道路交通管控设施数字身份及认证通用规范

GB/T46999—2025 道路交通管控设施数字身份及认证通用规范 Generalspecificationsfordigitalidentityandauthenticationofroadtrafficmanagementandcontrolfacilities 国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发布 目次 前言Ⅲ…………………………………………………………………………………………………………1范围1………………………………………………………………………………………………………2规范性引用文件1…………………………………………………………………………………………3术语和定义1………………………………………………………………………………………………4缩略语1……………………………………………………………………………………………………5数字身份标识编码2………………………………………………………………………………………6身份认证2…………………………………………………………………………………………………6.1认证要求2……………………………………………………………………………………………6.2数字证书2……………………………………………………………………………………………6.3证书应用接口3………………………………………………………………………………………7验证方法3…………………………………………………………………………………………………7.1验证环境3……………………………………………………………………………………………7.2证书结构验证3………………………………………………………………………………………7.3证书载体验证3………………………………………………………………………………………7.4身份认证验证3………………………………………………………………………………………7.5证书应用接口验证4…………………………………………………………………………………附录A(规范性)数字身份标识编码规则5………………………………………………………………A.1编码原则及结构5……………………………………………………………………………………A.2编码方法5……………………………………………………………………………………………附录B(规范性)数字证书结构6…………………………………………………………………………附录C(规范性)数字证书数据结构7……………………………………………………………………C.1编码规则7……………………………………………………………………………………………C.2数据结构定义7………………………………………………………………………………………C.3证书数据单元7………………………………………………………………………………………附录D(资料性)硬件密码模块应用接口21………………………………………………………………D.1接口定义21……………………………………………………………………………………………D.2时序21…………………………………………………………………………………………………附录E(规范性)证书应用接口23…………………………………………………………………………E.1通信接口23……………………………………………………………………………………………E.2消息结构23……………………………………………………………………………………………附录F(资料性)身份认证和证书认证流程30……………………………………………………………F.1双向身份认证流程30…………………………………………………………………………………F.2注册证书申请流程31…………………………………………………………………………………Ⅰ F.3注册证书作废流程31…………………………………………………………………………………F.4应用证书申请流程32…………………………………………………………………………………F.5应用证书更新流程33…………………………………………………………………………………F.6应用证书作废流程33…………………………………………………………………………………F.7证书查询流程33………………………………………………………………………………………参考文献35…………………………………………………………………………………………………… 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国公安部提出。 本文件由全国道路交通管理标准化技术委员会(SAC/TC576)归口。 本文件起草单位:公安部交通管理科学研究所、中国移动通信集团有限公司、无锡市公安局、无锡华通智能交通技术开发有限 公 司、青 岛 海 信 网 络 科 技 股 份 有 限 公 司、南 京 莱 斯 信 息 技 术 股 份 有 限 公 司、安徽科力信息产业有限责任公司、多伦科技股份有限公司、杭州海康威视数字技术股份有限公司。 本文件主要起草人:何广进、刘东波、徐棱、朱远建、徐新东、郑银香、杨浩、杨光、鱼蕾、陈晓明、程建、宋志洪、陶刚、俞雷。 道路交通管控设施数字身份及认证通用规范 1范围 本文件规定了道路交通管控设施的数字身份标识编码和身份认证要求,描述了相应的验证方法。本文件适用于道路交通管控设施的数字身份设计和应用。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必 不 可 少 的 条 款。其 中,注 日 期 的 引 用 文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包 括 所 有 的 修 改 单)适 用 于本文件。 