T/CTS 11-2023 汽车记录仪数据安全芯片技术要求

ICS43.040.10

CCST35

团体标准

T/CTS11—2023

汽车记录仪数据安全芯片技术要求

Technicalrequirementsofdatasecuritychipfordatarecorderofvehicle

2023-3-1发布2023-3-1实施

中国道路交通安全协会发布

T/CTS11—2023

目次

前言.................................................................................II

引言................................................................................III

1范围................................................................................4

2规范性引用文件....................................................................4

3术语和定义........................................................................4

4缩略语.............................................................................5

5一般要求...........................................................................5

6功能要求...........................................................................5

7性能要求..........................................................................10

8可靠性测试要求..................................................................10

9安全性试验方法..................................................................11

10包装.............................................................................11

附录A（规范性）基本通信协议....................................................12

附录B（规范性）扩展通信协议....................................................46

参考文献............................................................................59

I

T/CTS11—2023

前言

本文件按照《团体标准结构和编写指南》T/CAS1.1—2017要求并参照《标准的结构和编写》GB/T

1.1-2020给出的规则起草。

本文件可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由中国道路交通安全协会提出并归口管理。

本文件起草单位：北京中软政通信息技术有限公司、中国安全技术防范认证中心、江苏都万电子科

技有限公司、杭州中导元生科技开发有限公司、北京工业大学、湖北民族大学、浙江省北斗卫星应用产

业协会、杭州海康汽车技术有限公司、深圳市锐明技术股份有限公司。

本文件主要起草人：王东、朱峻涛、陈烨、尚洋、刘剑锋、林万才、李明伟、周煊华、张鑫、安宁、

叶文宇、陈艳艳、郑明辉、孙方华、霍孟浩、孙继业。

本文件为首次发布。

II

T/CTS11—2023

引言

汽车记录仪的数据安全是记录数据可用、可靠、可信的技术保证，汽车记录仪要实现记录数据防删

除、防伪造、防篡改的安全性能要求，就必须对原始记录数据进行加密存储或进行具备时间标签特性的

加密数字签名进行验证，同时对存储记录数据的存储器进行必要的防删除保护。这就要求汽车记录仪本

身要具备实现这些数据安全功能的安全边界，而采用特定功能的安全芯片是建立高等级安全边界并实现

数据安全功能性价比最优的技术手段和通行做法。同时数据安全芯片也可以为汽车记录仪本身的联网安

全、系统安全和软件安全提供高等级安全边界的技术手段。

汽车记录仪数据安全芯片的安全功能采用自主可控的国家商用密码算法（SM1、SM2、SM3、SM4等）

序列来实现，同时兼容国际通用的安全算法。对推广我们国家商用密码算法的普遍应用、普及和落实《中

华人民共和国密码法》具有重要的意义。

III

T/CTS11—2023

汽车记录仪数据安全芯片技术要求

1范围

本文件规定了适用汽车记录仪的数据安全芯片的一般要求、功能要求、性能要求、试验方法和包装。

本文件适用于安装在车辆上的各类汽车记录仪的数据安全芯片的设计、制造和使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB18030信息技术中文编码字符集

