综合能源服务充电网络安全技术方案的研究

来源：核心期刊咨询网时间：12

摘要：摘 要：针对目前互联网+充电设施构建的电动汽车充电服务网络，本文提出一种电动汽车充电服务网络安全技术方案。该方案立足于(移动)互联网应用背景，将充电设施接入充电服务网络系统，引导用户访问充电服务网络系统，并站在人、车、桩互联互通角度，深入思考

　　摘 要：针对目前“互联网+充电设施”构建的电动汽车充电服务网络，本文提出一种电动汽车充电服务网络安全技术方案。该方案立足于(移动)互联网应用背景，将充电设施接入充电服务网络系统，引导用户访问充电服务网络系统，并站在人、车、桩互联互通角度，深入思考新形势下电动汽车充电服务网络建设中的网络安全。其间重点研究了电动汽车充电服务网络的安全架构、业务逻辑和配置策略。在区域城市，电动汽车充电服务网络进行示范试运行，提高了充电设施运营管理能力，提升了客户服务水平，促进了充电服务产业的规范有序发展。

　　关键词：互联网+;网络安全;充电服务网络;充电设施;电动汽车

　　随着社会经济的发展，石油、煤炭等传统化石能源越来越难以满足人们对绿色环保、安全可靠的要求，而二次能源電能因绿色环保、来源广泛、传输方便等特点受到青睐，因此研究和发展电动汽车成为电能替代领域研究的主流方向之一。同时，推广电动汽车对于我国节能减排、绿色发展，减少石油对外依赖，保障国家能源安全，实现社会可持续发展具有重要意义。

　　充电设施是电动汽车能源补给的基础设施，直接影响电动汽车的推广应用，而传统的相对集中、专用局域网、封闭独立、孤立运营的充电站无法完全满足不同客户和多样化的服务模式需求。基于(移动)互联网、设施分布广域化、服务模式多样化、车桩互联互通便捷化正在成为市场发展的新方向，成为服务电动汽车车主的新选择。张维戈等[1]研究了电动汽车充电设施接入电网以及带来的影响。有研究[2-4]分析了充电设施的优化布局，探讨了充电负荷分配、充电调度以及充电桩技术方案。还有研究[5-6]分析了充电服务网络中电动汽车智能、有序充电的策略。

　　本文首先介绍了电动汽车充电服务网络及充电服务系统框架、设计原则、业务逻辑、实现方式，然后研究了电动汽车充电服务网络，设计了充电服务网络安全架构、配置策略，并以此技术方案建设充电服务网络安全系统，完成对电动汽车充电服务网络的安全支撑。

　　1 充电服务网络

　　1.1 充电服务网络概述

　　电动汽车充电服务网络是通过(移动)互联网，采用基于Internet的充电设施开放协议，将交流充电桩、直流充电桩、分布式充电桩和集中式充电桩群等充电设施接入而构成的一种闭环充电服务系统。每类充电设施通过智能控制器与系统进行安全认证、充电消费结算、状态监测等信息交互。对于散布充电桩，智能控制器通过无线GPRS/3G/4G/5G网络与充电系统通信，对于集中式充电桩(或者充电站)，智能控制器通过集中的上网设备(具备ADSL、光纤等上网方式)与充电系统进行通信，其网络示意图如图1所示。

　　充电服务网络涵盖了从“端”到“云”两个层次的建设内容。端层指的是电动汽车充电桩/群，云层则是面向“互联网+充电设施”的充电服务网络系统。同时，端层和云层之间组建了充电桩有线/无线(GPRS/3G/4G/5G)的网络通道，通过(移动)互联网，采用标准开放的充电设施接入协议将充电桩/群接入充电服务网络系统，形成一个完整的闭环服务系统。

　　1.2 充电服务网络系统

　　充电服务网络系统主要具有三大功能。一是向社会公众发布充电设施运行及运营信息，主要包含充电设施分布及状态监测、车主手机APP下载服务、平台服务帮助、最新资讯活动等。二是向充电车主提供充电预约、充电导航、充电状态管理等快捷方便的充电服务。三是向充电运营商提供设施监控、发卡管理、充电收益等经济方便的互联网充电设施监控运营服务。其中，主要功能涵盖充电设施信息采集、充电设施GIS全景监视、充电设施状态实时监视及报警、数据存储和统计、客户端信息交互等。

　　充电设施运营商可以通过手机APP和PC浏览器访问充电服务网络系统，监控充电设施运营。电动汽车充电用户使用手机APP查看充电设施状态和服务能力。

　　1.3 系统基本要求

　　为了实现充电服务系统的功能，系统软件架构基本多采用分层设计，至少需要平台支持层、应用服务层、Web应用层。平台支持层为应用层提供支撑组件，主要包括商业数据库、实时库、应用交互总线及报表等。应用服务层实现电动汽车和充电设施信息采集、处理、存储等服务，对数据进行过滤、统计处理。Web应用层实现定制化的充电服务业务，主要包括设施配置接入管理、地图全景监视、运行报表统计等。

