工業(yè)互聯(lián)網(wǎng)環(huán)境下的充電樁信息安全需求研究

葉瓊瑜，張 倩，忻奕敏

(上海電器科學(xué)研究所(集團)有限公司，上海 200063)

0 引言

近年來，國家和政府持續(xù)推行綠色出行理念，推動新能源汽車進入高速發(fā)展新階段。汽車產(chǎn)業(yè)也迎來集智能、網(wǎng)聯(lián)、電驅(qū)動、共享于一體的轉(zhuǎn)型升級階段。作為新能源汽車能量補充的主要途徑，充電樁成為關(guān)鍵技術(shù)載體。新能源汽車充電樁將電網(wǎng)電能轉(zhuǎn)化為電動汽車車載蓄電池電能，不僅可以有效促進新能源汽車產(chǎn)業(yè)發(fā)展，而且作為“信息樁”“數(shù)據(jù)樁”和“網(wǎng)聯(lián)樁”，加速我國社會信息化、數(shù)字化轉(zhuǎn)型步伐，推動經(jīng)濟穩(wěn)定、快速發(fā)展[1]。

充電系統(tǒng)是充電數(shù)據(jù)產(chǎn)生的主要場所，而充電數(shù)據(jù)是充電運營系統(tǒng)中傳輸?shù)闹匾畔?。信息的安全與正確是保證充電樁正常、穩(wěn)定運營的基礎(chǔ)。

在工業(yè)互聯(lián)網(wǎng)的背景下，充電運營平臺成為工業(yè)網(wǎng)絡(luò)的一部分。充電運營是一項復(fù)雜的系統(tǒng)工程，結(jié)合標(biāo)準(zhǔn)T/CEC 208—2019《電動汽車充電設(shè)施信息安全技術(shù)規(guī)范》對充電設(shè)施信息安全所規(guī)定的內(nèi)容，充電樁涉及的安全主要包括運營平臺安全、充電設(shè)備安全、移動智能終端安全和接口安全四部分[2]。以上四個部分都是在保障信息安全，防止個人及業(yè)務(wù)信息泄漏、被盜取、篡改或受到惡意攻擊造成系統(tǒng)癱瘓。

1 充電樁的運營與功能

1.1 充電樁的運營情況

充電樁主要安裝在住戶區(qū)、公共服務(wù)區(qū)、大型商業(yè)區(qū)以及停車場等場所。充電樁由電動車主機廠或?qū)I(yè)化樁企運營。部分主機廠為了保證服務(wù)質(zhì)量、改善消費者體驗感受、維護品牌形象等，選擇自主研發(fā)、制造充電樁，典型代表如特斯拉、蔚來等。

充電樁經(jīng)營模式主要分兩類，分別為互聯(lián)網(wǎng)模式及互聯(lián)網(wǎng)+硬件設(shè)施模式?；ヂ?lián)網(wǎng)模式下，經(jīng)營主體的主要職能包括第三方硬件設(shè)施購買、充電樁建設(shè)安裝和充電樁線上應(yīng)用(application,APP)管理運營?；ヂ?lián)網(wǎng)+硬件設(shè)施模式增加了底層生產(chǎn)企業(yè)。該模式有利于最大化實現(xiàn)硬件與軟件的協(xié)調(diào)統(tǒng)一，能夠掌握硬件設(shè)施的技術(shù)標(biāo)準(zhǔn)體系，并通過銷售充電樁硬件實現(xiàn)盈利[3]。

1.2 充電樁的系統(tǒng)架構(gòu)及功能

智能充電樁的硬件系統(tǒng)主要組成部分為中央主控板、4G或Wi-Fi通信模塊、檢測芯片、顯示裝置、IC 讀卡器、監(jiān)控裝置等[4]。硬件系統(tǒng)主要實現(xiàn)充電樁的基本功能，包括啟動、運行、監(jiān)控等。軟件系統(tǒng)的作用同樣重要。其將充電樁內(nèi)部的所有功能模塊有效結(jié)合起來，協(xié)助各模塊功能相互配合，從而順利、高效地完成充電工作。

電動汽車充電設(shè)施信息交換基礎(chǔ)架構(gòu)[5]如圖1所示。

圖1 電動汽車充電設(shè)施信息交換基礎(chǔ)架構(gòu)

