DB31-T 1542-2025 LTE-V2X無線通信單元射頻性能和通信性能測試要求

ICS33.060.99基于LTE-V2X的車聯(lián)網(wǎng)無線通信安全認證系統(tǒng)技術要求Technicalrequirementofsecuritycer2025-02-08發(fā)布2025-06-01實施上海市市場監(jiān)督管理局發(fā)布I 1范圍 12規(guī)范性引用文件 13術語和定義 14縮略語 1 25.1V2X通信安全系統(tǒng)構成 25.2V2X通信安全服務架構 3 3 3 36.1證書屬性 36.2CRL屬性 7LTE-V2X通信安全認證交互流程和異常行為判定 7.1LTE-V2X通信安全認證交互流程 7.2異常行為判定 8LTE-V2X通信安全認證PKI互信技術要求 8.1PKI互信機制 8.2上海市CA與國家CA信任體系間的關系 9部署結構 11.1上海市V2X通信安全認證系統(tǒng)性能指標 11.2終端性能指標 附錄A(資料性)CRL優(yōu)先級 錯誤!未定義書簽。附錄B(資料性)自定義區(qū)域示例 7……錯誤!未定義書簽。附錄C(資料性)V2X場景安全需求劃分建議 錯誤!未定義書簽。 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。本文件由上海市經(jīng)濟和信息化委員會提出并組織實施。本文件由上海市智能網(wǎng)聯(lián)汽車及應用標準化技術委員會歸口。本文件起草單位：上研智聯(lián)智能出行科技(上海)有限公司、鄭州信大捷安信息技術股份有限公司、上海機動車檢測認證技術研究中心有限公司、工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心(上海)有限公司、同濟大學、上海市無線電監(jiān)測站、上海銀基信息安全技術股份有限公司、上海市數(shù)字證書認證中心有限公司、鼎鉉商用密碼測評技術(深圳)有限公司、上海裹動科技有限公司。本文件主要起草人：劉建泉、劉為華、潘政偉、楊偉利、涂輝招、康亮、李鑫、許瑞琛、馬凌峰、周方俊男、楊青、鄭忠斌、徐弘良、鄭寧、肖飛、楊蕾。1基于LTE-V2X的車聯(lián)網(wǎng)無線通信安全認證系統(tǒng)技術要求1范圍本文件規(guī)定了基于LTE-V2X的車聯(lián)網(wǎng)無線通信安全認證系統(tǒng)技術要求，包括通信安全認證系統(tǒng)的組成、證書和CRL屬性、交互流程和異常行為判定、PKI互信、部署結構、性能指標等技術要求。本文件適用于上海市的LTE-V2X車載設備和路側(cè)設備中V2X證書安全使用、V2X通信安全認證系統(tǒng)以及V2X證書的生命周期管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。中華人民共和國行政區(qū)劃代碼基于LTE的車聯(lián)網(wǎng)無線通信技術總體技術要求基于LTE的車聯(lián)網(wǎng)無線通信技術消息層技術要求車聯(lián)網(wǎng)無線通信安全技術指南YD/T3957—2021基于LTE的車聯(lián)網(wǎng)無線通信技術安全證書管理系統(tǒng)技術要求YD/T3977增強的V2X業(yè)務應用層交互數(shù)據(jù)要求3術語和定義YD/T3400、YD/T3709、YD/T3750界定的以及下列術語和定義適用于本文件。車載設備(OBU)、路側(cè)設備(RSU)和服務提供商(VSP)的安全設備。[來源：YD/T3957—2證書機構簽發(fā)給V2X設備的各種與V2X通信相關的證書，例如注冊證書、假名證書、應用證書、身份證書等。4縮略語下列縮略語適用于本文件。