工業互聯網環境下的充電樁信息安全需求研究

葉瓊瑜，張 倩，忻奕敏

(上海電器科學研究所(集團)有限公司，上海 200063)

0 引言

近年來，國家和政府持續推行綠色出行理念，推動新能源汽車進入高速發展新階段。汽車產業也迎來集智能、網聯、電驅動、共享于一體的轉型升級階段。作為新能源汽車能量補充的主要途徑，充電樁成為關鍵技術載體。新能源汽車充電樁將電網電能轉化為電動汽車車載蓄電池電能，不僅可以有效促進新能源汽車產業發展，而且作為“信息樁”“數據樁”和“網聯樁”，加速我國社會信息化、數字化轉型步伐，推動經濟穩定、快速發展[1]。

充電系統是充電數據產生的主要場所，而充電數據是充電運營系統中傳輸的重要信息。信息的安全與正確是保證充電樁正常、穩定運營的基礎。

在工業互聯網的背景下，充電運營平臺成為工業網絡的一部分。充電運營是一項復雜的系統工程，結合標準T/CEC 208—2019《電動汽車充電設施信息安全技術規范》對充電設施信息安全所規定的內容，充電樁涉及的安全主要包括運營平臺安全、充電設備安全、移動智能終端安全和接口安全四部分[2]。以上四個部分都是在保障信息安全，防止個人及業務信息泄漏、被盜取、篡改或受到惡意攻擊造成系統癱瘓。

1 充電樁的運營與功能

1.1 充電樁的運營情況

充電樁主要安裝在住戶區、公共服務區、大型商業區以及停車場等場所。充電樁由電動車主機廠或專業化樁企運營。部分主機廠為了保證服務質量、改善消費者體驗感受、維護品牌形象等，選擇自主研發、制造充電樁，典型代表如特斯拉、蔚來等。

充電樁經營模式主要分兩類，分別為互聯網模式及互聯網+硬件設施模式?；ヂ摼W模式下，經營主體的主要職能包括第三方硬件設施購買、充電樁建設安裝和充電樁線上應用(application,APP)管理運營?；ヂ摼W+硬件設施模式增加了底層生產企業。該模式有利于最大化實現硬件與軟件的協調統一，能夠掌握硬件設施的技術標準體系，并通過銷售充電樁硬件實現盈利[3]。

1.2 充電樁的系統架構及功能

智能充電樁的硬件系統主要組成部分為中央主控板、4G或Wi-Fi通信模塊、檢測芯片、顯示裝置、IC 讀卡器、監控裝置等[4]。硬件系統主要實現充電樁的基本功能，包括啟動、運行、監控等。軟件系統的作用同樣重要。其將充電樁內部的所有功能模塊有效結合起來，協助各模塊功能相互配合，從而順利、高效地完成充電工作。

電動汽車充電設施信息交換基礎架構[5]如圖1所示。

圖1 電動汽車充電設施信息交換基礎架構

智能充電樁的信息服務系統作為應用系統，主要作用是處理電動汽車充電服務信息。該系統是充電運行網絡中的主要服務單元。信息服務系統包括三大部分，分別為平臺系統、設備系統和終端系統。平臺系統的主要功能包括聯網監測、運行管理、客戶服務和計費財務管理等。設備系統的主要功能包括身份認證和權限劃分、充電、聯網通信、故障監控。終端系統的主要功能包括用戶獲得充電服務、啟停充電、服務交易與計費支付。不同的信息系統通過設置相應的通信接口進行數據交換，從而完成充電業務協同。

基于以上架構，電動汽車充電設施的信息安全防護對象主要分為實體和接口兩種類型。實體指充電設施中的充電設備、運營平臺以及移動智能終端。接口一般包括充電設備和運營平臺之間的接口、運營平臺與移動智能終端之間的接口、充電設備與移動智能終端之間的接口，以及運營平臺與其他平臺之間的接口。對于分布式電動汽車充電樁而言，其主要面臨的威脅是信息被竊取的威脅。通常情況下，各類非法人員會通過抓包、竊聽等措施獲得一些用戶的隱私信息，如用戶手機號、密碼、賬戶金額等，或者通過對系統進行惡意攻擊得到信息[6]。

