《电动汽车充电基础设施可信防护规范》

ICS点击此处添加ICS号

点击此处添加中国标准文献分类号

DL

中华人民共和国电力行业标准

XX/TXXXXX—XXXX

电动汽车充电基础设施可信防护规范

TrustedProtectionSpecificationofElectricVehicleChargingInfrastructure

点击此处添加与国际标准一致性程度的标识

征求意见稿

XXXX-XX-XX发布XXXX-XX-XX实施

国家能源局发布

XX/TXXXXX—XXXX

I

XX/TXXXXX—XXXX

电动汽车充电基础设施可信防护规范

1范围

本标准规定了电动汽车充电基础设施内负责计量计费、人机交互、远程通信等过程的核心单元的可

信防护要求，提出了从硬件到软件实现可信防护的方法。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2010信息安全技术术语

T/CEC208-2019电动汽车充电设施信息安全防范技术规范

GB/T38638-2020信息安全技术可信计算可信计算体系结构

GB/T37935-2019信息安全技术可信计算规范可信软件基

3术语和定义

3.1

充电基础设施（charginginfrastructure）

充电基础设施是指为电动汽车提供电能补给的各类充换电设施，一般包括充电运营网络中能够提供

对外充电服务的充电桩、充电桩群和充电站等。

3.2

完整性度量（integritymeasurement）

使用密码杂凑算法对被度量对象计算其杂凑值的过程。

3.3

信任链（trustedchain）

在计算节点启动和运行过程中，使用完整性度量方法在部件之间所建立的信任传递关系。

3.4

可信计算节点（trustedcomputingnode）

由可信防护部件和计算部件共同构成、具备计算和防护并行特征的计算节点。

1

XX/TXXXXX—XXXX

3.5

可信平台控制模块（trustedplatformcontrolmodule）

用于建立和保障信任源点的硬件模块，为可信计算提供完整性度量、安全存储、可信报告及密码运

算等功能。

3.6

可信软件基（trustedsoftwarebase）

是为可信计算平台的可信性提供支持的软件元素的集合。

3.7

可信网络连接（trustednetworkconnection）

终端连接到受保护网络的过程，包括用户身份鉴别、平台身份鉴别和平台完整性评估三个步骤。

3.8

可信根（rootoftrust）

一种集成在可信计算平台中，用于建立和保障信任源点的硬件核心模块，为可信计算提供完整性度

量、安全存储、可信报告以及密码服务等功能。

3.9

可信引导（trustedboot）

基于可信根完成对操作系统引导阶段信任链建立的行为。

3.10

复位控制（releasecontrol）

通过外部复位输入引脚，使CPU恢复到一个初始的默认状态，并控制CPU电源使其处于正常/暂停

工作状态的动作。

3.11

可信恢复（trustedrecovery）

在可信硬件存储介质中备份操作系统内核及其引导程序的原始/备份文件，在未通过可信引导情况

下被可信根读取并执行系统内核及其引导程序恢复的过程。

4总则

电动汽车充电基础设施可信防护规范旨在为充电桩群、充电站中的充电桩等执行充电服务的基础设

施设备构建计算环境本体安全可信的标准要求，以充电桩为例，其主体计算单元为负责计量计费、人机

2

XX/TXXXXX—XXXX

交互、远程通信等过程的核心单元，如计费控制单元（TCU）或带有计量计费功能的充电控制器等。该

核心单元应建立能够识别本体代码、主动阻断未知代码执行的可信计算主动防御机制，具备抵御新型未

知恶意代码入侵的能力，避免在与外部通信交互过程中被注入恶意代码，被远程控制，破坏正常的充电

过程，避免恶意入侵行为通过电动汽车充电基础设施进一步入侵电网，或向电动汽车智能控制系统传播

恶意代码，影响行车安全、个人财产安全。此外，负责电动汽车充电控制等功能的模块或单元若具有较

高的智能水平也应建立上述防护机制，确保充电过程安全。电动汽车充电基础设施可信防护的同时应保

证设施设备的正常运行，整体防护架构如图1所示。

图1整体架构示意图

5硬件架构

5.1可信硬件结构

电动汽车充电基础设施中的核心单元应以可信平台控制模块为根构建可信计算节点，在计算环境极

度简化的部分核心单元不具备应用可信平台控制模块的条件时可以其他可构建可信计算节点的核心单

元为根，实现基于设施内单元间可信连接的可信验证，可信计算节点的硬件架构如图2所示。

3

XX/TXXXXX—XXXX

图2可信计算节点硬件架构示意图

5.2电动汽车充电基础设施可信平台控制模块

5.2.1工作模式

可信平台控制模块支撑的电动汽车充电基础设施中的核心单元中，可信平台控制模块应是核心单元

中第一个上电运行的部件，在核心单元从引导到正常工作的整个过程中，可信平台控制模块应可并行于

CPU独立工作，作为最基础的可信防护硬件支撑可信计算平台的可信防护功能。

5.2.2功能

电动汽车充电基础设施可信平台控制模块功能特性如下：

a)上电初始化：可信平台控制模块是主板上第一个工作的元件，上电后自行进行初始化并进入正

