標(biāo)準(zhǔn)編號:	GB/T 41578-2022
中文名稱:	電動汽車充電系統(tǒng)信息安全技術(shù)要求及試驗方法
英文名稱:	Technical requirements and test methods for cybersecurity of electric vehicle charging system
中標(biāo)分類:	T40    汽車綜合
行業(yè)分類:	GB    國家標(biāo)準(zhǔn)
ICS分類:	43.020 43.020    道路車輛綜合 43.020
發(fā)布機構(gòu):	國家市場監(jiān)督管理總局 國家標(biāo)準(zhǔn)化管理委員會
發(fā)布日期:	2022-7-11
實施日期:	2023-2-1
標(biāo)準(zhǔn)狀態(tài):	valid
翻譯語言:	英文
文件格式:	PDF
中文字符數(shù):	11000 字
翻譯價格(元):	720.0
交付時間:	付款后 1 個工作日

Technical requirements and test methods for cybersecurity of electric vehicle charging system 1 Scope This standard specifies the technical requirements and test methods for cybersecurity of electric vehicle charging system. This standard is applicable to the design, development and test for cybersecurity of electric vehicle charging system. 2 Normative references The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. GB/T 5271.8-2001 Information technology - Vocabulary - Part 8: Security GB/T 27930 Communication protocols between off-board conductive charger and battery management system for electric vehicle GB/T 29246-2017 Information technology - Security techniques - Information security management systems - Overview and vocabulary GB/T 35273-2020 Information security technology - Personal information security specification GB/T 37935-2019 Information security technology - Trusted computing specification - Trusted software base GB/T 40861-2021 General technical requirements for vehicle cybersecurity 3 Terms and definitions For the purposes of this document, the terms and definitions given in GB/T 29246-2017, GB/T 37935-2019, GB T 35273-2020, GB/T 40861-2021 and the following apply. 3.1 charging system related functional system for charging power batteries in electric vehicle Note 1: it is also known as in-vehicle charging system. Note 2: depending on the charging method and technical architecture, the charging system may include one or more on-board controllers [such as Battery Management System (BMS), On-board Charger (OBC), Wireless Power Transfer (WPT)], or other on-board communication control units that integrate related charging functions. 3.2 important data data recognized as the cause of the risk of the in-vehicle charging system based on the charging function design and risk assessment, including personal sensitive information and important safety parameters 3.3 personal sensitive information personal information which, once disclosed, illegally provided or abused, will possibly endanger the personal and property safety and easily result in damages to personal reputation and physical and mental health or result in discriminatory treatment [Source: GB/T 35273-2020, 3.2] 3.4 security important parameter security-related information, including authentication data such as secret key and private key, passwords, or other password-related parameters [Source: GB/T 40861-2021, 3.13] 3.5 out-of-vehicle communication communication between the charging system and the outside of the vehicle Note: out-of-vehicle communication of charging system includes communication of conductive charging mode and communication of non-conductive charging mode, etc. 3.6 in-vehicle communication communication between the controllers of the charging system and the electronic and electrical system in the vehicle Note: including the in-vehicle communication based on CAN, CAN-FD, LIN, on-board Ethernet, etc. 3.7 entity of root of trust functional module used to support the establishment and transfer of trust chain of trusted computing platform, and can provide external services such as integrity measurement, secure storage, cryptographic computation, etc. Note: entity of root of trust includes TPCM, TCM, TPM, etc. [Source: GB/T 37935-2019, 3.12] 3.8 confidentiality property that information is not available or disclosed to unauthorized individuals, entities, or processes [Source: GB/T 29246-2017, 2.12] 3.9 integrity property of accuracy and completeness [Source: GB/T 29246-2017, 2.40] 3.10 authentication identity confirmation, which enables the data processing system to identify the testing implementation process of the entity [Source: GB/T 5271.8-2001, 08.04.12] 4 Abbreviations For the purposes of this document, the following abbreviations apply. BGA: Ball Grid Array BMS: Battery Management System CAN: Controller Area Network CAN-FD: CAN with Flexible Data-rate ECU: Electronic Control Unit JTAG: Joint Test Action Group LGA: Land Grid Array LIN: Local Interconnect Network MCU: Micro Control Unit OBC: On-board Charger OTP: One Time Programmable SPI: Serial Peripheral Interface TCM: Trusted Cryptography Module TPM: Trusted Platform Module TPCM: Trusted Platform Control Module USB: Universal Serial Bus UART: Universal Asynchronous Receiver/Transmitter WPT: Wireless Power Transfer 5 Technical requirements for cybersecurity of electric vehicle charging system

Foreword I 1 Scope 2 Normative references 3 Terms and definitions 4 Abbreviations 5 Technical requirements for cybersecurity of electric vehicle charging system 5.1 General 5.2 Requirements for hardware security 5.3 Requirements for software security 5.4 Data security requirements 5.5 Requirements for communication security 6 Test methods 6.1 Hardware security test method 6.2 Software security test method 6.3 Data security test method 6.4 Communication security test method

