【文末附高清無(wú)水印PDF版下載方法】

電動(dòng)汽車(chē)充電系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法，是2022年2月25日工業(yè)和信息化部辦公廳發(fā)布的《車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》中提出的待制定的標(biāo)準(zhǔn)。

2022年7月11日，《電動(dòng)汽車(chē)充電系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法》（GB/T 41578-2022）發(fā)布，2023年2月1日開(kāi)始實(shí)施。

《電動(dòng)汽車(chē)充電系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法》國(guó)家標(biāo)準(zhǔn)，從充電系統(tǒng)的硬件安全、軟件安全、數(shù)據(jù)安全、通信安全四個(gè)維度，提出了信息安全技術(shù)要求及試驗(yàn)方法，推動(dòng)提升我國(guó)電動(dòng)汽車(chē)信息安全技術(shù)水平。

本標(biāo)準(zhǔn)規(guī)定了電動(dòng)汽車(chē)充電系統(tǒng)車(chē)內(nèi)系統(tǒng)信息安全技術(shù)要求和測(cè)試評(píng)價(jià)方法；本標(biāo)準(zhǔn)適用于電動(dòng)汽車(chē)充電系統(tǒng)車(chē)內(nèi)系統(tǒng)信息安全的防護(hù)設(shè)計(jì)、開(kāi)發(fā)、測(cè)試和評(píng)估。

車(chē)內(nèi)充電系統(tǒng)信息安全由硬件安全、軟件安全、數(shù)據(jù)安全和通信安全四部分組成，通信安全涉及車(chē)內(nèi)通信安全和車(chē)輛對(duì)外通信安全。車(chē)內(nèi)充電系統(tǒng)的信息安全目標(biāo)是通過(guò)提出硬件、軟件、數(shù)據(jù)和通信等方面的安全技術(shù)要求，防護(hù)車(chē)內(nèi)充電系統(tǒng)面臨的充電數(shù)據(jù)被竊取、個(gè)人隱私泄露和車(chē)內(nèi)數(shù)據(jù)被竊取等風(fēng)險(xiǎn)。

《電動(dòng)汽車(chē)充電系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法》

1  范圍

本文件規(guī)定了電動(dòng)汽車(chē)充電系統(tǒng)信息安全技術(shù)要求和試驗(yàn)方法。

本文件適用于電動(dòng)汽車(chē)充電系統(tǒng)信息安全技術(shù)的設(shè)計(jì)、開(kāi)發(fā)與試驗(yàn)。

2  規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T 5271.8—2001  信息技術(shù) 詞匯 第8部分：安全

GB/T 27930  電動(dòng)汽車(chē)非車(chē)載傳導(dǎo)式充電機(jī)與電池管理系統(tǒng)之間的通信協(xié)議

GB/T 29246-2017  信息技術(shù) 安全技術(shù) 信息安全管理體系概述和詞匯

GB/T 35273—2020  信息安全技術(shù) 個(gè)人信息安全規(guī)范

GB/T 37935-2019  信息安全技術(shù) 可信計(jì)算規(guī)范可信軟件基

GB/T 40861—2021  汽車(chē)信息安全通用技術(shù)要求

3  術(shù)語(yǔ)和定義

GB/T 29246-2017、GB/T 37935-2019、GBT 35273—2020、GB/T 40861-2021界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1  充電系統(tǒng)charging system

電動(dòng)汽車(chē)車(chē)內(nèi)，用于動(dòng)力電池充電的相關(guān)功能系統(tǒng)。

注1：也稱(chēng)車(chē)內(nèi)充電系統(tǒng)。

注2：根據(jù)充電方式及技術(shù)架構(gòu)的不同， 充電系統(tǒng)可能包含一個(gè)或多個(gè)車(chē)載控制器[例如電池管理系統(tǒng)(BMS) 、車(chē)載充電機(jī)(OBC) 、無(wú)線(xiàn)充電系統(tǒng)(WPT) ] ， 或其他集成相關(guān)充電功能的車(chē)載通信控制單元。

3.2  重要數(shù)據(jù)important data

基于充電功能設(shè)計(jì)及風(fēng)險(xiǎn)評(píng)估，被認(rèn)定為會(huì)造成車(chē)內(nèi)充電系統(tǒng)風(fēng)險(xiǎn)的相關(guān)數(shù)據(jù)，包括個(gè)人敏感信息和安重要參數(shù)等數(shù)據(jù)。

3.3  個(gè)人敏感信息personal sensitive information

一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。

[來(lái)源：GB/T35273—2020，3.2]