2 實體安全

2.1 運營平臺安全

運營平臺安全要求主要分為系統安全防護、網絡安全防護、基礎軟件安全防護以及業務系統安全防護四類。

在系統安全防護方面，主要考察運營平臺配置情況，包括硬件配置、網絡及安全設備配置等。例如，系統應保證業務連續性，也就是要避免因硬件單節點故障或單網絡鏈路中斷而導致業務中斷。為此，系統在配置時應具備至少雙節點的冗余配置；服務器主機使用雙機配置；網絡接入采用至少雙鏈路的接入方式；網絡及安全設備配置為雙節點的方式等。此外，數據應進行分級、分類。平臺應建立完善的存儲備份策略，保證數據存儲安全。

在網絡安全防護方面，網絡通信的出入口訪問和各業務系統的服務器和數據庫應通過有效的技術手段進行隔離或控制，如：增加安全防護設備；對外通信的服務器可配置在隔離區(demilitarized zone,DMZ)；數據庫、重點業務區及內網服務器主機應部署在內網區域；普通辦公網絡與數據中心區相隔離。此外，平臺還應建立完善的平臺分配機制和安全審計機制，具體權限包括人員、應用、平臺和接口訪問等；同時，安全審計日志須定期備份。

針對基礎軟件安全防護，操作系統應保證定期進行漏洞掃描、補丁更新，并且配置安全防御系統，如入侵防御系統(intrusion prevention system, IPS)等，對非法入侵、惡意代碼進行防范和記錄?；A軟件應具備嚴格的身份認證機制。服務器硬盤應通過人為查看或統一運維平臺等方式進行監控。

業務系統安全防護主要考慮業務運營以及相關業務數據的安全。首先，為了避免因單節點故障而導致的業務軟件崩潰，在不同的服務器上應部署至少兩套軟件。其次，必須保證業務軟件在數據交互過程中的數據保密性和有效性。重點數據應進行脫敏以及加密處理，在交互中使用散列算法、數字簽名、證書等數據校驗機制。業務系統和其他系統一樣，須定期進行漏洞掃描和挖掘，并具備相應的補丁策略。業務數據備份機制也是企業必須考慮的重點。

2.2 充電設備安全

充電設備安全包括物理安全、數據安全和控制安全三部分。

首先，充電設備應保證外殼封閉無外露接口，非專業人員不可輕易將機殼拆開，否則存在數據被還原的風險。設備內部的4G或藍牙通信模塊應具有唯一的標志碼，如國際移動設備識別碼(international mobile equipment identity,IMEI)等，以防被替換。

本地數據應存儲在外部Flash中，并采取強加密算法進行加密。目前，其主要采用高級加密標準(advanced encryption standard，AES)、三重數據加密標準(triple data encryption standard，3DES)、國際數據加密算法(international data encryption algorithm,IDEA)等類型的對稱加密算法。其中，AES算法運算速度較快，對內存的需求較低，具有更好的靈活性和安全性。AES為分組密碼，也就是把明文分成許多長度相同的小組，每次對一組數據加密，直到加密完所有明文。AES算法中的明文分組長度為128位。密鑰長度能設為128位、192位、256位。依照密鑰長度大小差異性，AES能有效命名為AES-128、AES-192、AES-256[7]。

目前，大部分充電樁都采用空中下載技術(over-the-air technology,OTA)升級，少部分采用離線升級，由區域管理員線下進行。分布式電動汽車充電樁在運行中較多使用基于4G公網的無線通信。因此，破壞充電樁周圍的通信基站也可實現攻擊的目的[8]。在升級過程中需要格外注意信息安全問題。首先，必須由經過授權的管理員登錄平臺端進行升級、管理和調試。升級包下發一般應采用較安全的文件傳輸協議，如安全文件傳送協議(secure file transfer protocol, SFTP)或安全外殼協議(secure shell,SSH)等。普通的FTP協議不能保證升級包傳輸的安全性。充電樁在接收到升級包后，需要對軟件進行認證和完整性校驗，且應具備安全免疫機制，主動對未知代碼執行進行阻斷。充電樁內部的操作系統一般應采用標準操作系統，以保證代碼不會輕易故障。目前，大部分公司采用嵌入式實時操作系統FreeRTOS作為充電樁內部的操作系統，同時可考慮采取一些額外的加固措施。

充電樁與運營平臺進行數據交互時，要保證數據的完整性和保密性。通信過程首先要具有準入與措施，如采用802.1x協議等方式，并且采用端口默認關閉策略，關閉非系統運行和維護所必需的網絡端口。一般系統運行時開放一個端口，升級時開放另一個端口；或者運行和升級采用同一個端口。數據在傳輸的過程中一定要對數據有效性和完整性進行校驗。對此，可在通信協議的報文格式里增加校驗位對完整性進行校驗。同時，為了保證數據傳輸的保密性，可先采用對稱加密算法加密傳輸數據，再用非對稱算法加密隨機生成的密鑰。若在數據傳輸時采用數字證書或數字簽名，即可同時保證數據的有效性、完整性和保密性。

