《電動汽車充電基礎設施可信防護規(guī)范》

ICS點擊此處添加ICS號

點擊此處添加中國標準文獻分類號

DL

中華人民共和國電力行業(yè)標準

XX/TXXXXX—XXXX

電動汽車充電基礎設施可信防護規(guī)范

TrustedProtectionSpecificationofElectricVehicleChargingInfrastructure

點擊此處添加與國際標準一致性程度的標識

征求意見稿

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

國家能源局發(fā)布

XX/TXXXXX—XXXX

I

XX/TXXXXX—XXXX

電動汽車充電基礎設施可信防護規(guī)范

1范圍

本標準規(guī)定了電動汽車充電基礎設施內負責計量計費、人機交互、遠程通信等過程的核心單元的可

信防護要求，提出了從硬件到軟件實現可信防護的方法。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069—2010信息安全技術術語

T/CEC208-2019電動汽車充電設施信息安全防范技術規(guī)范

GB/T38638-2020信息安全技術可信計算可信計算體系結構

GB/T37935-2019信息安全技術可信計算規(guī)范可信軟件基

3術語和定義

3.1

充電基礎設施（charginginfrastructure）

充電基礎設施是指為電動汽車提供電能補給的各類充換電設施，一般包括充電運營網絡中能夠提供

對外充電服務的充電樁、充電樁群和充電站等。

3.2

完整性度量（integritymeasurement）

使用密碼雜湊算法對被度量對象計算其雜湊值的過程。

3.3

信任鏈（trustedchain）

在計算節(jié)點啟動和運行過程中，使用完整性度量方法在部件之間所建立的信任傳遞關系。

3.4

可信計算節(jié)點（trustedcomputingnode）

由可信防護部件和計算部件共同構成、具備計算和防護并行特征的計算節(jié)點。

1

XX/TXXXXX—XXXX

3.5

可信平臺控制模塊（trustedplatformcontrolmodule）

用于建立和保障信任源點的硬件模塊，為可信計算提供完整性度量、安全存儲、可信報告及密碼運

算等功能。

3.6

可信軟件基（trustedsoftwarebase）

是為可信計算平臺的可信性提供支持的軟件元素的集合。

3.7

可信網絡連接（trustednetworkconnection）

終端連接到受保護網絡的過程，包括用戶身份鑒別、平臺身份鑒別和平臺完整性評估三個步驟。

3.8

可信根（rootoftrust）

一種集成在可信計算平臺中，用于建立和保障信任源點的硬件核心模塊，為可信計算提供完整性度

量、安全存儲、可信報告以及密碼服務等功能。

3.9

可信引導（trustedboot）

基于可信根完成對操作系統引導階段信任鏈建立的行為。

3.10

復位控制（releasecontrol）

通過外部復位輸入引腳，使CPU恢復到一個初始的默認狀態(tài)，并控制CPU電源使其處于正常/暫停

工作狀態(tài)的動作。

3.11

可信恢復（trustedrecovery）

在可信硬件存儲介質中備份操作系統內核及其引導程序的原始/備份文件，在未通過可信引導情況

下被可信根讀取并執(zhí)行系統內核及其引導程序恢復的過程。

4總則

電動汽車充電基礎設施可信防護規(guī)范旨在為充電樁群、充電站中的充電樁等執(zhí)行充電服務的基礎設

施設備構建計算環(huán)境本體安全可信的標準要求，以充電樁為例，其主體計算單元為負責計量計費、人機

