工业互联网环境下的充电桩信息安全需求研究

叶琼瑜，张 倩，忻奕敏

(上海电器科学研究所(集团)有限公司，上海 200063)

0 引言

近年来，国家和政府持续推行绿色出行理念，推动新能源汽车进入高速发展新阶段。汽车产业也迎来集智能、网联、电驱动、共享于一体的转型升级阶段。作为新能源汽车能量补充的主要途径，充电桩成为关键技术载体。新能源汽车充电桩将电网电能转化为电动汽车车载蓄电池电能，不仅可以有效促进新能源汽车产业发展，而且作为“信息桩”“数据桩”和“网联桩”，加速我国社会信息化、数字化转型步伐，推动经济稳定、快速发展[1]。

充电系统是充电数据产生的主要场所，而充电数据是充电运营系统中传输的重要信息。信息的安全与正确是保证充电桩正常、稳定运营的基础。

在工业互联网的背景下，充电运营平台成为工业网络的一部分。充电运营是一项复杂的系统工程，结合标准T/CEC 208—2019《电动汽车充电设施信息安全技术规范》对充电设施信息安全所规定的内容，充电桩涉及的安全主要包括运营平台安全、充电设备安全、移动智能终端安全和接口安全四部分[2]。以上四个部分都是在保障信息安全，防止个人及业务信息泄漏、被盗取、篡改或受到恶意攻击造成系统瘫痪。

1 充电桩的运营与功能

1.1 充电桩的运营情况

充电桩主要安装在住户区、公共服务区、大型商业区以及停车场等场所。充电桩由电动车主机厂或专业化桩企运营。部分主机厂为了保证服务质量、改善消费者体验感受、维护品牌形象等，选择自主研发、制造充电桩，典型代表如特斯拉、蔚来等。

充电桩经营模式主要分两类，分别为互联网模式及互联网+硬件设施模式。互联网模式下，经营主体的主要职能包括第三方硬件设施购买、充电桩建设安装和充电桩线上应用(application,APP)管理运营。互联网+硬件设施模式增加了底层生产企业。该模式有利于最大化实现硬件与软件的协调统一，能够掌握硬件设施的技术标准体系，并通过销售充电桩硬件实现盈利[3]。

1.2 充电桩的系统架构及功能

智能充电桩的硬件系统主要组成部分为中央主控板、4G或Wi-Fi通信模块、检测芯片、显示装置、IC 读卡器、监控装置等[4]。硬件系统主要实现充电桩的基本功能，包括启动、运行、监控等。软件系统的作用同样重要。其将充电桩内部的所有功能模块有效结合起来，协助各模块功能相互配合，从而顺利、高效地完成充电工作。

电动汽车充电设施信息交换基础架构[5]如图1所示。

图1 电动汽车充电设施信息交换基础架构

智能充电桩的信息服务系统作为应用系统，主要作用是处理电动汽车充电服务信息。该系统是充电运行网络中的主要服务单元。信息服务系统包括三大部分，分别为平台系统、设备系统和终端系统。平台系统的主要功能包括联网监测、运行管理、客户服务和计费财务管理等。设备系统的主要功能包括身份认证和权限划分、充电、联网通信、故障监控。终端系统的主要功能包括用户获得充电服务、启停充电、服务交易与计费支付。不同的信息系统通过设置相应的通信接口进行数据交换，从而完成充电业务协同。

基于以上架构，电动汽车充电设施的信息安全防护对象主要分为实体和接口两种类型。实体指充电设施中的充电设备、运营平台以及移动智能终端。接口一般包括充电设备和运营平台之间的接口、运营平台与移动智能终端之间的接口、充电设备与移动智能终端之间的接口，以及运营平台与其他平台之间的接口。对于分布式电动汽车充电桩而言，其主要面临的威胁是信息被窃取的威胁。通常情况下，各类非法人员会通过抓包、窃听等措施获得一些用户的隐私信息，如用户手机号、密码、账户金额等，或者通过对系统进行恶意攻击得到信息[6]。

