TTAF 191-2023 車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證安全技術(shù)要求

ICS33.050

CCSM30

團(tuán)體標(biāo)準(zhǔn)

T/TAF191—2023

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證安全技術(shù)要求

Securitytechnicalrequirementsforuserauthenticationofconnected

vehicleservices

2023-11-24發(fā)布2023-11-24實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF191—2023

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證安全技術(shù)要求

1范圍

本文件規(guī)定了適用于車聯(lián)網(wǎng)服務(wù)的用戶身份認(rèn)證系統(tǒng)的安全技術(shù)要求，主要內(nèi)容包括技術(shù)架構(gòu)、認(rèn)

證流程、安全風(fēng)險(xiǎn)與目標(biāo)、安全技術(shù)要求等方面。

本文件適用于車主實(shí)名認(rèn)證、車主無感支付、車輛開鎖等車聯(lián)網(wǎng)服務(wù)場(chǎng)景中，用戶身份認(rèn)證相關(guān)的

設(shè)計(jì)、部署和測(cè)試等。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T40660-2021信息安全技術(shù)生物特征識(shí)別信息保護(hù)基本要求

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

車聯(lián)網(wǎng)服務(wù)connectedvehicleservices

通過人、車、路與網(wǎng)之間的實(shí)時(shí)感知與協(xié)同實(shí)現(xiàn)智能交通管理、智能動(dòng)態(tài)信息服務(wù)和智能車輛控制

服務(wù)，包括車主實(shí)名認(rèn)證、車主無感支付、車輛開鎖等應(yīng)用場(chǎng)景。

3.2

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證userauthenticationofconnectedvehicleservices

車聯(lián)網(wǎng)服務(wù)應(yīng)用場(chǎng)景中，用戶、終端設(shè)備、車輛與車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)、車聯(lián)網(wǎng)身份認(rèn)證網(wǎng)絡(luò)及第三方

應(yīng)用之間，通過數(shù)字身份標(biāo)識(shí)進(jìn)行身份認(rèn)證，保證車輛開鎖、無感支付等業(yè)務(wù)的安全進(jìn)行。

4縮略語

下列縮略語適用于本文件。

ETC：電子收費(fèi)系統(tǒng)（ElectronicTollCollection）

NFC：近場(chǎng)通信（NearFieldCommunication）

SE：安全單元（SecureElement）

TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）

TSP：汽車遠(yuǎn)程服務(wù)提供商（TelematicsServiceProvider）

UWB：超寬帶（UltraWideBand）

1

T/TAF191—2023

5總體架構(gòu)

5.1技術(shù)架構(gòu)

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，用戶主要包括使用車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證服務(wù)的車主、用

車人等車輛使用相關(guān)人員。車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景所具備的技術(shù)架構(gòu)參考實(shí)現(xiàn)如圖1所示。

圖1車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證技術(shù)架構(gòu)參考實(shí)現(xiàn)

該技術(shù)架構(gòu)參考實(shí)現(xiàn)主要包括移動(dòng)網(wǎng)絡(luò)、車聯(lián)網(wǎng)身份認(rèn)證網(wǎng)絡(luò)、車內(nèi)網(wǎng)絡(luò)、車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)與第三

方業(yè)務(wù)應(yīng)用五個(gè)部分，不同部分之間通過短距離或遠(yuǎn)距離通信方式進(jìn)行通信與數(shù)據(jù)交換。其中虛線表示

短距離通信方式，例如NFC、UWB、藍(lán)牙等；實(shí)線表示遠(yuǎn)距離通信方式，例如WiFi、蜂窩網(wǎng)等。

移動(dòng)網(wǎng)絡(luò)中主要包含智能終端設(shè)備及其通信網(wǎng)絡(luò)，智能終端設(shè)備在系統(tǒng)中是用戶與認(rèn)證系統(tǒng)交互的

唯一接口。

車聯(lián)網(wǎng)身份認(rèn)證網(wǎng)絡(luò)主要包含車聯(lián)網(wǎng)數(shù)字身份平臺(tái)等，車聯(lián)網(wǎng)數(shù)字身份平臺(tái)對(duì)移動(dòng)網(wǎng)絡(luò)中產(chǎn)生的數(shù)