2

XX/TXXXXX—XXXX

交互、遠程通信等過程的核心單元，如計費控制單元（TCU）或帶有計量計費功能的充電控制器等。該

核心單元應建立能夠識別本體代碼、主動阻斷未知代碼執(zhí)行的可信計算主動防御機制，具備抵御新型未

知惡意代碼入侵的能力，避免在與外部通信交互過程中被注入惡意代碼，被遠程控制，破壞正常的充電

過程，避免惡意入侵行為通過電動汽車充電基礎設施進一步入侵電網，或向電動汽車智能控制系統傳播

惡意代碼，影響行車安全、個人財產安全。此外，負責電動汽車充電控制等功能的模塊或單元若具有較

高的智能水平也應建立上述防護機制，確保充電過程安全。電動汽車充電基礎設施可信防護的同時應保

證設施設備的正常運行，整體防護架構如圖1所示。

圖1整體架構示意圖

5硬件架構

5.1可信硬件結構

電動汽車充電基礎設施中的核心單元應以可信平臺控制模塊為根構建可信計算節(jié)點，在計算環(huán)境極

度簡化的部分核心單元不具備應用可信平臺控制模塊的條件時可以其他可構建可信計算節(jié)點的核心單

元為根，實現基于設施內單元間可信連接的可信驗證，可信計算節(jié)點的硬件架構如圖2所示。

3

XX/TXXXXX—XXXX

圖2可信計算節(jié)點硬件架構示意圖

5.2電動汽車充電基礎設施可信平臺控制模塊

5.2.1工作模式

可信平臺控制模塊支撐的電動汽車充電基礎設施中的核心單元中，可信平臺控制模塊應是核心單元

中第一個上電運行的部件，在核心單元從引導到正常工作的整個過程中，可信平臺控制模塊應可并行于

CPU獨立工作，作為最基礎的可信防護硬件支撐可信計算平臺的可信防護功能。

5.2.2功能

電動汽車充電基礎設施可信平臺控制模塊功能特性如下：

a)上電初始化：可信平臺控制模塊是主板上第一個工作的元件，上電后自行進行初始化并進入正

常工作模式，在異常時可進行告警，并在完成系統啟動代碼完整性度量前限制CPU工作；

b)可信引導：可信平臺控制模塊對系統引導程序進行可信度量，度量通過后允許CPU正常工作，

允許CPU加載并運行系統引導程序，通過以可信平臺控制模塊為基礎的度量方式建立系統信任

鏈，其關鍵環(huán)節(jié)包括但不限于BIOS、操作系統引導程序、操作系統內核、可信軟件基等；

c)異?？刂疲寒斂尚牌脚_控制模塊度量系統引導程序或內核失敗時，可信平臺控制系統啟動；

d)異?；謴停寒斚到y引導程序或內核度量失敗時，可信平臺控制模塊對其進行可信恢復；

e)配置：可通過配置接口對可信平臺控制模塊中的預期值等關鍵信息進行配置。

5.2.3硬件接口

電動汽車充電基礎設施可信平臺控制模塊硬件接口特性如下：

a)可信平臺控制模塊應為與MCU獨立的硬件模塊，與MCU部署于同一硬件主板上；

4

XX/TXXXXX—XXXX

b)可信平臺控制模塊與MCU間可采用SPI、UART、I2C、并行接口等通信方式，并可控制MCU的

復位電路，在MCU內運行程序不可信時對MCU進行復位控制操作；

c)可信平臺控制模塊應具有獨立的配置接口，用于配置可信平臺控制模塊內的關鍵信息。

5.2.4安全性及可維護性

電動汽車充電基礎設施可信平臺控制模塊安全及可維護特性如下：

a)用戶身份鑒別：當訪問可信平臺控制模塊時，應當至少采用輸入用戶名及口令的形式對訪問的

身份進行鑒別，使用者用戶名及口令可通過配置預先設定。

b)數據安全保護：可信平臺控制模塊內數據應不能通過配置工具，通信命令以外的方式被獲取。

可信平臺控制模塊運行過程中產生的臨時數據在失效后應及時清除。

c)物理防護：可信平臺控制模塊應使用物理防護手段實現對外部攻擊的防護，包括但不限于防止

因產生電磁波造成的可信平臺控制模塊信息泄漏，防止因高低壓攻擊造成可信平臺控制模塊被

