C-V2X車聯(lián)網認證授權系統(tǒng)技術要求

1C-V2X車聯(lián)網認證授權系統(tǒng)技術要求本文件規(guī)定了C-V2X車聯(lián)網設備認證授權系統(tǒng)技術要求，包括系統(tǒng)架構、V2X設備認證與授權系統(tǒng)安全要求、V2X設備認證和V2X設備授權過程。本文件適用于指導C-V2X車聯(lián)網設備認證授權系統(tǒng)的設計、研發(fā)、測試、應用和部署等。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T16262(所有部分)信息技術抽象語法記法一(ASN.1)YD/T3957-2021基于LTE的車聯(lián)網無線通信技術安全證書管理系統(tǒng)技術要求IETFRFC3748可擴展認證協(xié)議(ExtensibleAuthenticationProtocol(EAP))ISO/IEC8825-7信息技術抽象語法記法一(ASN.1)編碼規(guī)則第7部分八位字節(jié)編碼規(guī)則(OER)(Informationtechnology--ASN.1encodingrules:SpecificationofOctetEncoding(GAA);GenericBootstrappingArchitecture(GBA))3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件安全關聯(lián)seourityassociations實現(xiàn)V2X設備與V2X服務實體之間的雙向認證，并在兩者之間建立安全通道的關聯(lián)方式。建立的安全關聯(lián)可以是HTTPS、TLS/TLCP、IPSec等。下列縮略語適用于本文件。AAA認證授權機構AuthenticationandAuthorizationAuthority2YD/Txxxxx—xxxx認證授權系統(tǒng)AKA抽象記法1ExtensibleAuthenticationPro通用引導架構GenericBootstrappingArchit路側設備TransportLayerCryptogrV2XDeviceEnrollmenV2X設備用戶識別模塊V2XEnd-EntitySubscriberIden5V2X設備認證授權系統(tǒng)概述——定義了一種基于可擴展身份認證協(xié)議(ExtensibleAuthenticationProtocol,EAP)的V2X設備統(tǒng)一認證框架?；谠摽蚣?，v2X服務實體可通過統(tǒng)一的接口獲得V2X設備認證實體對V2X設備的認證服務，并且V2X設備認證實體可使用其自定義的V2X設備認證機制認證V2X設備?！x了一種基于V2X設備用戶識別模塊(V2XEnd-EntitySubscriberIdentityModule,VIM)的設備認證機制?！x了一種基于LTE網絡通用引導架構(GeneralBootstrappingArchitecture,GBA)的認證機制?！x了一種V2X服務實體與V2X授權實體之間的數(shù)據(jù)接口本文件不限制Y2X應用系統(tǒng)使用其他V2X設備認證機制或V2X設備授權機制對其系統(tǒng)內的V2X設備進5.2參考模型3V2X認證授權機構(V2XAuthenticationandAuthorizationAuthority,AAA)負責V2X設備的認證和授權。Y2X設備認證授權系統(tǒng)(V2XAuthenticationandAuthorizationSystem,AAS)參考模型如圖1所示。該參考模型由如下實體構成：——V2X設備(V2XEnd-Entity,EE):為車聯(lián)網系統(tǒng)中的車載單元(OnBoardUnit,OBU)、路側單元(RoadSide處理V2X通信信息的設備，以及其他具有V2X通信能力的設備?！?V2X服務實體(V2XServiceEntity,SE):為車聯(lián)網系統(tǒng)中可向V2X設備提供某種服務的實體，例如負責車輛牌照發(fā)放和車輛檢測的交通管理機構、V2X證書簽發(fā)機構等。這些服務實體需要對V2X設備進行身份認證和/或從具有相關授權能力的實體獲得授權后才能向V2X設備提供服務?！猇2X設備認證實體(V2XAuthenticationEntity,AE):為車聯(lián)網系統(tǒng)中能夠認證V2X設備的實體，例如可對車輛前裝0BU進行認證的車輛制造商、可對車輛后裝OBU進行認證的特種/普通車輛營運公司/管理機構等—-V2X設備授權實體(V2XAuthorizationAuthority,AA):為車聯(lián)網系統(tǒng)中能夠向V2X服務實體提供V2X設備授權服務，證明V2X設備符合服務實體對V2X設備的某些性能或管理等方面的要求的實體，例如：車輛制造商向假名證書簽發(fā)機構證明車輛技術指標滿足車輛上路要求、特種車輛管理機構向應用證書簽發(fā)機構證明車輛已獲得相關資質等?！