车联网身份及密钥管理应用方案 目录 1. 国家政策和规 范 2. 车联网安全框架 3. 车联网密码应用方案 4. 车联网案例应用汇总 1.1 车联网安全性事 件 南卡罗莱纳大 学实现对 TMPS 系统的 攻击与实现利 用 OBD 接 口 控 制汽车 USENIX 安全会 议汽车攻击面分 析报告 DEFCON 短信解 锁斯巴鲁傲虎 DEFCON 会议 上，通过 OBD 2020 1.3 密钥在车联网应用中的意 义 6 密钥协商 非对称协商密钥 OTA 升级 包 合法性和完整性 终端和云端安全 通信和身份认证 终端和终端安全通 信和身份认证 敏感数据 公钥加密 用户控车指令 不可否认性 空中升级数据 完整性 / 真实 性 车端 / 总线数 据 传输机密性 车端及零配件 身份认证 对称 / 非对 称 密钥基础 设施 1.4 4 密钥应用形 态常见的密码模块  加密芯片  智能密码钥匙  明确的边界  加密机  加密软件 OpenSSL Crypto Module 数据输入 数据输出 控制输入 状态输 出 电源 模块 边界 7 1.4 密钥应用等级要求（ 1-4 级） 参见国家标准：《 GMT 0028-2014 密码模块安全技术要求》 安全目标  安全功能 

经建设完成的系统，应尽快进行系统升级，使用 SM2 算法。 近几年，国家密码管理局发布实施了《证书认证系统密码及其相关 技术规范》、《数字证书认证系统密码协议规范》、《数字证书认 证系统检测规范》、《证书认证密钥管理系统检测规范》等标准规 范，2010 年，发布实施了《密码设备应用接口规范》、《通用密码 服务接口规范》、《证书应用综合服务接口规范》及《智能 IC 卡及 智能密码钥匙密码应用接口规范》等包含 完整性保 护机制，关键数据在通过互联网传输时有被非法篡改、非 法窃听的风险。 4、在公文发布、流程审批等关键交易环节，缺乏密码技 术确保审批文件、公文的真实性、完整性、抗抵赖性。 5、缺乏密钥生成、产生、分发、导入、导出、使用、销 毁等全生命周期管理及密码配套相关配套规章制度及应急 处理预案。 4 建设原则 ****单位国产密码升级改造遵循的设计原则如下： 1.合规性原则 国 还要保证技术的稳定、安全性。 5 建设目标 根据《GM/T 0054 信息系统密码应用基本要求》，在物理环境、网 络和通信、设备和计算、应用和数据几个层面分别满足密码应用要 求中对应的等保二级的要求，建设一套合规适用的密钥管理体系， 并在东山省高速****单位建立相应的配套密码安全管理制度，通过 密码技术与安全管理相结合，保证****单位协同办公管理平台的安 全稳定运行。通过国产密码技术的应用，减少或消除协同办公管理

而机密容器技 术的推出，更是将 AI 运行时与 TEE 安全保护相融合，兼顾大模型的安全与性能。 在通信安全方面，HCIST 构建了端云协议安全以及 Unisec 安全通信体系，并通过可信群组密钥隔离、 线速加密传输、PHYSec 物理层安全加密等技术，覆盖包括 Scale-Out 与 Scale-Up 等计算网络新形 态，保障跨节点、跨集群环境中的算力调度与数据传输安全。 HCIST Engine，KAE）硬件加速能力， 实现了安全性、性能与合规性的统一。 国密算法体系主要包括 SM2（椭圆曲线公钥加密与签名）、SM3（消息摘要）与 SM4（分组对称加 密）等核心标准。这些算法在理论基础、工程实现、密钥管理等多个层面，充分考虑了我国在密码 文档版本 V1.0 版权所有 © 华为技术有限公司 8 基础设施和密码合规上的发展要求。鲲鹏商密应用模块全面支持这些算法，采用 GMT0018 中，由密码模块 TA 组件完成算法调 用与密钥管理操作，图 4 展示了 TrustZone 环境中的国密模块。TrustZone 提供的可信执行环境确 保 SM 算法的实现逻辑与执行路径不被篡改，不被外部访问。每一次加解密操作、签名验签请求， 均在可信执行环境的保护下执行，密钥材料不会在主机环境中暴露，即使 REE 侧系统被攻破，也无 法恢复出密钥或中间数据。这种“密钥不出可信执行环境、算法只在受控空间运行”的架构设计，满足