破壞，防止因高低頻攻擊造成可信平臺控制模塊被破壞等。

6核心單元可信引導

電動汽車充電基礎設施中的核心單元從加電開始應建立以TPCM為信任根的信任鏈，度量操作系統

加載代碼和操作系統內核，實現核心模塊的可信引導，信任鏈從開機到操作系統裝載的建立過程應滿足

如下要求：TPCM作為信任鏈的信任根，通過完整性度量，實現信任傳遞與擴展。具體要求如下：

a)TPCM首先上電工作，自檢初始化；

b)TPCM對CPU、存儲器、主要IO設備、BIOS、操作系統引導程序等進行主動度量，度量未通過

時進行系統復位，有條件時應對BIOS、操作系統引導程序等程序進行恢復；

c)CPU進入工作模式，TPCM與核心單元相關部件配合對操作系統內核進行主動度量，度量未通過

時進行系統復位，有條件時應對操作系統內核進行恢復；

d)核心單元加載并執(zhí)行操作系統內核的代碼。

7業(yè)務應用軟件可信

7.1業(yè)務應用軟件可信

7.1.1可執(zhí)行代碼靜態(tài)度量

操作系統內核加載后，應由可信軟件基在可信平臺控制模塊的支撐下對電動汽車充電基礎設施核心

單元中的全部可執(zhí)行程序進行加載時的主動靜態(tài)度量，通過完整性度量對可執(zhí)行程序進行可信驗證，在

檢測到其可信性受到破壞后拒絕可執(zhí)行程序加載并告警。

5

XX/TXXXXX—XXXX

7.1.2可執(zhí)行代碼動態(tài)度量

可執(zhí)行程序加載后，應由可信軟件基在可信平臺控制模塊的支撐下對可執(zhí)行程序的關鍵執(zhí)行環(huán)節(jié)進

行動態(tài)可信驗證，通過對可執(zhí)行程序在內存中的可執(zhí)行代碼段、只讀數據段的完整性度量對可執(zhí)行程序

的內存映射進行可信驗證，在檢測到其可信性受到破壞后停止可執(zhí)行程序運行并告警。

7.2可信軟件基

7.2.1功能

可信軟件基運行于操作系統內核層，應具有完整性校驗、完整性度量、完整性保護、可信網絡連接、

強制訪問控制、關鍵配置核查、平臺自保護、可信審計等功能。

a)完整性校驗：可信軟件基對充電樁內可執(zhí)行程序度量值的判定，完成完整性校驗；

b)完整性度量：可信軟件基在操作系統和應用啟動時進行完整性度量，未通過度量程序無法運行；

c)完整性保護：可信軟件基對操作系統和應用進行完整性度量和保護，受保護對象無法被篡改；

d)可信網絡連接：可信軟件基應提供充電樁本地防火墻配置策略，并基于該策略對數據包進行過

濾，主動阻斷違規(guī)的網絡連接；

e)強制訪問控制：構建適用于充電樁的強制訪問控制模型，支撐進程對文件的訪問和操作的控制；

f)關鍵配置核查：提供對充電樁關鍵賬戶、服務等配置項進行核查，包括但不限于弱口令檢查；

g)平臺自保護：可信軟件基對自身進行完整性度量和保護，受保護對象無法被停用、卸載或旁路；

h)可信審計：可信軟件基對違反完整性度量、保護策略的操作進行審計，記錄審計信息并告警。

7.2.2性能

a)可信軟件基對待執(zhí)行的系統程序進行主動度量，度量應對單個程序啟動時間延遲小于1秒；

b)可信軟件基運行時占用系統CPU及內存空間小于10%，對系統資源占用影響較小。

7.2.3接口

可信軟件基應具有對軟件完整性校驗值的更新接口，在可信的電動汽車充電基礎設施中，全部可執(zhí)

行程序的增加和修改都應通過此更新接口進行。

7.2.4管理

可信軟件基應具備本地管理方式進行策略管理，也應具備集中管理方式，可以通過遠程的安全管理

機制對分散的電動汽車充電基礎設施核心單元中的可信軟件基進行集中管理。

8業(yè)務應用軟件部署及可信更新

6

XX/TXXXXX—XXXX

8.1業(yè)務應用軟件部署

電動汽車