道路交通管控設(shè)施數(shù)字身份及認(rèn)證規(guī)范 編制說明

1《道路交通管控設(shè)施數(shù)字身份及認(rèn)證通用規(guī)范》（征求意見稿）編制說明近幾年，在國家政策的引導(dǎo)、產(chǎn)業(yè)的發(fā)展驅(qū)動下，我國車聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車技術(shù)創(chuàng)新、示范應(yīng)用取得顯著的成效，對提升交通安全、交通出行品質(zhì)有重要意義。交通信號控制、交通違法監(jiān)測、公共服務(wù)信息發(fā)布等主要交通管理業(yè)務(wù)設(shè)施，為車聯(lián)網(wǎng)提供交通管控等關(guān)鍵基礎(chǔ)信息，支撐出行服務(wù)、輔助駕駛、自動駕駛等車路協(xié)同核心應(yīng)用。隨著車聯(lián)網(wǎng)的規(guī)模應(yīng)用，數(shù)字身份驗證、信息安全交互、隱私數(shù)據(jù)保護(hù)等安全應(yīng)用問題日趨凸顯，急需制定針對交通管控路側(cè)設(shè)施數(shù)字身份、信息交互等安全應(yīng)用與管理方面的規(guī)范、標(biāo)準(zhǔn)，解決交通管網(wǎng)絡(luò)安全體系，提升網(wǎng)絡(luò)安全防護(hù)能力，搭建多層次縱深防御、軟硬件結(jié)合的安全防護(hù)體系，實本文件規(guī)定了用于車聯(lián)網(wǎng)車路協(xié)同信息交互應(yīng)用的道路交通管控設(shè)施數(shù)字身份、身份認(rèn)證通用技術(shù)要求。適用道路交通信號控制機(jī)、動態(tài)可變限速標(biāo)志、動態(tài)可變車道標(biāo)志、邊緣計算設(shè)施等的數(shù)字身份設(shè)計、管理和應(yīng)用，實現(xiàn)道路交通管控設(shè)施與車聯(lián)網(wǎng)路側(cè)設(shè)施、系統(tǒng)的網(wǎng)絡(luò)接入認(rèn)證、數(shù)據(jù)驗證、數(shù)據(jù)加密等安全信息交互功能，解決車聯(lián)網(wǎng)規(guī)模應(yīng)用、支撐車聯(lián)網(wǎng)應(yīng)用服務(wù)的問題，符合我國智能網(wǎng)聯(lián)汽車、車聯(lián)網(wǎng)、5G通信等產(chǎn)業(yè)本標(biāo)準(zhǔn)參加起草單位：中國移動通信集團(tuán)有限公司、無錫華通智能交通技術(shù)開發(fā)有限公司、青島海信網(wǎng)絡(luò)科技股份有限公司、南京萊斯信息技術(shù)股份有限公司、安徽科力信息產(chǎn)業(yè)有限責(zé)任公司、多倫科技股份有限公司、杭州?？低晹?shù)字技術(shù)股份有定了參編單位和人員分工，制定了標(biāo)準(zhǔn)編制計劃，啟動標(biāo)準(zhǔn)制定工作，并按照全國道路交通管理2輪科技、?？低?、中國信息通信研究院、連云港杰瑞電子有限公司、浙江大華技術(shù)股份有限公司、浙江大華技術(shù)股份有限公司、北京千方科技股份有限公司、上海汽車集團(tuán)股份有限公司等標(biāo)討論會，討論現(xiàn)階段國內(nèi)外車聯(lián)網(wǎng)數(shù)字身份相關(guān)現(xiàn)狀調(diào)研內(nèi)容，以及在標(biāo)準(zhǔn)編制組基礎(chǔ)上，拓展編制原則、涉及技術(shù)體系架構(gòu)、設(shè)施范圍、標(biāo)準(zhǔn)的主要章節(jié)等，編制組開始起草標(biāo)準(zhǔn)工作組討論結(jié)合公安交管業(yè)務(wù)、車路協(xié)同應(yīng)用需求、智能網(wǎng)聯(lián)車輛管理，組織交科所內(nèi)部相關(guān)業(yè)務(wù)部門召開3次討論會，內(nèi)容包括交管設(shè)施和智能網(wǎng)聯(lián)汽車數(shù)字身份協(xié)同、標(biāo)準(zhǔn)主要章節(jié)和內(nèi)容、標(biāo)準(zhǔn)涉及核心關(guān)鍵技術(shù)等。