DB31/T 1485-2024 基于LTE-V2X的车联网无线通信安全认证系统技术要求

ICS33.060.99

CCSM30

31

上海市地方标准

DB31/T1485—2024

基于LTE-V2X的车联网无线通信安全认证

系统技术要求

TechnicalrequirementofsecuritycertificationsystemforLTE-V2Xbasedvehicular

communication

2024-06-18发布2024-10-01实施

上海市市场监督管理局发布

DB31/T1485—2024

目次

前言...........................................................................II

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4缩略语..............................................................................1

5概述................................................................................2

V2X通信安全系统构成.............................................................2

V2X通信安全服务架构.............................................................3

LTE-V2X通信安全需求.............................................................3

LTE-V2X通信安全认证系统.........................................................3

6证书属性和CRL属性..................................................................3

证书属性........................................................................3

CRL属性........................................................................13

7LTE-V2X通信安全认证交互流程和异常行为判定..........................................14

LTE-V2X通信安全认证交互流程....................................................14

异常行为判定...................................................................14

8LTE-V2X通信安全认证PKI互信技术要求................................................14

PKI互信机制....................................................................14

上海市CA接入国家CA信任体系...................................................14

9部署结构...........................................................................15

10LTE-V2X通信安全应用场景...........................................................15

11性能指标..........................................................................16

上海市V2X通信安全认证系统性能指标............................................16

终端性能指标..................................................................16

附录A（资料性）自定义区域示例.................................................17

附录B（资料性）CRL优先级.....................................................19

附录C（资料性）V2X场景安全需求划分建议.......................................20

参考文献.......................................................................21

I

DB31/T1485—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由上海市经济和信息化委员会提出并组织实施。

本文件由上海市智能网联汽车及应用标准化技术委员会归口。

本文件起草单位：上研智联智能出行科技（上海）有限公司、郑州信大捷安信息技术股份有限公司、

上海机动车检测认证技术研究中心有限公司、工业互联网创新中心(上海)有限公司、同济大学、上海市

无线电监测站、上海银基信息安全技术股份有限公司、上海市数字证书认证中心有限公司、鼎铉商用密

码测评技术（深圳）有限公司、上海裹动科技有限公司。

本文件主要起草人：刘建泉、刘为华、潘政伟、杨伟利、涂辉招、康亮、李鑫、许瑞琛、马凌峰、

周方俊男、杨青、郑忠斌、徐弘良、郑宁、肖飞、杨蕾。

II

DB31/T1485—2024

基于LTE-V2X的车联网无线通信安全认证系统技术要求

1范围

本文件规定了基于LTE-V2X的车联网无线通信安全认证系统技术要求，包括通信安全认证系统的组

成、证书和CRL属性、交互流程和异常行为判定、PKI互信、部署结构、性能指标等技术要求。

本文件适用于上海市的LTE-V2X车载设备和路侧设备中V2X证书安全使用、V2X通信安全认证系统以

及V2X证书的生命周期管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T2260中华人民共和国行政区划代码

YD/T3400基于LTE的车联网无线通信技术总体技术要求

YD/T3709基于LTE的车联网无线通信技术消息层技术要求

YD/T3750车联网无线通信安全技术指南

YD/T3957—2021基于LTE的车联网无线通信技术安全证书管理系统技术要求

YD/T3977增强的V2X业务应用层交互数据要求

3术语和定义

YD/T3400、YD/T3709、YD/T3750界定的以及下列术语和定义适用于本文件。

V2X设备V2Xequipment

车载设备（OBU）、路侧设备（RSU）和服务提供商（VSP）的安全设备。

[来源：YD/T3957—2021，3.1]

V2X通信证书V2Xcommunicationcertificate

证书机构签发给V2X设备的各种与V2X通信相关的证书，例如注册证书、假名证书、应用证书、身份

证书等。

[来源：YD/T3957—2021，3.2]