字身份標(biāo)識(shí)進(jìn)行加解密、二次運(yùn)算等操作。

車內(nèi)網(wǎng)絡(luò)主要包括車內(nèi)安全模塊，例如SE、TEE或其他具備相同安全功能的安全部件。車內(nèi)網(wǎng)絡(luò)主

要對(duì)數(shù)字身份標(biāo)識(shí)進(jìn)行安全存儲(chǔ)并提供硬件加解密接口，供車內(nèi)應(yīng)用調(diào)用。

車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)主要包括車聯(lián)網(wǎng)服務(wù)平臺(tái)、用戶身份認(rèn)證安全網(wǎng)關(guān)等。車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)主要為車企

提供的應(yīng)用服務(wù)，例如查詢車輛唯一識(shí)別號(hào)、管理鑰匙數(shù)據(jù)等。

第三方業(yè)務(wù)應(yīng)用主要包括加油機(jī)、充電樁、ETC路側(cè)單元等。

其中，將車聯(lián)網(wǎng)數(shù)字身份平臺(tái)和車聯(lián)網(wǎng)服務(wù)平臺(tái)統(tǒng)稱為后臺(tái)服務(wù)器。

5.2應(yīng)用場(chǎng)景

2

T/TAF191—2023

用戶在注冊(cè)開通車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證服務(wù)后，其主要應(yīng)用場(chǎng)景包括車主實(shí)名認(rèn)證、車主無感支

付、車輛開鎖等。

a)車主實(shí)名認(rèn)證：利用車聯(lián)網(wǎng)數(shù)字身份平臺(tái)，對(duì)車主或車輛使用者進(jìn)行實(shí)名認(rèn)證及電子證照驗(yàn)證

等；

b)車主無感支付：利用車聯(lián)網(wǎng)數(shù)字身份平臺(tái)，第三方業(yè)務(wù)應(yīng)用（ETC、充電樁、加油機(jī)等）基于

身份認(rèn)證自動(dòng)識(shí)別車輛和車主信息，實(shí)現(xiàn)自動(dòng)結(jié)算、離場(chǎng)自動(dòng)扣除等服務(wù)；

c)車輛開鎖：基于身份認(rèn)證實(shí)現(xiàn)無鑰匙開鎖。

6安全風(fēng)險(xiǎn)

6.1概述

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證是在用戶、終端設(shè)備、車輛與車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)、車聯(lián)網(wǎng)身份認(rèn)證網(wǎng)絡(luò)及第

三方應(yīng)用之間通過數(shù)字身份標(biāo)識(shí)在各業(yè)務(wù)流程中進(jìn)行的身份認(rèn)證。身份認(rèn)證過程中，可能存在非法用戶

使用車聯(lián)網(wǎng)服務(wù)、用戶數(shù)據(jù)被竊取、泄露或篡改等風(fēng)險(xiǎn)。車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證安全風(fēng)險(xiǎn)具體體現(xiàn)在

身份識(shí)別、認(rèn)證過程、后臺(tái)服務(wù)器、網(wǎng)絡(luò)和個(gè)人信息等方面。

6.2身份鑒別

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中的用戶身份識(shí)別可能存在的安全風(fēng)險(xiǎn)，主要包括口令泄露、口

令被偽造、被重放、生物特征信息被竊取等。

6.3后臺(tái)服務(wù)器

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，后臺(tái)服務(wù)器可能受到的安全風(fēng)險(xiǎn)主要包括非授權(quán)物理訪問、

非授權(quán)遠(yuǎn)程訪問、信息泄露、信息破壞等。

6.4網(wǎng)絡(luò)

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，可能存在的網(wǎng)絡(luò)風(fēng)險(xiǎn)包括網(wǎng)絡(luò)傳輸數(shù)據(jù)被非法讀取或篡改、

網(wǎng)絡(luò)數(shù)據(jù)包或報(bào)文被重放等。

6.5數(shù)據(jù)和個(gè)人信息

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，終端設(shè)備和車輛系統(tǒng)中存儲(chǔ)和傳輸?shù)纳矸菡J(rèn)證相關(guān)的數(shù)據(jù)和