智能充電樁的信息服務(wù)系統(tǒng)作為應(yīng)用系統(tǒng)，主要作用是處理電動汽車充電服務(wù)信息。該系統(tǒng)是充電運行網(wǎng)絡(luò)中的主要服務(wù)單元。信息服務(wù)系統(tǒng)包括三大部分，分別為平臺系統(tǒng)、設(shè)備系統(tǒng)和終端系統(tǒng)。平臺系統(tǒng)的主要功能包括聯(lián)網(wǎng)監(jiān)測、運行管理、客戶服務(wù)和計費財務(wù)管理等。設(shè)備系統(tǒng)的主要功能包括身份認證和權(quán)限劃分、充電、聯(lián)網(wǎng)通信、故障監(jiān)控。終端系統(tǒng)的主要功能包括用戶獲得充電服務(wù)、啟停充電、服務(wù)交易與計費支付。不同的信息系統(tǒng)通過設(shè)置相應(yīng)的通信接口進行數(shù)據(jù)交換，從而完成充電業(yè)務(wù)協(xié)同。

基于以上架構(gòu)，電動汽車充電設(shè)施的信息安全防護對象主要分為實體和接口兩種類型。實體指充電設(shè)施中的充電設(shè)備、運營平臺以及移動智能終端。接口一般包括充電設(shè)備和運營平臺之間的接口、運營平臺與移動智能終端之間的接口、充電設(shè)備與移動智能終端之間的接口，以及運營平臺與其他平臺之間的接口。對于分布式電動汽車充電樁而言，其主要面臨的威脅是信息被竊取的威脅。通常情況下，各類非法人員會通過抓包、竊聽等措施獲得一些用戶的隱私信息，如用戶手機號、密碼、賬戶金額等，或者通過對系統(tǒng)進行惡意攻擊得到信息[6]。

2 實體安全

2.1 運營平臺安全

運營平臺安全要求主要分為系統(tǒng)安全防護、網(wǎng)絡(luò)安全防護、基礎(chǔ)軟件安全防護以及業(yè)務(wù)系統(tǒng)安全防護四類。

在系統(tǒng)安全防護方面，主要考察運營平臺配置情況，包括硬件配置、網(wǎng)絡(luò)及安全設(shè)備配置等。例如，系統(tǒng)應(yīng)保證業(yè)務(wù)連續(xù)性，也就是要避免因硬件單節(jié)點故障或單網(wǎng)絡(luò)鏈路中斷而導(dǎo)致業(yè)務(wù)中斷。為此，系統(tǒng)在配置時應(yīng)具備至少雙節(jié)點的冗余配置；服務(wù)器主機使用雙機配置；網(wǎng)絡(luò)接入采用至少雙鏈路的接入方式；網(wǎng)絡(luò)及安全設(shè)備配置為雙節(jié)點的方式等。此外，數(shù)據(jù)應(yīng)進行分級、分類。平臺應(yīng)建立完善的存儲備份策略，保證數(shù)據(jù)存儲安全。

在網(wǎng)絡(luò)安全防護方面，網(wǎng)絡(luò)通信的出入口訪問和各業(yè)務(wù)系統(tǒng)的服務(wù)器和數(shù)據(jù)庫應(yīng)通過有效的技術(shù)手段進行隔離或控制，如：增加安全防護設(shè)備；對外通信的服務(wù)器可配置在隔離區(qū)(demilitarized zone,DMZ)；數(shù)據(jù)庫、重點業(yè)務(wù)區(qū)及內(nèi)網(wǎng)服務(wù)器主機應(yīng)部署在內(nèi)網(wǎng)區(qū)域；普通辦公網(wǎng)絡(luò)與數(shù)據(jù)中心區(qū)相隔離。此外，平臺還應(yīng)建立完善的平臺分配機制和安全審計機制，具體權(quán)限包括人員、應(yīng)用、平臺和接口訪問等；同時，安全審計日志須定期備份。

針對基礎(chǔ)軟件安全防護，操作系統(tǒng)應(yīng)保證定期進行漏洞掃描、補丁更新，并且配置安全防御系統(tǒng)，如入侵防御系統(tǒng)(intrusion prevention system, IPS)等，對非法入侵、惡意代碼進行防范和記錄。基礎(chǔ)軟件應(yīng)具備嚴格的身份認證機制。服務(wù)器硬盤應(yīng)通過人為查看或統(tǒng)一運維平臺等方式進行監(jiān)控。

業(yè)務(wù)系統(tǒng)安全防護主要考慮業(yè)務(wù)運營以及相關(guān)業(yè)務(wù)數(shù)據(jù)的安全。首先，為了避免因單節(jié)點故障而導(dǎo)致的業(yè)務(wù)軟件崩潰，在不同的服務(wù)器上應(yīng)部署至少兩套軟件。其次，必須保證業(yè)務(wù)軟件在數(shù)據(jù)交互過程中的數(shù)據(jù)保密性和有效性。重點數(shù)據(jù)應(yīng)進行脫敏以及加密處理，在交互中使用散列算法、數(shù)字簽名、證書等數(shù)據(jù)校驗機制。業(yè)務(wù)系統(tǒng)和其他系統(tǒng)一樣，須定期進行漏洞掃描和挖掘，并具備相應(yīng)的補丁策略。業(yè)務(wù)數(shù)據(jù)備份機制也是企業(yè)必須考慮的重點。

