ICS33.060.99

CCSM30

GB/T×××××—××××

中華人民共和國國家標準

GB/T[×××××]—[××××]

基于LTE的車聯網無線通信技術安全證

書管理系統技術要求

LTE-basedvehicularcommunication—Technicalrequirementofsecurity

certificatemanagementsystem

[點擊此處添加與國際標準一致性程度的標識]

（征求意見稿）

（本稿完成日期：2023年3月）

[××××]-[××]-[××]發布[××××]-[××]-[××]實施

I

GB/T×××××—××××

目次

前言...............................................................................................................................................................IV

1范圍.....................................................................................................................................................................1

2規范性引用文件.................................................................................................................................................1

3術語、定義和縮略語........................................................................................................................................1

3.1術語和定義.................................................................................................................................................1

3.2縮略語.........................................................................................................................................................2

4概述.....................................................................................................................................................................3

4.1V2X通信安全系統構成.............................................................................................................................3

4.2V2X通信安全服務架構.............................................................................................................................4

5LTE-V2X證書管理安全需求..............................................................................................................................8

5.1概述.............................................................................................................................................................8

5.2機密性要求.................................................................................................................................................8

5.3完整性要求.................................................................................................................................................8

5.4認證要求.....................................................................................................................................................8

5.5隱私保護要求.............................................................................................................................................9

5.6CA系統安全要求.......................................................................................................................................9

6LTE-V2X通信安全認證機制總體技術要求......................................................................................................9

6.1LTE-V2X證書管理系統架構......................................................................................................................9

6.2LTE-V2X安全證書....................................................................................................................................19

6.3基本元素說明..........................................................................................................................................25

6.4安全協議數據單元..................................................................................................................................25

6.5數字證書和證書管理數據格式..............................................................................................................37

7LTE-V2X通信安全認證交互流程及接口技術要求........................................................................................50

7.1注冊證書管理流程..................................................................................................................................50

7.2假名證書申請流程..................................................................................................................................56

7.3應用證書和身份證書管理流程..............................................................................................................63

7.4證書撤銷列表管理流程..........................................................................................................................68

7.5機構證書管理流程..................................................................................................................................79

7.6異常行為管理..........................................................................................................................................79

7.7LA管理架構和流程.................................................................................................................................79

8LTE-V2X通信安全認證PKI互信技術要求.....................................................................................................83

8.1概述...........................................................................................................................................................83

8.2PKI互信架構............................................................................................................................................83

8.3PKI互信管理過程....................................................................................................................................85

8.4PKI互信認證過程....................................................................................................................................87

II

GB/T×××××—××××

8.5可信根證書列表管理策略......................................................................................................................87

8.6可信域證書列表管理策略......................................................................................................................87

8.7可信域的異常行為檢查..........................................................................................................................87

附錄A（資料性）車聯網通信安全基本應用模式................................................................................89

附錄B（資料性）基于OAUTH的token授權機制...............................................................................91

附錄C（規范性）ASN.1模板..................................................................................................................94

附錄D（規范性）密碼算法的輸入與輸出..........................................................................................119

附錄E（規范性）V2X設備與安全證書管理系統接口的數據格式..................................................123

附錄F（規范性）GBA機制應用層會話密鑰產生及使用方法..........................................................158

附錄G（資料性）證書生命周期及更新場景......................................................................................159

附錄H（資料性）密鑰衍生流程的一種算法建議..............................................................................162

附錄I（規范性）鏈接值相關定義......................................................................................................165

附錄J（規范性）可信證書列表及互信認證流程..............................................................................167

附錄K（資料性）算法編碼示例..........................................................................................................171

參考文獻.............................................................................................................................................................179

III

GB/T×××××—××××

基于LTE的車聯網無線通信技術安全證書管理系統技術要求

1范圍

本文件規定了基于LTE的車聯網安全證書管理系統技術要求，主要內容包括安全證書管理系統架構

和相關的顯式證書格式及交互流程。

本文件適用于LTE-V2X設備和安全證書管理系統。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

GB/T16262（所有部分）信息技術抽象語法記法一(ASN.1)

GB/T25056信息安全技術證書認證系統密碼及其相關安全技術規范

GB/T25069信息安全技術術語

GB/T32905信息安全技術SM3密碼雜湊算法

GB/T32907信息安全技術SM4分組密鑰算法

GB/T32918（所有部分）信息安全技術SM2橢圓曲線公鑰算法

GB/T36624信息技術安全技術可鑒別的加密機制

YD/T4008-2022基于LTE的車聯網無線通信技術應用標識分配及映射

ISO/IEC8825-7信息技術抽象語法記法一(ASN.1)編碼規則第7部分八位字節編碼規則(OER)

（Informationtechnology--ASN.1encodingrules:SpecificationofOctetEncodingRules

(OER)）.

