《電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信防護(hù)規(guī)范》

ICS點(diǎn)擊此處添加ICS號(hào)

點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類(lèi)號(hào)

DL

中華人民共和國(guó)電力行業(yè)標(biāo)準(zhǔn)

XX/TXXXXX—XXXX

電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信防護(hù)規(guī)范

TrustedProtectionSpecificationofElectricVehicleChargingInfrastructure

點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

征求意見(jiàn)稿

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

國(guó)家能源局發(fā)布

XX/TXXXXX—XXXX

I

XX/TXXXXX—XXXX

電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信防護(hù)規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施內(nèi)負(fù)責(zé)計(jì)量計(jì)費(fèi)、人機(jī)交互、遠(yuǎn)程通信等過(guò)程的核心單元的可

信防護(hù)要求，提出了從硬件到軟件實(shí)現(xiàn)可信防護(hù)的方法。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)

T/CEC208-2019電動(dòng)汽車(chē)充電設(shè)施信息安全防范技術(shù)規(guī)范

GB/T38638-2020信息安全技術(shù)可信計(jì)算可信計(jì)算體系結(jié)構(gòu)

GB/T37935-2019信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基

3術(shù)語(yǔ)和定義

3.1

充電基礎(chǔ)設(shè)施（charginginfrastructure）

充電基礎(chǔ)設(shè)施是指為電動(dòng)汽車(chē)提供電能補(bǔ)給的各類(lèi)充換電設(shè)施，一般包括充電運(yùn)營(yíng)網(wǎng)絡(luò)中能夠提供

對(duì)外充電服務(wù)的充電樁、充電樁群和充電站等。

3.2

完整性度量（integritymeasurement）

使用密碼雜湊算法對(duì)被度量對(duì)象計(jì)算其雜湊值的過(guò)程。

3.3

信任鏈（trustedchain）

在計(jì)算節(jié)點(diǎn)啟動(dòng)和運(yùn)行過(guò)程中，使用完整性度量方法在部件之間所建立的信任傳遞關(guān)系。

3.4

可信計(jì)算節(jié)點(diǎn)（trustedcomputingnode）

由可信防護(hù)部件和計(jì)算部件共同構(gòu)成、具備計(jì)算和防護(hù)并行特征的計(jì)算節(jié)點(diǎn)。

1

XX/TXXXXX—XXXX

3.5

可信平臺(tái)控制模塊（trustedplatformcontrolmodule）

用于建立和保障信任源點(diǎn)的硬件模塊，為可信計(jì)算提供完整性度量、安全存儲(chǔ)、可信報(bào)告及密碼運(yùn)

算等功能。

3.6

可信軟件基（trustedsoftwarebase）

是為可信計(jì)算平臺(tái)的可信性提供支持的軟件元素的集合。

3.7

可信網(wǎng)絡(luò)連接（trustednetworkconnection）

終端連接到受保護(hù)網(wǎng)絡(luò)的過(guò)程，包括用戶(hù)身份鑒別、平臺(tái)身份鑒別和平臺(tái)完整性評(píng)估三個(gè)步驟。

3.8

可信根（rootoftrust）

一種集成在可信計(jì)算平臺(tái)中，用于建立和保障信任源點(diǎn)的硬件核心模塊，為可信計(jì)算提供完整性度

量、安全存儲(chǔ)、可信報(bào)告以及密碼服務(wù)等功能。

3.9

可信引導(dǎo)（trustedboot）

基于可信根完成對(duì)操作系統(tǒng)引導(dǎo)階段信任鏈建立的行為。

3.10

復(fù)位控制（releasecontrol）

通過(guò)外部復(fù)位輸入引腳，使CPU恢復(fù)到一個(gè)初始的默認(rèn)狀態(tài)，并控制CPU電源使其處于正常/暫停

工作狀態(tài)的動(dòng)作。

3.11

可信恢復(fù)（trustedrecovery）

在可信硬件存儲(chǔ)介質(zhì)中備份操作系統(tǒng)內(nèi)核及其引導(dǎo)程序的原始/備份文件，在未通過(guò)可信引導(dǎo)情況

下被可信根讀取并執(zhí)行系統(tǒng)內(nèi)核及其引導(dǎo)程序恢復(fù)的過(guò)程。

4總則

電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信防護(hù)規(guī)范旨在為充電樁群、充電站中的充電樁等執(zhí)行充電服務(wù)的基礎(chǔ)設(shè)

