原浩 谢永红：商用密码在智能网联汽车发展中的保障作用

　　2025年2月25日，工业和信息化部、市场监管总局《关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知》（以下简称“《通知》”），明确提出“企业要落实智能网联汽车产品生产一致性和质量安全主体责任，持续确保汽车产品符合网络安全和密码应用安全、数据安全和个人信息保护等国家有关规定，严格履行OTA升级活动管理要求”。密码应用安全与网络安全、数据安全、个人信息保护对车企的等同适用性凸显。

　　智能网联汽车是较早应用商用密码保障安全发展的新兴行业，特别是2021年联合国UN R155《关于就信息安全与信息安全管理体系方面批准车辆的统一规定》和UN R156《关于就软件升级与软件升级管理体系方面批准车辆的统一规定》开始生效后，车企及相关行业企业已就密码应用于车内外各种场景信息交互的加密保护和安全认证价值有所认识与布局。

　　去年年底，国家标准化管理委员会发布《关于下达<汽车密码应用技术要求>等37项强制性国家标准制修订计划及相关标准外文版计划的通知》。该通知由中国汽车技术研究中心有限公司、国家密码管理局商用密码检测中心等单位联合起草，商用密码应用于汽车行业的强制性技术要求进一步提速。

　　本文基于重要性原则围绕车端出发的典型场景，主要结合和参照2024年8月23日工业和信息化部组织制定的GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准体系，探讨商用密码保障智能网联汽车的重要安全作用。为行文方便，本文对联合国规定以及国标的对应或差异问题不作讨论。

　　一、汽车行业的数据安全专门规章及密码相关条款

　　2021年10月1日起施行的《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”）是目前我国《网络安全法》《数据安全法》下专门针对汽车行业的配套法律文件。《规定》由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部五部门联合制定并发布，旨在规范智能网联汽车时代的数据处理活动，强化安全监管。

　　《规定》的重要性体现为：

　　（1）明确了汽车数据及其生命周期相关主体的概念，并通过规范数据处理活动的全流程责任，从而初步构筑了汽车行业生态主体范畴；

　　（2）初步界定了汽车行业的重要数据（尽管部分内容目前看来值得商榷）；

　　（3）明确了汽车数据处理活动的基本原则；

　　（4）确立了年度汽车数据安全管理情况报告制度等等。

　　其中与密码相关的条款，我们以明确的匿名化、去标识化要求为例。《规定》第六条关于汽车数据处理活动的基本原则第四款强调，“脱敏处理原则，尽可能进行匿名化、去标识化等处理”，结合《信息安全技术 汽车数据处理安全要求》（GB/T 41871—2022）标准第4.7条：汽车数据处理者处理重要数据，一般应在完成脱敏处理后再进行其他处理；处理个人信息，一般应在匿名化处理或去标识化处理后再进行其他处理。即，要求通过加密等技术措施进行汽车数据的前置处理，处理后的数据方能进行传输或其他处理活动。

　　二、智能网联汽车产品准入中的密码保障作用

　　《通知》通过准入、召回、软件升级等考虑，实际上构筑了车企应将密码应用安全作为产品设计、上市的前提条件，这类似于个人信息保护领域的“隐私设计”，需要车企提前考虑密码安全应用。

　　具体而言，《通知》附件1《智能网联汽车产品准入、召回及软件在线升级管理与技术指南》（以下简称“《技术指南》”）第二部分“强化产品安全管理”（七）“加强产品安全设计”第4条要求，“汽车通信链路、OTA 升级活动等采用合规且有效的网络安全防护技术。采取有效措施防御未经授权的系统硬件和软件变更、数据提取或操作等网络安全和数据安全威胁，确保车辆及其功能、车辆数据和个人信息持续处于被保护的状态”，将密码安全应用提到了前所未有的高度——通过密码的认证功能保障授权访问、加密功能保障软件和数据的完整性，实际成为了汽车设计的安全默认配置。

　　《技术指南》（十一）“开展充分的测试验证”，要求车企“确保在设计和开发过程中对组合驾驶辅助系统及其功能进行全面安全评估，针对系统边界和安全响应、控制策略、人机交互等，采用模拟仿真、封闭场地、实际道路、网络安全等必要测试方法开展充分测试，确保智能网联汽车产品满足安全要求。实际道路测试符合国家有关保密、测绘等法律法规及管理规定。”

　　GB 44495—2024《汽车整车信息安全技术要求》强制性国家标准对此作了细化规定，除对车辆与车辆、路侧单元、移动终端等通信安全提出具体的身份验证、证书验证、信道完整性保护、敏感信息加密、指令鉴别、日志保护等直接的密码安全应用外，该标准还专门对密码模块、密钥管理给出了基准要求。其中第6.9条，车辆制造商应满足以下密码模块要求之一：（1）采用符合国际、国家或行业标准要求的密码模块；（2）未采用国际、国家或行业标准要求的密码模块，说明使用的合理性。第7.4条数据安全要求：（1）车辆应采取安全访问技术或安全存储技术保护存储的对称密钥和非对称密钥中的私钥，防止其被非授权访问和获取；（2）车辆应采取安全访问技术、加密技术或其他安全技术保护存储在车内的敏感个人信息，防止其被非授权访问和获取，等等。上述条目可进一步细化到《信息安全技术 汽车数据处理安全要求》（GB/T 41871—2022）等标准的对应条款，用以支持对各类车外数据、座舱数据的安全保障。

