GB/T 30290.3-2025 北斗卫星定位车辆信息服务系统 第3部分：信息安全规范

　　ICS 33.200 CCS M 50

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 30290.3—2025代替 GB/T30290.3—2013

　　北斗卫星定位车辆信息服务系统

　　第 3 部分:信息安全规范

　　BeiDou satellitepositioningvehicleinformation servicesystem(VISS) —

　　Part3: Information security specification

　　2025-10-05发布 2026-02-01实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 30290.3—2025

　　目 次

　　前言 Ⅲ

　　引言 Ⅴ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 符号和缩略语 3

　　4. 1 符号 3

　　4. 2 缩略语 3

　　5 参考模型 4

　　5. 1 基本模型 4

　　5. 2 车载终端安全保密模块 4

　　5. 3 中心信息安全支撑系统 5

　　5. 4 通信接 口 5

　　6 安全机制 6

　　6. 1 通则 6

　　6. 2 密码体制 6

　　6. 3 数字证书体制 6

　　7 安全规程 7

　　7. 1 概述 7

　　7. 2 设备认证规程 7

　　7. 3 数字签名规程 11

　　7. 4 访问控制规程 12

　　8 安全技术要求 12

　　8. 1 车载终端安全保密模块 12

　　8. 2 中心信息安全支撑系统 13

　　8. 3 其他要求 13

　　附录 A (资料性) 数据分级 14

　　A. 1 一般数据 14

　　A. 2 重要数据 14

　　A. 3 敏感数据 14

　　A. 4 数据分级示例 14

　　附录 B (资料性) 数字证书管理 15

　　B. 1 数字证书分配 15

　　Ⅰ

　　GB/T 30290.3—2025

　　B. 2 数字证书更新 16

　　B. 3 数字证书撤销 16

　　附录 C (资料性) 车载终端安全防护措施示例 17

　　C. 1 硬件安全 17

　　C. 2 系统安全 17

　　C. 3 网络安全 17

　　C. 4 应用软件安全 17

　　C. 5 隐私数据保护 17

　　C. 6 安全事件上报 17

　　附录 D (资料性) 车辆信息服务中心安全防护措施示例 18

　　D. 1 数据安全 18

　　D. 2 结构安全 18

　　D. 3 访问控制 18

　　D. 4 入侵检测 18

　　D. 5 安全审计 18

　　参考文献 19

　　Ⅱ

　　GB/T 30290.3—2025

　　前 言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则 第 1部分 :标准化文件的结构和起草规则》的规定起草 。

　　本文件是 GB/T 30290《北斗卫星定位车辆信息服务系统》的第 3 部分 。 GB/T 30290 已经发布了以下部分 :

　　— 第 1部分 :功能描述 ;

　　— 第 2部分 :车载终端与服务中心信息交换协议 ;

　　— 第 3部分 :信息安全规范 ;

　　— 第 4部分 :车载信息终端性能要求及测试方法 ;

　　— 第 5部分 :记录仪性能要求和测试方法 ;

　　— 第 6部分 :紧急救援终端性能要求和测试方法 。

　　本文件代替 GB/T 30290. 3—2013《卫 星 定 位 车 辆 信 息 服 务 系 统 第 3 部 分 : 信 息 安 全 规 范》, 与GB/T 30290. 3—2013相比 ,除结构调整和编辑性改动外 ,主要技术变化如下 :

　　a) 更改了 “访问控制 ”“机密性”“密钥”“密码算法 ”“解密 ”“设备认证 ”“加密 ”和 “完整性 ”的术语和定义(见 3. 1、3. 5、3. 8、3. 12、3. 14、3. 2、3. 13、3. 6, 2013年版的 3. 1、3. 2、3. 3、3. 4、3. 5、3. 6、3. 7、 3. 8) ;

　　b) 增加了术语 “信息安全”“信息安全系统”“可用性”“密钥协商”“公钥”“私钥 ”“数字签名 ”“密码套件”“预主密钥”“主密钥 ”和“工作密钥 ”及其定义(见 3. 3、3. 4、3. 7、3. 9、3. 10、3. 11、3. 15、3. 16、 3. 17、3. 18、3. 19) ;

　　c) 删除了术语 “安全保密机制 ”和 “安全模型 ”及其定义(见 2013年版的 3. 9、3. 10) ;

　　d) 增加了符号 RS、RE、UC、UP (见 4. 1) ;

　　e) 增加了缩略语 CA、CISSS、KM、SAG、TLCP、VISC、VISS、VT、VTM 和 VTSC(见 4. 2) ;

　　f) 删 除 了 缩 略 语 A/D、AK、D/A、DCK、DCK1、DCK2、ISCCE、ISCSCE、KS、MK、RAND1、 RAND2、RES1、RES2、RS、SCMC、SCME、VA11、VA12、VA21、VA22、VDCKA、VSCA、 VPCA、VTCE、VTCM、VTSCE、VTSCMIN、VTSE、VWKEA、WK、XRES1 和 XRES2(见2013年版的 4. 2) ;

　　g) 将 “安全保密机制 ”更改为 “参考模型 ”和 “安全机制 ”(见第 5 章 、第 6章 ,2013年版的第 5 章) ;

　　h) 增加了 “参考模型 ”中 “基本模型”“车载终端安全保密模块 ”和 “中心信息安全支撑系统 ”相应内容(见 5. 1、5. 2、5. 3) ,更改了“通信接口 ”相应内容(见 5. 4,2013年版的第 7章) ;