施設(shè)備構(gòu)建計(jì)算環(huán)境本體安全可信的標(biāo)準(zhǔn)要求，以充電樁為例，其主體計(jì)算單元為負(fù)責(zé)計(jì)量計(jì)費(fèi)、人機(jī)

2

XX/TXXXXX—XXXX

交互、遠(yuǎn)程通信等過(guò)程的核心單元，如計(jì)費(fèi)控制單元（TCU）或帶有計(jì)量計(jì)費(fèi)功能的充電控制器等。該

核心單元應(yīng)建立能夠識(shí)別本體代碼、主動(dòng)阻斷未知代碼執(zhí)行的可信計(jì)算主動(dòng)防御機(jī)制，具備抵御新型未

知惡意代碼入侵的能力，避免在與外部通信交互過(guò)程中被注入惡意代碼，被遠(yuǎn)程控制，破壞正常的充電

過(guò)程，避免惡意入侵行為通過(guò)電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施進(jìn)一步入侵電網(wǎng)，或向電動(dòng)汽車(chē)智能控制系統(tǒng)傳播

惡意代碼，影響行車(chē)安全、個(gè)人財(cái)產(chǎn)安全。此外，負(fù)責(zé)電動(dòng)汽車(chē)充電控制等功能的模塊或單元若具有較

高的智能水平也應(yīng)建立上述防護(hù)機(jī)制，確保充電過(guò)程安全。電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信防護(hù)的同時(shí)應(yīng)保

證設(shè)施設(shè)備的正常運(yùn)行，整體防護(hù)架構(gòu)如圖1所示。

圖1整體架構(gòu)示意圖

5硬件架構(gòu)

5.1可信硬件結(jié)構(gòu)

電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施中的核心單元應(yīng)以可信平臺(tái)控制模塊為根構(gòu)建可信計(jì)算節(jié)點(diǎn)，在計(jì)算環(huán)境極

度簡(jiǎn)化的部分核心單元不具備應(yīng)用可信平臺(tái)控制模塊的條件時(shí)可以其他可構(gòu)建可信計(jì)算節(jié)點(diǎn)的核心單

元為根，實(shí)現(xiàn)基于設(shè)施內(nèi)單元間可信連接的可信驗(yàn)證，可信計(jì)算節(jié)點(diǎn)的硬件架構(gòu)如圖2所示。

3

XX/TXXXXX—XXXX

圖2可信計(jì)算節(jié)點(diǎn)硬件架構(gòu)示意圖

5.2電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信平臺(tái)控制模塊

5.2.1工作模式

可信平臺(tái)控制模塊支撐的電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施中的核心單元中，可信平臺(tái)控制模塊應(yīng)是核心單元

中第一個(gè)上電運(yùn)行的部件，在核心單元從引導(dǎo)到正常工作的整個(gè)過(guò)程中，可信平臺(tái)控制模塊應(yīng)可并行于

CPU獨(dú)立工作，作為最基礎(chǔ)的可信防護(hù)硬件支撐可信計(jì)算平臺(tái)的可信防護(hù)功能。

5.2.2功能

電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信平臺(tái)控制模塊功能特性如下：

a)上電初始化：可信平臺(tái)控制模塊是主板上第一個(gè)工作的元件，上電后自行進(jìn)行初始化并進(jìn)入正

常工作模式，在異常時(shí)可進(jìn)行告警，并在完成系統(tǒng)啟動(dòng)代碼完整性度量前限制CPU工作；

b)可信引導(dǎo)：可信平臺(tái)控制模塊對(duì)系統(tǒng)引導(dǎo)程序進(jìn)行可信度量，度量通過(guò)后允許CPU正常工作，

允許CPU加載并運(yùn)行系統(tǒng)引導(dǎo)程序，通過(guò)以可信平臺(tái)控制模塊為基礎(chǔ)的度量方式建立系統(tǒng)信任

鏈，其關(guān)鍵環(huán)節(jié)包括但不限于BIOS、操作系統(tǒng)引導(dǎo)程序、操作系統(tǒng)內(nèi)核、可信軟件基等；

c)異常控制：當(dāng)可信平臺(tái)控制模塊度量系統(tǒng)引導(dǎo)程序或內(nèi)核失敗時(shí)，可信平臺(tái)控制系統(tǒng)啟動(dòng)；