ICS 43.020 CCS T 40 GB 中華人民共和國國家標(biāo)準(zhǔn) GB／T 41578—2022 電動汽車充電系統(tǒng)信息安全 技術(shù)要求及試驗方法 Technical requirements and test methods for cybersecurity of electric vehicle charging system 2022-07-11發(fā)布 2023-02-01實施 國家市場監(jiān)督管理總局 國家標(biāo)準(zhǔn)化管理委員會 發(fā)布 前言 本文件按照GB／T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。 請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。 本文件由中華人民共和國工業(yè)和信息化部提出。 本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(SAC／TC 114)歸口。 電動汽車充電系統(tǒng)信息安全 技術(shù)要求及試驗方法 1 范圍 本文件規(guī)定了電動汽車充電系統(tǒng)信息安全技術(shù)要求和試驗方法。 本文件適用于電動汽車充電系統(tǒng)信息安全技術(shù)的設(shè)計、開發(fā)與試驗。 2 規(guī)范性引用文件 下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。 GB／T 5271.8—2001 信息技術(shù) 詞匯 第8部分：安全 GB／T 27930 電動汽車非車載傳導(dǎo)式充電機與電池管理系統(tǒng)之間的通信協(xié)議 GB／T 29246—2017 信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯 GB／T 35273—2020 信息安全技術(shù) 個人信息安全規(guī)范 GB／T 37935—2019 信息安全技術(shù) 可信計算規(guī)范 可信軟件基 GB／T 40861—2021 汽車信息安全通用技術(shù)要求 3 術(shù)語和定義 GB／T 29246—2017、GB／T 37935—2019、GB T 35273—2020、GB／T 40861—2021界定的以及下列術(shù)語和定義適用于本文件。 3.1 充電系統(tǒng) charging system 電動汽車車內(nèi)，用于動力電池充電的相關(guān)功能系統(tǒng)。 注1：也稱車內(nèi)充電系統(tǒng)。 注2：根據(jù)充電方式及技術(shù)架構(gòu)的不同，充電系統(tǒng)可能包含一個或多個車載控制器[例如電池管理系統(tǒng)(BMS)、車載充電機(OBC)、無線充電系統(tǒng)(WPT)]，或其他集成相關(guān)充電功能的車載通信控制單元。 3.2 重要數(shù)據(jù) important data 基于充電功能設(shè)計及風(fēng)險評估，被認(rèn)定為會造成車內(nèi)充電系統(tǒng)風(fēng)險的相關(guān)數(shù)據(jù)，包括個人敏感信息和安全重要參數(shù)等數(shù)據(jù)。 3.3 個人敏感信息 personal sensitive information 一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。 [來源：GB／T 35273—2020，3.2] 3.4 安全重要參數(shù) security important parameter 與安全相關(guān)的信息，包含秘密密鑰和私鑰、口令之類的鑒別數(shù)據(jù)或其他密碼相關(guān)參數(shù)的信息。 [來源：GB／T 40861—2021，3.13] 3.5 充電系統(tǒng)對外通信 out-of-vehicle communication 充電系統(tǒng)與車輛外部的通信。 注：充電系統(tǒng)對外通信包括傳導(dǎo)式充電方式的通信、非傳導(dǎo)式充電方式的通信等。 3.6 充電系統(tǒng)對內(nèi)通信 in-vehicle communication 充電系統(tǒng)各控制器間及其與車輛內(nèi)電子電氣系統(tǒng)間的通信。 注：車內(nèi)通信包括基于CAN、CAN-FD、LIN、以太網(wǎng)等的車輛內(nèi)部通信。 3.7 可信根實體 entity of root of trust 用于支撐可信計算平臺信任鏈建立和傳遞的可對外提供完整性度量、安全存儲、密碼計算等服務(wù)的功能模塊。 注：可信根實體包括TPCM、TCM、TPM等。 [來源：GB／T 37935—2019，3.12] 3.8 保密性 confidentiality 信息對未授權(quán)的個人、實體或過程不可用或不泄露的特征。 [來源：GB／T 29246—2017，2.12] 3.9 完整性 integrity 準(zhǔn)確和完備的特性。 [來源：GB／T 29246—2017，2.40] 3.10 身份鑒別 authentication 身份確認(rèn)，使數(shù)據(jù)處理系統(tǒng)能識別出實體的測試實施過程。 [來源：GB／T 5271.8—2001，08.04.12] 4 縮略語 下列縮略語適用于本文件。 