1、ICS 35.240.60 R 85 道B中华人民共和国国家标准GB/T 20135一2006智能运输系统电子收费系统框架模型Intelligent transport systems-Electronic toll collection一System architecture 2006-03-10发布中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员合2006-10-01实施1111111111111111 GB/T 20135-2006 目次前言.皿1 范围2 术语和定义3 缩略语4 总体架构-5 逻辑实体.56 接口描述.97 安全体系附录A(资料性附录)应用举例四附录B(资料
2、性附录)安全体系框架.13 参考文献.I GB/T 20135-2006 目。吕本标准主要参考prENVIS0 17573-1999 (道路运输与交通信息技术电子收费车辆相关服务系统框架模型。本标准的附录A和附录B都是资料性附录。本标准由中华人民共和国交通部提出。本标准由全国智能运输系统标准化技术委员会(SAC/TC268)归口。本标准起草单位:广州新软计算机技术有限公司、交通部公路科学研究所、广东联合电子收费股份有限公司。本标准主要起草人:戴连贵、吴穗湘、罗瑞发、龙开红、张北悔、杨光、江运志、刘咏平、周煌。而出GB/T 20135-2006 智能运输系统电子收费系统框架模型1 范围本标准规定
3、了电子收费系统框架模型的总体架构、逻辑实体和实体间的接口描述,规定了系统中涉及的安全体系。本标准适用于公路收费系统、, 2 术语和定义2. 1 2. 2 框架模2. 3 根据合F或抽象实体。2.4 2. 5 2. 6 2. 7 2. 8 ETC服务为用户提住支付方式发行清算机构settlement operator 执行划账指令的实体。发行服务代理商issuer & service agent 对通过车辆的识别、收式、不停车收费方式。,可能是个人、机构,并产生划账指令的实体。为用户提供发行、服务(缴费、充值、挂失、解挂、注销等)的实体。2.9 支付手段payment means 用户与发行商之
4、间(可能通过发行服务代理商完成)关于允许用户使用特定支付系统的合约表述,如约定使用信用卡中的账号或电子钱包等进行支付。G/T 20135-2006 2. 10 支付模式payment m叫e从时间维度定义的支付的概念,如预先支付、当期支付、事后支付。2. 11 支付范围payment scope 使用该支付手段的应用领域。2.12. 专用短程通信dedicated short-range communication 智能运输系统中使用的一种固定设备与移动设备之间的短距离通信方式,主要用于自动收费、自动车辆和设备识别以及交通和旅行者信息服务等方面。2.13 车载设备。n-boardequipme
5、nt 装在车辆中实现与RSE通信、并配合实现特定应用的设备总和。2. 14 车载单元on-board unit OBE的基本组成部分,是OBE实现与RSE通信的单元。2.15 路侧读写设备roadside equipment 安装在电子收费车道路周围,直接对车载设备内的数据进行读写、交换等处理功能的设备总和。2. 16 路侧读写单元roadside unit RSE的基本组成部分,是RSE实现与OBE通信的单元。2.17 参与者actor 与系统、子系统或类交互的外部人员、进程或事务的理想化。2. 18 用例use case 系统单元提供的外部可感知的功能单元,表达成系统单元和与之交互的一个或
6、多个参与者的消息序列。2. 19 用例圄use case diagram 显示系统中参与者和用例之间关系的图。2.20 类c1ass对共享相同属性、操作、方法、关系和语义的一系列对象集合的描述。2.21 类圄c1ass diagram 描述类、类型及其内容和关系等声明性(静态)模型元素集合的图。2.22 交易transaction OBE与RSE之间为完成电子收费的信息交换过程,表现为有效性判定、密钥认证、交易数据产生等事件的总和。GB/T 20135-2006 2.23 交易流水transaction data list 交易成功后产生的包含交易金额、交易时间、交易地点、交易对象等交易信息的