2 实体安全

2.1 运营平台安全

运营平台安全要求主要分为系统安全防护、网络安全防护、基础软件安全防护以及业务系统安全防护四类。

在系统安全防护方面，主要考察运营平台配置情况，包括硬件配置、网络及安全设备配置等。例如，系统应保证业务连续性，也就是要避免因硬件单节点故障或单网络链路中断而导致业务中断。为此，系统在配置时应具备至少双节点的冗余配置；服务器主机使用双机配置；网络接入采用至少双链路的接入方式；网络及安全设备配置为双节点的方式等。此外，数据应进行分级、分类。平台应建立完善的存储备份策略，保证数据存储安全。

在网络安全防护方面，网络通信的出入口访问和各业务系统的服务器和数据库应通过有效的技术手段进行隔离或控制，如：增加安全防护设备；对外通信的服务器可配置在隔离区(demilitarized zone,DMZ)；数据库、重点业务区及内网服务器主机应部署在内网区域；普通办公网络与数据中心区相隔离。此外，平台还应建立完善的平台分配机制和安全审计机制，具体权限包括人员、应用、平台和接口访问等；同时，安全审计日志须定期备份。

针对基础软件安全防护，操作系统应保证定期进行漏洞扫描、补丁更新，并且配置安全防御系统，如入侵防御系统(intrusion prevention system, IPS)等，对非法入侵、恶意代码进行防范和记录。基础软件应具备严格的身份认证机制。服务器硬盘应通过人为查看或统一运维平台等方式进行监控。

业务系统安全防护主要考虑业务运营以及相关业务数据的安全。首先，为了避免因单节点故障而导致的业务软件崩溃，在不同的服务器上应部署至少两套软件。其次，必须保证业务软件在数据交互过程中的数据保密性和有效性。重点数据应进行脱敏以及加密处理，在交互中使用散列算法、数字签名、证书等数据校验机制。业务系统和其他系统一样，须定期进行漏洞扫描和挖掘，并具备相应的补丁策略。业务数据备份机制也是企业必须考虑的重点。

2.2 充电设备安全

充电设备安全包括物理安全、数据安全和控制安全三部分。

首先，充电设备应保证外壳封闭无外露接口，非专业人员不可轻易将机壳拆开，否则存在数据被还原的风险。设备内部的4G或蓝牙通信模块应具有唯一的标志码，如国际移动设备识别码(international mobile equipment identity,IMEI)等，以防被替换。

本地数据应存储在外部Flash中，并采取强加密算法进行加密。目前，其主要采用高级加密标准(advanced encryption standard，AES)、三重数据加密标准(triple data encryption standard，3DES)、国际数据加密算法(international data encryption algorithm,IDEA)等类型的对称加密算法。其中，AES算法运算速度较快，对内存的需求较低，具有更好的灵活性和安全性。AES为分组密码，也就是把明文分成许多长度相同的小组，每次对一组数据加密，直到加密完所有明文。AES算法中的明文分组长度为128位。密钥长度能设为128位、192位、256位。依照密钥长度大小差异性，AES能有效命名为AES-128、AES-192、AES-256[7]。

目前，大部分充电桩都采用空中下载技术(over-the-air technology,OTA)升级，少部分采用离线升级，由区域管理员线下进行。分布式电动汽车充电桩在运行中较多使用基于4G公网的无线通信。因此，破坏充电桩周围的通信基站也可实现攻击的目的[8]。在升级过程中需要格外注意信息安全问题。首先，必须由经过授权的管理员登录平台端进行升级、管理和调试。升级包下发一般应采用较安全的文件传输协议，如安全文件传送协议(secure file transfer protocol, SFTP)或安全外壳协议(secure shell,SSH)等。普通的FTP协议不能保证升级包传输的安全性。充电桩在接收到升级包后，需要对软件进行认证和完整性校验，且应具备安全免疫机制，主动对未知代码执行进行阻断。充电桩内部的操作系统一般应采用标准操作系统，以保证代码不会轻易故障。目前，大部分公司采用嵌入式实时操作系统FreeRTOS作为充电桩内部的操作系统，同时可考虑采取一些额外的加固措施。

充电桩与运营平台进行数据交互时，要保证数据的完整性和保密性。通信过程首先要具有准入与措施，如采用802.1x协议等方式，并且采用端口默认关闭策略，关闭非系统运行和维护所必需的网络端口。一般系统运行时开放一个端口，升级时开放另一个端口；或者运行和升级采用同一个端口。数据在传输的过程中一定要对数据有效性和完整性进行校验。对此，可在通信协议的报文格式里增加校验位对完整性进行校验。同时，为了保证数据传输的保密性，可先采用对称加密算法加密传输数据，再用非对称算法加密随机生成的密钥。若在数据传输时采用数字证书或数字签名，即可同时保证数据的有效性、完整性和保密性。