個(gè)人信息可能受到的安全風(fēng)險(xiǎn)包括身份認(rèn)證相關(guān)個(gè)人信息泄露、密鑰泄露、身份偽造等。

7安全技術(shù)要求

7.1身份鑒別安全

7.1.1基本要求

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，各主體之間建立通信信道時(shí)，應(yīng)具備雙向認(rèn)證機(jī)制，保證通

信雙方身份的真實(shí)性。

7.1.2口令

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，若使用口令，應(yīng)滿足以下要求：

3

T/TAF191—2023

a)身份鑒別口令應(yīng)具備一定的復(fù)雜度；

b)應(yīng)提供身份鑒別口令多次驗(yàn)證失敗的處理功能；

c)應(yīng)采取措施保證各主體間傳輸口令的保密性、完整性和抗重放性。

7.1.3生物特征識(shí)別

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，若采用生物特征識(shí)別，應(yīng)滿足以下要求：

a)應(yīng)滿足GB/T40660—2021中對(duì)生物特征識(shí)別信息的要求；

b)針對(duì)本地生物特征識(shí)別，應(yīng)同時(shí)滿足以下要求：

1)應(yīng)提供生物特征數(shù)據(jù)連續(xù)識(shí)別失敗的處理機(jī)制；

2)應(yīng)加密存儲(chǔ)生物特征數(shù)據(jù)。

c)針對(duì)遠(yuǎn)程生物特征識(shí)別，應(yīng)同時(shí)滿足以下要求：

應(yīng)加密傳輸生物特征識(shí)別數(shù)據(jù)，并具有重放保護(hù)能力。

7.2后臺(tái)服務(wù)器安全

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，后臺(tái)服務(wù)器應(yīng)滿足以下要求：

a)后臺(tái)服務(wù)器應(yīng)具備訪問權(quán)限控制功能，防止越權(quán)訪問；

b)后臺(tái)服務(wù)器應(yīng)保證密鑰在生成、傳輸、存儲(chǔ)、使用、注銷和更新時(shí)的完整性與機(jī)密性；

c)后臺(tái)服務(wù)器應(yīng)保證對(duì)密鑰的相關(guān)操作過程不可復(fù)制、不可重放。

7.3網(wǎng)絡(luò)安全

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，應(yīng)滿足以下網(wǎng)絡(luò)安全要求：

a)車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，應(yīng)通過建立安全通信鏈路或采用密碼機(jī)制對(duì)傳輸數(shù)據(jù)進(jìn)

行加密，以保證傳輸數(shù)據(jù)的機(jī)密性；

b)車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，應(yīng)采用密碼機(jī)制保證數(shù)據(jù)傳輸完整性；

c)車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，應(yīng)采用機(jī)制防止數(shù)據(jù)包或報(bào)文的重排或重放，可使用序

列碼或時(shí)間戳實(shí)現(xiàn)抗重放攻擊功能。

7.4數(shù)據(jù)安全和個(gè)人信息保護(hù)

7.4.1數(shù)據(jù)安全

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，若對(duì)身份識(shí)別信息進(jìn)行存儲(chǔ)，應(yīng)滿足以下數(shù)據(jù)安全要求：

a)應(yīng)加密存儲(chǔ)用戶生物特征等敏感數(shù)據(jù)，用于加密的密鑰應(yīng)妥善保存，防止被直接獲??；

b)所采用的加密算法應(yīng)支持國(guó)際主流的標(biāo)準(zhǔn)加密算法，若支持國(guó)密算法，則應(yīng)符合國(guó)家密碼管理

機(jī)構(gòu)的相關(guān)規(guī)定；

c)對(duì)共享類應(yīng)用（如共享汽車等應(yīng)用場(chǎng)景），在當(dāng)前用戶退出后，應(yīng)刪除敏感個(gè)人信息。

7.4.2個(gè)人信息保護(hù)

車聯(lián)網(wǎng)服務(wù)用戶身份認(rèn)證應(yīng)用場(chǎng)景中，應(yīng)采取措施保護(hù)用戶個(gè)人信息，具體應(yīng)滿足以下要求：

a)對(duì)個(gè)人信息的手機(jī)應(yīng)在提供相應(yīng)服務(wù)的同時(shí)進(jìn)行，若出于業(yè)務(wù)需要收集個(gè)人信息，應(yīng)在收集前

