Technical requirements and test methods for cybersecurity of electric vehicle charging system
1 Scope
This standard specifies the technical requirements and test methods for cybersecurity of electric vehicle charging system.
This standard is applicable to the design, development and test for cybersecurity of electric vehicle charging system.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB/T 5271.8-2001 Information technology - Vocabulary - Part 8: Security
GB/T 27930 Communication protocols between off-board conductive charger and battery management system for electric vehicle
GB/T 29246-2017 Information technology - Security techniques - Information security management systems - Overview and vocabulary
GB/T 35273-2020 Information security technology - Personal information security specification
GB/T 37935-2019 Information security technology - Trusted computing specification - Trusted software base
GB/T 40861-2021 General technical requirements for vehicle cybersecurity
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB/T 29246-2017, GB/T 37935-2019, GB T 35273-2020, GB/T 40861-2021 and the following apply.
3.1
charging system
related functional system for charging power batteries in electric vehicle
Note 1: it is also known as in-vehicle charging system.
Note 2: depending on the charging method and technical architecture, the charging system may include one or more on-board controllers [such as Battery Management System (BMS), On-board Charger (OBC), Wireless Power Transfer (WPT)], or other on-board communication control units that integrate related charging functions.
3.2
important data
data recognized as the cause of the risk of the in-vehicle charging system based on the charging function design and risk assessment, including personal sensitive information and important safety parameters
3.3
personal sensitive information
personal information which, once disclosed, illegally provided or abused, will possibly endanger the personal and property safety and easily result in damages to personal reputation and physical and mental health or result in discriminatory treatment
[Source: GB/T 35273-2020, 3.2]
3.4
security important parameter
security-related information, including authentication data such as secret key and private key, passwords, or other password-related parameters
[Source: GB/T 40861-2021, 3.13]
3.5
out-of-vehicle communication
communication between the charging system and the outside of the vehicle
Note: out-of-vehicle communication of charging system includes communication of conductive charging mode and communication of non-conductive charging mode, etc.
3.6
in-vehicle communication
communication between the controllers of the charging system and the electronic and electrical system in the vehicle
Note: including the in-vehicle communication based on CAN, CAN-FD, LIN, on-board Ethernet, etc.
3.7
entity of root of trust
functional module used to support the establishment and transfer of trust chain of trusted computing platform, and can provide external services such as integrity measurement, secure storage, cryptographic computation, etc.
Note: entity of root of trust includes TPCM, TCM, TPM, etc.
[Source: GB/T 37935-2019, 3.12]
3.8
confidentiality
property that information is not available or disclosed to unauthorized individuals, entities, or processes
[Source: GB/T 29246-2017, 2.12]
3.9
integrity
property of accuracy and completeness
[Source: GB/T 29246-2017, 2.40]
3.10
authentication
identity confirmation, which enables the data processing system to identify the testing implementation process of the entity
[Source: GB/T 5271.8-2001, 08.04.12]
4 Abbreviations
For the purposes of this document, the following abbreviations apply.