AC:應用證書(ApplicationCertificate)ACA:應用證書機構(ApplicationCertificateAID:應用標識(ApplicationIdentifier)API:應用程序接口(ApplicationProgramming2CRL:證書撤銷列表(CertificateECA:注冊證書機構(EnrolmentCeICA:中間證書機構(IntermediateCA)LA:鏈接機構(LinkageMA:異常行為管理機構(MisbehaviorAuthority)PKI:公鑰基礎設施(PublicKeyInfrastructure)PRA:假名證書注冊機構(PseudonymRA:注冊機構(RegistratSDPF:安全數(shù)據(jù)處理功能(SecureDataProcessingFunSPAT:交通燈相位與時序消息(SignalPhaseandTimingmessage)SSF:安全服務功能(SecurityServiceFunction)SSP:服務特定許可(ServiceSpecificPermission)V2I:車和基礎設施通信(VehicletoInfrastructure)V2P:車和人通信(VehicletoPedestVSP:車聯(lián)網(wǎng)服務提供商(V2XServicePr3V2X通信安全實體主要包括：車載設備(OBU)、路側(cè)設備(RSU)、服務提供商(VSP)、證書認證機構(CA)。證書機構給車載設備、路側(cè)設備、服務提供商發(fā)放數(shù)字證書，通過對消息的數(shù)字簽名和/或加密，車載設備與路側(cè)設備、服務提供商之間進行安全通信。具體實體關系和系統(tǒng)構成說明見YD/T3957—2021的4.1。5.2V2X通信安全服務架構V2X通信安全服務架構主要包含安全數(shù)據(jù)處理功能(SDPF)、安全憑證管理功能(SCMF)、安全服務功能(SSF)和安全憑證管理實體(SCME)。服務架構和具體功能說明見YD/T3957—2021的4.2。5.3LTE-V2X通信安全需求LTE-V2X通信安全的內(nèi)容主要包括：完整性、可認證性、機密性、可抵御重放攻擊等，要求對V2X直連通信的各方尤其是OBU進行隱私保護。具體包括：a)通信消息和關鍵數(shù)據(jù)在傳輸環(huán)節(jié)的完整性要求、認證要求、機密性要求、抗重放攻擊要求、隱私保護要求等；b)OBU、RSU和VSP需使用密碼模塊實現(xiàn)加密、簽名、密鑰生成與密鑰存儲等核心安全功能，密碼模塊需使用安全通道與后臺服務通信。5.4LTE-V2X通信安全認證系統(tǒng)5.4.1系統(tǒng)組成LTE-V2X通信安全認證系統(tǒng)基于公鑰基礎設施(PKI)實現(xiàn)，主要包括根證書機構、LTE-V2X證書機構(注冊證書機構、應用證書機構和注冊機構、假名證書機構和注冊機構)、認證授權機構和證書申請主體(V2X設備)等部分。具體系統(tǒng)架構應符合YD/T3957—2021中6.1的規(guī)定。5.4.2V2X證書基于V2X證書的用途，V2X證書可分為注冊證書、假名證書、應用證書和身份證書。注冊證書用于申請假名證書、應用證書和身份證書，假名證書、應用證書和身份證書用于V2X安全通信。具體證書結構定義和格式、通信數(shù)據(jù)應符合YD/T3957—2021第6章的規(guī)定。6證書屬性和CRL屬性6.1證書屬性針對上海市的數(shù)字證書，基于YD/T4008對各類型證書的關鍵權限進行定義，并對AID列表進行說明6.1.1.2證書關鍵權限41級字段應用權限appPermissions第一組AidSsp:第二組AidSsp:>Aid取3628證書撤銷列表CrlSsp中associatedCraca選擇的Cr1Contents結構中的crlSeries字段有效，則其值必須包含在本字段的SEQUENCEOFCrlSeries中的SEQUENSE>subjectPermissions選擇all>minChainLength取2>chainLengthRange取-1>eeType取app和enroll中SequenceOfPsidSspRange的SIZE為3>minChainLength取1>chainLengthRange取-1>eeType取app和enroll第一組AidSspRange:第二組AidSspRange:>Aid取值3628證書撤銷列表第三組AidSspRange:申請請求權限RootCA證書關鍵權限定義應符合表2。