3GPPTS33.220:通用認證架構：通用引導架構（GenericAuthenticationArchitecture

(GAA);GenericBootstrappingArchitecture(GBA)）

3術語、定義和縮略語

3.1術語和定義

GB/T25069界定的以及下列術語和定義適用于本文件。

3.1.1

V2X設備V2Xequipment

車載設備（OBU）、路側設備（RSU）和服務提供商（VSP）的安全設備。

3.1.2

1

GB/T×××××—××××

V2X通信證書V2Xcommunicationcertificate

證書機構簽發給車聯網設備的各種與V2X通信相關的V2X證書，例如注冊證書、假名證書、應用證

書、身份證書等。

3.1.3

V2X授權證書V2Xauthorizationcertificate

用于在V2X安全通信中驗證消息的V2X證書，包括：假名證書、應用證書和身份證書。

3.1.4

V2X證書V2Xcertificate

本文所描述的數字證書統稱為V2X證書。

3.1.5

機構證書authoritycertificate

為證書機構簽發的V2X證書，包括RCA、ICA、ECA、PCA、ACA、PRA、ARA、LA和MA證書等。

4縮略語

下列縮略語適用于本文件。

AAA認證授權機構AuthenticationandAuthorizationAuthority

AC應用證書ApplicationCertificate

ACA應用證書機構ApplicationCertificateAuthority

AID應用標識ApplicationIdentifier

API應用程序接口ApplicationProgrammingInterface

ARA應用證書注冊機構ApplicationCertificateRegistrationAuthority

ASN.1抽象記法1AbstractSyntaxNotationdotone

BSF引導服務功能BootstrappingServerFunction

BSM主動安全消息BasicSafetyMessage

CA證書機構CertificateAuthority

CRA證書撤銷機構CertificateRevocationAuthority

CRL證書撤銷列表CertificateRevocationList

CTL證書可信列表CertificateTrustList

DCM設備配置管理DeviceConfigurationManager

EC注冊證書EnrolmentCertificate

ECA注冊證書機構EnrolmentCertificateAuthority

GBA通用引導架構GenericBootstrappingArchitecture

HTTP超文本傳輸協議HyperTextTransferProtocol

HTTPS超文本傳輸安全協議HyperTextTransferProtocolSecure

ICA中間證書機構IntermediateCA

ID身份標識IDentity

LA鏈接機構LinkageAuthority

LTE長期演進LongTermEvolution

2

GB/T×××××—××××

ls鏈接種子LinkageSeed

lv鏈接值LinkageValue

MA異常行為管理機構MisbehaviorAuthority

NAF網絡應用功能NetworkApplicationFunction

OBU車載設備OnBoardUnit

PC假名證書PseudonymCertificate

PCA假名證書機構PseudonymCertificateAuthority

PDU協議數據單元ProtocolDataUnit

PKI公鑰基礎設施PublicKeyInfrastructure

PRA假名證書注冊機構PseudonymCertificateRegistrationAuthority

RA注冊機構RegistrationAuthority

RCA根證書機構RootCertificateAuthority