一般充電樁都具有存儲審計記錄的功能。審計日志不僅在本地存儲，還應按照一定頻率備份到云平臺。所有審計日志只能由經過授權的人員查看，且都不可刪除或修改。一般情況下，審計日志需包含運行日志、操作日志、登錄日志、故障日志等。

2.3 智能移動終端安全

隨著手機智能程度的提高，以及4G、5G通信技術的快速迭代和發展，人們已快步邁向移動互聯網時代。據統計，我國手機用戶平均每天使用手機3.9小時，充分體現了現代社會人們對手機的依賴。 然而，在享受移動互聯網時代帶來的各種便利的同時，人們也不得不面對其伴隨的嚴重的個人信息安全隱患, 手機APP個人信息安全問題不容小覷[9]。

目前，用戶啟動充電樁的方式主要分為三類，分別是刷卡充電、APP啟動或微信小程序啟動充電。其中，APP作為手機應用軟件，開發過程可能存在較多漏洞，具有較高的信息安全風險。

APP應遵循最小安裝方式，禁止一切非功能說明文檔中的功能，尤其是涉及到用戶隱私的功能。安裝時，APP也不允許捆綁下載和安裝非用戶授權的其他應用軟件；卸載時，同樣不得有相關文件殘留。安裝包須具有證明開發者身份的簽名信息，并且在升級過程中對升級包進行校驗。

APP在使用過程中必須進行身份認證。所有的訪問、訂購業務和對數據進行的操作都必須經過用戶授權。審計日志和數據加密存儲在本地，并按照一定頻率備份到云平臺。此外，與平臺進行數據交互也要保證完整性和保密性。

針對APP代碼本身，應定期進行漏洞管理，防止日志泄漏和代碼被反編譯。

3 接口安全

電動汽車和電網間的能量與數據交互可以通過一種新技術實現，即常說的電動汽車與電網(vehicle-to-grid，V2G)交互技術。智能交通系統為行駛狀態下的電動汽車參與V2G提供了通信環境支撐[10]。信息交互離不開接口的連接。充電樁在運營過程中的接口安全涉及以下幾個類型：充電設備和運營平臺之間的接口、運營平臺之間的接口、以移動智能終端作為認證接口、以智能卡作為認證接口。

充電設備和運營平臺之間的接口在充電設備安全部分已經提及。充電樁與運營平臺通信要具備準入措施，包括對運營平臺下發的各種指令進行安全性和完整性鑒別。數據傳輸過程中的保密性同樣在設備安全中已提及。需額外考慮的是：在網絡癱瘓的情況下，充電設備要采用備用充電方案保證充電正常運行；網絡恢復后，要及時上傳網絡異常記錄。

部分充電樁企業除了自行搭建的充電樁管理平臺，還租用或采用其他云平臺進行業務運營。兩個平臺之間的通信應具備安全保護措施。具體措施一般包括多因子認證、IP訪問控制、數據加密、數字簽名和重發機制等。

以移動智能終端作為認證接口時，設備上的二維碼要進行安全防護，具體措施包括編碼之前加密等。通過APP智能終端或微信小程序掃碼，或通過藍牙連接進行充電時，必須接入后臺進行信息交換，并且獲得準確的認證反饋。APP與運維平臺通信必須建立安全通信通道。認證和信息交換過程中應采用安全的傳輸方式，對交易數據進行安全保護。

以智能卡作為認證接口，發卡機構要建立可靠、完善的密鑰管理制度。充電設備必須具有認證措施，防止非授權卡啟動充電樁。

4 結論

本文通過分析分布式充電樁并結合相關標準的解讀，研究了分布式電動汽車充電樁在信息安全方面面臨的威脅。若充電樁或運營平臺被非法用戶攻擊，有可能造成企業財產損失、隱私數據泄漏的危險。各樁企當前要重視加強防控，為長期穩定發展打下基礎。充電樁涉及的信息安全問題較為分散。為了保障充電樁在運營過程中的可靠性，本文建議充電樁企業在設計階段就將信息安全作為重點考慮對象。

新能源汽車是可持續發展的重要一環，也是我國當前大力推動的綠色出行的重要載體，當前要注重以技術推動綠色轉型，提升充電設施智能化發展水平，為充電設施更為穩定地運行提供環境。