《汽車記錄儀數(shù)據(jù)安全芯片技術(shù)要求》

ICS43.040.10

CCST35

團(tuán)體標(biāo)準(zhǔn)

T/CTSXX—XXXX

汽車記錄儀數(shù)據(jù)安全芯片技術(shù)要求

Technicalrequirementsofdatasecuritychip

forvehiclerecorder

（征求意見稿）

20XX-XX-XX發(fā)布20XX-XX-XX實(shí)施

中國道路交通安全協(xié)會(huì)發(fā)布

T/CTSXXX—XXXX

汽車記錄儀數(shù)據(jù)安全芯片技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了適用汽車記錄儀的數(shù)據(jù)安全芯片的安全功能需求分類、安全算法技術(shù)要求、安全算法

性能指標(biāo)，記錄數(shù)據(jù)可信驗(yàn)證的加密數(shù)字簽名格式和數(shù)據(jù)安全的數(shù)字證書格式，以及支持和實(shí)現(xiàn)車聯(lián)網(wǎng)

網(wǎng)絡(luò)安全功能的通信協(xié)議格式和通信過程技術(shù)要求。

本標(biāo)準(zhǔn)適用于安裝在車輛上的汽車記錄儀的數(shù)據(jù)安全芯片的技術(shù)規(guī)范要求。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB2312信息交換用漢字編碼字符集基本集

GB16735道路車輛車輛識(shí)別代號（VIN）

GB/T19056汽車行駛記錄儀

GB/T32905信息安全技術(shù)SM3密碼雜湊算法

GB/T32907信息安全技術(shù)SM4分組密碼算法

GB/T32918信息安全技術(shù)SM2橢圓曲線公鑰密碼算法

GA36中華人民共和國機(jī)動(dòng)車號牌

GMT0008安全芯片密碼檢測準(zhǔn)則

T/CTSXX汽車行駛記錄儀聯(lián)網(wǎng)通信技術(shù)要求

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

數(shù)據(jù)安全芯片datasecuritychip

含有密碼算法、安全功能，可實(shí)現(xiàn)密鑰管理機(jī)制、算法執(zhí)行、數(shù)據(jù)安全存儲(chǔ)及通信功能的集成電路

芯片。

3.2

安全密鑰securitykey

控制密碼變換操作的關(guān)鍵信息或參數(shù)。

3.3

數(shù)字簽名digitalsignature

1

T/CTSXXX—XXXX

由且只由信息發(fā)送者生成的附在數(shù)據(jù)后面的數(shù)字串，或?qū)?shù)據(jù)通過密碼變換方式進(jìn)行操作。數(shù)據(jù)的

接收者可以通過驗(yàn)證數(shù)字簽名來鑒別數(shù)據(jù)的來源和完整性，數(shù)字簽名還可以保護(hù)數(shù)據(jù)不被篡改、偽造，

保證數(shù)據(jù)的不可否認(rèn)性。

3.4

數(shù)字證書digitalcertificate

網(wǎng)絡(luò)通信中用于標(biāo)識(shí)設(shè)備身份、存放密鑰、并具備有效性數(shù)字簽名驗(yàn)證的一組數(shù)據(jù)集合。

3.5

證書管理certificatemanagement

根據(jù)安全策略，對數(shù)字證書的產(chǎn)生、認(rèn)證、注銷、分發(fā)、安裝、更新、刪除和銷毀等操作制定并實(shí)

施一組確定的規(guī)則。

3.6

雙向鑒權(quán)mutualauthentication

通信的發(fā)起方和接受方均具備證明自身和驗(yàn)證對方合法性的能力，并在通信的開始進(jìn)行證明和驗(yàn)證

的過程。

3.7

上行傳輸upload

由記錄儀發(fā)出的，通過無線公共通信網(wǎng)絡(luò)發(fā)送到遠(yuǎn)程網(wǎng)絡(luò)設(shè)備或計(jì)算機(jī)的數(shù)據(jù)傳輸方式。

3.8

下行傳輸download

由遠(yuǎn)程網(wǎng)絡(luò)設(shè)備或計(jì)算機(jī)發(fā)出的，通過無線公共通信網(wǎng)絡(luò)發(fā)送到記錄儀的數(shù)據(jù)傳輸方式。