1級字段dSsp的第一組AidSsp:ScmsSsp選擇root,其COER編碼的值為第二組AidSsp:>Aid取3628證書撤銷列表CrlSsp中associatedCraca選擇CrlSsp中crls表示要使TRCLA證書簽發(fā)的必須包含在本字段的SEQUENCEOFCrlSeries中51級字段AidGroupPermis61ons:>subjectPermissions選擇all>chainLengthRange取-1>eeType取app和enroll>subjectPermissions選擇explicit,其中SequenceOfPsidSspR為3>minChainLength取1>chainLengthRange取-1>eeType取app和enroll第一組AidSspRange:第二組AidSspRange:>Aid取值3628證書撤銷列表第三組AidSspRange:申請請求權限當RootCA作為CRACA兼?zhèn)渥C書撤銷管理功能時，證書的應用權限AppPermission才包含3628證書撤銷列表的權限，CrlSsp中associatedCraca選擇isCraca。6.1.1.2.3MA證書1級字段為2第一組AidSsp:?Aid取值3627證書管理相關，其COER編碼的值為第二組AidSsp:>Aid取3628證書撤銷列表CrISsp中associatedCraca選擇CrlContents結構中的crlS有效，則其值必須包含在本字段的SEQUENCEOFCrlSeries中61級字段申請請求權限“當MA作為CRA兼?zhèn)渥C書撤銷管理功能時，證書的應用權限AppPermission才包含3628證書撤銷列表的權限，CrlSsp中associatedCraca選擇issuerIsCraca,此時MA的簽發(fā)者證書具備3628證書撤銷列表且CrlSsp中associatedCraca選擇isCraca,MA的crlSeries在簽發(fā)者證書的crlSeries范圍內(nèi)。6.1.1.2.4ICA證書ICA證書關鍵權限定義應符合表4。表4ICA證書關鍵權限1級字段2第一組AidSsp:ScmsSsp選擇ica,其COER編碼的值為第二組AidSsp:>Aid取3628證書撤銷列表CrlSsp中associatedCraca選擇CrlSeries中>subjectPermissions選擇all>minChainLength取2>chainLengthRange取-1>eeType取app和enroll>subjectPermissions選擇explicit,其中SequenceOfPsidSspR為3>minChainLength取1>chainLengthRange取-1>eeType取app和enroll第一組AidSspRange:第二組AidSspRange:>Aid取值3628證書撤銷列表第三組AidSspRange:申請請求權限“當ICA作為CRACA兼?zhèn)渥C書撤銷管理功能時，證書的應用權限AppPermission才包含3628證書撤銷列表的權限，CrlSsp中associatedCraca選擇isCraca。76.1.1.2.5ECA證書ECA證書關鍵權限定義應符合表5。1級字段的SEQUENSESIZE為1第一組AidSsp:ScmsSsp選擇eca,其COER編碼的>subjectPermissions選擇all>minChainLength取1>chainLengthRange取0>eeType取enroll>subjectPermissions選擇e>minChainLength取1>chainLengthRange取0>eeType取enroll第一組AidSspRange:第二組AidSspRange:>Aid取值3628證書撤銷列表第三組AidSspRange:申請請求權限s證書簽發(fā)權限可根據(jù)車輛/路側(cè)設備的實際用途及國家規(guī)定的應用標識調(diào)整權限列表。6.1.1.2.6CRA證書CRA證書關鍵權限定義應符合表6。