ICS 43.020 CCS T 40 GP 中华人民共和国国家标准 GB/T41578—2022 电动汽车充电系统信息安全 技术要求及试验方法 Technical requirements and test methods for cybersecurity of electric vehicle charging system 2023-02-01实施 2022-07-11发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T41578—2022 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5 充电系统信息安全技术要求 5.1 概述 5.2 硬件安全要求 5.3 软件安全要求 5.4 数据安全要求 5.5 通信安全要求 6试验方法 6.1 硬件安全试验方法 6.2 软件安全试验方法 6.3 数据安全试验方法 6.4 通信安全试验方法 GB/T41578—2022 前 言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任， 本文件由中华人民共和国工业和信息化部提出。 本文件由全国汽车标准化技术委员会（SAC/TC114）归口。 本文件起草单位：比亚迪汽车工业有限公司、中国汽车技术研究中心有限公司、北京新能源汽车股 份有限公司、北京郴安全科技有限公司、戴姆勒大中华区投资有限公司、宝马（中国）服务有限公司、大 众汽车（中国）投资有限公司、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、北京长安 汽车工程技术研究有限责任公司、上海国际汽车城（集团）有限公司、襄阳达安汽车检测中心有限公司、 交通运输部科学研究院。 本文件主要起草人：杨冬生、李春、郑香维、贺可勋、王娅蓉、卢佐华、李宝田、武亨、吴胜男、赵闻、 朱科屹、王永珠、李霖、高海龙、李成。 1 GB/T41578—2022 电动汽车充电系统信息安全 技术要求及试验方法 1范围 本文件规定了电动汽车充电系统信息安全技术要求和试验方法 本文件适用于电动汽车充电系统信息安全技术的设计、开发与试验。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T5271.8一2001信息技术词汇第8部分：安全 GB/T27930电动汽车非车载传导式充电机与电池管理系统之间的通信协议 GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇 GB/T35273—2020信息安全技术个人信息安全规范 GB/T37935—2019信息安全技术可信计算规范可信软件基 GB/T40861—2021汽车信息安全通用技术要求 3术语和定义 术语和定义适用于本文件。 3.1 充电系统charging system 电动汽车车内，用于动力电池充电的相关功能系统。 注1：也称车内充电系统 充电机（OBC）、无线充电系统（WPT）I，或其他集成相关充电功能的车载通信控制单元 3.2 重要数据importantdata 基于充电功能设计及风险评估，被认定为会造成车内充电系统风险的相关数据，包括个人敏感信息 和安全重要参数等数据。 3.3 个人敏感信息 personal sensitive information 一且泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 GB/T41578—2022 视性待遇等的个人信息。 ［来源：GB/T35273—20203.2] 3.4 安全重要参数 securityimportantparameter 与安全相关的信息，包含秘密密钥和私钥、口令之类的鉴别数据或其他密码相关参数的信息 ［来源：GB/T40861—2021,3.13] 3.5 充电系统对外通信 out-of-vehicle communication 充电系统与车辆外部的通信。 注：充电系统对外通信包括传导式充电方式的通信、非传导式充电方式的通信等。 3.6 充电系统对内通信in-vehiclecommunication 充电系统各控制器间及其与车辆内电子电气系统间的通信。 注：车内通信包括基于CAN、CAN-FD、LIN、以太网等的车辆内部通信。 3.7 可信根实体 entityof root of trust 用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存储、密码计算等服务的 功能模块 注：可信根实体包括TPCM、TCM、TPM等。 L来源：GB/T37935—2019，3.12 3.8 保密性 confidentiality 信息对未授权的个人、实体或过程不可用或不泄露的特征。 ［来源：GB/T29246—2017,2.12] 3.9 完整性 integrity 准确和完备的特性。 ［来源：GB/T29246—2017,2.40] 3.10 身份鉴别 authentication 身份确认，使数据处理系统能识别出实体的测试实施过程。 ［来源：GB/T5271.8—2001,08.04.12] 4缩略语 下列缩略语适用于本文件。 BGA：球栅阵列封装（BallGridArray) BMS：电池管理系统(BatteryManagementSystem) CAN：控制器局域网络（ControllerAreaNetwork） 2 GB/T41578—2022 CAN-FD：灵活数据速率的控制器局域网络（CANwithFlexibleData-rate） ECU：电子控制单元（ElectronicControlUnit) JTAG：联合测试工作组(JointTestActionGroup) LGA：平面网格阵列封装（LandGridArray） LIN：局域互联网络（LocalInterconnectNetwork） MCU：微控制单元（MicroControlUnit） OBC:车载充电机(On-board Charger) OTP：一次性可编程（OneTimeProgrammable) SPI：串行外设接口（SerialPeripheralInterface) TCM：可信密码模块（TrustedCryptographyModule) TPM：可信平台模块（TrustedPlatformModule） TPCM：可信平台控制模块（TrustedPlatformControlModule） USB：通用串行总线（UniversalSerialBus） UART：通用异步收发器（UniversalAsynchronousReceiver/Transmitter WPT：无线电能传输（WirelessPowerTransfer） 5充电系统信息安全技术要求 5.1概述 充电系统信息安全包括硬件安全、软件安全、数据安全和通信安全四部分。通信安全包括充电系统 对外通信安全和充电系统对内通信安全。对于受攻击有可能影响车辆或系统的风险，充电系统中与外 部充电装置直接进行通信的控制器需采取信息安全措施。 5.2 2硬件安全要求 系统硬件满足以下要求： a）充电系统所使用的关键芯片（例如MCU、加密芯片、通信芯片等），宜采取必要的保护措施（例 如采用BGA/LGA等封装的芯片）减少暴露管脚； b）充电系统调试接口应禁用或设置安全访问控制； c）充电系统的直流充电通信网络与车内网络应进行隔离。 5.3软件安全要求 5.3.1 安全启动 充电系统软件宜具备安全启动的功能，安全启动功能可通过可信根实体进行保护。充电系统的可 信根、引导程序（BootLoader程序）及系统固件应符合以下要求： a）不被篡改； b）若被篡改，充电系统无法正常启动。 5.3.2安全日志 充电系统宜具有安全日志功能并满足以下要求： 3 GB/T41578—2022 a) 充电系统有安全事件（例如通信认证失败、安全启动失败等）发生时，对相关信息进行记录； b）充电系统的安全日志中，至少包括触发日志的事件发生时间（绝对时间或相对时间）和事件 类型； c）充电系统对安全日志进行安全存储，防止日志在非物理破环攻击下被损毁及未授权的添加、访 问、修改和删除；安全日志可记录存储在充电系统内、其他ECU内或云端服务器内。 5.4数据安全要求 5.4.1数据完整性 充电系统应保护存储的重要数据的完整性，宜采用完整性校验机制或OTP设置等保护方法。 5.4.2数据保密性 充电系统应保护存储的重要数据的保密性，宜采用软件加密或硬件加密等保护方法。 5.5通信安全要求 5.5.1充电系统对外通信安全 5.5.1.1 通信连接安全 有无线充电功能、即插即充功能的充电系统应具有身份鉴别机制。 5.5.1.2通信传输安全 充电系统对外通信涉及重要数据传输时，应满足以下要求： a) 充电系统对重要数据的传输使用密文传输，按照6.4.1.2a）进行试验，保证该传输数据在被截 获后无法得到明文数据； b）充电系统对重要数据的传输采用完整性校验机制，按照6.4.1.2b)进行试验，充电系统对完整 性校验不通过的重要数据不响应； c）充电系统对重要数据的传输采用防重放机制，按照6.4.1.2c)进行试验，对于重放数据，充电系 统能识别到重要数据为非法的重放数据且不响应。 5.5.1.3通信接口安全 充电系统通信接口安全应满足以下要求： a) 通信接口具有通信指令安全性验证机制，按照6.4.1.3a）进行试验，不响应除GB/T27930规 定的充电协议和诊断协议及主机厂规定的协议之外的通信指令； b) 直流充电通信接口不对充电系统以及车内其他系统进行软件升级和软件标定等： c) 通信接口不具有访问车内通信总线数据的功能。 5.5.2充电系统对内通信安全 充电系统对内通信涉及重要数据传输时，应满足以下要求： a）充电系统传输的重要数据使用密文传输，按照6.4.2a)进行试验，保证该传输数据在被截获后 无法得到明文数据； 4