电动汽车充电基础设施可信防护规范

ICSFORMTEXT点击此处添加ICS号FORMTEXT点击此处添加中国标准文献分类号FORMTEXTDLFORMTEXTXX/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXTFORMTEXT电动汽车充电基础设施可信防护规范FORMTEXTTrustedProtectionSpecificationofElectricVehicleChargingInfrastructureFORMTEXT点击此处添加与国际标准一致性程度的标识FORMTEXT征求意见稿FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施FORMTEXT国家能源局发布XX/TXXXXX—XXXXII电动汽车充电基础设施可信防护规范范围本标准规定了电动汽车充电基础设施内负责计量计费、人机交互、远程通信等过程的核心单元的可信防护要求，提出了从硬件到软件实现可信防护的方法。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2010信息安全技术术语T/CEC208-2019电动汽车充电设施信息安全防范技术规范GB/T38638-2020信息安全技术可信计算可信计算体系结构GB/T37935-2019信息安全技术可信计算规范可信软件基术语和定义充电基础设施（charginginfrastructure）充电基础设施是指为电动汽车提供电能补给的各类充换电设施，一般包括充电运营网络中能够提供对外充电服务的充电桩、充电桩群和充电站等。完整性度量（integritymeasurement）使用密码杂凑算法对被度量对象计算其杂凑值的过程。信任链（trustedchain）在计算节点启动和运行过程中，使用完整性度量方法在部件之间所建立的信任传递关系。可信计算节点（trustedcomputingnode）由可信防护部件和计算部件共同构成、具备计算和防护并行特征的计算节点。可信平台控制模块（trustedplatformcontrolmodule）用于建立和保障信任源点的硬件模块，为可信计算提供完整性度量、安全存储、可信报告及密码运算等功能。可信软件基（trustedsoftwarebase）是为可信计算平台的可信性提供支持的软件元素的集合。可信网络连接（trustednetworkconnection）终端连接到受保护网络的过程，包括用户身份鉴别、平台身份鉴别和平台完整性评估三个步骤。可信根（rootoftrust）一种集成在可信计算平台中，用于建立和保障信任源点的硬件核心模块，为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。可信引导（trustedboot）基于可信根完成对操作系统引导阶段信任链建立的行为。复位控制（releasecontrol）通过外部复位输入引脚，使CPU恢复到一个初始的默认状态，并控制CPU电源使其处于正常/暂停工作状态的动作。可信恢复（trustedrecovery）在可信硬件存储介质中备份操作系统内核及其引导程序的原始/备份文件，在未通过可信引导情况下被可信根读取并执行系统内核及其引导程序恢复的过程。总则电动汽车充电基础设施可信防护规范旨在为充电桩群、充电站中的充电桩等执行充电服务的基础设施设备构建计算环境本体安全可信的标准要求，以充电桩为例，其主体计算单元为负责计量计费、人机交互、远程通信等过程的核心单元，如计费控制单元（TCU）或带有计量计费功能的充电控制器等。该核心单元应建立能够识别本体代码、主动阻断未知代码执行的可信计算主动防御机制，具备抵御新型未知恶意代码入侵的能力，避免在与外部通信交互过程中被注入恶意代码，被远程控制，破坏正常的充电过程，避免恶意入侵行为通过电动汽车充电基础设施进一步入侵电网，或向电动汽车智能控制系统传播恶意代码，影响行车安全、个人财产安全。此外，负责电动汽车充电控制等功能的模块或单元若具有较高的智能水平也应建立上述防护机制，确保充电过程安全。电动汽车充电基础设施可信防护的同时应保证设施设备的正常运行，整体防护架构如图1所示。