GB/T12750半导体器件集成电路第11部分：半导体集成电路分规范（不包括混合电路）

GB/T19056汽车行驶记录仪

GB/T32918信息安全技术SM2椭圆曲线公钥密码算法（所有部分）

GM/T0008安全芯片密码检测准则

T/CTS12汽车行驶记录仪联网通信技术要求

3术语和定义

下列术语和定义适用于本文件。

3.1

汽车记录仪datarecorderofvehicle

装载在各种车辆上用于记录车辆行驶过程数据的电子装置，包括汽车行驶记录仪、汽车事件记录仪、

车载视频记录系统等。

3.2

数据安全芯片datasecuritychip

含有密码算法、安全功能，可实现密钥管理机制、算法执行、数据安全存储及通信功能的集成电路

芯片。

3.3

上行传输upload

由汽车记录仪发出的，通过无线公共通信网络发送到远程网络设备或计算机的数据传输方式。

3.4

下行传输download

由远程网络设备或计算机发出的，通过无线公共通信网络发送到汽车记录仪的数据传输方式。

3.5

生命周期lifecycle

汽车记录仪设备从生产、出厂、预装、安装、运行、维修、报废使用的可追溯全过程。

3.6

SM1算法SM1algorithm

商用密码算法中的一种分组密码算法，分组长度为128比特，密钥长度为128比特。

3.7

SM2算法SM2algorithm

商用密码算法中的一种椭圆曲线公钥密码算法，其私钥长度为256比特。

3.8

SM3算法SM3algorithm

商用密码算法中的一种密码杂凑算法，其输出为256比特。

4

T/CTS11—2023

3.9

SM4算法SM4algorithm

商用密码算法中的一种分组密码算法，分组长度为128比特，密钥长度为128比特。

4缩略语

下列缩略语适用于本文件。

AES：高级加密标准（AdvancedEncryptionStandard）

SHA：安全哈希算法（securehashalgorithm）

RSA：一种非对称密码算法（由Rivest、Shamir和Adleman开发，取名来自三者的名字）

BCD：二进码十进数（Binary-CodedDecimal）

UART：通用异步收发传输器（UniversalAsynchronousReceiver/Transmitter）

I2C：二线制同步串行主从通信总线（InterIntegratedCircuit）

CRC：循环冗余校验（cyclicredundancycheck）

CBC：密文分组链接方式（cipherblockchaining）

IV：初始化向量（initializationvector）

PKCS：公钥密码学标准(PublicKeyCryptographyStandards）

ID：标识（Identity）

ASC：美国信息交换标准代码（AmericanStandardCodeforInformationInterchange）

BIN：二进制（Binary）

RTC：实时时钟（RealTimeClock）

PPS：秒脉冲（PulsePerSecond）

GNSS：全球导航卫星系统（GlobalNavigationSatelliteSystem）

CAN：控制器局域网络（ControllerAreaNetwork）

5一般要求

5.1外观要求

数据安全芯片（以下简称“芯片”）的封装可以采用常见封装，也可以订制封装形式，外形不大于

10mm×10mm×2mm，芯片表面应至少标识型号、生产日期标识、产品流水号。

5.2通信接口要求

对外通信接口应使用常用通信接口，应至少支持UART、I2C和ISO7816（智能卡（芯片）通信接口）

接口的一种或几种。

6功能要求

6.1加密与解密

6.1.1数据安全芯片的加密与解密应支持以下算法

a)对称加密与解密算法SM1、SM4和AES；

b)非对称加密与解密算法SM2、RSA。

6.1.2数据安全芯片的加密与解密功能应支持以下方式