編制組根據(jù)會議討論情況，對工作組討論稿進(jìn)行調(diào)整，刪減非必要的數(shù)字證書設(shè)施信息交互接口規(guī)范》等正在制定推薦性國標(biāo)的主要相關(guān)內(nèi)容，進(jìn)一步簡化、明確標(biāo)準(zhǔn)內(nèi)容，主要定位在交通管控設(shè)施數(shù)字身份、數(shù)字證書、身份認(rèn)證基本要求，與上述《智能網(wǎng)聯(lián)汽車數(shù)字身份及認(rèn)證通用規(guī)范》標(biāo)準(zhǔn)保持協(xié)調(diào)，并對工作組討兩個標(biāo)準(zhǔn)的結(jié)構(gòu)形式、規(guī)定內(nèi)容進(jìn)行協(xié)同，并對工作組討論稿進(jìn)行調(diào)整，形成征求度，注重可用性、可操作、經(jīng)濟(jì)性；充分考慮我國主導(dǎo)家現(xiàn)有的車聯(lián)網(wǎng)相關(guān)政策法規(guī)、技術(shù)標(biāo)準(zhǔn)，適應(yīng)我國車聯(lián)網(wǎng)發(fā)展方向，具有先進(jìn)性、前瞻性。交通管控設(shè)施網(wǎng)絡(luò)數(shù)字身份的設(shè)計、應(yīng)用；立足安全，突出信息交互安全與風(fēng)險防控，強(qiáng)化信息3標(biāo)準(zhǔn)的制定根據(jù)《中華人民共和國標(biāo)準(zhǔn)化法》《中華人民共和國道路交通安全法》《中華人民共和國道路交通安全法實施條例》等法律法規(guī)的規(guī)定，按照《國務(wù)院關(guān)于印發(fā)深化標(biāo)準(zhǔn)化工作改革方案的通知》（國發(fā)[2015]13號）、工信部和國家標(biāo)準(zhǔn)委聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南》、車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展專項委員會會議制定過程中參考了GM/T0028—2014《密碼模塊安全技術(shù)要求》、GM/T0008—2012《安全芯式要求》、GA/T1768—2021《移動警務(wù)身份認(rèn)證技術(shù)要求》、GB/T20518—2018《信息安全技管理系統(tǒng)技術(shù)要求》等數(shù)字身份、數(shù)字證書、身份認(rèn)證相關(guān)的國家、行業(yè)標(biāo)準(zhǔn)，以及IEEEStd1609.2.1?—2022IEEEStandardfCertificateManagementInterfacesforEndEntities（IEEE車載環(huán)境無線接入標(biāo)準(zhǔn)（WAVE）車載環(huán)境無線接入標(biāo)準(zhǔn)—應(yīng)用程序和管理消息的安全服務(wù)）等歐美標(biāo)準(zhǔn)。按照確定的標(biāo)準(zhǔn)制定原則，本文件規(guī)定了用于車聯(lián)網(wǎng)車路協(xié)同信息交互應(yīng)用的道路交通管控設(shè)施（以下簡稱“設(shè)施”）數(shù)字身份、身份認(rèn)證通用技術(shù)要求。標(biāo)準(zhǔn)主要（1）關(guān)于“第1章范圍”本文件規(guī)定了道路交通管控設(shè)施數(shù)字身份、身份認(rèn)證通用要求。包括設(shè)施數(shù)字身份、認(rèn)證方式、證書分類、數(shù)字證書格式、數(shù)字證書載本文件適用于車聯(lián)網(wǎng)車路協(xié)同信息交互應(yīng)用的道路交通管控設(shè)施的設(shè)計、數(shù)字證書管理和數(shù)字身份驗證應(yīng)用。涉及與車聯(lián)網(wǎng)車路協(xié)同應(yīng)用直接相關(guān)的設(shè)施包括道路交通信號控制、動態(tài)交通采集等間接提供基礎(chǔ)交通管控信息的設(shè)施歸到其他交通管控設(shè)施中，參照本標(biāo)準(zhǔn)實（2）關(guān)于“第5章數(shù)字身份”本章參考了下表中標(biāo)準(zhǔn)對設(shè)施數(shù)字身份信息、編碼序號1信息安全技術(shù)鑒別與授權(quán)數(shù)字身份信息服中的虛擬身份表示，關(guān)聯(lián)了與該主體相關(guān)的2信息安全技術(shù)網(wǎng)絡(luò)身用戶標(biāo)識useridentification，用于標(biāo)識34設(shè)施數(shù)字身份應(yīng)包含設(shè)施分類、設(shè)施名稱、部署行政區(qū)劃、設(shè)施序號等屬性信息，并用編碼6位）表示設(shè)施部署安裝點位所處的行政區(qū)劃第三層（9～12位）表示設(shè)施在本行政區(qū)劃以及對應(yīng)設(shè)施范圍內(nèi)的唯一編號。