　　i) 增加了 “安全机制 ”中 “通则”“数字证书体制 ”相应内容(见 6. 1、6. 3) ,更改了 “密码体制 ”相应内容(见 6. 2,2013年版的 5. 3) ;

　　j) 将 “安全保密规程 ”更改为 “安全规程 ”(见第 7章 ,2013年版的第 6 章) ,增加了 “概述 ”和 “数字签名规程 ”相应内容(见 7. 1、7. 3) ,更改了 “设备认证规程 ”和 “访问控制规程 ”相应内容(见 7. 2、 7. 4,2013年版的 6. 1、6. 2) ,删除了 “数据加密规程 ”和 “密钥分配管理规程 ”相应内容(见 2013年版的 6. 3、6. 4) ;

　　k) 删除了 “信息字段帧格式定义 ”一章(见 2013年版的第 8章) ;

　　l) 将 “安全保密实体参数要求 ”更改为 “安全技术要求 ”(见第 8章 ,2013年版的第 9章) ;

　　m) 将“VTSCM技术要求 ”更改为“车载终端安全保密模块 ”(见 8. 1,2013年版的第 10章) ,增加了“中心信息安全支撑系统 ”和 “其他要求 ”等技术要求(见 8. 2、8. 3) 。

　　Ⅲ

　　GB/T 30290.3—2025

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由中华人民共和国工业和信息化部提出并归 口 。

　　本文件起草单位 :厦门雅迅智联科技股份有限公司 、奇瑞汽车股份有限公司 、重庆长安汽车股份有限公司 、中汽创智科技有限公司 、国汽(北京)智能网联汽车研究院有限公司 、东风汽车股份有限公司 、上汽大通汽车有限公司 、上汽通用五菱汽车股份有限公司 、一汽解放汽车有限公司 、宇通客车股份有限公司 、大运汽车股份有限公司 、北京梆梆安全科技有限公司 。

　　本文件主要起草人 : 吕伟煌 、赵国开 、王川宿 、汪向阳 、胡红星 、薛宇 、胡晓浩 、朱震海 、黄建鹏 、郑岩 、吕庆先 、李晓伟 、卢佐华 。

　　本文件及其所代替文件的历次版本发布情况为 :

　　— 2013年首次发布为 GB/T 30290. 3—2013;

　　— 本次为第一次修订 。

　　Ⅳ

　　GB/T 30290.3—2025

　　引 言

　　GB/T 30290《北斗卫星定位车辆信息服务系统》拟由 6个部分构成 。

　　— 第 1部分 :功能描述 。 目的在于系统阐述整个北斗卫星定位车辆信息服务系统 , 明确其功能及服务类型 。

　　— 第 2部分 :车载终端与服务中心信息交换协议 。 目的在于明确北斗卫星定位车辆信息服务系统中车载终端与信息服务中心之间进行信息传输的方式和内容 。

　　— 第 3部分 :信息安全规范 。 目的在于规范北斗卫星定位车辆信息服务系统信息安全架构及实现方式 ,确保车辆与服务中心信息安全 。

　　— 第 4部分 :车载信息终端性能要求及测试方法 。 目的在于规范北斗卫星定位车辆信息服务系统中车载信息终端的技术指标及测试方法 。

　　— 第 5部分 :记录仪性能要求和测试方法 。 目的在于规范北斗卫星定位车辆信息服务系统中记录仪的技术指标及测试方法 。

　　— 第 6部分 :紧急救援终端性能要求和测试方法 。 目的在于规范北斗卫星定位车辆信息服务系统中紧急救援终端的技术指标及测试方法 。

　　Ⅴ

　　GB/T 30290.3—2025

　　北斗卫星定位车辆信息服务系统

　　第 3 部分:信息安全规范

　　1 范围

　　本文件给出了北斗卫星定位车辆信息服务系统中信息安全系统参考模型 ,规定了相应的安全机制 、安全规程及安全技术要求 。

　　本文件适用于通过北斗卫星定位技术 、采用公众移动通信网络或专用移动通信网络 、具有车辆信息服务中心的信息处理系统中通信服务的信息安全设计 、建设和应用 。通过其他定位技术 、采用其他通信网络 、具有车辆信息服务中心的信息处理系统中通信服务的信息安全设计 、建设和应用参照使用 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于本文件 。

　　GB/T 20518 信息安全技术 公钥基础设施 数字证书格式

　　GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求

　　GB/T 30290. 1 北斗卫星定位车辆信息服务系统 第 1部分 :功能描述

　　GB/T 30290. 2—2025 北斗卫星定位车辆信息服务系统 第 2 部分 : 车载终端与服务中心信息交换协议

　　GB/T 38636—2020 信息安全技术 传输层密码协议(TLCP)

