电动汽车充电系统信息安全技术要求及试验方法,是2022年2月25日工业和信息化部办公厅发布的《车联网网络安全和数据安全标准体系建设指南》中提出的待制定的标准。
2022年7月11日,《电动汽车充电系统信息安全技术要求及试验方法》(GB/T41578-2022)发布,2023年2月1日开始实施。
《电动汽车充电系统信息安全技术要求及试验方法》国家标准,从充电系统的硬件安全、软件安全、数据安全、通信安全四个维度,提出了信息安全技术要求及试验方法,推动提升我国电动汽车信息安全技术水平。
本标准规定了电动汽车充电系统车内系统信息安全技术要求和测试评价方法;本标准适用于电动汽车充电系统车内系统信息安全的防护设计、开发、测试和评估。
车内充电系统信息安全由硬件安全、软件安全、数据安全和通信安全四部分组成,通信安全涉及车内通信安全和车辆对外通信安全。车内充电系统的信息安全目标是通过提出硬件、软件、数据和通信等方面的安全技术要求,防护车内充电系统面临的充电数据被窃取、个人隐私泄露和车内数据被窃取等风险。
《电动汽车充电系统信息安全技术要求及试验方法》
1范围
本文件规定了电动汽车充电系统信息安全技术要求和试验方法。
本文件适用于电动汽车充电系统信息安全技术的设计、开发与试验。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T5271.8—2001信息技术词汇第8部分:安全
GB/T27930电动汽车非车载传导式充电机与电池管理系统之间的通信协议
GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇
GB/T35273—2020信息安全技术个人信息安全规范
GB/T37935-2019信息安全技术可信计算规范可信软件基
GB/T40861—2021汽车信息安全通用技术要求
3术语和定义
GB/T29246-2017、GB/T37935-2019、GBT35273—2020、GB/T40861-2021界定的以及下列术语和定义适用于本文件。
3.1充电系统chargingsystem
注1:也称车内充电系统。
3.2重要数据importantdata
3.3个人敏感信息personalsensitiveinformation
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
3.4安全重要参数securityimportantparameter
3.5充电系统对外通信out-of-vehiclecommunication
充电系统与车辆外部的通信。
注:充电系统对外通信包括传导式充电方式的通信、非传导式充电方式的通信等。
3.6充电系统对内通信in-vehiclecommunieation
充电系统各控制器间及其与车辆内电子电气系统间的通信。
注:车内通信包括基于CAN、CAN-FD、LIN、以太网等的车辆内部通信。
3.7可信根实体entityofrootoftrust
用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的功能模块。
注:可信根实体包括TPCM、TCM、TPM等。
3.8保密性confidentiality
3.9完整性integrity
准确和完备的特性。
3.10身份鉴别authentication
身份确认,使数据处理系统能识别出实体的测试实施过程。
4缩略语
下列缩略语适用于本文件。
BGA:球栅阵列封装(BallGridArray)
BMS:电池管理系统(BatteryManagementSystem)
CAN:控制器局域网络(ControllerAreaNetwork)
CAN-FD:灵活数据速率的控制器局域网络(CANwithFlexibleData-rate)
ECU:电子控制单元(ElectronicControlUnit)
JTAG:联合测试工作组(JointTestActionGroup)
LGA:平面网格阵列封装(LandGridArray)
LIN:局域互联网络(LocalInterconnectNetwork)
MCU:微控制单元(MicroControlUnit)
OBC:车载充电机(On-boardCharger)
OTP:一次性可编程(OneTimeProgrammable)
SPI:串行外设接口(SerialPeripheralInterface)
TCM:可信密码模块(TrustedCryptographyModule)
TPM:可信平台模块(TrustedPlatformModule)
TPCM:可信平台控制模块(TrustedPlatformControlModule)
USB:通用串行总线(UniversalSerialBus)
UART:通用异步收发器(UniversalAsynchronousReceiver/Transmitter
WPT:无线电能传输(WirelessPowerTransfer)
5充电系统信息安全技术要求
5.1概述
充电系统信息安全包括硬件安全、软件安全、数据安全和通信安全四部分。通信安全包括充电系统对外通信安全和充电系统对内通信安全。对于受攻击有可能影响车辆或系统的风险,充电系统中与外部充电装置直接进行通信的控制器需采取信息安全措施。
5.2硬件安全要求
系统硬件满足以下要求:
a)充电系统所使用的关键芯片(例如MCU、加密芯片、通信芯片等),宜采取必要的保护措施(例如采用BGA/LGA等封装的芯片)减少暴露管脚;
b)充电系统调试接口应禁用或设置安全访问控制;
c)充电系统的直流充电通信网络与车内网络应进行隔离。
5.3软件安全要求
5.3.1安全启动
充电系统软件宜具备安全启动的功能,安全启动功能可通过可信根实体进行保护。充电系统的可信根、引导程序(BootLoader程序)及系统固件应符合以下要求:
a)不被篡改;
b)若被篡改,充电系统无法正常启动。
5.3.2安全日志
充电系统宜具有安全日志功能并满足以下要求:
5.4数据安全要求
5.4.1数据完整性
充电系统应保护存储的重要数据的完整性,宜采用完整性校验机制或OTP设置等保护方法。
5.4.2数据保密性
充电系统应保护存储的重要数据的保密性,宜采用软件加密或硬件加密等保护方法。
5.5通信安全要求
5.5.1充电系统对外通信安全
5.5.1.1通信连接安全
有无线充电功能、即插即充功能的充电系统应具有身份鉴别机制。
5.5.1.2通信传输安全
充电系统对外通信涉及重要数据传输时,应满足以下要求:
a)充电系统对重要数据的传输使用密文传输,按照6.4.1.2a)进行试验,保证该传输数据在被截获后无法得到明文数据;
b)充电系统对重要数据的传输采用完整性校验机制,按照6.4.1.2b)进行试验,充电系统对完整性校验不通过的重要数据不响应;
c)充电系统对重要数据的传输采用防重放机制,按照6.4.1.2c)进行试验,对于重放数据,充电系统能识别到重要数据为非法的重放数据且不响应。
5.5.1.3通信接口安全
充电系统通信接口安全应满足以下要求:
a)通信接口具有通信指令安全性验证机制,按照6.4.1.3a)进行试验,不响应除GB/T27930规定的充电协议和诊断协议及主机厂规定的协议之外的通信指令;
b)直流充电通信接口不对充电系统以及车内其他系统进行软件升级和软件标定等;
c)通信接口不具有访问车内通信总线数据的功能。
5.5.2充电系统对内通信安全
充电系统对内通信涉及重要数据传输时,应满足以下要求:
a)充电系统传输的重要数据使用密文传输,按照6.4.2a)进行试验,保证该传输数据在被截获后无法得到明文数据;
b)充电系统对重要数据的传输采用完整性校验机制,按照6.4.2b)进行试验,充电系统对完整性校验不通过的重要数据不响应;
c)充电系统对重要数据的传输采用防重放机制,按照6.4.2c)进行试验,对于重放数据,充电系统能识别到重要数据为非法的重放数据且不响应。
6试验方法
6.1硬件安全试验方法
硬件安全试验应按照下列流程依次进行:
a)查阅芯片手册分析充电系统关键芯片是否采用必要的措施(例如采用BGA/LGA等封装的芯片)减少暴露管脚;
b)分析评估是否存在暴露的调试接口(例如JTAG接口、USB接口、UART接口、SPI接口等),若存在,评估调试接口是否有鉴权校验机制;
c)使用总线工具分别连接直流充电通信网络和车内网络并同时获取其通信数据,检查两者之间的通信数据是否存在差异。
6.2软件安全试验方法
6.2.1安全启动
安全启动试验包括可信根防篡改试验、充电系统Bootloader程序校验试验、充电系统固件校验试验。安全启动试验应按照下列流程依次进行。
a)充电系统可信根防篡改试验:获取充电系统安全启动可信根存储区域的访问方法和地址,使用软件调试工具写人数据,重复多次试验判断是否可将数据写人该存储区域。
b)充电系统Bootloader程序校验试验:提取充电系统正常运行的Bootloader程序,使用软件调试工具修改该Bootloader程序的签名信息,将修改后的Bootloader程序写人到充电系统的指定区域,监测充电系统是否正常加载Bootloader程序及系统固件。
c)充电系统固件校验试验:获取充电系统正常运行的系统固件,使用软件调试工具修改系统固件程序的签名信息,将破坏后的系统固件写人到充电系统的指定区域,监测充电系统是否正常工作。
6.2.2安全日志
安全日志试验应按照下列流程依次进行:
a)模拟安全事件发生,从记录日志的系统上读取日志,检查日志记录情况;
c)通过软件调试工具尝试访问、修改或删除已记录的安全日志。
6.3数据安全试验方法
6.3.1数据完整性
使用软件调试工具修改充电系统的重要数据,监测重要数据是否被修改;若重要数据被修改,则监测重要数据被修改后,充电系统是否不使用该重要数据。
6.3.2数据保密性
使用软件调试工具读取充电系统的重要数据,监测重要数据是否被读取;若重要数据被读取,则监测该重要数据是否为密文存储。
6.4通信安全试验方法
6.4.1充电系统对外通信安全
6.4.1.1通信连接安全
用测试设备模拟充电设备接人到充电系统对外通信网络中,监测充电系统是否只对身份鉴别通过的通信设备启动充电功能。
6.4.1.2通信传输安全
进行通信传输安全试验时,将测试设备接入充电系统对外通信网络并应按照下列流程依次进行:
a)获取传输的数据,检查重要数据是否以密文形式通过网络传输;
b)发送被篡改、删除或插人的重要数据,监测充电系统对该重要数据的响应情况;
c)获取传输的通信数据,然后重放获取的该通信数据,监测充电系统对该重要数据的识别和响应情况。
6.4.1.3通信接口安全
通信接口安全试验应按照下列流程依次进行:
a)用测试设备模拟充电设备接人充电系统,分别发送正确的样例数据和不正确的样例数据,监测充电系统对样例数据的响应情况;
b)获取充电系统控制器软件升级、软件标定样例数据,将测试设备接人直流充电通信接口,发送软件升级和软件标定的样例数据,监测充电系统响应情况;
c)将测试设备接人充电系统对外通信网络,测试设备尝试访问车内通信数据,监测车内通信数据获取情况。
6.4.2充电系统对内通信安全
将测试设备接入充电系统所接车内通信网络,充电系统对内通信安全试验按照下列流程依次进行:
b)发送被篡改、删除或插入的重要数据,监测充电系统对该重要数据的响应情况;
c)获取传输的通信数据,然后重放获取的通信数据,监测充电系统对该重要数据的识别及响应情况。
【附高清无水印PDF版下载】
PDF质量:高清晰无水印PDF版(官方正式版、完整版,共计:9P(页),PDF文档大小:1.79MB)