3.4  安全重要參數(shù)security important parameter

與安全相關(guān)的信息，包含秘密密鑰和私鑰、口令之類(lèi)的鑒別數(shù)據(jù)或其他密碼相關(guān)參數(shù)的信息。

[來(lái)源：GB/T40861-2021，3.13]

3.5  充電系統(tǒng)對(duì)外通信out-of-vehicle communication

充電系統(tǒng)與車(chē)輛外部的通信。

注：充電系統(tǒng)對(duì)外通信包括傳導(dǎo)式充電方式的通信、非傳導(dǎo)式充電方式的通信等。

3.6  充電系統(tǒng)對(duì)內(nèi)通信in-vehicle communi e ation

充電系統(tǒng)各控制器間及其與車(chē)輛內(nèi)電子電氣系統(tǒng)間的通信。

注：車(chē)內(nèi)通信包括基于CAN、CAN-FD、LIN、以太網(wǎng)等的車(chē)輛內(nèi)部通信。

3.7  可信根實(shí)體entity of root of trust

用于支撐可信計(jì)算平臺(tái)信任鏈建立和傳遞的可對(duì)外提供完整性度量、安全存儲(chǔ)、密碼計(jì)算等服務(wù)的功能模塊。

注：可信根實(shí)體包括T PCM、TCM、TPM等。

[來(lái)源：GB/T37935-2019，3.12]

3.8  保密性confidentiality

信息對(duì)未授權(quán)的個(gè)人、實(shí)體或過(guò)程不可用或不泄露的特征。

[來(lái)源：GB/T29246-2017，2.12]

3.9  完整性integrity

準(zhǔn)確和完備的特性。

[來(lái)源：GB/T29246—2017，2.40]

3.10  身份鑒別authentication

身份確認(rèn)，使數(shù)據(jù)處理系統(tǒng)能識(shí)別出實(shí)體的測(cè)試實(shí)施過(guò)程。

[來(lái)源：GB/T5271.8-2001，08.04.12]

4  縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

BGA：球柵陣列封裝(Ball Grid Array)

BMS：電池管理系統(tǒng)(Battery Management System)

CAN：控制器局域網(wǎng)絡(luò)(Controller Area Network)

CAN-FD：靈活數(shù)據(jù)速率的控制器局域網(wǎng)絡(luò)(CAN with Flexible Data-rate)

ECU：電子控制單元(Electronic Control Unit)

JTAG：聯(lián)合測(cè)試工作組(Joint Test Action Group)

LGA：平面網(wǎng)格陣列封裝(Land Grid Array)

LIN：局域互聯(lián)網(wǎng)絡(luò)(Local Interconnect Network)

MCU：微控制單元(Micro Control Unit)

OBC：車(chē)載充電機(jī)(On-board Charger)

OTP：一次性可編程(One Time Programmable)

SPI：串行外設(shè)接口(Serial Peripheral Interface)

TCM：可信密碼模塊(Trusted Cryptography Module)

TPM：可信平臺(tái)模塊(Trusted Platform Module)

T PCM：可信平臺(tái)控制模塊(Trusted Platform Control Module)

USB：通用串行總線(xiàn)(Universal Serial Bus)

UART：通用異步收發(fā)器(Universal Asynchronous Receiver/Transmitter

WPT：無(wú)線(xiàn)電能傳輸(Wireless Power Transfer)

5  充電系統(tǒng)信息安全技術(shù)要求

5.1  概述

充電系統(tǒng)信息安全包括硬件安全、軟件安全、數(shù)據(jù)安全和通信安全四部分。通信安全包括充電系統(tǒng)對(duì)外通信安全和充電系統(tǒng)對(duì)內(nèi)通信安全。對(duì)于受攻擊有可能影響車(chē)輛或系統(tǒng)的風(fēng)險(xiǎn)，充電系統(tǒng)中與外部充電裝置直接進(jìn)行通信的控制器需采取信息安全措施。

5.2  硬件安全要求

系統(tǒng)硬件滿(mǎn)足以下要求：

a)充電系統(tǒng)所使用的關(guān)鍵芯片(例如MCU、加密芯片、通信芯片等) ， 宜采取必要的保護(hù)措施(例如采用BGA/LGA等封裝的芯片) 減少暴露管腳；

b)充電系統(tǒng)調(diào)試接口應(yīng)禁用或設(shè)置安全訪問(wèn)控制；

c)充電系統(tǒng)的直流充電通信網(wǎng)絡(luò)與車(chē)內(nèi)網(wǎng)絡(luò)應(yīng)進(jìn)行隔離。

5.3  軟件安全要求

5.3.1  安全啟動(dòng)