猇2X設備注冊實體(V2XEnd-EntityEnrollmentAuthority,EA):為車聯(lián)網系統(tǒng)中的V2XIdentity,VID),并可向V2X服務實體提供V2X設備注冊信息。V2X服務實體注冊實體認證實體A1-V2X認證授權機構(AAA)授權實體圖1V2X設備認證授權系統(tǒng)參考模型4V2X設備、V2X服務實體、V2X認證授權實體之間通過參考點進行數(shù)據(jù)交換?；诓煌恼J證和授權技術，在參考點上可定義不同的接口。車聯(lián)網設備認證授權系統(tǒng)參考模型定義了如下5個參考點?！?Al:V2X設備與V2X服務實體交互的參考點。V2X設備通過此參考點觸發(fā)認證和授權過程。V2X設備可通過此參考點向V2X服務實體提供認證和/或授權憑證。V2X設備與V2X服務實體可利用指定的密鑰材料建立安全關聯(lián)。V2X服務實體可通過此參考點向V2X設備提供服務——A2:V2X設備與V2X認證授權實體交互的參考點。V2X設備與V2X認證實體可通過此參考點進行雙向認證，并協(xié)商出可用于V2X設備與V2X服務實體建立安全關聯(lián)的密鑰。V2X授權實體可通過此參考點對V2X設備進行授權，例如頒發(fā)授權令牌?！狝3:V2X服務實體與V2X認證授權實體交互的參考點。V2X服務實體可通過此參考點向V2X認證實體發(fā)送設備認證請求和接收設備認證響應。V2X認證實體可通過此參考點向V2X服務實體提供用于與V2X設備建立安全關聯(lián)的密鑰。V2X服務實體通過此參考點向V2X授權實體發(fā)送V2X設備服務授權請求和接收V2X設備服務授權響應。V2X授權實體可通過此參考點向V2X服務實體提供用于驗證授權令牌的密鑰材料?！狝:V2X設備注冊實體與V2X認證實體交互的參考點。V2X認證實體通過此參考點向V2X設備注冊實體申請V2X設備注冊標識，并向V2X設備注冊實體提供用于V2X設備注冊的信息?！狝5:V2X設備服務實體與V2X注冊實體交互的參考點。V2X服務實體通過此參考點從V2X設備注冊實體獲取V2X設備注冊信息。6V2X設備認證授權系統(tǒng)安全要求V2X設備認證授權系統(tǒng)的安全要求包括機密性、完整性、可認證性和抗重放攻擊等，并要求防止用戶隱私信息泄露。6.2C-V2X消息安全要求6.2.1機密性要求V2X設備接入V2X設備認證授權系統(tǒng)過程中。根據(jù)需要可支持對消息的機密性保護，保證消息在傳輸時不被竊聽。V2X設備認證授權實體之間通信時，應采用密碼技術和安全協(xié)議，保證關鍵數(shù)據(jù)在傳輸過程中的機密性。V2X設備認證授權系統(tǒng)應保證關鍵數(shù)據(jù)在存儲過程中的機密性6.2.2完整性要求V2X設備接入V2X設備認證授權系統(tǒng)過程中，應支持對消息的完整性保護，防止消息被偽造、篡改。V2X設備認證授權實體之間通信時，應采用密碼技術和安全協(xié)議，保證關鍵數(shù)據(jù)在傳輸過程中的完整性。V2X設備認證授權系統(tǒng)應保證關鍵數(shù)據(jù)在存儲過程中的完整性。5V2X設備接入V2X設備認證授權系統(tǒng)過程中，應支持數(shù)據(jù)源認證，保證數(shù)據(jù)源頭的合法性，防止假冒或偽造的數(shù)據(jù)信息。V2X設備認證授權實體之間通信時，應執(zhí)行雙向認證，確認對方身份的合法性。6.2.4抗重放攻擊要求V2X設備接入V2X設備認證授權系統(tǒng)過程中，應支持對消息的抗重放保護V2X設備認證授權實體應防止將用戶隱私信息泄露給非授權實體，并防止內部或外部攻擊者竊取用戶隱私信息。本文件規(guī)定了3種V2X設備認證方法：——基于EAP的V2X設備統(tǒng)一認證框架：——基于VIM的V2X設備認證機制：7.2基于EAP的V2X設備統(tǒng)一認證框架V2X設備統(tǒng)一認證框架如圖2所示。注冊實體認證功能AAA認證實體V2X服務實體T圖2V2X設備統(tǒng)一認證框架6V2X設備統(tǒng)一認證框架包含如下功能實體：——V2X設備(V2XEnd-Entity,EE):—-V2X服務實體(V2XService—-V2X設備認證功能(V2XEnd-EntityAuthenticationFunction,AF);—-V2X設備認證實體(V2XEnd-FEntityAuthenticationEntity,AE);—-V2X設備注冊實體(V2XEnd-EntityEnrollmentAuthority,EA)。在V2X設備統(tǒng)一認證框架內，為了確保功能實體間數(shù)據(jù)交互的安全性，可采用物理環(huán)境安全、TLS/TLCP安全協(xié)議或專用的端到端安全連接等措施建立安全連接。