图1整体架构示意图硬件架构可信硬件结构电动汽车充电基础设施中的核心单元应以可信平台控制模块为根构建可信计算节点，在计算环境极度简化的部分核心单元不具备应用可信平台控制模块的条件时可以其他可构建可信计算节点的核心单元为根，实现基于设施内单元间可信连接的可信验证，可信计算节点的硬件架构如图2所示。图2可信计算节点硬件架构示意图电动汽车充电基础设施可信平台控制模块工作模式可信平台控制模块支撑的电动汽车充电基础设施中的核心单元中，可信平台控制模块应是核心单元中第一个上电运行的部件，在核心单元从引导到正常工作的整个过程中，可信平台控制模块应可并行于CPU独立工作，作为最基础的可信防护硬件支撑可信计算平台的可信防护功能。功能电动汽车充电基础设施可信平台控制模块功能特性如下：上电初始化：可信平台控制模块是主板上第一个工作的元件，上电后自行进行初始化并进入正常工作模式，在异常时可进行告警，并在完成系统启动代码完整性度量前限制CPU工作；可信引导：可信平台控制模块对系统引导程序进行可信度量，度量通过后允许CPU正常工作，允许CPU加载并运行系统引导程序，通过以可信平台控制模块为基础的度量方式建立系统信任链，其关键环节包括但不限于BIOS、操作系统引导程序、操作系统内核、可信软件基等；异常控制：当可信平台控制模块度量系统引导程序或内核失败时，可信平台控制系统启动；异常恢复：当系统引导程序或内核度量失败时，可信平台控制模块对其进行可信恢复；配置：可通过配置接口对可信平台控制模块中的预期值等关键信息进行配置。硬件接口电动汽车充电基础设施可信平台控制模块硬件接口特性如下：可信平台控制模块应为与MCU独立的硬件模块，与MCU部署于同一硬件主板上；可信平台控制模块与MCU间可采用SPI、UART、I2C、并行接口等通信方式，并可控制MCU的复位电路，在MCU内运行程序不可信时对MCU进行复位控制操作；可信平台控制模块应具有独立的配置接口，用于配置可信平台控制模块内的关键信息。安全性及可维护性电动汽车充电基础设施可信平台控制模块安全及可维护特性如下：用户身份鉴别：当访问可信平台控制模块时，应当至少采用输入用户名及口令的形式对访问的身份进行鉴别，使用者用户名及口令可通过配置预先设定。数据安全保护：可信平台控制模块内数据应不能通过配置工具，通信命令以外的方式被获取。可信平台控制模块运行过程中产生的临时数据在失效后应及时清除。物理防护：可信平台控制模块应使用物理防护手段实现对外部攻击的防护，包括但不限于防止因产生电磁波造成的可信平台控制模块信息泄漏，防止因高低压攻击造成可信平台控制模块被破坏，防止因高低频攻击造成可信平台控制模块被破坏等。核心单元可信引导电动汽车充电基础设施中的核心单元从加电开始应建立以TPCM为信任根的信任链，度量操作系统加载代码和操作系统内核，实现核心模块的可信引导，信任链从开机到操作系统装载的建立过程应满足如下要求：TPCM作为信任链的信任根，通过完整性度量，实现信任传递与扩展。具体要求如下：TPCM首先上电工作，自检初始化；TPCM对CPU、存储器、主要IO设备、BIOS、操作系统引导程序等进行主动度量，度量未通过时进行系统复位，有条件时应对BIOS、操作系统引导程序等程序进行恢复；CPU进入工作模式，TPCM与核心单元相关部件配合对操作系统内核进行主动度量，度量未通过时进行系统复位，有条件时应对操作系统内核进行恢复；核心单元加载并执行操作系统内核的代码。业务应用软件可信业务应用软件可信可执行代码静态度量操作系统内核加载后，应由可信软件基在可信平台控制模块的支撑下对电动汽车充电基础设施核心单元中的全部可执行程序进行加载时的主动静态度量，通过完整性度量对可执行程序进行可信验证，在检测到其可信性受到破坏后拒绝可执行程序加载并告警。可执行代码动态度量可执行程序加载后，应由可信软件基在可信平台控制模块的支撑下对可执行程序的关键执行环节进行动态可信验证，通过对可执行程序在内存中的可执行代码段、只读数据段的完整性度量对可执行程序的内存映射进行可信验证，在检测到其可信性受到破坏后停止可执行程序运行并告警。可信软件基功能可信软件基运行于操作系统内核层，应具有完整性校验、完整性度量、完整性保护、可信网络连接、强制访问控制、关键配置核查、平台自保护、可信审计等功能。