2.2 充電設(shè)備安全

充電設(shè)備安全包括物理安全、數(shù)據(jù)安全和控制安全三部分。

首先，充電設(shè)備應(yīng)保證外殼封閉無外露接口，非專業(yè)人員不可輕易將機殼拆開，否則存在數(shù)據(jù)被還原的風(fēng)險。設(shè)備內(nèi)部的4G或藍牙通信模塊應(yīng)具有唯一的標(biāo)志碼，如國際移動設(shè)備識別碼(international mobile equipment identity,IMEI)等，以防被替換。

本地數(shù)據(jù)應(yīng)存儲在外部Flash中，并采取強加密算法進行加密。目前，其主要采用高級加密標(biāo)準(zhǔn)(advanced encryption standard，AES)、三重數(shù)據(jù)加密標(biāo)準(zhǔn)(triple data encryption standard，3DES)、國際數(shù)據(jù)加密算法(international data encryption algorithm,IDEA)等類型的對稱加密算法。其中，AES算法運算速度較快，對內(nèi)存的需求較低，具有更好的靈活性和安全性。AES為分組密碼，也就是把明文分成許多長度相同的小組，每次對一組數(shù)據(jù)加密，直到加密完所有明文。AES算法中的明文分組長度為128位。密鑰長度能設(shè)為128位、192位、256位。依照密鑰長度大小差異性，AES能有效命名為AES-128、AES-192、AES-256[7]。

目前，大部分充電樁都采用空中下載技術(shù)(over-the-air technology,OTA)升級，少部分采用離線升級，由區(qū)域管理員線下進行。分布式電動汽車充電樁在運行中較多使用基于4G公網(wǎng)的無線通信。因此，破壞充電樁周圍的通信基站也可實現(xiàn)攻擊的目的[8]。在升級過程中需要格外注意信息安全問題。首先，必須由經(jīng)過授權(quán)的管理員登錄平臺端進行升級、管理和調(diào)試。升級包下發(fā)一般應(yīng)采用較安全的文件傳輸協(xié)議，如安全文件傳送協(xié)議(secure file transfer protocol, SFTP)或安全外殼協(xié)議(secure shell,SSH)等。普通的FTP協(xié)議不能保證升級包傳輸?shù)陌踩浴３潆姌对诮邮盏缴壈螅枰獙浖M行認證和完整性校驗，且應(yīng)具備安全免疫機制，主動對未知代碼執(zhí)行進行阻斷。充電樁內(nèi)部的操作系統(tǒng)一般應(yīng)采用標(biāo)準(zhǔn)操作系統(tǒng)，以保證代碼不會輕易故障。目前，大部分公司采用嵌入式實時操作系統(tǒng)FreeRTOS作為充電樁內(nèi)部的操作系統(tǒng)，同時可考慮采取一些額外的加固措施。

充電樁與運營平臺進行數(shù)據(jù)交互時，要保證數(shù)據(jù)的完整性和保密性。通信過程首先要具有準(zhǔn)入與措施，如采用802.1x協(xié)議等方式，并且采用端口默認關(guān)閉策略，關(guān)閉非系統(tǒng)運行和維護所必需的網(wǎng)絡(luò)端口。一般系統(tǒng)運行時開放一個端口，升級時開放另一個端口；或者運行和升級采用同一個端口。數(shù)據(jù)在傳輸?shù)倪^程中一定要對數(shù)據(jù)有效性和完整性進行校驗。對此，可在通信協(xié)議的報文格式里增加校驗位對完整性進行校驗。同時，為了保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，可先采用對稱加密算法加密傳輸數(shù)據(jù)，再用非對稱算法加密隨機生成的密鑰。若在數(shù)據(jù)傳輸時采用數(shù)字證書或數(shù)字簽名，即可同時保證數(shù)據(jù)的有效性、完整性和保密性。

一般充電樁都具有存儲審計記錄的功能。審計日志不僅在本地存儲，還應(yīng)按照一定頻率備份到云平臺。所有審計日志只能由經(jīng)過授權(quán)的人員查看，且都不可刪除或修改。一般情況下，審計日志需包含運行日志、操作日志、登錄日志、故障日志等。

2.3 智能移動終端安全

隨著手機智能程度的提高，以及4G、5G通信技術(shù)的快速迭代和發(fā)展，人們已快步邁向移動互聯(lián)網(wǎng)時代。據(jù)統(tǒng)計，我國手機用戶平均每天使用手機3.9小時，充分體現(xiàn)了現(xiàn)代社會人們對手機的依賴。 然而，在享受移動互聯(lián)網(wǎng)時代帶來的各種便利的同時，人們也不得不面對其伴隨的嚴重的個人信息安全隱患, 手機APP個人信息安全問題不容小覷[9]。

