葉瓊瑜，張 倩，忻奕敏

(上海電器科學研究所(集團)有限公司，上海 200063)

0 引言

近年來，國家和政府持續(xù)推行綠色出行理念，推動新能源汽車進入高速發(fā)展新階段。汽車產(chǎn)業(yè)也迎來集智能、網(wǎng)聯(lián)、電驅(qū)動、共享于一體的轉(zhuǎn)型升級階段。作為新能源汽車能量補充的主要途徑，充電樁成為關鍵技術(shù)載體。新能源汽車充電樁將電網(wǎng)電能轉(zhuǎn)化為電動汽車車載蓄電池電能，不僅可以有效促進新能源汽車產(chǎn)業(yè)發(fā)展，而且作為“信息樁”“數(shù)據(jù)樁”和“網(wǎng)聯(lián)樁”，加速我國社會信息化、數(shù)字化轉(zhuǎn)型步伐，推動經(jīng)濟穩(wěn)定、快速發(fā)展[1]。

充電系統(tǒng)是充電數(shù)據(jù)產(chǎn)生的主要場所，而充電數(shù)據(jù)是充電運營系統(tǒng)中傳輸?shù)闹匾畔?。信息的安全與正確是保證充電樁正常、穩(wěn)定運營的基礎。

在工業(yè)互聯(lián)網(wǎng)的背景下，充電運營平臺成為工業(yè)網(wǎng)絡的一部分。充電運營是一項復雜的系統(tǒng)工程，結(jié)合標準T/CEC 208—2019《電動汽車充電設施信息安全技術(shù)規(guī)范》對充電設施信息安全所規(guī)定的內(nèi)容，充電樁涉及的安全主要包括運營平臺安全、充電設備安全、移動智能終端安全和接口安全四部分[2]。以上四個部分都是在保障信息安全，防止個人及業(yè)務信息泄漏、被盜取、篡改或受到惡意攻擊造成系統(tǒng)癱瘓。

1 充電樁的運營與功能

1.1 充電樁的運營情況

充電樁主要安裝在住戶區(qū)、公共服務區(qū)、大型商業(yè)區(qū)以及停車場等場所。充電樁由電動車主機廠或?qū)I(yè)化樁企運營。部分主機廠為了保證服務質(zhì)量、改善消費者體驗感受、維護品牌形象等，選擇自主研發(fā)、制造充電樁，典型代表如特斯拉、蔚來等。

充電樁經(jīng)營模式主要分兩類，分別為互聯(lián)網(wǎng)模式及互聯(lián)網(wǎng)+硬件設施模式。互聯(lián)網(wǎng)模式下，經(jīng)營主體的主要職能包括第三方硬件設施購買、充電樁建設安裝和充電樁線上應用(application,APP)管理運營。互聯(lián)網(wǎng)+硬件設施模式增加了底層生產(chǎn)企業(yè)。該模式有利于最大化實現(xiàn)硬件與軟件的協(xié)調(diào)統(tǒng)一，能夠掌握硬件設施的技術(shù)標準體系，并通過銷售充電樁硬件實現(xiàn)盈利[3]。

1.2 充電樁的系統(tǒng)架構(gòu)及功能

智能充電樁的硬件系統(tǒng)主要組成部分為中央主控板、4G或Wi-Fi通信模塊、檢測芯片、顯示裝置、IC 讀卡器、監(jiān)控裝置等[4]。硬件系統(tǒng)主要實現(xiàn)充電樁的基本功能，包括啟動、運行、監(jiān)控等。軟件系統(tǒng)的作用同樣重要。其將充電樁內(nèi)部的所有功能模塊有效結(jié)合起來，協(xié)助各模塊功能相互配合，從而順利、高效地完成充電工作。

電動汽車充電設施信息交換基礎架構(gòu)[5]如圖1所示。

圖1 電動汽車充電設施信息交換基礎架構(gòu)