充電系統(tǒng)軟件宜具備安全啟動(dòng)的功能，安全啟動(dòng)功能可通過(guò)可信根實(shí)體進(jìn)行保護(hù)。充電系統(tǒng)的可信根、引導(dǎo)程序(BootLoader程序) 及系統(tǒng)固件應(yīng)符合以下要求：

a) 不被篡改；

b) 若被篡改，充電系統(tǒng)無(wú)法正常啟動(dòng)。

5.3.2  安全日志

充電系統(tǒng)宜具有安全日志功能并滿(mǎn)足以下要求：

a) 充電系統(tǒng)有安全事件(例如通信認(rèn)證失敗、安全啟動(dòng)失敗等)發(fā)生時(shí)，對(duì)相關(guān)信息進(jìn)行記錄；

b) 充電系統(tǒng)的安全日志中，至少包括觸發(fā)日志的事件發(fā)生時(shí)間(絕對(duì)時(shí)間或相對(duì)時(shí)間)和事件類(lèi)型；

c) 充電系統(tǒng)對(duì)安全日志進(jìn)行安全存儲(chǔ)，防止日志在非物理破壞攻擊下被損毀及未授權(quán)的添加、訪問(wèn)、修改和刪除；安全日志可記錄存儲(chǔ)在充電系統(tǒng)內(nèi)、其他ECU內(nèi)或云端服務(wù)器內(nèi)。

5.4  數(shù)據(jù)安全要求

5.4.1  數(shù)據(jù)完整性

充電系統(tǒng)應(yīng)保護(hù)存儲(chǔ)的重要數(shù)據(jù)的完整性， 宜采用完整性校驗(yàn)機(jī)制或OTP設(shè)置等保護(hù)方法。

5.4.2  數(shù)據(jù)保密性

充電系統(tǒng)應(yīng)保護(hù)存儲(chǔ)的重要數(shù)據(jù)的保密性，宜采用軟件加密或硬件加密等保護(hù)方法。

5.5  通信安全要求

5.5.1  充電系統(tǒng)對(duì)外通信安全

5.5.1.1  通信連接安全

有無(wú)線(xiàn)充電功能、即插即充功能的充電系統(tǒng)應(yīng)具有身份鑒別機(jī)制。

5.5.1.2  通信傳輸安全

充電系統(tǒng)對(duì)外通信涉及重要數(shù)據(jù)傳輸時(shí)，應(yīng)滿(mǎn)足以下要求：

a) 充電系統(tǒng)對(duì)重要數(shù)據(jù)的傳輸使用密文傳輸，按照6.4.1.2a)進(jìn)行試驗(yàn)，保證該傳輸數(shù)據(jù)在被截獲后無(wú)法得到明文數(shù)據(jù)；

b) 充電系統(tǒng)對(duì)重要數(shù)據(jù)的傳輸采用完整性校驗(yàn)機(jī)制，按照6.4.1.2b)進(jìn)行試驗(yàn)，充電系統(tǒng)對(duì)完整性校驗(yàn)不通過(guò)的重要數(shù)據(jù)不響應(yīng)；

c) 充電系統(tǒng)對(duì)重要數(shù)據(jù)的傳輸采用防重放機(jī)制，按照6.4.1.2c)進(jìn)行試驗(yàn)，對(duì)于重放數(shù)據(jù)，充電系統(tǒng)能識(shí)別到重要數(shù)據(jù)為非法的重放數(shù)據(jù)且不響應(yīng)。

5.5.1.3  通信接口安全

充電系統(tǒng)通信接口安全應(yīng)滿(mǎn)足以下要求：

a) 通信接口具有通信指令安全性驗(yàn)證機(jī)制，按照6.4.1.3a)進(jìn)行試驗(yàn)，不響應(yīng)除GB/T27930規(guī)定的充電協(xié)議和診斷協(xié)議及主機(jī)廠規(guī)定的協(xié)議之外的通信指令；

b) 直流充電通信接口不對(duì)充電系統(tǒng)以及車(chē)內(nèi)其他系統(tǒng)進(jìn)行軟件升級(jí)和軟件標(biāo)定等；

c) 通信接口不具有訪問(wèn)車(chē)內(nèi)通信總線(xiàn)數(shù)據(jù)的功能。

5.5.2  充電系統(tǒng)對(duì)內(nèi)通信安全

充電系統(tǒng)對(duì)內(nèi)通信涉及重要數(shù)據(jù)傳輸時(shí)，應(yīng)滿(mǎn)足以下要求：

a) 充電系統(tǒng)傳輸?shù)闹匾獢?shù)據(jù)使用密文傳輸，按照6.4.2a)進(jìn)行試驗(yàn)，保證該傳輸數(shù)據(jù)在被截獲后無(wú)法得到明文數(shù)據(jù)；