4缩略语

下列缩略语适用于本文件。

AC：应用证书（ApplicationCertificate）

ACA：应用证书机构（ApplicationCertificateAuthority）

AID：应用标识（ApplicationIdentifier）

API：应用程序接口（ApplicationProgrammingInterface）

1

DB31/T1485—2024

ARA：应用证书注册机构（ApplicationCertificateRegistrationAuthority）

BSM：基础安全消息（BasicSafetyMessage）

CA：证书认证机构（CertificateAuthority）

COER：正则八位字节编码规则（CanonicalOctetEncodingRules）

CRA：证书撤销机构（CertificateRevocationAuthority）

CRL：证书撤销列表（CertificateRevocationList）

DCM：设备配置管理（DeviceConfigurationManager）

DSA：专用业务公告（DedicatedServiceAdvertisement）

EC：注册证书（EnrolmentCertificate）

ECA：注册证书机构（EnrolmentCertificateAuthority）

IC：身份证书（IdentityCertificate）

ICA：中间证书机构（IntermediateCA）

LA：链接机构（LinkageAuthority）

LTE：长期演进（LongTermEvolution）

MA：异常行为管理机构（MisbehaviorAuthority）

OBU：车载设备（OnBoardUnit）

PC：假名证书（PseudonymCertificate）

PCA：假名证书机构（PseudonymCertificateAuthority）

PKI：公钥基础设施（PublicKeyInfrastructure）

PRA：假名证书注册机构（PseudonymCertificateRegistrationAuthority）

RA：注册机构（RegistrationAuthority）

RSI：路侧信息（RoadSideInformation）

RSM：路侧安全消息（RoadSafetyMessage）

RSU：路侧设备（RoadSideUnit）

SCME：安全凭证管理实体（SecurityCredentialManagementEntity）

SCMF：安全凭证管理功能（SecurityCredentialManagementFunction）

SDPF：安全数据处理功能（SecureDataProcessingFunction）

SPAT：交通灯相位与时序消息（SignalPhaseandTimingmessage）

SPDU：安全协议数据单元（SecuredProtocolDataUnit）

SSF：安全服务功能（SecurityServiceFunction）

SSP：服务特定许可（ServiceSpecificPermission）

TRCLA：可信根证书列表管理机构（TrustedRootCertificateListAuthority）

V2I：车和基础设施通信（VehicletoInfrastructure）

V2N：车和网通信（VehicletoNetwork）

V2P：车和人通信（VehicletoPedestrian）

V2V：车和车通信（VehicletoVehicle）

V2X：车联万物（VehicletoEverything）

VSP：车联网服务提供商（V2XServiceProvider）

5概述

V2X通信安全系统构成

2

DB31/T1485—2024

V2X通信安全实体主要包括：车载设备（OBU）、路侧设备（RSU）、服务提供商（VSP）、证书认证

机构（CA）。证书机构给车载设备、路侧设备、服务提供商发放数字证书，通过对消息的数字签名和/

或加密，车载设备与路侧设备、服务提供商之间进行安全通信。具体实体关系和系统构成说明见YD/T

3957—2021的4.1。

V2X通信安全服务架构

V2X通信安全服务架构主要包含安全数据处理功能（SDPF）、安全凭证管理功能（SCMF）、安全服

务功能（SSF）和安全凭证管理实体（SCME）。服务架构和具体功能说明见YD/T3957—2021的4.2。

LTE-V2X通信安全需求

LTE-V2X通信安全的内容主要包括：完整性、可认证性、机密性、可抵御重放攻击等，要求对V2X直

连通信的各方尤其是OBU进行隐私保护。具体包括：

a)通信消息和关键数据在传输环节的完整性要求、认证要求、机密性要求、抗重放攻击要求、隐

私保护要求等；

b)OBU、RSU和VSP需使用密码模块实现加密、签名、密钥生成与密钥存储等核心安全功能，密

码模块需使用安全通道与后台服务通信。

LTE-V2X通信安全认证系统

5.4.1系统组成

LTE-V2X通信安全认证系统基于公钥基础设施（PKI）实现，主要包括根证书机构、LTE-V2X证书机

构（注册证书机构、应用证书机构和注册机构、假名证书机构和注册机构）、认证授权机构和证书申请

主体（V2X设备）等部分。具体系统架构应符合YD/T3957—2021中6.1的规定。

5.4.2V2X证书

基于V2X证书的用途，V2X证书可分为注册证书、假名证书、应用证书和身份证书。注册证书用于申

请假名证书、应用证书和身份证书，假名证书、应用证书和身份证书用于V2X安全通信。具体证书结构

定义和格式、通信数据应符合YD/T3957—2021第6章的规定。

6证书属性和CRL属性

证书属性

6.1.1权限

6.1.1.1概述

针对上海市的数字证书，基于YD/T4008对各类型证书的关键权限进行定义，并对AID列表进行说明

并进行应用标识分配。具体包括TRCLA证书、RootCA证书、MA证书、ICA证书、ECA证书、CRA证书、DCM