身份標(biāo)識編碼原則是對象覆蓋明確、編碼唯一，且與交通管理已有標(biāo)準(zhǔn)保持同步，滿足車聯(lián)網(wǎng)應(yīng)用識別統(tǒng)一。主要制規(guī)則和編碼方法，可以較好的兼容數(shù)據(jù)轉(zhuǎn)換和行業(yè)應(yīng)用××××××××××××第三層（9～12位）第二層（7～8位）第一層（1～6位）12345678（3）關(guān)于“第6章身份認(rèn)證”本章節(jié)規(guī)定了數(shù)字身份的認(rèn)證方式、數(shù)字證書、證書確認(rèn)（證書5設(shè)施數(shù)字身份認(rèn)證采用數(shù)字證書認(rèn)證方式，證書應(yīng)由證書機(jī)構(gòu)簽發(fā)。該條制定考慮到交通管理設(shè)施公共安全管理、服務(wù)屬性以及交通管控設(shè)施相關(guān)產(chǎn)業(yè)的技術(shù)發(fā)展水平，并參考《信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實施指南第3部分：身份認(rèn)證與授權(quán)管理》（GB/Z24294—2017）中6.2身份認(rèn)證方式：口令認(rèn)證、數(shù)字證書認(rèn)證、生物特征識別，提出較為通用且安全的數(shù)字證書認(rèn)證方式。為確保數(shù)字證書應(yīng)用的可信性，以及數(shù)字證書安全管理，要求證書由證書機(jī)注冊證書：用于應(yīng)用證書的申請、更新、作廢以及注冊證書的作廢。注冊證書用于數(shù)字證書初始化和應(yīng)用環(huán)節(jié)證書管理，證書長期有效，覆蓋整個設(shè)施應(yīng)用周期，用于證書簽發(fā)、更新、作應(yīng)用證書：用于設(shè)施的數(shù)字身份認(rèn)證鑒權(quán)和信息交互應(yīng)用，如：設(shè)施接入網(wǎng)絡(luò)認(rèn)證、設(shè)施權(quán)限的確認(rèn)、發(fā)送車聯(lián)網(wǎng)信息、接收智能網(wǎng)聯(lián)汽車信息、對其他設(shè)施的控制功能等。一個設(shè)施可以b）證書格式全證書管理系統(tǒng)技術(shù)要求》YD/T3957—2021、IEEEStd1609.2.1?—2022IEEEStandardfor1是2是3是4是5是6是7是8否9否是CA證書權(quán)限/certIssuePermis否否6否否是是簽名數(shù)據(jù)的簽名值，SM2符合GM/T00有效地理范圍、信任級別、簽名權(quán)限、CA證書權(quán)限、注冊證書權(quán)限、請求權(quán)限、加密公鑰、驗證公鑰。同時給出數(shù)字證書的數(shù)據(jù)結(jié)構(gòu)。其中，證書標(biāo)識用設(shè)施身份標(biāo)識表示，并進(jìn)行單獨規(guī)定，主要參考《移動警務(wù)數(shù)字證書格式要求》（GA/T1720—2020）和《全國公安機(jī)關(guān)機(jī)構(gòu)代碼編制他單元參考《基于LTE的車聯(lián)網(wǎng)無線通信技術(shù)安全證書管理系(WAVE)-CertificateManagementInterfacesforEndEntities（IEEE車載環(huán)境無線接入標(biāo)準(zhǔn)—載體采用硬件密碼模塊形式，且應(yīng)符合GM/T證書載體要求主要從安全、可靠、可用、適用角度，按照國密相關(guān)要求，對載體形式、密碼算法、存儲容量、應(yīng)用接口進(jìn)行要求。載體形式上要求采用安全性更高的硬件密碼模塊，以適配車聯(lián)網(wǎng)應(yīng)用中交通管控設(shè)施信號控制、信息服務(wù)的公共安全屬性和設(shè)施安全管理要求，如信號燈燈態(tài)、動態(tài)交通標(biāo)志狀態(tài)、交通事件等信息的推送，以及設(shè)施的網(wǎng)絡(luò)行為的安全管理等。算法上名、驗簽、加密、解密功能，且安全可控。