d)異?；謴?fù)：當(dāng)系統(tǒng)引導(dǎo)程序或內(nèi)核度量失敗時(shí)，可信平臺(tái)控制模塊對(duì)其進(jìn)行可信恢復(fù)；

e)配置：可通過(guò)配置接口對(duì)可信平臺(tái)控制模塊中的預(yù)期值等關(guān)鍵信息進(jìn)行配置。

5.2.3硬件接口

電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信平臺(tái)控制模塊硬件接口特性如下：

a)可信平臺(tái)控制模塊應(yīng)為與MCU獨(dú)立的硬件模塊，與MCU部署于同一硬件主板上；

4

XX/TXXXXX—XXXX

b)可信平臺(tái)控制模塊與MCU間可采用SPI、UART、I2C、并行接口等通信方式，并可控制MCU的

復(fù)位電路，在MCU內(nèi)運(yùn)行程序不可信時(shí)對(duì)MCU進(jìn)行復(fù)位控制操作；

c)可信平臺(tái)控制模塊應(yīng)具有獨(dú)立的配置接口，用于配置可信平臺(tái)控制模塊內(nèi)的關(guān)鍵信息。

5.2.4安全性及可維護(hù)性

電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施可信平臺(tái)控制模塊安全及可維護(hù)特性如下：

a)用戶(hù)身份鑒別：當(dāng)訪問(wèn)可信平臺(tái)控制模塊時(shí)，應(yīng)當(dāng)至少采用輸入用戶(hù)名及口令的形式對(duì)訪問(wèn)的

身份進(jìn)行鑒別，使用者用戶(hù)名及口令可通過(guò)配置預(yù)先設(shè)定。

b)數(shù)據(jù)安全保護(hù)：可信平臺(tái)控制模塊內(nèi)數(shù)據(jù)應(yīng)不能通過(guò)配置工具，通信命令以外的方式被獲取。

可信平臺(tái)控制模塊運(yùn)行過(guò)程中產(chǎn)生的臨時(shí)數(shù)據(jù)在失效后應(yīng)及時(shí)清除。

c)物理防護(hù)：可信平臺(tái)控制模塊應(yīng)使用物理防護(hù)手段實(shí)現(xiàn)對(duì)外部攻擊的防護(hù)，包括但不限于防止

因產(chǎn)生電磁波造成的可信平臺(tái)控制模塊信息泄漏，防止因高低壓攻擊造成可信平臺(tái)控制模塊被

破壞，防止因高低頻攻擊造成可信平臺(tái)控制模塊被破壞等。

6核心單元可信引導(dǎo)

電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施中的核心單元從加電開(kāi)始應(yīng)建立以TPCM為信任根的信任鏈，度量操作系統(tǒng)

加載代碼和操作系統(tǒng)內(nèi)核，實(shí)現(xiàn)核心模塊的可信引導(dǎo)，信任鏈從開(kāi)機(jī)到操作系統(tǒng)裝載的建立過(guò)程應(yīng)滿(mǎn)足

如下要求：TPCM作為信任鏈的信任根，通過(guò)完整性度量，實(shí)現(xiàn)信任傳遞與擴(kuò)展。具體要求如下：

a)TPCM首先上電工作，自檢初始化；

b)TPCM對(duì)CPU、存儲(chǔ)器、主要IO設(shè)備、BIOS、操作系統(tǒng)引導(dǎo)程序等進(jìn)行主動(dòng)度量，度量未通過(guò)

時(shí)進(jìn)行系統(tǒng)復(fù)位，有條件時(shí)應(yīng)對(duì)BIOS、操作系統(tǒng)引導(dǎo)程序等程序進(jìn)行恢復(fù)；

c)CPU進(jìn)入工作模式，TPCM與核心單元相關(guān)部件配合對(duì)操作系統(tǒng)內(nèi)核進(jìn)行主動(dòng)度量，度量未通過(guò)

時(shí)進(jìn)行系統(tǒng)復(fù)位，有條件時(shí)應(yīng)對(duì)操作系統(tǒng)內(nèi)核進(jìn)行恢復(fù)；

d)核心單元加載并執(zhí)行操作系統(tǒng)內(nèi)核的代碼。

7業(yè)務(wù)應(yīng)用軟件可信

7.1業(yè)務(wù)應(yīng)用軟件可信

7.1.1可執(zhí)行代碼靜態(tài)度量

操作系統(tǒng)內(nèi)核加載后，應(yīng)由可信軟件基在可信平臺(tái)控制模塊的支撐下對(duì)電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施核心

