葉瓊瑜，張 倩，忻奕敏

(上海電器科學(xué)研究所(集團(tuán))有限公司，上海 200063)

0 引言

近年來(lái)，國(guó)家和政府持續(xù)推行綠色出行理念，推動(dòng)新能源汽車進(jìn)入高速發(fā)展新階段。汽車產(chǎn)業(yè)也迎來(lái)集智能、網(wǎng)聯(lián)、電驅(qū)動(dòng)、共享于一體的轉(zhuǎn)型升級(jí)階段。作為新能源汽車能量補(bǔ)充的主要途徑，充電樁成為關(guān)鍵技術(shù)載體。新能源汽車充電樁將電網(wǎng)電能轉(zhuǎn)化為電動(dòng)汽車車載蓄電池電能，不僅可以有效促進(jìn)新能源汽車產(chǎn)業(yè)發(fā)展，而且作為“信息樁”“數(shù)據(jù)樁”和“網(wǎng)聯(lián)樁”，加速我國(guó)社會(huì)信息化、數(shù)字化轉(zhuǎn)型步伐，推動(dòng)經(jīng)濟(jì)穩(wěn)定、快速發(fā)展[1]。

充電系統(tǒng)是充電數(shù)據(jù)產(chǎn)生的主要場(chǎng)所，而充電數(shù)據(jù)是充電運(yùn)營(yíng)系統(tǒng)中傳輸?shù)闹匾畔?。信息的安全與正確是保證充電樁正常、穩(wěn)定運(yùn)營(yíng)的基礎(chǔ)。

在工業(yè)互聯(lián)網(wǎng)的背景下，充電運(yùn)營(yíng)平臺(tái)成為工業(yè)網(wǎng)絡(luò)的一部分。充電運(yùn)營(yíng)是一項(xiàng)復(fù)雜的系統(tǒng)工程，結(jié)合標(biāo)準(zhǔn)T/CEC 208—2019《電動(dòng)汽車充電設(shè)施信息安全技術(shù)規(guī)范》對(duì)充電設(shè)施信息安全所規(guī)定的內(nèi)容，充電樁涉及的安全主要包括運(yùn)營(yíng)平臺(tái)安全、充電設(shè)備安全、移動(dòng)智能終端安全和接口安全四部分[2]。以上四個(gè)部分都是在保障信息安全，防止個(gè)人及業(yè)務(wù)信息泄漏、被盜取、篡改或受到惡意攻擊造成系統(tǒng)癱瘓。

1 充電樁的運(yùn)營(yíng)與功能

1.1 充電樁的運(yùn)營(yíng)情況

充電樁主要安裝在住戶區(qū)、公共服務(wù)區(qū)、大型商業(yè)區(qū)以及停車場(chǎng)等場(chǎng)所。充電樁由電動(dòng)車主機(jī)廠或?qū)I(yè)化樁企運(yùn)營(yíng)。部分主機(jī)廠為了保證服務(wù)質(zhì)量、改善消費(fèi)者體驗(yàn)感受、維護(hù)品牌形象等，選擇自主研發(fā)、制造充電樁，典型代表如特斯拉、蔚來(lái)等。

充電樁經(jīng)營(yíng)模式主要分兩類，分別為互聯(lián)網(wǎng)模式及互聯(lián)網(wǎng)+硬件設(shè)施模式。互聯(lián)網(wǎng)模式下，經(jīng)營(yíng)主體的主要職能包括第三方硬件設(shè)施購(gòu)買、充電樁建設(shè)安裝和充電樁線上應(yīng)用(application,APP)管理運(yùn)營(yíng)。互聯(lián)網(wǎng)+硬件設(shè)施模式增加了底層生產(chǎn)企業(yè)。該模式有利于最大化實(shí)現(xiàn)硬件與軟件的協(xié)調(diào)統(tǒng)一，能夠掌握硬件設(shè)施的技術(shù)標(biāo)準(zhǔn)體系，并通過(guò)銷售充電樁硬件實(shí)現(xiàn)盈利[3]。