1級字段為2第一組AidSsp:ScmsSsp選擇cra,其COER編碼的值為8表6CRA證書關鍵權限(續(xù))1級字段為2第二組AidSsp:>Aid取3628證書撤銷列表選擇opaque,賦值為CrlSsp的Cr1Contents結構中的crlSeries字段有效，CrlSeries中申請請求權限證書的應用權限AppPermission才包含3628證書撤銷列表的權限，CrlSsp中associatissuerIsCraca,此時CRA的簽發(fā)者證書具備3628證書撤銷列表且CrlSsp中associatedCraca選擇isCraca,CRA的crlSeries在簽發(fā)者證書的crlSeries范圍內(nèi)。6.1.1.2.7DCM證書1級字段第一組AidSsp:SequenceOfAidSsp的ScmsSsp選擇dcm,其COER編碼的SEQUENSESIZE為1申請請求權限第一組AidGroupPermissions:>subjectPermissions選擇all?minChainLength取1>eeType取enroll第二組AidGroupPermissions:>subjectPermissions選擇explicit,其中SequenceOfPsidSspR為3>minChainLength取1>chainLengthRange取0>eeType取enroll第一組AidSspRange:第二組AidSspRange:>Aid取值3628證書撤銷列表第三組AidSspRange:證書申請請求權限可根據(jù)車輛/路側(cè)設備的實際用途及國家規(guī)定的應用標識調(diào)整權限列96.1.1.2.8ACA證書1級字段SIZE為1第一組AidSsp:COER編碼的值為870001'HSequenceOfAidGroupPe的SEQUENSESIZE為1第一組AidGroupPermissions:>subjectPermissions選擇all>minChainLength取1>chainLengthRange取0>eeType取app申請請求權限證書簽發(fā)權限可根據(jù)車輛/路側(cè)設備的實際用途及國家規(guī)定的應用標識調(diào)整權限列表。1級字段SequenceOfAidSsp的SEQUENSESIZE為1第一組AidSsp:的值為'8800011122'H1122,可根據(jù)系統(tǒng)進行調(diào)整申請請求權限6.1.1.2.10RA證書1級字段應用權限appPermissionsSIZE為1第一組AidSsp:ScmsSsp選擇ra,其COER編表10RA證書關鍵權限(續(xù))1級字段申請請求權限第一組AidGroupPermissions:”證書申請請求權限可根據(jù)車輛的實際用途及國家規(guī)定的應用標識調(diào)整權限列表。6.1.1.2.11注冊證書注冊證書EC關鍵權限定義應符合表11。表11注冊證書關鍵權限1級字段第一組AidSsp:SEQUENSESIZE為1申請請求權限ions的SEQUENSESIZE為1第一組AidGroupPermissions:>subjectPermissions選擇all>minChainLength取0>eeType取app證書申請請求權限可根據(jù)車輛/路側(cè)設備的實際用途及國家規(guī)定的應用標識調(diào)整權限列6.1.1.2.12假名證書假名證書PC關鍵權限定義應符合表12。表12假名證書關鍵權限1級字段第1組AidSspRange:?Aid取值111車車基本安全應用-普通車輛狀態(tài)第2組AidSspRange:1級字段申請請求權限”證書應用權限可根據(jù)車輛的實際用途及國家規(guī)定的應用標識調(diào)整權限列表。1級字段SequenceOfAidSsp的第1組AidSspRange:>Aid取值3618地圖類應用第2組AidSspRange:>Aid取值3619信號燈類應用第3組AidSspRange:>Aid取值3620道路信息-靜態(tài)類應用第2組AidSspRange:>Aid取值3619信號燈類應用第3組AidSspRange:>Aid取值3620道路信息-靜態(tài)類應用第4組AidSspRange:>Aid取值3621道路信息-半靜態(tài)類應用第5組AidSspRange:>Aid取值3622道路信息-動態(tài)類應用>Aid取值3623道路提醒類應用申請請求權限證書應用權限可根據(jù)路側(cè)設備的實際用途及國家規(guī)定的應用標識調(diào)整權限列表。