专利名称:电动汽车与充换电站的安全数据交换方法及系统的制作方法
技术领域:
本发明涉及智能电网的数据安全领域,尤其涉及一种电动汽车与充换电站的安全 数据交换方法、安全信息管理中心及安全数据交换系统。
背景技术:
电动汽车作为一种智能设备,存在着与智能电网进行数据交互的需求。而智能电 网不仅能传输电流,还能够发送数据,即时掌控电力信息并调整供需关系,而这些数据则可 能成为恶意使用者的攻击目标。对于电动汽车来说,某些恶意使用者可能篡改电动汽车的标识信息,来骗取充换 电站的免费服务。对于充换电站来说,由于可能被部署在居民小区内,因此也存在着被恶意 用户破坏、篡改或盗取数据的风险,而且智能电网与公网存在接口,也可能成为黑客入侵的 途径。
发明内容
本发明的目的是提出一种电动汽车与充换电站的安全数据交换方法、安全信息管 理中心及安全数据交换系统,能够对电动汽车与充换电站之间的数据交换过程提供可靠性 的保证。为实现上述目的,本发明提供了一种电动汽车与充换电站的安全数据交换方法, 包括电动汽车在需要充换电服务时,向提供充换电服务的充换电站发出经数字签名的 自身的完整性信息,并且还向所述充换电站获取对方的完整性信息的请求;所述充换电站向安全信息管理中心提交所述电动汽车发送的完整性信息,并根据 该请求向所述电动汽车提交经数字签名的完整性信息;所述电动汽车向所述安全信息管理中心提交所述充换电站发送的完整性信息;所述安全信息管理中心根据自身存储的完整性列表分别对所述电动汽车和充换 电站的完整性信息进行认证,并反馈认证结果;在认证结果均符合时,所述电动汽车与所述充换电站之间建立连接,进行数据交 换,所述充换电站为电动汽车提供充换电服务。进一步的,在所述电动汽车在智能电网中进行充电服务的注册登记时,所述电动 汽车计算自身的核心部件对应的完整性值,并向所述安全信息管理中心上报所述电动汽车 的注册信息和完整性值,所述安全信息管理中心将所述电动汽车的注册信息和完整性值存 入所述完整性列表。进一步的,在所述充换电站进行注册部署时,所述充换电站计算自身的核心部件 对应的完整性值,并向所述安全信息管理中心上报所述充换电站的注册信息和完整性值, 所述安全信息管理中心将所述充换电站的注册信息和完整性值存入所述完整性列表。进一步的,所述电动汽车在向交换电站提交经数字签名的完整性信息之前,还包括重新计算所述电动汽车自身的核心部件对应的完整性值的步骤。进一步的,在所述充换电站根据该请求向所述电动汽车提交经数字签名的完整性 信息之前,还包括所述充换电站读取启动时重新计算出的自身的核心部件对应的完整性 值,或者根据所述电动汽车的请求重新计算自身的核心部件对应的完整性值的步骤。进一步的,在所述电动汽车与所述充换电站之间进行数据交换时,采用协商得到 的会话密钥进行数据的加密。进一步的,所述会话密钥采用每次会话生成的方式或按照预设周期生成的方式。进一步的,所述电动汽车在需要充换电服务时,向安全信息管理中心提交经数字 签名的完整性信息的操作具体为所述电动汽车在无法连接网络时,通过充换电站向安全信息管理中心转发经数字 签名的完整性信息;所述电动汽车在可连接网络时,直接向安全信息管理中心提交经数字签名的完整 性f曰息。进一步的,所述完整性值的计算采用哈希算法。为实现上述目的,本发明还提供了一种安全信息管理中心,包括完整性列表保存模块,用于通过完整性列表保存电动汽车和充换电站的完整性信 息;完整性认证模块,用于接收电动汽车和充换电站的认证请求,并根据所述完整性 列表对所述电动汽车和充换电站的完整性信息进行认证;认证结果反馈模块,用于向所述电动汽车和充换电站反馈认证结果。进一步的,还包括设备证书颁布模块,用于在所述电动汽车或充换电站在首次接入智能电网时,核 对所述电动汽车或充换电站的设备信息是否正确,如果核对正确,则允许注册,并为所述电 动汽车或充换电站颁布对应的设备证书。进一步的,还包括会话证书颁布模块,用于在每次会话前或按照预设周期生成会话证书,并为所述 电动汽车或充换电站颁布所述会话证书。