常工作模式，在异常时可进行告警，并在完成系统启动代码完整性度量前限制CPU工作；

b)可信引导：可信平台控制模块对系统引导程序进行可信度量，度量通过后允许CPU正常工作，

允许CPU加载并运行系统引导程序，通过以可信平台控制模块为基础的度量方式建立系统信任

链，其关键环节包括但不限于BIOS、操作系统引导程序、操作系统内核、可信软件基等；

c)异常控制：当可信平台控制模块度量系统引导程序或内核失败时，可信平台控制系统启动；

d)异常恢复：当系统引导程序或内核度量失败时，可信平台控制模块对其进行可信恢复；

e)配置：可通过配置接口对可信平台控制模块中的预期值等关键信息进行配置。

5.2.3硬件接口

电动汽车充电基础设施可信平台控制模块硬件接口特性如下：

a)可信平台控制模块应为与MCU独立的硬件模块，与MCU部署于同一硬件主板上；

4

XX/TXXXXX—XXXX

b)可信平台控制模块与MCU间可采用SPI、UART、I2C、并行接口等通信方式，并可控制MCU的

复位电路，在MCU内运行程序不可信时对MCU进行复位控制操作；

c)可信平台控制模块应具有独立的配置接口，用于配置可信平台控制模块内的关键信息。

5.2.4安全性及可维护性

电动汽车充电基础设施可信平台控制模块安全及可维护特性如下：

a)用户身份鉴别：当访问可信平台控制模块时，应当至少采用输入用户名及口令的形式对访问的

身份进行鉴别，使用者用户名及口令可通过配置预先设定。

b)数据安全保护：可信平台控制模块内数据应不能通过配置工具，通信命令以外的方式被获取。

可信平台控制模块运行过程中产生的临时数据在失效后应及时清除。

c)物理防护：可信平台控制模块应使用物理防护手段实现对外部攻击的防护，包括但不限于防止

因产生电磁波造成的可信平台控制模块信息泄漏，防止因高低压攻击造成可信平台控制模块被

破坏，防止因高低频攻击造成可信平台控制模块被破坏等。

6核心单元可信引导

电动汽车充电基础设施中的核心单元从加电开始应建立以TPCM为信任根的信任链，度量操作系统

加载代码和操作系统内核，实现核心模块的可信引导，信任链从开机到操作系统装载的建立过程应满足

如下要求：TPCM作为信任链的信任根，通过完整性度量，实现信任传递与扩展。具体要求如下：

a)TPCM首先上电工作，自检初始化；

b)TPCM对CPU、存储器、主要IO设备、BIOS、操作系统引导程序等进行主动度量，度量未通过

时进行系统复位，有条件时应对BIOS、操作系统引导程序等程序进行恢复；

c)CPU进入工作模式，TPCM与核心单元相关部件配合对操作系统内核进行主动度量，度量未通过

时进行系统复位，有条件时应对操作系统内核进行恢复；

d)核心单元加载并执行操作系统内核的代码。

7业务应用软件可信

7.1业务应用软件可信

7.1.1可执行代码静态度量

操作系统内核加载后，应由可信软件基在可信平台控制模块的支撑下对电动汽车充电基础设施核心

单元中的全部可执行程序进行加载时的主动静态度量，通过完整性度量对可执行程序进行可信验证，在

检测到其可信性受到破坏后拒绝可执行程序加载并告警。

5

XX/TXXXXX—XXXX

7.1.2可执行代码动态度量

可执行程序加载后，应由可信软件基在可信平台控制模块的支撑下对可执行程序的关键执行环节进

行动态可信验证，通过对可执行程序在内存中的可执行代码段、只读数据段的完整性度量对可执行程序

的内存映射进行可信验证，在检测到其可信性受到破坏后停止可执行程序运行并告警。

7.2可信软件基

7.2.1功能

可信软件基运行于操作系统内核层，应具有完整性校验、完整性度量、完整性保护、可信网络连接、

强制访问控制、关键配置核查、平台自保护、可信审计等功能。

a)完整性校验：可信软件基对充电桩内可执行程序度量值的判定，完成完整性校验；

b)完整性度量：可信软件基在操作系统和应用启动时进行完整性度量，未通过度量程序无法运行；

c)完整性保护：可信软件基对操作系统和应用进行完整性度量和保护，受保护对象无法被篡改；

d)可信网络连接：可信软件基应提供充电桩本地防火墙配置策略，并基于该策略对数据包进行过

滤，主动阻断违规的网络连接；

e)强制访问控制：构建适用于充电桩的强制访问控制模型，支撑进程对文件的访问和操作的控制；

f)关键配置核查：提供对充电桩关键账户、服务等配置项进行核查，包括但不限于弱口令检查；

g)平台自保护：可信软件基对自身进行完整性度量和保护，受保护对象无法被停用、卸载或旁路；

h)可信审计：可信软件基对违反完整性度量、保护策略的操作进行审计，记录审计信息并告警。

7.2.2性能

a)可信软件基对待执行的系统程序进行主动度量，度量应对单个程序启动时间延迟小于1秒；

b)可信软件基运行时占用系统CPU及内存空间小于10%，对系统资源占用影响较小。

7.2.3接口

可信软件基应具有对软件完整性校验值的更新接口，在可信的电动汽车充电基础设施中，全部可执

行程序的增加和修改都应通过此更新接口进行。

7.2.4管理

可信软件基应具备本地管理方式进行策略管理，也应具备集中管理方式，可以通过远程的安全管理

机制对分散的电动汽车充电基础设施核心单元中的可信软件基进行集中管理。

8业务应用软件部署及可信更新

6

XX/TXXXXX—XXXX

8.1业务应用软件部署

电动汽车