b) 充電系統(tǒng)對(duì)重要數(shù)據(jù)的傳輸采用完整性校驗(yàn)機(jī)制，按照6.4.2b)進(jìn)行試驗(yàn)，充電系統(tǒng)對(duì)完整性校驗(yàn)不通過(guò)的重要數(shù)據(jù)不響應(yīng)；

c) 充電系統(tǒng)對(duì)重要數(shù)據(jù)的傳輸采用防重放機(jī)制，按照6.4.2c)進(jìn)行試驗(yàn)，對(duì)于重放數(shù)據(jù)，充電系統(tǒng)能識(shí)別到重要數(shù)據(jù)為非法的重放數(shù)據(jù)且不響應(yīng)。

6  試驗(yàn)方法

6.1  硬件安全試驗(yàn)方法

硬件安全試驗(yàn)應(yīng)按照下列流程依次進(jìn)行：

a) 查閱芯片手冊(cè)分析充電系統(tǒng)關(guān)鍵芯片是否采用必要的措施(例如采用BGA/LGA等封裝的芯片)減少暴露管腳；

b) 分析評(píng)估是否存在暴露的調(diào)試接口(例如JTAG接口、USB接口、UART接口、SPI接口等)，若存在，評(píng)估調(diào)試接口是否有鑒權(quán)校驗(yàn)機(jī)制；

c) 使用總線(xiàn)工具分別連接直流充電通信網(wǎng)絡(luò)和車(chē)內(nèi)網(wǎng)絡(luò)并同時(shí)獲取其通信數(shù)據(jù)，檢查兩者之間的通信數(shù)據(jù)是否存在差異。

6.2  軟件安全試驗(yàn)方法

6.2.1  安全啟動(dòng)

安全啟動(dòng)試驗(yàn)包括可信根防篡改試驗(yàn)、充電系統(tǒng)Bootloader程序校驗(yàn)試驗(yàn)、充電系統(tǒng)固件校驗(yàn)試驗(yàn)。安全啟動(dòng)試驗(yàn)應(yīng)按照下列流程依次進(jìn)行。

a) 充電系統(tǒng)可信根防篡改試驗(yàn)：獲取充電系統(tǒng)安全啟動(dòng)可信根存儲(chǔ)區(qū)域的訪問(wèn)方法和地址，使用軟件調(diào)試工具寫(xiě)人數(shù)據(jù)，重復(fù)多次試驗(yàn)判斷是否可將數(shù)據(jù)寫(xiě)人該存儲(chǔ)區(qū)域。

b) 充電系統(tǒng)Bootloader程序校驗(yàn)試驗(yàn)：提取充電系統(tǒng)正常運(yùn)行的Bootloader程序， 使用軟件調(diào)試工具修改該Bootloader程序的簽名信息， 將修改后的Bootloader程序?qū)懭说匠潆娤到y(tǒng)的指定區(qū)域， 監(jiān)測(cè)充電系統(tǒng)是否正常加載Bootloader程序及系統(tǒng)固件。

c) 充電系統(tǒng)固件校驗(yàn)試驗(yàn)：獲取充電系統(tǒng)正常運(yùn)行的系統(tǒng)固件，使用軟件調(diào)試工具修改系統(tǒng)固件程序的簽名信息，將破壞后的系統(tǒng)固件寫(xiě)人到充電系統(tǒng)的指定區(qū)域，監(jiān)測(cè)充電系統(tǒng)是否正常工作。

6.2.2  安全日志

安全日志試驗(yàn)應(yīng)按照下列流程依次進(jìn)行：

a) 模擬安全事件發(fā)生，從記錄日志的系統(tǒng)上讀取日志，檢查日志記錄情況；

b) 檢查日志中是否包含觸發(fā)日志的事件發(fā)生時(shí)間、事件類(lèi)型；

c) 通過(guò)軟件調(diào)試工具嘗試訪問(wèn)、修改或刪除已記錄的安全日志。

6.3  數(shù)據(jù)安全試驗(yàn)方法

6.3.1  數(shù)據(jù)完整性

使用軟件調(diào)試工具修改充電系統(tǒng)的重要數(shù)據(jù)，監(jiān)測(cè)重要數(shù)據(jù)是否被修改；若重要數(shù)據(jù)被修改，則監(jiān)測(cè)重要數(shù)據(jù)被修改后，充電系統(tǒng)是否不使用該重要數(shù)據(jù)。