單元中的全部可執(zhí)行程序進(jìn)行加載時(shí)的主動(dòng)靜態(tài)度量，通過(guò)完整性度量對(duì)可執(zhí)行程序進(jìn)行可信驗(yàn)證，在

檢測(cè)到其可信性受到破壞后拒絕可執(zhí)行程序加載并告警。

5

XX/TXXXXX—XXXX

7.1.2可執(zhí)行代碼動(dòng)態(tài)度量

可執(zhí)行程序加載后，應(yīng)由可信軟件基在可信平臺(tái)控制模塊的支撐下對(duì)可執(zhí)行程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)

行動(dòng)態(tài)可信驗(yàn)證，通過(guò)對(duì)可執(zhí)行程序在內(nèi)存中的可執(zhí)行代碼段、只讀數(shù)據(jù)段的完整性度量對(duì)可執(zhí)行程序

的內(nèi)存映射進(jìn)行可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后停止可執(zhí)行程序運(yùn)行并告警。

7.2可信軟件基

7.2.1功能

可信軟件基運(yùn)行于操作系統(tǒng)內(nèi)核層，應(yīng)具有完整性校驗(yàn)、完整性度量、完整性保護(hù)、可信網(wǎng)絡(luò)連接、

強(qiáng)制訪問(wèn)控制、關(guān)鍵配置核查、平臺(tái)自保護(hù)、可信審計(jì)等功能。

a)完整性校驗(yàn)：可信軟件基對(duì)充電樁內(nèi)可執(zhí)行程序度量值的判定，完成完整性校驗(yàn)；

b)完整性度量：可信軟件基在操作系統(tǒng)和應(yīng)用啟動(dòng)時(shí)進(jìn)行完整性度量，未通過(guò)度量程序無(wú)法運(yùn)行；

c)完整性保護(hù)：可信軟件基對(duì)操作系統(tǒng)和應(yīng)用進(jìn)行完整性度量和保護(hù)，受保護(hù)對(duì)象無(wú)法被篡改；

d)可信網(wǎng)絡(luò)連接：可信軟件基應(yīng)提供充電樁本地防火墻配置策略，并基于該策略對(duì)數(shù)據(jù)包進(jìn)行過(guò)

濾，主動(dòng)阻斷違規(guī)的網(wǎng)絡(luò)連接；

e)強(qiáng)制訪問(wèn)控制：構(gòu)建適用于充電樁的強(qiáng)制訪問(wèn)控制模型，支撐進(jìn)程對(duì)文件的訪問(wèn)和操作的控制；

f)關(guān)鍵配置核查：提供對(duì)充電樁關(guān)鍵賬戶(hù)、服務(wù)等配置項(xiàng)進(jìn)行核查，包括但不限于弱口令檢查；

g)平臺(tái)自保護(hù)：可信軟件基對(duì)自身進(jìn)行完整性度量和保護(hù)，受保護(hù)對(duì)象無(wú)法被停用、卸載或旁路；

h)可信審計(jì)：可信軟件基對(duì)違反完整性度量、保護(hù)策略的操作進(jìn)行審計(jì)，記錄審計(jì)信息并告警。

7.2.2性能

a)可信軟件基對(duì)待執(zhí)行的系統(tǒng)程序進(jìn)行主動(dòng)度量，度量應(yīng)對(duì)單個(gè)程序啟動(dòng)時(shí)間延遲小于1秒；

b)可信軟件基運(yùn)行時(shí)占用系統(tǒng)CPU及內(nèi)存空間小于10%，對(duì)系統(tǒng)資源占用影響較小。

7.2.3接口

可信軟件基應(yīng)具有對(duì)軟件完整性校驗(yàn)值的更新接口，在可信的電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施中，全部可執(zhí)

行程序的增加和修改都應(yīng)通過(guò)此更新接口進(jìn)行。

7.2.4管理

可信軟件基應(yīng)具備本地管理方式進(jìn)行策略管理，也應(yīng)具備集中管理方式，可以通過(guò)遠(yuǎn)程的安全管理

機(jī)制對(duì)分散的電動(dòng)汽車(chē)充電基礎(chǔ)設(shè)施核心單元中的可信軟件基進(jìn)行集中管理。

8業(yè)務(wù)應(yīng)用軟件部署及可信更新

6

XX/TXXXXX—XXXX

8.1業(yè)務(wù)應(yīng)用軟件部署

電動(dòng)汽車(chē)