7、数据集合。3 缩略语下列缩略语适用于本标准。C/R 质询/回应CChallenge/Response) ; CRC 循环冗余码校验CCyclicRedundancy Check); DEA 数据加密算法CDataEncryption Algorithm); DES 数据加密标准CDataEncryption Standard); DSRC 专用短程通信CDedicatedShort-Range Communication); ETC 电子收费(ElectronicToll Collection) ; FEAL 快速加密算法CFastEncryption Algorithm) ; MAC 信息认
8、证码(MessageAuthentication Code) ; OBE 车载设备COn-BoardEquipment); OBU 车载单元COn-BoardUnit); PKC 公共密钥证书CPublicKey Certificate) ; RSA 一种非对称、公共密钥算法CRivest,Shamir and Adleman); RSE 路侧读写设备CRoad-SideEquipment) ; RSU 路侧读写单元CRoad-SideUnit)。4 总体架构4.1 ETC系统概述ETC系统由安装在车辆上的车载设备与安装在收费车道的路侧读写设备构成。它们之间进行通信,完成数据交换,实现车辆不停
9、车缴费。安装在车辆上的OBE含有OBU、存储介质等单元。在ETC系统中,OBE有两种:一种把所有单元集成为一体(单片式);另一种包含OBU和外部储存介质(两片式)。如OBE为两片式,车辆数据可以存储于OBU中,用户数据可存储于外部存储介质中。安装在收费车道的RSE含有RSU、计费系统、控制设备等。ETC系统的功能是实现自动完成车辆缴费的过程。用户使用约定的支付方式获得ETC服务,利用交易流水完成后台统计、结算和管理。4.2 支付方式支付方式包括支付手段、支付模式、支付范围。4.2. 1 支付手段ETC系统采用电子支付手段,电子支付手段的介质为OBU或IC卡。如果OBE为单片式,OBU作为电子支
10、付的介质d口果OBE为两片式,OBU和IC卡都可作为电子支付手段的介质。4.2.2 支付模式ETC系统的支付模式包括预先支付、当期支付、事后支付。4.2.2.1 预先支付:在使用该支付介质之前,预先在该支付方式中存有一定金额的通行费。4.2.2.2 当期支付:使用该支付介质即时支付通行费。4.2.2.3 事后支付:使用该支付介质后,由结算机构出具应该支付的账单,凭账单支付通行费。4.2.2.4 当使用OBU作为支付手段时,可以采用预先支付或事后支付模式,通常采用事后支付模式。当使用IC卡作为支付手段时,可以采用预先支付、当期支付和事后支付作为支付模式。3 GB/T 20135-2006 4.
11、2. 3 支付范围支付范围为:公路收费和城市道路收费。4. 3 基本实体及实体间的关系4. 3. 1 在ETC系统中,ETC车道的交易双方是用户与ETC服务提供商。4.3.2 支付方式发行机构对其发行的支付方式负责,授权发行服务代理商发行其支付方式,同时负责与结算机构交换信息,以维护该支付方式的运行。4.3. 3 发行服务代理商面向用户,为用户提供服务。4. 3.4 ETC服务提供商提供交易后的数据,由结算机构对这些数据进行认证,并给予统计、结算。结算机构发出划账指令,由清算机构对ETC服务提供商应得的通行费进行清算。4. 3.5 ETC系统逻辑框架图见图1所示。一一用户;-一结算机构;一一清