一般充电桩都具有存储审计记录的功能。审计日志不仅在本地存储，还应按照一定频率备份到云平台。所有审计日志只能由经过授权的人员查看，且都不可删除或修改。一般情况下，审计日志需包含运行日志、操作日志、登录日志、故障日志等。

2.3 智能移动终端安全

随着手机智能程度的提高，以及4G、5G通信技术的快速迭代和发展，人们已快步迈向移动互联网时代。据统计，我国手机用户平均每天使用手机3.9小时，充分体现了现代社会人们对手机的依赖。 然而，在享受移动互联网时代带来的各种便利的同时，人们也不得不面对其伴随的严重的个人信息安全隐患, 手机APP个人信息安全问题不容小觑[9]。

目前，用户启动充电桩的方式主要分为三类，分别是刷卡充电、APP启动或微信小程序启动充电。其中，APP作为手机应用软件，开发过程可能存在较多漏洞，具有较高的信息安全风险。

APP应遵循最小安装方式，禁止一切非功能说明文档中的功能，尤其是涉及到用户隐私的功能。安装时，APP也不允许捆绑下载和安装非用户授权的其他应用软件；卸载时，同样不得有相关文件残留。安装包须具有证明开发者身份的签名信息，并且在升级过程中对升级包进行校验。

APP在使用过程中必须进行身份认证。所有的访问、订购业务和对数据进行的操作都必须经过用户授权。审计日志和数据加密存储在本地，并按照一定频率备份到云平台。此外，与平台进行数据交互也要保证完整性和保密性。

针对APP代码本身，应定期进行漏洞管理，防止日志泄漏和代码被反编译。

3 接口安全

电动汽车和电网间的能量与数据交互可以通过一种新技术实现，即常说的电动汽车与电网(vehicle-to-grid，V2G)交互技术。智能交通系统为行驶状态下的电动汽车参与V2G提供了通信环境支撑[10]。信息交互离不开接口的连接。充电桩在运营过程中的接口安全涉及以下几个类型：充电设备和运营平台之间的接口、运营平台之间的接口、以移动智能终端作为认证接口、以智能卡作为认证接口。

充电设备和运营平台之间的接口在充电设备安全部分已经提及。充电桩与运营平台通信要具备准入措施，包括对运营平台下发的各种指令进行安全性和完整性鉴别。数据传输过程中的保密性同样在设备安全中已提及。需额外考虑的是：在网络瘫痪的情况下，充电设备要采用备用充电方案保证充电正常运行；网络恢复后，要及时上传网络异常记录。

部分充电桩企业除了自行搭建的充电桩管理平台，还租用或采用其他云平台进行业务运营。两个平台之间的通信应具备安全保护措施。具体措施一般包括多因子认证、IP访问控制、数据加密、数字签名和重发机制等。

以移动智能终端作为认证接口时，设备上的二维码要进行安全防护，具体措施包括编码之前加密等。通过APP智能终端或微信小程序扫码，或通过蓝牙连接进行充电时，必须接入后台进行信息交换，并且获得准确的认证反馈。APP与运维平台通信必须建立安全通信通道。认证和信息交换过程中应采用安全的传输方式，对交易数据进行安全保护。

以智能卡作为认证接口，发卡机构要建立可靠、完善的密钥管理制度。充电设备必须具有认证措施，防止非授权卡启动充电桩。

4 结论

本文通过分析分布式充电桩并结合相关标准的解读，研究了分布式电动汽车充电桩在信息安全方面面临的威胁。若充电桩或运营平台被非法用户攻击，有可能造成企业财产损失、隐私数据泄漏的危险。各桩企当前要重视加强防控，为长期稳定发展打下基础。充电桩涉及的信息安全问题较为分散。为了保障充电桩在运营过程中的可靠性，本文建议充电桩企业在设计阶段就将信息安全作为重点考虑对象。

新能源汽车是可持续发展的重要一环，也是我国当前大力推动的绿色出行的重要载体，当前要注重以技术推动绿色转型，提升充电设施智能化发展水平，为充电设施更为稳定地运行提供环境。