3.9

生命周期lifecycle

記錄儀設(shè)備從生產(chǎn)、出廠、預(yù)裝、安裝、運(yùn)行、維修、報(bào)廢使用的全過程。

3.10

記錄儀編號recorderID

記錄儀的唯一性編號標(biāo)識(shí)，由生產(chǎn)廠商名稱縮寫（2個(gè)大寫字符）、產(chǎn)品型號簡稱（3個(gè)大寫字符或

數(shù)字）、以及產(chǎn)品生產(chǎn)流水號（8位數(shù)字）組成。

4縮略語

下列縮略語適用于本文件。

SM1：國家商用密碼算法定義的一種算法不公開的對稱密鑰加密及解密算法；

2

T/CTSXXX—XXXX

SM2：國家商用密碼算法定義的一種橢圓曲線公鑰密碼算法；

SM3：國家商用密碼算法定義的一種密碼雜湊算法；

AES128：密鑰長度為128位的AES（advancedencryptionstandard）加密及解密算法；

AES256：密鑰長度為256位的AES（advancedencryptionstandard）加密及解密算法；

SHA256：摘要信息長度為256位的SHA-1（securehashalgorithm1）數(shù)據(jù)摘要算法；

SHA512：摘要信息長度為512位的SHA-1（securehashalgorithm1）數(shù)據(jù)摘要算法；

RSA2048：密鑰長度為2048位的非對稱RSA加密及解密算法；

CRC16：結(jié)果為16比特的循環(huán)冗余校驗(yàn)（cyclicredundancycheck）

CBC：密文分組鏈接方式（cipherblockchaining）

IV：初始化向量（initializationvector）

PKCS1：長度數(shù)據(jù)填充模式1（PKCS1padding）

PKCS7：長度數(shù)據(jù)填充模式7（PKCS7padding）

5一般功能

5.1加密與解密

5.1.1數(shù)據(jù)安全芯片的加密與解密應(yīng)支持以下算法：

a)對稱加密與解密算法SM1、SM4、AES128和AES256；

b)非對稱加密與解密算法SM2、RSA2048。

5.1.2數(shù)據(jù)安全芯片的加密與解密功能應(yīng)支持以下方式：

a)對稱加密與解密過程采用CBC模式，CBC的初始化向量IV為00H（所有數(shù)據(jù)字節(jié)為00H）；

b)對稱加密的源數(shù)據(jù)需要填充時(shí)，無特定要求的采用PKCS7；

c)非對稱加密的源數(shù)據(jù)需要填充時(shí)，無特定要求的采用PKCS1；

d)按數(shù)字證書的密鑰和算法加密或解密源數(shù)據(jù)；

e)按給定密鑰和算法要求加密或解密源數(shù)據(jù)；

5.2數(shù)字簽名及驗(yàn)簽

5.2.1數(shù)據(jù)安全芯片的數(shù)字簽名和驗(yàn)簽應(yīng)支持以下算法：

a)數(shù)據(jù)摘要算法SM3、SHA256、SHA512；

b)簽名和驗(yàn)簽算法SM2、RSA2048。

5.2.2數(shù)據(jù)安全芯片的簽名和驗(yàn)簽功能應(yīng)符合以下要求：

a)按數(shù)字證書的密鑰和算法對源數(shù)據(jù)進(jìn)行簽名；

b)按給定的密鑰和算法對源數(shù)據(jù)進(jìn)行簽名；

c)按數(shù)字證書的密鑰和算法對源數(shù)據(jù)及其簽名數(shù)據(jù)進(jìn)行驗(yàn)簽；

d)按給定的密鑰和算法對源數(shù)據(jù)及其簽名數(shù)據(jù)進(jìn)行驗(yàn)簽；

e)數(shù)字簽名格式應(yīng)符合附錄A表A.7的要求；

f)SM2簽名算法的可辨別標(biāo)識(shí)ID為“GB/T19056-2021”；

g)以記錄儀編號、芯片時(shí)間、數(shù)字證書為參數(shù)生成設(shè)備實(shí)時(shí)驗(yàn)證碼（6位數(shù)字）。

5.3數(shù)字證書

3

T/CTSXXX—XXXX

5.3.1數(shù)據(jù)安全芯片的數(shù)字證書功能應(yīng)符合以下要求：

a)數(shù)據(jù)安全芯片支持的數(shù)據(jù)證書數(shù)量應(yīng)符合附錄A表A.5的要求；

b)數(shù)據(jù)安全芯片支持的數(shù)據(jù)證書格式應(yīng)符合附錄A表A.6的要求；

c)數(shù)字證書的更新和刪除權(quán)限應(yīng)符合附錄A表A.5的權(quán)限關(guān)系要求。

5.4實(shí)時(shí)時(shí)鐘

5.4.1數(shù)據(jù)安全芯片的實(shí)時(shí)時(shí)鐘應(yīng)滿足以下要求：

a)應(yīng)內(nèi)置實(shí)時(shí)時(shí)鐘，除電源外，實(shí)時(shí)時(shí)鐘的運(yùn)行不依賴外部元器件；

b)應(yīng)記錄實(shí)時(shí)時(shí)鐘的末段時(shí)間點(diǎn)（精確到分鐘），當(dāng)數(shù)據(jù)安全芯片外部所有電源失效后重新上

電運(yùn)行時(shí)，實(shí)時(shí)時(shí)鐘應(yīng)從末段時(shí)間點(diǎn)開始，時(shí)間的年、月、日、時(shí)、分?jǐn)?shù)值不應(yīng)發(fā)生改變；

c)數(shù)據(jù)安全芯片應(yīng)能檢測外部所有電源失效引起的時(shí)鐘停振，并記錄時(shí)鐘停振次數(shù)；

d)數(shù)據(jù)安全芯片應(yīng)具備通過衛(wèi)星定位的時(shí)間數(shù)據(jù)進(jìn)行自動(dòng)對時(shí)，和通過通信接口進(jìn)行外部對時(shí)

的時(shí)間校準(zhǔn)的功能；

e)進(jìn)行任何方式的時(shí)間校準(zhǔn)，向后對時(shí)（時(shí)間倒退）的時(shí)間跨度應(yīng)不大于60秒，且在連續(xù)的24

小時(shí)內(nèi)只能進(jìn)行一次。

5.5聯(lián)網(wǎng)雙向鑒權(quán)

