ISO 21177:2024
(Main)Intelligent transport systems - ITS station security services for secure session establishment and authentication between trusted devices
Intelligent transport systems - ITS station security services for secure session establishment and authentication between trusted devices
This document contains specifications for a set of ITS station security services required to ensure the authenticity of the source and integrity of information exchanged between trusted entities, i.e.: - between devices operated as bounded secured managed entities, i.e. "ITS Station Communication Units" (ITS-SCU) and "ITS station units" (ITS-SU) as specified in ISO 21217; and - between ITS-SUs (composed of one or several ITS-SCUs) and external trusted entities such as sensor and control networks. These services include the authentication and secure session establishment which are required to exchange information in a trusted and secure manner. These services are essential for many intelligent transport system (ITS) applications and services, including time-critical safety applications, automated driving, remote management of ITS stations (ISO 24102-2), and roadside/infrastructure-related services.
Systèmes de transport intelligents — Services de sécurité des stations ITS pour l’établissement et l’authentification des sessions sécurisées entre dispositifs de confiance
Le présent document contient les spécifications d'un ensemble de services de sécurité des stations ITS nécessaires pour garantir l'authenticité de la source et l'intégrité des informations échangées entre des entités de confiance, c'est-à-dire: — entre des dispositifs exploités en tant qu'entités délimitées gérées de manière sécurisée, c'est-à-dire les «unités de communication de station ITS» (ITS-SCU) et les «unités de station ITS» (ITS-SU) comme spécifié dans l'ISO 21217; et — entre les ITS-SU (composées d'une ou plusieurs ITS-SCU) et les entités de confiance externes telles que les réseaux de capteurs et de contrôle. Ces services comprennent l'authentification et l'établissement de sessions sécurisées, nécessaires pour échanger des informations dans le cadre d'une relation de confiance et de manière sécurisée. Ces services sont essentiels pour de nombreux services et applications de systèmes de transport intelligents (ITS), notamment les applications de sécurité revêtant un caractère d'urgence, la conduite automatisée, la gestion à distance des stations ITS (ISO 24102-2), et les services routiers liés aux infrastructures.
General Information
- Status
- Published
- Publication Date
- 18-Mar-2024
- Technical Committee
- ISO/TC 204 - Intelligent transport systems
- Drafting Committee
- ISO/TC 204 - Intelligent transport systems
- Current Stage
- 6060 - International Standard published
- Start Date
- 19-Mar-2024
- Due Date
- 12-Dec-2024
- Completion Date
- 19-Mar-2024
Relations
- Effective Date
- 17-Jun-2023
- Effective Date
- 17-Jun-2023
Overview
ISO 21177:2024 - Intelligent transport systems - ITS station security services for secure session establishment and authentication between trusted devices - specifies a standardized set of security services to ensure authenticity of the source and integrity of information exchanged between trusted ITS entities. It covers secure session establishment and authentication between bounded, managed ITS entities (ITS Station Communication Units - ITS‑SCU and ITS Station Units - ITS‑SU) and between ITS‑SUs and external trusted networks (for example sensor or control networks). These services support time‑critical safety, automated driving, remote ITS station management and roadside/infrastructure services.
Key topics and technical requirements
- Secure session establishment and authentication: mechanisms to authenticate peers and create trusted session contexts for data exchange. The document describes relationships to Transport Layer Security (TLS) and application‑layer specifications.
- Authenticity and integrity guarantees: procedures and message formats to ensure source authenticity and data integrity between trusted devices.
- Architecture and functional entities: definitions for ITS‑SCU/ITS‑SU roles, cryptomaterial handles, session IDs and session state management.
- Access control and authorization state: policy models and state handling for access decisions and authorization.
- Enhanced and extended authentication: support for enhanced authentication methods (including SPAKE2 as an example of a supported enhanced authentication method) and extended authentication PDUs.
- Process flows and sequence diagrams: detailed flows (Configure, Start session, Send/Receive PDU, Extend session, Force end session, Secure connection brokering) and state transition diagrams for implementers.
- Interfaces and data types: App‑Sec interface primitives (App‑Sec‑Configure, StartSession, Data, EndSession, Deactivate, etc.), security subsystem internal interfaces, and management PDUs (security management info, CRL and certificate chain requests/responses).
- Secure connection brokering and session extension: brokered connections, prerequisites and detailed processing to enable multi‑entity secured interactions.
Applications and who uses it
- Automotive OEMs and Tier‑1 suppliers implementing ITS stations and in‑vehicle communication units.
- ITS system architects and security engineers designing end‑to‑end secure V2X, roadside infrastructure and sensor integrations.
- Road operators and infrastructure vendors deploying secure roadside units, remote management systems and automated driving support services.
- Standards organizations and integrators mapping ITS security to TLS and application specifications.
Related standards
- ISO 21217 (ITS station architecture) - defines ITS‑SU/ITS‑SCU concept used by ISO 21177.
- ISO 24102‑2 (remote management of ITS stations) - use case referenced in scope.
- TLS and other application‑level security profiles - ISO 21177 describes relationships to these protocols.
Keywords: ISO 21177:2024, ITS station security services, secure session establishment, authentication, ITS‑SCU, ITS‑SU, intelligent transport systems, SPAKE2, access control, TLS, automated driving.