完整性校验：可信软件基对充电桩内可执行程序度量值的判定，完成完整性校验；完整性度量：可信软件基在操作系统和应用启动时进行完整性度量，未通过度量程序无法运行；完整性保护：可信软件基对操作系统和应用进行完整性度量和保护，受保护对象无法被篡改；可信网络连接：可信软件基应提供充电桩本地防火墙配置策略，并基于该策略对数据包进行过滤，主动阻断违规的网络连接；强制访问控制：构建适用于充电桩的强制访问控制模型，支撑进程对文件的访问和操作的控制；关键配置核查：提供对充电桩关键账户、服务等配置项进行核查，包括但不限于弱口令检查；平台自保护：可信软件基对自身进行完整性度量和保护，受保护对象无法被停用、卸载或旁路；可信审计：可信软件基对违反完整性度量、保护策略的操作进行审计，记录审计信息并告警。性能可信软件基对待执行的系统程序进行主动度量，度量应对单个程序启动时间延迟小于1秒；可信软件基运行时占用系统CPU及内存空间小于10%，对系统资源占用影响较小。接口可信软件基应具有对软件完整性校验值的更新接口，在可信的电动汽车充电基础设施中，全部可执行程序的增加和修改都应通过此更新接口进行。管理可信软件基应具备本地管理方式进行策略管理，也应具备集中管理方式，可以通过远程的安全管理机制对分散的电动汽车充电基础设施核心单元中的可信软件基进行集中管理。业务应用软件部署及可信更新业务应用软件部署电动汽车充电基础设施核心单元中的业务应用软件应在部署时由生产商保证其可信，不包含恶意代码，不包含恶意后门。业务应用软件可信更新业务应用软件可信更新包括本地更新和远程更新两种方式，皆应具备可信的更新方式，避免被注入恶意程序或恶意破坏。业务应用软件本地更新，由业务人员在确认待更新程序可信后进行本地操作，通过可信软件基的更新程序接口将待更新业务应用软件进行替换；业务应用软件远程更新，由服务器端通过网络将待更新业务应用软件下发到电动汽车充电基础设施的核心单元中，由核心单元中的更新守护程序对下发的业务应用软件进行可信验证，验证成功后通过可信软件基的更新程序接口将待更新业务应用软件进行替换。充电基础设施可信接入电动汽车充电基础设施可信接入要求如下：充电基础设施应具备向其运营服务平台证明其身份、计算环境和运行状态是否可信的能力；通信连接建立时充电基础设施应通过安全芯片、加密设备等向其运营服务平台认证合法性；充电基础设施接入其运营服务平台时应采用专用的网络通道建立可信网络连接机制；充电基础设施接入其管理服务平台后，其在线状态和安全状态应可被其管理服务平台获取并进行监视，异常情况下应进行告警；应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。目  次1范围 12规范性引用文件 13术语和定义 14总则 35硬件架构 45.1可信硬件结构 45.2电动汽车充电基础设施可信平台控制模块 45.2.1工作模式 45.2.2功能 45.2.3硬件接口 55.2.4安全性及可维护性 56核心模块可信引导 57业务应用软件可信 67.1业务应用软件可信 67.1.1可执行代码静态度量 67.1.2可执行代码动态度量 67.2可信软件基 67.2.1功能 67.2.2性能 77.2.3接口 77.2.4管理 78业务应用软件部署及可信更新 78.1业务应用软件部署 78.2业务应用软件可信更新 79充电基础设施可信接入 7前  言本标准根据中国电力企业标准联合会下达的国能综通科技〔2019〕58号计划制订。本标准根据GB/T1.1-2009给出的规则起草。本标准规定了电动汽车充电基础设施内负责人机交互、远程通信等过程的核心模块的可信防护要求，提出了从硬件到软件实现可信安全免疫的方法。本标准由提出并归口。本标准起草单位：本标准主要起草人：目  次1范围 12规范性引用文件 13术语和定义 14总则 35硬件架构 45.1可信硬件结构 45.2电动汽车充电基础设施可信平台控制模块 45.2.1工作模式 45.2.2功能 45.2.3硬件接口 55.2.4安全性及可维护性 56核心模块可信引导 57业务应用软件可信 67.1业务应用软件可信 67.1.1可执行代码静态度量 67.1.2可执行代码动态度量 67.2可信软件基