目前，用戶啟動充電樁的方式主要分為三類，分別是刷卡充電、APP啟動或微信小程序啟動充電。其中，APP作為手機應(yīng)用軟件，開發(fā)過程可能存在較多漏洞，具有較高的信息安全風(fēng)險。

APP應(yīng)遵循最小安裝方式，禁止一切非功能說明文檔中的功能，尤其是涉及到用戶隱私的功能。安裝時，APP也不允許捆綁下載和安裝非用戶授權(quán)的其他應(yīng)用軟件；卸載時，同樣不得有相關(guān)文件殘留。安裝包須具有證明開發(fā)者身份的簽名信息，并且在升級過程中對升級包進行校驗。

APP在使用過程中必須進行身份認證。所有的訪問、訂購業(yè)務(wù)和對數(shù)據(jù)進行的操作都必須經(jīng)過用戶授權(quán)。審計日志和數(shù)據(jù)加密存儲在本地，并按照一定頻率備份到云平臺。此外，與平臺進行數(shù)據(jù)交互也要保證完整性和保密性。

針對APP代碼本身，應(yīng)定期進行漏洞管理，防止日志泄漏和代碼被反編譯。

3 接口安全

電動汽車和電網(wǎng)間的能量與數(shù)據(jù)交互可以通過一種新技術(shù)實現(xiàn)，即常說的電動汽車與電網(wǎng)(vehicle-to-grid，V2G)交互技術(shù)。智能交通系統(tǒng)為行駛狀態(tài)下的電動汽車參與V2G提供了通信環(huán)境支撐[10]。信息交互離不開接口的連接。充電樁在運營過程中的接口安全涉及以下幾個類型：充電設(shè)備和運營平臺之間的接口、運營平臺之間的接口、以移動智能終端作為認證接口、以智能卡作為認證接口。

充電設(shè)備和運營平臺之間的接口在充電設(shè)備安全部分已經(jīng)提及。充電樁與運營平臺通信要具備準(zhǔn)入措施，包括對運營平臺下發(fā)的各種指令進行安全性和完整性鑒別。數(shù)據(jù)傳輸過程中的保密性同樣在設(shè)備安全中已提及。需額外考慮的是：在網(wǎng)絡(luò)癱瘓的情況下，充電設(shè)備要采用備用充電方案保證充電正常運行；網(wǎng)絡(luò)恢復(fù)后，要及時上傳網(wǎng)絡(luò)異常記錄。

部分充電樁企業(yè)除了自行搭建的充電樁管理平臺，還租用或采用其他云平臺進行業(yè)務(wù)運營。兩個平臺之間的通信應(yīng)具備安全保護措施。具體措施一般包括多因子認證、IP訪問控制、數(shù)據(jù)加密、數(shù)字簽名和重發(fā)機制等。

以移動智能終端作為認證接口時，設(shè)備上的二維碼要進行安全防護，具體措施包括編碼之前加密等。通過APP智能終端或微信小程序掃碼，或通過藍牙連接進行充電時，必須接入后臺進行信息交換，并且獲得準(zhǔn)確的認證反饋。APP與運維平臺通信必須建立安全通信通道。認證和信息交換過程中應(yīng)采用安全的傳輸方式，對交易數(shù)據(jù)進行安全保護。

以智能卡作為認證接口，發(fā)卡機構(gòu)要建立可靠、完善的密鑰管理制度。充電設(shè)備必須具有認證措施，防止非授權(quán)卡啟動充電樁。

4 結(jié)論

本文通過分析分布式充電樁并結(jié)合相關(guān)標(biāo)準(zhǔn)的解讀，研究了分布式電動汽車充電樁在信息安全方面面臨的威脅。若充電樁或運營平臺被非法用戶攻擊，有可能造成企業(yè)財產(chǎn)損失、隱私數(shù)據(jù)泄漏的危險。各樁企當(dāng)前要重視加強防控，為長期穩(wěn)定發(fā)展打下基礎(chǔ)。充電樁涉及的信息安全問題較為分散。為了保障充電樁在運營過程中的可靠性，本文建議充電樁企業(yè)在設(shè)計階段就將信息安全作為重點考慮對象。

新能源汽車是可持續(xù)發(fā)展的重要一環(huán)，也是我國當(dāng)前大力推動的綠色出行的重要載體，當(dāng)前要注重以技術(shù)推動綠色轉(zhuǎn)型，提升充電設(shè)施智能化發(fā)展水平，為充電設(shè)施更為穩(wěn)定地運行提供環(huán)境。