6.3.2  數(shù)據(jù)保密性

使用軟件調(diào)試工具讀取充電系統(tǒng)的重要數(shù)據(jù)，監(jiān)測(cè)重要數(shù)據(jù)是否被讀?。蝗糁匾獢?shù)據(jù)被讀取，則監(jiān)測(cè)該重要數(shù)據(jù)是否為密文存儲(chǔ)。

6.4  通信安全試驗(yàn)方法

6.4.1  充電系統(tǒng)對(duì)外通信安全

6.4.1.1  通信連接安全

用測(cè)試設(shè)備模擬充電設(shè)備接人到充電系統(tǒng)對(duì)外通信網(wǎng)絡(luò)中，監(jiān)測(cè)充電系統(tǒng)是否只對(duì)身份鑒別通過(guò)的通信設(shè)備啟動(dòng)充電功能。

6.4.1.2  通信傳輸安全

進(jìn)行通信傳輸安全試驗(yàn)時(shí)，將測(cè)試設(shè)備接入充電系統(tǒng)對(duì)外通信網(wǎng)絡(luò)并應(yīng)按照下列流程依次進(jìn)行：

a) 獲取傳輸?shù)臄?shù)據(jù)，檢查重要數(shù)據(jù)是否以密文形式通過(guò)網(wǎng)絡(luò)傳輸；

b) 發(fā)送被篡改、刪除或插人的重要數(shù)據(jù)，監(jiān)測(cè)充電系統(tǒng)對(duì)該重要數(shù)據(jù)的響應(yīng)情況；

c) 獲取傳輸?shù)耐ㄐ艛?shù)據(jù)，然后重放獲取的該通信數(shù)據(jù)，監(jiān)測(cè)充電系統(tǒng)對(duì)該重要數(shù)據(jù)的識(shí)別和響應(yīng)情況。

6.4.1.3  通信接口安全

通信接口安全試驗(yàn)應(yīng)按照下列流程依次進(jìn)行：

a) 用測(cè)試設(shè)備模擬充電設(shè)備接人充電系統(tǒng)，分別發(fā)送正確的樣例數(shù)據(jù)和不正確的樣例數(shù)據(jù)，監(jiān)測(cè)充電系統(tǒng)對(duì)樣例數(shù)據(jù)的響應(yīng)情況；

b) 獲取充電系統(tǒng)控制器軟件升級(jí)、軟件標(biāo)定樣例數(shù)據(jù)，將測(cè)試設(shè)備接人直流充電通信接口，發(fā)送軟件升級(jí)和軟件標(biāo)定的樣例數(shù)據(jù)，監(jiān)測(cè)充電系統(tǒng)響應(yīng)情況；

c) 將測(cè)試設(shè)備接人充電系統(tǒng)對(duì)外通信網(wǎng)絡(luò)，測(cè)試設(shè)備嘗試訪問(wèn)車(chē)內(nèi)通信數(shù)據(jù)，監(jiān)測(cè)車(chē)內(nèi)通信數(shù)據(jù)獲取情況。

6.4.2  充電系統(tǒng)對(duì)內(nèi)通信安全

將測(cè)試設(shè)備接入充電系統(tǒng)所接車(chē)內(nèi)通信網(wǎng)絡(luò)，充電系統(tǒng)對(duì)內(nèi)通信安全試驗(yàn)按照下列流程依次進(jìn)行：

a) 獲取傳輸?shù)臄?shù)據(jù)，檢查重要數(shù)據(jù)是否以密文形式通過(guò)網(wǎng)絡(luò)傳輸；

b) 發(fā)送被篡改、刪除或插入的重要數(shù)據(jù)，監(jiān)測(cè)充電系統(tǒng)對(duì)該重要數(shù)據(jù)的響應(yīng)情況；

c) 獲取傳輸?shù)耐ㄐ艛?shù)據(jù)，然后重放獲取的通信數(shù)據(jù)，監(jiān)測(cè)充電系統(tǒng)對(duì)該重要數(shù)據(jù)的識(shí)別及響應(yīng)情況。

【附高清無(wú)水印PDF版下載】

PDF質(zhì)量：高清晰無(wú)水印PDF版（官方正式版、完整版，共計(jì)：9P（頁(yè)），PDF文檔大?。?.79MB）

領(lǐng)取方式：

關(guān)注公眾號(hào)，在后臺(tái)回復(fù)“41578”

（提醒：需分享朋友圈并集贊，介意者請(qǐng)勿操作?。。。?/span>