同時要求證書存儲數(shù)量和載體的應(yīng)用接口要求，具有d）證書管理針對數(shù)字證書管理，從通用、基礎(chǔ)應(yīng)用層面規(guī)定證書的管理流程和接口技術(shù)要求，具體包括注冊證書的申請、作廢和應(yīng)用證書的申請、更新、作廢，覆蓋設(shè)施數(shù)字證書的初始化和應(yīng)用過程7設(shè)施屬性信息，由注冊終端發(fā)起注冊登記申請，適應(yīng)不同網(wǎng)絡(luò)12345本條的“證書確認(rèn)”命名，參考《信息安全技術(shù)術(shù)語》（GB/T25069—202本標(biāo)準(zhǔn)涉及信號控制、交通標(biāo)志、邊緣計算等不同類別設(shè)施，在連接網(wǎng)絡(luò)、身份認(rèn)證過程和證書拓展應(yīng)用方面存在差異，標(biāo)準(zhǔn)僅在認(rèn)證方面提出證書確認(rèn)的基本驗證要求，設(shè)施利用證書進(jìn)行的網(wǎng)絡(luò)連接身份認(rèn)證、信息簽名/驗簽、數(shù)據(jù)加密/解密、對稱加密通信等與設(shè)施屬性關(guān)聯(lián)的應(yīng)用要求，不在本標(biāo)準(zhǔn)規(guī)定，如信號控制、交通標(biāo)志提供交通控制數(shù)字信號，邊緣計算負(fù)責(zé)交通管理側(cè)數(shù)據(jù)的匯聚以及與車聯(lián)網(wǎng)的跨網(wǎng)交互，各類設(shè)施連接認(rèn)證對象不同，連接認(rèn)證方式不同，以及信息、數(shù)據(jù)用證書安全處理的需求均不同。其中，信號機(jī)已經(jīng)制定標(biāo)準(zhǔn)《道路交本標(biāo)準(zhǔn)中標(biāo)題的英文由標(biāo)準(zhǔn)起草組翻譯，經(jīng)公安部交通管理科學(xué)研究所華璟怡博士核對，認(rèn)為漢譯英內(nèi)容能準(zhǔn)確表達(dá)原條款的真實意思，翻譯語句通順，符合本標(biāo)準(zhǔn)負(fù)責(zé)起草單位公安部交通管理科學(xué)研究所搭建了設(shè)施數(shù)字身份測試環(huán)境，包括設(shè)施數(shù)字身份管理系統(tǒng)、信號機(jī)等，數(shù)字身份管理系統(tǒng)具有注冊登記、證書簽發(fā)等動能，設(shè)施內(nèi)嵌符合書、身份管理系統(tǒng)簽發(fā)信號機(jī)證書、證書寫入信號機(jī)、RSU與信號機(jī)連接身份認(rèn)證，信號機(jī)推送信息簽名、RSU進(jìn)行信息驗簽等功能測試，驗證數(shù)字身份、證書格式、身份認(rèn)證等主要標(biāo)準(zhǔn)內(nèi)容的可行性和合理性，以及信息簽名、信息驗簽等具體應(yīng)用的適8Environments—SecurityServicesforApplicationsandManagementMessages（IEEE車載環(huán)境無線接入標(biāo)準(zhǔn)—應(yīng)用程序和管理消息的安全服務(wù)由美國電氣和電子工程師協(xié)會發(fā)布，定義了車輛環(huán)境中無線接入（WAVE）設(shè)備使用的安全消息格式和處理過程，包括安全消息格式、證書無線接入標(biāo)準(zhǔn)（WAVE）—終端實體的證書管理接口由美國電氣和電子工程師協(xié)會3）On-BoardSystemRequirementsforV2VSafetyCommunications（V2V安全通信的車載系統(tǒng)要求），由美國-美國機(jī)動車工程師協(xié)會（US-SAE）發(fā)布（V2V）安全通信系統(tǒng)的系統(tǒng)要求，包括標(biāo)準(zhǔn)配置文件、功能要求和性能要求，該系統(tǒng)能夠通過1）《交通運輸數(shù)字證書格式》（GB/T37376—），上,結(jié)合交通運輸信息系統(tǒng)各類應(yīng)用場景,重點考慮了智能交通系統(tǒng)應(yīng)用中,各類數(shù)據(jù)安全服務(wù)對數(shù)字證書長度、運算效率等方面的要求,對ITS設(shè)施證書的格式進(jìn)行了規(guī)范化定義，面向智能交2）《基于LTE的車聯(lián)網(wǎng)無線通信技術(shù)安全證書管理系統(tǒng)技術(shù)要求》（YD/T3957—2021），標(biāo)準(zhǔn)規(guī)定了基于PKI的數(shù)字證書管理系統(tǒng)架構(gòu)和數(shù)字證書管理協(xié)議，該標(biāo)準(zhǔn)與IEEE1609.2和該標(biāo)準(zhǔn)使用了我國商