7.2.2設備標識V2X設備注冊標識V2X設備注冊標識用于在一個V2X系統(tǒng)中唯一標識系統(tǒng)中的V2X設備。V2X設備注冊標識由V2X設備注冊實體分配給允許加入該車聯(lián)網系統(tǒng)的V2X設備。在一個車聯(lián)網系統(tǒng)中，V2X設備注冊標識在設備的整個注冊周期內不變。V2X設備硬件標識V2X設備硬件標識是由V2X設備制造商在V2X設備制造階段寫入V2X設備的能夠唯一標識所制造V2X設備的標識。V2X設備硬件標識在設備的整個生命周期內不變。V2X設備應用標識V2X設備應用標識是指在V2X設備認證過程中可唯一標識V2X設備的非V2X設備注冊標識和V2X設備硬件標識的總稱。V2X設備應用標識可以采用各種形式，例如：V2X設備證書、V2X設備證書的哈希值或V2X設備應用層用戶標識等均可作為V2X設備的應用標識。V2X設備認證標識V2X設備認證標識用于在一個V2X設備認證過程中唯一標識V2X設備?；诓捎玫腣2X設備認證機制，V2X設備認證標識可以是不同形式。例如：V2X設備硬件標識、V2X設備注冊標識或V2X設備應用標識。V2X設備(V2XEnd-Entity,EE)為車聯(lián)網系統(tǒng)中的車載單元(OnBoardUnit,OBU),路側單元 (RoadSideUnit,RSU)和V2X服務提供商(V2XServiceProvider,VSP)用于處理V2X通信信息的設備，以及其他具有V2X通信能力的設備。V2X服務實體V2X服務實體(V2XServiceEntity,SE)為車聯(lián)網系統(tǒng)中可向V2X設備提供某種服務的實體，例如：簽發(fā)車聯(lián)網安全證書的證書機構、管理車輛或V2X設備的管理機構和提供某種車聯(lián)網商業(yè)服務的商業(yè)機構等。V2X設備認證功能7V2X設備認證功能(V2XEnd-EntityAuthenticationFunction,AF)代表V2X服務實體與V2X設備和V2X設備認證實體交互，以完成對V2X設備的認證?；诓煌牟渴鸱绞?，V2X設備認證功能可位于V2X服務實體側或V2X設備認證實體側V2X設備認證實體V2X設備認證實體(V2XEnd-EntityAuthenticationEntity,AE)負責向V2X設備注冊實體申請V2X設備注冊標識：將設備認證標識信息(如設備硬件標識，設備注冊標識，V2X應用標識等)和設備認證機制寫進V2X設備。V2X設備認證實體提供V2X設備認證服務。其可以通過V2X設備認證功能與V2X設備交互以完成V2X設備的認證：或者向V2X設備認證功能提供認證V2X設備的認證向量，然后由V2X設備認證功能與V2X設備交互以完成V2X設備的認證V2X設備認證實體可自行定義V2X設備的認證機制，例如：基于對稱密鑰的認證機制、基于非對稱密鑰的認證機制或基于其他認證方法的認證機制等基于V2X設備的產品特性、應用或部署情況，V2X設備認證實體可由V2X設備制造商或V2X設備運維實體承擔，例如：城市道路設施管理機構、高速公路管理機構、特種運輸車輛管理機構等。針對一個V2X設備，可能會有多個V2X設備認證實體為其提供不同維度的認證服務。例如：V2X設備制造商可提供設備本身的身份認證服務、V2X設備運維實體可對其運維域內的V2X設備提供身份認證服務。V2X設備注冊實體V2X設備注冊實體(V2XEnd-EntityEnrollmentAuthority,EA)負責向欲加入一個車聯(lián)網系統(tǒng)Identity,VID),并可存儲設備的注冊信息以供被授權的實體查詢。V2X設備注冊信息可基于系統(tǒng)的實際需要進行設置，例如：設備的注冊標識、類別(如OBU、RSU等)、硬件標識(設備生產商自行定義的設備標識)、應用范圍、入網許可、有效時間，以及可以認證V2X設備的V2X設備認證實體的地址等信息。V2X設備認證實體通過該接口向V2X設備注冊實體申請V2X設備注冊標識，完成V2X設備的注冊過程。V2X服務實體通過該接口從V2X設備注冊實體獲取設備注冊信息V2X設備通過該接口與V2X服務實體交互，利用V2X認證實體提供的安全免證進行雙向認證并建立安全關聯(lián)，然后進行服務特定的數(shù)據(jù)交換。V2X設備通過該接口與V2X設備認證功能交互，完成設備認證過程。V2X設備認證實體通過該接口將設備認證標識和設備認證機制寫入V2X設備。本文件不規(guī)定用于V2X設備認證的設備認證標識的形式和與之綁定的V2X設備認證機制V2X服務實體通過該接口請求V2X設備認證功能認證指定的V2X設備，獲得與V2X設備建立安全關聯(lián)的密鑰。V2X設備認證功能通過該接口與V2X設備認證實體進行交互，完成V2X設備認證實體認證V2X設備過程中的轉發(fā)工作，并獲得認證結果：或者直接從V2X設備認證實體獲取認證V2X設備的認證材料，例如認證V2X設備的認證向量。7.2.5V2X設備注冊流程V2X設備注冊標識申請流程如圖3所示。