ISO 21177:2024 - Intelligent transport systems — ITS station security services for secure session establishment and authentication between trusted devices Released:19. 03. 2024
ISO 21177:2024 - Systèmes de transport intelligents — Services de sécurité des stations ITS pour l’établissement et l’authentification des sessions sécurisées entre dispositifs de confiance Released:19. 03. 2024
Frequently Asked Questions
ISO 21177:2024 is a standard published by the International Organization for Standardization (ISO). Its full title is "Intelligent transport systems - ITS station security services for secure session establishment and authentication between trusted devices". This standard covers: This document contains specifications for a set of ITS station security services required to ensure the authenticity of the source and integrity of information exchanged between trusted entities, i.e.: - between devices operated as bounded secured managed entities, i.e. "ITS Station Communication Units" (ITS-SCU) and "ITS station units" (ITS-SU) as specified in ISO 21217; and - between ITS-SUs (composed of one or several ITS-SCUs) and external trusted entities such as sensor and control networks. These services include the authentication and secure session establishment which are required to exchange information in a trusted and secure manner. These services are essential for many intelligent transport system (ITS) applications and services, including time-critical safety applications, automated driving, remote management of ITS stations (ISO 24102-2), and roadside/infrastructure-related services.
This document contains specifications for a set of ITS station security services required to ensure the authenticity of the source and integrity of information exchanged between trusted entities, i.e.: - between devices operated as bounded secured managed entities, i.e. "ITS Station Communication Units" (ITS-SCU) and "ITS station units" (ITS-SU) as specified in ISO 21217; and - between ITS-SUs (composed of one or several ITS-SCUs) and external trusted entities such as sensor and control networks. These services include the authentication and secure session establishment which are required to exchange information in a trusted and secure manner. These services are essential for many intelligent transport system (ITS) applications and services, including time-critical safety applications, automated driving, remote management of ITS stations (ISO 24102-2), and roadside/infrastructure-related services.
ISO 21177:2024 is classified under the following ICS (International Classification for Standards) categories: 03.220.01 - Transport in general; 35.030 - IT Security; 35.240.60 - IT applications in transport. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 21177:2024 has the following relationships with other standards: It is inter standard links to ISO 25178-700:2022, ISO 21177:2023. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO 21177:2024 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
International
Standard
ISO 21177
Second edition
Intelligent transport systems —
2024-03
ITS station security services for
secure session establishment
and authentication between
trusted devices
Systèmes de transport intelligents — Services de sécurité des
stations ITS pour l’établissement et l’authentification des sessions
sécurisées entre dispositifs de confiance
Reference number
© ISO 2024
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .vi
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 2
5 Overview . 4
5.1 General description, relationship to transport layer security (TLS) and relationship to
application specifications .4
5.2 Goals .5
5.3 Architecture and functional entities .5
5.4 Cryptomaterial handles .10
5.5 Session IDs and state .10
5.6 Access control and authorization state .11
5.7 Application level non-repudiation .11
5.8 Service primitive conventions .11
6 Process flows and sequence diagrams .12
6.1 General . 12
6.2 Overview of process flows . 12
6.3 Sequence diagram conventions . 13
6.4 Configure .14
6.5 Start session . 15
6.6 Send data .18
6.7 Send access control PDU .21
6.8 Receive PDU . 22
6.9 Extend session .27
6.9.1 Goals .27
6.9.2 Processing . 28
6.10 Secure connection brokering . 28
6.10.1 Goals . 28
6.10.2 Prerequisites . 28
6.10.3 Overview . 29
6.10.4 Detailed specification . 30
6.11 Force end session. 38
6.12 Session terminated at session layer . 39
6.13 Deactivate . 40
6.14 Secure session example .41
7 Security subsystem: interfaces and data types .43
7.1 General .43
7.2 Access control policy and state .43
7.3 Enhanced authentication . 44
7.3.1 Definition and possible states . 44
7.3.2 States for owner role enhanced authentication .45
7.3.3 State for accessor role enhanced authentication . 46
7.3.4 Use by access control . 46
7.3.5 Methods for providing enhanced authentication .47
7.3.6 Enhanced authentication using SPAKE2 .47
7.4 Extended authentication . 48
7.5 Security Management Information Request . 48
7.5.1 Rationale . 48
7.5.2 General . 49
7.6 Data types . 50
iii
7.6.1 General . 50
7.6.2 Imports . 50
7.6.3 “Helper” data types . 50
7.6.4 Iso21177AccessControlPdu .51
7.6.5 AccessControlResult .51
7.6.6 ExtendedAuthPdu .51
7.6.7 ExtendedAuthRequest .52
7.6.8 InnerExtendedAuthRequest .52
7.6.9 AtomicExtendedAuthRequest . 53
7.6.10 ExtendedAuthResponse . 53
7.6.11 ExtendedAuthResponsePayload . 53
7.6.12 EnhancedAuthPdu . 53
7.6.13 SpakeRequest . 54
7.6.14 SpakeResponse . 54
7.6.15 SpakeRequesterResponse . 54
7.6.16 SecurityMgmtInfoPdu . 54
7.6.17 SecurityMgmtInfoRequest . 55
7.6.18 EtsiCrlRequest . 55
7.6.19 CertChainRequest . 55
7.6.20 SecurityMgmtInfoResponse. 56
7.6.21 SecurityMgmtInfoErrorResponse . 56
7.6.22 EtsiCrlResponse . 56
7.6.23 EtsiCtlResponse . . . 56
7.6.24 IeeeCrlResponse .57
7.6.25 CertChainResponse . .57
7.6.26 SessionExtensionPdu .57