　　GM/T 0008—2012 安全芯片密码检测准则

　　GM/T 0014

　　数字证书认证系统密码协议规范

　　GM/T 0026

　　安全认证网关产品规范

　　GM/T 0034

　　基于 SM2密码算法的证书认证系统密码及其相关安全技术规范

　　3 术语和定义

　　GB/T 30290. 1 和 GB/T 30290. 2—2025界定的以及下列术语和定义适用于本文件 。 3. 1

　　访问控制 accesscontrol

　　一种确保数据处理系统的资源只能由经授权实体以授权方式进行访问的手段 。

　　[来源 :GB/T 25069—2022,3. 147] 3.2

　　设备认证 deviceauthentication

　　对一个设备的身份进行验证 ,并授予其访问系统资源的权限或许可的过程 。

　　3.3

　　信息安全 information security

　　卫星定位车辆信息服务系统中面向车载终端和车辆信息服务中心所实现的设备认证 、传输数据保

　　1

　　GB/T 30290.3—2025

　　密 、密钥管理及证书管理等功能的总称 。

　　3.4

　　信息安全系统 information security system

　　卫星定位车辆信息服务系统中实现信息安全的硬件和软件 。

　　3.5

　　机密性 confidentiality

　　采用密码技术保证信息不泄露的性质 。

　　[来源 :GB/T 25069—2022,3. 259] 3.6

　　完整性 integrity

　　准确和完备的性质 。

　　[来源 :GB/T 25069—2022,3. 612] 3.7

　　可用性 availability

　　可由经授权实体按需访问和使用的性质 。

　　[来源 :GB/T 25069—2022,3. 345] 3. 8

　　密钥 key

　　控制密码变换操作的符号序列 。

　　[来源 :GB/T 25069—2022,3. 389] 3.9

　　密钥协商 key agreement

　　在至少两个实体之间 ,通过相互传送消息来共同建立共享秘密密钥 ,且各方均无法预先确定该秘密密钥值的过程 。

　　[来源 :GB/T 25069—2022,3. 417]

　　3. 10

　　公钥 publickey

　　非对称密码算法中可公开的密钥 。

　　[来源 :GB/T 25069—2022,3. 211]

　　3. 11

　　私钥 privatekey

　　非对称密码算法中只能由拥有者使用的不公开密钥 。

　　[来源 :GB/T 25069—2022,3. 580]

　　3. 12

　　密码算法 cryptographicalgorithm

　　描述密码处理过程的算法 。

　　[来源 :GB/T 25069—2022,3. 380]

　　3. 13

　　加密 encryption

　　对数据进行密码变换以产生密文的过程 。

　　[来源 :GB/T 25069—2022,3. 278]

　　2

　　GB/T 30290.3—2025

　　3. 14

　　解密 decryption

　　与加密过程对应的逆过程 。

　　[来源 :GB/T 25069—2022,3. 305]

　　3. 15

　　数字签名 digitalsignature

　　附加在数据单元上的一些数据 ,或是对数据单元做密码变换 ,这种附加数据或密码变换被数据单元的接收者用以确认数据单元的来源和完整性 ,达到保护数据 , 防止被人(例如接收者)伪造的 目的 。

　　[来源 :GB/T 25069—2022,3. 576]

　　3. 16

　　密码套件 ciphersuite

　　包含一个密钥协商算法 、一个加密算法和一个校验算法的标识 。

　　3. 17

　　预主密钥 premastersecret

　　客户端和服务端协商生成的密钥素材 ,用于生成主密钥 。

　　3. 18

　　主密钥 mastersecret

　　由预主密钥 、客户端随机数 、服务端随机数和常量字符串 ,经计算生成的 48字节密钥素材 ,用于生成工作密钥 。

　　3. 19

　　工作密钥 work key

　　数据加密密钥和校验密钥的统称 。

　　注 : 其中加密密钥用于数据的加密和解密 ,校验密钥用于数据的完整性计算和校验 。

　　4 符号和缩略语

　　4. 1 符号

　　下列符号适用于本文件 。

　　GC :KM 与 CA 的通信接 口

　　GS :CA 与 SAG 的通信接 口

　　RE :VTSCM 与 VTM 的通信接 口

　　RS:VTSC与 VTSM 的通信接 口

　　UC :SAG 与 VISC 的通信接 口

　　UP :VT 与 SAG 的通信接 口

　　4.2 缩略语

　　下列缩略语适用于本文件 。

　　CA:证书认证(Certificate Authentication)

　　CISSS: 中心信息安全支撑系统(Center Information Security SupportSystem)

　　CRL:证书撤销列表(Certificate Revocation List)

　　KM :密钥管理(Key Management)

　　PIN:个人身份识别码(PersonalIdentification Number)

　　SAG:安全认证网关(Security Authentication Gateway)

　　3

　　GB/T 30290.3—2025

　　TLCP:传输层密码协议(TransportLayer Cryptography Protocol)

　　VISC:车辆信息服务中心(Vehicle Information Service Center)

　　VISS:车辆信息服务系统(Vehicle Information Service System)

　　VT:车载终端(Vehicle Terminal)

　　VTM :车载终端主控单元(Vehicle TerminalMain Controller)

　　VTSC:车载终端安全芯片(Vehicle TerminalSecurity Chip)

　　VTSCM :车载终端安全保密模块(Vehicle TerminalSecurity and Crypto Module)

　　VTSM :车载终端安全组件(Vehicle TerminalSecurity Module)

　　5 参考模型

　　5. 1 基本模型

　　信息安全系统是车载终端(VT)和车辆信息服务中心(VISC) 的安全保密实体 , 实现点对点的传输层安全通 信 , 确 保 安 全 通 信 与 应 用 层 业 务 的 相 对 独 立 。 信 息 安 全 系 统 由 车 载 终 端 安 全 保 密 模 块(VTSCM)和中心信息安全支撑系统(CISSS)两部分组成 ,其中 VTSCM 由车载终端安全芯片(VTSC)和车载终端安全组件(VTSM)组成;CISSS由密钥管理系统(KM) 、证书认证系统(CA)和安全认证网关(SAG)组成 。信息安全系统基本模型见图 1。