BGA: Ball Grid Array
BMS: Battery Management System
CAN: Controller Area Network
CAN-FD: CAN with Flexible Data-rate
ECU: Electronic Control Unit
JTAG: Joint Test Action Group
LGA: Land Grid Array
LIN: Local Interconnect Network
MCU: Micro Control Unit
OBC: On-board Charger
OTP: One Time Programmable
SPI: Serial Peripheral Interface
TCM: Trusted Cryptography Module
TPM: Trusted Platform Module
TPCM: Trusted Platform Control Module
USB: Universal Serial Bus
UART: Universal Asynchronous Receiver/Transmitter
WPT: Wireless Power Transfer
5 Technical requirements for cybersecurity of electric vehicle charging system
Foreword I
1 Scope
2 Normative references
3 Terms and definitions
4 Abbreviations
5 Technical requirements for cybersecurity of electric vehicle charging system
5.1 General
5.2 Requirements for hardware security
5.3 Requirements for software security
5.4 Data security requirements
5.5 Requirements for communication security
6 Test methods
6.1 Hardware security test method
6.2 Software security test method
6.3 Data security test method
6.4 Communication security test method
ICS 43.020
CCS T 40
GB
中華人民共和國國家標準
GB/T 41578—2022
電動汽車充電系統信息安全
技術要求及試驗方法
Technical requirements and test methods for cybersecurity of electric vehicle charging system
2022-07-11發布 2023-02-01實施
國家市場監督管理總局
國家標準化管理委員會 發布
前言
本文件按照GB/T1.1—2020《標準化工作導則 第1部分:標準化文件的結構和起草規則》的規定起草。
請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。
本文件由中華人民共和國工業和信息化部提出。
本文件由全國汽車標準化技術委員會(SAC/TC 114)歸口。
電動汽車充電系統信息安全
技術要求及試驗方法
1 范圍
本文件規定了電動汽車充電系統信息安全技術要求和試驗方法。
本文件適用于電動汽車充電系統信息安全技術的設計、開發與試驗。
2 規范性引用文件
下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 5271.8—2001 信息技術 詞匯 第8部分:安全
GB/T 27930 電動汽車非車載傳導式充電機與電池管理系統之間的通信協議
GB/T 29246—2017 信息技術 安全技術 信息安全管理體系 概述和詞匯
GB/T 35273—2020 信息安全技術 個人信息安全規范
GB/T 37935—2019 信息安全技術 可信計算規范 可信軟件基
GB/T 40861—2021 汽車信息安全通用技術要求
3 術語和定義
GB/T 29246—2017、GB/T 37935—2019、GB T 35273—2020、GB/T 40861—2021界定的以及下列術語和定義適用于本文件。
3.1
充電系統 charging system
電動汽車車內,用于動力電池充電的相關功能系統。
注1:也稱車內充電系統。
注2:根據充電方式及技術架構的不同,充電系統可能包含一個或多個車載控制器[例如電池管理系統(BMS)、車載充電機(OBC)、無線充電系統(WPT)],或其他集成相關充電功能的車載通信控制單元。
3.2
重要數據 important data
基于充電功能設計及風險評估,被認定為會造成車內充電系統風險的相關數據,包括個人敏感信息和安全重要參數等數據。
3.3
個人敏感信息 personal sensitive information