7.7 App-Sec Interface .59
7.7.1 App-Sec-Configure.request .59
7.7.2 App-Sec-Configure.confirm . 60
7.7.3 App-Sec-StartSession.indication . 60
7.7.4 App-Sec-Data.request. 60
7.7.5 App-Sec-Data.confirm .61
7.7.6 App-Sec-Incoming.request .61
7.7.7 App-Sec-Incoming.confirm.62
7.7.8 App-Sec-EndSession.request . 63
7.7.9 App-Sec-EndSession.indication . 63
7.7.10 App-Sec-Deactivate.request . 63
7.7.11 App-Sec-Deactivate.confirm . 64
7.7.12 App-Sec-Deactivate.indication . 64
7.8 Security subsystem internal interface . 64
7.8.1 General . 64
7.8.2 Sec-AuthState.request . 65
7.8.3 Sec-AuthState.confirm . 65
8 Adaptor layer: interfaces and data types .66
8.1 General . 66
8.2 Data types .67
8.2.1 General .67
8.2.2 Iso21177AdaptorLayerPDU .67
8.2.3 Apdu . 68
8.2.4 AccessControl . 68
8.2.5 TlsClientMsg1 . . . 68
8.2.6 TlsServerMsg1 . 68
8.3 App-AL Interface . 68
8.3.1 App-AL-Data.request . 68
8.3.2 App-AL-Data.confirm . 69
8.3.3 App-AL-Data.indication . . . 69
8.3.4 App-AL-EnableProxy.request .70
8.4 Sec-AL Interface .71
iv
8.4.1 Sec-AL-AccessControl.request .71
8.4.2 Sec-AL-AccessControl.confirm. 72
8.4.3 Sec-AL-AccessControl.indication . 72
8.4.4 Sec-AL-EndSession.request . 73
8.4.5 Sec-AL-EndSession.confirm. 73
9 Secure session Services .73
9.1 General . 73
9.2 App-Sess interfaces . 73
9.2.1 App-Sess-EnableProxy.request . 73
9.3 Sec-Sess interface .74
9.3.1 Sec-Sess-Configure.request .74
9.3.2 Sec-Sess-Configure.confirm .76
9.3.3 Sec-Sess-Start.indication.76
9.3.4 Sec-Sess-EndSession.indication . 77
9.3.5 Sec-Sess-Deactivate.request . 77
9.3.6 Sec-Sess-Deactivate.confirm . 78
9.4 AL-Sess interface . 78
9.4.1 AL-Sess-Data.request . 78
9.4.2 AL-Sess-Data.confirm . 78
9.4.3 AL-Sess-Data.indication . 78
9.4.4 AL-Sess-EndSession.request . 79
9.4.5 AL-Sess-EndSession.confirm . 79
9.4.6 AL-Sess-ClientHelloProxy.request . 79
9.4.7 AL-Sess-ClientHelloProxy.indication . 80
9.4.8 AL-Sess-ServerHelloProxy.request . 81
9.4.9 AL-Sess-ServerHelloProxy.indication . 81
9.5 Permitted mechanisms . 82
9.5.1 TLS 1.3 . 82
9.5.2 DTLS 1.3 . 83
Annex A (informative) Usage scenarios .84
Annex B (normative) ASN.1 module .92
Annex C (normative) Session extension PDU functional type .93
Annex D (normative) Owner authorization .94
Bibliography .98
v
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out through
ISO technical committees. Each member body interested in a subject for which a technical committee
has been established has the right to be represented on that committee. International organizations,
governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely
with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of ISO document should be noted. This document was drafted in accordance with the editorial rules of the
ISO/IEC Directives, Part 2 (see www.iso.org/directives).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a)
patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent
rights in respect thereof. As of the date of publication of this document, ISO had received notice of (a)
patent(s) which may be required to implement this document. However, implementers are cautioned that
this may not represent the latest information, which may be obtained from the patent database available at
www.iso.org/patents. ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 204, Intelligent transport systems, in
collaboration with the European Committee for Standardization (CEN) Technical Committee CEN/TC 278,
Intelligent transport systems, in accordance with the Agreement on technical cooperation between ISO and
CEN (Vienna Agreement).
This second edition cancels and replaces the first edition (ISO 21177:2023), of which it constitutes a minor
revision. The changes are as follows:
— cross-references to RFC 8942 have been updated to RFC 8902 throughout the document;
— information concerning patent(s) required for the implementation of this document has been moved
from the Introduction to the Foreword.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
vi
Introduction
This document specifies ITS station security services that provide authenticity of the source and
confidentiality and integrity of application activities taking place between trusted devices. The two devices
taking part in a data exchange establish a cryptographically secure session. As part of establishing this
session, each device [or, more precisely, each end entity (EE) which is an application on the device] is sent
one or more digital certificates that are cryptographically bound to the other EE and contain statements,
made by a trusted third party, about the EE’s capabilities, properties and permissions. This allows each EE
to have assurance about the properties of the other EE in the session, and this in turn allows each EE to
make trust and access control decisions about data that the other EE can access, commands that the other
EE can execute, states that the other EE can change, and other types of access that the other EE can request.
In other words, the two EEs establish a trust relationship where each EE is trusted by the other EE to carry
out specific actions, without requiring one EE to allow the other EE to have arbitrary access.
The mechanisms specified in this document allow each EE to establish trusted facts about the other EE.
For these mechanisms to be used, the EE specification needs to include an access control policy, indicating
which properties are required to be known to be true about the other EE for that other EE to be allowed to
carry out particular actions. In other words, this document provides a means to obtain security-relevant
information, but the use of that security-relevant information is to be specified in the specification of the EE.
The trust relation between two devices is illustrated in Figure 1. Two devices cooperate in a trusted way, i.e.
exchange information with optional explicit bi-directional protection.