5.5.1數(shù)據(jù)安全芯片支持記錄儀的聯(lián)網(wǎng)鑒權(quán)功能應(yīng)符合以下要求：

a)數(shù)據(jù)安全芯片的發(fā)起的聯(lián)網(wǎng)鑒權(quán)數(shù)據(jù)應(yīng)至少包含鑒權(quán)輪次、鑒權(quán)時(shí)間、隨機(jī)數(shù)據(jù)；

b)數(shù)據(jù)安全芯片的發(fā)起的聯(lián)網(wǎng)鑒權(quán)數(shù)據(jù)應(yīng)支持包含記錄儀給出的特定數(shù)據(jù)；

c)數(shù)據(jù)安全芯片應(yīng)保存數(shù)字證書對應(yīng)的鑒權(quán)輪次。

5.5.2聯(lián)網(wǎng)雙向鑒權(quán)流程如圖1

車聯(lián)網(wǎng)平臺(tái)記錄儀數(shù)據(jù)安全芯片備注

登錄無線公共網(wǎng)絡(luò)

獲取平臺(tái)返回參數(shù)及

通信參數(shù)設(shè)備鑒權(quán)碼

接受連接車聯(lián)網(wǎng)平臺(tái)

連接

返回鑒權(quán)結(jié)果發(fā)送設(shè)備信息

及平臺(tái)鑒權(quán)碼及設(shè)備鑒權(quán)碼

不通過通過

延時(shí)發(fā)送平臺(tái)返回平臺(tái)

重試鑒權(quán)碼鑒權(quán)結(jié)果

通過不通過

平臺(tái)確認(rèn)發(fā)送平臺(tái)延時(shí)

登錄鑒權(quán)完成鑒權(quán)結(jié)果重試

開始聯(lián)網(wǎng)通信

4

T/CTSXXX—XXXX

圖1聯(lián)網(wǎng)雙向鑒權(quán)流程示意圖

5.6存儲(chǔ)器保護(hù)

5.6.1數(shù)據(jù)安全芯片的存儲(chǔ)器保護(hù)功能應(yīng)符合以下要求：

a)數(shù)據(jù)安全芯片應(yīng)保存存儲(chǔ)器初始化時(shí)給出的存儲(chǔ)器寫保護(hù)解鎖密鑰；

b)數(shù)據(jù)安全芯片生成的單次寫保護(hù)解鎖數(shù)據(jù)應(yīng)至少包含解鎖輪次、解鎖時(shí)間、隨機(jī)數(shù)據(jù)，并支

持包含設(shè)備給出的存儲(chǔ)器型號。

5.6.2存儲(chǔ)器保護(hù)初始化流程如圖2：

數(shù)據(jù)存儲(chǔ)器記錄儀數(shù)據(jù)安全芯片備注

生成隨機(jī)密鑰讀取初始化密鑰

并加密發(fā)送

發(fā)送初始化密鑰密文解密并保存

至數(shù)據(jù)安全芯片解鎖密鑰

接收解鎖鑒權(quán)返回解鎖鑒權(quán)

接收并鑒權(quán)發(fā)送解鎖鑒權(quán)

鑒權(quán)

并解鎖寫保護(hù)

圖2存儲(chǔ)器保護(hù)初始化流程示意圖

5.6.3存儲(chǔ)器保護(hù)單次解鎖流程如圖3：

數(shù)據(jù)存儲(chǔ)器記錄儀數(shù)據(jù)安全芯片備注

通電啟動(dòng)后發(fā)送接收請求并

存儲(chǔ)器解鎖請求生成解鎖鑒權(quán)

接收解鎖鑒權(quán)返回解鎖鑒權(quán)

接收并鑒權(quán)發(fā)送解鎖鑒權(quán)

若鑒權(quán)通過

則解鎖寫保護(hù)