一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。
[來源:GB/T 35273—2020,3.2]
3.4
安全重要參數 security important parameter
與安全相關的信息,包含秘密密鑰和私鑰、口令之類的鑒別數據或其他密碼相關參數的信息。
[來源:GB/T 40861—2021,3.13]
3.5
充電系統對外通信 out-of-vehicle communication
充電系統與車輛外部的通信。
注:充電系統對外通信包括傳導式充電方式的通信、非傳導式充電方式的通信等。
3.6
充電系統對內通信 in-vehicle communication
充電系統各控制器間及其與車輛內電子電氣系統間的通信。
注:車內通信包括基于CAN、CAN-FD、LIN、以太網等的車輛內部通信。
3.7
可信根實體 entity of root of trust
用于支撐可信計算平臺信任鏈建立和傳遞的可對外提供完整性度量、安全存儲、密碼計算等服務的功能模塊。
注:可信根實體包括TPCM、TCM、TPM等。
[來源:GB/T 37935—2019,3.12]
3.8
保密性 confidentiality
信息對未授權的個人、實體或過程不可用或不泄露的特征。
[來源:GB/T 29246—2017,2.12]
3.9
完整性 integrity
準確和完備的特性。
[來源:GB/T 29246—2017,2.40]
3.10
身份鑒別 authentication
身份確認,使數據處理系統能識別出實體的測試實施過程。
[來源:GB/T 5271.8—2001,08.04.12]
4 縮略語
下列縮略語適用于本文件。
BGA:球柵陣列封裝(Ball Grid Array)
BMS:電池管理系統(Battery Management System)
CAN:控制器局域網絡(Controller Area Network)
CAN-FD:靈活數據速率的控制器局域網絡(CAN with Flexible Data-rate)
ECU:電子控制單元(Electronic Control Unit)
JTAG:聯合測試工作組(Joint Test Action Group)
LGA:平面網格陣列封裝(Land Grid Array)
LIN:局域互聯網絡(Local Interconnect Net work)
MCU:微控制單元(Micro Control Unit)
OBC:車載充電機(On-board Charger)
OTP:一次性可編程(One Time Programmable)
SPI:串行外設接口(Serial Peripheral Interface)
TCM:可信密碼模塊(Trusted Cryptography Module)
TPM:可信平臺模塊(Trusted Platform Module)
TPCM:可信平臺控制模塊(Trusted Platform Control Module)
USB:通用串行總線(Universal Serial Bus)
UART:通用異步收發器(Universal Asynchronous Receiver/Transmitter
WPT:無線電能傳輸(Wireless Power Transfer)
5 充電系統信息安全技術要求
5.1 概述
充電系統信息安全包括硬件安全、軟件安全、數據安全和通信安全四部分。通信安全包括充電系統對外通信安全和充電系統對內通信安全。對于受攻擊有可能影響車輛或系統的風險,充電系統中與外部充電裝置直接進行通信的控制器需采取信息安全措施。
5.2 硬件安全要求
系統硬件滿足以下要求:
a) 充電系統所使用的關鍵芯片(例如MCU、加密芯片、通信芯片等),宜采取必要的保護措施(例如采用BGA/LGA等封裝的芯片)減少暴露管腳;
b) 充電系統調試接口應禁用或設置安全訪問控制;
c) 充電系統的直流充電通信網絡與車內網絡應進行隔離。
5.3 軟件安全要求
5.3.1 安全啟動
充電系統軟件宜具備安全啟動的功能,安全啟動功能可通過可信根實體進行保護。充電系統的可信根、引導程序(Boot Loader程序)及系統固件應符合以下要求:
a) 不被篡改;
b) 若被篡改,充電系統無法正常啟動。
5.3.2 安全日志
充電系統宜具有安全日志功能并滿足以下要求:
a) 充電系統有安全事件(例如通信認證失敗、安全啟動失敗等)發生時,對相關信息進行記錄;
b) 充電系統的安全日志中,至少包括觸發日志的事件發生時間(絕對時間或相對時間)和事件類型;
c) 充電系統對安全日志進行安全存儲,防止日志在非物理破壞攻擊下被損毀及未授權的添加、訪問、修改和刪除;安全日志可記錄存儲在充電系統內、其他ECU內或云端服務器內。
5.4 數據安全要求
5.4.1 數據完整性
充電系統應保護存儲的重要數據的完整性,宜采用完整性校驗機制或OTP設置等保護方法。
5.4.2 數據保密性
充電系統應保護存儲的重要數據的保密性,宜采用軟件加密或硬件加密等保護方法。
5.5 通信安全要求
5.5.1 充電系統對外通信安全
5.5.1.1 通信連接安全
有無線充電功能、即插即充功能的充電系統應具有身份鑒別機制。
5.5.1.2 通信傳輸安全
