法已经成为 3GPP 中 4G国际标准， SM2/SM9数字签名算法、 SM3密码杂凑算法、 SM4分组密码算法、 SM9标识加密算法也已达到国际先进水平，成为国际标准。这些算法标准的发布实施，标志着我国商用密码算法具有国际领先的技术理论基础，已经具备了可以广泛应用商用密码的条件。国家密码管理局密码标准查询的统计结果显示，截至 2021年 5月，我国现行密码行业标准共有 116 项，现行和即将实行的密码国家标准共有 36项，这些标准覆盖了密码算法、产品、技术、检测、应用等多个方面，意味着我国密码标准体系正在日益完善。在产业发展方面，商用密码产业总体规模保持高增长率，商用密码供给质量不断提高，基础支撑能力持续增强。据 2020- 2021中国商用密码产业发展报告显示， 2016年至 2020年，我国商用密码产业总体规模持续增长， 2020 年我国商用密码产业规模突破 466亿，同比增速超 33%，详见表 1所示。表 1： 2016-2020 年商用密码产业总体规模及同比增长率 3 年份（年） 2016 2017 2018 2019 2020 产业规模（亿元） 151.64 239.41 283 350 466 同比增速（ %） 19.05 57.88 18.21 23.67 33.14 2 霍炜，郭启全，马原：商用密码应用与安全性评估，北京：电子工业出版社， 2020年版，第 99 页。 3 数据来源于 2020-2021中国商用密码产业发展报告 - 7 - 据国家密码管理局商用密码检测中心报告显示，截至 2021 年 4月，我国已有 2447款密码产品获得了商用密码产品认证证书，密码产品品类丰富，较完整的商用密码产品体系已初步形成。当前，我国商用密码产品种类正在持续增多，性能正在不断优化，能够有效保障供给质量。与此同时，商用密码管理体系也在不断健全完善，商用密码应用安全性评估（简称 “ 密评 ” ）试点正在有序展开，商用密码的社会认可度在大幅提升。在应用推广方面，商用密码已经在一些重要领域和关键行业中得到广泛应用。在通信、金融、教育、医疗健康、交通、社保、能源、国防工业等领域中都能找到商用密码的应用场景。据国家密码管理局行政审批查询结果显示，截至 2021年 5月，我国有 59家电子认证服务使用密码许可单位，及 53家电子政务电子认证服务机构。 2021年 6月 16日，国家密码管理局发布了最新的商用密码应用安全性评估试点机构目录，并且明确了 48 家商用密码应用安全性评估试点机构。根据国家密码管理局发文统计，当前国内有超过 80家金融保险机构通过应用商用密码技术，在电子保单、投保等业务方面实现了国产密码数字证书的全面应用；使用商用密码的第二代居民身份证和港澳台居民居住证共累计发行超 19亿张；机动车检验标志电子凭证覆盖超过 1.5亿辆；第三代社会保障卡覆盖超过 4800万户； 10个省（区、市）已完成基于密码技术的政务云试点建设，覆盖服务用户超过 5000 万人次。（三）商用密码研究热点在商用密码技术研究方面，目前研究热点集中在硬件加密、 - 8 - 软件加密、白盒密码、量子密码等领域。一是硬件加密。硬件加密的密码运算通过专用加密芯片或独立的处理芯片来实现。硬件加密在确保加密硬件中的密钥和关键参数的安全、硬件验证、加密运算与特定设备绑定、无需在主机安装驱动程序或软件、预防冷启动攻击、恶意代码、暴力破解攻击等方面具备优势，有更开阔的应用场景。目前国内的硬件加密解决方案技术提供商已将加密技术和芯片应用于消费电子、汽车电子、物联网和医疗设备等行业。二是软件加密。软件加密是一种典型的加密解密技术，通过安全加密模块及加密算法对信息进行加密，经过通信过程中的路由和中转到达接收节点，由接收端用户使用相应的解密算法进行解密并还原。从明文生成密文的步骤称为加密算法，解密的步骤为解密算法，加密、解密的算法合在一起统称为密码算法。对称密码算法中通信双方共享一个密钥，用于加密任意大小的数据块或数据流的内容，包括消息、文件、密钥口令。非对称密码算法（公钥密码）中加密和解密分别使用不同的密钥（私钥和公钥），该算法多用于加密较小的数据块，如加密密钥或者数字签名中使用的 Hash函数值等。三是白盒密码。白盒密码技术是一项能够抵抗白盒攻击（攻击者对设备终端拥有完全的控制能力）的密码技术。一般从技术实现方式上可以分为静态白盒和动态白盒。静态白盒指密码算法结合特定的密钥经过白盒密码技术处理后形成特定的密码算法库，其能在白盒攻击环境下有效保护原有密钥的安全。