　　…

　　……

　　……

　　注 : …为关联部分 。

　　图 1 信息安全系统基本模型

　　5.2 车载终端安全保密模块

　　5.2. 1 车载终端安全芯片

　　VTSC具备密码算法功能 ,并采用专门的逻辑电路设计来保护数据的存储安全 , 防止攻击者通过物理复制和波形探测等手段拷贝内部数据 。密钥保存在 VTSC 中 ,不应被非法读取和篡改 。

　　4

　　GB/T 30290.3—2025

　　5.2.2 车载终端安全组件

　　VTSM调用 VTSC 的密码算法功能 , 以接口的形式为上层应用程序提供身份认证 、加密 、解密及数字签名等安全功能 。

　　5.3 中心信息安全支撑系统

　　5.3. 1 密钥管理系统

　　KM 为车辆信息服务系统(VISS)提供密钥生成 、密钥存储 、密钥更新及密钥撤销等密钥全生命周期管理服务 ,与 CA进行交互使用 。

　　5.3.2 证书认证系统

　　CA 为 VISS提供数字证书分配 、数字证书更新及数字证书撤销等数字证书全生命周期管理服务 。

　　5.3.3 安全认证网关

　　SAG采用数字证书为 VT 与 VISC间通信提供身份认证 、通信加密 、访问控制 、数据转发及网络隔离等安全功能 ,通过局域网与 VISC相连 。

　　5.4 通信接口

　　5.4. 1 接口定义

　　信息安全系统通信接口定义见图 2。

　　图 2 信息安全系统通信接口

　　5.4.2 RS 接口

　　RS 接口实现规定的物理通信协议 ,提供密钥管理 、加密 、解密及数字签名等安全功能 。

　　5.4.3 RE 接口

　　RE 接口通过通用串行总线(USB) 、串行外设接口(SPI) 、通用异步收发器(UART)或安全数字输入输出接口(SDIO)等物理接口与车载终端主控单元(VTM) 连接 , 连接成功后 VTM 才可使用 VTSCM提供的密钥管理 、加密 、解密及数字签名等安全功能 。

　　5

　　GB/T 30290.3—2025

　　5.4.4 UP 接口

　　UP 接口 协 议 按 照 7. 2 规 定 的 设 备 认 证 规 程 建 立 传 输 层 安 全 通 道 , 确 保 业 务 数 据 在 安 全 通 道 中传输 。

　　5.4.5 GC 和 GS 接口

　　GC 和 GS 接口实现 CISSS中密码业务数据交互功能 ,数据协议格式应符合 GM/T 0014的规定 。

　　5.4.6 UC 接口

　　UC 接口将 SAG安全通道中的密文数据转换成明文数据后转发到 VISC,UC 接口协议格式应符合GB/T 30290. 2—2025的规定 。

　　6 安全机制

　　6. 1 通则

　　VISS应采用身份认证 、访问控制 、加密 、解密及数字签名等安全机制来保证数据机密性 、完整性和可用性 。通过建立公钥基础设施(PKI)体系 ,运用基于数字证书的传输层密码协议(TLCP)来解决未授权访问 、窃听 、篡改和重放等安全威胁 。在此基础上针对不同业务数据敏感性进行分级(数据分级见附录 A) ,采用以下处理方式 :

　　a) 一般数据可不额外进行数据安全处理 ;

　　b) 重要数据宜采用数字签名技术 ,保障数据的完整性 ;

　　c) 敏感数据宜采用数据签名技术和自定义加密规则 ,保障数据的完整性和机密性 。

　　6.2 密码体制

　　6.2. 1 密码算法

　　应采用符合国家密码管理主管部门认可的商用密码算法 。

　　6.2.2 密钥生成

　　应采用符合国家密码管理主管部门认可的商用密码算法计算生成 。

　　6.2.3 密钥存储

　　密钥应存储于 VTSC 内 。

　　6.2.4 密钥更新

　　当 VTSC需要更新密钥时 ,应具备安全机制进行密钥更新 。

　　6.2.5 密钥销毁

　　在 VT损坏或销毁情况下 ,密钥应及时进行销毁 ,销毁结果不可逆 。

　　6.3 数字证书体制

　　6.3. 1 数字证书

　　数字证书由 CA签发 ,格式应符合 GB/T 20518的规定 。VISS应采用双证书体系 , 即签名证书和

　　6

　　GB/T 30290.3—2025

　　加密证书 。签名证书用于对传输数据进行数字签名 , 以保证数据的完整性 ;加密证书用于对传输数据进行加密 , 以保证数据的机密性 。

　　6.3.2 数字证书分配

　　CISSS为 VT提供数字证书签发和下载功能 ,流程见附录 B 中 B. 1。

　　6.3.3 数字证书更新

　　CISSS为 VT提供重新签发数字证书功能 ,流程见 B. 2。

　　6.3.4 数字证书撤销

　　CISSS为 VT提供数字证书撤销功能 ,流程见 B. 3。

　　7 安全规程

　　7. 1 概述

　　VISS具有设备认证 、数字签名和访问控制等信息安全功能 。其中设备认证功能为必备功能 ,数字签名和访问控制功能为可选功能 ,根据产品应用场景需要选择使用 。

　　7.2 设备认证规程

　　7.2. 1 一般要求

　　VT与 VISC通信网络建立连接时 ,应采用 TLCP实现设备单向认证或设备双向认证 ,建立传输层安全通道 。认证成功后 ,使用认证过程中协商生成的工作密钥保护 VT 与 VISC信息交换的数据 ,保证双方通信的机密性 。

　　7.2.2 设备单向认证

　　设备单向认证流程见图 3。

　　7

　　8

　　GB/T

　　