1.2 充電樁的系統(tǒng)架構(gòu)及功能

智能充電樁的硬件系統(tǒng)主要組成部分為中央主控板、4G或Wi-Fi通信模塊、檢測(cè)芯片、顯示裝置、IC 讀卡器、監(jiān)控裝置等[4]。硬件系統(tǒng)主要實(shí)現(xiàn)充電樁的基本功能，包括啟動(dòng)、運(yùn)行、監(jiān)控等。軟件系統(tǒng)的作用同樣重要。其將充電樁內(nèi)部的所有功能模塊有效結(jié)合起來(lái)，協(xié)助各模塊功能相互配合，從而順利、高效地完成充電工作。

電動(dòng)汽車充電設(shè)施信息交換基礎(chǔ)架構(gòu)[5]如圖1所示。

圖1 電動(dòng)汽車充電設(shè)施信息交換基礎(chǔ)架構(gòu)

智能充電樁的信息服務(wù)系統(tǒng)作為應(yīng)用系統(tǒng)，主要作用是處理電動(dòng)汽車充電服務(wù)信息。該系統(tǒng)是充電運(yùn)行網(wǎng)絡(luò)中的主要服務(wù)單元。信息服務(wù)系統(tǒng)包括三大部分，分別為平臺(tái)系統(tǒng)、設(shè)備系統(tǒng)和終端系統(tǒng)。平臺(tái)系統(tǒng)的主要功能包括聯(lián)網(wǎng)監(jiān)測(cè)、運(yùn)行管理、客戶服務(wù)和計(jì)費(fèi)財(cái)務(wù)管理等。設(shè)備系統(tǒng)的主要功能包括身份認(rèn)證和權(quán)限劃分、充電、聯(lián)網(wǎng)通信、故障監(jiān)控。終端系統(tǒng)的主要功能包括用戶獲得充電服務(wù)、啟停充電、服務(wù)交易與計(jì)費(fèi)支付。不同的信息系統(tǒng)通過(guò)設(shè)置相應(yīng)的通信接口進(jìn)行數(shù)據(jù)交換，從而完成充電業(yè)務(wù)協(xié)同。

基于以上架構(gòu)，電動(dòng)汽車充電設(shè)施的信息安全防護(hù)對(duì)象主要分為實(shí)體和接口兩種類型。實(shí)體指充電設(shè)施中的充電設(shè)備、運(yùn)營(yíng)平臺(tái)以及移動(dòng)智能終端。接口一般包括充電設(shè)備和運(yùn)營(yíng)平臺(tái)之間的接口、運(yùn)營(yíng)平臺(tái)與移動(dòng)智能終端之間的接口、充電設(shè)備與移動(dòng)智能終端之間的接口，以及運(yùn)營(yíng)平臺(tái)與其他平臺(tái)之間的接口。對(duì)于分布式電動(dòng)汽車充電樁而言，其主要面臨的威脅是信息被竊取的威脅。通常情況下，各類非法人員會(huì)通過(guò)抓包、竊聽(tīng)等措施獲得一些用戶的隱私信息，如用戶手機(jī)號(hào)、密碼、賬戶金額等，或者通過(guò)對(duì)系統(tǒng)進(jìn)行惡意攻擊得到信息[6]。

2 實(shí)體安全

2.1 運(yùn)營(yíng)平臺(tái)安全

運(yùn)營(yíng)平臺(tái)安全要求主要分為系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、基礎(chǔ)軟件安全防護(hù)以及業(yè)務(wù)系統(tǒng)安全防護(hù)四類。