Figure 1 — Interconnection of trusted devices
According to ISO 21217, an ITS station unit (ITS-SU), i.e. the physical implementation of the ITS station
(ITS-S) functionality, is a trusted device, and an ITS-SU may be composed of ITS station communication units
(ITS-SCUs) that are interconnected via an ITS station-internal network. Thus, an ITS-SCU is the smallest
physical entity of an ITS-SU that is referred to as a trusted device.
[16]
NOTE 1 ISO 21217 fully covers the functionality of EN 302 665, which is a predecessor of ISO 21217.
NOTE 2 An ITS-SU can be composed of ITS-SCUs from different vendors where each ITS-SCU is linked to a different
ITS-SCU configuration and management centre specified in ISO 24102-2 and ISO 17419. Station-internal management
communications between ITS-SCUs of the same ITS-SU are specified in ISO 24102-4. The European C-ITS regulation
refers to the "ITS-SCU configuration and management centre" as "C-ITS station operator" meaning the entity
responsible for the operation of a C-ITS station. The C-ITS station operator can be responsible for the operation of
one single C-ITS station (fixed or mobile), or a C-ITS infrastructure composed of a number of fixed C-ITS stations, or a
number of mobile ITS stations.
Four implementation contexts of communication nodes in ITS communications networks are identified
in the ITS station and communication architecture of ISO 21217, each comprised of ITS-SUs taking on a
particular role: personal, vehicular, roadside or central. These ITS-SUs are ITS-secured communication
nodes as required in ISO 21217 that participate in a wide variety of ITS services related to, for example,
sustainability, road safety and transportation efficiency. See also Figure 2, Figure 3, Figure 4 and Figure 5.
Over the last decade, ITS services have arisen that require secure access to data from sensor and control
networks (SCN), for example, from in-vehicle networks (IVN) and from infrastructure/roadside networks
(IRN), some of which require secure local access to time-critical information; see Figure 2 and Figure 3.
vii
Key
VMS variable message sign
Figure 2 — Example of a roadside ITS-SU connected with proprietary IRN
Key
ECU electronic control unit
Figure 3 — Example of a vehicle ITS-SU connected with proprietary IVN
viii
Key
N&T Networking & Transport
Figure 4 — Interconnection of ITS-SCUs in an ITS-SU
Key
N&T Networking & Transport
Figure 5 — Interconnection of ITS-SUs
By applying basic security means specified in this document, the ITS-SUs can establish secure application
sessions. Establishment of sessions either requires prior knowledge about a session partner or can be
achieved by means of a service announcement as specified in ISO 22418. Further on, the broadcasting of
messages is secured by means of authenticating the sender of such a message, applicable for the service
advertisement message (SAM) specified in ISO 16460 and used in ISO 22418. Additionally, other security
means may be applied, e.g. encryption of messages.
A further trust relation in the ITS domain is between an ITS-SU consisting of one or several ITS-SCUs and a
sensor and control network (SCN). Trust is achieved by applying security means in an interface as illustrated
in Figure 6 with details specified in this document.
Key
N&T Networking & Transport
Figure 6 — Interface between ITS-SU and sensor and control network
ix
The interface presented in Figure 6 may be a stand-alone device, or may be integrated in the ITS-SU, or
may be part of the SCN. Examples of SCNs are "in-vehicle networks" (IVN) and "infrastructure/roadside
networks" (IRN).
Related use cases of these ITS services have largely been derived from regulatory requirements and ITS
operational needs, and they include:
— secure real-time access to time-critical vehicle-related data for safety of life and property applications,
e.g. collision avoidance, emergency electronic brake light and event determination;
— secure local access to detailed real-time data for efficiency applications (traffic management), e.g.
intersection interaction, congestion avoidance and dynamic priorities;
— protection of private data, e.g. in compliance with the European "General Data Protection Regulation"
[18]
(GDPR);
— local access to certified real-time data for sustainability applications, e.g. dynamic emission zones
(controlled zones as currently standardized by CEN/TC 278), intersection priorities based on emissions,
and interactive optimum vehicle settings to minimize fuel consumption.
There are many use cases of ITS services currently identified where real-time exchange of time-critical
information between ITS-SUs in close proximity is essential, and this number will grow (see the US National
[19]
ITS Reference Architecture, for example). It is critical that ultimately all ITS-SUs in a given area be able
to be engaged in these distributed services. This, in turn, requires vehicle ITS-SUs to have real-time access
to vehicle data, and roadside ITS-SUs to have real-time access to infrastructure data. All ITS-SUs need to be
capable of secure software updates.
According to ISO 21217, an ITS-SCU of an ITS-SU can communicate with devices that, in a strict sense, are not
compliant with the architecture specified in ISO 21217. However, in order to have trusted communications,
a certain minimum level of security measures need to be shared between an ITS-SCU and such an external
device. Examples of such external devices are a node in the Internet, or a node in a sensor and control
network. In this document, the assumption is made that ITS-S application processes operating on ITS-SUs
are issued with certificates by a Certificate Authority (CA), and that the CA is a trusted third party in the
sense that before issuing the certificate to the ITS-S application process, it ensures that the ITS-SU on which
the ITS-S application process is resident meets the minimum security requirements for that application. This
allows peer ITS-S application processes which observe that an ITS-S application process possesses a valid
certificate to have a level of assurance that the ITS-S application process is in fact secure and trustworthy.
The subject of this document thus is three-fold.
1) Specification of ITS station security services for enabling trust between ITS-S application processes
running on different ITS-SCUs of the same ITS-SU, i.e. establishing a trusted processing platform,
considering also trust inside an ITS-SCU:
— protection of applications from the actions of other applications;
— protection of shared information;
— protection of shared processing resources such as communications software and hardware, which
includes methods of prioritization and restricted access.