Rscm安全憑證管理參考點SecurityCredentialManagementReferencepoint

Rsde安全數據交換參考點SecureDataExchangeReferencepoint

RSU路側設備RoadSideUnit

SCME安全憑證管理實體SecurityCredentialManagementEntity

SCMF安全憑證管理功能SecurityCredentialManagementFunction

SDPF安全數據處理功能SecureDataProcessingFunction

SPDU安全協議數據單元SecuredProtocolDataUnit

SSF安全服務功能SecurityServiceFunction

SSP服務特定許可ServiceSpecificPermission

TCMF可信證書管理功能TrustedCertificateManagementFunction

TDCL可信域CA證書列表TrustedDomainCACertificatesList

TLS傳輸層安全性協議TransportLayerSecurity

TRCL可信根證書列表TrustedRootCertificateList

可信根證書列表管理

TRCLA機構TrustedRootCertificateListAuthority

USIM全球用戶識別模塊UniversalSubscriberIdentityModule

V2X車聯萬物VehicletoEverything

VSP車聯網服務提供商V2XServiceProvider

5概述

5.1V2X通信安全系統構成

車聯網通信安全實體關系參考模型如圖1所示，圖中實線表示V2X設備之間的通信關系，虛線表示

實體之間的授權關系。該參考模型由如下實體構成：

——車載設備（OBU）：安裝在車輛上，負責V2X通信的實體。數據發送時，OBU使用與CA簽發

給它的數字證書對應的私鑰對其播發的信息進行數字簽名和/或使用數據接收方證書對數據進

行加密；數據接收時，OBU使用發送方的公鑰對消息進行驗證和/或使用本地私鑰對加密消息

進行解密。

——路側設備（RSU）：安裝在路側交通控制設備和交通信息發布設備中，負責V2X通信的實體。

數據發送時，RSU使用與CA簽發給它的數字證書對應的私鑰對其播發的信息進行數字簽名和

/或使用數據接收方證書對數據進行加密；數據接收時，RSU使用發送方的公鑰對消息進行驗

證和/或使用本地私鑰對加密消息進行解密。

——服務提供商（VSP）：負責道路交通的管理機構和在車聯網系統里提供某種商業服務的服務機

3

GB/T×××××—××××

構。數據發送時，VSP使用與CA簽發給它的數字證書對應的私鑰對其播發的信息進行數字簽

名和/或使用數據接收方證書對數據進行加密；數據接收時，VSP使用發送方的公鑰對消息進

行驗證和/或使用本地私鑰對加密消息進行解密。VSP需要通過具有轉發能力的路側設備進行

安全消息的發送和接收。

——證書機構（CA）：負責向車聯網設備（OBU，RSU，VSP）簽發各種通信證書或簽發證書撤銷列

表（CRL），例如注冊CA、假名CA、應用CA、證書撤銷機構（CRA）等。

圖1車聯網通信安全實體關系參考模型

證書機構車聯網通信安全系統的基本應用模式參見附錄A。

5.2V2X通信安全服務架構

5.2.1安全功能和安全實體

概述

車聯網安全通信服務架構如圖2所示，其由如下功能或實體構成：

——安全數據處理功能（SDPF）

——安全憑證管理功能（SCMF）

——安全服務功能（SSF）

——安全憑證管理實體（SCME）

4

GB/T×××××—××××

圖2車聯網安全通信服務架構

5

GB/T×××××—××××

安全數據處理功能

安全數據處理功能（SDPF）位于車聯網設備中的某個車聯網應用服務實體中，負責處理與特定應

用相關的安全性操作，也即基于特定的車聯網應用邏輯生成與處理安全消息。例如，在車聯網主動安

全應用中，車輛主動安全系統基于相應的應用邏輯生成簽名消息或驗證簽名消息并獲得消息明文。

SDPF在執行安全數據處理過程中可能需要調用SSF提供的基本安全服務，例如數字簽名、數字簽名驗