为实现上述目的,本发明还提供了一种包括前述安全信息管理中心的安全数据交 换系统,还包括电动汽车,用于在需要充换电服务时,向所述充换电站提交经数字签名的自身的 完整性信息,并向提供充换电服务的充换电站发出获取对方的完整性信息的请求,以及将 交换电站发送的经数字签名的完整性信息上报给所述安全信息管理中心,并在所述安全信 息管理中心对所述电动汽车和充换电站的完整性信息认证通过后,与所述充换电站之间建 立连接,进行数据交换,并接受充换电站提供的充换电服务;充换电站,用于向所述安全信息管理中心提交所述电动汽车发送的完整性信息, 并根据所述电动汽车发出的请求向所述电动汽车提交经数字签名的完整性信息,在所述安 全信息管理中心对所述电动汽车和充换电站的完整性信息认证通过后,与所述电动汽车之 间建立连接,进行数据交换,并为电动汽车提供充换电服务。基于上述技术方案,本发明通过设备完整性信息的认证来验证电动汽车和充换电5站的设备状态的安全性,保证状态正常的电动汽车和充换电站之间才能够进行正常的数据 交换,以及充换电操作,进而保障了用户和服务提供者的利益。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1为本发明电动汽车与充换电站的安全数据交换方法的一实施例的流程示意 图。图2为本发明电动汽车与充换电站的安全数据交换方法的另一实施例的信息传 递示意图。图3为本发明安全信息管理中心的一实施例的结构示意图。图4为本发明安全数据交换系统的一实施例的结构示意图。
具体实施例方式下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。为了防止恶意用户篡改电动汽车的标识信息或者破坏充换电站,因此需要采用一 种手段能够检测出电动汽车和充换电站的状态是否处于正常,以便及时采取记录异常情 况,发出报警以及不提供充换电服务等处理措施。发明人注意到在电动汽车和充换电站中通常包括了一些核心部件,即与计算处理 相关的部件,如电动汽车中电池的版本信息、设备编码、电池状态监控系统设备总线上注册 设备或芯片地址、嵌入式软件的启动状态信息等作为核心部件,这些核心部件在出厂后基 本不会发生变化,只有在被恶意用户篡改或破坏时,会导致核心部件的状态信息发生变化。 对于充换电站来说,嵌入式设备的运行状态、设备编号、启动状态信息、地理信息等也均可 作为核心部件,这些核心部件通常在充换电站被部署后也不会发生变化,只有在被恶意用 户篡改或破坏后,才会导致核心部件的状态信息发生变化。而这些正常状态下不会发生变化的核心部件通过哈希计算获得完整性值也不会 发生变化,因此可以作为判断设备状态可靠性的重要依据。如图1所示,为本发明电动汽车与充换电站的安全数据交换方法的一实施例的流 程示意图。在本实施例中,安全数据交换方法包括步骤101、电动汽车在需要充换电服务时,向提供充换电服务的充换电站发出经数 字签名的自身的完整性信息,并且还向所述充换电站获取对方的完整性信息的请求;步骤102、所述充换电站向安全信息管理中心提交所述电动汽车发送的完整性信 息,并根据该请求向所述电动汽车提交经数字签名的完整性信息;步骤103、所述电动汽车向所述安全信息管理中心提交所述充换电站发送的完整 性信息;步骤104、所述安全信息管理中心根据自身存储的完整性列表分别对所述电动汽 车和充换电站的完整性信息进行认证,并反馈认证结果;步骤105、在认证结果均符合时,所述电动汽车与所述充换电站之间建立连接,进 行数据交换,所述充换电站为电动汽车提供充换电服务。