动态白盒指生成白盒库后不再更新，原始密钥经过同样的白盒密码技术转 - 9 - 化为白盒密钥。四是量子密码。量子密码以量子力学和密码学结合，目前学界对量子密码的研究主要集中在协议设计与分析、密钥分发、身份认证、秘密共享、安全直接通信等方面。量子密码的安全性由量子力学基本原理保证，与攻击者的计算能力无关。量子密码学利用量子的不确定性，构造安全的通信通道，保障任何发生在信道上的窃听行为不对通信本身产生影响，从而达到窃听失败的目的，以保证信道的安全 4。这相比于经典密码是一大优势，因而量子密码正逐渐成为密码新技术中的一个重要研究分支。三、商用密码标准化进展 2017年 6月 1日中华人民共和国网络安全法施行， 2018 年 1月 1日新修订的中华人民共和国标准化法施行， 2020年 1月 1日中华人民共和国密码法施行。三部法律的施行，加快推进了我国网络空间领域密码应用的发展，也进一步推进密码标准化体系的建立和密码标准化成果的输出。密码标准化既是在密码领域实施标准化战略的直接体现，也是密码技术与密码产品互联互通、走向大规模商用的必然要求 5。（一）密码标准体系中华人民共和国密码法第二十二条规定，国家建立和完 4 黄静，席博，李鹏，张帆，赵新杰：一种基于量子密码的卫星网络窃听攻击检测方法，载计算机科学 2016年 43卷 7期，第 157-161页。 5 田敏求：我国密码标准体系研究综述，载信息安全与通信机密 2018年第 5期，第 94-99页。 - 10 - 善商用密码标准体系。密码标准体系的建设居于密码标准化工作的核心地位，是具有全局性、引领性、基础性的顶层设计，建设完善标准体系能够促进标准全面、健康、有序、协调发展。国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。参照中华人民共和国标准化法确立的我国新型标准体系，密码标准同样可按照国家标准、行业标准、团体标准、企业标准等进行划分。我国商用密码标准体系一级结构如图 1所示。商用密码标准体系 A . 国家标准 B . 行业标准 C . 团体标准 D . 企业标准图 1 商用密码标准体系框架 6 针对商用密码标准体系中的行业标准，当前划分的行业标准体系分为基础类标准、应用类标准、检测类标准和管理类标准。行业密码标准体系将上述各类标准有机组织在一起，形成一个具有逻辑关系的集合，这些标准既可以支撑密码产品研制、密码应用和密码管理，也可以用于支撑其他行业用户构建自己的密码应用标准 7。行业密码标准体系框架如图 2所示。 6 该图出自中国软件评测中心网络空间安全测评工程技术中心。 7 刘平：密码支撑与密码应用，载信息安全与通信机密 2018年第 5期，第 22页。 - 11 - B. 行业标准 BA. 基础类标准 BAA 密码术语 / 密码标识子类 BAB 密码算法及使用子类 BAC 密码协议子类 BAD 密码产品子类 BBA 密码服务子类 BBB 行业密码应用子类 BB. 应用类标准 BC. 检测类标准 BCA 密码算法检测子类 BD. 管理类标准 BDA 密码产品管理子类 BDB 密码检测机构能力和质量管理子类 BDC 密码服务机构能力和质量管理子类 BCC 密码系统测评子类 BDD 运维管理子类 BCB 密码产品检测子类图 2 行业密码标准体系框架 8 基础类标准为其他三类标准提供了基础、共性支撑（如术语、算法、协议、产品等）；检测类标准保障了基础类标准和应用类标准的合法性检测；管理类标准对其他三类标准进行统一管理；应用类标准为上层具体的密码产品、服务应用提供支持。近年来，在全国信息安全标准化技术委员会和密码行业标准技术委员会的大力推动下，我国成功将密码算法标准 SM2、 SM3、 SM4、 SM9推动成为 ISO/IEC等国际标准，这是我国密码领域在国际标准化工作中的重要进展。随着技术的相互融合和快速发展，也会出现标准 “ 跨类 ” 或是分类界限难以界定的情况，密码标准体系应随技术进步等情况变化而不断被修正、调整和完善。（二）密码标准成果在国家标准制订方面，密码国家标准由全国信息安全标准化技术委员会归口管理，具体标准化工作由其下设 WG3密码工作 8 该图出自中国软件评测中心网络空间安全测评工程技术中心。 - 12 - 组负责，根据全国标准信息公共服务平台数据，截止本白皮书发布，我国现行密码国家标准共有 35项，即将实施的标准有 1项，现行和即将实施的密码国家标准如表 2所示。