證、數據加密、數據解密等。

安全憑證管理功能

安全憑證管理功能（SCMF）在車聯網設備中負責與車聯網安全憑證管理實體交互獲得相關的公鑰

證書和CRL等安全憑證或數據。SCMF需要與SSF交互以完成安全憑證和數據（例如公鑰證書和CRL）的導

入和導出，以及密鑰的生成和導出等操作。

安全服務功能

安全服務功能（SSF）位于車聯網設備中，負責提供安全憑證和安全數據的存儲和密碼運算服務，

例如，公鑰證書和CRL的存儲，密鑰的生成和存儲，簽名、驗簽、加密、解密和哈希運算等密碼運算。

SSF通過SSF應用程序接口（API）對外提供安全服務。

SSF負責處理本文件定義的安全協議數據單元（SPDUs）。SSF通過生成和處理SPDU為車聯網設備提

供簽名、驗簽、加密和解密等安全服務。

安全憑證管理實體

安全憑證管理實體（SCME）負責向車輛聯網設備簽發各種用于通信安全的公鑰證書，以及管理和

發布證書撤銷列表。

5.2.2通信安全協議數據單元

在車聯網系統中，為通信數據提供安全保護的基本數據單位稱為安全協議數據單元（SPDU）。安

全協議數據單元由安全服務功能（SSF）創建和處理。

本文件定義了如下類型的安全協議數據單元：

——明文安全協議數據單元（UnsecuredSPDU）：數據未經數字簽名或數據加密保護。該數據單

元的使用者對數據單元中攜帶的數據不需要進行進一步的安全處理即可以使用。

——簽名安全協議數據單元（SignedSPDU）：數據為經與公鑰證書對應的私鑰進行數字簽名后的

數據。該數據單元的使用者需要對數據單元中攜帶的數據的完整性進行驗證、對來源進行確

認后才能使用。

——加密安全協議數據單元（EncryptedSPDU）：數據為經對稱密鑰或非對稱密鑰加密后的數

據。

安全協議數據單元可嵌套使用，具體的應用順序依據應用邏輯確定。

5.2.3通信安全消息

6

GB/T×××××—××××

在車聯網通信中，由某個實體發送給其他實體的包含有安全協議數據單元（SPDU）和/或處理安全

協議數據單元所需數據的消息稱為安全消息（SecureMessage）。安全消息由安全數據處理功能

（SDPF）依據具體的應用邏輯創建和處理。

5.2.4通信安全參考點

車聯網實體之間通過安全通信參考點進行安全的數據交換操作。本文件定義了2個與通信安全相關

的參考點：

——安全數據交換參考點（Rsde）：車聯網設備之間通過Rsde參考點來安全地交換數據。

——安全憑證管理參考點（Rscm）：車聯網設備通過Rscm參考點與安全憑證簽發實體進行交互，

以申請證書和獲得CRL等安全數據。

5.2.5通信安全過程

車聯網通信安全的一般過程如圖3所示。具體步驟如下：

步驟1：發送方的SDPF依據某個車聯網應用邏輯生成明文數據，并向本地SSF發送安全服務請求，

以便獲得后者為其提供數字簽名或數據加密等安全服務。服務請求中包含有明文數據和/或處理安全協

議數據單元所需的數據，例如公鑰證書等。

步驟2：發送方的SSF根據安全服務請求執行相應的安全操作，例如數據簽名或數據加密等。SSF將

安全操作的結果封裝在SPDU中，然后將該SPDU通過安全服務響應返回給SDPF。

步驟3：發送方的SDPF依據SSF生成的SPDU和應用邏輯生成應用特定格式的安全消息，例如主動安

全消息。

步驟4：發送方的SDPF將生成的安全消息廣播出去。

步驟5：接收方的SDPF依據應用邏輯從接收到的安全消息中獲得SPDU。

步驟6：接收方SDPF向本地SSF發送安全服務請求，以便獲得后者為其提供簽名驗證或數據解密等

安全服務。服務請求中包含有SPDU和/或處理安全協議數據單元所需的數據，例如公鑰證書等。

步驟7：接收方的SSF根據安全服務請求執行相應的安全操作，例如驗證簽名或解密數據等，然后

將安全服務結果通過安全服務響應返回給SDPF。

7

GB/T×××××—××××

圖3車聯網通信安全消息處理流程

6LTE-V2X證書管理安全需求

6.1概述

LTE-V2X通信安全認證的內容包括但不限于：機密性、完整性、可認證性，要求可抵御重放攻擊，

可檢測DDoS攻擊等行為，要求對V2X直連通信的各方尤其是OBU進行隱私保護。