圖3存儲(chǔ)器保護(hù)單次解鎖流程示意圖

5.7記錄儀啟動(dòng)安全

5.7.1數(shù)據(jù)安全芯片應(yīng)支持記錄儀軟件安全的能力，并符合以下要求：

a)數(shù)據(jù)安全芯片應(yīng)至少具備1路的功能模塊控制信號輸出，用于記錄儀的軟件功能安全；

b)數(shù)據(jù)安全芯片應(yīng)至少具備1路的軟件芯片片選信號輸出，用于記錄儀的軟件代碼安全；

5

T/CTSXXX—XXXX

c)數(shù)據(jù)安全芯片的信號輸出應(yīng)具備有效性輸出極性定義和控制方式定義；

d)數(shù)據(jù)安全芯片的功能模塊控制信號的輸出在芯片上電后應(yīng)處于控制無效；

e)數(shù)據(jù)安全芯片的軟件芯片片選信號的輸出在芯片上電后使能有效，經(jīng)過指定時(shí)間后應(yīng)處于使

能無效。

5.7.2設(shè)備軟件安全連接如圖4：

聯(lián)網(wǎng)數(shù)據(jù)軟件簽名

記錄儀CPU

安全芯片

聯(lián)網(wǎng)通信模塊模塊使能

（簽名驗(yàn)證）

其他控制

軟件片選

圖4設(shè)備軟件安全連接示意圖

5.8設(shè)備軟件升級安全

5.8.1數(shù)據(jù)安全芯片應(yīng)具備支持記錄儀軟件升級安全的能力，并符合以下要求：

a)數(shù)據(jù)安全芯片應(yīng)至少具備1路的軟件芯片寫保護(hù)信號輸出，用于記錄儀的軟件升級安全；

b)數(shù)據(jù)安全芯片的軟件芯片寫保護(hù)信號的輸出在芯片上電后應(yīng)處于保護(hù)使能；

c)記錄儀進(jìn)行軟件升級時(shí)，數(shù)據(jù)安全芯片在驗(yàn)證原版本簽名信息和記錄新版本摘要數(shù)據(jù)和簽名

信息后解鎖軟件芯片寫保護(hù)特定的時(shí)間。

d)記錄儀進(jìn)行軟件升級時(shí)，數(shù)據(jù)安全芯片在驗(yàn)證新版本信息時(shí)應(yīng)同時(shí)比對硬件版本號。

5.8.2設(shè)備軟件升級安全連接如圖5：

軟件代碼升級簽名

記錄儀CPU

安全芯片

軟件芯片寫保護(hù)信號

（簽名驗(yàn)證）

圖5設(shè)備軟件升級安全連接示意圖

5.9車載總線安全

5.9.1數(shù)據(jù)安全芯片應(yīng)具備支持記錄儀總線安全的能力，并符合以下要求：

a)數(shù)據(jù)安全芯片應(yīng)至少具備1路的總線發(fā)送使能信號輸出，用于記錄儀的總線安全；

b)數(shù)據(jù)安全芯片的總線發(fā)送使能信號應(yīng)具備使能輸出極性定義和使能控制方式定義；

c)數(shù)據(jù)安全芯片的總線發(fā)送使能信號的輸出在芯片上電后應(yīng)處于無效狀態(tài)；

d)數(shù)據(jù)安全芯片在驗(yàn)證總線數(shù)據(jù)的簽名有效后使能總線發(fā)送特定的時(shí)間。

6

T/CTSXXX—XXXX

5.9.2設(shè)備總線安全連接如圖6：

總線數(shù)據(jù)數(shù)據(jù)簽名

記錄儀CPU

安全芯片

總線收發(fā)器件總線發(fā)送使能

（簽名驗(yàn)證）

圖6設(shè)備總線安全連接示意圖

5.10行駛記錄儀安裝自檢

5.10.1安裝在汽車行駛記錄儀的數(shù)據(jù)安全芯片應(yīng)具備行駛記錄儀安裝自檢功能，且符合以下要求：

a)數(shù)據(jù)安全芯片應(yīng)至少具備6路的開關(guān)量輸入信號，輸入信號應(yīng)包括點(diǎn)火開關(guān)、制動(dòng)踏板、車

速脈沖、安全帶、左轉(zhuǎn)向、右轉(zhuǎn)向信號。

b)任意未被屏蔽的輸入信號在連續(xù)運(yùn)行的48小時(shí)內(nèi)未發(fā)生信號變化，對應(yīng)故障位應(yīng)被標(biāo)識(shí)為故

障。

c)數(shù)據(jù)安全芯片應(yīng)能接收和解析衛(wèi)星定位數(shù)據(jù)，連續(xù)運(yùn)行的48小時(shí)內(nèi)衛(wèi)星定位持續(xù)無效，對應(yīng)

故障位應(yīng)被標(biāo)識(shí)為故障。

5.11行駛記錄儀管理

5.11.1安裝在汽車行駛記錄儀的數(shù)據(jù)安全芯片應(yīng)具備行駛記錄儀管理功能，且符合以下要求：

a)數(shù)據(jù)安全芯片保存行駛記錄儀的設(shè)備生命周期狀態(tài)，狀態(tài)包括：生產(chǎn)檢驗(yàn)、出廠待裝、車輛

預(yù)裝、安裝自檢、正式運(yùn)行、返廠維修、設(shè)備報(bào)廢等狀態(tài)；

b)數(shù)據(jù)安全芯片應(yīng)具備將產(chǎn)品生命周期狀態(tài)信息、產(chǎn)品故障信息通過外部處理器及與之相連的

聯(lián)網(wǎng)通信模塊發(fā)送到行駛記錄儀管理平臺(tái)的功能；

c)記錄儀在“生產(chǎn)檢驗(yàn)”狀態(tài)下可以設(shè)置生產(chǎn)檢驗(yàn)用VIN號和車牌號碼，VIN號宜設(shè)為

“TESTXXXXXXXXXXXXX”格式，車牌號碼宜設(shè)為“檢X-XXXXX”，汽車電子標(biāo)識(shí)序列號宜設(shè)為

“99XXXXXXXXXX-X”；

d)記錄儀在轉(zhuǎn)為“出廠待裝”狀態(tài)時(shí)，應(yīng)刪除生產(chǎn)檢驗(yàn)用VIN號、車牌號碼、汽車電子標(biāo)識(shí)序

列號，轉(zhuǎn)為未設(shè)置狀態(tài)；

e)記錄儀在“車輛預(yù)裝”狀態(tài)下可以設(shè)置車輛VIN號；

f)記錄儀未設(shè)置VIN號的，“安裝自檢”完成（無故障）狀態(tài)下可以設(shè)置VIN號，VIN號一經(jīng)設(shè)

置，僅允許修改一次，且修改的字符數(shù)量不大于4個(gè)。

g)記錄儀未設(shè)置車牌號碼的，在“安全自檢”完成（無故障）狀態(tài)下可以設(shè)置，車牌號碼一經(jīng)