明示收集的目的和范圍，并且只有在用戶同意之后才可繼續(xù)；

b)當(dāng)用戶撤銷授權(quán)同意后，應(yīng)停止收集和使用用戶數(shù)據(jù)，歷史收集的個(gè)人數(shù)據(jù)應(yīng)及時(shí)刪除或進(jìn)行

匿名化處理；

c)對(duì)外共享、轉(zhuǎn)讓個(gè)人信息前，應(yīng)事先征得用戶明示同意，并按照約定目的和用途進(jìn)行，傳輸之

4

T/TAF191—2023

前應(yīng)對(duì)雙方進(jìn)行身份認(rèn)證和授權(quán)；

d)對(duì)收集、加工、轉(zhuǎn)移階段所使用的個(gè)人信息的緩存數(shù)據(jù)，應(yīng)提供自動(dòng)刪除或授權(quán)用戶手動(dòng)刪除

功能。

7.5業(yè)務(wù)安全

7.5.1用戶注冊(cè)

車聯(lián)網(wǎng)服務(wù)用戶注冊(cè)場(chǎng)景中，除滿足7.1-7.5的要求，還應(yīng)滿足以下要求：

a)生成的用戶和車輛數(shù)字身份標(biāo)識(shí)應(yīng)具有唯一性；

b)注冊(cè)開通流程中，應(yīng)采用措施保證各主體間傳輸數(shù)據(jù)的保密性和完整性；

c)應(yīng)對(duì)用戶個(gè)人數(shù)據(jù)、車牌號(hào)碼等敏感信息進(jìn)行加密存儲(chǔ)；

d)用戶取消注冊(cè)時(shí)，應(yīng)能夠提供手段清除遺留數(shù)據(jù)。

7.5.2無感支付

車聯(lián)網(wǎng)服務(wù)無感支付場(chǎng)景中，除滿足7.1-7.5的要求，還應(yīng)滿足以下要求：

a)應(yīng)對(duì)支付請(qǐng)求來源進(jìn)行真實(shí)性驗(yàn)證；

b)應(yīng)采用措施保證無感支付流程中，各主體間傳輸支付指令時(shí)具有加密傳輸和重放保護(hù)能力。

7.5.3車輛開鎖

車聯(lián)網(wǎng)服務(wù)車輛開鎖場(chǎng)景中，除滿足7.1-7.5的要求，還應(yīng)滿足以下要求：

a)應(yīng)對(duì)開鎖指令進(jìn)行完整性和來源可靠性校驗(yàn)；

b)應(yīng)采用措施保證車輛開鎖流程中，各主體間傳輸開鎖指令時(shí)具有加密傳輸和重放保護(hù)能力。

5

T/TAF191—2023

附錄A

（資料性）

業(yè)務(wù)流程

A.1注冊(cè)流程

注冊(cè)指車聯(lián)網(wǎng)應(yīng)用場(chǎng)景中的用戶注冊(cè)開通身份認(rèn)證服務(wù)的基本流程，主要流程如圖A.1所示。

a)用戶通過終端設(shè)備發(fā)起注冊(cè)開通申請(qǐng)；

b)數(shù)字身份平臺(tái)接到申請(qǐng)后查詢用戶駕駛證，加密生成用戶數(shù)字身份標(biāo)識(shí)；

c)數(shù)字身份平臺(tái)將生成的用戶數(shù)字身份標(biāo)識(shí)返回終端設(shè)備；

d)注冊(cè)開通后，用戶進(jìn)行添加車輛申請(qǐng)；

e)數(shù)字身份平臺(tái)接到申請(qǐng)后向車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)發(fā)起車輛信息查詢，確認(rèn)用車權(quán)力等信息；

f)車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)通過安全網(wǎng)關(guān)向數(shù)字身份平臺(tái)返回車輛信息；

g)數(shù)字身份平臺(tái)進(jìn)行駕駛證查詢，加密生成車輛數(shù)字身份標(biāo)識(shí)；

h)數(shù)字身份平臺(tái)將車輛數(shù)字身份標(biāo)識(shí)下發(fā)到終端設(shè)備；

i)同時(shí)，數(shù)字身份平臺(tái)將用戶和車輛數(shù)字身份標(biāo)識(shí)下發(fā)到車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)；

j)車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)最后將兩種標(biāo)識(shí)也下發(fā)到車內(nèi)網(wǎng)絡(luò)安全模塊。