在系統(tǒng)安全防護(hù)方面，主要考察運(yùn)營(yíng)平臺(tái)配置情況，包括硬件配置、網(wǎng)絡(luò)及安全設(shè)備配置等。例如，系統(tǒng)應(yīng)保證業(yè)務(wù)連續(xù)性，也就是要避免因硬件單節(jié)點(diǎn)故障或單網(wǎng)絡(luò)鏈路中斷而導(dǎo)致業(yè)務(wù)中斷。為此，系統(tǒng)在配置時(shí)應(yīng)具備至少雙節(jié)點(diǎn)的冗余配置；服務(wù)器主機(jī)使用雙機(jī)配置；網(wǎng)絡(luò)接入采用至少雙鏈路的接入方式；網(wǎng)絡(luò)及安全設(shè)備配置為雙節(jié)點(diǎn)的方式等。此外，數(shù)據(jù)應(yīng)進(jìn)行分級(jí)、分類。平臺(tái)應(yīng)建立完善的存儲(chǔ)備份策略，保證數(shù)據(jù)存儲(chǔ)安全。

在網(wǎng)絡(luò)安全防護(hù)方面，網(wǎng)絡(luò)通信的出入口訪問(wèn)和各業(yè)務(wù)系統(tǒng)的服務(wù)器和數(shù)據(jù)庫(kù)應(yīng)通過(guò)有效的技術(shù)手段進(jìn)行隔離或控制，如：增加安全防護(hù)設(shè)備；對(duì)外通信的服務(wù)器可配置在隔離區(qū)(demilitarized zone,DMZ)；數(shù)據(jù)庫(kù)、重點(diǎn)業(yè)務(wù)區(qū)及內(nèi)網(wǎng)服務(wù)器主機(jī)應(yīng)部署在內(nèi)網(wǎng)區(qū)域；普通辦公網(wǎng)絡(luò)與數(shù)據(jù)中心區(qū)相隔離。此外，平臺(tái)還應(yīng)建立完善的平臺(tái)分配機(jī)制和安全審計(jì)機(jī)制，具體權(quán)限包括人員、應(yīng)用、平臺(tái)和接口訪問(wèn)等；同時(shí)，安全審計(jì)日志須定期備份。

針對(duì)基礎(chǔ)軟件安全防護(hù)，操作系統(tǒng)應(yīng)保證定期進(jìn)行漏洞掃描、補(bǔ)丁更新，并且配置安全防御系統(tǒng)，如入侵防御系統(tǒng)(intrusion prevention system, IPS)等，對(duì)非法入侵、惡意代碼進(jìn)行防范和記錄?；A(chǔ)軟件應(yīng)具備嚴(yán)格的身份認(rèn)證機(jī)制。服務(wù)器硬盤應(yīng)通過(guò)人為查看或統(tǒng)一運(yùn)維平臺(tái)等方式進(jìn)行監(jiān)控。

業(yè)務(wù)系統(tǒng)安全防護(hù)主要考慮業(yè)務(wù)運(yùn)營(yíng)以及相關(guān)業(yè)務(wù)數(shù)據(jù)的安全。首先，為了避免因單節(jié)點(diǎn)故障而導(dǎo)致的業(yè)務(wù)軟件崩潰，在不同的服務(wù)器上應(yīng)部署至少兩套軟件。其次，必須保證業(yè)務(wù)軟件在數(shù)據(jù)交互過(guò)程中的數(shù)據(jù)保密性和有效性。重點(diǎn)數(shù)據(jù)應(yīng)進(jìn)行脫敏以及加密處理，在交互中使用散列算法、數(shù)字簽名、證書(shū)等數(shù)據(jù)校驗(yàn)機(jī)制。業(yè)務(wù)系統(tǒng)和其他系統(tǒng)一樣，須定期進(jìn)行漏洞掃描和挖掘，并具備相應(yīng)的補(bǔ)丁策略。業(yè)務(wù)數(shù)據(jù)備份機(jī)制也是企業(yè)必須考慮的重點(diǎn)。

