IEC TR 63167 — 电动汽车充电基础设施网络安全要求

一、IEC TR 63167 概述

IEC TR 63167 是一份专门针对电动汽车充电基础设施网络安全需求的技术报告。随着全球电动汽车充电站的快速部署，这些联网系统成为网络攻击的诱人目标——攻击可能扰乱电网运行、泄露用户数据，甚至造成物理损坏。本技术报告建立了一个结构化框架，用于识别网络安全威胁、评估风险并实施涵盖整个电动汽车充电生态系统的保护措施。

IEC TR 63167 与更广泛的 IEC 62443 系列工业通信网络安全标准保持一致，将其原则应用于电动汽车充电基础设施这一独特的运行环境，其中安全性、可用性和数据完整性至关重要。

二、威胁态势与安全架构

2.1 攻击面分析

现代电动汽车充电站是复杂的网络物理系统，集成了支付处理、远程监控、空中固件更新和电网通信接口等功能。每个功能层面都存在不同的漏洞。攻击面涵盖物理端口（USB、RFID读卡器）、网络接口（Wi-Fi、蜂窝网络、以太网）、后端云平台以及电动汽车与充电站之间的通信链路（PLC ISO 15118）。被攻破的充电站可能被用作武器，通过负载操纵对电网发起协同攻击。

电动汽车充电基础设施中信息技术与操作技术的融合带来了独特的安全挑战。IT支付系统的漏洞可能级联影响到控制充电电流的OT系统，进而导致电网不稳定。

2.2 安全控制框架

IEC TR 63167 将安全控制分为五个领域：认证与授权、数据加密、网络分段、事件响应和供应链安全。该报告强调纵深防御原则，要求设置多个独立的保护层。在认证方面，它要求充电站与后端系统之间采用双向TLS认证，以及基于ISO 15118即插即充加密证书的电动汽车与充电桩认证。所有外部通信的数据传输加密必须使用TLS 1.3，而静态敏感数据必须通过硬件安全模块进行保护。

安全领域	控制措施	实施要求
认证	双向TLS + PKI证书	X.509 v3证书，2048位RSA或ECC P-384
加密	传输中数据TLS 1.3加密	AEAD密码套件（AES-256-GCM或ChaCha20-Poly1305）
网络安全	VLAN分段 + 防火墙	OT、IT和访客网络分别使用独立VLAN
事件响应	自动化异常检测	基于机器学习的行为分析，检测延迟小于5分钟
供应链	安全启动 + 签名固件	基于TPM 2.0的硬件信任根

三、工程设计见解

从工程角度来看，实施IEC TR 63167要求在安全严谨性与运行性能之间进行仔细的权衡分析。一个关键的设计考量是选择能够在安全强度与嵌入式充电站控制器的计算约束之间取得平衡的加密算法。应在架构设计阶段优先考虑密码学操作的硬件加速，而非事后改造。另一个关键见解是，安全启动链必须从引导加载程序延伸到操作系统内核再到应用层，每个阶段在执之前对下一阶段进行加密验证。工程师还应设计支持回滚保护和原子更新操作的安全固件更新机制，以防止更新失败时设备变砖。

在设计阶段使用专用安全元件（如TPM 2.0或Infineon OPTIGA）实现硬件信任根，比事后添加安全功能要经济有效得多。这一架构决策可同时满足IEC TR 63167的多项要求。

四、常见问题解答

问1：IEC TR 63167 与 ISO 15118 有何关联？
答：ISO 15118 定义了电动汽车与充电站之间的通信协议（包括即插即充安全机制），而 IEC TR 63167 则涵盖了整个充电基础设施的广泛网络安全架构，包括后端系统、网络基础设施和物理安全。

问2：对现有充电站的改造有何建议？
答：对于已安装的设施，IEC TR 63167 建议采用基于风险的分阶段方法，从网络分段和加密开始，然后在定期维护周期内逐步完成固件加固和访问控制升级。

问3：空中固件更新是否有特定要求？
答：是的，报告要求使用代码签名证书对固件映像进行签名、进行安全启动验证、实施回滚保护机制以及原子更新程序，以确保即使更新在中途失败，设备仍可正常运行。

问4：应监控哪些关键绩效指标来评估网络安全有效性？
答：建议的KPI包括平均异常检测时间、补丁部署延迟、30天内安全证书过期的设备百分比、以及每个充电站每天被拦截的入侵尝试次数。