a)对称加密与解密过程采用CBC模式，CBC的初始化向量IV为00H（所有数据字节为00H）；

b)对称加密的源数据需要填充时，无特定要求的采用PKCS7；

c)非对称加密的源数据需要填充时，无特定要求的采用PKCS1；

d)按数字证书的密钥和算法加密或解密源数据；

e)按给定密钥和算法要求加密或解密源数据。

5

T/CTS11—2023

6.2数字签名及验签

6.2.1数据安全芯片的数字签名和验签应支持以下算法

a)数据摘要算法SM3、SHA；

b)签名和验签算法SM2、RSA。

6.2.2数据安全芯片的签名和验签功能应符合以下要求

a)按数字证书的密钥和算法对源数据进行签名；

b)按给定的密钥和算法对源数据进行签名；

c)按数字证书的密钥和算法对源数据及其签名数据进行验签；

d)按给定的密钥和算法对源数据及其签名数据进行验签；

e)数字签名格式应符合附录A表A.8的要求；

f)SM2签名算法的可辨别标识ID为“T/CTS”；

g)以汽车记录仪的记录仪编号、芯片时间、数字证书为参数生成设备实时验证码（6位数字）。

6.2.3应用于汽车行驶记录仪的数据安全芯片的数据记录块验证功能应符合以下要求

a)用于生成验证记录块的Salt值应存储在数据安全芯片内部；

b)Salt值经设置后不可修改；

c)按给定的数据和SM3算法对源数据附加Salt值后生成验证数据。

6.3数字证书

数据安全芯片的数字证书功能应符合以下要求：

a)数据安全芯片支持的数字证书分类和更新、删除权限见附录A表A.6；

b)数据安全芯片支持的数字证书格式见附录A表A.7。

6.4实时时钟

数据安全芯片的实时时钟应满足以下要求：

a)应内置实时时钟，除电源外，实时时钟的运行不依赖外部元器件；

b)应记录实时时钟的末段时间点（精确到分钟），当数据安全芯片外部所有电源失效后重新上

电运行时，实时时钟应从末段时间点开始，时间的年、月、日、时、分数值不应发生改变；

c)数据安全芯片应能检测外部所有电源失效引起的时钟停振，并记录时钟停振次数；

d)数据安全芯片应具备通过卫星导航系统的时间数据进行自动对时及通过通信接口进行外部对

时的时间校准的功能；

e)进行任何方式的时间校准，向后对时（时间倒退）的时间跨度应不大于60秒，且在连续的24

小时内只能进行一次。

6.5存储器保护

6.5.1数据安全芯片的存储器保护功能应符合以下要求

a)数据安全芯片应保存存储器初始化时给出的存储器写保护解锁密钥；

b)数据安全芯片生成的单次写保护解锁数据应至少包含解锁轮次、解锁时间、随机数据，并支

持包含设备给出的存储器型号。

6

T/CTS11—2023

6.5.2存储器保护初始化流程见图1

图1存储器保护初始化流程示意图

6.5.3存储器保护单次解锁流程见图2

图2存储器保护单次解锁流程示意图

6.6联网双向鉴权

6.6.1数据安全芯片支持汽车记录仪的联网鉴权功能应符合以下要求

a)数据安全芯片发起的联网鉴权数据应至少包含鉴权轮次、鉴权时间、随机数据；

b)数据安全芯片发起的联网鉴权数据应支持包含汽车记录仪给出的特定数据；

c)数据安全芯片应保存数字证书对应的鉴权轮次。

7

T/CTS11—2023

6.6.2联网双向鉴权流程见图3

图3联网双向鉴权流程示意图

6.7运行安全保护

数据安全芯片应支持汽车记录仪的软件功能安全、软件升级安全、车载总线安全，宜支持汽车记录

仪的软件代码安全和车辆控制安全。

6.7.1数据安全芯片应支持设备的运行安全保护的能力，并符合以下要求

a)应至少具备1路用于汽车记录仪软件功能安全的功能模块使能信号输出，该输出在数据安全

芯片上电后应处于使能无效状态，输出应具备有效输出极性定义和控制方式定义的功能；

b)应至少具备1路用于汽车记录仪软件升级安全的软件代码芯片写保护信号输出，该输出在数

据安全芯片上电后应处于保护使能状态，输出应具备有效输出极性定义和控制方式定义的功

能；

c)应至少具备1路用于支持车载总线安全的总线发送使能信号输出，该输出在数据安全芯片上