2.2 充電設(shè)備安全

充電設(shè)備安全包括物理安全、數(shù)據(jù)安全和控制安全三部分。

首先，充電設(shè)備應(yīng)保證外殼封閉無(wú)外露接口，非專業(yè)人員不可輕易將機(jī)殼拆開(kāi)，否則存在數(shù)據(jù)被還原的風(fēng)險(xiǎn)。設(shè)備內(nèi)部的4G或藍(lán)牙通信模塊應(yīng)具有唯一的標(biāo)志碼，如國(guó)際移動(dòng)設(shè)備識(shí)別碼(international mobile equipment identity,IMEI)等，以防被替換。

本地?cái)?shù)據(jù)應(yīng)存儲(chǔ)在外部Flash中，并采取強(qiáng)加密算法進(jìn)行加密。目前，其主要采用高級(jí)加密標(biāo)準(zhǔn)(advanced encryption standard，AES)、三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)(triple data encryption standard，3DES)、國(guó)際數(shù)據(jù)加密算法(international data encryption algorithm,IDEA)等類型的對(duì)稱加密算法。其中，AES算法運(yùn)算速度較快，對(duì)內(nèi)存的需求較低，具有更好的靈活性和安全性。AES為分組密碼，也就是把明文分成許多長(zhǎng)度相同的小組，每次對(duì)一組數(shù)據(jù)加密，直到加密完所有明文。AES算法中的明文分組長(zhǎng)度為128位。密鑰長(zhǎng)度能設(shè)為128位、192位、256位。依照密鑰長(zhǎng)度大小差異性，AES能有效命名為AES-128、AES-192、AES-256[7]。

目前，大部分充電樁都采用空中下載技術(shù)(over-the-air technology,OTA)升級(jí)，少部分采用離線升級(jí)，由區(qū)域管理員線下進(jìn)行。分布式電動(dòng)汽車充電樁在運(yùn)行中較多使用基于4G公網(wǎng)的無(wú)線通信。因此，破壞充電樁周圍的通信基站也可實(shí)現(xiàn)攻擊的目的[8]。在升級(jí)過(guò)程中需要格外注意信息安全問(wèn)題。首先，必須由經(jīng)過(guò)授權(quán)的管理員登錄平臺(tái)端進(jìn)行升級(jí)、管理和調(diào)試。升級(jí)包下發(fā)一般應(yīng)采用較安全的文件傳輸協(xié)議，如安全文件傳送協(xié)議(secure file transfer protocol, SFTP)或安全外殼協(xié)議(secure shell,SSH)等。普通的FTP協(xié)議不能保證升級(jí)包傳輸?shù)陌踩?。充電樁在接收到升?jí)包后，需要對(duì)軟件進(jìn)行認(rèn)證和完整性校驗(yàn)，且應(yīng)具備安全免疫機(jī)制，主動(dòng)對(duì)未知代碼執(zhí)行進(jìn)行阻斷。充電樁內(nèi)部的操作系統(tǒng)一般應(yīng)采用標(biāo)準(zhǔn)操作系統(tǒng)，以保證代碼不會(huì)輕易故障。目前，大部分公司采用嵌入式實(shí)時(shí)操作系統(tǒng)FreeRTOS作為充電樁內(nèi)部的操作系統(tǒng)，同時(shí)可考慮采取一些額外的加固措施。

充電樁與運(yùn)營(yíng)平臺(tái)進(jìn)行數(shù)據(jù)交互時(shí)，要保證數(shù)據(jù)的完整性和保密性。通信過(guò)程首先要具有準(zhǔn)入與措施，如采用802.1x協(xié)議等方式，并且采用端口默認(rèn)關(guān)閉策略，關(guān)閉非系統(tǒng)運(yùn)行和維護(hù)所必需的網(wǎng)絡(luò)端口。一般系統(tǒng)運(yùn)行時(shí)開(kāi)放一個(gè)端口，升級(jí)時(shí)開(kāi)放另一個(gè)端口；或者運(yùn)行和升級(jí)采用同一個(gè)端口。數(shù)據(jù)在傳輸?shù)倪^(guò)程中一定要對(duì)數(shù)據(jù)有效性和完整性進(jìn)行校驗(yàn)。對(duì)此，可在通信協(xié)議的報(bào)文格式里增加校驗(yàn)位對(duì)完整性進(jìn)行校驗(yàn)。同時(shí)，為了保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，可先采用?duì)稱加密算法加密傳輸數(shù)據(jù)，再用非對(duì)稱算法加密隨機(jī)生成的密鑰。若在數(shù)據(jù)傳輸時(shí)采用數(shù)字證書(shū)或數(shù)字簽名，即可同時(shí)保證數(shù)據(jù)的有效性、完整性和保密性。

