速览.

电动车充电是多方安全问题:车端、桩端、CPO 后端、EMSP 与证书颁发方。OCPP 2.1(2025 年 1 月)是最新版本;2.0.1 仍在大量部署,且已被批准为 IEC 63584。

对驾驶员而言,一次充电过程看起来很简单:插上电缆、认证、充电、付款。在这一体验背后,是覆盖车辆、充电桩、充电管理后端、漫游平台、支付服务、证书基础设施、移动应用、云服务,有时还包括电网或楼宇管理网络的分布式系统。

任一环节的弱点都会波及其他环节。被入侵的充电桩可能暴露客户数据,或成为进入运营商网络的立足点。被盗的后端凭据可控制成千上万的充电桩。出错的 Plug & Charge 证书流程可能在大规模上中断认证。一个不安全的智能充电接口可能把一队充电桩变成协同的负载操纵工具。

NIST 的 EV 极速充电 Profile 把生态划分为四个互联领域:EV、EVSE 或充电桩、云与第三方运营,以及电网或楼宇网络。这是正确的起点。仅靠加固充电桩无法解决电动车充电网络安全问题。

本指南为汽车与充电相关方提供一份实用安全模型。聚焦于充电特有的架构、协议、信任、运营与证据,而非重复一般联网车渗透测试建议。

梳理充电信任链

从端到端交易出发,而不是从设备清单出发。

一次典型的公共 Plug & Charge 流程可能包含:

  1. 车辆使用 ISO 15118 与 EVSE 建立通信。
  2. EV 与 EVSE 协商充电参数,并通过证书进行认证。
  3. 充电桩使用 OCPP 与 Charging Station Management System 通信。
  4. CSMS 与 charge-point operator、e-mobility 服务提供方、漫游平台、支付提供方或证书服务交换信息。
  5. 智能充电逻辑可能与电网、站点控制器、能源管理系统或 distributed-energy resource 平台交互。
  6. 固件、诊断、安全日志与运维指令通过独立的管理通道传输。

每条箭头都承载身份、授权、完整性、可用性、隐私与生命周期假设。安全架构应记录:

  • 每个系统由哪家组织运营。
  • 使用的协议与版本。
  • 端点如何认证。
  • 密钥与证书存储位置。
  • 允许哪些指令。
  • 采集与保留哪些数据。
  • 软件如何更新。
  • 连接或信任失效时会发生什么。

一份缺少所有权与信任信息的拓扑图是不够的。许多充电安全事件起源于供应商之间的缝隙,而非单一产品内部。

四个安全领域

1. 电动车辆

车辆内含 Electric Vehicle Communication Controller、充电控制逻辑、电池管理接口、合同证书、配发凭据与用户账户连接。安全关切包括证书被盗、密钥存储不安全、协议解析漏洞、恶意充电消息、不安全的功率协商,以及从信息娱乐或远程信息处理横向移动至充电系统。

车辆应将充电桩视为外部且可能敌对的系统。输入校验、协议状态强制、超时、安全回退、网络隔离与受控证书管理至关重要。

2. 充电桩或 EVSE

充电桩集成功率电子、嵌入式软件、网络连接、本地用户界面、支付终端、维护端口与物理访问。它可能被部署在公共且不受控的位置,使用多年。

风险包括暴露的服务、默认凭据、可移动存储滥用、调试访问、固件篡改、OCPP 凭据被盗、日志泄露、拒绝服务、计量数据篡改,以及对通信或控制硬件的物理攻击。

3. 云端与第三方运营

CSMS 可管理大量充电桩、下发固件、变更配置、授权交易、获取日志并下发远程指令。其失陷可造成车队级后果。

云域还包括漫游、身份、支付、分析、客户应用、支持工具与供应商门户。损坏的对象授权、弱的服务凭据、不安全的 API 消费与过度的管理权限是主要关切。

4. 电网与楼宇网络

智能充电与车网互动把充电连接到站点能源管理与电网运营。错误或恶意指令可能在跨多个资产协同时造成局部过载、服务中断、财务损失或不稳定。

安全必须同时保障能源目标与充电可用性。系统需要在云端或电网指令不可用或不可信时具备本地故障安全行为。

ISO 15118 与 Plug & Charge 安全

ISO 15118 定义车辆与充电设备之间的通信,并支持包括 Plug & Charge 在内的功能。Plug & Charge 使用公钥基础设施,使车辆无需驾驶员出示 RFID 卡或打开应用即可完成认证并获得充电授权。