电后应处于发送禁止状态，输出应具备有效输出极性定义和控制方式定义的功能；

d)宜具备用于支持远程控制安全的控制执行模块使能信号输出，该输出在数据安全芯片上电后

应处于控制无效状态，输出应具备有效输出极性定义和控制方式定义的功能；

e)宜具备用于汽车记录仪软件代码安全（软件代码不被非法途径读取）的软件代码芯片片选使

能信号输出，该输出信号在数据安全芯片上电后应处于使能有效且经过指定时间后变为使能

无效，输出信号应具备有效输出极性定义和控制方式定义的功能。

8

T/CTS11—2023

6.7.2汽车记录仪运行安全支持的连接见图4

图4运行安全保护连接示意图

6.8汽车行驶记录仪安装自检

应用在汽车行驶记录仪的数据安全芯片应具备安装自检功能，且符合以下要求：

a)数据安全芯片应至少具备6路的开关量输入信号，输入信号应包括点火开关、制动踏板、车

速脉冲、安全带、左转向、右转向信号；

b)任意未被设置为检测屏蔽（见表A.26）的输入信号在汽车行驶记录仪连续运行的24小时内未

发生信号变化，开关量信号故障状态信息（见表A.25）对应的标识位应被标识为故障；

c)数据安全芯片应能接收和解析卫星定位数据，连续运行的24小时内卫星定位持续无效，记录

仪（芯片）状态字（见表A.12）对应的标识位应被标识为故障。

6.9汽车行驶记录仪管理

6.9.1应用在汽车行驶记录仪的数据安全芯片应具备管理功能

a)数据安全芯片应存储汽车行驶记录仪的唯一性编号和数据摘要Salt值等关键参数，并符合

GB/T19056数据安全性的要求；

b)数据安全芯片应保存汽车行驶记录仪的设备生命周期状态，状态包括：生产检验、出厂待装、

车辆预装、安装准备、安装自检、正式运行、返厂维修、设备报废等状态；

c)数据安全芯片应具备将产品生命周期状态信息、产品故障信息通过外部处理器及与之相连的

联网通信模块发送到联网平台的功能；

d)数据安全芯片在“生产检验”状态下可以设置生产检验用VIN号和车牌号码，VIN号宜设为

“TESTXXXXXXXXXXXXX”格式，车牌号码宜设为“检X-XXXXX”，机动车电子标识序列号宜设

为“99XXXXXXXXXX-X”；

e)数据安全芯片在转为“出厂待装（3H）”状态时，应删除生产检验用VIN号、车牌号码、机

动车电子标识序列号，转为未设置状态；

f)数据安全芯片在“车辆预装（4H）”状态下可以设置车辆VIN号；

g)数据安全芯片未设置VIN、车牌号码、电子标识序列号信息的，在“安装准备（5H）”状态下

可设置对应信息；

h)数据安全芯片未设置VIN号的，“安装自检（6H）”完成（无故障）状态下可以设置VIN号，

VIN号一经设置，仅允许修改一次，且修改的字符数量不大于4个；

i)数据安全芯片未设置车牌号码的，在“安装自检（6H）”完成（无故障）状态下可以设置，

车牌号码一经设置，仅允许修改一次，且修改的字符数量不大于2个，汉字按一个字符计算；

j)数据安全芯片未设置机动车电子标识序列号的，在“安装自检（6H）”完成（无故障）状态

下可以设置，机动车电子标识序列号一经设置，仅允许修改一次，且修改的字符数量不大于4

个；

k)数据安全芯片未设置机动脉冲系数的在“安装自检（6H）”完成（无故障）状态下可以设置

l)在“安装自检（6H）”完成（无故障）状态下，且已经完成VIN号、车牌号码设置，才能进

入“正式运行”状态，安装机动车电子标识的，应设置机动车电子标识序列号；

m)在“正式运行”状态下，已设置的VIN号、车牌号码和机动车电子标识序列号不能更改，需

要修改车牌号码和机动车电子标识序列号的，应通过联网平台进行；

9

T/CTS11—2023

n)数据安全芯片应在一个通电周期里完成“安装自检”到“正式运行”的状态转换，“安装自

检”状态下设备断电后重新通电运行应重新开始安装自检。

6.9.2应用在汽车行驶记录仪的数据安全芯片生命周期状态转换见图5

图5汽车行驶记录仪设备生命周期状态转换示意图