充電系統對外通信涉及重要數據傳輸時,應滿足以下要求:
a) 充電系統對重要數據的傳輸使用密文傳輸,按照6.4.1.2 a)進行試驗,保證該傳輸數據在被截獲后無法得到明文數據;
b) 充電系統對重要數據的傳輸采用完整性校驗機制,按照6.4.1.2 b)進行試驗,充電系統對完整性校驗不通過的重要數據不響應;
c) 充電系統對重要數據的傳輸采用防重放機制,按照6.4.1.2 c)進行試驗,對于重放數據,充電系統能識別到重要數據為非法的重放數據且不響應。
5.5.1.3 通信接口安全
充電系統通信接口安全應滿足以下要求:
a) 通信接口具有通信指令安 全性驗證機制,按照6.4.1.3 a)進行試驗,不響應除GB/T 27930規定的充電協議和診斷協議及主機廠規定的協議之外的通信指令;
b) 直流充電通信接口不對充電系統以及車內其他系統進行軟件升級和軟件標定等;
c) 通信接口不具有訪問車內通信總線數據的功能。
5.5.2 充電系統對內通信安全
充電系統對內通信涉及重要數據傳輸時,應滿足以下要求:
a) 充電系統傳輸的重要數據使用密文傳輸,按照6.4.2 a)進行試驗,保證該傳輸數據在被截獲后無法得到明文數據;
b) 充電系統對重要數據的傳輸采用完整性校驗機制,按照6.4.2 b)進行試驗,充電系統對完整性校驗不通過的重要數據不響應;
c) 充電系統對重要數據的傳輸采用防重放機制,按照6.4.2 c)進行試驗,對于重放數據,充電系統能識別到重要數據為非法的重放數據且不響應。
6 試驗方法
6.1 硬件安全試驗方法
硬件安全試驗應按照下列流程依次進行:
a) 查閱芯片手冊分析充電系統關鍵芯片是否采用必要的措施(例如采用BGA/LGA等封裝的芯片)減少暴露管腳;
b) 分析評估是否存在暴露的調試接口(例如JTAG接口、USB接口、UART接口、SPI接口等),若存在,評估調試接口是否有鑒權校驗機制;
c) 使用總線工具分別連接直流充電通信網絡和車內網絡并同時獲取其通信數據,檢查兩者之間的通信數據是否存在差異。
6.2 軟件安全試驗方法
6.2.1 安全啟動
安全啟動試驗包括可信根防篡改試驗、充電系統Boot loader程序校驗試驗、充電系統固件校驗試驗。安全啟動試驗應按照下列流程依次進行。
a) 充電系統可信根防篡改試驗:獲取充電系統安全啟動可信根存儲區域的訪問方法和地址,使用軟件調試工具寫入數據,重復多次試驗判斷是否可將數據寫入該存儲區域。
b) 充電系統Boot loader程序校驗試驗:提取充電系統正常運行的Boot loader程序,使用軟件調試工具修改該Boot loader程序的簽名信息,將修改后的Boot loader程序寫入到充電系統的指定區域,監測充電系統是否正常加載Boot loader程序及系統固件。
c) 充電系統固件校驗試驗:獲取充電系統正常運行的系統固件,使用軟件調試工具修改系統固件程序的簽名信息,將破壞后的系統固件寫入到充電系統的指定區域,監測充電系統是否正常工作。
6.2.2 安全日志
安全日志試驗應按照下列流程依次進行:
a) 模擬安全事件發生,從記錄日志的系統上讀取日志,檢查日志記錄情況;
b) 檢查日志中是否包含觸發日志的事件發生時間、事件類型;
c) 通過軟件調試工具嘗試訪問、修改或刪除已記錄的安全日志。
6.3 數據安全試驗方法
6.3.1 數據完整性
使用軟件調試工具修改充電系統的重要數據,監測重要數據是否被修改;若重要數據被修改,則監測重要數據被修改后,充電系統是否不使用該重要數據。
6.3.2 數據保密性
使用軟件調試工具讀取充電系統的重要數據,監測重要數據是否被讀取;若重要數據被讀取,則監測該重要數據是否為密文存儲。
6.4 通信安全試驗方法
6.4.1 充電系統對外通信安全
6.4.1.1 通信連接安全
用測試設備模擬充電設備接入到充電系統對外通信網絡中,監測充電系統是否只對身份鑒別通過的通信設備啟動充電功能。
6.4.1.2 通信傳輸安全
進行通信傳輸安全試驗時,將測試設備接入充電系統對外通信網絡并應按照下列流程依次進行:
a) 獲取傳輸的數據,檢查重要數據是否以密文形式通過網絡傳輸;
b) 發送被篡改、刪除或插入的重要數據,監測充電系統對該重要數據的響應情況;
c) 獲取傳輸的通信數據,然后重放獲取的該通信數據,監測充電系統對該重要數據的識別和響應情況。
6.4.1.3 通信接口安全
通信接口安全試驗應按照下列流程依次進行:
a) 用測試設備模擬充電設備接入充電系統,分別發送正確的樣例數據和不正確的樣例數據,監測充電系統對樣例數據的響應情況;
b) 獲取充電系統控制器軟件升級、軟件標定樣例數據,將測試設備接入直流充電通信接口,發送軟件升級和軟件標定的樣例數據,監測充電系統響應情況;
c) 將測試設備接入充電系統對外通信網絡,測試設備嘗試訪問車內通信數據,監測車內通信數據獲取情況。
6.4.2 充電系統對內通信安全
將測試設備接入充電系統所接車內通信網絡,充電系統對內通信安全試驗按照下列流程依次進行:
a) 獲取傳輸的數據,檢查重要數據是否以密文形式通過網絡傳輸;
b) 發送被篡改、刪除或插入的重要數據,監測充電系統對該重要數據的響應情況;
c) 獲取傳輸的通信數據,然后重放獲取的通信數據,監測充電系統對該重要數據的識別及響應情況。