表 2：现行和即将实施的密码国家标准序号标准号标准名称实施日期 1 GB/T 18238.2-2002 信息技术安全技术散列函数第 2 部分 :采用n 位块密码的散列函数 2002/12/1 2 GB/T 21082.4-2007 银行业务密钥管理 (零售 ) 第 4 部分 : 使用公开密钥密码的密钥管理技术 2007/12/1 3 GB/T 17964-2008 信息安全技术分组密码算法的工作模式 2008/11/1 4 GB/T 15843.4-2008 信息技术安全技术实体鉴别第 4 部分 : 采用密码校验函数的机制 2008/11/1 5 GB/T 15852.1-2008 信息技术安全技术消息鉴别码第 1 部分：采用分组密码的机制 2008/12/1 6 GB/T 16649.15-2010 识别卡集成电路卡第 15 部分：密码信息应用 2011/4/1 7 GB/T 27909.2-2011 银行业务密钥管理 (零售 ) 第 2 部分：对称密码及其密钥管理和生命周期 2012/2/1 8 GB/T 27909.3-2011 银行业务密钥管理 (零售 ) 第 3 部分：非对称密码系统及其密钥管理和生命周期 2012/2/1 9 GB/T 29829-2013 信息安全技术可信计算密码支撑平台功能与接口规范 2014/2/1 10 GB/T 32905-2016 信息安全技术 SM3 密码杂凑算法 2017/3/1 11 GB/T 32907-2016 信息安全技术 SM4 分组密码算法 2017/3/1 12 GB/T 32918.1-2016 信息安全技术 SM2 椭圆曲线公钥密码算法第1 部分：总则 2017/3/1 13 GB/T 32918.2-2016 信息安全技术 SM2 椭圆曲线公钥密码算法第2 部分：数字签名算法 2017/3/1 14 GB/T 32918.3-2016 信息安全技术 SM2 椭圆曲线公钥密码算法第3 部分：密钥交换协议 2017/3/1 15 GB/T 32918.4-2016 信息安全技术 SM2 椭圆曲线公钥密码算法第4 部分：公钥加密算法 2017/3/1 16 GB/T 33133.1-2016 信息安全技术祖冲之序列密码算法第 1 部分：算法描述 2017/5/1 17 GB/T 33560-2017 信息安全技术密码应用标识规范 2017/12/1 - 13 - 序号标准号标准名称实施日期 18 GB/T 32918.5-2017 信息安全技术 SM2 椭圆曲线公钥密码算法第5 部分：参数定义 2017/12/1 19 GB/T 35291-2017 信息安全技术智能密码钥匙应用接口规范 2018/7/1 20 GB/T 35276-2017 信息安全技术 SM2 密码算法使用规范 2018/7/1 21 GB/T 35275-2017 信息安全技术 SM2 密码算法加密签名消息语法规范 2018/7/1 22 GB/T 36322-2018 信息安全技术密码设备应用接口规范 2019/1/1 23 GB/T 25056-2018 信息安全技术证书认证系统密码及其相关安全技术规范 2019/1/1 24 GB/T 37033.1-2018 信息安全技术射频识别系统密码应用技术要求第 1 部分：密码安全保护框架及安全级别 2019/7/1 25 GB/T 37033.2-2018 信息安全技术射频识别系统密码应用技术要求第 2 部分：电子标签与读写器及其通信密码应用技术要求 2019/7/1 26 GB/T 37092-2018 信息安全技术密码模块安全要求 2019/7/1 27 GB/T 37033.3-2018 信息安全技术射频识别系统密码应用技术要求第 3 部分：密钥管理技术要求 2019/7/1 28 GB/T 38540-2020 信息安全技术安全电子签章密码技术规范 2020/10/1 29 GB/T 38541-2020 信息安全技术电子文件密码应用指南 2020/10/1 30 GB/T 38556-2020 信息安全技术动态口令密码应用技术规范 2020/10/1 31 GB/T 38636-2020 信息安全技术传输层密码协议（ TLCP） 2020/11/1 32 GB/T 38625-2020 信息安全技术密码模块安全检测要求 2020/11/1 33 GB/T 38635.2-2020 信息安全技术 SM9 标识密码算法第 2 部分：算法 2020/11/1 34 GB/T 38635.1-2020 信息安全技术 SM9 标识密码算法第 1 部分：总则 2020/11/1 35 GB/T 15852.1-2020 信息技术安全技术消息鉴别码第 1 部分：采用分组密码的机制 2021/7/1 36 GB/T 39786-2021 信息安全技术信息系统密码应用基本要求 2021/10/1 在行业标准制订方面，密码行业标准由国家密码管理局归口 - 14 - 管理。 