圖A.1用戶注冊(cè)開通身份認(rèn)證服務(wù)基本流程

A.2認(rèn)證流程

A.2.1概述

認(rèn)證指在不同車聯(lián)網(wǎng)應(yīng)用場(chǎng)景中對(duì)用戶身份進(jìn)行認(rèn)證的特定流程，不同場(chǎng)景適用的認(rèn)證流程有所不

同。本文件中主要敘述適用于以下場(chǎng)景中的認(rèn)證流程。

A.2.2實(shí)名認(rèn)證

車主實(shí)名認(rèn)證基本流程如圖A.2所示：

a)車主通過終端設(shè)備發(fā)起實(shí)名認(rèn)證申請(qǐng)；

b)數(shù)字身份平臺(tái)接到申請(qǐng)后進(jìn)行行駛證/駕駛證查詢，加密生成數(shù)字身份標(biāo)識(shí)；

c)數(shù)字身份平臺(tái)數(shù)字身份標(biāo)識(shí)下發(fā)到終端設(shè)備；

d)同時(shí)，數(shù)字身份平臺(tái)將數(shù)字身份標(biāo)識(shí)也一并下發(fā)到車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)；

6

T/TAF191—2023

e)最后，車聯(lián)網(wǎng)服務(wù)網(wǎng)絡(luò)將接收到的數(shù)字身份標(biāo)識(shí)下發(fā)給車內(nèi)網(wǎng)絡(luò)安全模塊。

圖A.2車主實(shí)名認(rèn)證基本流程

A.2.3無感支付

車主無感支付基本流程如圖A.3所示：

a)車主進(jìn)行無感支付時(shí)，第三方業(yè)務(wù)應(yīng)用向車內(nèi)網(wǎng)絡(luò)安全模塊讀取數(shù)字身份標(biāo)識(shí)；

b)同時(shí)，第三方業(yè)務(wù)應(yīng)用向TSP提交支付請(qǐng)求；

c)TSP接收到支付請(qǐng)求后，通過用戶身份認(rèn)證安全網(wǎng)關(guān)向數(shù)字身份平臺(tái)申請(qǐng)數(shù)字身份認(rèn)證；

d)數(shù)字身份平臺(tái)對(duì)數(shù)字身份標(biāo)識(shí)進(jìn)行解密驗(yàn)簽；

e)數(shù)字身份平臺(tái)向用戶身份認(rèn)證安全網(wǎng)關(guān)返回驗(yàn)證結(jié)果；

f)最后將驗(yàn)證結(jié)果返回TSP，完成支付。

圖A.3車主無感支付基本流程

A.2.4車輛開鎖

車輛開鎖分為近距開鎖和遠(yuǎn)程開鎖。

7

T/TAF191—2023

近距開鎖基本流程如圖A.4所示：

a)用戶通過終端設(shè)備發(fā)起開鎖指令，并加密簽名數(shù)字身份標(biāo)識(shí)；

b)車內(nèi)網(wǎng)絡(luò)安全模塊對(duì)數(shù)字身份標(biāo)識(shí)進(jìn)行解密驗(yàn)簽，若比對(duì)成功即完成開鎖；

c)車內(nèi)網(wǎng)絡(luò)安全模塊向終端設(shè)備返回開鎖結(jié)果。

圖A.4車輛近距開鎖基本流程

遠(yuǎn)程開鎖基本流程如圖A.5所示：

a)用戶通過終端設(shè)備發(fā)起遠(yuǎn)程開鎖指令，并加密簽名數(shù)字身份標(biāo)識(shí)；

b)用戶身份認(rèn)證安全網(wǎng)關(guān)將遠(yuǎn)程開鎖指令轉(zhuǎn)發(fā)給車內(nèi)網(wǎng)絡(luò)安全模塊；

c)車內(nèi)網(wǎng)絡(luò)安全模塊將數(shù)字身份標(biāo)識(shí)進(jìn)行解密驗(yàn)簽，若對(duì)比成功即可完成開鎖；

d)車內(nèi)網(wǎng)絡(luò)安全模塊將開鎖結(jié)果返回用戶身份認(rèn)證安全網(wǎng)關(guān)；

e)最后，開鎖結(jié)果返回到終端設(shè)備。