数据 大屏 项目 基础 数据 分析 安全 监督 业务 分析 项目 现场 人员 分析 项目 隐患 排查 分析 扬尘 管控 视频 监控 危大 工程 实时 监测 项目管理 项目 管理 密钥 激活 统计 现场安全隐患排查 现场 安全 隐患 检查 系统 施工 现场 隐患 随手 拍 施工 现场 移动 巡检 人员信息动态管理 实名 制首 页 项目 库 企业 库 工人 多功能集成应用，让监管更智慧 提供对接密钥申请功能，以实现项目与安监平台的对接，辖 区内项目可自主进行密钥的申请，密钥申请以项目施工许可 证为准，且一个施工许可证只能申请一个密钥，不能重复申 请。对于已经申请密钥的项目，系统自动跟踪记录密钥激活 状态，并进行分析统计；对拥有施工许可证却未进行密钥申 请的项目予以预警提醒。 密钥自主申请 密钥申请审批 密钥发放跟踪 密钥未激活预警 通过对接密钥的发放实现对辖区内项目的管控 通过对接密钥的发放实现对辖区内项目的管控 密钥申请审核 项目基础信息显示 新增项目 实时自动更新项目 政府监管平台汇总、展示辖区内所有项目信息，信息包 括：项目名称、所属分区、施工许可证、是否已对接、 项目状态；对项目密钥申请进行审核；支持新增项目。 项目管理─辅助政府单位审核申请密钥对接的项目 密钥申请审核 项目基础信息显示 密钥激活状态分类 数据自动更新 统计辖区内所有已经进行密钥申请的项目基本信息，主要

卡。系统采用“平台+子系统+第三方接口”的结构化设 计，所有应用系统基于该平台进行建设和扩展，并通过标准的第三方接口规范， 实现与相关系统的对接整合、数据共享。 一卡通系统项目建设，包括以下部分：  一卡通系统中心平台  密钥管理系统；  卡片初始化系统；  基础平台系统：系统管理、卡务管理。  一卡通应用子系统  消费管理系统；  门禁管理系统；  考勤管理系统；  访客管理系统；  车辆出入管理系统； 成，协同完成信息的采集和处理。系统从总体上分为基础设施层、 数据层、中间件层和应用层等四层。 一卡通系统总体架构 一卡通系统是由一卡通中心平台为基础，辐射多个企业应用扩 展。一卡通中心平台由负责安全的密钥管理系统，卡片初始化系统， 负责卡务的基础平台，负责消费的 POS 机，负责自助服务的触摸屏 和 Web 查询以及负责应用和数据管理的数据中心组成。企业应用扩 展覆盖人员出入、访客、班车、水控、消费、考勤、门禁等多个应 卡具有三种认证方式，持卡者合法性认证—— PIN 校验，卡合法性认证——内部认证，系统合法性认证——外部 认证，对交易的各个单元（持卡人、卡片、终端设备）进行相互认 证，保证交易介质的合法性；在以上认证过程中，密钥传输是不以 明文出现的，它每次的传输都经过随机数加密，而且因为有随机数 的参加，确保每次传输的内容不同，保证了交易内容的合法性。所 以，采用非接触式 CPU 卡可以杜绝伪造卡、伪造终端、伪造交易，

性、个人信息保密、零部件身份识别、防止非授权特权访问、边界防护 与最小化授权、识别拒绝服务攻击、识别恶意数据、安全日志等内容； 软件升级安全要求包括在线升级安全要求、离线升级安全要求等；数据 安全要求包括密钥存储安全保护、敏感个人信息保护、无人机身份识别 数据保护、关键数据保护、安全日志保护等。  检查与试验方法：针对信息安全管理体系以及技术要求，提供相应的检 查或试验的方法。  软件升级技 空智联网数据采集、传输、存储、处理、使用、销毁、备份等全生命周期的安全。  数据采集阶段。基于数字签名等技术实现采集数据来源的真实性验证，确保 来源真实合法；针对不同等级数据采取不同的加解密和密钥保护措施，尤其 加强地理信息、人脸、用户声音等数据的安全保护。  数据传输阶段。采用信源、信道多重加密措施，保证数据传输过程中的机密 性、完整性。通过同态加密技术保障隐私信息在传输过程中的安全性。 溯源技术对数据流通中流通过程操作进行审计追踪。  数据销毁阶段。采用密码技术对销毁记录完整性进行保护，对销毁前数据进 行随机数覆盖、加密等预处理，验证数据销毁过程的完整性，以确保数据真 正被合法销毁。同时，基于密钥全生命周期管理措施，对数据加密密钥进行 销毁。  加强数据全生命周期中的安全审计。 4.密码融合应用 加强低空智联网密码应用顶层设计，实现密码技术与低空智联网业务应用的 深度融合，根据不同应用场景选配适当的密码算法及安全协议实现机制，形成安

前置 互联互通前置 业务请求 结算划款指令 商户到款信息 互联互通交易传输 行业前置系统 业务应答 交易参数下发 交易数据上送 发卡系统 密钥系统 清算数据传输 对账文件下发 密钥应答 密钥请求 发卡数据下发 密钥应答 密钥请求 省清算系统 交易数据上送 交易参数下发 联机 POS 脱机 POS 交易数据 上送 交易参数 下发 交易数据 上送 交易参数