BGA：球柵陣列封裝(Ball Grid Array) BMS：電池管理系統(tǒng)(Battery Management System) CAN：控制器局域網(wǎng)絡(luò)(Controller Area Network) CAN-FD：靈活數(shù)據(jù)速率的控制器局域網(wǎng)絡(luò)(CAN with Flexible Data-rate) ECU：電子控制單元(Electronic Control Unit) JTAG：聯(lián)合測試工作組(Joint Test Action Group) LGA：平面網(wǎng)格陣列封裝(Land Grid Array) LIN：局域互聯(lián)網(wǎng)絡(luò)(Local Interconnect Net work) MCU：微控制單元(Micro Control Unit) OBC：車載充電機(On-board Charger) OTP：一次性可編程(One Time Programmable) SPI：串行外設(shè)接口(Serial Peripheral Interface) TCM：可信密碼模塊(Trusted Cryptography Module) TPM：可信平臺模塊(Trusted Platform Module) TPCM：可信平臺控制模塊(Trusted Platform Control Module) USB：通用串行總線(Universal Serial Bus) UART：通用異步收發(fā)器(Universal Asynchronous Receiver／Transmitter WPT：無線電能傳輸(Wireless Power Transfer) 5 充電系統(tǒng)信息安全技術(shù)要求 5.1 概述 充電系統(tǒng)信息安全包括硬件安全、軟件安全、數(shù)據(jù)安全和通信安全四部分。通信安全包括充電系統(tǒng)對外通信安全和充電系統(tǒng)對內(nèi)通信安全。對于受攻擊有可能影響車輛或系統(tǒng)的風(fēng)險，充電系統(tǒng)中與外部充電裝置直接進行通信的控制器需采取信息安全措施。 5.2 硬件安全要求 系統(tǒng)硬件滿足以下要求： a) 充電系統(tǒng)所使用的關(guān)鍵芯片(例如MCU、加密芯片、通信芯片等)，宜采取必要的保護措施(例如采用BGA／LGA等封裝的芯片)減少暴露管腳； b) 充電系統(tǒng)調(diào)試接口應(yīng)禁用或設(shè)置安全訪問控制； c) 充電系統(tǒng)的直流充電通信網(wǎng)絡(luò)與車內(nèi)網(wǎng)絡(luò)應(yīng)進行隔離。 5.3 軟件安全要求 5.3.1 安全啟動 充電系統(tǒng)軟件宜具備安全啟動的功能，安全啟動功能可通過可信根實體進行保護。充電系統(tǒng)的可信根、引導(dǎo)程序(Boot Loader程序)及系統(tǒng)固件應(yīng)符合以下要求： a) 不被篡改； b) 若被篡改，充電系統(tǒng)無法正常啟動。 5.3.2 安全日志 充電系統(tǒng)宜具有安全日志功能并滿足以下要求： a) 充電系統(tǒng)有安全事件(例如通信認(rèn)證失敗、安全啟動失敗等)發(fā)生時，對相關(guān)信息進行記錄； b) 充電系統(tǒng)的安全日志中，至少包括觸發(fā)日志的事件發(fā)生時間(絕對時間或相對時間)和事件類型； c) 充電系統(tǒng)對安全日志進行安全存儲，防止日志在非物理破壞攻擊下被損毀及未授權(quán)的添加、訪問、修改和刪除；安全日志可記錄存儲在充電系統(tǒng)內(nèi)、其他ECU內(nèi)或云端服務(wù)器內(nèi)。 5.4 數(shù)據(jù)安全要求 5.4.1 數(shù)據(jù)完整性 充電系統(tǒng)應(yīng)保護存儲的重要數(shù)據(jù)的完整性，宜采用完整性校驗機制或OTP設(shè)置等保護方法。 5.4.2 數(shù)據(jù)保密性 充電系統(tǒng)應(yīng)保護存儲的重要數(shù)據(jù)的保密性，宜采用軟件加密或硬件加密等保護方法。 5.5 通信安全要求 5.5.1 充電系統(tǒng)對外通信安全 5.5.1.1 通信連接安全 有無線充電功能、即插即充功能的充電系統(tǒng)應(yīng)具有身份鑒別機制。 5.5.1.2 通信傳輸安全 充電系統(tǒng)對外通信涉及重要數(shù)據(jù)傳輸時，應(yīng)滿足以下要求： a) 充電系統(tǒng)對重要數(shù)據(jù)的傳輸使用密文傳輸，按照6.4.1.2 a)進行試驗，保證該傳輸數(shù)據(jù)在被截獲后無法得到明文數(shù)據(jù)； b) 充電系統(tǒng)對重要數(shù)據(jù)的傳輸采用完整性校驗機制，按照6.4.1.2 b)進行試驗，充電系統(tǒng)對完整性校驗不通過的重要數(shù)據(jù)不響應(yīng)； c) 充電系統(tǒng)對重要數(shù)據(jù)的傳輸采用防重放機制，按照6.4.1.2 c)進行試驗，對于重放數(shù)據(jù)，充電系統(tǒng)能識別到重要數(shù)據(jù)為非法的重放數(shù)據(jù)且不響應(yīng)。 5.5.1.3 通信接口安全 充電系統(tǒng)通信接口安全應(yīng)滿足以下要求： a) 通信接口具有通信指令安 全性驗證機制，按照6.4.1.3 a)進行試驗，不響應(yīng)除GB／T 27930規(guī)定的充電協(xié)議和診斷協(xié)議及主機廠規(guī)定的協(xié)議之外的通信指令； b) 直流充電通信接口不對充電系統(tǒng)以及車內(nèi)其他系統(tǒng)進行軟件升級和軟件標(biāo)定等； c) 通信接口不具有訪問車內(nèi)通信總線數(shù)據(jù)的功能。 5.5.2 充電系統(tǒng)對內(nèi)通信安全 充電系統(tǒng)對內(nèi)通信涉及重要數(shù)據(jù)傳輸時，應(yīng)滿足以下要求： a) 充電系統(tǒng)傳輸?shù)闹匾獢?shù)據(jù)使用密文傳輸，按照6.4.2 a)進行試驗，保證該傳輸數(shù)據(jù)在被截獲后無法得到明文數(shù)據(jù)； b) 充電系統(tǒng)對重要數(shù)據(jù)的傳輸采用完整性校驗機制，按照6.4.2 b)進行試驗，充電系統(tǒng)對完整性校驗不通過的重要數(shù)據(jù)不響應(yīng)； c) 充電系統(tǒng)對重要數(shù)據(jù)的傳輸采用防重放機制，按照6.4.2 c)進行試驗，對于重放數(shù)據(jù)，充電系統(tǒng)能識別到重要數(shù)據(jù)為非法的重放數(shù)據(jù)且不響應(yīng)。 