2) Specification of ITS station security services for enabling trust between ITS-S application processes
running on the same ITS-SU.
3) Extension of these ITS security services for enabling trust between an ITS-SCU and devices being part of
a sensor and control network.
Such security services include, for example, the basic security features of:
a) authentication and authorization;
b) confidentiality and privacy;
x
c) data integrity;
d) non-repudiation.
Tasks related to communications are:
e) establishing secure sessions for bi-directional communications, e.g. based on service advertisement as
specified in ISO 22418;
f) authenticating a sender of broadcast messages, e.g. CAM, DENM, BSM, SPaT, MAP, FSAM, WSA, etc.;
g) encrypting messages.
NOTE 3 Tasks f) and g) above related to communications are already specified in other standards: see IEEE 1609.2
and several related standards from ETSI, for example.
xi
International Standard ISO 21177:2024(en)
Intelligent transport systems — ITS station security services
for secure session establishment and authentication between
trusted devices
1 Scope
This document contains specifications for a set of ITS station security services required to ensure the
authenticity of the source and integrity of information exchanged between trusted entities, i.e.:
— between devices operated as bounded secured managed entities, i.e. "ITS Station Communication Units"
(ITS-SCU) and "ITS station units" (ITS-SU) as specified in ISO 21217; and
— between ITS-SUs (composed of one or several ITS-SCUs) and external trusted entities such as sensor and
control networks.
These services include the authentication and secure session establishment which are required to exchange
information in a trusted and secure manner.
These services are essential for many intelligent transport system (ITS) applications and services, including
time-critical safety applications, automated driving, remote management of ITS stations (ISO 24102-2), and
roadside/infrastructure-related services.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ETSI TS 102 941, Intelligent Transport Systems (ITS); Security; Trust and privacy management
ETSI TS 103 097, Intelligent Transport Systems (ITS); Security; Security header and certificate formats
IEEE 1609.2, including Amendment 1, IEEE Standard for Wireless Access in Vehicular Environments—Security
Services for Applications and Management Messages
IEEE 1003.1:2017, IEEE Standard for Information Technology--Portable Operating System Interface (POSIX(R))
Base Specifications, Issue 7
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addr
...
Norme
internationale
ISO 21177
Deuxième édition
Systèmes de transport
2024-03
intelligents — Services de
sécurité des stations ITS pour
l’établissement et l’authentification
des sessions sécurisées entre
dispositifs de confiance
Intelligent transport systems — ITS station security services for
secure session establishment and authentication between trusted
devices
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2024
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .vi
Introduction .vii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 3
5 Présentation . 4
5.1 Description générale, relations avec la sécurité de la couche transport (TLS) et
relations avec les spécifications des applications .4
5.2 Objectifs .5
5.3 Architecture et entités fonctionnelles .6
5.4 Pointeurs d'élément cryptographique .11
5.5 État et ID de session .11
5.6 Contrôle d'accès et état d'autorisation . 12
5.7 Non-répudiation au niveau de l'application . 12
5.8 Conventions applicables aux primitives de service . 13
6 Flux de processus et diagrammes séquentiels .13
6.1 Généralités . 13
6.2 Vue d'ensemble des flux de processus .14
6.3 Conventions applicables aux diagrammes séquentiels .14
6.4 Configuration . 15
6.5 Ouverture de session .17
6.6 Envoi des données .19
6.7 Envoi de la PDU de contrôle d'accès . 22
6.8 Réception de la PDU . 23
6.9 Extension de session . 28
6.9.1 Objectifs . 28
6.9.2 Traitement . 29
6.10 Courtage de connexions sécurisées . 29
6.10.1 Objectifs . 29
6.10.2 Prérequis . 30
6.10.3 Présentation . 30
6.10.4 Spécifications détaillées .31
6.11 Fin de session forcée. 39
6.12 Clôture de session au niveau de la couche session .41
6.13 Désactivation .42
6.14 Exemple de session sécurisée .43
7 Sous-système de sécurité: interfaces et types de données .44
7.1 Généralités . 44
7.2 État et politique de contrôle d'accès .45
7.3 Authentification renforcée . 46
7.3.1 Définition et états possibles . 46
7.3.2 États pour l'authentification renforcée du rôle de propriétaire .47
7.3.3 État pour l'authentification renforcée du rôle d'accesseur . 48
7.3.4 Utilisation par le contrôle d'accès . 48
7.3.5 Méthodes permettant de fournir une authentification renforcée . 49
7.3.6 Authentification renforcée avec SPAKE2 . 49
7.4 Authentification étendue . 50
7.5 Requête d'informations sur la gestion de la sécurité . 50
7.5.1 Fondement logique . 50
7.5.2 Généralités .51
7.6 Type de données .52
iii
7.6.1 Généralités .52
7.6.2 Importations .52
7.6.3 Types de données «facilitateurs» . 53
7.6.4 Iso21177AccessControlPdu . 53
7.6.5 AccessControlResult . 54
7.6.6 ExtendedAuthPdu . 54
7.6.7 ExtendedAuthRequest . 54
7.6.8 InnerExtendedAuthRequest . 54
7.6.9 AtomicExtendedAuthRequest . 55
7.6.10 ExtendedAuthResponse . 55
7.6.11 ExtendedAuthResponsePayload . 55
7.6.12 EnhancedAuthPdu . 56
7.6.13 SpakeRequest . 56
7.6.14 SpakeResponse . 56
7.6.15 SpakeRequesterResponse .57