設(shè)置，僅允許修改一次，且修改的字符數(shù)量不大于2個(gè)，漢字按一個(gè)字符計(jì)算。

h)記錄儀未設(shè)置汽車電子標(biāo)識(shí)序列號的，在“安全自檢”完成（無故障）狀態(tài)下可以設(shè)置，汽

車電子標(biāo)識(shí)序列號一經(jīng)設(shè)置，僅允許修改一次，且修改的字符數(shù)量不大于4個(gè)。

i)在“安全自檢”完成（無故障）狀態(tài)下，且已經(jīng)完成VIN號、車牌號碼設(shè)置，才能進(jìn)入“正

式運(yùn)行”狀態(tài)，安裝汽車電子標(biāo)識(shí)的，應(yīng)設(shè)置汽車電子標(biāo)識(shí)序列號；

j)在“正式運(yùn)行”狀態(tài)下，已設(shè)置的VIN號、車牌號碼和汽車電子標(biāo)識(shí)序列號不能更改，需要

修改車牌號碼和汽車電子標(biāo)識(shí)序列號的，應(yīng)通過數(shù)據(jù)管理平臺(tái)進(jìn)行；

7

T/CTSXXX—XXXX

k)記錄儀應(yīng)在一個(gè)通電周期里完成“安裝自檢”到“正式運(yùn)行”的狀態(tài)轉(zhuǎn)換，“安裝自檢”狀

態(tài)下設(shè)備斷電后重新通電運(yùn)行應(yīng)重新開始安裝自檢。

5.11.2行駛記錄儀設(shè)備生命周期狀態(tài)轉(zhuǎn)換如圖7：

車輛預(yù)裝返廠維修退服報(bào)廢

值減小

4HFH

生產(chǎn)檢驗(yàn)出廠待裝車輛安裝安裝自檢正式運(yùn)行其他狀態(tài)

2H3H5H6H8H0H~8H

圖7行駛記錄儀設(shè)備生命周期狀態(tài)轉(zhuǎn)換示意圖

5.11.3行駛記錄儀設(shè)備生命周期狀態(tài)轉(zhuǎn)換應(yīng)符合以下要求：

a)數(shù)據(jù)安全芯片進(jìn)入“退服報(bào)廢”狀態(tài)后不能再次改變其狀態(tài)；

b)除“退服報(bào)廢”狀態(tài)外，其他任何狀態(tài)可進(jìn)入“返廠維修”狀態(tài)。

c)生命周期狀態(tài)值（如表A.11：狀態(tài)字位04～01）減小視為“返廠維修”

5.12通信協(xié)議

數(shù)據(jù)安全芯片應(yīng)支持附錄A要求的通信協(xié)議。

6性能要求

6.1安全能力

6.1.1數(shù)據(jù)安全芯片的安全能力應(yīng)符合GM/T0008-2012安全等級2或安全等級3的要求。

6.2加密與解密

6.2.1數(shù)據(jù)安全芯片使用對稱算法加密和解密不大于256字節(jié)的源數(shù)據(jù)，所需時(shí)間應(yīng)不大于10ms；

6.2.2數(shù)據(jù)安全芯片使用非對稱算法加密和解密不大于256字節(jié)的源數(shù)據(jù)，所需時(shí)間應(yīng)不大于200ms。

6.3數(shù)字證書管理

6.3.1數(shù)據(jù)安全芯片對數(shù)字證書的更新和刪除，所需時(shí)間應(yīng)不大于100ms；

6.3.2數(shù)據(jù)安全芯片存儲(chǔ)和管理的數(shù)字證書數(shù)量應(yīng)不少于32。

6.4數(shù)字簽名及驗(yàn)簽

6.4.1數(shù)據(jù)安全芯片使用任意算法進(jìn)行數(shù)字簽名或驗(yàn)簽，所需時(shí)間應(yīng)不大于200ms。

6.5軟件安全驗(yàn)證

6.5.1數(shù)據(jù)安全芯片應(yīng)至少保存4個(gè)主控制器軟件版本對應(yīng)的軟件完整性摘要數(shù)據(jù)或軟件簽名數(shù)據(jù)。

6.6實(shí)時(shí)時(shí)鐘

8

T/CTSXXX—XXXX

6.6.1未進(jìn)行校準(zhǔn)的條件下，實(shí)時(shí)時(shí)鐘的運(yùn)行誤差在連續(xù)的30天內(nèi)應(yīng)不大于15秒；

6.6.2芯片主電源關(guān)閉條件下，使用后備電池供電時(shí)，消耗電流應(yīng)不大于2uA。

6.7環(huán)境溫度適應(yīng)性

6.7.1數(shù)據(jù)安全芯片應(yīng)具備在于-40℃～85℃環(huán)境溫度條件下工作的能力。

9

T/CTSXXX—XXXX

附錄A

（規(guī)范性）

通信協(xié)議

A.1通用約定

數(shù)據(jù)安全芯片的通信應(yīng)遵循以下傳輸約定：

a）本標(biāo)準(zhǔn)所有通信協(xié)議中的數(shù)據(jù)采用十六進(jìn)制編碼、8421BCD碼、ASCⅡ字符集及GB2312字符

集（采用EUC-CN表示方法）；涉及的數(shù)據(jù)類型縮寫和數(shù)值范圍約定：

---Bit：比特位（0或1）

---BIN：若干字節(jié)十六進(jìn)制數(shù)據(jù)