6.2機密性要求

OBU、RSU和VSP接入CA系統時，根據需要可支持對消息的機密性保護，保證消息在傳輸時不被竊

聽，防止OBU、RSU和VSP身份信息及以上設備所有者的私密信息泄露。

各CA之間、CA內部各子系統之間通信時，應采用密碼技術和安全協議，保證重要數據在傳輸過程

中的機密性。

CA應保證重要數據在存儲過程中的機密性。

6.3完整性要求

OBU、RSU和VSP接入CA系統時，應支持對消息的完整性保護，防止消息被偽造、篡改。

CA之間、CA內部各子系統之間通信時，應采用密碼技術和安全協議，保證重要數據在傳輸過程中

的完整性。

CA應保證重要數據在存儲過程中的完整性。

6.4認證要求

8

GB/T×××××—××××

OBU、RSU和VSP接入CA系統過程中，應支持數據源認證，保證數據源頭的合法性，防止假冒或偽造

的數據信息。

各CA之間、CA內部各子系統之間通信時，應執行雙向認證，確認對方身份的合法性。

6.5隱私保護要求

CA系統應確保假名證書與非假名證書之間的無關聯性，防止用戶隱私泄露。

CA系統應支持對OBU真實身份標識的隱藏，防止內部或外部攻擊者竊取用戶隱私。

6.6CA系統安全要求

CA系統的安全性應符合GB/T25056的相關要求。

7LTE-V2X通信安全認證機制總體技術要求

7.1LTE-V2X證書管理系統架構

7.1.1系統架構

概述

本文件中LTE-V2X證書管理系統基于公鑰基礎設施（PKI）實現，其架構如圖4所示，主要包括根證

書機構、LTE-V2X證書機構、認證授權機構和證書申請主體四部分。實際應用時，圖中各邏輯實體可以

根據實際設備開發及部署需要合設或者分設，并可以根據政策法規，行業監管要求和業務運營需要，

由不同機構分層分級部署、管理和運營。

9

GB/T×××××—××××

圖4LTE-V2X證書管理系統架構

LTE-V2X證書管理系統包括：

——根證書機構（RootCA）；

——中間證書機構（ICA）；

——LTE-V2X證書機構；

——鏈接機構（LA）；

——異常行為管理機構（MA）；

——認證授權機構（AAA）；

——車聯網設備（V2XEquipment）。

根證書機構

根證書機構RootCA是LTE-V2X證書管理系統的信任根，負責系統根證書的管理與維護并對LTE-V2X

證書機構進行注冊審批。在確認LTE-V2X證書機構的合法性之后，根證書機構為其簽發管理機構的數字

證書，使其成為系統內的有效實體。

中間證書機構

10

GB/T×××××—××××

LTE-V2X證書管理系統可根據PKI部署的實際需要，在根證書機構與LTE-V2X證書機構之間部署中間

證書機構，以支持多層級CA部署方式。

LTE-V2X證書機構

LTE-V2X證書機構負責管理LTE-V2X安全通信應用相關數字證書，負責審核證書申請主體的合法

性，簽發、撤銷證書申請主體的數字證書。

LTE-V2X證書機構是LTE-V2X證書管理系統中各種證書機構的統稱。根據LTE-V2X安全通信應用的證

書類型及用途不同，LTE-V2X證書機構可分為：注冊證書機構（ECA）、假名證書機構（PCA）、應用證

書機構（ACA）、假名證書注冊機構（PRA）、應用證書注冊機構（ARA）

注冊機構負責證書申請主體的注冊審批管理，證書機構負責數字證書的發行管理。

鏈接機構

鏈接機構為假名證書生成鏈接值，以支持假名證書的批量撤銷。

異常行為管理機構

異常行為管理機構能夠識別潛在的異常行為或故障，確定需要撤銷的證書，生成證書撤銷列表

（CRL）。

認證授權機構

認證授權機構負責證書申請主體的身份認證和授權。在設備初始化階段，為證書申請主體簽發注

冊數字證書或其他類型的安全憑證，使其能夠憑借獲得的安全憑證與LTE-V2X證書機構安全交互并獲取

相應的證書。認證授權機構還可以對證書申請主體向LTE-V2X證書機構發起的證書請求進行授權。

根據應用場景的不同，認證授權系統可基于設備配置管理（DCM）服務系統，LTE網絡通用引導架

構（GBA）認證授權系統或者OAuth授權服務系統等多種方式實現。

.1基于DCM模式的認證授權機構