　　30290.3—2025

　　

　　图 3 设备单向认证流程

　　具体流程如下 。

　　a) VT发送一个 Hello 消息连接请求给 SAG, Hello 消息中包含随机数 、会话标识以及密码套件等信息 。

　　b) SAG 收到消息后发送 Hello 消息 、SAG证书消息 、密钥交换消息和 Hello完成消息给 VT。

　　c) VT 收到消息后验证 SAG证书的合法性 ,若验证失败 ,给 SAG发送报警协议 ,终止认证 ;若验证成功 ,VT根据密钥协商算法生成预主密钥 ,采用 SAG 加密证书公钥加密生成密钥交换消息 ,按 GB/T 38636—2020中 6. 5定义的主密钥和工作密钥计算方法 ,先通过预主密钥和主密钥计算方法生成主密钥 ,再通过主密钥和工作密钥计算方法生成工作密钥 ,用工作密钥加密握手结束消息 ,VT将密钥交换消息 、密码规格变更协议和握手结束消息发送到 SAG。

　　d) SAG 收到消息后 ,采用 SAG 加密证书私钥解密获取预主密钥 ,按 GB/T 38636—2020 中 6. 5定义的主密钥和工作密钥计算方法 ,先通过预主密钥和主密钥计算方法生成主密钥 ,再通过主密钥和工作密钥计算方法生成工作密钥 ,用工作密钥解密握手结束消息 ,若解密成功 ,用工作密钥加密握手结束消息 ,SAG发送密码规格变更协议和握手结束消息 ,否则给 VT 发送报警协议 ,终止认证 。

　　e) VT 收到消息后 ,根据工 作 密 钥 对 握 手 结 束 消 息 进 行 解 密 ,若 解 密 成 功 , 说 明 单 向 认 证 成 功 , VT 和 SAG使用工作密钥对应用数据协议进行加密通信 ;若解密失败 ,则给 SAG 发送报警协议 ,终止认证 。

　　GB/T 30290.3—2025

　　7.2.3 设备双向认证

　　设备双向认证流程见图 4。

　　图 4 设备双向认证流程

　　具体流程如下 。

　　a) VT发送一个 Hello 消息连接请求给 SAG, Hello 消息中包含随机数 、会话标识以及密码套件等信息 。

　　b) SAG 收到消息后发送 Hello 消息 、SAG证书消息 、密钥交换消息 、证书请求消息和 Hello 完成消息给 VT。

　　c) VT 收到消息后验证 SAG证书的合法性 ,若验证失败 ,给 SAG发送报警协议 ,终止认证 ;若验证成功 ,VT根据密钥协商算法生成预主密钥 ,采用 SAG 加密证书公钥加密生成密钥交换消息 ,按 GB/T 38636—2020中 6. 5定义的主密钥和工作密钥计算方法 ,先通过预主密钥和主密钥计算方法生成主密钥 ,再通过主密钥和工作密钥计算方法生成工作密钥 ,用工作密钥加密握手结束消息 ,VT将 VT证书消息 、密钥交换消息 、证书校验消息 、密码规格变更协议和握手结

　　9

　　GB/T 30290.3—2025

　　束消息发送到 SAG。

　　d) SAG 收到消息后验证 VT证书的合法性 ,若验证失败 , 给 VT 发送报警协议 ,终止认证 ;若验证成功 ,采用 SAG加密证书私钥解密获取预主密钥 ,按 GB/T 38636—2020中 6. 5定义的主密钥和工作密钥计算方法 ,先通过预主密钥和主密钥计算方法生成主密钥 ,再通过主密钥和工作密钥计算方法生成工作密钥 ,用工作密钥解密握手结束消息 ,若解密成功 ,用工作密钥加密握手结束消息 ,SAG发送密 码 规 格 变 更 协 议 和 握 手 结 束 消 息 , 否 则 给 VT 发 送 报 警 协 议 , 终 止认证 。

　　e) VT 收到消息后 ,根据工 作 密 钥 对 握 手 结 束 消 息 进 行 解 密 ,若 解 密 成 功 , 说 明 双 向 认 证 成 功 , VT 和 SAG使用工作密钥对应用数据协议进行加密通信 ;若解密失败 ,则给 SAG 发送报警协议 ,终止认证 。

　　7.2.4 传输层密码协议

　　7.2.4. 1 概述

　　TLCP包括记录层协议 、握手协议 、密码规格变更协议和报警协议 。其中记录层协议用于传输数据的分块 、压缩及解压缩 、完整性校验 、加密及解密等 ;握手协议用于身份鉴别和安全参数协商 ; 密码规格变更协议用于通知安全参数的变更 ;报警协议用于关闭通知和对错误进行报警 。

　　7.2.4.2 记录层协议

　　记录层协议对传输的数据进行分块 、压缩(可选) 、计算消息验证码(HMAC) 和加密后传输 。 接收到的数据经过解密 、验证 、解压缩(可选)和重新封装后传送给业务应用 。所有通信数据包括握手协议 、密码规格变更协议 、报警协议及应用数据协议等均应封装在记录层协议中进行传输 ,协议格式应符合GB/T 38636—2020中 6. 3 的规定 。

　　7.2.4.3 握手协议

　　7.2.4.3. 1 Hello消息

　　Hello 消息分为 。

　　a) Client Hello 消 息 , 作 为 握 手 协 议 第 一 条 消 息 。 消 息 格 式 应 符 合 GB/T 38636—2020 中

　　6. 4. 5. 2. 1的规定 。

　　b) Server Hello 消息 ,从客户端 Hello 消息中找到匹配的密码套件 ,作为对 Client Hello 消息的回复 。消息格式应符合 GB/T 38636—2020中 6. 4. 5. 2. 2 的规定 。