一般充電樁都具有存儲(chǔ)審計(jì)記錄的功能。審計(jì)日志不僅在本地存儲(chǔ)，還應(yīng)按照一定頻率備份到云平臺(tái)。所有審計(jì)日志只能由經(jīng)過(guò)授權(quán)的人員查看，且都不可刪除或修改。一般情況下，審計(jì)日志需包含運(yùn)行日志、操作日志、登錄日志、故障日志等。

2.3 智能移動(dòng)終端安全

隨著手機(jī)智能程度的提高，以及4G、5G通信技術(shù)的快速迭代和發(fā)展，人們已快步邁向移動(dòng)互聯(lián)網(wǎng)時(shí)代。據(jù)統(tǒng)計(jì)，我國(guó)手機(jī)用戶平均每天使用手機(jī)3.9小時(shí)，充分體現(xiàn)了現(xiàn)代社會(huì)人們對(duì)手機(jī)的依賴。 然而，在享受移動(dòng)互聯(lián)網(wǎng)時(shí)代帶來(lái)的各種便利的同時(shí)，人們也不得不面對(duì)其伴隨的嚴(yán)重的個(gè)人信息安全隱患, 手機(jī)APP個(gè)人信息安全問(wèn)題不容小覷[9]。

目前，用戶啟動(dòng)充電樁的方式主要分為三類，分別是刷卡充電、APP啟動(dòng)或微信小程序啟動(dòng)充電。其中，APP作為手機(jī)應(yīng)用軟件，開(kāi)發(fā)過(guò)程可能存在較多漏洞，具有較高的信息安全風(fēng)險(xiǎn)。

APP應(yīng)遵循最小安裝方式，禁止一切非功能說(shuō)明文檔中的功能，尤其是涉及到用戶隱私的功能。安裝時(shí)，APP也不允許捆綁下載和安裝非用戶授權(quán)的其他應(yīng)用軟件；卸載時(shí)，同樣不得有相關(guān)文件殘留。安裝包須具有證明開(kāi)發(fā)者身份的簽名信息，并且在升級(jí)過(guò)程中對(duì)升級(jí)包進(jìn)行校驗(yàn)。

APP在使用過(guò)程中必須進(jìn)行身份認(rèn)證。所有的訪問(wèn)、訂購(gòu)業(yè)務(wù)和對(duì)數(shù)據(jù)進(jìn)行的操作都必須經(jīng)過(guò)用戶授權(quán)。審計(jì)日志和數(shù)據(jù)加密存儲(chǔ)在本地，并按照一定頻率備份到云平臺(tái)。此外，與平臺(tái)進(jìn)行數(shù)據(jù)交互也要保證完整性和保密性。

針對(duì)APP代碼本身，應(yīng)定期進(jìn)行漏洞管理，防止日志泄漏和代碼被反編譯。

3 接口安全

電動(dòng)汽車和電網(wǎng)間的能量與數(shù)據(jù)交互可以通過(guò)一種新技術(shù)實(shí)現(xiàn)，即常說(shuō)的電動(dòng)汽車與電網(wǎng)(vehicle-to-grid，V2G)交互技術(shù)。智能交通系統(tǒng)為行駛狀態(tài)下的電動(dòng)汽車參與V2G提供了通信環(huán)境支撐[10]。信息交互離不開(kāi)接口的連接。充電樁在運(yùn)營(yíng)過(guò)程中的接口安全涉及以下幾個(gè)類型：充電設(shè)備和運(yùn)營(yíng)平臺(tái)之間的接口、運(yùn)營(yíng)平臺(tái)之間的接口、以移動(dòng)智能終端作為認(rèn)證接口、以智能卡作為認(rèn)證接口。