12、算机构。4. 4 备实体的基本功4.4. 1 支付方式发行支付方式发行机构负4. 4. 2 用户用户是ETC服务的使用、行机构发行的支付手段,并取得支4.4. 3 ETC服务提供商ETC服务提供商是为用户提供ETCOBE应支持支付方式发行机构所要求的安全体系。4.4. 4 发行服务代理商发行服务代理商是为用户提供支付手段的发行、服务(缴费、充值、挂失、解挂、注销等)的实体。发行服务代理商应得到支付方式发行机构的授权和认证。4.4. 5 结算机构结算机构是负责对用户使用ETC后产生的数据进行认证、统计、结算,并产生划账指令的实体。结算机构应该对接收的交易流水进行有效性核实,结算时,需要结合发行商
13、提供的挂失注销等信息对用户的有效性进行验证,井控制生成各类黑名单,为ETC服务商提供黑名单等运营参数。4 4.4. 6 清算机构进行资金、账务清算的实体。4. 5 应用举例一个典型的应用举例参见附录A。5 逻辑实体逻辑体系使用统一建模语言进行描述,描述的内容包括用例图和类图。5.1 用例图用例图主要描述系统的功能需求。5. 1. 1 参与者ETC系统的参与者主要包括用户;-ETC服务提供商一一支付方式发行结算机构;一一-OBE。5. 1. 2 用例ETC系统的一一管理服一一交易;一一结算与一一系统控项目用例名概要触发参与者OBE 支付方式发行结算机构GB/T 20135-2006 用例描述持支
14、付方式发行机构发行的支付方式的用户只有当其具有有效权限时,方能在ETC服务提供商提供的ETC车道通行。有权限的用户,在累次消费后,当支付方式内金额不足以支付通行费或信用额度不足时,用户的权限将被取消。当再次进行充值或缴费后,重新获得该权限。挂失、注销将使用户丧失该权限。服务权限的管理还包括结算机构下发的运营参数的产玉,如黑名单表,该运营参数可能变更用户的权限5 GB/T 20135-2006 表2交易用例描述项目描述用例名交易概要ETC车道软件功能需求触发车辆进入ETC车道用户参与者ETC服务提供商车辆OBE 车辆进入ETC车道,系统对用户的有效性进行充分判定。判定的依据是发行商发行的密用例描
15、述钥与结算机构下发的运营参数,这些运营参数来自管理服务权限用例。系统应能自动识别用户是否为黑名单,是否过期,是否本系统卡等。同时,也校验。BE与RSE之间的安全性。该用例还包括车辆检测、车辆识别、车型判定、费率计算、交易流水产生并上传等事件一表3结算与支付用例描述项目描述用例名结算与支付概要ETC服务提供商、支付方式发行机构、结算机构之间的数据结算与资金平衡需求触发交易流水产生支付方式发行机构参与者ETC服务提供商结算机构清算机构ETC服务提供商凭车道交易产生的交易流水要求结算机构进行结算,结算机构结算完毕用例描述后,产生划账指令,清算机构根据该划账指令完成支付方式发行机构、结算机构、ETC服
16、务提供商账务间的资金平衡。各管理机构的管理费用也将按合约在清算机构中完成立付。结算与支付的数据来自交易用例。结算的结果可能影响用户的服务权限表4系统控制用例描述项目描述用例名系统控制概要系统的全局性控制触发过车事件或异常事件等,如非合约用户强行通过ETC车道参与者用户ETC服务提供商ETC系统应保证交易的可操作性、安全性、可靠性。如,不允许放行尚未交易成功的车辆用例描述等。ETC系统应能对非合约用户和违约行为进行处理。该用例还包括设备的使用寿命、系统的可维护性等要求。该用例使用交易用例和管理服务权限用例提供的信息进行控制6 5. 1. 3 用例图用例图见图2。夭0千人明OT时人叫天OBE 固2
17、用例圈5.2 类图类图主要描述系统对象的状态和行为。5.2. 1类ETC系统可能包括如下类:支付方式发行机构;一ETC服务提供商;一一一结算机构;用户;发行服务代理商;一一清算机构;OBE; 车辆;一一交易;一一支付方式合约信息;ETC用户合约信息;一一一发行服务信息;一一-用户通行信息;交易流水;黑名单信息;黑名单表;一一费率表。类说明见表5: GB/T 20135-2006 7 GB/ T 20135-2006 序号类支付方式发行机构2 ETC服务提供商3 结算机构4 用户5 发行服务代理商6清算机构7 I OBE 8 I车辆9交易10支付方式11 I ETC用户12发行服务13 I用户通