2011年密码行业标准化技术委员会正式成立，标志着密码标准化工作正式被纳入国家标准管理体系。根据国家密码管理局标准规范查询数据，我国现行密码行业标准共有 116项，基本形成了较为齐全的密码行业标准。 SSL、 TLS、 IPSec、 HTTPS等协议的设计充分发挥了密码技术的作用，因此密码行业标准的制定工作应当与时俱进。面对新一代信息技术产业高速发展的现状，目前存在标准资源受限问题，以 5G通信、云计算、大数据、物联网、移动互联网、人工智能等技术构建的新产业新业态中亟需加强新型密码算法的研究及标准制定，大力发展密码产业，护航我国数字经济高质量发展。现行密码行业标准如表 3所示。表 3：密码行业标准序号标准编号标准名称实施日期 1 GM/T 0001.1 祖冲之序列密码算法第 1 部分算法描述 2012/3/21 2 GM/T 0001.2 祖冲之序列密码算法第 2 部分基于祖冲之算法的机密性算法 2012/3/21 3 GM/T 0001.3 祖冲之序列密码算法第 3 部分基于祖冲之算法的完整性算法 2012/3/21 4 GM/T 0002 SM4 分组密码算法 2012/3/21 5 GM/T 0003.1 SM2 椭圆曲线公钥密码算法第 1 部分总则 2012/3/21 6 GM/T 0003.2 SM2 椭圆曲线公钥密码算法第 2 部分数字签名算法 2012/3/21 7 GM/T 0003.3 SM2 椭圆曲线公钥密码算法第 3 部分密钥交换协议 2012/3/21 8 GM/T 0003.4 SM2 椭圆曲线公钥密码算法第 4 部分公钥加密算法 2012/3/21 9 GM/T 0003.5 SM2 椭圆曲线公钥密码算法第 5 部分参数定义 2012/3/21 10 GM/T 0004 SM3 密码杂凑算法 2012/3/21 11 GM/T 0005 随机性检测规范 2012/3/21 - 15 - 序号标准编号标准名称实施日期 12 GM/T 0006 密码应用标识规范 2012/3/21 13 GM/T 0008 安全芯片密码检测准则 2012/11/22 14 GM/T 0009 SM2 密码算法使用规范 2012/11/22 15 GM/T 0010 SM2 密码算法加密签名消息语法规范 2012/11/22 16 GM/T 0011 可信计算可信密码支撑平台功能与接口规范 2012/11/22 17 GM/T 0013 可信计算可信密码模块符合性检测规范 2012/11/22 18 GM/T 0014 数字证书认证系统密码协议规范 2012/11/22 19 GM/T 0015 基于 SM2 密码算法的数字证书格式规范 2012/11/22 20 GM/T 0016 智能密码钥匙密码应用接口规范 2012/11/22 21 GM/T 0017 智能密码钥匙密码应用接口数据格式规范 2012/11/22 22 GM/T 0018 密码设备应用接口规范 2012/11/22 23 GM/T 0019 通用密码服务接口规范 2012/11/22 24 GM/T 0020 证书应用综合服务接口规范 2012/11/22 25 GM/T 0021 动态口令密码应用技术规范 2012/11/22 26 GM/Z 0001 密码术语 2013/6/20 27 GM/T 0022 IPSec VPN 技术规范 2014/2/13 28 GM/T 0023 IPSec VPN 网关产品规范 2014/2/13 29 GM/T 0024 SSL VPN 技术规范 2014/2/13 30 GM/T 0025 SSL VPN 网关产品规范 2014/2/13 31 GM/T 0026 安全认证网关产品规范 2014/2/13 32 GM/T 0027 智能密码钥匙技术规范 2014/2/13 - 16 - 序号标准编号标准名称实施日期 33 