　　实务中，针对如何将密码模块在车端与云端进行设计和部署，GM/T0028—2024《密码模块安全要求》等提供了密码模块的安全性设定具体标准，虽可涵盖《汽车整车信息安全技术要求》（GB 44495—2024）的基本要求，但尚需《汽车密码应用技术要求》针对性“优化”和向强制性国家标准转化，方可完整适配于车企，构造车云协同、车路协同等扩展场景。

　　三、智能网联汽车产品升级中的密码保障作用

　　智能网联汽车的软件升级前、升级过程中和升级后（完成或失败），同样需要密码发挥加密保护和安全认证功能来予以保障和实现。

　　《通知》附件1《技术指南》第四部分“强化汽车软件在线升级管理”（十三）“加强OTA 升级企业保障能力”要求：“企业生产具备软件OTA 升级功能的智能网联汽车产品的，应当健全完善与产品及升级活动相适应的管理制度和保障能力，强化安全保障和防护、影响评估、测试验证、执行过程保障、日志记录、历次升级信息保存、OTA 召回实施等技术能力，建立OTA 升级活动的唯一标识（如能够唯一标识具体OTA 升级活动的软件版本），完善电子控制器（ECU）软件版本编制规则、OTA 升级服务平台IP 地址和域名信息等备案信息。企业应对升级软件的功能和代码进行验证，保护升级包的真实性和完整性，防范安全风险，确保车辆进行OTA 升级时处于安全状态……在执行OTA 升级后，应告知车辆用户车辆升级的结果。企业应当识别升级活动所影响的系统及电子控制器，并保存软件初始和升级版本（集），保护车辆上的软件版本免受篡改，并能通过标准化的电子通信接口读取软件版本，确保升级目的、影响评估、升级涉及的系统与变更参数、升级的功能与变更参数、升级任务信息等升级活动备案信息真实、准确和完整，支持实施升级追溯管理”。

　　可见，《通知》明确了软件升级前后，通过密码保障完整性、抗抵赖和防篡改性的具体要求。商用密码的加密保护和安全认证功能，在保障升级软件包的真实性和完整性、保护升级过程与日志的唯一性，以及验证升级过程的可溯源性等全过程中得到充分体现，实现了对软件升级合规性的评价。

　　再具体到GB 44496—2024《汽车软件升级通用技术要求》强制性国家标准，其中规定对包括在线和离线软件升级中的密码应用安全保障至少应包括：（1）对软件版本信息（包括软件版本号和相应升级包）的完整性校验值；（2）如具备软件识别码的，应验证软件识别码对应的软件版本信息与相关车辆系统中软件版本信息保持一致性（唯一性和对应性）；（3）保护升级包（的真实性和完整性），合理防止其在执行前篡改；（4）保护软件升级全过程，包括发布软件升级的过程，合理防止其受到损害；（5）当在线升级失败时，车辆应确保及时将车辆系统恢复至以前的可用版本或将车辆置于安全状态等等。

　　四、智能网联汽车产品数据记录中的密码保障作用

　　聪明的读者可能已经发现，智能网联汽车与我们此前低空经济部分内容类似，都需要对网络或数据安全事件的数据进行记录和密码保护。这在发生道路安全交通事故、违规事件（如非法测绘）等中的责任认定至关重要。

　　按照《通知》附件1《技术指南》第一部分“加强企业能力建设”（二）“加强安全监测与报告管理”的对应要求，“企业生产搭载组合驾驶辅助系统的智能网联汽车产品的，建立事件监测和分析评估机制，健全系统相关安全事件监测、事件事故报告流程，强化事件调查、分析、处置、改进，以及事故深度调查分析与技术改进等能力，健全事件事故数据记录和存储管理，确保监测数据的真实性、安全性和完整性”，明确了通过密码等方式保障数据真实性、安全性和完整性的要求。进一步结合《通知》附件3《智能网联汽车产品事件事故报告主要内容》，通过密码保护的事件、事故信息至少包括：车辆基本信息，特别是事件数据记录系统（EDR）记录的信息；事故发生时的系统状态信息，特别是车载行驶记录仪记录的信息（如有提供）、相关电子控制器（ECU）信息等等。应通过密码的加密功能，确保信息的完整性和可用性，以及可证据展示等的形式化要求。

　　强制性国家标准GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》明确要求：（1）应保护自动驾驶数据记录系统的可信根、引导加载程序、系统固件不被篡改，或篡改后无法正常启动；（2）应采取有效的安全防御机制保护存储的数据。若发生篡改和非授权的删除，应至少能在读取时通过技术手段识别并记录；（3）所有记录的数据（元素）应能时间同步。所有的数据都应有时间戳，且所有的时间戳应来自同一时间源等等。毫无疑问，实现上述保护要求的技术措施均指向了密码技术。值得注意的是，前述标准虽未明确要求必须仅通过密码技术进行完整性校验，例如可以使用传统的、更轻量级的CRC等方法用于完整性校验，但密码（如哈希）仍将是更安全和有效的技术方向。

　　五、车路协同中的密码保障作用和展望

　　在未来车路一体、智慧城市建设与发展的愿景下，智能网联汽车的链接场景和链接方式将实现进一步的内涵与外延提升，车辆与车内外人员，与周边数字基础设施、远端数据中心、监管目的设施等之间的信息交互将大大超出今天三项强制性国家标准以及国内外行业标准所囊括和构造的范围，商用密码也将与时俱进，在轻量化、软硬件模块及其产品组合等方面不断突破求变，为车辆、道路和人员安全提供更多保障及支撑。