V2X設備通過DCM服務系統與注冊證書機構交互，以獲取注冊證書。DCM為被V2X設備和CA系統信任

的設備。為此，DCM應預置與V2X設備和CA系統建立安全關聯所需的安全憑證。相應地，V2X設備和CA系

統也應預置與DCM設備建立安全關聯所需的安全憑證。當V2X設備申請注冊證書時，其應向DCM獲取后續

申請注冊證書的相關信息，如PKI中各證書簽發機構的證書。通過DCM申請V2X設備注冊證書時，應確保

V2X設備與DCM服務系統之間連接的安全性。例如，可通過物理環境安全、TLS安全協議或專用的端到端

安全連接實現相關操作。

.2基于GBA模式的認證授權機構

基于GBA的PKI架構支持有ECA的系統架構和無ECA的系統架構。GBA機制遵從3GPPTS33.220實現，

GBA認證授權系統包括3GPP標準定義的引導服務功能（BSF）網元和網絡應用功能（NAF）網元，負責

OBU、RSU等證書申請主體的身份認證、業務應用的授權及GBA共享會話密鑰的提供。為了確保隨機數、

密鑰等敏感參數信息在終端側操作處理時的安全性，系統優先采用GBA_U方式實現。

基于GBA的PKI架構可以分為以下兩種：

a）采用ECA的系統架構

在采用ECA的系統架構下，證書申請主體首先通過GBA認證授權系統申請獲取EC注冊證書，之后基

于EC注冊證書申請LTE-V2X安全通信相關的其他應用數字證書（如PC假名證書，AC應用證書）。此架構

11

GB/T×××××—××××

下，GBA認證授權系統需要預先與EC注冊證書機構建立起安全的通信通道，以確保兩者之間數據交互的

安全性。

在申請EC注冊證書時，GBA認證授權系統基于USIM中的用戶標識及根密鑰與OBU、RSU終端進行雙向

身份認證，成功后為ECA提供與終端建立安全關聯的GBA共享會話密鑰。憑借GBA共享會話密鑰，OBU、

RSU終端可與ECA安全交互，在線實現EC證書申請、更新等業務處理。

在申請PC，AC等其他應用證書時，PCA、ACA等證書機構通過訪問GBA認證授權系統來對OBU、RSU終

端進行身份認證并對終端的業務請求獲取授權。認證授權成功后，GBA認證授權系統向證書機構提供

GBA共享會話密鑰。憑借GBA共享會話密鑰，OBU、RSU終端安全接入證書機構，并使用EC注冊證書實現

PC，AC等應用證書的申請、更新等操作。

b）省略ECA的系統架構

在省略ECA的系統架構下，證書申請主體首先接入GBA認證授權系統為業務請求申請獲取業務令

牌，之后基于業務令牌申請PC、AC等其他應用證書。

在申請業務令牌時，GBA認證授權系統基于USIM中的用戶標識及根密鑰與OBU、RSU終端進行雙向身

份認證，并根據策略對終端的業務請求授權。授權成功后，GBA認證授權系統向終端簽發業務令牌，并

向應用證書機構提供GBA共享會話密鑰。憑借GBA共享會話密鑰，OBU、RSU終端安全接入證書機構，并

使用業務令牌實現PC，AC等應用證書的申請、更新等操作。

.3基于OAuth模式的認證授權機構

基于OAuth2.0授權服務器的PKI架構為無ECA的系統架構。當認證授權服務器是OAuth授權服務器

時，OBU通過OAuth機制授權訪問PRA服務。這個過程基于IETF標準“RFC6749:OAuth2.0授權架構”定

義的OAuth2.0機制實現。OBU使用RFC6749中定義的客戶端憑證向OAuth授權服務器請求對PRA服務的授

權訪問。OAuth授權服務器根據策略接受或者拒絕這個請求。如果接受，則向OBU發行AccessToken。

OBU根據AccessToken向服務提供方PRA申請假名證書，OBU與PRA之間建立TLS安全通道，PRA驗證

AccessToken，驗證成功后提供對假名證書的訪問。基于OAuth的Token授權機制參見附錄B。

車聯網設備

V2X設備為證書申請主體，其向LTE-V2X證書機構申請獲取相關數字證書。參與LTE-V2X安全通信的

實體，包括車載設備（OBU）、路側設備（RSU）及其他形態的實體。

7.1.2基于DCM的PKI架構

V2X設備通過DCM服務系統與注冊證書機構交互，以獲取注冊證書。DCM為被V2X設備和CA系統信任