6.1.1.2.14身份證書身份證書IC關鍵權限定義應符合表14。表14身份證書關鍵權限1級字段第1組AidSspRange:>Aid取值113車車基本安全應用-緊急車輛狀態(tài)第2組AidSspRange:申請請求權限證書應用權限可根據(jù)車輛的實際用途及國家規(guī)定的應用標識調(diào)整權限列表。國內(nèi)應用標識及其在廣播模式下映射的目標層二標識分配表應符合表15。表15AID列表(十進制)encoding的十六進制)消息2111122地圖類應用2信號燈類應用2道路信息-靜態(tài)類應用2道路信息-半靜態(tài)類應用2道路信息-動態(tài)類應用2道路提醒類應用2一2測試路側(cè)發(fā)送#1—2一2表15AID列表(續(xù))(十進制)encoding的十六進制)消息映射的目標層二標22“本表格中的目標層二標識(十六進制)取值從小到大按順序分配，通常不超過0x002000。行政區(qū)域代碼應符合GB/T2260,其中上海市行政區(qū)域代碼見表16。表16上海市行政區(qū)域代碼黃浦區(qū)徐匯區(qū)長寧區(qū)靜安區(qū)普陀區(qū)虹口區(qū)楊浦區(qū)閔行區(qū)寶山區(qū)嘉定區(qū)浦東新區(qū)金山區(qū)松江區(qū)青浦區(qū)奉賢區(qū)崇明區(qū)6.1.2.2自定義區(qū)域?qū)τ谏虾Ｊ械哪承┨囟▍^(qū)域，可對證書進行自定義區(qū)域設置，以約束相關設備使用證書的有效地理區(qū)域范圍。自定義區(qū)域示例見附錄A。6.2CRL屬性根據(jù)不同的證書類型、重要程度、V2X設備密度等，對不同證書類型的CRL進行了是否分片、更新周期定義，見表17。證書類型CRL更新周期(推薦)RSU應用證書不分片1天或以上OBU假名證書不分片1天或以上OBU身份證書不分片1天或以上不分片1天或以上6.2.3CRL優(yōu)先級根據(jù)不同的證書的特點，定義不同的CRL優(yōu)先級。具體CRL優(yōu)先級見附錄B。7LTE-V2X通信安全認證交互流程和異常行為判定7.1LTE-V2X通信安全認證交互流程注冊證書管理流程、假名證書申請流程、應用證書和身份證書管理流程、證書撤銷列表管理流程、機構證書管理流程、異常行為檢測上報流程、LA管理架構和流程應符合YD/T3957—2021第7章的要求。7.2異常行為判定需要超過一定數(shù)量(如至少5輛車以上，另外也可限定車輛類型等屬性)舉報同一車輛且均為較高等級異常行為，方可判定該車異常。8LTE-V2X通信安全認證PKI互信技術要求8.1PKI互信機制PKI互信架構、互信管理過程、互信認證過程、可信根證書列表管理策略、可信域CA證書列表管理策略、可信域的異常行為檢查應符合YD/T3957—2021第8章的要求。8.2上海市CA接入國家CA信任體系上海市認證域建設根CA,應支持接入國家可信根證書列表，實現(xiàn)跨域認證，如圖1所示?？尚鸥C書列表可信根證書列表根證書(CA-1)可信根證書列表管理機構生成可信證書列表圖1上海市CA接入國家CA信任體系示意9部署結構上海市的V2X通信安全認證系統(tǒng)部署結構應符合YD/T3957—2021中6.1定義的系統(tǒng)架構，并可按需動態(tài)擴展及調(diào)整。針對不同的應用場景，當前部署結構見圖2。路側(cè)設施中間CA路側(cè)設施子CA本地分發(fā)特種車輛車輛授權中間CA普通車輛授權子CA車輛注冊中間CA普通車輛注冊子CA略邊單元/VSP特種車輛中間CA特種車輛子cA本地注冊注冊注冊普通車輛根CA注2:系統(tǒng)中的MA采用本地MA方式，處理本MA對應CA簽發(fā)的異常證書，本地MA交互接口可由CA運營機構自行定義，后期按需動態(tài)調(diào)整。圖2V2X通信安全認證系統(tǒng)部署結構10LTE-V2X通信安全應用場景V2X安全通信安全認證系統(tǒng)適合用于所有V2X相關場景，采用單播、組播和廣播方式交互的V2X設備應進行數(shù)字簽名，涉及個人信息、支付信息等敏感信息的場景下V2X設備宜進行加密。依據(jù)YD/T3977,V2X場景安全需求劃分見附錄C。a)滿足未來上海1000萬車輛的V2X證書