其安全价值显著,但运营复杂度也很高。信任生态可包含:

  • 车辆 OEM 配发证书。
  • 与 e-mobility 服务合同绑定的合同证书。
  • EVSE 证书。
  • 根与从属证书颁发机构。
  • 证书配发服务。
  • 在线状态或撤销服务。
  • 充电运营方与出行服务方。

安全实现不仅仅是支持 TLS。团队应治理:

  • 车辆与 EVSE 硬件中的密钥生成与存储。
  • 证书签发与身份验证。
  • 合同证书的安装与更新。
  • 信任库分发与根证书过渡。
  • 撤销与状态查询。
  • 过期行为与宽限期。
  • 时钟精度。
  • 多合同与车辆转移场景。
  • 失败的配发与恢复。
  • 在日志中不暴露私钥或不必要的个人数据。

测试负向案例。当证书过期、被撤销、来自未知链、策略错误或被用于错误合同时会发生什么?车辆或充电桩是安全回退,还是悄悄绕过认证?

充电桩到后端的 OCPP 安全

OCPP 是充电桩与管理系统之间的主要运营协议。OCPP 2.0.1 引入了定义的安全 Profile、客户端证书密钥管理、签名固件支持与安全事件日志。Open Charge Alliance 当前的运营指引强调安全凭据管理与安全的辅助文件传输通道。

关键控制包括:

双向信任

使用与网络及威胁模型相称的安全 Profile。在不可信网络上避免无认证或弱保护操作。充电桩身份应绑定到受管凭据,而非仅靠消息中传递的序列号。

证书与凭据生命周期

为每个充电桩配发唯一凭据。按既定周期与发生失陷后轮换。防止一个充电桩的凭据被用于认证另一设备。在合理情形下使用硬件支持的存储保护私钥。

指令授权

后端应强制规定哪些运营方、服务与自动化工作流可下发远程启停、解锁、配置、复位、固件与诊断指令。人类管理员应使用强认证与最小权限。

安全固件

在安装前核验签名固件,保护回滚策略,校验兼容性,并保留每台充电桩所安装内容的证据。下载通道也必须受保护;签名映像无法保护不安全传输路径的可用性或机密性。

安全事件日志

对充电桩安全事件做标准化,保留时间与设备身份,并把高价值事件路由到监控。避免在无需要的情况下采集会暴露秘密或客户数据的日志。

清单与版本控制

了解部署了哪些充电桩、供应商、固件版本、协议 Profile、证书与配置。漏洞通告只有在运营方能迅速识别受影响桩位时才可执行。

不要忽视辅助通道

主 OCPP WebSocket 可能受保护,但其他路径仍可能暴露。充电桩通常对以下使用独立机制:

  • 固件下载。
  • 诊断日志上传。
  • 远程 shell 或厂商支持。
  • 支付终端管理。
  • 蜂窝调制解调器管理。
  • 本地 Web 界面。
  • 站点控制器集成。
  • 时间同步。
  • 证书注册。