　　7.2.4.3.2 证书消息

　　证书消息分为 。

　　a) Client Certificate 消 息 , 内 容 为 客 户 端 的 签 名 证 书 和 加 密 证 书 。 消 息 格 式 应 符 合GB/T 38636—2020中 6. 4. 5. 7 的规定 。

　　b) Server Certificate 消 息 , 内 容 为 服 务 端 的 签 名 证 书 和 加 密 证 书 。 消 息 格 式 应 符 合GB/T 38636—2020中 6. 4. 5. 3 的规定 。

　　7.2.4.3.3 密钥交换消息

　　密钥交换消息分为 。

　　a) ClientKey Exchange消 息 , 包 含 计 算 预 主 密 钥 的 客 户 端 密 钥 交 换 参 数 。 消 息 格 式 应 符 合GB/T 38636—2020中 6. 4. 5. 8 的规定 。

　　10

　　GB/T 30290.3—2025

　　b) Server Key Exchange 消 息 , 用 于 客 户 端 计 算 产 生 48 字 节 的 预 主 密 钥 。 消 息 格 式 应 符 合GB/T 38636—2020中 6. 4. 5. 4 的规定 。

　　7.2.4.3.4 证书请求消息

　　用于通知客户端发 送 其 数 字 证 书 至 服 务 端 。 消 息 格 式 应 符 合 GB/T 38636—2020 中 6. 4. 5. 5 的规定 。

　　7.2.4.3.5 Hello完成消息

　　用于标记 Hello 消 息 发 送 完 毕 , 发 送 后 服 务 端 应 等 待 客 户 端 的 响 应 消 息 。 消 息 格 式 应 符 合GB/T 38636—2020中 6. 4. 5. 6 的规定 。

　　7.2.4.3.6 证书校验消息

　　用于鉴别客户端是否为数字证书的合法持有者 。 消息格式应符合 GB/T 38636—2020 中 6. 4. 5. 9的规定 。

　　7.2.4.3.7 握手结束消息

　　用于 验 证 密 钥 交 换 过 程 是 否 成 功 , 并 校 验 握 手 过 程 的 完 整 性 。 消 息 格 式 应 符 合 GB/T 38636— 2020 中 6. 4. 5. 10的规定 。

　　7.2.4.4 密码规格变更协议

　　用于通知密码规格的改变 , 即通知对方使用刚协商好的安全参数来保护后续的通信数据 。协议格式应符合 GB/T 38636—2020中 6. 4. 2 的规定 。

　　7.2.4.5 报警协议

　　用于对整个 连 接 过 程 中 出 现 的 错 误 及 异 常 进 行 报 警 。 协 议 格 式 应 符 合 GB/T 38636—2020 中6. 4. 3 的规定 。

　　7.3 数字签名规程

　　7.3. 1 数字签名流程

　　当 VT需对业务数据进行数字签名时 , 由 VT 向 VISC进行安全芯片信息备案 。备案成功后 ,根据具体应用场景采用备案成功后的私钥对业务数据进行数字签名上报 。

　　7.3.2 备案数据格式

　　安全芯片信息备案请求数据格式应符合 GB/T 30290. 2—2025 中表 38的规定 。

　　7.3.3 签名数据格式

　　签名数据格式应符合 GB/T 30290. 2—2025 中表 39的规定 。

　　7.3.4 数字签名要求

　　VT应采用 SM2算法对采集的数据进行数字签名 。SM2算法中的参数(ID) 应使用安全芯片标识ID值 。

　　11

　　GB/T 30290.3—2025

　　7.4 访问控制规程

　　7.4. 1 车载终端安全保密模块访问控制VTSCM 的访问控制流程见图 5。

　　图 5 VTSCM 的访问控制流程

　　VTSCM访问控制宜采用 PIN码鉴别机制 , VT 上电后第一次使用 VTSCM 时 ,需要进行 PIN 码校验 。PIN码鉴别流程如下 。

　　a) VTM通过接口方式向 VTSCM传入 PIN 码 。

　　b) VTSCM校验传入的 PIN码与预设在 VTSCM 内的 PIN 码是否一致 ,若一致 ,返回 PIN 码校验成功应 答 , 允 许 使 用 VTSCM 功 能 ; 否 则 , 返 回 PIN 码 校 验 失 败 应 答 , 不 应 使 用 VTSCM功能 。

　　7.4.2 中心信息安全支撑系统访问控制

　　CISSS访问控制宜采用身份鉴别和双重身份鉴别两种机制 , 至少应具有系统管理员和操作员两种角色 。 系统管理员负责 系 统 策 略 管 理 和 操 作 员 管 理 , 操 作 员 负 责 系 统 具 体 业 务 操 作 。 身 份 鉴 别 机 制如下 。

　　a) 身份鉴别 :CISSS设置系统管理员 ,系统管理员具有身份鉴别码 。 系统管理员只有正确输入身份鉴别码 ,才能设置系统操作员的身份鉴别码 。操作员只有正确输入各自的身份鉴别码 ,才可进入系统进行相应的操作 。

　　b) 双重身份鉴别 :重要操作应采用双重身份鉴别机制 ,包括身份鉴别码和操作鉴别码 ,需同时正确输入该项操作的鉴别码才能进行相应的重要操作 。

　　8 安全技术要求

　　8. 1 车载终端安全保密模块

　　VTSCM安全性要求如下 :