的設備。為此，DCM應預置與V2X設備和CA系統建立安全關聯所需的安全憑證。相應地，V2X設備和CA系

統也應預置與DCM設備建立安全關聯所需的安全憑證。當V2X設備申請注冊證書時，其應向DCM獲取后續

申請注冊證書的相關信息，如PKI中各證書簽發機構的證書。通過DCM申請V2X設備注冊證書時，應確保

V2X設備與DCM服務系統之間連接的安全性。例如，可通過基于物理環境安全、TLS安全協議或專用的端

到端安全連接實現相關操作。

7.1.3基于GBA的PKI架構

基于GBA的PKI架構支持有ECA的系統架構和無ECA的系統架構。GBA機制遵從3GPPTS33.220實現，

GBA認證授權系統包括3GPP標準定義的引導服務功能（BootstrappingServerFunction，BSF）網元和

網絡應用功能（NetworkApplicationFunction，NAF）網元，負責OBU、RSU等證書申請主體的身份認

12

GB/T×××××—××××

證、業務應用的授權及GBA共享會話密鑰的提供。為了確保隨機數、密鑰等敏感參數信息在終端側操作

處理時的安全性，系統優先采用GBA_U方式實現。

基于GBA的PKI架構可以分為以下兩種：

c）采用ECA的系統架構

在采用ECA的系統架構下，證書申請主體首先通過GBA認證授權系統申請獲取EC注冊證書，之后基

于EC注冊證書申請LTE-V2X安全通信相關的其他應用數字證書（如PC假名證書，AC應用證書）。此架構

下，GBA認證授權系統需要預先與EC注冊證書機構建立起安全的通信通道，以確保兩者之間數據交互的

安全性。

在申請EC注冊證書時，GBA認證授權系統基于USIM中的用戶標識及根密鑰與OBU、RSU終端進行雙向

身份認證，成功后為ECA提供與終端建立安全關聯的GBA共享會話密鑰。憑借GBA共享會話密鑰，OBU、

RSU終端可與ECA安全交互，在線實現EC證書申請、更新等業務處理。

在申請PC，AC等其他應用證書時，PCA、ACA等證書機構通過訪問GBA認證授權系統來對OBU、RSU終

端進行身份認證并對終端的業務請求獲取授權。認證授權成功后，GBA認證授權系統向證書機構提供

GBA共享會話密鑰。憑借GBA共享會話密鑰，OBU、RSU終端安全接入證書機構，并使用EC注冊證書實現

PC，AC等應用證書的申請、更新等操作。

d）省略ECA的系統架構

在省略ECA的系統架構下，證書申請主體首先接入GBA認證授權系統為業務請求申請獲取業務令

牌，之后基于業務令牌申請PC、AC等其他應用證書。

在申請業務令牌時，GBA認證授權系統基于USIM中的用戶標識及根密鑰與OBU、RSU終端進行雙向身

份認證，并根據策略對終端的業務請求授權。授權成功后，GBA認證授權系統向終端簽發業務令牌，并

向應用證書機構提供GBA共享會話密鑰。憑借GBA共享會話密鑰，OBU、RSU終端安全接入證書機構，并

使用業務令牌實現PC，AC等應用證書的申請、更新等操作。

7.1.4基于OAuth的PKI架構

基于OAuth2.0授權服務器的PKI架構為無ECA的系統架構。當認證授權服務器是OAuth授權服務器

時，OBU通過OAuth機制授權訪問PRA服務。這個過程基于IETF標準“RFC6749:OAuth2.0授權架構”定

義的OAuth2.0機制實現。OBU使用RFC6749中定義的客戶端憑證向OAuth授權服務器請求對PRA服務的授

權訪問。OAuth授權服務器根據策略接受或者拒絕這個請求。如果接受，則向OBU發行AccessToken。

OBU根據AccessToken向服務提供方PRA申請假名證書，OBU與PRA之間建立TLS安全通道，PRA驗證

AccessToken，驗證成功后提供對假名證書的訪問。基于OAuth的Token授權機制參見附錄B。

7.1.5證書管理系統實體間邏輯接口關系

V2X設備-AAA接口（C1）

V2X設備通過此接口與DCM、GBA和OAuth等認證授權系統進行交互，以獲得向CA申請V2X證書所需的

安全憑證。C1接口隨實現AAA功能的方式而不同。

AAA-ECA接口（C2）

認證授權系統通過此接口與ECA進行交互，以便向ECA提供與V2X設備建立安全關聯所需的安全憑