---U08：單字節(jié)無符號數(shù)（0～255）

---S08：單字節(jié)有符號數(shù)（-128～127）

---U16：雙字節(jié)無符號數(shù)（0～65535）

---S16：雙字節(jié)有符號數(shù)（-32768～32767）

---U32：四字節(jié)無符號數(shù)（0～4294967295）

---S32：四字節(jié)有符號數(shù)（-2147483648～2147483647）

---BCD：若干字節(jié)的壓縮BCD碼（0～99）（單字節(jié)表示范圍）

---ASC：僅包含英文字符和數(shù)字的ASCII字符串

---STR：GB2312字符串（含英文和數(shù)字字符）

b）ASC和STR字符串未約定長度的以00H結(jié)尾，指定長度的不足部分以00H填充；

c）如未特別說明，本標(biāo)準(zhǔn)所有附錄數(shù)據(jù)的存儲(chǔ)、傳輸順序采用大端模式（Big-Endian）模式：高

字節(jié)在前（低位地址）、低字節(jié)在后（高位地址）；

d）十六進(jìn)制數(shù)據(jù)以后綴‘H’表示：xxH，‘x’為字符‘0’～‘9’和‘A’～‘F’；十進(jìn)制數(shù)

據(jù)無后綴：xx，‘x’為字符‘0’～‘9’；二進(jìn)制數(shù)據(jù)以后綴‘B’表示：xxB，‘x’為字符

‘0’或‘1’；

e）本標(biāo)準(zhǔn)所有附錄的表格中的字節(jié)序號和字節(jié)數(shù)未能立即確定數(shù)值（因上一項(xiàng)數(shù)據(jù)長度為不確定

的變動(dòng)長度）的以省略號“...”表示；

f）所有數(shù)據(jù)幀的長度應(yīng)不大于16K字節(jié)；

g）本協(xié)議中如未特別說明，數(shù)據(jù)摘要算法均采用SM3，對稱加解密均采用SM1，非對稱加解密及

簽名驗(yàn)簽算法均采用SM2；

h）本附錄中如未特別說明，“記錄儀”特指記錄儀設(shè)備或與數(shù)據(jù)安全芯片通信的處理器，“芯片”

特指數(shù)據(jù)安全芯片，“證書”特指數(shù)字證書，“簽名”特指數(shù)字簽名；

i）記錄儀與芯片間的通信由記錄儀發(fā)起，記錄儀發(fā)往芯片的數(shù)據(jù)幀簡稱為下行安全幀；芯片發(fā)往

記錄儀數(shù)據(jù)幀簡稱為上行安全幀，主動(dòng)發(fā)起的數(shù)據(jù)幀稱為請求幀，回應(yīng)請求的稱為應(yīng)答幀；

j）本附錄中數(shù)據(jù)集合大小及包含關(guān)系按以下排列：數(shù)據(jù)幀>數(shù)據(jù)段>數(shù)據(jù)組>數(shù)據(jù)項(xiàng)，

數(shù)據(jù)項(xiàng)為一個(gè)具備實(shí)際意義的數(shù)值或位集合。

A.2數(shù)據(jù)幀格式

A.2.1通信的最小有效單元為數(shù)據(jù)幀，一個(gè)通信數(shù)據(jù)幀包含起始段、數(shù)據(jù)段、校驗(yàn)段三個(gè)部分，數(shù)據(jù)

幀長度為這三個(gè)部分的總字節(jié)數(shù)，校驗(yàn)段僅含校驗(yàn)項(xiàng)，數(shù)據(jù)幀格式如表A.1：

10

T/CTSXXX—XXXX

表A.1數(shù)據(jù)幀格式表

項(xiàng)目字節(jié)字節(jié)名稱

段名稱項(xiàng)目名稱數(shù)據(jù)內(nèi)容說明

序號序號數(shù)縮寫

1.11起始字節(jié)1SynB153H/35H

數(shù)據(jù)幀起始字節(jié)

2.21起始字節(jié)2SynB278H

3.32命令字CmdU16

定義段

本表項(xiàng)目1～7部分的

4.52數(shù)據(jù)幀長度SizeU16

總字節(jié)數(shù)

5.72傳輸序列號TImeiU16

6.9xx內(nèi)容段數(shù)據(jù)幀內(nèi)容DataBIN與命令字相關(guān)的數(shù)據(jù)

7....2校驗(yàn)段校驗(yàn)項(xiàng)ChkU16CRC16計(jì)算值

A.2.2記錄儀發(fā)出的下行安全幀起始字節(jié)為53H，78H；芯片發(fā)出的上行安全幀起始字節(jié)為35H，78H。

A.2.3命令字格式如表A.2：

表A.2命令字位定義表

位序號內(nèi)容定義備注

16請求/應(yīng)答幀標(biāo)識(shí)0：請求幀1：應(yīng)答幀

記錄儀請求命令字：000H～5FFH

15～05請求/應(yīng)答碼

芯片請求命令字：600H～7FFH

輔助命令位16=0（請求幀）：

0H～FH：輔助命令

04～01

位16=1（應(yīng)答幀）：

應(yīng)答結(jié)果0H：執(zhí)行成功

1H～FH：錯(cuò)誤代碼，如b)表A.3

A.2.3.1應(yīng)答結(jié)果格式，含義如下：

a)當(dāng)請求被成功執(zhí)行時(shí)，應(yīng)答結(jié)果為0H；

b)當(dāng)請求無法執(zhí)行或執(zhí)行錯(cuò)誤時(shí)，應(yīng)答結(jié)果為1H～FH，表示錯(cuò)誤代碼，同時(shí)幀內(nèi)容段為錯(cuò)誤描