在本实施例中,电动汽车和充换电站均需要在安全信息管理中心对对方设备的完 整性信息进行验证,换句话说,在提供充换电服务之前,需要确保服务设备和被服务者均确 定处于正常状态,未被篡改或破坏,通过这一手段可以确保伪造设备无法获取非法利益,保 障充换电服务的正常进行。在本实施例中的步骤103中,电动汽车可以通过无线或有线的方式与充换电站连 接,以便发送认证请求及数据交换。电动汽车可以通过一些基于短距离无线通信协议(例 如Zigbee、Bluetooth等)的无线网络与网络侧的安全信息管理中心连接。在电动汽车可 以连接网络时,则可以直接向安全信息管理中心提交充换电站发送的经数字签名的完整性 信息,而如果电动汽车不具有网络通信能力或者目前无法与网络连接,此时还可以通过充 换电站向安全信息管理中心转发该经数字签名的完整性信息。电动汽车和充换电站在向安全信息管理中心提交完整性信息时,还需要对完整性 信息进行数字签名,安全信息管理中心通过检测该签名信息来确定是否为合法用户,进而 还可以检查该用户的账号是否有足够费用等,还可以此检测提供服务的设备是否为合法设 备,避免非法或虚假充电站或充电桩来套取用户的信息及费用。安全信息管理中心可以通 知充换电站该电动汽车是否为合法的接入用户,而充换电站并不能确认具体的用户身份, 从而保障用户隐私,避免恶意管理员利用用户充电的时间和位置来推算出用户当前的活动 范围。安全信息管理中心在进行完整性认证时,需要根据自身保存的完整性列表进行比 对,该完整性列表则是根据电动汽车和充换电站上报的完整性值以及注册信息构成。电动 汽车在智能电网中进行充电服务的注册登记时,电动汽车计算自身的核心部件对应的完整 性值,并向安全信息管理中心上报该电动汽车的注册信息和完整性值,安全信息管理中心 则将该电动汽车的注册信息和完整性值存入完整性列表。当电动汽车每次向安全信息管理中心提交经数字签名的完整性信息之前,需要重 新计算电动汽车自身的核心部件对应的完整性值,以便确定当前电动汽车的状态信息是否 正常。同理,充换电站在智能电网中进行注册部署时,也需要计算充换电站自身的核心 部件对应的完整性值,并向安全信息管理中心上报该充换电站的注册信息和完整性值,安 全信息管理中心则将充换电站的注册信息和完整性值存入完整性列表。当充换电站根据该请求向安全信息管理中心提交经数字签名的完整性信息之前, 可以读取自身启动时重新计算出的自身的核心部件对应的完整性值,该完整性值被保存在 充换电站的安全芯片中。也可以根据每次电动汽车的请求,均重新计算充换电站自身的核 心部件对应的完整性值,从而获得更可靠的状态信息。假设小区内的充电桩被窃电,此时恶意使用者通常需要在充电桩上安装新软件模 块或硬件,或在充电桩内远程下载新的应用程序,而这种方式均会破坏充电设备的系统状 态,例如加入硬件,则设备将能够扫描到新的硬件,即使该硬件符合设计规范能够应用,但 也因完整性计算时影响到最终的完整性值。同理,电动汽车内部假设被非法篡改,则同样会 在完整性计算时影响到最终的完整性值。安全信息管理中心在对完整性信息进行认证时,通过自身保存的完整性值和提交 的完整性值的比对,就可以及时发现电动汽车或充换电站的状态是否异常,如果异常,则可采取一些处理措施,例如拒绝提供充放电服务、发出警示信息、在日志中记录异常情况等, 可采取的处理措施不限于这里给出的几种例子,还可以采用这些处理措施的组合或其他的 处理措施。除了需要检查电动汽车和充换电站的状态信息,还可以对电动汽车的使用者的合 法性以及所述充换电站的合法性进行检查,这可以由安全信息管理中心在检查电动汽车和 充换电站上报的完整性信息的签名来完成合法性的检查。通过了完整性认证和合法性检查后电动汽车与充换电站在进行数据交换时,则可 利用协商得到的会话密钥进行会话数据的加密。该加密所使用的会话密钥已经过第三方认 证中心或安全信息管理中心的密钥签名,因此提供服务一方也无法直接获取用户的身份信 息,从而确保了用户的隐私不被侵犯。电动汽车或充换电站设备在出厂之前,均会颁布对应的设备证书,该设备证书由 设备生产厂商的签名认证,当第一次接入智能电网时,需要对自身的设备证书进行注册,由 于该设备证书已具有生产厂商的签名,因此智能电网可以鉴别该新接入设备是符合相关规 定的生产厂商生产的,设备批号等信息同时也会和前期录入的信息进行对比,核对无误后, 允许注册。设备证书通常可被保存在设备的永久存储区内。