注冊實體注冊實體1.設備注冊請求2.設備注冊3.設備注冊響應圖3設備注冊管理流程1.V2X設備認證實體(設備制造商或設備運維實體)向V2X設備注冊實體發(fā)送設備注冊請求。請求中應包含有設備硬件標識、設備類別(如OBU、RSU等)和設備認證實體的URL地址。申請中還可包含有V2X設備注冊所需要的其他信息，例如設備的生產日期、有效期、適用范圍、技術參數(shù)等。2.V2X設備注冊實體基于V2X設備認證實體提供的信息確定該V2X設備是否符合注冊標準，然后為該設備分配能唯一標識該設備的V2X設備注冊標識(V2XEnd-EntityEnrollmentID,VD)。V2X設備注冊實體存儲設備注冊信息，完成設備的注冊過程。V2X設備注冊信息應包含有設備注冊標識、設備硬件標識、設備的類別、認證設備的地址?；谙到y(tǒng)雷求，V2X設備注冊信息可包含其他信息，例如設備的生產日期、有效期、適用范圍和技術參數(shù)等設備信息。V2X設備注冊信息還可包含有設備注冊實體或其他授權實體提供的授權信息，例如設備在某些應用領域的準入信息等。3.V2X設備注冊實體向V2X設備認證實體發(fā)送設備注冊響應。響應中應包含有V2X設備注冊實體分配的V2X設備注冊標識。V2X設備認證實體存儲V2X設備注冊標識，并使之與V2X設備硬件標識相關聯(lián)。本文件不對V2X設備注冊系統(tǒng)的實現(xiàn)和適用范圍做規(guī)定，例如：可以以國家為單位設立V2X設備注冊系統(tǒng)，也可以以地區(qū)、應用領域或應用系統(tǒng)為單位設立V2X設備注冊系統(tǒng)。7.2.6V2X設備統(tǒng)一認證流程(backendauthenticat分配V2X設備注冊標識，存儲V2X設備注冊信息，并將V2X設備注冊標識提供給V2X設備認證實體。申請V2X設備注冊標識的具體過程參見7.2.5節(jié)。標識等)和認證機制寫入V2X設備。本文件不規(guī)定此步驟的具體實現(xiàn)方法3.V2X設備向V2X設備服務實體發(fā)送V2X服務請求。基于應用系統(tǒng)的設計，請求可包含有V2X設備認證標識(如V2X設備硬件標識、V2X設備注冊標識、V2X應用標識等),所請求的V2X服務信息(如V2X服務代碼、代表特定V2X應用的訪問地址等),V2X設備認證信息(如用于V2X設備與V2X服務實體之間建立安全關聯(lián)的共享密鑰標識、簽發(fā)給V2X設備的證書、V2X設備認證實體的地址以及其他用于V2X設備認證過程的信息等),V2X設備服務授權信息(例如V2X服務授權令牌等)等。本文件不規(guī)定此步驟的具體實現(xiàn)方法和包含的參數(shù)。若V2X設備服務實體不需要與Y2X設備注冊實體交互以獲取V2X設備注冊信息(例如V2X設備認證實體的地址),則跳過步驟4至步驟5。4.V2X設備服務實體向V2X設備注冊實體發(fā)送SE-EAV2X設備注冊信息請求。請求中應包含V2X設備注冊標識或V2X設備硬件標識。(參見附錄A.3.3)5.V2X設備注冊實體根據(jù)V2X設備認證標識信息檢索V2X設備注冊信息，并將V2X設備注冊信息通過EA-SEV2X設備注冊信息響應發(fā)送給V2X服務實體。(參見附錄A.3.4)6.V2X服務實體向V2X設備認證功能發(fā)送SE-AFV2X設備認證服務請求。請求中應包含V2X設備認證標識(如V2X設備注冊標識、V2X設備硬件標識、V2X設備應用標識):請求中可包含由V2X設備提供的共享密鑰標識(keyid):請求中可包含V2X設備認證實體的地址。請求中還可包含由V2X設備和/或V2X服務實體提供的其他與V2X設備認證或授權相關的信息(如公鑰證書、授權令牌),以及V2X服務信息(如V2X服務代碼)等擴展信息；本文件規(guī)定了對這部分信息的傳輸方法，但對其使用不做具體規(guī)定。(參見附錄A.3.6)若采用基于EAP的認證方式，但V2X服務實體提供的V2X設備認證標識不是用于EAP過程的標識。則V2X設備認證功能需要執(zhí)行步驟7至步驟8以便獲得用于EAP過程的設備認證標識，否則跳過步驟Request/Identity消息。(參見附錄A.3.12)9.V2X設備認證功能向V2X設備認證實體發(fā)送AF-EAV2X設備認證請求?；谶x擇的認證方式請求中可包含：·若執(zhí)行基于EAP的認證過程，則請求中應包含EAPResponse/Identity消息?！と魣?zhí)行基于認證向量的認證過程，則請求中應包含V2X設備認證標識?！と魣?zhí)行基于共享密鑰的認證過程，則請求中應包含共享密鑰標識。請求中還可包含有認證，授權和V2X服務代碼等擴展信息，本文件不規(guī)定V2X認證實體如何使用這些信息。(參見附錄A.3.9)10.V2X設備認證實體基于接收到的信息決定是否繼續(xù)V2X設備認證過程。若允許，則繼續(xù)執(zhí)行下面的認證操作：否則，拒絕本次認證操作并執(zhí)行步驟15?！