電動汽車充電基礎(chǔ)設(shè)施可信防護規(guī)范

ICSFORMTEXT點擊此處添加ICS號FORMTEXT點擊此處添加中國標準文獻分類號FORMTEXTDLFORMTEXTXX/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXTFORMTEXT電動汽車充電基礎(chǔ)設(shè)施可信防護規(guī)范FORMTEXTTrustedProtectionSpecificationofElectricVehicleChargingInfrastructureFORMTEXT點擊此處添加與國際標準一致性程度的標識FORMTEXT征求意見稿FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施FORMTEXT國家能源局發(fā)布XX/TXXXXX—XXXXII電動汽車充電基礎(chǔ)設(shè)施可信防護規(guī)范范圍本標準規(guī)定了電動汽車充電基礎(chǔ)設(shè)施內(nèi)負責計量計費、人機交互、遠程通信等過程的核心單元的可信防護要求，提出了從硬件到軟件實現(xiàn)可信防護的方法。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2010信息安全技術(shù)術(shù)語T/CEC208-2019電動汽車充電設(shè)施信息安全防范技術(shù)規(guī)范GB/T38638-2020信息安全技術(shù)可信計算可信計算體系結(jié)構(gòu)GB/T37935-2019信息安全技術(shù)可信計算規(guī)范可信軟件基術(shù)語和定義充電基礎(chǔ)設(shè)施（charginginfrastructure）充電基礎(chǔ)設(shè)施是指為電動汽車提供電能補給的各類充換電設(shè)施，一般包括充電運營網(wǎng)絡(luò)中能夠提供對外充電服務(wù)的充電樁、充電樁群和充電站等。完整性度量（integritymeasurement）使用密碼雜湊算法對被度量對象計算其雜湊值的過程。信任鏈（trustedchain）在計算節(jié)點啟動和運行過程中，使用完整性度量方法在部件之間所建立的信任傳遞關(guān)系。可信計算節(jié)點（trustedcomputingnode）由可信防護部件和計算部件共同構(gòu)成、具備計算和防護并行特征的計算節(jié)點?？尚牌脚_控制模塊（trustedplatformcontrolmodule）用于建立和保障信任源點的硬件模塊，為可信計算提供完整性度量、安全存儲、可信報告及密碼運算等功能。可信軟件基（trustedsoftwarebase）是為可信計算平臺的可信性提供支持的軟件元素的集合?？尚啪W(wǎng)絡(luò)連接（trustednetworkconnection）終端連接到受保護網(wǎng)絡(luò)的過程，包括用戶身份鑒別、平臺身份鑒別和平臺完整性評估三個步驟?？尚鸥╮ootoftrust）一種集成在可信計算平臺中，用于建立和保障信任源點的硬件核心模塊，為可信計算提供完整性度量、安全存儲、可信報告以及密碼服務(wù)等功能?？尚乓龑В╰rustedboot）基于可信根完成對操作系統(tǒng)引導階段信任鏈建立的行為。復(fù)位控制（releasecontrol）通過外部復(fù)位輸入引腳，使CPU恢復(fù)到一個初始的默認狀態(tài)，并控制CPU電源使其處于正常/暫停工作狀態(tài)的動作。可信恢復(fù)（trustedrecovery）在可信硬件存儲介質(zhì)中備份操作系統(tǒng)內(nèi)核及其引導程序的原始/備份文件，在未通過可信引導情況下被可信根讀取并執(zhí)行系統(tǒng)內(nèi)核及其引導程序恢復(fù)的過程?？倓t電動汽車充電基礎(chǔ)設(shè)施可信防護規(guī)范旨在為充電樁群、充電站中的充電樁等執(zhí)行充電服務(wù)的基礎(chǔ)設(shè)施設(shè)備構(gòu)建計算環(huán)境本體安全可信的標準要求，以充電樁為例，其主體計算單元為負責計量計費、人機交互、遠程通信等過程的核心單元，如計費控制單元（TCU）或帶有計量計費功能的充電控制器等。