18、行14 I交易流水15 16 I黑名单表17 I费率表5. 2. 2 类图类图见图3。类图中描述的8 表5类说明类说明发行支付方式获取通行记录,并发送给结算机构接收ETC服务提供商发来的交易数据信息,并进行认证、统计、结算。结合支付方式发行机构提供的支付信息等,生成黑名单信息等参数系统的触发者。用户可能包括多部车辆 失、解挂、注销等)。发行服务过程GB/T 20135-2006 息信-约一商A工间供户-mu时提用一约约约-A口A口合E-一一-尖端Mm注一表示依赖关系:+表示方法(斜体); 类框中按类名、属性、制qmRV6 接口描述6. 1 用户与ETC服务提供商的接口用户与ETC服务提供商之间
19、的接口框图见图4。该接口主要支持收费流程的实现,包括各参与方(含实体、机构与设备在内)之间的控制、信息交互与信息指示。9 GB/T 20135-2006 车辆存在、分类、定位、车牌等数据用户或车辆数据/交易数据收费享道设备图4用户与ETC服务提供商之间的接口OBU与RSU之间相互通信,交换相关协议数据、车辆分类数据、电子钱包或者记账数据等信息,通信遵循相关的DSRC标准。收费车道设备收集车辆存在、分类、定位、车牌等数据,作为交易的重要依据。RSE是电子收费车道设备的一个组成部分。ETC服务提供商通过控制或指令数据与收费车道设备交换信息。OBE安装在车辆上,由OBU和其他相关组件组成。用户与车辆
20、之间通过控制或者指令数据完成交互。6.2 用户与发行服务代理商之间的接口用户与发行服务代理商之间的接口框图见图5。该接口支持OBE的发行和服务。控制/指令数据车载设备(OBE) 初始化、装载和更新指令数据发衍服务代理商控制/指令数据发行服务系统/设备图5用户与发行服务代理商的接口图用户向发行服务代理商申请发行,发行服务代理商控制发行服务系统将初始化、装载、更新指令等数据写入OBE,完成发行。写入的数据通常包括用户、车辆等数据。用户向发行服务代理商申请缴费、充值、挂失、解挂、注销等服务,并通过发行服务系统支付相关费用。发行服务代理商通过发行服务系统向用户提供确认信息。6. 3 其他接口6.3.1
21、 发行服务代理商与发行商的接口接口支持两者之间签定、更改或取消代发行协议,并进行相关信息(如发行信息、挂失注销信息、缴费充值信息等)交互。10 GB/T 20135-2006 6.3.2 ETC服务提供商与结算机构的接口ETC服务提供商向结算机构传送交易信息。结算机构应向ETC服务提供商反馈账务结算信息。账务结算信息来自清算机构。6.3.3 结算机构与支付方式发行机构的接口支付方式发行机构向结算机构提供用户数据信息。结算机构应向支付方式发行机构提供账务结算信息。账务结算信息来自清算机构。6.3.4 结算机构与清算机构之间的接口结算系统向清算机构发送划账指令,清算机构执行账务的划拨。清算机构应向
22、结算机构发送账务清算信息。7 安全体系ETC系统的安全体系包括交易的安全和数据的安全。构建安全体系应参见附录B并全面衡量最新安全技术,慎重采用,确保整个ETC系统的安全性。7. 1 交易安全ETC系统应当建立严密的密钥体系,作为交易安全的支撑。一方面,密钥随发行写入OBE(通常存储于IC卡)和RSE(通常存储于PSAM卡)中,在车道交易时进行密钥验证;另一方面,密钥本身应当得到保护,应当对保存密钥的介质进行严密的管理,防止泄密。车道交易时IC卡与PSAM卡之间的密钥验证应该符合金融交易安全的要求,可能包括内部认证、外部认证等认证过程。密钥应以密文保存,存储在不可读并有严格安全措施的介质中,应防