と魣?zhí)行基于EAP的認證過程，則V2X設備認證實體利用V2X設備的EAP標識信息檢索認證V2X設備的認證材料，然后生成認證V2X設備的認證信息，并將該信息封裝成EAPRequest消息。·若執(zhí)行基于認證向量的認證過程，則V2X設備認證實體利用V2X設備認證標識檢索認證V2X設備的密鑰，并生成認證V2X設備的認證向量。本文件不規(guī)定如何生成認證向量、認證向量的格式和認證機制。·若執(zhí)行基于共享密鑰的認證過程，則V2X設備認證實體獲取由共享密鑰標識指定的共享密鑰。本文件不規(guī)定共享密鑰的生成機制。V2X設備認證實體將EAPRequest消息，認證向量，或共享密鑰通過EA-AFV2X設備認證響應發(fā)送給V2X設備認證功能。(參見附錄A.3.10)11.V2X設備認證功能基于采用的認證方式執(zhí)行如下操作：·若執(zhí)行基于EAP的認證過程，則V2X設備認證功能從EA-AFV2X設備認證響應中獲取·若執(zhí)行基于認證向量的認證過程，則V2X設備認證功能從EA-AFV2X設備認證響應中獲取井存儲認證向量，然后計算需要發(fā)送給V2X設備的認證信息，并將該信息封裝成EAPRequest消息。·若執(zhí)行基于共享密鑰的認證過程，則V2X設備認證功能從EA-AFV2X設備認證響應中獲取共享密鑰，然后執(zhí)行步驟17。V2X設備認證功能將EAPRequest消息通過AF-EEV2X設備認證請求發(fā)送給V2X設備。(參見12.V2X設備執(zhí)行相關認證操作，并將執(zhí)行結果封裝成EAPResponse消息，然后將該消息通過EE-AFV2X設備認證響應發(fā)送給V2X設備認證功能。(參見附錄A.3.13)13.V2X設備認證功能基于采用的認證方式執(zhí)行如下操作：·若執(zhí)行基于認證向量的認證過程，則執(zhí)行步驟14。14.基于采用的認證方式執(zhí)行如下操作：·若執(zhí)行基于EAP的認證過程，如果需要，V2X設備認證實體和V2X設備可通過重復步驟10至步驟13繼續(xù)交換EAP消息?！と魣?zhí)行基于認證向量的認證過程，如果需要，V2X設備認證功能和V2X設備可通過重復步驟11至步驟12繼續(xù)交換EAP消息。完成后，執(zhí)行步驟16。15.V2X設備認證實體通過AE-AFV2X設備認證響應將認證結果發(fā)送給Y2X設備認證功能。若V2X設備通過認證，則V2X設備認證陶應中應包含EAPSuccess消息，否則應包含EAPFailure消息。若在認證過程中V2X設備認證實體和V2X設備還協(xié)商出用于在V2X設備和V2X服務實體之間建立安全關聯(lián)的共享密鑰(key)和密鑰標識(keyid),則V2X設備認證響應還應包含該密鑰和密鑰標識。(參見附錄A.3.10)16.基于采用的認證方式，V2X設備認證功能執(zhí)行如下操作·若執(zhí)行基于EAP的認證過程，則V2X設備認證功能從EA-AFV2X設備認證響應中獲取EAPSuccess消息或EAPFailure消息，以及用于在V2X設備和V2X服務實體之間建立安全關聯(lián)的共享密鑰(若存在)和密鑰標識(若存在)。·若執(zhí)行基于認證向量的認證過程，則V2X設備認證功能依據(jù)認證結果生成EAPSuccess消息或EAPFailure消息，并可在需要的情況下生成用于在V2X設備和V2X服務實體之間建立安全關聯(lián)的共享密鑰(key)和密鑰標識(keyid)。V2X設備認證功能將EAPSuccess消息或EAPFailure消息，以及密鑰標識(若需要)通過圖6基于VIM的V2X設備認證流程1.認證V2X設備時，V2X設備認證實體利用V2X設備注冊標識獲取V2X設備的V2X設備認證根密鑰，然后生成一個V2X設備認證向量AV(RAND,AUTN,XRES,Ko)。V2X設備認證向量中各參數(shù)的意義如下：——隨機數(shù)(RandonChallenge,RAND):V2X設備認證實體為此次V2X設備認證生成的一個隨機數(shù)?！J證令牌(AuthenticationToken,AUTN):消息認Code,MAC),用于VIM認證V2X設備認證實體和確保隨機數(shù)在傳輸過程中未被篡改?！J證預期響應(ExpectedResponse,XRES):V2X設備認證實體期望V2X設備響應的認證數(shù)據(jù)?！ㄐ虐踩P聯(lián)密鑰(CommunicationSecurityAssociationKey,Ko):認證成功后?？蓪⒃撁荑€提供給V2X服務實體用于與V2X設備建立安全關聯(lián)。V2X設備認證向量的生成見節(jié)。2.V2X設備認證實體向V2X設備發(fā)送認證請求，請求中應包含有RAND和AUTN。4.VIM利用認證根密鑰和RAND驗證AUTN,并生成Kc。