6.9.3应用在汽车行驶记录仪的数据安全芯片生命周期状态转换应符合以下要求

a)数据安全芯片进入“退服报废”状态后不能再次改变其状态；

b)除“退服报废”状态外，其他任何状态可进入“返厂维修”状态；

c)生命周期状态值（见A.6.2.3：状态字位04～01）减小视为“返厂维修”。

6.10通信协议

数据安全芯片的通信协议见附录A和附录B。

7性能要求

7.1安全能力

数据安全芯片的安全能力应符合GM/T0008安全等级2的要求。

7.2加密与解密

数据安全芯片使用对称算法加密和解密不大于256字节的源数据，所需时间应不大于10ms。

数据安全芯片使用非对称算法加密和解密不大于256字节的源数据，所需时间应不大于200ms。

7.3数字证书管理

数据安全芯片对数字证书的更新和删除，所需时间应不大于100ms。

数据安全芯片存储和管理的数字证书数量应不少于32。

7.4数字签名及验签

数据安全芯片使用本文件中规定应支持的算法进行数字签名或验签，所需时间应不大于200ms。

7.5软件安全验证

数据安全芯片应至少保存4个主控制器软件版本对应的软件完整性摘要数据或软件签名数据。

7.6实时时钟

数据安全芯片的实时时钟在未进行外部校准的条件下，运行误差在连续30天内应小于15秒。

数据安全芯片的实时时钟在主电源关闭条件下，使用后备电池供电时，消耗电流应小于5μA。

8可靠性测试要求

数据安全芯片的检验要求、筛选顺序、抽样要求、试验和测试程序应符合GB/T12750的要求。

10

T/CTS11—2023

9安全性试验方法

数据安全芯片的数据安全性试验方法应符合GM/T0008（试验方法、合格标准）要求。

10包装

10.1外包装

产品的外包装应包括如下内容：

a)产品中文名称、规格型号、结构尺寸等；

b)制造商名称、详细地址、邮编、电话、产品商标、制造日期、制造地；

c)产品执行标准T/CTS11《汽车记录仪数据安全芯片技术要求》。

10.2产品合格证

每批次出厂的数据安全芯片应有产品检验合格证，检验合格证应有如下内容：

a)出厂检验结论、检验日期；

b)检验员信息。

10.3包装箱

包装箱应符合防潮、防尘、防震、运输的要求。

单个包装箱内应有产品合格证或检验标志及附件清单。

11

T/CTS11—2023

附录A

（规范性）

基本通信协议

A.1通用约定

A.1.1数据类型定义

表A.1数据类型定义表

数据类型定义数据类型定义

BIN若干字节二进制数据U32四字节无符号整型数据

U08单字节无符号整型数据S32四字节有符号整型数据

S08单字节有符号整型数据BCD若干字节的压缩BCD码

U16双字节无符号整型数据ASCa仅包含英文字母和数字字符的字符串

S16双字节有符号整型数据STRaGB18030字符串（含英文字符）

aASC和STR字符串未约定长度的以00H结尾，指定长度的不足部分以00H填充。

A.1.2数据表达、存储、传输约定

a)如未特别说明，本文件所有附录数据的存储、传输顺序采用大端模式（Big-Endian）：高字

节在前（低位地址）、低字节在后（高位地址）；

b)十六进制数据以后缀‘H’表示：xxH，‘x’为字符‘0’～‘9’和‘A’～‘F’；十进制数

据无后缀：xx，‘x’为字符‘0’～‘9’；二进制数据以后缀‘B’表示：xxB，‘x’为字

符‘0’或‘1’；

c)本文件所有附录的表格中的字节序号和字节数未能立即确定数值（因上一项数据长度为不确

定的变动长度）的以省略号“...”表示；

d)所有数据帧的长度应不大于16K字节；

e)本协议中如未特别说明，数据摘要算法均采用SM3，对称加解密均采用SM1，非对称加解密及

签名验签算法均采用SM2；

f)本文件附录中如未特别说明，“记录仪”特指汽车记录仪中与数据安全芯片通信的处理器，

“芯片”特指数据安全芯片，“证书”特指数字证书，“签名”特指数字签名；

g)记录仪与芯片间的通信由记录仪发起，记录仪发往芯片的数据帧简称为下行安全帧；芯片发