23、止泄露、更改、删除。密钥应按等级组织,密钥等级应不少于三级,高一等级的密钥只用于保护下一等级的密钥,最低等级的密钥应用在IC卡、PSAM卡等终端应用介质中。7.2 数据安全ETC系统的数据安全包括数据存储的安全和数据传输的安全。7.2. 1 数据存储安全ETC系统应保证各类数据的存储安全,包括交易数据、统计数据、结算数据、发行服务数据等。存储数据的设备本身应当安全,井有备份措施。系统至少应采取如下安全措施确保数据存储的安全:a) 访问控制:对ETC系统的数据信息和流程操作进行权限控制,防止非法操作。b) 机密控制:通过信息加密,防止非法或未经许可泄露实体信息,确保各实体隐私不受侵犯。7.2.2
24、 数据传输安全ETC系统应保证各实体间数据传输的安全,包括确保数据在传输过程中不会被监昕、篡改、替换、破坏通信。系统至少应采取如下安全措施确保数据传输的安全:a) 认证z对接收到的数据进行认可的认证,证明对方身份、数据来源合法。认证的手段包括MAC验证、PKC证书、C/R认证等。b) 机密控制:通过信息加密,防止敏感信息被非法监昕。加密的手段包括DEA、FEAL、RSA等。c) 数据完整性控制:通过CRC校验、MAC验证等手段,验证接收的数据是否完整。11 GB/ T 20135-2006 附录A(资料性附录)应用举例某ETC系统中,支付方式发行机构A公司发行两种支付方式:储值卡和记账卡。支付
25、方式的介质为OBE中的IC卡,储值卡采用预先支付模式,记账卡采用事后支付模式。ETC系统服务提供商为管理路桥的业主。A公司同时又为结算机构和发行服务代理商。其所发行的支付方式同时可在停车收费中使用。清算机构为银行。系统框图,假设如图A.l:用户凭A公用户使用流用户向发行服机构与用户签订合卡中),并将发行数据通行费金额。发行服务机构。支付方式发行机构算用。用户使用己四存入一定通行费的蒂悔k可以在承认该刻M材气嘿史安?的E,代表支付方式发行,用户数据写入IC在储值卡中存入一定的据将发送给支付方式发行给结算机构,供结算机构核不停车通行,产生的通行费直接从储值卡中扣除。TC服务提供商将交易流水发送给结
26、算机构,要求结算并支付通行费。结算机构定时对交易流水进行结算,并产生划账指令,由清算机构执行支付方式发行机构、结算机构与ETC服务提供商之间的账务平衡。12 B.1 安全体系构建的原则安全体系构建应遵循两个原则:b) 完整以涵盖实体各附录B(资料性附录)安全体系框架圄B.2 ETC系统安全体系概念模型B.3 安全和隐私保护要求和目标ETC安全体系的数据保护要求和目标如下:GB/T 20135一2006;任意相互关联的两个实体a) 所有的业务行为都应遵守国家法律和制度,并符合相关的行业规范;b) 不应以未经发行商授权的方式进行支付;c) 不应在按协议规定不能发生支付的两个实体间发生支付;d) 对
27、每个实体而言,应符合价值平衡的原则,即所付出的服务与所获取的利益、支付与所获取的GB/T 20135-2006 服务应平衡;e) 所有可能发生事故或故障都应有相关的处理和恢复程序,并能提供足够的信息/数据以解决可能出现的冲突。f) 交易所涉及的各方利益和隐私都应得到保护。B.4 凤险分析B. 4.1 风险分析模型ETC系统的风险分析模型见图B.3。欺诈方(抽象概念,可能是实体中的一方,也可能来自外界)对各实体本身和实体间的接口都可能存在威胁。圄B.3凤险分析模型B.4.2 实体凤险分析欺诈方对实体的威胁有:a) 篡改:对合法实体相关的硬件、软件或者所存储的数据进行篡改,也可能对非法实体相关的硬
28、件、软件或者数据进行篡改使之变得合法;b) 假冒:假冒合法实体相关的设备/系统,并用之于ETC系统;c) 否认:一个合法实体否认所使用过的服务或否认收到的来自其他实体的支付。不同实体领域的风险大小各异,且发生的几率和对系统的危害也不同。B. 4. 3 接口凤险分析欺诈方对接口的威胁有:a) 监听:欺诈实体对接口通信系统或者信息交互内容进行监昕,侵犯通信各方实体的隐私;b) 篡改:篡改通信数据或通信流程,欺骗ETC系统以从中牟利;c) 替换:替换通信数据或通信流程,欺骗ETC系统以从中牟利;d) 破坏通信:破坏正常通信,干扰系统运行。不同接口领域的风险大小各异,且发生的几率和对系统的危害也不同。