API 属性（如注册、 配额、密钥管理和安全策略）制定策略。同时能够为 API 所有者、解决方案管 理员和应用开发人员提供基于角色的分析处理，以便管理 API，并确保达到所 要求的服务级别。 API Management 能够提供广泛的 API 和 服务管理功能，包括：  业务所有者可以定制开发服务和应用。  安全且可扩展的能力，通过使用 API 密钥和密钥组合，管理对 API 的 访问。 门户后台：门户相关后台系统，为安全通道的一端。  密管：负责对称和非对称密钥以及对称算法池的管理，主要包括对密钥 的生成、分配、更新，对算法池的配置，分配、更新等功能。  密管代理：密管对外的代理，以提高密管自身的安全性。 4.6.4.2 加密安全通道关键业务交互说明 下图为加密安全通道关键业务说明： 图 10.关键业务交互说明图 关键业务说明： 1.密管系统产生非对称密钥：供通讯双方加密关键数据，如设备指纹、生 对数据进行多次 加密，对称算法种类可从算法池中随机选取并组合。 3.密管系统统一分配非对称密钥、对称算法池（含对称密钥）：分配前两 - 69 - XX 市智慧城市移动服务及应用平台建设项目初步设计及概算 个业务产生的密钥及算法池到安全通道两端主体。 4.密管系统更新密钥、算法池：更新非对称密钥和算法池，以提高安全通 道可靠性。 5.密文交互：消息发送方将消息内容转换为密文后（对称和非对称算法结

采用非对称加密方法、使用 RSA 算法，为每一个用户生成并发放一对密钥 (由 一个私有密钥与一个公开密钥构成),其中公开密钥连同用户基本信息以数字 证 书形式面向所有应用服务公开；为每一项应用服务生成并发放一对密钥(由一 个 私有密钥与一个公开密钥构成),其中公开密钥连同应用服务基本信息以数字 证 书形式面向所有用户公开。 2、使用动态秘密密钥实现数据网上传输的加密与解密 对于每一项应用服务的每一次访问，采用对称加密方法、使用 动态地为用户生成一个一次性的秘密密钥，用于数据网上传输的加密与解 密。 3、安全、可靠的统一身份认证 对访问者通过客户端提交的帐号与密码使用 HASH 函数获得数据摘要、使 用访问者私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对帐号、 密码及数字签名进行加密，使用单点登录系统数字证书的公开密钥对秘密密钥进 行加密；由服务器端使用单点登录系统的私有密钥进行解密获得秘密密钥，使用 秘密 秘密密钥还原出帐号、密码及数字签名，依据帐号与密码使用相应用户数字证书 29 的公开密钥将数字签名还原出数据摘要，同由帐号与密码使用 HASH 函数获得 的数据摘要进行比对，如果完全一致，认定接收到的帐号与密码真实、不可否 认， 在网络传输过程中没有被伪造、篡改或冒充；依据用户基本信息库对访问者 提交 的帐号与密码进行验证，确认访问者作为用户身份的合法性。 4、安全、可靠的网上数据传输

CA 业务系统认证功能，进行唯一性的验证与系统注册管理，以便于 针对委办局业务的注册、查询、修改、删除操作。 委办局业务平台管理包括：委办局业务平台申请注册模块、生成应用 ID、 应用密钥、委办局业务平台查询、委办局业务平台修改、委办局业务平台删除、 委办局业务平台审核。 2.6.2.2.1.7. 自然人个人中心子系统 自然人个人中心主要实现以下功能：绑定手机号手机号、换绑手机号、绑定 提供对卡证排序规则制定、卡证有效期状态管理、卡证新增状态提示、卡证实 名授权密码输入、卡证实名授权密钥验证、卡证主页、卡证列表以及卡证详情等 功能。 (2)安卓卡证列表管理： 提供对卡证排序规则制定、卡证有效期状态管理、卡证新增状态提示、卡证 实名授权密码输入、卡证实名授权密钥验证、卡证主页、卡证列表、卡证详情、 身份证卡权益、驾驶证卡权益、行驶证卡权益、结婚证卡权益以及往来港澳通行 2.6.3.4.1.6. 卡证实名授权子系统 (1)IOS 虚拟卡展示 提供基于 IOS 系统的卡证实名授权提示、密码输入、密钥验证、结果反馈服务。 (2)Android 虚拟卡展示 提供基于 Android 系统的卡证实名授权提示、密码输入、密钥验证、结果反 馈 服务。 2.6.3.4.1.7. 虚拟卡展示子系统 (1)IOS 虚拟卡展示 提供基于 IOS 系统