智能充電樁的信息服務系統(tǒng)作為應用系統(tǒng)，主要作用是處理電動汽車充電服務信息。該系統(tǒng)是充電運行網(wǎng)絡中的主要服務單元。信息服務系統(tǒng)包括三大部分，分別為平臺系統(tǒng)、設備系統(tǒng)和終端系統(tǒng)。平臺系統(tǒng)的主要功能包括聯(lián)網(wǎng)監(jiān)測、運行管理、客戶服務和計費財務管理等。設備系統(tǒng)的主要功能包括身份認證和權(quán)限劃分、充電、聯(lián)網(wǎng)通信、故障監(jiān)控。終端系統(tǒng)的主要功能包括用戶獲得充電服務、啟停充電、服務交易與計費支付。不同的信息系統(tǒng)通過設置相應的通信接口進行數(shù)據(jù)交換，從而完成充電業(yè)務協(xié)同。

基于以上架構(gòu)，電動汽車充電設施的信息安全防護對象主要分為實體和接口兩種類型。實體指充電設施中的充電設備、運營平臺以及移動智能終端。接口一般包括充電設備和運營平臺之間的接口、運營平臺與移動智能終端之間的接口、充電設備與移動智能終端之間的接口，以及運營平臺與其他平臺之間的接口。對于分布式電動汽車充電樁而言，其主要面臨的威脅是信息被竊取的威脅。通常情況下，各類非法人員會通過抓包、竊聽等措施獲得一些用戶的隱私信息，如用戶手機號、密碼、賬戶金額等，或者通過對系統(tǒng)進行惡意攻擊得到信息[6]。

2 實體安全

2.1 運營平臺安全

運營平臺安全要求主要分為系統(tǒng)安全防護、網(wǎng)絡安全防護、基礎軟件安全防護以及業(yè)務系統(tǒng)安全防護四類。

在系統(tǒng)安全防護方面，主要考察運營平臺配置情況，包括硬件配置、網(wǎng)絡及安全設備配置等。例如，系統(tǒng)應保證業(yè)務連續(xù)性，也就是要避免因硬件單節(jié)點故障或單網(wǎng)絡鏈路中斷而導致業(yè)務中斷。為此，系統(tǒng)在配置時應具備至少雙節(jié)點的冗余配置；服務器主機使用雙機配置；網(wǎng)絡接入采用至少雙鏈路的接入方式；網(wǎng)絡及安全設備配置為雙節(jié)點的方式等。此外，數(shù)據(jù)應進行分級、分類。平臺應建立完善的存儲備份策略，保證數(shù)據(jù)存儲安全。

在網(wǎng)絡安全防護方面，網(wǎng)絡通信的出入口訪問和各業(yè)務系統(tǒng)的服務器和數(shù)據(jù)庫應通過有效的技術(shù)手段進行隔離或控制，如：增加安全防護設備；對外通信的服務器可配置在隔離區(qū)(demilitarized zone,DMZ)；數(shù)據(jù)庫、重點業(yè)務區(qū)及內(nèi)網(wǎng)服務器主機應部署在內(nèi)網(wǎng)區(qū)域；普通辦公網(wǎng)絡與數(shù)據(jù)中心區(qū)相隔離。此外，平臺還應建立完善的平臺分配機制和安全審計機制，具體權(quán)限包括人員、應用、平臺和接口訪問等；同時，安全審計日志須定期備份。

針對基礎軟件安全防護，操作系統(tǒng)應保證定期進行漏洞掃描、補丁更新，并且配置安全防御系統(tǒng)，如入侵防御系統(tǒng)(intrusion prevention system, IPS)等，對非法入侵、惡意代碼進行防范和記錄?；A軟件應具備嚴格的身份認證機制。服務器硬盤應通過人為查看或統(tǒng)一運維平臺等方式進行監(jiān)控。

業(yè)務系統(tǒng)安全防護主要考慮業(yè)務運營以及相關業(yè)務數(shù)據(jù)的安全。首先，為了避免因單節(jié)點故障而導致的業(yè)務軟件崩潰，在不同的服務器上應部署至少兩套軟件。其次，必須保證業(yè)務軟件在數(shù)據(jù)交互過程中的數(shù)據(jù)保密性和有效性。重點數(shù)據(jù)應進行脫敏以及加密處理，在交互中使用散列算法、數(shù)字簽名、證書等數(shù)據(jù)校驗機制。業(yè)務系統(tǒng)和其他系統(tǒng)一樣，須定期進行漏洞掃描和挖掘，并具備相應的補丁策略。業(yè)務數(shù)據(jù)備份機制也是企業(yè)必須考慮的重點。