证书、ACA证书、LA证书、RA证书、EC注册证书、PC假名证书、AC应用证书、IC身份证书等。

6.1.1.2证书关键权限

6.1.1.2.1TRCLA证书

TRCLA证书关键权限定义应符合表1。

3

DB31/T1485—2024

表1TRCLA证书关键权限

1级字段2级字段3级字段4级字段

第一组AidSsp：

>Aid取值3627证书管理ScmsSsp选择root，其COER编码的值为

>ServiceSpecificPermissions选择'800001'H

SequenceOf

opaque，赋值为ScmsSsp的COER编码

AidSsp的

应用权限appPermissionsCrlSsp中associatedCraca选择isCraca

SEQUENSE第二组AidSsp：

CrlSsp中crls表示要使TRCLA证书签发

SIZE为2>Aid取3628证书撤销列表

的CrlContents结构中的crlSeries字段

>ServiceSpecificPermissions选择

有效，则其值必须包含在本字段的

opaque，赋值为CrlSsp的COER编码

SEQUENCEOFCrlSeries中

第一组

AidGroupPermissions：

>subjectPermissions选择all

—

>minChainLength取2

>chainLengthRange取-1

SequenceOf>eeType取app和enroll

AidGroupPe第一组AidSspRange：

签发权限

rmissions第二组>Aid取值3627证书管理

certIssuePermissions

的SEQUENSEAidGroupPermissions：>SspRange为ABSENT

SIZE为3>subjectPermissions选择explicit，其第二组AidSspRange：

中SequenceOfPsidSspRange的SIZE为3>Aid取值3628证书撤销列表

>minChainLength取1>SspRange为ABSENT

>chainLengthRange取-1第三组AidSspRange：

>eeType取app和enroll>Aid取值3629异常行为管理

>SspRange为ABSENT

申请请求权限

ABSENT——

certRequestPermissions

6.1.1.2.2RootCA证书

RootCA证书关键权限定义应符合表2。

表2RootCA证书关键权限

1级字段2级字段3级字段4级字段

第一组AidSsp：

>Aid取值3627证书管理

ScmsSsp选择root，其COER编码的值为'800001'H

SequenceOfAi>ServiceSpecificPermissions选择

应用权限

dSsp的opaque，赋值为ScmsSsp的COER编码

appPermission

SEQUENSE第二组AidSsp：CrlSsp中associatedCraca选择isCraca

sa

SIZE为2>Aid取3628证书撤销列表CrlSsp中crls表示要使TRCLA证书签发的

>ServiceSpecificPermissions选择CrlContents结构中的crlSeries字段有效，则其值

opaque，赋值为CrlSsp的COER编码必须包含在本字段的SEQUENCEOFCrlSeries中

4

DB31/T1485—2024

表2RootCA证书关键权限（续）

1级字段2级字段3级字段4级字段

第一组

AidGroupPermissions：

>subjectPermissions选择all

—

>minChainLength取2

>chainLengthRange取-1

SequenceOfAi>eeType取app和enroll

签发权限dGroupPermis第一组AidSspRange：

第二组

certIssuePermsions的>Aid取值3627证书管理

AidGroupPermissions：

issionsSEQUENSE>SspRange为ABSENT

>subjectPermissions选择explicit，

SIZE为3第二组AidSspRange：

其中SequenceOfPsidSspRange的SIZE

>Aid取值3628证书撤销列表

为3

>SspRange为ABSENT

>minChainLength取1

第三组AidSspRange：

>chainLengthRange取-1

>Aid取值3629异常行为管理

>eeType取app和enroll

>SspRange为ABSENT

申请请求权限

certRequestPeABSENT——

rmissions

a当RootCA作为CRACA兼备证书撤销管理功能时，证书的应用权限AppPermission才包含3628证书撤销列表的

权限，CrlSsp中associatedCraca选择isCraca。

6.1.1.2.3MA证书

MA证书关键权限定义应符合表3。

表3MA证书关键权限

1级字段2级字段3级字段4级字段

第一组AidSsp：ScmsSsp选择ma，并定义异常行为管理

>Aid取值3627证书管理相关，

>ServiceSpecificPermissions选择其COER编码的值为

opaque，赋值为ScmsSsp的COER编码'8100010101020E2D'H

SequenceOfAidSsp

应用权限CrlSsp中associatedCraca选择

的SEQUENSESIZE

appPermissionsa第二组AidSsp：issuerIsCraca

为2

>Aid取3628证书撤销列表CrlSsp中crls表示要使MA证书签发的

>ServiceSpecificPermissions选择C