AUTN的驗證方法和Kc的生成見節(jié)5.VIM利用認證根密鑰和RAND生成RES。RES的生成方法見節(jié)。7.V2X終端將RES返回給V2X設備認證實體。8.若RES與XRES相同，則V2X設備被認證7.3.4VIM操作相關數(shù)據(jù)元素解釋VIM相關的數(shù)據(jù)元素如表1所示。表1VIM相關的數(shù)據(jù)元素K防重放序列號(SequenceKYD/Txxxxx—xxxxf5g(RAND),f5是密鑰變換算法，(KDF)生成，SM4算法V2XV2X設備認證向量生成方法如圖7所示。KAV:=RAND|XRESKamlIAXRES1.選擇密鑰K,確定AMF(目前默認為00);2.選擇保存的SQN',向上增加得到防重放序列號SQN:6.按照CK=f3(RAND)計算得到CK;7.按照IK=f4。(RAND)計算得到IK:8.按照AK=f5。(RAND)計算得到AK;9.按照自定義的KDF計算得到Kc:11.按照AV=RAND|XRES||KcIIAUTN計算得到AV:13.如需生成認證向量組AV(…n),重復執(zhí)行步驟2至步驟11。V2X設備認證實體和VIM兩端對每一個設備的SQN單獨維護，V2X設備認證實體中的SQN每次自加1則生成一個新的SQN,每個SQN可以生成一個新的認證向量AV。VIM也需要追蹤計數(shù)器SQN,超出正常范圍的SQN生成的認證向量AV不予支持，以防止網絡鑒權認證的數(shù)據(jù)重放攻擊行為。同步防丟，不超過6次認為正確。AMF規(guī)則：00保留在AMF中保留密鑰序號、算法選擇的編碼方案。AUTN驗證方法如圖8所示。SQNOAKAMF田K322.解析AUTN得到AMF,使用AMF密鑰指示器獲取密鑰K:4.使用K對隨機數(shù)RAND進行SM4ECB模式加密，取前6字節(jié)得5.解析AUTN得到SQN田AK,與AK異或得到認證端防重放序列6.比對VIM模塊中保存的SON'與認證端防重放序列號SQN,若SQN'<SQN則繼續(xù)剩余步驟，將SON’更新為SQN,否則驗證失敗(可以設置需要SONSQN'+6,避免可以多次重試):7.按照XMAC=flg(SQN||RAND||AMF)計算得8.比對XMAC與MAC是否一致，不一致則驗證失敗。7.4基于GBA的V2X設備認證機制GBA是一種基于4G/5G的通用認證架構，具體遵循3GPPTS33.220。利用標準的認證與密鑰協(xié)商(AKA)機制，GBA可在V2X設備(EE)與網絡之間實現(xiàn)雙向身份認證及密鑰共享，解決V2X設備(EE)與V2X服務實體(SE)之間的相互認證及安全通信問題，為應用層端到端通信提供安全保障。基于GBA的認證授權機構包括BSF、NAF/AP等核心網元，它與V2X設備，V2X服務實體及V2X服務授權實體交互，實現(xiàn)設備身份認證、業(yè)務授權及安全通信。本文件優(yōu)選采用GBAU方式實現(xiàn)。C3-NAF/AP基于GBA的認證授權機構(AAA)V2X服務實體圖9基于GBA的設備認證參考模型7.4.2認證及授權流程圖12V2X服務授權流程1.V2X服務實體向V2X服務授權實體發(fā)送V2X服務授權請求。服務授權請求中應包含有V2X設備標識信息和請求授權的權限描述信息。服務授權請求中可包含有V2X設備的授權憑證等擴展信息，本文件不規(guī)定如何使用擴展信息。(參見附錄A.3.15)2.V2X服務授權實體檢查V2X服務實體發(fā)送的V2X服務授權請求，確定是否允許V2X設備的服務請求，并將授權結果通過V2X服務授權響應發(fā)送給V2X服務實體。(參見附錄A.3.16)8.3接口和參數(shù)說明8.3.1V2X服務實體與V2X授權實體之間的接口和參數(shù)說明該接口用于V2X服務實體向V2X授權實體請求V2X服務授權。請求類型：HTTPPOST或HTTPSPOSTHTTPContent-Type:application/octet-sHTTPrequestbody為SeAaAuthorizHTTPresponsebody為AaSeAuthorizationResponse,附錄A(資料性附錄)C-V2X車聯(lián)網認證授權系統(tǒng)接口的數(shù)據(jù)格式本附錄規(guī)定V2X設備與認證授權系統(tǒng)(AuthenticationandAuthorizationSystem互時采用的協(xié)議數(shù)據(jù)單元(ProtocolDataUnit,PDU),使用抽象語法記法一(AbstractSyntaxNotation1,ASN.1)對具體數(shù)據(jù)結構進行描述。本文件中定義的數(shù)據(jù)結構應符合GB/T16262(所有部分)的要求，采用IS0/IEC8825-7規(guī)定的正則八位字節(jié)編碼規(guī)則(CanonicalOctetEncodingRules,COER)進行編碼。