GB/T2260中华人民共和国行政区划代码GB/T16262.1信息技术抽象语法记法一(ASN.1)第1部分:基本记法规范GB/T25069信息安全技术术语GB/T31418道路交通信号控制系统术语GB/T32918.1—2016信息安全技术SM2椭圆曲线公钥密码算法第1部分:总则GB/T37092信息安全技术密码模块安全要求ISO/IEC8825-7信息技术抽象语法记法一(ASN.1)编 码 规 则第7部 分:八 位 字 节 编 码 规 则(OER)[Informationtechnology—ASN.1 encodingrules—Part7:Specification of Octet EncodingRules(OER)] 3术语和定义 GB/T25069、GB/T31418和GB/T37092界定的以及下列术语和定义适用于本文件。 3.1 安装在道路上,用于交通控制、交通信息采集与发布的设施。注1:包括道路交通信号控制机、交通管控边缘计算终端等。注2:交通管控边缘计算终端指安装在路侧,配合其他交通管控设施完成交通信息汇聚、处理的计算设备。 道路交通管控设施数字身份digitalidentityofroadtrafficcontrolandmanagementfacilit在车联网环境中,关联道路交通管控设施属性信息,标识其唯一性的数字和字母组合。 4缩略语 下列缩略语适用于本文件。AID:应用标识(ApplicationIdentifier)ASN.1:抽象语法记法一(AbstractSyntaxNation1) GB/T46999—2025 CA:证书认证机构(CertificateAuthority)COER:正则八位字节编码规则(CanonicalOctetEncodingRules)CRACA:证书撤销授权证书机构(CertificateRevocationAuthorizingCA)CRL:证书撤销列表(CertificateRevocationList)HTTP:超文本传输协议(HyperTextTransferProtocol)ID:身份标识(Identity)SPI:串行外设接口(SerialPeripheralInterface)SSP:服务特定许可(ServiceSpecificPermission)SSTL:残余连续终结逻辑(StubSeriesTerminationLogic)TAI:国际原子时(InternationalAtomicTime)TTL:晶体管-晶体管逻辑(Transistor-TransistorLogic)UTC:协调世界时(UniversalTimeCoordinated) 5数字身份标识编码 道路交通管控设施(以下简称“管控设施”)数字身份应包含设施名称、部署行政区划、设施序号等属性信息,并用编码唯一标识,管控设施数字身份标识编码应符合附录A的规定。 6身份认证 6.1认证要求 身份认证内容应包括: a)管控设施进行车路协同信息交互前,采用数字证书与信息交互对象进行双向身份鉴别;b)信息交互过程中对信息进行数字签名和验签;c)双向身份鉴别和信息验签过程中,对 数 字 证 书 有 效 性 进 行 验 证,验 证 内 容 至 少 包 括CA签 名、证书有效期和证书状态。 6.2数字证书 6.2.1证书分类 按照数字证书的用途分为: a)注册证书:用于应用证书的申请、更新、作废以及注册证书的作废;b)应用证书:用于管控设施的数字身份认证鉴权和信息交互应用;c)注册CA证书:用于CA签发注册证书;d)应用CA证书:用于CA签发应用证书。 6.2.2证书结构 管控设施数字证书结构应符合附录B的规定,数据结构应符合附录C的规定。 6.2.3证书载体 6.2.3.1载体应采用灌封或有外壳的硬件密码模块形式,硬件密码模块应用接口见附录D。6.2.3.2硬件密码模块应具备SM2、SM3算法。6.2.3.3硬件密码模块能存储数字证书的数量应大于或等于30。 6.3证书应用接口 管控设施数字证书应用通信接口应符合 附 录E中E.1的 规 定,公 钥 读 取、证 书 写 入、证 书 查 询、证书删除、身份认证消息结构应符合E.2的规定,证书申请、更新、作废流程见附录F。 7验证方法 7.1验证环境 验证应具备以下环境: a)管控设施测试样品(简称测试样品)运行所需要的场地、供电、网络等;b)测试工具(测试终端、数字证书存储介质等)及测试程序软件;c)测试用注册证书、应用证书、CRL和CA证书文件。 注:测试终端安装测试程序软件和数字证书,用于与测试样品进行信息交互、文件传递、证书签发、结果显示等。 7.2证书结构验证 测试终端与测试样品建立网络连接后,测试终端按照E.2.6.1规定调用身份认证请 求,获 取 测 试 样品返回的身份认证响应,解析响应数据结构中的测 试 样 品 数 字 证 书,确 认 数 字 证 书 结 构 是 否 符 合6.2.2的规定。 7.3证书载体验证 7.3.1载体形式 目视检查测试样品的数字证书载体物理结构形式,确认是否符合6.2.3.1的规定。 7.3.2密码算法 审查硬件密码模块生产企业提供的产品技术规格说明书,确认硬 件 密 码 模 块 具 备 的 密 码 算 法 是 否符合6.2.3.2的规定。 7.3.3证书存储数量 测试终端与测试样品联机,按照E.2.5规 定 调 用 证 书 写 入 接 口,向 测 试 样 品 循 环(至 少30次)写 入数字证书,按照E.2.6规定调用证书查 询 接 口,查 询 测 试 样 品 已 存 储 证 书 数 量,确 认 已 存 储 的 证 书 数 量是否符合6.2.3.3的规定。 7.4身份认证验证 7.4.1双向身份认证 测试终端与测试样品建立网络连接后,测试终端按照E.2.8规定调用身份认证接口,分别使用有效的应用证书和无效的应用证书主动 发 起 双 向 身 份 认 证(双