該核心單元應(yīng)建立能夠識別本體代碼、主動阻斷未知代碼執(zhí)行的可信計算主動防御機制，具備抵御新型未知惡意代碼入侵的能力，避免在與外部通信交互過程中被注入惡意代碼，被遠程控制，破壞正常的充電過程，避免惡意入侵行為通過電動汽車充電基礎(chǔ)設(shè)施進一步入侵電網(wǎng)，或向電動汽車智能控制系統(tǒng)傳播惡意代碼，影響行車安全、個人財產(chǎn)安全。此外，負責電動汽車充電控制等功能的模塊或單元若具有較高的智能水平也應(yīng)建立上述防護機制，確保充電過程安全。電動汽車充電基礎(chǔ)設(shè)施可信防護的同時應(yīng)保證設(shè)施設(shè)備的正常運行，整體防護架構(gòu)如圖1所示。圖1整體架構(gòu)示意圖硬件架構(gòu)可信硬件結(jié)構(gòu)電動汽車充電基礎(chǔ)設(shè)施中的核心單元應(yīng)以可信平臺控制模塊為根構(gòu)建可信計算節(jié)點，在計算環(huán)境極度簡化的部分核心單元不具備應(yīng)用可信平臺控制模塊的條件時可以其他可構(gòu)建可信計算節(jié)點的核心單元為根，實現(xiàn)基于設(shè)施內(nèi)單元間可信連接的可信驗證，可信計算節(jié)點的硬件架構(gòu)如圖2所示。圖2可信計算節(jié)點硬件架構(gòu)示意圖電動汽車充電基礎(chǔ)設(shè)施可信平臺控制模塊工作模式可信平臺控制模塊支撐的電動汽車充電基礎(chǔ)設(shè)施中的核心單元中，可信平臺控制模塊應(yīng)是核心單元中第一個上電運行的部件，在核心單元從引導到正常工作的整個過程中，可信平臺控制模塊應(yīng)可并行于CPU獨立工作，作為最基礎(chǔ)的可信防護硬件支撐可信計算平臺的可信防護功能。功能電動汽車充電基礎(chǔ)設(shè)施可信平臺控制模塊功能特性如下：上電初始化：可信平臺控制模塊是主板上第一個工作的元件，上電后自行進行初始化并進入正常工作模式，在異常時可進行告警，并在完成系統(tǒng)啟動代碼完整性度量前限制CPU工作；可信引導：可信平臺控制模塊對系統(tǒng)引導程序進行可信度量，度量通過后允許CPU正常工作，允許CPU加載并運行系統(tǒng)引導程序，通過以可信平臺控制模塊為基礎(chǔ)的度量方式建立系統(tǒng)信任鏈，其關(guān)鍵環(huán)節(jié)包括但不限于BIOS、操作系統(tǒng)引導程序、操作系統(tǒng)內(nèi)核、可信軟件基等；異常控制：當可信平臺控制模塊度量系統(tǒng)引導程序或內(nèi)核失敗時，可信平臺控制系統(tǒng)啟動；異?；謴?fù)：當系統(tǒng)引導程序或內(nèi)核度量失敗時，可信平臺控制模塊對其進行可信恢復(fù)；配置：可通過配置接口對可信平臺控制模塊中的預(yù)期值等關(guān)鍵信息進行配置。硬件接口電動汽車充電基礎(chǔ)設(shè)施可信平臺控制模塊硬件接口特性如下：可信平臺控制模塊應(yīng)為與MCU獨立的硬件模塊，與MCU部署于同一硬件主板上；可信平臺控制模塊與MCU間可采用SPI、UART、I2C、并行接口等通信方式，并可控制MCU的復(fù)位電路，在MCU內(nèi)運行程序不可信時對MCU進行復(fù)位控制操作；可信平臺控制模塊應(yīng)具有獨立的配置接口，用于配置可信平臺控制模塊內(nèi)的關(guān)鍵信息。安全性及可維護性電動汽車充電基礎(chǔ)設(shè)施可信平臺控制模塊安全及可維護特性如下：用戶身份鑒別：當訪問可信平臺控制模塊時，應(yīng)當至少采用輸入用戶名及口令的形式對訪問的身份進行鑒別，使用者用戶名及口令可通過配置預(yù)先設(shè)定。數(shù)據(jù)安全保護：可信平臺控制模塊內(nèi)數(shù)據(jù)應(yīng)不能通過配置工具，通信命令以外的方式被獲取。可信平臺控制模塊運行過程中產(chǎn)生的臨時數(shù)據(jù)在失效后應(yīng)及時清除。物理防護：可信平臺控制模塊應(yīng)使用物理防護手段實現(xiàn)對外部攻擊的防護，包括但不限于防止因產(chǎn)生電磁波造成的可信平臺控制模塊信息泄漏，防止因高低壓攻擊造成可信平臺控制模塊被破壞，防止因高低頻攻擊造成可信平臺控制模塊被破壞等。