6 試驗方法 6.1 硬件安全試驗方法 硬件安全試驗應(yīng)按照下列流程依次進行： a) 查閱芯片手冊分析充電系統(tǒng)關(guān)鍵芯片是否采用必要的措施(例如采用BGA／LGA等封裝的芯片)減少暴露管腳； b) 分析評估是否存在暴露的調(diào)試接口(例如JTAG接口、USB接口、UART接口、SPI接口等)，若存在，評估調(diào)試接口是否有鑒權(quán)校驗機制； c) 使用總線工具分別連接直流充電通信網(wǎng)絡(luò)和車內(nèi)網(wǎng)絡(luò)并同時獲取其通信數(shù)據(jù)，檢查兩者之間的通信數(shù)據(jù)是否存在差異。 6.2 軟件安全試驗方法 6.2.1 安全啟動 安全啟動試驗包括可信根防篡改試驗、充電系統(tǒng)Boot loader程序校驗試驗、充電系統(tǒng)固件校驗試驗。安全啟動試驗應(yīng)按照下列流程依次進行。 a) 充電系統(tǒng)可信根防篡改試驗：獲取充電系統(tǒng)安全啟動可信根存儲區(qū)域的訪問方法和地址，使用軟件調(diào)試工具寫入數(shù)據(jù)，重復(fù)多次試驗判斷是否可將數(shù)據(jù)寫入該存儲區(qū)域。 b) 充電系統(tǒng)Boot loader程序校驗試驗：提取充電系統(tǒng)正常運行的Boot loader程序，使用軟件調(diào)試工具修改該Boot loader程序的簽名信息，將修改后的Boot loader程序?qū)懭氲匠潆娤到y(tǒng)的指定區(qū)域，監(jiān)測充電系統(tǒng)是否正常加載Boot loader程序及系統(tǒng)固件。 c) 充電系統(tǒng)固件校驗試驗：獲取充電系統(tǒng)正常運行的系統(tǒng)固件，使用軟件調(diào)試工具修改系統(tǒng)固件程序的簽名信息，將破壞后的系統(tǒng)固件寫入到充電系統(tǒng)的指定區(qū)域，監(jiān)測充電系統(tǒng)是否正常工作。 6.2.2 安全日志 安全日志試驗應(yīng)按照下列流程依次進行： a) 模擬安全事件發(fā)生，從記錄日志的系統(tǒng)上讀取日志，檢查日志記錄情況； b) 檢查日志中是否包含觸發(fā)日志的事件發(fā)生時間、事件類型； c) 通過軟件調(diào)試工具嘗試訪問、修改或刪除已記錄的安全日志。 6.3 數(shù)據(jù)安全試驗方法 6.3.1 數(shù)據(jù)完整性 使用軟件調(diào)試工具修改充電系統(tǒng)的重要數(shù)據(jù)，監(jiān)測重要數(shù)據(jù)是否被修改；若重要數(shù)據(jù)被修改，則監(jiān)測重要數(shù)據(jù)被修改后，充電系統(tǒng)是否不使用該重要數(shù)據(jù)。 6.3.2 數(shù)據(jù)保密性 使用軟件調(diào)試工具讀取充電系統(tǒng)的重要數(shù)據(jù)，監(jiān)測重要數(shù)據(jù)是否被讀取；若重要數(shù)據(jù)被讀取，則監(jiān)測該重要數(shù)據(jù)是否為密文存儲。 6.4 通信安全試驗方法 6.4.1 充電系統(tǒng)對外通信安全 6.4.1.1 通信連接安全 用測試設(shè)備模擬充電設(shè)備接入到充電系統(tǒng)對外通信網(wǎng)絡(luò)中，監(jiān)測充電系統(tǒng)是否只對身份鑒別通過的通信設(shè)備啟動充電功能。 6.4.1.2 通信傳輸安全 進行通信傳輸安全試驗時，將測試設(shè)備接入充電系統(tǒng)對外通信網(wǎng)絡(luò)并應(yīng)按照下列流程依次進行： a) 獲取傳輸?shù)臄?shù)據(jù)，檢查重要數(shù)據(jù)是否以密文形式通過網(wǎng)絡(luò)傳輸； b) 發(fā)送被篡改、刪除或插入的重要數(shù)據(jù)，監(jiān)測充電系統(tǒng)對該重要數(shù)據(jù)的響應(yīng)情況； c) 獲取傳輸?shù)耐ㄐ艛?shù)據(jù)，然后重放獲取的該通信數(shù)據(jù)，監(jiān)測充電系統(tǒng)對該重要數(shù)據(jù)的識別和響應(yīng)情況。 6.4.1.3 通信接口安全 通信接口安全試驗應(yīng)按照下列流程依次進行： a) 用測試設(shè)備模擬充電設(shè)備接入充電系統(tǒng)，分別發(fā)送正確的樣例數(shù)據(jù)和不正確的樣例數(shù)據(jù)，監(jiān)測充電系統(tǒng)對樣例數(shù)據(jù)的響應(yīng)情況； b) 獲取充電系統(tǒng)控制器軟件升級、軟件標(biāo)定樣例數(shù)據(jù)，將測試設(shè)備接入直流充電通信接口，發(fā)送軟件升級和軟件標(biāo)定的樣例數(shù)據(jù)，監(jiān)測充電系統(tǒng)響應(yīng)情況； c) 將測試設(shè)備接入充電系統(tǒng)對外通信網(wǎng)絡(luò)，測試設(shè)備嘗試訪問車內(nèi)通信數(shù)據(jù)，監(jiān)測車內(nèi)通信數(shù)據(jù)獲取情況。 6.4.2 充電系統(tǒng)對內(nèi)通信安全 將測試設(shè)備接入充電系統(tǒng)所接車內(nèi)通信網(wǎng)絡(luò)，充電系統(tǒng)對內(nèi)通信安全試驗按照下列流程依次進行： a) 獲取傳輸?shù)臄?shù)據(jù)，檢查重要數(shù)據(jù)是否以密文形式通過網(wǎng)絡(luò)傳輸； b) 發(fā)送被篡改、刪除或插入的重要數(shù)據(jù)，監(jiān)測充電系統(tǒng)對該重要數(shù)據(jù)的響應(yīng)情況； c) 獲取傳輸?shù)耐ㄐ艛?shù)據(jù)，然后重放獲取的通信數(shù)據(jù)，監(jiān)測充電系統(tǒng)對該重要數(shù)據(jù)的識別及響應(yīng)情況。