充電設(shè)備和運(yùn)營(yíng)平臺(tái)之間的接口在充電設(shè)備安全部分已經(jīng)提及。充電樁與運(yùn)營(yíng)平臺(tái)通信要具備準(zhǔn)入措施，包括對(duì)運(yùn)營(yíng)平臺(tái)下發(fā)的各種指令進(jìn)行安全性和完整性鑒別。數(shù)據(jù)傳輸過(guò)程中的保密性同樣在設(shè)備安全中已提及。需額外考慮的是：在網(wǎng)絡(luò)癱瘓的情況下，充電設(shè)備要采用備用充電方案保證充電正常運(yùn)行；網(wǎng)絡(luò)恢復(fù)后，要及時(shí)上傳網(wǎng)絡(luò)異常記錄。

部分充電樁企業(yè)除了自行搭建的充電樁管理平臺(tái)，還租用或采用其他云平臺(tái)進(jìn)行業(yè)務(wù)運(yùn)營(yíng)。兩個(gè)平臺(tái)之間的通信應(yīng)具備安全保護(hù)措施。具體措施一般包括多因子認(rèn)證、IP訪問(wèn)控制、數(shù)據(jù)加密、數(shù)字簽名和重發(fā)機(jī)制等。

以移動(dòng)智能終端作為認(rèn)證接口時(shí)，設(shè)備上的二維碼要進(jìn)行安全防護(hù)，具體措施包括編碼之前加密等。通過(guò)APP智能終端或微信小程序掃碼，或通過(guò)藍(lán)牙連接進(jìn)行充電時(shí)，必須接入后臺(tái)進(jìn)行信息交換，并且獲得準(zhǔn)確的認(rèn)證反饋。APP與運(yùn)維平臺(tái)通信必須建立安全通信通道。認(rèn)證和信息交換過(guò)程中應(yīng)采用安全的傳輸方式，對(duì)交易數(shù)據(jù)進(jìn)行安全保護(hù)。

以智能卡作為認(rèn)證接口，發(fā)卡機(jī)構(gòu)要建立可靠、完善的密鑰管理制度。充電設(shè)備必須具有認(rèn)證措施，防止非授權(quán)卡啟動(dòng)充電樁。

4 結(jié)論

本文通過(guò)分析分布式充電樁并結(jié)合相關(guān)標(biāo)準(zhǔn)的解讀，研究了分布式電動(dòng)汽車充電樁在信息安全方面面臨的威脅。若充電樁或運(yùn)營(yíng)平臺(tái)被非法用戶攻擊，有可能造成企業(yè)財(cái)產(chǎn)損失、隱私數(shù)據(jù)泄漏的危險(xiǎn)。各樁企當(dāng)前要重視加強(qiáng)防控，為長(zhǎng)期穩(wěn)定發(fā)展打下基礎(chǔ)。充電樁涉及的信息安全問(wèn)題較為分散。為了保障充電樁在運(yùn)營(yíng)過(guò)程中的可靠性，本文建議充電樁企業(yè)在設(shè)計(jì)階段就將信息安全作為重點(diǎn)考慮對(duì)象。

新能源汽車是可持續(xù)發(fā)展的重要一環(huán)，也是我國(guó)當(dāng)前大力推動(dòng)的綠色出行的重要載體，當(dāng)前要注重以技術(shù)推動(dòng)綠色轉(zhuǎn)型，提升充電設(shè)施智能化發(fā)展水平，為充電設(shè)施更為穩(wěn)定地運(yùn)行提供環(huán)境。