盘点每条通道,并施加相同的身份、加密、授权、日志与生命周期纪律。Open Charge Alliance 特别警告不要对固件与日志使用不安全的文件传输方式。

厂商支持路径需要特别审视。共享的远程访问账户或不受管的支持隧道可绕过 OCPP 中设计的更强控制。

高优先级攻击场景

充电桩车队接管

攻击者攻陷 CSMS 管理员、API 客户端或软件供应链,并向许多充电桩下达指令。后果可能包括大范围停机、配置篡改、凭据更换或恶意固件部署。

Plug & Charge 凭据滥用

合同证书、配发密钥或后端账户被盗,用于欺诈充电或假冒。弱撤销或延迟传播延长了攻击窗口。

计量与交易篡改

充电会话数据被篡改,用于欺诈、纠纷计费、错报能量或掩盖未授权使用。完整性需要覆盖从测量到结算的全链。

恶意的桩到车输入

被入侵的 EVSE 向车端发送畸形或不安全的协议消息,意图利用车辆通信控制器或充电逻辑。车辆防护必须假设公共充电桩不可信。

负载操纵

攻击者更改站点或车队的充电调度,造成峰值、中断运营或干扰电网服务。需要强授权与本地安全限值。

隐私暴露

充电记录揭示位置、行程模式、车辆身份、账户信息与支付行为。过度日志或弱接收方授权可把运营数据变为监控数据。

物理失陷

攻击者打开机柜、接触调试端口、替换存储、附加恶意设备或窃听通信。防拆证据、安全启动、端口控制与现场检查有助限制持久化。

安全充电的架构原则

把功率控制与业务服务隔离

支付、广告、本地 UI 与客户 Wi-Fi 不应与安全相关的充电控制无限制共享访问。使用硬件与网络分隔,并采用窄定义的接口。

让本地行为安全且具韧性

在云端控制丢失时,充电桩应维持安全的电气限值;在身份、时间、证书状态或智能充电指令无法验证时,应可预测地失败。

最小化常态权限

后端服务与运营方应只获得所需的指令与桩位组。把固件管理、客户支持、支付运营与安全监控分开。

使用零信任服务身份

在云内对服务间调用进行认证,而不仅是用户登录。保护秘密、定期轮换,并尽可能使用工作负载身份。

分离租户与运营方数据

漫游与白标平台服务于多家组织。强制执行对象级授权,确保一家运营方无法查看或控制另一家运营方的充电桩、会话、客户或证书。

为替换与停止支持而设计

充电硬件的部署寿命可能超过厂商软件支持期。采购应处理安全支持期、补丁交付、凭据转移、组件停产与安全退役。

安全采购要求

充电桩安全规格应要求可验证的能力,而非泛泛声明。

向供应商索取:

  • 支持的 OCPP 版本、版次、安全 Profile 与认证状态。
  • ISO 15118 与 Plug & Charge 能力。
  • 安全启动与签名固件设计。
  • 唯一设备身份与密钥存储方案。
  • 软件物料清单与漏洞处置流程。
  • 支持期与补丁时间线。
  • 远程访问架构。
  • 安全事件 schema 与导出选项。
  • 本地端口与物理防拆控制。
  • 密码敏捷性与证书更新流程。
  • 渗透与协议 fuzzing 证据。
  • 事件通报承诺。
  • 安全的恢复出厂与退役流程。
  • 数据归属、驻留、保留与删除条款。

包含验收测试。诸如"支持签名固件"的要求应通过无效签名、错误版本、撤销密钥、中断安装与回滚尝试加以测试。

测试策略

电动车充电需要在组件、协议、集成与生态四个层级进行测试。

车-EVSE 协议测试

测试 ISO 15118 的消息解析、状态转换、超时、证书链、重协商与畸形输入。包含跨多个厂商的互操作。

OCPP 测试

核验认证、证书注册、指令授权、重放抵抗、安全固件、事件上报、配置限制与错误处理。对每个支持的协议版本与安全 Profile 进行测试。

后端 API 测试

测试租户隔离、对象授权、速率限制、管理权限、webhook 校验、合作伙伴 API 与移动应用流。

物理与嵌入式测试

评估调试端口、启动完整性、存储保护、本地接口、调制解调器配置与机柜访问。确认物理失陷不会自动暴露云端凭据或签名密钥。

韧性测试

模拟云端故障、证书服务故障、时间丢失、蜂窝失效、固件损坏、部分车队失连、断电与恶意智能充电指令。验证安全降级运行与恢复。

供应链测试

审查 SBOM、第三方组件、构建来源、签名流程与厂商更新基础设施。安全的充电桩不能依赖一个不安全的更新工厂。

监控与事件响应

运营方需要跨桩位、云端、账户与能源行为的可见性。高价值检测包括:

  • 反复的认证或证书失败。
  • 凭据来自意外的桩位或地区。
  • 维护窗口外的配置变更。
  • 批量远程指令。
  • 来自异常源的固件下载或安装。
  • 安全 Profile 降级。
  • 意外的桩位复位或时间变更。
  • 计量数据异常。
  • 异常的交易或授权模式。
  • 某桩位组日志丢失。
  • 超出批准限值的智能充电指令。

事件记录应把充电桩、站点、固件、证书、运营方、后端服务、受影响会话与处置串联起来。这支持车队范围界定,并辅助监管、合同与客户沟通。

提前演练场景。充电桩车队并非总能安全或商业上可接受地下线。响应选项可包括凭据撤销、指令限制、网络隔离、仅本地运行、分阶段固件、现场处置或临时服务限制。

证据与治理

充电安全证据包应包含:

  • 端到端架构与信任边界。
  • 资产与数据清单。
  • 协议版本与安全 Profile。
  • 证书策略与运营记录。
  • 固件基线与签名证据。
  • 充电桩配置与凭据清单。
  • 威胁分析与控制映射。
  • 测试计划、结果与未决发现。
  • 厂商与子供应商证据。
  • 监控覆盖与事件记录。
  • 变更与发布批准。
  • 支持与退役计划。

保持证据时效。固件 1.2 的测试报告不能证明 1.8 安全。证书、配置与后端变更可在不变更充电桩硬件的情况下改变风险。

分阶段改进路线图

阶段 1:盘点与遏制

识别每台充电桩、固件版本、OCPP Profile、后端端点、证书、远程访问路径与所有者。消除共享的默认凭据与不安全的辅助传输。

阶段 2:建立信任与更新控制

实现唯一身份、更强的 OCPP 安全 Profile、证书生命周期管理、签名固件、受控管理与发布证据。

阶段 3:连接监控与风险

标准化安全事件,把漏洞链接到已部署桩位,构建车队范围查询,并演练事件手册。

阶段 4:扩展互操作保证

运行周期性的跨厂商 ISO 15118 与 OCPP 测试,自动化证据收集,并把电网、漫游伙伴与支付提供方纳入联合场景。

ThreatZ 如何支撑生态视图

充电安全证据通常分散在车辆 TARA 文件、充电桩厂商门户、云端工单、PKI 系统、固件仓库与运营方事件工具中。ThreatZ 可提供一个互联的风险与证据层,把车辆、EVSE、后端、软件组件、供应商、威胁、控制、测试、漏洞与事件链接起来。

首个试点应聚焦:一个车辆项目、一个充电桩型号、一个 CSMS 后端与一条 Plug & Charge 流。其产出是一张端到端的信任与证据图,揭示出任何单方都看不见的缺口。

常见问题

OCPP 2.0.1 自动就安全吗?

不是。它提供了更强的安全能力,但部署选择、凭据管理、授权、固件运营、辅助通道与后端安全共同决定结果。

Plug & Charge 只是支付功能吗?

不是。它是一个基于证书与多组织的认证与授权生态。其 PKI 生命周期是一项安全关键的运营服务。

电动车充电网络安全的责任在谁?

责任由 OEM、EVSE 制造商、充电运营方、出行服务商、云与漫游平台、电网、站点业主与证书运营方共享。合同与接口协议应明确各方职责。

最大的车队级风险是什么?

充电管理或更新平面被攻陷可一次影响许多充电桩。强管理安全、服务身份、指令授权、网络分段与监控至关重要。

项目应从何处开始?

从盘点与信任映射开始。许多组织甚至无法列出所有已部署的固件版本、OCPP 安全 Profile、充电桩凭据、远程访问路径与后端责任人。具备这一可见性是高级控制有效的前提。

权威参考

  • NIST IR 8473:Cybersecurity Framework Profile for EV Extreme Fast Charging Infrastructure
  • Open Charge Alliance:OCPP
  • Open Charge Alliance OCPP Security Operations Guide
  • CharIN Plug & Charge
  • CharIN Plug & Charge PKI
  • U.S. Department of Energy:Securing EV Charging Infrastructure

VxLabs 相关延伸阅读