图1充电设备可信计算总体架构

?要水求如下 a）宜以适用于充电设备的可信平台控制模块为基础构建充电设备可信计算平台； 可信平台控制模块应是第一个上电运行的部件，并行于充电设备的处理器独立工作； 充电控制器等其他充电设备核心部件不具备改造条件时可通过可信计算平台实现安全可信认 证，其间通信协议可进行可信加固，确保通信安全。

密封圈标准6. 3 系统层引导可信

电动汽车充电设备系统层引导可信基本要求如下： 充电设备从上电开始宜建立以可信平台控制模块为信任根的信任链； 可信平台控制模块应主动度量操作系统引导代码和操作系统内核，实现可信引导

电动汽车充电设备应用层软件可信基本要求如下： ）可信软件基对业务程序进行静态可信度量和动态可信验证； ）业务程序本地和远程可信更新，避免被注入恶意程序或恶意破坏。

6.5充电设备可信接入

Q/GDW/Z 119762019

可信平台控制模块上电后进行初始化并进入正常工作模式，在异常时应进行告警，并在完成系 代码度量前限制充电设备的处理器工作

7. 1. 2 接口功能

充电设备可信平台控制模块接口功能特性如下： a）可信平台控制模块应为与充电设备的处理器独立的硬件模块； 可信平台控制模块应与充电设备的处理器部署于同一硬件主板上； 可信平台控制模块与充电设备的处理器间宜采用SPI、UART、IC、并行接口等多种通信方式； d 可信平台控制模块应通过GPIO控制充电设备的处理器的复位电路； e 在充电设备的处理器内运行程序不可信时可信平台控制模块应对处理器进行复位控制： f 可信平台控制模块应具有独立的配置接口，用于配置其内度量值、程序签名等关键信息

7. 1. 3 密码服务

信平合控制模块可由允电设备现

可信平台控制模块应将异常信息记录审计日志以方便查看和分析，审计日志的保留周期不低子 审计日志应保存在可信平台控制模块的非易失性存储区域，存储空间不低于1M

当访问可信平台控制模块时，应使用密码认证机制对用户身份进行鉴别，包括但不限于 a 密码认证机制最低应为用户名、口令验证等验证方式，可通过配置预先设定； 采用用户口令认证时，口令长度应不小于8位，为字母、数字、特殊字符的组合： C 用户口令应定期更换，限制用户口令的历史重复次数； d）应对连续登录失败达到指定次数的用户账号进行锁定，锁定时间由管理员设置

充电设备可信平台控制模块应对其内数据的获取和管理方式进行约束。包括但不限于： a）可信平台控制模块内数据应不能通过配置接口、通信命令以外的方式被获取； b）可信平台控制模块运行过程中产生的临时数据在失效后应及时清除。

充电设备可信平台控制模块应使 实现对外部攻击的防护。包括但不限于： a）防电磁泄漏：应采用电磁泄漏防护手段防止因电磁波干扰造成的可信平台控制模块信息泄漏 b）防高低压攻击：应采用电源检测手段防止高低压攻击造成的可信平台控制模块破坏； c）防高低频攻击：应采用频率检测手段防止 高低频攻击造成的可信平台控制模块破坏

充电设备可信平台控制模块应对其支持的算法以及存储空间和效率进行约束，包括但不限于： a）可信平台控制模块支持的SM3算法性能应不低于1Mbps； b）可信平台控制模块支持的SM1/SM4算法性能应不低于2.8MbpS； c）可信平台控制模块支持的SM2加解密算法性能应不低于0.38Mbps； d）可信平台控制模块内用于备份的受保护存储空间应不低于8M，通信速率不低于100Mbps。

充电设备主板在遵循Q/GDW11709.1一2017技术要求的前提下，宜满足适用可信平台控制模块的硬 件结构，具体硬件环境示例参见附录A

8. 1.1 可信引导

充电设备可信平台控制模块应提供对充电设备操作系统的可信引导功能，支持其信任链的建立过 具体要求如下： a）可信平台控制模块应在初始化完成后对充电设备操作系统引导程序进行可信度量，度量通过后 取消对充电设备的处理器的限制，允许其加载并运行操作系统引导程序； b 充电设备宜以可信平台控制模块为基础，采用链式逐级度量的方式建立系统信任链，其关键环 节包括但不限于BIOS、系统引导、操作系统内核、可信软件基等，在操作系统环境较为简化 的情况下，可采取可信平台控制模块星型度量方式，完成对上述所有环节的度量过程