述的STR字符串，

A.2.3.2錯(cuò)誤代碼信息如表A.3：

表A.3錯(cuò)誤返回代碼表

返回值錯(cuò)誤內(nèi)容備注

1H指定的證書ID錯(cuò)誤或證書不存在

11

T/CTSXXX—XXXX

返回值錯(cuò)誤內(nèi)容備注

2H證書中無指定的算法密鑰，或密鑰為空

3H證書過期

4H簽名驗(yàn)證不通過

5H～BH保留

CH～FH未分類的錯(cuò)誤，參照數(shù)據(jù)幀內(nèi)容段錯(cuò)誤信息描述

A.2.4傳輸序列號是用來計(jì)數(shù)傳輸數(shù)據(jù)幀，記錄儀在發(fā)起通信初始化請求時(shí)復(fù)位為0001H，芯片在應(yīng)

答通信初始化時(shí)復(fù)位為0001H，連接成功后發(fā)送的每個(gè)請求幀各自依次加1，數(shù)據(jù)幀發(fā)生傳輸錯(cuò)誤需要

重傳時(shí)，傳輸序列號不變，傳輸序列號大于FF00H時(shí)，記錄儀應(yīng)重新進(jìn)行通信初始化。記錄儀和芯片在

進(jìn)行應(yīng)答時(shí)，應(yīng)答幀的傳輸序列號應(yīng)和請求幀傳輸序列號一致。

A.2.5校驗(yàn)項(xiàng)為j）表A.1項(xiàng)目1～6所有字節(jié)的CRC16值，CRC16值計(jì)算算法采用CRC16-CCITT方法，生成

多項(xiàng)式為：x^16+x^15+x^2+1。

A.3算法ID

A.3.1本協(xié)議中涉及安全算法，算法類別及對應(yīng)代碼如表A.4：

表A.4算法ID表

項(xiàng)目算法

說明密鑰長度密鑰分類備注

序號ID

1.11HSM1對稱加解密算法128加解密/簽名驗(yàn)簽

2.13HSM3數(shù)據(jù)摘要加密128附加Salt值

3.14HSM4分組密碼加解密算法128加解密/簽名驗(yàn)簽

4.31HAES128對稱加解密算法128加解密/簽名驗(yàn)簽

5.32HAES256對稱加解密算法256加解密/簽名驗(yàn)簽

6.SM2非對稱加密算法512公鑰加密

52H

7.SM2非對稱解密算法256私鑰解密

8.SM2非對稱驗(yàn)簽算法512公鑰驗(yàn)簽

54H

9.SM2非對稱簽名算法256私鑰簽名

10.RSA2048非對稱加密算法（RSA2）2048公鑰加密

72H

11.RSA2048非對稱解密算法（RSA2）2048私鑰解密

12.RSA2048非對稱驗(yàn)簽算法（RSA2）2048公鑰驗(yàn)簽

74H

13.RSA2048非對稱簽名算法（RSA2）2048私鑰簽名

12

T/CTSXXX—XXXX

A.4數(shù)字證書

A.4.1數(shù)字證書分類表

數(shù)據(jù)安全芯片涉及的數(shù)字證書列表如表A.5：

表A.5數(shù)字證書分類表

項(xiàng)目證書非對稱對稱更新/刪除

說明備注

序號ID算法支持算法支持權(quán)限ID

1.00H出廠初始化證書SM2由固件固化

2.01H總根證書SM2SM1/SM401H自身更新

3.04HGA記錄簽名證書1SM2SM1/SM401H數(shù)字簽名、Salt值

4.05HGX記錄簽名證書2SM2SM1/SM4/AES01H數(shù)字簽名、Salt值

5.08HDM軟件安全證書SM2/RSA

6.10HGA通信根證書SM2SM1/SM401H

7.11HGA通信加密證書SM2SM1/SM401H/10H

8.20HJT通信根證書SM2/RSASM1/SM4/AES01H

9.21HJT通信加密證書SM2/RSASM1/SM4/AES01H/20H

10.22HGX通信根證書SM2/RSASM1/SM4/AES01H

11.23HGX通信加密證書SM2/RSASM1/SM4/AES01H/22H

12.24HHB通信根證書SM2/RSASM1/SM4/AES01H

13.25HHB通信加密證書SM2/RSASM1/SM4/AES01H/24H

14.26HG1通信根證書SM2/RSASM1/SM401HGOV備用1

15.27HG1通信加密證書SM2/RSASM1/SM401H/26H

16.28HG2通信根證書SM2/RSASM1/SM4/AES01HGOV備用2

17.29HG2通信加密證書SM2/RSASM1/SM4/AES01H/28H

18.30HG3通信根證書SM2/RSASM1/SM4/AES01HGOV備用3

19.31HG3通信加密證書SM2/RSASM1/SM4/AES01H/2AH

20.40HVM1通信根證書SM2/RSASM1/SM4/AES01H車輛制造商

21.41HVM1通信加密證書SM2/RSASM1/SM4/AES01H/40H

22.42HVM2通信根證書SM2/RSASM1/SM4/AES01H車輛制造商備用

23.43HVM2通信加密證書SM2/RSASM1/SM4/AES01H/42H

24.50HVS1通信根證書SM2/RSASM1/SM4/AES01H經(jīng)銷商/運(yùn)營商

25.51HVS1通信加密證書SM2/RSASM1/SM4/AES01H/50H

13

T/CTSXXX—XXXX

項(xiàng)目證書非對稱對稱更新/刪除

說明備注

序號ID算法支持算法支持權(quán)限ID

26.52HVS2通信根證書SM2/RSASM1/SM4/AES01H經(jīng)銷商/運(yùn)營商備用

27.53HVS2通信加密證書SM2/RSASM1/SM4/AES01H/52H

28.60HVU1通信根證書SM2/RSASM1/SM4/AES01H/40H車輛使用者

29.61HVU1通信加密證書SM2/RSASM1/SM4/AES01H/60H

30.62HVU2通信根證書SM2/RSASM1/SM4/AES01H/40H車輛使用者備用

31.63HVU2通信加密證書SM2/RSASM1/SM4/AES01H/62H

32.F0H通用測試證書SM2/RSASM1/SM4/AES任意測試用

A.4.2數(shù)字證書格式

A.4.2.1數(shù)字證書格式如表A.6：

表A.6數(shù)字證書格式表

項(xiàng)目字節(jié)字節(jié)數(shù)據(jù)類

名稱說明

序號序號數(shù)型

1.14特征字符ASC固定為：“#GA#”