2.2 充電設備安全

充電設備安全包括物理安全、數(shù)據(jù)安全和控制安全三部分。

首先，充電設備應保證外殼封閉無外露接口，非專業(yè)人員不可輕易將機殼拆開，否則存在數(shù)據(jù)被還原的風險。設備內(nèi)部的4G或藍牙通信模塊應具有唯一的標志碼，如國際移動設備識別碼(international mobile equipment identity,IMEI)等，以防被替換。

本地數(shù)據(jù)應存儲在外部Flash中，并采取強加密算法進行加密。目前，其主要采用高級加密標準(advanced encryption standard，AES)、三重數(shù)據(jù)加密標準(triple data encryption standard，3DES)、國際數(shù)據(jù)加密算法(international data encryption algorithm,IDEA)等類型的對稱加密算法。其中，AES算法運算速度較快，對內(nèi)存的需求較低，具有更好的靈活性和安全性。AES為分組密碼，也就是把明文分成許多長度相同的小組，每次對一組數(shù)據(jù)加密，直到加密完所有明文。AES算法中的明文分組長度為128位。密鑰長度能設為128位、192位、256位。依照密鑰長度大小差異性，AES能有效命名為AES-128、AES-192、AES-256[7]。

目前，大部分充電樁都采用空中下載技術(shù)(over-the-air technology,OTA)升級，少部分采用離線升級，由區(qū)域管理員線下進行。分布式電動汽車充電樁在運行中較多使用基于4G公網(wǎng)的無線通信。因此，破壞充電樁周圍的通信基站也可實現(xiàn)攻擊的目的[8]。在升級過程中需要格外注意信息安全問題。首先，必須由經(jīng)過授權(quán)的管理員登錄平臺端進行升級、管理和調(diào)試。升級包下發(fā)一般應采用較安全的文件傳輸協(xié)議，如安全文件傳送協(xié)議(secure file transfer protocol, SFTP)或安全外殼協(xié)議(secure shell,SSH)等。普通的FTP協(xié)議不能保證升級包傳輸?shù)陌踩?。充電樁在接收到升級包后，需要對軟件進行認證和完整性校驗，且應具備安全免疫機制，主動對未知代碼執(zhí)行進行阻斷。充電樁內(nèi)部的操作系統(tǒng)一般應采用標準操作系統(tǒng)，以保證代碼不會輕易故障。目前，大部分公司采用嵌入式實時操作系統(tǒng)FreeRTOS作為充電樁內(nèi)部的操作系統(tǒng)，同時可考慮采取一些額外的加固措施。

充電樁與運營平臺進行數(shù)據(jù)交互時，要保證數(shù)據(jù)的完整性和保密性。通信過程首先要具有準入與措施，如采用802.1x協(xié)議等方式，并且采用端口默認關閉策略，關閉非系統(tǒng)運行和維護所必需的網(wǎng)絡端口。一般系統(tǒng)運行時開放一個端口，升級時開放另一個端口；或者運行和升級采用同一個端口。數(shù)據(jù)在傳輸?shù)倪^程中一定要對數(shù)據(jù)有效性和完整性進行校驗。對此，可在通信協(xié)議的報文格式里增加校驗位對完整性進行校驗。同時，為了保證數(shù)據(jù)傳輸?shù)谋Ｃ苄裕上炔捎脤ΨQ加密算法加密傳輸數(shù)據(jù)，再用非對稱算法加密隨機生成的密鑰。若在數(shù)據(jù)傳輸時采用數(shù)字證書或數(shù)字簽名，即可同時保證數(shù)據(jù)的有效性、完整性和保密性。

一般充電樁都具有存儲審計記錄的功能。審計日志不僅在本地存儲，還應按照一定頻率備份到云平臺。所有審計日志只能由經(jīng)過授權(quán)的人員查看，且都不可刪除或修改。一般情況下，審計日志需包含運行日志、操作日志、登錄日志、故障日志等。

2.3 智能移動終端安全

隨著手機智能程度的提高，以及4G、5G通信技術(shù)的快速迭代和發(fā)展，人們已快步邁向移動互聯(lián)網(wǎng)時代。據(jù)統(tǒng)計，我國手機用戶平均每天使用手機3.9小時，充分體現(xiàn)了現(xiàn)代社會人們對手機的依賴。 然而，在享受移動互聯(lián)網(wǎng)時代帶來的各種便利的同時，人們也不得不面對其伴隨的嚴重的個人信息安全隱患, 手機APP個人信息安全問題不容小覷[9]。