8. 1. 2异常控制

当可信平台控制模块度量操作系统引导程序或操作系统内核失败时，可信平台控制模块应限制充电 设备的处理器运行，中断充电设备操作系统启动。

充电设备可信平台控制模块应支持对充电设备操作系统引导程序和内核内容及其基准值等信息进 厅备份并提供存储、更新能力，包括但不限于如下内容： a）可信平台控制模块应对充电设备操作系统引导程序进行备份并度量获取其可信基准值； b 可信平台控制模块宜对充电设备操作系统内核进行备份并度量获取其可信基准值： 备份的引导程序、系统内核及其可信基准值应存储在可信平台控制模块受保护的存储介质内； d 当引导程序、系统内核因正常业务需求进行变更时，应通过可信平台控制模块独立的配置接口 对其可信基准值进行更新，并应重新备份对应的操作系统引导程序及内核文件。

当可信平台控制模块度量操作系统引导程序或操作系统内核失败时，可信平台控制模块应基于可信 备份内容进行可信恢复，将系统引导程序或内核文件恢复到可信基准值对应的状态。

充电设备操作系统可信引导的度量运算性能应不低于800Kbps

Q/GDW/Z119762019

充电设备系统层引导可信对充电设备操作系统厂商及其提供的操作系统源生环境要求如下： 充电设备生产厂商宜提供充电设备操作系统引导程序的开发编译环境，可信度量代码需编译到 操作系统引导程序最前端才能够实现可信引导功能； 充电设备生产厂商可通过第三方检测机构的代码安全测试或其他安全测试手段确保其充电设 备操作系统的代码安全，代码安全包括但不限于不包含恶意代码和恶意后门等，

充电设备可信软件基自身运行于操作系统内核层，其主要完成对充电设备系统文件及充电设备业务 程序的度量和保护。充电设备可信软件基应具有可信校验、可信度量、可信保护、可信版本管理、可信 网络连接、强制访问控制、关键配置核查、平台自保护、可信审计、业务程序管理等功能，具体如下： a 可信校验：对充电设备业务程序和操作系统文件度量值进行判定，完成完整性校验； 6 可信度量：在充电设备业务程序启动时对其进行度量，未通过度量程序无法运行； C 可信保护：对充电设备业务程序和操作系统文件进行完整性保护，受保护对象无法被篡改； d 可信版本管理：在不改变现有运维流程的基础上实现对业务程序研发安全管控，实现对程序来 源可信性、检测和现场应用版本一致性的保证； e 可信网络连接：提供充电设备操作系统本地防火墙可信配置策略，并基于该策略对数据包进行 过滤，主动阻断违规的网络连接： 强制访问控制：构建适用于充电设备的强制访问控制模型，约束进程对文件的访问和操作； g 关键配置核查：提供对充电设备关键账户、服务等配置项的核查，包括但不限于弱口令检查等： h） 平台自保护：对可信软件基自身进行度量和保护，受保护对象无法被停用、卸载或旁路； 1 可信审计：对违反完整性度量和保护策略的操作进行审计，记录审计信息并告警； 策略管理：提供充电设备本地和平台集中两种策略管理方式，可以通过远程的平台级安全管理

9.1.2静态可信度量

充电设备操作系统内核加载后，宜由可信软件基在可信平台控制模块的支撑下对充电设备可执 进行加载时的主动静态度量，在检测到其可信性受到破坏后拒绝可执行程序加载并进行告警。

9.1.3动态可信验证

环节，包括但不限于程序在内存中的可执 代码段、只读数据段及内存映射进行动态可信验证 到其可信性受到破坏后停止可执行程序运行并进行报警

9.1.4程序可信更新

Q/GDW/Z 119762019

可信软件基应具有对充电设备可执行程序及其完整性校验值的更新接口，在可信的充电设备中，全 部可执行程序的增加和修改都宜通过此更新接口进行，具体要求如下： a）充电设备可执行程序可信更新应支持设备本地更新和平台远程更新两种方式； 充电设备可执行程序本地更新，由业务人员在确认待更新程序可信后通过可信软件基的更新接 口将待更新程序于充电设备本地进行替换； 充电设备可执行程序远程更新，由车联网运营服务平台的服务器端通过网络将待更新程序下发 到充电设备中，由可信软件基更新接口对下发的业务程序进行可信验证，验证成功后通过可信 软件基的更新接口将待更新业务程序进行替换

可信软件基的资源占用率及美 程序的启动时间影响应满足如下要求： a）可信软件基对可执行程序的主动静态度量对单个程序启动时间延迟应小于1秒； b）可信软件基运行时占用系统CPU及内存空间应小于10%

充电设备可执行程序宜在部署时通过第三方检测机构的安全检测保证其初态安全，不包 码，不包含恶意后门。

备可执行程序宜在部署时通过第三方检测机构的安全检测保证其初态安全，不包含恶意代 恶意后门。

充电设备接入运营服务平台时，可通过身份认证、可信接入通道、数据加密在线状态及访问控制等 昔施满足可信接入要求，包括但不限于： a） 充电设备宜具备向其车联网运营服务平台证明其身份、计算环境和运行状态是否可信的能力； b 充电设备与车联网运营服务平台建立通信连接时，充电设备宜通过安全芯片、加密设备等向车 联网运营服务平台认证合法性： C 充电设备接入车联网运营服务平台时宜建立可信网络连接机制： d） 充电设备在与车联网运营服务平台通信过程中宜通过安全芯片、加密设备等对通信数据进行加 密； e 充电设备接入车联网运营服务平台后，其在线状态和安全状态宜可以被车联网运营服务平台获 取并进行监视，异常情况下可进行告警； 可在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除充许通信外受控 接口拒绝所有通信。