7.6.16 SecurityMgmtInfoPdu .57
7.6.17 SecurityMgmtInfoRequest .57
7.6.18 EtsiCrlRequest .57
7.6.19 CertChainRequest . 58
7.6.20 SecurityMgmtInfoResponse. 58
7.6.21 SecurityMgmtInfoErrorResponse . 58
7.6.22 EtsiCrlResponse .59
7.6.23 EtsiCtlResponse . . .59
7.6.24 IeeeCrlResponse .59
7.6.25 CertChainResponse . .59
7.6.26 SessionExtensionPdu .59
7.7 Interface App-Sec .61
7.7.1 App-Sec-Configure.request .61
7.7.2 App-Sec-Configure.confirm .62
7.7.3 App-Sec-StartSession.indication . 63
7.7.4 App-Sec-Data.request. 63
7.7.5 App-Sec-Data.confirm . 64
7.7.6 App-Sec-Incoming.request . 64
7.7.7 App-Sec-Incoming.confirm. 65
7.7.8 App-Sec-EndSession.request . 66
7.7.9 App-Sec-EndSession.indication . 66
7.7.10 App-Sec-Deactivate.request .67
7.7.11 App-Sec-Deactivate.confirm .67
7.7.12 App-Sec-Deactivate.indication .67
7.8 Interface interne du sous-système de sécurité. 68
7.8.1 Généralités . 68
7.8.2 Sec-AuthState.request . 68
7.8.3 Sec-AuthState.confirm . 68
8 Couche d'adaptation: interfaces et types de données .69
8.1 Généralités . 69
8.2 Type de données .70
8.2.1 Généralités .70
8.2.2 Iso21177AdaptorLayerPDU .71
8.2.3 Apdu .71
8.2.4 AccessControl .71
8.2.5 TlsClientMsg1 . . .71
8.2.6 TlsServerMsg1 .71
8.3 Interface App-AL . 72
8.3.1 App-AL-Data.request . 72
8.3.2 App-AL-Data.confirm . 72
8.3.3 App-AL-Data.indication . . . 72
8.3.4 App-AL-EnableProxy.request . 73
8.4 Interface Sec-AL . 75
iv
8.4.1 Sec-AL-AccessControl.request . 75
8.4.2 Sec-AL-AccessControl.confirm.76
8.4.3 Sec-AL-AccessControl.indication .76
8.4.4 Sec-AL-EndSession.request . 77
8.4.5 Sec-AL-EndSession.confirm. 77
9 Services de session sécurisée .77
9.1 Généralités . 77
9.2 Interfaces App-Sess . 77
9.2.1 App-Sess-EnableProxy.request . 77
9.3 Interface Sec-Sess . . 78
9.3.1 Sec-Sess-Configure.request . 78
9.3.2 Sec-Sess-Configure.confirm . 80
9.3.3 Sec-Sess-Start.indication. 80
9.3.4 Sec-Sess-EndSession.indication . 81
9.3.5 Sec-Sess-Deactivate.request . 82
9.3.6 Sec-Sess-Deactivate.confirm . 82
9.4 Interface AL-Sess . 82
9.4.1 AL-Sess-Data.request . 82
9.4.2 AL-Sess-Data.confirm . 83
9.4.3 AL-Sess-Data.indication . 83
9.4.4 AL-Sess-EndSession.request . 83
9.4.5 AL-Sess-EndSession.confirm . 84
9.4.6 AL-Sess-ClientHelloProxy.request . 84
9.4.7 AL-Sess-ClientHelloProxy.indication . 85
9.4.8 AL-Sess-ServerHelloProxy.request . 85
9.4.9 AL-Sess-ServerHelloProxy.indication . 86
9.5 Mécanismes autorisés . 87
9.5.1 TLS 1.3 . 87
9.5.2 DTLS 1.3 . 88
Annexe A (informative) Scénarios d'utilisation .89
Annexe B (normative) Module ASN.1 .97
Annexe C (normative) Type fonctionnel de PDU d'extension de session .98
Annexe D (normative) Autorisation du propriétaire.99
Bibliographie .103
v
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux
de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général
confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité
de tout droit de brevet revendiqué à cet égard. À la date de publication du présent document, l’ISO avait
reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois,
il y a lieu d’avertir les responsables de la mise en application du présent document que des informations
plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible à l'adresse
www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne pas avoir identifié tout ou partie de
tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 204, Systèmes de transport intelligents, en
collaboration avec le comité technique CEN/TC 278, Systèmes de transport intelligents, du Comité européen
de normalisation (CEN) conformément à l’Accord de coopération technique entre l’ISO et le CEN (Accord de
Vienne).
Cette deuxième édition annule et remplace la première édition (ISO 21177:2023), dont elle constitue une
révision mineure. Les modifications sont les suivantes.
Les principales modifications sont les suivantes:
— les références croisées à la RFC 8942 ont été remplacées par des références à la RFC 8902 dans
l'ensemble du document;
— les informations concernant le ou les brevets exigés pour la mise en œuvre du présent document ont
été déplacées de l'Introduction à l'Avant-propos.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.
vi
Introduction
Le présent document spécifie les services de sécurité des stations ITS qui assurent l'authenticité de
la source ainsi que la confidentialité et l'intégrité des activités des applications se déroulant entre
dispositifs de confiance. Les deux dispositifs participant à un échange de données établissent une session
cryptographiquement sécurisée. Dans le cadre de l'établissement de cette session, chaque dispositif [ou,
plus précisément, chaque entité finale (EE), qui est une application sur le dispositif] reçoit un ou plusieurs
certificats numériques cryptographiquement liés à l'autre EE et contenant des déclarations, faites par un
tiers de confiance, sur les capacités, les propriétés et les permissions de l'EE. Cela permet à chaque EE de
s'assurer des propriétés de l'autre EE dans la session, et donc à chaque EE de prendre des décisions de
confiance et de contrôle d'accès concernant les données auxquelles l'autre EE peut accéder, les commandes
que l'autre EE peut exécuter, les états que l'autre EE peut modifier et d'autres types d'accès que l'autre EE
peut demander. En d'autres termes, les deux EE établissent une relation de confiance dans laquelle chacune
a obtenu la confiance de l'autre pour effectuer des actions spécifiques, sans qu'une EE doive autoriser l'autre
à avoir un accès arbitraire.