核心單元可信引導電動汽車充電基礎(chǔ)設(shè)施中的核心單元從加電開始應(yīng)建立以TPCM為信任根的信任鏈，度量操作系統(tǒng)加載代碼和操作系統(tǒng)內(nèi)核，實現(xiàn)核心模塊的可信引導，信任鏈從開機到操作系統(tǒng)裝載的建立過程應(yīng)滿足如下要求：TPCM作為信任鏈的信任根，通過完整性度量，實現(xiàn)信任傳遞與擴展。具體要求如下：TPCM首先上電工作，自檢初始化；TPCM對CPU、存儲器、主要IO設(shè)備、BIOS、操作系統(tǒng)引導程序等進行主動度量，度量未通過時進行系統(tǒng)復(fù)位，有條件時應(yīng)對BIOS、操作系統(tǒng)引導程序等程序進行恢復(fù)；CPU進入工作模式，TPCM與核心單元相關(guān)部件配合對操作系統(tǒng)內(nèi)核進行主動度量，度量未通過時進行系統(tǒng)復(fù)位，有條件時應(yīng)對操作系統(tǒng)內(nèi)核進行恢復(fù)；核心單元加載并執(zhí)行操作系統(tǒng)內(nèi)核的代碼。業(yè)務(wù)應(yīng)用軟件可信業(yè)務(wù)應(yīng)用軟件可信可執(zhí)行代碼靜態(tài)度量操作系統(tǒng)內(nèi)核加載后，應(yīng)由可信軟件基在可信平臺控制模塊的支撐下對電動汽車充電基礎(chǔ)設(shè)施核心單元中的全部可執(zhí)行程序進行加載時的主動靜態(tài)度量，通過完整性度量對可執(zhí)行程序進行可信驗證，在檢測到其可信性受到破壞后拒絕可執(zhí)行程序加載并告警?？蓤?zhí)行代碼動態(tài)度量可執(zhí)行程序加載后，應(yīng)由可信軟件基在可信平臺控制模塊的支撐下對可執(zhí)行程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，通過對可執(zhí)行程序在內(nèi)存中的可執(zhí)行代碼段、只讀數(shù)據(jù)段的完整性度量對可執(zhí)行程序的內(nèi)存映射進行可信驗證，在檢測到其可信性受到破壞后停止可執(zhí)行程序運行并告警。可信軟件基功能可信軟件基運行于操作系統(tǒng)內(nèi)核層，應(yīng)具有完整性校驗、完整性度量、完整性保護、可信網(wǎng)絡(luò)連接、強制訪問控制、關(guān)鍵配置核查、平臺自保護、可信審計等功能。完整性校驗：可信軟件基對充電樁內(nèi)可執(zhí)行程序度量值的判定，完成完整性校驗；完整性度量：可信軟件基在操作系統(tǒng)和應(yīng)用啟動時進行完整性度量，未通過度量程序無法運行；完整性保護：可信軟件基對操作系統(tǒng)和應(yīng)用進行完整性度量和保護，受保護對象無法被篡改；可信網(wǎng)絡(luò)連接：可信軟件基應(yīng)提供充電樁本地防火墻配置策略，并基于該策略對數(shù)據(jù)包進行過濾，主動阻斷違規(guī)的網(wǎng)絡(luò)連接；強制訪問控制：構(gòu)建適用于充電樁的強制訪問控制模型，支撐進程對文件的訪問和操作的控制；關(guān)鍵配置核查：提供對充電樁關(guān)鍵賬戶、服務(wù)等配置項進行核查，包括但不限于弱口令檢查；平臺自保護：可信軟件基對自身進行完整性度量和保護，受保護對象無法被停用、卸載或旁路；可信審計：可信軟件基對違反完整性度量、保護策略的操作進行審計，記錄審計信息并告警。性能可信軟件基對待執(zhí)行的系統(tǒng)程序進行主動度量，度量應(yīng)對單個程序啟動時間延遲小于1秒；可信軟件基運行時占用系統(tǒng)CPU及內(nèi)存空間小于10%，對系統(tǒng)資源占用影響較小。接口可信軟件基應(yīng)具有對軟件完整性校驗值的更新接口，在可信的電動汽車充電基礎(chǔ)設(shè)施中，全部可執(zhí)行程序的增加和修改都應(yīng)通過此更新接口進行。管理可信軟件基應(yīng)具備本地管理方式進行策略管理，也應(yīng)具備集中管理方式，可以通過遠程的安全管理機制對分散的電動汽車充電基礎(chǔ)設(shè)施核心單元中的可信軟件基進行集中管理。