A.2基本數(shù)據(jù)類型A.2.1數(shù)據(jù)結構定義Uint32::INTEGER(0..42949672ffff--(hex)ffffffffff該數(shù)據(jù)類型給出自2004年1月1日00:00:00UTC以來的秒數(shù)(TAI)。UTF8StringSIZE(0..255)UTF8String(STZE(0..255--enrollmentId:V2X設備注冊標識?！猦ardwareId:V2X設備硬件標識?！猘pplicationId:V2XA.2.4DataElementUTF8String(SIZE(0..255)此數(shù)據(jù)結構定義了一個數(shù)據(jù)元素?！猲ame:數(shù)據(jù)的名稱。例如V2X設備注冊標識、V2X設備硬件標識、V2X設備類型、V2X設備生產日期等。SequenceOfDataElement::=SEQUENCEOF此數(shù)據(jù)結構描述一個數(shù)據(jù)元素列表該數(shù)據(jù)結構指示所應用的領域。本文件中采用十進制方式對AID取值進行編碼。A.2.6AidSspAidSsp::=SEQUaidSspServiceSpecificPermissionsSequenceOFAidSsp::=SEQUENCEServiceSpecificPermissions字段，則表示具有與該Aid關聯(lián)的默認權限。A.2.7ServiceSpecificPermissionsServiceSpecificPermissions:opaqueOCTETSTRIbitnapSspBitmapSsp該數(shù)據(jù)結構表示與AidSsp中的給定條目相關的服務特定許可(ServiceSpecificPermission,SSP)。SSP的含義取決于相關聯(lián)的Aid,它可以是AID特定的八位字節(jié)串或比特位圖。BitmapSsp11=OCTETSTRING(SIZE(該數(shù)據(jù)結構表示SSP的比特位圖。AaasPdu::=SEQUENCE{YD/Txxxxx—xxxxse-afSeAfInterfacePaf-acAfAeInterfase-aaSeAaInterfa此數(shù)據(jù)結構是V2X設備與AAAS進行數(shù)據(jù)交互的主數(shù)據(jù)結構，具體包括：--version:本數(shù)據(jù)結構版本號，本文件中版本號為1?！猻e-ea:定義了V2X服務實體與V2X設備注冊實體之間進行數(shù)據(jù)交互的接口數(shù)據(jù)結構，此接口為邏輯接口。——se-af:定義了V2X服務實體與V2X設備認證功能之間進行數(shù)據(jù)交互的接口數(shù)據(jù)結構，此接口為邏輯接口?！猘f-ae:定義了V2X設備認證功能與V2X認證實體之間進行數(shù)據(jù)交互的接口數(shù)據(jù)結構，此接口為邏輯接口?！?af-ee:定義了V2X設備認證功能與V2X設備之間進行數(shù)據(jù)交互的接口數(shù)據(jù)結構，此接口為邏輯接口。——se-aa:定義了V2X服務實體與V2X設備授權實體之間進行數(shù)據(jù)交互的接口數(shù)據(jù)結構，此接口為邏輯接口。{eaSeEnrollmentInfoReEaSeEnrollmentInfoResp此數(shù)據(jù)結構是V2X服務實體與V2X設備注冊實體之間所有數(shù)據(jù)交互的主結構?！?seEaEnrollmentInfoRequest:V2X服務實體向V2X設備注冊實體發(fā)送的V2X設備注冊信息請——eaSeEnrollmentInfoResponse:V2X設備注冊實體向V2X服務實體返回的V2X設備注冊信息A.3.3SeEaEnrollmeSeEaEnrollmentInfoRequest::=versionUintgenerationTimeT—-version:數(shù)據(jù)結構版本號，在本文件中為1?！?generationTime:——deviceId:V2X設備標識?！?enrollmentDataNames:請求的V2X設備注冊信息的數(shù)據(jù)名稱列表。列表中DataElementname字段存儲所請求的數(shù)據(jù)名稱，value字段為空。本文件規(guī)定并保留如下用于描述V2X設·V2XEnrollmentID:此字符串為V2X設備注冊標識的名稱?！2XHardwareID:此字符串為V2X設備硬件標識的名稱·V2XAeUrl:此字符串為V2X設備認A.3.4EaSeEnrollmentInfoResEaSeEnrollmentInfoResUint8(1).SequenceOfDataElement—-version:數(shù)據(jù)結構版本號，在本文件中為1。