Les mécanismes spécifiés dans le présent document permettent à chaque EE d'établir des faits de confiance
sur l'autre EE. Pour que ces mécanismes puissent être utilisés, la spécification de l'EE doit inclure une
politique de contrôle d'accès, indiquant quelles propriétés doivent être connues comme étant vraies sur
l'autre EE pour que cette dernière soit autorisée à effectuer des actions particulières. En d'autres termes,
le présent document fournit un moyen d'obtenir des informations pertinentes en matière de sécurité, mais
l'utilisation de ces informations doit être précisée dans la spécification de l'EE.
La Figure 1 illustre la relation de confiance entre deux dispositifs. Deux dispositifs coopèrent dans le
cadre d'une relation de confiance, c'est-à-dire qu'ils échangent des informations avec une protection
bidirectionnelle explicite facultative.
Figure 1 — Interconnexion des dispositifs de confiance
Selon l'ISO 21217, une unité de station ITS (ITS-SU), c'est-à-dire la mise en œuvre physique de la fonctionnalité
de la station ITS (ITS-S), est un dispositif de confiance, et une ITS-SU peut être composée d'unités de
communication de station ITS (ITS-SCU) interconnectées par le réseau interne à une station ITS. Ainsi, une
ITS-SCU est la plus petite entité physique d'une ITS-SU désignée comme un dispositif de confiance.
[16]
NOTE 1 L'ISO 21217 couvre entièrement la fonctionnalité de l'EN 302 665, qui précède l'ISO 21217.
NOTE 2 Une ITS-SU peut être composée d'ITS-SCU de différents fournisseurs, chaque ITS-SCU étant liée à un
centre de configuration et de gestion d'ITS-SCU différent, spécifié dans les normes ISO 24102-2 et ISO 17419. Les
communications de gestion interne à la station entre les ITS-SCU d'une même ITS-SU sont spécifiées dans l'ISO 24102-4.
La réglementation européenne relative aux C-ITS désigne le «centre de configuration et de gestion d'ITS-SCU» sous
l'appellation «exploitant de station STIC», c'est-à-dire l'entité responsable de l'exploitation d'une station C-ITS. Cet
exploitant peut être responsable de l'exploitation d'une seule station C-ITS (fixe ou mobile), ou d'une infrastructure
C-ITS composée de plusieurs stations C-ITS fixes ou de plusieurs stations ITS mobiles.
Quatre contextes de mise en œuvre des nœuds de communication dans les réseaux de communication des
ITS sont identifiés dans l'architecture des stations et des communications ITS de l'ISO 21217, chacun étant
composé d'ITS-SU assumant un rôle particulier: personnelle, embarquée, routière ou centrale. Ces ITS-
SU sont des nœuds de communication sécurisés par les ITS, conformément à l'ISO 21217, qui participent à
une grande variété de services ITS liés, par exemple, au développement durable, à la sécurité routière et à
l'efficacité des transports. Voir également la Figure 2, la Figure 3, la Figure 4 et la Figure 5.
vii
Au cours de la dernière décennie, sont apparus des services ITS nécessitant un accès sécurisé aux données
des réseaux de capteurs et de contrôle (SCN), par exemple, des réseaux embarqués (IVN) et des réseaux
routiers d'infrastructure (IRN), dont certains nécessitent un accès local sécurisé à des informations
périssables; voir la Figure 2 et la Figure 3.
Légende
PMV panneau à messages variables
Figure 2 — Exemple d'une ITS-SU routière connectée à un IRN propriétaire
Légende
ECU electronic control unit [unité de contrôle électronique]
Figure 3 — Exemple d'une ITS-SU embarquée connectée à un IVN propriétaire
viii
Légende
R et T réseau et transport
Figure 4 — Interconnexion des ITS-SCU dans une ITS-SU
Légende
R et T réseau et transport
Figure 5 — Interconnexion des ITS-SU
En appliquant les moyens de sécurité de base spécifiés dans le présent document, les ITS-SU peuvent établir
des sessions d'application sécurisées. L'établissement de sessions nécessite une connaissance préalable d'un
partenaire de session ou peut intervenir au moyen d'une annonce de service spécifiée dans l'ISO 22418.
En outre, la diffusion de messages est sécurisée par des moyens d'authentification de l'expéditeur de tels
messages, applicables au message d'avertissement de service (SAM) spécifié dans l'ISO 16460 et utilisé dans
l'ISO 22418. De plus, d'autres moyens de sécurité peuvent être appliqués, par exemple le chiffrement des
messages.
Une autre relation de confiance dans le domaine des ITS se déroule entre une ITS-SU composée d'une ou
plusieurs ITS-SCU et un réseau de capteurs et de contrôle (SCN). La confiance est obtenue en appliquant des
moyens de sécurité dans une interface comme le montre la Figure 6 selon les modalités détaillées dans le
présent document.