往记录仪数据帧简称为上行安全帧，主动发起的数据帧称为请求帧，回应请求的称为应答帧；

h)本附录中数据集合大小及包含关系按以下排列：数据帧>数据段>数据组>数据项，数据

项为一个具备实际意义的数值或位集合。

A.2数据帧格式

A.2.1数据帧组成

通信的最小有效单元为数据帧，一个通信数据帧包含起始段、数据段、校验段三个部分，数据帧长

度为这三个部分的总字节数，校验段仅含校验项，数据帧格式见表A.2：

表A.2数据帧格式表

项目字节名称数据

字节数段名称项目名称说明

序号序号缩写内容

111起始字节1SynB153H/35H

定义段数据帧起始字节

221起始字节2SynB278H

12

T/CTS11—2023

项目字节名称数据

字节数段名称项目名称说明

序号序号缩写内容

332命令字CmdU16—

452定义段数据帧长度SizeU16项目1～7的总字节数

572传输序列号TImeiU16—

69...内容段数据帧内容DataBIN与命令字相关的数据

7...2校验段校验字ChkU16项目1～6的CRC16值

A.2.2起始字节

记录仪发出的下行安全帧起始字节为53H，78H；芯片发出的上行安全帧起始字节为35H，78H。

A.2.3命令字

A.2.3.1命令字格式

表A.3命令字位定义表

位序号内容定义备注

请求/应答

160：请求帧1：应答帧—

帧标识

请求/应答记录仪请求命令字：000H～5FFH

15～05—

命令字芯片请求命令字：600H～7FFH

位16=0（请求帧）：

辅助命令

0H～FH：辅助命令

04～01位16=1（应答帧）：—

应答结果0H：执行成功

1H～FH：错误代码，见表A.4

A.2.3.2应答结果格式

a)当请求被成功执行时，应答结果为0H；

b)当请求无法执行或执行错误时，应答结果为1H～FH，表示错误代码，同时帧内容段为错误描

述的STR字符串。

A.2.3.3错误返回代码信息

表A.4错误返回代码信息表

返回值错误内容备注

1H指定的证书ID错误或证书不存在—

2H证书中无指定的算法密钥，或密钥为空—

3H证书过期—

4H签名验证不通过—

5H～BH保留—

CH～FH未分类的错误，参照数据帧内容段错误信息描述—

13

T/CTS11—2023

A.2.4传输序列号

传输序列号是用来计数传输数据帧，记录仪在发起通信初始化请求时复位为0001H，芯片在应答通

信初始化时复位为0001H，连接成功后发送的每个请求帧各自依次加1，数据帧发生传输错误需要重传时，

传输序列号不变，传输序列号大于FF00H时，记录仪应重新进行通信初始化。记录仪和芯片在进行应答

时，应答帧的传输序列号应和请求帧传输序列号一致。

A.2.5校验段

校验段的校验字为项目1～6所有字节的CRC16计算值，CRC16值计算算法采用CRC16-CCITT方法，生

成多项式为：x^16+x^15+x^2+1。

A.3算法ID

A.3.1算法ID表

本协议中涉及的安全算法，算法类别及对应代码见表A.5：

表A.5算法ID表

项目算法密钥密钥

说明备注

序号ID长度分类

111HSM1对称加解密算法128—加解密/签名验签

213HSM3数据摘要加密128—附加Salt值

314HSM4分组密码加解密算法128—加解密/签名验签

431HAES对称加解密算法128—加解密/签名验签

532HAES对称加解密算法256—加解密/签名验签

6SM2非对称加密与封装算法512公钥加密

52H

7SM2非对称解密与解封算法256私钥解密

8SM2非对称验签算法512公钥验签

54H

9SM2非对称签名算法256私钥签名

10RSA非对称加密算法（RSA2）2048公钥加密

72H

11RSA非对称解密算法（RSA2）2048私钥解密

12RSA非对称验签算法（RSA2）2048公钥验签

74H

13RSA非对称签名算法（RSA2）2048私钥签名