29、B.5 数据保护措施为了抵御系统可能存在的威胁,安全系统提供如下保护措施:a) 访问控制:提供对ETC系统的数据信息和流程操作的使用权限控制,以防止非法操作;b) 认证,分为对等实体认证和数据源认证:1) 对等实体认证:两个相互通信的对等实体间互相进行的身份合法性确认;2) 数据源认证:对数据信息来源的确认,确认信息来自合法的对等实体;c) 机密控制:防止非法或未经许可泄漏实体信息,确保各实体隐私不受侵犯;d) 数据完整性控制:防止非法修改或获取相关数据。B.6 数据保护实现方法数据保护措施应采用一些安全有效的方法实现,每种措施都可能有多种方法实现。B. 6.1 信息认证码(MAC码)MAC码
30、是以一定的算法对特定信息内容进行计算而出的,通常将其作为数据的防伪标志附属于14 GB/T 20135-2006 所传输或者存储的数据中。MAC码的算法可以基于多种标准(如ISO8731、ISO/IEC9797、ISO/IEC10118等),但它们的共同点有两个:a) 所传输或者存储的数据内容不同,MAC码将不同;b) 任何无权使用某加密密钥的实体都无法计算出相应的合法MAC码。MAC码可以用来实现数据源认证和数据完整性控制。B. 6. 2 公共密钥证书(PKC)公共密钥证书算法和MAC码算法的不同之处在于,前者采用非对称加密算法,后者采用对称加密算法。公共密钥证书具备MAC码的所有特性,其算
31、法可基于ISO/IEC9797或者ISO/IEC10118(不采用ISO8731是因为它规定采用对称DES算法)。非对称密钥算法可以用于实现所有PKC的密钥可以保密,而校验PKCC/R认证用于中B. 6. 4 信息加密为了保护实体c) RSA:一B. 7.1 密钥ETC系统的数密钥本身也应得的安全保障服务。一个a) 用于加密数据的zb) 用于加密密钥的密后者的安全级别要高于前密钥在其生命周期中经历多种、B. 7. 2 密钥管理后续通信中假冒对密钥管理的目的是为密钥管理服务提供安全保障。密钥管理服务主要包含密钥的生成、登记、认证、注销、发行、存储、归档、恢复、删除、导出和销毁等。ETC系统中有多
32、个用户使用密钥管理服务,主要有支付方式发行机构和发行服务代理商。密钥状态转换有赖于ETC系统所采用的安全和加密技术,这意味着采用对称和非对称的加密技术密钥管理方式将不同。B. 7. 3 密钥发行密钥的发行可能在一个安全区域内也可能在两个安全区域之间进行。在一个安全区域内时,密钥发行可直接在两个需要共享密钥的实体之间进行,或者由-个双方都认15 GB/T 20135-2006 可的安全权威机构如密钥发行中心来为他们发行共同的密钥。在两个不同的安全区域之间时,如果双方都认可其中一区域的权威机构,密钥发行也可通过该权威机构的形式进行,通过此权威机构将密钥发行给另外一个权威机构,然后各权威机构分别控制
33、本安全区域的密钥发行。16 GB/T 20135-2006 参考文献lJ GB/T 18367-2001 公路收费方式2J IS0/IEC 9797信息技术安全技术用块密码算法作密码校验函数的数据完整性机制3J IS0/IEC 10118-1信息技术安全技术散列函数第1部分:概述4J IS0 8731-1银行业务认可的消息鉴别算法第1部分:DEA5J ISO 8731-2银行业务认可的消息鉴别算法第2部分:消息鉴别算法CON-町的FCNH阁。国华人民共和国家标准智能运输系统电子收费系统框架模型GB/T 20135- 2006 中9昏中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100045网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销9峰印张1.5字数34千字2006年10月第一次印刷开本880X12301/16 2006年10月第一版9峰定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533书号:155066 1-28060 GB/T 20135-2006