　　a) 不应存在未授权访问 VTSC 内存或更改芯片功能的隐蔽接 口 ;

　　b) 不应存在标注芯片 、端口和管脚功能的可读标识 ;

　　c) VTSC应符合 GM/T 0008—2012中规定的安全等级 2 级或以上要求 ,并具备商用密码产品认证证书 。

　　12

　　GB/T 30290.3—2025

　　8.2 中心信息安全支撑系统

　　CISSS安全性要求如下 :

　　a) CA应符合 GM/T 0034的规定 ,并具备商用密码产品认证证书 ;

　　b) KM应符合 GM/T 0034的规定 ,并具备商用密码产品认证证书 ;

　　c) SAG宜符合 GM/T 0026的规定 ,并具备商用密码产品认证证书 。

　　8.3 其他要求

　　8.3. 1 车载终端

　　VT应具备硬件安全 、系统安全 、网络安全 、应用软件安全 、隐私数据保护以及安全事件上报的防护措施 ,具体的防护措施示例见附录 C。

　　8.3.2 车辆信息服务中心

　　VISC应满足 GB/T 22239—2019中规定的第三级或以上的网络安全要求 ,宜具备数据安全 、结构安全 、访问控制 、入侵检测以及安全审计的防护措施 。具体的防护措施示例见附录 D。

　　13

　　GB/T 30290.3—2025

　　附 录 A (资料性)数据分级

　　A. 1 一般数据

　　一般数据是指 VT 与 VISC间进行信息交换的数据 ,在被泄露或被滥用后会对 VISC提供商或用户造成一定影响 。但影响范围和程度有限 ,不会影响提供商经济效益或造成财产损失 ,或对人身和财产安全构成威胁 。

　　A.2 重要数据

　　重要数据是指 VT 与 VISC间进行信息交换的数据 ,在被泄露或被滥用后会对 VISC提供商或用户造成较大影响 。在一定范围内影响提供商经济效益或造成财产损失 ,或会对人身和财产安全造成较大威胁 。

　　A.3 敏感数据

　　敏感数据是指 VT 与 VISC间进行信息交换的数据 ,在被泄露或被滥用后会对 VISC提供商或用户造成严重影响 。严重影响提供商经济效益或造成财产重大损失 ,或会对人身和财产安全造成重大威胁 。

　　A.4 数据分级示例

　　数据分级示例见表 A. 1。

　　表 A. 1 数据分级示例

　　数据敏感性分级

　　数据敏感性分级示例

　　一般数据

　　VT注册 、VT登录 、VT心 跳 、VT 参 数 查 询 、VT 参 数 设 置 、事 项 通 知 、安 全 芯 片 信 息 备案 、语音采集 、设置区域和路线 、删除区域和路线 、区域及路线偏离 提 醒 、区 域 及 路 线 偏 离报警

　　重要数据

　　位置查询 、位置跟踪 、位置上报 、车 载 信 息 数 据 上 报 、事 件 数 据 上 报 、紧 急 救 援 报 警 、故 障码上报 、故障检测 、故障码清除 、安全事件上报

　　敏感数据

　　VT控制 、车辆控制

　　注 : 业务数据格式符合 GB/T 30290. 2—2025的规定 。

　　14

　　GB/T 30290.3—2025

　　附 录 B (资料性)

　　数字证书管理

　　B. 1 数字证书分配

　　B. 1. 1 VT备案

　　VT识别码(例如 :终端 ID等)预先上传至 CA进行备案 。备案成功后 ,VT数字证书分配方式可根据具体应用场景选择在线分配方式或离线分配方式 。

　　B. 1.2 在线分配方式

　　VT 与 CA通过无线网络通信方式 ,采用挑战/应答方式认证 VT 身份的合法性 。 挑战/应答方式加入 VT识别码 、时间戳及随机数等因子 ,且认证通过后 VT才能下载数字证书 ,认证流程见图 B. 1。

　　图 B. 1 VT身份认证流程

　　具体流程如下 :

　　a) VT 向 CA发送 VT识别码 ;

　　b) CA接收请求后 ,验证 VT识别码是否合法 ,若验证失败 ,则断开连接 ;若验证成功 ,则生成 一次性口令原语返回 VT, 口令原语由随机数和时间戳组成 ;

　　c) VTSCM生成签名密钥 ,VT使用口令原语通过口令算法(口令算法由双方协商制定) 计算生成一次性口令后 ,VT将 VT识别码 、一次性口令和签名公钥发送给 CA;

　　d) CA通过口令算法计算一次性口令 ,并与 VT传来的一次性口令进行比较 ,若校验成功 ,VT 通过认证 ,否则断开连接 ;

　　e) 认证通过后 , 由 CA对签名公钥进行签发生成签名证书 , 同时生成加密证书采用签名公钥对加密证书私钥进行加密 ,生成加密证书私钥密文 ,将签名证书 、加密证书和加密证书私钥密文传回 VT并保存在 VTSCM 中 。