GM/T 0028 密码模块安全技术要求 2014/2/13 34 GM/T 0029 签名验签名服务器技术规范 2014/2/13 35 GM/T 0030 服务器密码机技术规范 2014/2/13 36 GM/T 0031 安全电子签章密码技术规范 2014/2/13 37 GM/T 0032 基于角色的授权与访问控制技术规范 2014/2/13 38 GM/T 0033 时间戳接口规范 2014/2/13 39 GM/T 0034 基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范 2014/2/13 40 GM/T 0035.1 射频识别系统密码应用技术要求第 1 部分：密码安全保护框架及安全级别 2014/2/13 41 GM/T 0035.2 射频识别系统密码应用技术要求第 2 部分：电子标签芯片密码应用技术要求 2014/2/13 42 GM/T 0035.3 射频识别系统密码应用技术要求第 3 部分：读写器密码应用技术要求 2014/2/13 43 GM/T 0035.4 射频识别系统密码应用技术要求第 4 部分：电子标签与读写器通信密码应用技术要求 2014/2/13 44 GM/T 0035.5 射频识别系统密码应用技术要求第 5 部分：密钥管理技术要求 2014/2/13 45 GM/T 0036 采用非接触卡的门禁系统密码应用技术指南 2014/2/13 46 GM/T 0037 证书认证系统检测规范 2014/2/13 47 GM/T 0038 证书认证密钥管理系统检测规范 2014/2/13 48 GM/T 0039 密码模块安全检测要求 2015/4/1 49 GM/T 0040 射频识别标签模块密码检测准则 2015/4/1 50 GM/T 0041 智能 IC 卡密码检测规范 2015/4/1 51 GM/T 0042 三元对等密码安全协议测试规范 2015/4/1 52 GM/T 0043 数字证书互操作检测规范 2015/4/1 53 GM/T 0044.1 SM9 标识密码算法第 1 部分：总则 2016/3/28 - 17 - 序号标准编号标准名称实施日期 54 GM/T 0044.2 SM9 标识密码算法第 2 部分：数字签名算法 2016/3/28 55 GM/T 0044.3 SM9 标识密码算法第 3 部分：密钥交换协议 2016/3/28 56 GM/T 0044.4 SM9 标识密码算法第 4 部分：密钥封装机制和公钥加密算法 2016/3/28 57 GM/T 0044.5 SM9 标识密码算法第 5 部分：参数定义 2016/3/28 58 GM/T 0045 金融数据密码机技术规范 2016/3/28 59 GM/T 0046 金融数据密码机检测规范 2016/12/23 60 GM/T 0047 安全电子签章密码检测规范 2016/12/23 61 GM/T 0048 智能密码钥匙密码检测规范 2016/12/23 62 GM/T 0049 密码键盘密码检测规范 2016/12/23 63 GM/T 0050 密码设备管理设备管理技术规范 2016/12/23 64 GM/T 0051 密码设备管理对称密钥管理技术规范 2016/12/23 65 GM/T 0052 密码设备管理 VPN 设备监察管理规范 2016/12/23 66 GM/T 0053 密码设备管理远程监控与合规性检验接口数据规范 2016/12/23 67 GM/T 0054 信息系统密码应用基本要求 2018/2/8 68 GM/T 0055-2018 电子文件密码应用技术规范 2018/5/2 69 GM/T 0056-2018 多应用载体密码应用接口规范 2018/5/2 70 GM/T 0057-2018 基于 IBC 技术的身份鉴别规范 2018/5/2 71 GM/T 0058-2018 可信计算 TCM 服务模块接口规范 2018/5/2 72 GM/T 0059-2018 服务器密码机检测规范 2018/5/2 73 GM/T 0060-2018 签名验签服务器检测规范 2018/5/2 74 GM/T 0061-2018 动态口令密码应用检测规范 2018/5/2 - 18 - 序号标准编号标准名称实施日期 75 GM/T 0062-2018 密码产品随机数检测要求 2018/5/2 76