　　系统多采用集中式接入充电设施，根据充电设施数量和运营商数量灵活伸缩，同时通过负载均衡保证系统可靠稳定运行。系统的设施接入实现采用C/S软件架构，以提高系统的性能和响应速度。系统的后台业务处理采用B/S软件架构，以提高系统的易用性和方便性。同时，充电服务系统的监控应用服务、数据服务器根据系统需要采用集群设计和切割方案。

　　标准开放的通信协议与信息交互接口实现了充电设施接入系统。不过，由于Internet的传输特点、充电设施信息共享需求和系统的远程管理功能，系统安全要求较高。用于充电服务网络的基于Internet的充电设施通信协议，要满足以太网传输要求和无线GPRS传输的要求，而且为了保证互动信息传输的安全性，协议多采用报文加密机制。其中，协议交互内容涵盖充电交易数据、设施状态、黑白名单、充电状态、充电预约等。

　　2 服务网络通道

　　2.1 网络内外隔离

　　充电设施、运营商平台、充电服务系统之间通过(移动)互联网虚拟专线形成内网。充电设施数据由设施智能控制器内的SIM卡传送到运营商平台，然后经过运营商专线电路集中回传到充电服务系统。电动汽车充电用户通过(移动)互联网访问充电服务系统，系统Web服务和核心数据服务之间经由网闸隔离形成外网。用户利用手机APP访问系统提供的充电应用服务，设施和系统之间信息不直接面向互联网进行开放，构建专线网络确保安全，充电设施内置SIM卡与用户手机端SIM卡在数据传输过程中以虚拟隧道的形式实现业务数据与互联网数据的隔离，确保数据的安全性。

　　2.2 专线通道访问

　　充电服务网络从运营商处获取分配的独有VPN通道，输数据接入运营商VPN平台，并与运营商数据分组核心网相连。数据传递采用GRE的隧道封装方式，终端上传的数据封装在隧道中进行传输。同时，专线接入QoS比较稳定，满足数据上传需求。

　　另外，网络构建采用VPN组网技术，通过专用的VPN客户端、usbkey、动态口令卡、图形认证码等实现网络访问。通过建设Hub-Spoken拓扑模型，Dvpn动态虚拟技术获取对端信息建立连接的方式，应用安全套接SSL-VPN协议保证发送信息的安全。

　　3 系统网络框架

　　3.1 分区防护设计

　　充电服务网络由终端单元、(移动)互联网、数据中心和若干监控点组成。充电服务网络系统的操作系统多采用Linux系统，数据服务中心服务器直接在网络防火墙后面对互联网，为防止服务器被非法访问和攻击，保护网络设备安全，人们需要从Internet防火墙、Web防火墙、主机訪问策略、DMZ防火墙、VPN通道5个方面进行安全防护设计。同时，从业务功能上考虑，将安全架构划分为四个功能区域，即互联网接入区、DMZ1区(接入Web服务器、手机服务器)、DMZ2区(充电桩数据接入服务器)和核心业务数据区(接入数据服务器)，各区通过DMZ防火墙设置访问授权。

　　3.2 区域部署隔离

　　DMZ1区部署Web防火墙，为Web服务器提供深层安全保护;部署SSL卸载&服务器负载分担设备，优化HTTPS响应速度并保证Web业务高可用性;部署运营平台WEB服务器、手机APP服务器;部署Web-db边界防火墙，实现DMZ1与数据区的隔离。

　　DMZ2区部署VPN网关设备，提供VPN专线接入;部署服务器负载分担设备，用于通信接入优化和提高可用性;部署内网边界防火墙，实现DMZ2区与数据中心服务器区间的隔离。

　　DMZ3区部署Oracle双机服务器;建立独立的Raid5服务器磁盘阵列或共享连接SAN存储系统，实现历史数据的存储池;采用“核心-边缘”分区模块化架构，各服务器区围绕网络核心区部署，各服务器与网络核心区之间通过防火墙进行访问控制。

　　互联网接入区部署链路分担设备，提供ISP的互联网接入，并承担域名解析功能;部署流量清洗，防御DDOS攻击;部署外网边界防火墙，实现互联网和DMZ区隔离。

　　3.3 边界安全设计

　　充电服务网络面向不同用户、不同运营商开展多模式网络设计，不但保证充电服务网络面向不同用户和运营商的数据交易安全，而且满足数据客户端和其他平台的互联互通需求。各功能区域以防火墙作为区域安全边界，为提高充电服务系统的整体安全性，各区域边界防火墙采用不同厂家的产品，在整体布局上形成“多层异构防火墙”安全架构。

　　4 网络安全策略

　　4.1 系统基本防护

　　充电服务网络系统基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制，通过流量管理、连接数控制、IP+MAC绑定、用户认证等方式配置多样化应用过滤。同时，基于屏蔽列表、关键字技术等Web过滤功能，配置Java Applet、Cookie、Script和Object的内容的过滤功能。

　　推荐阅读：“互联网+”背景下影响收银审核绩效的因素及改进对策

转载请注明来自：http://www.qikan2017.com/lunwen/nye/18406.html