Légende
R et T réseau et transport
Figure 6 — Interface entre l'ITS-SU et le réseau de capteurs et de contrôle
ix
L'interface présentée à la Figure 6 peut être un dispositif autonome, ou peut être intégrée à l'ITS-SU, ou peut
faire partie du SCN. Les «réseaux embarqués» (IVN) et les «réseaux routiers d'infrastructure» (IRN) sont
des exemples de SCN.
Les cas d'utilisation connexes de ces services ITS ont été largement dérivés des exigences réglementaires et
des besoins opérationnels des ITS, et comprennent:
— un accès sécurisé en temps réel aux données périssables liées au véhicule pour les applications de sécurité
des personnes et des biens, comme la prévention des collisions, le freinage d'urgence électronique et la
détermination des événements;
— un accès local sécurisé à des données détaillées en temps réel pour des applications d'efficacité (gestion
du trafic), par exemple, l'interaction aux intersections, la prévention des embouteillages et les priorités
dynamiques;
— la protection des données privées, par exemple, en conformité avec le «Règlement général sur la protection
[18]
des données» (RGPD) européen;
— un accès local à des données certifiées en temps réel pour des applications de développement durable,
par exemple, des zones d'émission dynamiques (zones contrôlées telles qu'elles sont actuellement
normalisées par le CEN/TC 278), des priorités aux intersections basées sur les émissions, et des réglages
interactifs optimaux des véhicules pour minimiser la consommation de carburant.
De nombreux cas d'utilisation des services ITS ont été identifiés pour lesquels l'échange en temps réel
d'informations périssables entre des ITS-SU proches les unes des autres est essentiel, et ce nombre est
[19]
appelé à croître (voir l'architecture nationale de référence ITS des États-Unis par exemple). Il est essentiel
qu'en fin de compte, toutes les ITS-SU d'une zone donnée puissent participer à ces services distribués. Il
faut donc que les ITS-SU embarquées aient un accès en temps réel aux données des véhicules et que les ITS-
SU routières aient un accès en temps réel aux données des infrastructures. Toutes les ITS-SU doivent être
capables d'effectuer des mises à jour sécurisées des logiciels.
Selon l'ISO 21217, l'ITS-SCU d'une ITS-SU peut communiquer avec des dispositifs qui, au sens strict, ne sont
pas conformes à l'architecture spécifiée par l'ISO 21217. Toutefois, pour que les communications soient
reconnues dignes de confiance, un niveau minimum de mesures de sécurité doit être partagé entre une ITS-
SCU et un tel dispositif externe. Un nœud Internet ou un nœud dans un réseau de capteurs et de contrôle
sont des exemples de tels dispositifs externes. Le présent document suppose que les processus d'application
ITS-S fonctionnant sur des ITS-SU reçoivent des certificats délivrés par une autorité de certification (CA), et
que la CA est un tiers de confiance dans le sens où, avant de délivrer le certificat au processus d'application
ITS-S, elle s'assure que l'ITS-SU sur laquelle réside le processus d'application ITS-S satisfait aux exigences de
sécurité minimales pour cette application. Cela permet aux processus d'application ITS-S homologues qui
constatent qu'un processus d'application ITS-S possède un certificat valide de s'assurer dans une certaine
mesure que le processus d'application ITS-S est effectivement sécurisé et digne de confiance.
L'objet du présent document est donc triple.
1) Spécification des services de sécurité des stations ITS pour établir la confiance entre les processus
d'application ITS-S exécutés sur différentes ITS-SCU d'une même ITS-SU, c'est-à-dire établir une
plateforme de traitement de confiance, en tenant compte également de la confiance à l'intérieur d'une
ITS-SCU:
— protection des applications contre les actions d'autres applications;
— protection des informations partagées;
— protection des ressources de traitement partagées, telles que les logiciels et le matériel de
communication, avec notamment des méthodes de hiérarchisation et de restriction d'accès.
2) Spécification des services de sécurité des stations ITS pour établir la confiance entre les processus
d'application ITS-S exécutés sur une même ITS-SU.
3) Extension de ces services de sécurité ITS pour établir la confiance entre une ITS-SCU et des dispositifs
faisant partie d'un réseau de capteurs et de contrôle.
x
Ces services de sécurité comprennent, par exemple, les fonctions de sécurité de base de:
a) l'authentification et l'autorisation;
b) la confidentialité et le respect de la vie privée;
c) l'intégrité des données;
d) la non-répudiation.
Les tâches liées aux communications sont:
e) l'établissement de sessions sécurisées pour les communications bidirectionnelles, par exemple basées
sur l'avertissement de service spécifié par l'ISO 22418;
f) l'authentification d'un expéditeur de messages radiodiffusés, par exemple CAM, DENM, BSM, SPaT, MAP,
FSAM, WSA, etc.;
g) le chiffrement de messages.
NOTE 3 Les tâches f) et g) ci-dessus relatives aux communications sont déjà spécifiées dans d'autres normes, voir
l'IEEE 1609.2 et plusieurs normes connexes de l'ETSI, par exemple.
xi
Norme internationale ISO 21177:2024(fr)
Systèmes de transport intelligents — Services de sécurité des
stations ITS pour l’établissement et l’authentification des
sessions sécurisées entre dispositifs de confiance
1 Domaine d'application
Le présent document contient les spécifications d'un ensemble de services de sécurité des stations ITS
nécessaires pour garantir l'authenticité de la source et l'intégrité des informations échangées entre des
entités de confiance, c'est-à-dire:
— entre des dispositifs exploités en tant qu'entités délimitées gérées de manière sécurisée, c'est-à-dire
les «unités de communic
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...