Q/GDW/Z119762019

附录A （资料性附录） 充电设备可信硬件结构示例 充电设备可信硬件结构如图A.1所示，具体设计如下： a）可信平台控制模块4路SPIO与充电设备的处理器通信，行使嵌入式安全控制模块密码服务功能： b）可信平台控制模块4路SPI1与充电设备的处理器通信，行使系统引导可信过程相关功能； C）可信平台控制模块采用GPIO接口的电平复位功能对充电设备的处理器行使复位控制的限制能 力； d）充电设备应用可信硬件的主板接插件需按照可信平台控制模块的管脚定义及尺寸要求设计。

图A.1充电设备可信硬件结构示意图

Q/GDW/Z119762019

电动汽车充电设备可信计算技术规范

Q/GDW/Z119762019

编制主要原则。 与其他标准文件的关系.. 主要工作过程. 标准结构和内容. 条文说明..

主要原则， 也标准文件的关系.. 吉构和内容..

Q/GDW/Z119762019

本指导性技术文件依据《国家电网有限公司关于下达2018年度公司第2批技术标准制修订计划的通 知》（国家电网科（2018）1011号）的要求编写。 本指导性技术文件编制背景是能源消费革命促进电动汽车的快速发展，国家层面大力推动电动汽车 的发展及其充电设备的建设，随着充电设备建设规模的不断增大，其安全问题的影响范围也不断增大给水标准规范范本， 旦并没有相关的技术规范对设备本体安全防护手段进行要求，且目前充电设备的生产商较多，函需制定 相关规范规定电动汽车充电设备的可信计算技术和管理的行为和手段。 本指导性技术文件主要编制目的是为规范接入公司车联网运营服务平台的电动汽车充电设备可信 计算技术架构和技术要求，指导电动汽车充电设备可信计算安全防护功能的研发、运维工作制定本标准。

本指导性技术文件根据以下原则编制： a 遵循企业标准不低于国家标准的原则，充分考虑国家电网有限公司业务系统特性及安全需求， 适应公司信息化发展对可信计算技术的要求。 6 遵循已有的国家、行业相关标准，符合公司终端安全相关要求，推动公司电动汽车充电设备 等嵌入式现场智能终端可信计算防护技术发展，

3与其他标准文件的关系

本指导性技术文件与相关技术领域的国家现行法律、法规和政策保证一致。 本指导性技术文件不涉及专利、软件著作权等知识产权问题。 本指导性技术文件中需要公开的产品、服务的功能指标和产品的性能指标未包含专利，未涉密及 商业秘密、技术秘密、信息安全。

本指导性技术文件按照《国家电网有限公司技术标准管理办法》（国家电网企管（2018） 的要求编写。 本指导性技术文件的主要结构和内容如下：

水利施工组织设计 Q/GDW/Z119762019

本指导性技术文件主题章分为6章：总体要求、技术架构、硬件层结构可信、系统层引导可信、应 用层软件可信、充电设备可信接入。 本指导性技术文件的设计思路首先明确标准的应用范围是指导电动汽车充电设备可信计算技术的 研发与应用，明确标准的对象是充电设备内负责计量控制功能的计费控制单元和具备相近计算能力的充 电控制器。在此基础上，首先设计了充电设备应用可信计算技术的总体架构，并明确了技术架构各层之 间的关系以及架构与后文主题章节的对应关系；其次，根据总体架构明确了充电设备应用可信计算技术 时从硬件层、系统层、应用层各个层面需要做的具体功能改造，设计了可信平台控制模块和可信软件基 两大核心部件，分析了充电设备应用可信计算技术时的相关性能、环境条件并提出了要求；最后，明确 了充电设备接入车联网运营服务平台所应达到的可信接入要求。 本指导性技术文件的应用方式是参照附录A的硬件结构示例，完成充电设备硬件主板改造，嵌入参 照标准主题章第7章设计实现的可信平台控制模块完成对充电设备的处理器的复位控制及其两者间的通 言交互；在此基础上，在可信平台控制模块的支撑下，完成参照标准主题章第8章的系统层引导可信设 计研发，完成参照标准主题章第9章应用层软件可信的9.1.1节可信软件基的设计研发，建立信任链，完 成对充电设备操作系统和业务程序的度量和保护；在上述技术能力的支撑下，参照标准主题章第10章充 电设备可信接入的要求，设计充电设备接入车联网运营服务平台的身份、状态、通道等可信接入机制， 综上实现充电桩的可信计算技术应用