證。C2接口隨實現AAA功能的方式而不同。

在V2X設備獲得初始安全憑證后，V2X設備與ECA通過經由AAA建立的安全關聯進行交互，以便實現

注冊證書的申請與簽發過程。

13

GB/T×××××—××××

RA-AAA接口（C3）

證書簽發系統的注冊機構通過此接口與AAA交互獲得其與V2X設備建立安全關聯的安全憑證，或者

從AAA獲得驗證安全憑證所需要的安全材料（例如密鑰，算法等），或者從AAA獲得向V2X設備簽發證書

的授權。C3接口隨實現AAA功能的方式而不同。

V2X設備-RA接口（C4）

V2X設備通過此接口向證書簽發系統申請V2X通信證書，也即假名證書、身份證書或應用證書。

RA-CA接口（C5）

證書簽發系統的注冊機構基于V2X設備的證書申請請求，生成相應的證書生成請求，將該請求通過

此接口提供給CA，并通過此接口獲得CA簽發的V2X證書。

RA-LA接口（C6）

在V2X設備假名證書申請過程中，RA通過此接口從LA獲得其為V2X設備生成的一組假名證書鏈接

值。

V2X設備-MA接口（C7）

C-V2X設備通過此接口向MA上報MBR，具體通訊協議等需根據實際情況自定義。

MA-RA接口（C8）

MA通過此接口與注冊機構（RA）通訊。

MA通過此接口將被撤銷的證書通知給RA，以便將相關聯的注冊證書放入黑名單或從黑名單取消。

MA通過此接口向RA查詢鏈接鏈標識符（LCI）與注冊標識（RID）之間的關系。

RA通過此接口上報鏈接標識符（LCI）和注冊標識（RID）之間的關系。

。

MA-LA接口（C9）

在假名證書撤銷過程中，MA通過此接口與LA交互，以便獲得撤銷一組假名證書的數據。

LA通過此接口向MA提供注冊鏈接機構ID（LAID）、假名證書對應的鏈接鏈標識符（LCI）和鏈接種

子（LinkageSeed，LS）信息。

MA通過此接口向LA查詢鏈接值（LS）與鏈接標識符（LCI）之間的關系。

。

0MA-CRL服務接口（C10）

MA通過此接口將證書撤銷列表提供給CRL服務實體。

1V2X設備-CRL服務接口（C11）

C-V2X設備或證書管理實體通過此接口從CRL服務實體下載或檢查證書撤銷列表。CRL發布接口見

7.5節。

14

GB/T×××××—××××

2GMA-MA接口（C12）

MA通過此接口向GMA提供車輛識別碼（VIN）的哈希值（可選）、注冊標識（RID）的哈希值（可

選）、鏈接機構ID（LAID）、假名證書對應的鏈接標識符（LCI）和鏈接種子（LS）信息。

MA通過此接口向GMA上報MBR。

GMA通過此接口向MA發送證書撤銷請求數據。

GMA通過此接口向MA查詢車輛標識（可選）、假名證書鏈接值（可選）。

GMA通過此接口向MA查詢多個PC證書是否屬于同一個設備。

注1：車輛識別碼（VIN）可以是物理VIN碼或其他數字識別碼，具體根據外部管理機構要求選擇；

注2：哈希算法的選擇參見YD/T3957附錄D.1；

注3：注冊標識（RID）為SCMS內標識車輛身份的標識，可以是注冊證書、OAuth訪問令牌、GBA用戶標識或其

他數字標識。RID在SCMS內唯一，且與車輛VIN和車輛證書關聯。通常由ARA和PRA維護RID與身份證

書、應用證書、假名證書的對應關系，由SMCS的認證授權機構（AAA）維護VIN和RID的對應關系。

3AAA-MA接口（C13）

AAA通過此接口向MA上報注冊車輛VIN的哈希值和RID的哈希值。

AAA通過此接口向MA上報RID和車輛VIN之間的關系。

MA通過此接口向AAA查詢RID和車輛VIN之間的關系。

7.1.6支持多PKI系統互認

當車聯網安全系統由多個獨立PKI系統構成時，這些PKI系統之間可以根據需要構建可信關系，以

便實現證書互認。實現多PKI體系可信關系的原理如圖5所示。多個車聯網PKI系統之間的可信關系是通

過一個“可信根證書列表（TRCL）”實現的。該可信列表由可信根證書列表管理機構（TRCLA）簽發。

可信根證書列表的存在與否不會影響各個獨立PKI系統的運行，但會影響不同PKI系統證書之間是

否能夠互認。

圖5構建多個PKI系統之間的可信關系

15