業(yè)務(wù)應(yīng)用軟件部署及可信更新業(yè)務(wù)應(yīng)用軟件部署電動汽車充電基礎(chǔ)設(shè)施核心單元中的業(yè)務(wù)應(yīng)用軟件應(yīng)在部署時由生產(chǎn)商保證其可信，不包含惡意代碼，不包含惡意后門。業(yè)務(wù)應(yīng)用軟件可信更新業(yè)務(wù)應(yīng)用軟件可信更新包括本地更新和遠程更新兩種方式，皆應(yīng)具備可信的更新方式，避免被注入惡意程序或惡意破壞。業(yè)務(wù)應(yīng)用軟件本地更新，由業(yè)務(wù)人員在確認待更新程序可信后進行本地操作，通過可信軟件基的更新程序接口將待更新業(yè)務(wù)應(yīng)用軟件進行替換；業(yè)務(wù)應(yīng)用軟件遠程更新，由服務(wù)器端通過網(wǎng)絡(luò)將待更新業(yè)務(wù)應(yīng)用軟件下發(fā)到電動汽車充電基礎(chǔ)設(shè)施的核心單元中，由核心單元中的更新守護程序?qū)ο掳l(fā)的業(yè)務(wù)應(yīng)用軟件進行可信驗證，驗證成功后通過可信軟件基的更新程序接口將待更新業(yè)務(wù)應(yīng)用軟件進行替換。充電基礎(chǔ)設(shè)施可信接入電動汽車充電基礎(chǔ)設(shè)施可信接入要求如下：充電基礎(chǔ)設(shè)施應(yīng)具備向其運營服務(wù)平臺證明其身份、計算環(huán)境和運行狀態(tài)是否可信的能力；通信連接建立時充電基礎(chǔ)設(shè)施應(yīng)通過安全芯片、加密設(shè)備等向其運營服務(wù)平臺認證合法性；充電基礎(chǔ)設(shè)施接入其運營服務(wù)平臺時應(yīng)采用專用的網(wǎng)絡(luò)通道建立可信網(wǎng)絡(luò)連接機制；充電基礎(chǔ)設(shè)施接入其管理服務(wù)平臺后，其在線狀態(tài)和安全狀態(tài)應(yīng)可被其管理服務(wù)平臺獲取并進行監(jiān)視，異常情況下應(yīng)進行告警；應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信。目??次1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14總則 35硬件架構(gòu) 45.1可信硬件結(jié)構(gòu) 45.2電動汽車充電基礎(chǔ)設(shè)施可信平臺控制模塊 45.2.1工作模式 45.2.2功能 45.2.3硬件接口 55.2.4安全性及可維護性 56核心模塊可信引導 57業(yè)務(wù)應(yīng)用軟件可信 67.1業(yè)務(wù)應(yīng)用軟件可信 67.1.1可執(zhí)行代碼靜態(tài)度量 67.1.2可執(zhí)行代碼動態(tài)度量 67.2可信軟件基 67.2.1功能 67.2.2性能 77.2.3接口 77.2.4管理 78業(yè)務(wù)應(yīng)用軟件部署及可信更新 78.1業(yè)務(wù)應(yīng)用軟件部署 78.2業(yè)務(wù)應(yīng)用軟件可信更新 79充電基礎(chǔ)設(shè)施可信接入 7前??言本標準根據(jù)中國電力企業(yè)標準聯(lián)合會下達的國能綜通科技〔2019〕58號計劃制訂。本標準根據(jù)GB/T1.1-2009給出的規(guī)則起草。本標準規(guī)定了電動汽車充電基礎(chǔ)設(shè)施內(nèi)負責人機交互、遠程通信等過程的核心模塊的可信防護要求，提出了從硬件到軟件實現(xiàn)可信安全免疫的方法。本標準由提出并歸口。本標準起草單位：本標準主要起草人：目??次1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14總則 35硬件架構(gòu) 45.1可信硬件結(jié)構(gòu) 45.2電動汽車充電基礎(chǔ)設(shè)施可信平臺控制模塊 45.2.1工作模式 45.2.2功能 45.2.3硬件接口 55.2.4安全性及可維護性 56核心模塊可信引導 57業(yè)務(wù)應(yīng)用軟件可信 67.1業(yè)務(wù)應(yīng)用軟件可信 67.1.1可執(zhí)行代碼靜態(tài)度量 67.1.2可執(zhí)行代碼動態(tài)度量 67.2可信軟件基