　　15

　　GB/T 30290.3—2025

　　B. 1.3 离线分配方式

　　VT与上位机采用物理通信方式 ,离线分配流程见图 B. 2。

　　图 B.2 离线分配流程

　　具体流程如下 :

　　a) 上位机向 VT发起数字证书分配请求 ;

　　b) VTSCM生成签名密钥 ,VT将 VT识别码和签名公钥发送到上位机 ;

　　c) 上位机将 VT识别码和签名公钥转发到 CA;

　　d) CA验证 VT识别码是否合法 ,若验证成功 , 由 CA对签名公钥进行签发生成签名证书 , 同时生成加密证书采用签名公钥对加密证书私钥进行加密 ,生成加密证书私钥密文 ,否则 ,断开连接 ;

　　e) CA将签名证书 、加密证书和加密证书私钥密文传回上位机 ,再转发到 VT;

　　f) VT将签名证书 、加密证书和加密证书私钥密文存入 VTSCM 中 ,将应答结果返回上位机 。

　　B.2 数字证书更新

　　VT检验数字证书是否过期(数字证书有效期不宜超过 5 年) ,若已过期 ,发送 VT识别码到 CA(流程见 B. 1. 2) 。CA验证成功后 ,校验数字证书是否符合更新条件 ,若符合 ,重新签发 ,否则断开连接 ,取消更新 。

　　B.3 数字证书撤销

　　当 VT 出现损坏或密钥泄露等情况时 ,执行数字证书撤销流程 。CA 收到数字证书撤销请求 ,对其中的 VT识别码进行验证 ,验证通过后 ,撤销对应数字证书 ,并更新到 CRL。

　　16

　　GB/T 30290.3—2025

　　附 录 C

　　(资料性)

　　车载终端安全防护措施示例

　　C. 1 硬件安全

　　VT硬件安全防护措施如下 :

　　a) 不存在后门或隐蔽接 口 ;

　　b) 禁用调试接口或对调试接口设置安全访问控制 。

　　C.2 系统安全

　　VT 系统安全防护措施如下 :

　　a) 具备安全启动机制 ;

　　b) 不存在由权威漏洞平台公开发布 6个月及以上且未经处置的高危及以上的安全漏洞 。

　　C.3 网络安全

　　VT 网络安全防护措施如下 :

　　a) 对带有攻击行为特征的网络数据进行识别 ,且识别率不低于 95% ;

　　b) 关闭非业务相关的网络服务端 口 ,并对业务相关的网络服务端口进行访问控制 ;

　　c) 通过对数据包的源地址 、目的地址 、源端 口 、目的端口和协议进行检查 ,判定允许或拒绝数据包进出 。

　　C.4 应用软件安全

　　VT应用软件安全防护措施如下 :

　　a) 具备判定和授予应用程序对系统资源的访问和操作权限的能力 ;

　　b) 具备可信验证机制 ;

　　c) 使用安全措施 ,例如混淆 、加壳等 , 防止被逆向分析 。

　　C.5 隐私数据保护

　　VT 隐私数据保护防护措施如下 :

　　a) 采集与用户身份 、车辆位置信息等相关的数据 ,在隐私协议中明确采集的用户数据并通过显著告知的方式得到用户的授权 ;

　　b) 数据在存储以及使用过程中 ,只准许被授权的应用读取和修改 。涉及用户数据时 ,采用加密形式保存 。

　　C.6 安全事件上报

　　VT具备安全事 件 上 报 功 能 。 在 检 测 到 车 辆 安 全 事 件 后 , VT 将 安 全 事 件 上 报 到 VISC 进 行 记录 ,安全事件上报请求数据格式符合 GB/T 30290. 2—2025 中表 40的规定 。

　　17

　　GB/T 30290.3—2025

　　附 录 D

　　(资料性)

　　车辆信息服务中心安全防护措施示例

　　D. 1 数据安全

　　数据安全防护措施如下 :

　　a) 采用密码技术保证重要数据和敏感数据在传输与存储过程中的完整性和机密性 ;

　　b) 提供重要数据和敏感数据的加密备份与恢复功能 ,并定期备份 ;

　　c) 对用户信息严格保密 ,建立健全用户信息保护制度 ;

　　d) 采取技术手段防止未经授权访问和非法使用用户个人信息 。

　　D.2 结构安全

　　根据不同车辆信息安全的要求 ,系统结构安全防护措施如下 :

　　a) 在 VT 与 VISC之间建立安全的访问路径 ;

　　b) 采用安全的接口协议 ,保证 VISC各模块接口之间交互数据的机密性 、完整性和可用性 。

　　D.3 访问控制

　　支持以下访问控制配置功能 。

　　a) 针对不同 VT制定不同的应用服务访问控制策略 。

　　b) 提供以下访问限制能力 :

　　1) 仅允许授权 VT对应用服务进行访问 ;

　　2) 授权 VT对应用服务进行访问的内容 、次数和时长等不能超出设定的范围 。

　　D.4 入侵检测

　　入侵检测防护措施如下 :

　　a) 能对非授权 VT接入的行为进行检测 、记录和定位 ;

　　b) 具备对无线接入设备的网络扫描 、拒绝服务攻击 、密码破解 、中间人攻击和欺骗攻击等行为进行检测 、记录 、分析和定位的能力 ;

　　c) 采取技术措施对 VISC 的网络行为进行分析 , 实现对网络攻击特别是新型网络攻击的检测和分析 。

　　D.5 安全审计

　　安全审计防护措施如下 :

　　a) 对 VT上报的业务数据定期进行审计 ;

　　b) 确保审计记录的留存时间符合法律法规要求 ;

　　c) 审计记录产生时间由系统范围内唯一确定的时钟产生 , 以确保审计分析的正确性 ;

　　d) 对审计进程进行保护 , 防止未经授权的中断 。

　　18

　　GB/T 30290.3—2025

　　参 考 文 献

　　[1] GB/T 25069—2022 信息安全技术 术语

　　19