目前，用戶啟動充電樁的方式主要分為三類，分別是刷卡充電、APP啟動或微信小程序啟動充電。其中，APP作為手機應用軟件，開發(fā)過程可能存在較多漏洞，具有較高的信息安全風險。

APP應遵循最小安裝方式，禁止一切非功能說明文檔中的功能，尤其是涉及到用戶隱私的功能。安裝時，APP也不允許捆綁下載和安裝非用戶授權(quán)的其他應用軟件；卸載時，同樣不得有相關文件殘留。安裝包須具有證明開發(fā)者身份的簽名信息，并且在升級過程中對升級包進行校驗。

APP在使用過程中必須進行身份認證。所有的訪問、訂購業(yè)務和對數(shù)據(jù)進行的操作都必須經(jīng)過用戶授權(quán)。審計日志和數(shù)據(jù)加密存儲在本地，并按照一定頻率備份到云平臺。此外，與平臺進行數(shù)據(jù)交互也要保證完整性和保密性。

針對APP代碼本身，應定期進行漏洞管理，防止日志泄漏和代碼被反編譯。

3 接口安全

電動汽車和電網(wǎng)間的能量與數(shù)據(jù)交互可以通過一種新技術(shù)實現(xiàn)，即常說的電動汽車與電網(wǎng)(vehicle-to-grid，V2G)交互技術(shù)。智能交通系統(tǒng)為行駛狀態(tài)下的電動汽車參與V2G提供了通信環(huán)境支撐[10]。信息交互離不開接口的連接。充電樁在運營過程中的接口安全涉及以下幾個類型：充電設備和運營平臺之間的接口、運營平臺之間的接口、以移動智能終端作為認證接口、以智能卡作為認證接口。

充電設備和運營平臺之間的接口在充電設備安全部分已經(jīng)提及。充電樁與運營平臺通信要具備準入措施，包括對運營平臺下發(fā)的各種指令進行安全性和完整性鑒別。數(shù)據(jù)傳輸過程中的保密性同樣在設備安全中已提及。需額外考慮的是：在網(wǎng)絡癱瘓的情況下，充電設備要采用備用充電方案保證充電正常運行；網(wǎng)絡恢復后，要及時上傳網(wǎng)絡異常記錄。

部分充電樁企業(yè)除了自行搭建的充電樁管理平臺，還租用或采用其他云平臺進行業(yè)務運營。兩個平臺之間的通信應具備安全保護措施。具體措施一般包括多因子認證、IP訪問控制、數(shù)據(jù)加密、數(shù)字簽名和重發(fā)機制等。

以移動智能終端作為認證接口時，設備上的二維碼要進行安全防護，具體措施包括編碼之前加密等。通過APP智能終端或微信小程序掃碼，或通過藍牙連接進行充電時，必須接入后臺進行信息交換，并且獲得準確的認證反饋。APP與運維平臺通信必須建立安全通信通道。認證和信息交換過程中應采用安全的傳輸方式，對交易數(shù)據(jù)進行安全保護。

以智能卡作為認證接口，發(fā)卡機構(gòu)要建立可靠、完善的密鑰管理制度。充電設備必須具有認證措施，防止非授權(quán)卡啟動充電樁。

4 結(jié)論

本文通過分析分布式充電樁并結(jié)合相關標準的解讀，研究了分布式電動汽車充電樁在信息安全方面面臨的威脅。若充電樁或運營平臺被非法用戶攻擊，有可能造成企業(yè)財產(chǎn)損失、隱私數(shù)據(jù)泄漏的危險。各樁企當前要重視加強防控，為長期穩(wěn)定發(fā)展打下基礎。充電樁涉及的信息安全問題較為分散。為了保障充電樁在運營過程中的可靠性，本文建議充電樁企業(yè)在設計階段就將信息安全作為重點考慮對象。

新能源汽車是可持續(xù)發(fā)展的重要一環(huán)，也是我國當前大力推動的綠色出行的重要載體，當前要注重以技術(shù)推動綠色轉(zhuǎn)型，提升充電設施智能化發(fā)展水平，為充電設施更為穩(wěn)定地運行提供環(huán)境。