——generationTime:數(shù)據(jù)結構生—-enrollmentData:V2X設備注冊信息，其中包含有請求的V2X設備注冊信息數(shù)據(jù)的列表。列——resultCode:請求執(zhí)行結果：0:注冊信息請求執(zhí)行成功。1:不能識別的設備標識。2:不能識別的請求。A.3.5SeAfInterfacePdu{afSeAuthenticationReAFSeAuthenticationRespon此數(shù)據(jù)結構是V2X服務實體與V2X設備認證功能之間所有數(shù)據(jù)交互的主結構?！猻eAfAuthenticationRequest:V服務實體向V2X設備認證功能發(fā)送的V2X設備認證服務請—-afSeAuthenticationResponse:V服務功能向V2X服務實體返回的V2X設備認證服務響應。A.3.6SeAfAuthenticationRequestSeAfAuthenticationRequest::=SEQUEUTF8String(SIZE(0..511))OPTIONSequenceOfDataElement此數(shù)據(jù)結構描述了V2X服務實體向V2X設備認證功能發(fā)送的V2X設備認證服務請求所包含的參數(shù)—-version:本數(shù)據(jù)結構版本號，在本文件中版本號為1?！猤enerationTime:數(shù)據(jù)結構生成時間?！猟eviceld:V2X設備標識?！猭eyId:安全關聯(lián)密鑰標識?！猘eUrl:V2X設備認證實體地址。—-extensionData:用于傳送擴展信息，本文件對傳送的內容不做規(guī)定。A.3.7AfSeAuthenticationRespAfSeAuthenticationResponse::=SEQUEversionUint8(1),generationTimekeyOpaqueOPTIONAL,此數(shù)據(jù)結構描述了V2X服務功能向V2X服務實體返回的V2X設備認證服務響應所包含的參數(shù)。--version:本數(shù)據(jù)結構版本號，本文件中版本號為1?！猤enerationTime:數(shù)據(jù)結構生成時間?！?key:安全關聯(lián)密鑰?！猭eyId:安全關聯(lián)密鑰標識?！?extensionData:用于傳送擴展信息，本文件對傳送的內容不做規(guī)定。——resultCode:認證實體地址請求執(zhí)行結果：0:認證成功。1:不能識別的設備標識。2:不能識別的請求。3:不能識別的密鑰標識。A.3.8AfAelnterfaceAFAeInterfacePdu::=CHOafAeAuthenticationRacAfAuthenticationRe{ATAeAuthenticationRequeAeAfAuthenticationRespon此數(shù)據(jù)結構是V2X設備認證功能與V2X設備認證實體之間所有數(shù)據(jù)交互的主結構?！狝fAeAuthenticationRequest:V2X設備認證功能向V2X設備認證實體發(fā)送的V2X設備認證請——AeAfAuthenticationResponse:V2X設備認證實體返回給V2X設備認證功能的V2X設備認證A.3.9AfAeAuthenticationRequestAfAeAuthenticationRequest::SEQUEN此數(shù)據(jù)結構描述了V2X設備認證功能向V2X設備認證實體發(fā)送的V2X設備認證請求所包含的參數(shù)?！?version:本數(shù)據(jù)結構版本號，本文件中版本號為1。—-generationTime:數(shù)據(jù)結構生成時間?！猟eviceId:V2X設備標識?！猭eyId:安全關聯(lián)密鑰標識。YD/Txxxxx—xxxx—-extensionData:用于傳送擴展信息，本文件對傳送的內容不做規(guī)定。A.3.10AeAfAuthenticationResponseAeAFAuthenticationResponse::=SEQUEgenerationTimeTime3resultCodeUint8(1),此數(shù)據(jù)結構描述了V2X設備認證實體返回給V2X設備認證功能的V2X設備認證響應所包含的參數(shù)?！獀ersion:本數(shù)據(jù)結構版本號，本文件中版本號為1?！?generationTime:數(shù)據(jù)結構生成時間?！猘uthenticationVector:認證向量?！?key:安全關聯(lián)密鑰.——keyId:安全關聯(lián)密鑰標識?！猠xtensionData:用于傳送擴展信息，本文件對傳送的內容不做規(guī)定?！猺esultCode:認證請求執(zhí)行結果：0:請求被正確