2.51證書IDBCD如表A.5第2列

3.62證書編號BCD從0001開始

4.85支持的算法ID列表BIN不足填充00H

立即有效可設(shè)為：

5.136證書有效期的開始時(shí)間BCD

010101000000

長期有效可設(shè)為：

6.196證書有效期的結(jié)束時(shí)間BCD

991231000000

具備更新、刪除權(quán)限的

7.254BCD00H為無效數(shù)據(jù)

證書ID列表

8.2932發(fā)證機(jī)構(gòu)名稱STR

9.6140未定義BIN證書備用數(shù)據(jù)

10.1012密鑰數(shù)量U16

11.1032密鑰數(shù)據(jù)總長度U16項(xiàng)目12～24的總字節(jié)數(shù)

12.1051特征字符ASC字符‘@’

13.1061對稱密鑰對稱算法IDU08如表A.4

14.1072（可選）密鑰字節(jié)數(shù)長度U16下一項(xiàng)的總字節(jié)數(shù)

15.109...密鑰數(shù)據(jù)BIN

14

T/CTSXXX—XXXX

項(xiàng)目字節(jié)字節(jié)數(shù)據(jù)類

名稱說明

序號序號數(shù)型

16....1特征字符ASC字符‘#’

17.1非對稱公鑰非對稱算法IDU16如表A.4

18....2（可選）密鑰字節(jié)數(shù)長度U16下一項(xiàng)的總字節(jié)數(shù)

19.......密鑰數(shù)據(jù)BIN如表A.6.1如表A.6.3

20....1特征字符ASC字符‘%’

21.1非對稱私鑰非對稱算法IDU08如表A.4

22....2（可選）密鑰字節(jié)數(shù)長度U16下一項(xiàng)的總字節(jié)數(shù)

23.......密鑰數(shù)據(jù)BIN如表A.6.2如表A.6.4

24.......其他密鑰密鑰定義數(shù)據(jù)BIN同本表12～15部分

25.......證書數(shù)字簽名（如表A.7）U08簽名范圍為項(xiàng)目1～24

26....2證書校驗(yàn)字U16CRC16

注：一種算法ID在一張證書里只能保存一個(gè)對應(yīng)密鑰，同一種非對稱加解密（簽名驗(yàn)簽）算法的公鑰和私鑰（算

法ID不同）不一定是一對密鑰的公鑰和私鑰。

A.4.2.2SM2密鑰公鑰定義如32.表A.6.1

表A.6.1SM2密鑰公鑰定義表

項(xiàng)目字節(jié)字節(jié)數(shù)據(jù)

名稱說明

序號序號數(shù)類型

1.12特征字符ASC固定為：“*X”

2.32公鑰X長度U16

3.5...公鑰X數(shù)據(jù)BIN

4....2特征字符ASC固定為：“*Y”

5....2公鑰Y長度U16

6.......公鑰Y數(shù)據(jù)BIN

A.4.2.3SM2密鑰私鑰定義如32.表A.6.2

表A.6.2SM2密鑰私鑰定義表

項(xiàng)目字節(jié)字節(jié)數(shù)據(jù)

名稱說明

序號序號數(shù)類型

1.12特征字符ASC固定為：“*D”

2.32私鑰D長度U16

15

T/CTSXXX—XXXX

項(xiàng)目字節(jié)字節(jié)數(shù)據(jù)

名稱說明

序號序號數(shù)類型

3.5...私鑰D數(shù)據(jù)BIN

A.4.2.4RSA密鑰公鑰定義如32.表A.6.3

表A.6.3RSA密鑰公鑰定義表

項(xiàng)目字節(jié)字節(jié)數(shù)據(jù)

名稱說明

序號序號數(shù)類型

1.12特征字符ASC固定為：“*N”

2.32公鑰模N長度U16

3.5...公鑰模N數(shù)據(jù)BIN

4....2特征字符ASC固定為：“*E”

5....2公鑰指數(shù)E長度U16

6.......公鑰指數(shù)E數(shù)據(jù)BIN

A.4.2.5RSA密鑰私鑰定義如32.表A.6.4

表A.6.4RSA密鑰私鑰定義表

項(xiàng)目字節(jié)字節(jié)數(shù)據(jù)

名稱說明

序號序號數(shù)類型

1.12特征字符ASC固定為：“*P”

2.32私鑰P長度U16

3.5...私鑰P數(shù)據(jù)BIN

4....2特征字符ASC固定為：“*Q”

5....2私鑰Q長度U16

6.......私鑰Q數(shù)據(jù)BIN

7....2特征字符ASC固定為：“*p”

8....2私鑰dP長度U16

9.......私鑰dP數(shù)據(jù)BIN

10....2特征字符ASC固定為：“*q”

11....2私鑰dQ長度U16

12.......私鑰dQ數(shù)據(jù)BIN

13....2特征字符