设备证书可以用于每次接入的请求,但是考虑到设备证书将伴随设备整个生命周 期,经常参与签名验证运算,会增加被破解的风险,因此可以考虑针对数据交换产生会话证 书,来减小设备证书破解的风险。该会话证书颁布的过程如下首先设备产生密钥对,并将公共密钥及部分身份信息经过设备证书的签名传送给 第三方认证中心或者安全信息管理中心;第三方认证中心或者安全信息管理中心根据签名 信息核对签名信息是否由符合要求的设备提交的;如果是符合要求的设备提交的,则第三 方认证中心或者安全信息管理中心将发送给该设备一个会话证书,该证书内包含用户身份 信息及公钥信息,同时还附有认证中心的签名信息。会话密钥可采用每次会话生成的方式 或按照预设周期生成的方式。如图2所示,为本发明电动汽车与充换电站的安全数据交换方法的另一实施例的 信息传递示意图。在本实施例中以类似信令图的方式给出了电动汽车、充换电站以及安全 信息管理中心之间的信息传递过程,具体包括步骤201、电动汽车需要充换电服务时,计算自身的核心部件对应的完整性值;步骤202、电动汽车通过短距离无线网络(例如Zigbee网络)向充换电站提交经 数字签名的完整性值;步骤203、充换电站将该完整性值提交安全信息管理中心验证电动汽车的合法 性;步骤204、电动汽车还向提供充换电服务的充换电站发出验证完整性信息的请 求;步骤205、充换电站根据该请求读取启动时重新计算出的自身的核心部件对应的 完整性值,或者重新计算自身的核心部件对应的完整性值;步骤206、充换电站向电动汽车提交经数字签名的完整性值;步骤207、电动汽车直接接入网络,就可以将该完整性信息直接提交管理中心,如 若没有网络接入,则需要按照IEEE9798-3协议规定的交互方案,将待验证数据经充换电站提交给安全信息管理中心。步骤208、安全信息管理中心根据自身存储的完整性列表分别对所述电动汽车和 充换电站的完整性信息进行认证;步骤209、安全信息管理中心向电动汽车反馈认证结果;步骤210、安全信息管理中心向充换电站反馈认证结果;步骤211、在认证结果均符合时,电动汽车与所述充换电站之间建立连接,进行数 据交换,所述充换电站为电动汽车提供充换电服务。在上述信息交换的示例中,示出了安全数据交换过程中各个设备之间的信息传递 关系,但并不严格限定于上述各个步骤之间的时序关系,例如步骤207和步骤208之间并不 具有严格的时间先后关系。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。如图3所示,为本发明安全信息管理中心的一实施例的结构示意图。在本实施例 中,安全信息管理中心作为电动汽车和充换电站进行安全数据交换的关键认证设备,可以 尽量减小恶意用户篡改或破坏电动汽车和充换电站所带来的风险,保护电动汽车用户和服 务提供者的权益。本实施例中的安全信息管理中心具体包括完整性列表保存模块11、完 整性认证模块12和认证结果反馈模块13。其中,完整性列表保存模块11负责通过完整性 列表保存电动汽车和充换电站的完整性信息。完整性认证模块12负责接收电动汽车和充 换电站的认证请求,并根据所述完整性列表对所述电动汽车和充换电站的完整性信息进行 认证。认证结果反馈模块13负责向所述电动汽车和充换电站反馈认证结果。在另一个安全信息管理中心的实施例中,还可包括设备证书颁布模块,该模块可 以在所述电动汽车或充换电站在首次接入智能电网时,核对所述电动汽车或充换电站的设 备信息是否正确,如果核对正确,则允许注册,并为所述电动汽车或充换电站颁布对应的设 备证书。该设备证书将作为该设备的身份证明发挥作用。进一步的,安全信息管理中心还可以包括会话证书颁布模块,该模块负责在每次 会话前或按照预设周期生成会话证书,并为所述电动汽车或充换电站颁布所述会话证书。 会话证书则可以提供电动汽车与充换点之间对会话数据进行加密,从而确保数据交换过程 的安全。基于前述的几个安全信息管理中心的实施例,如图4所示,为本发明安全数据交 换系统的一实施例的结构示意图。在该安全数据交换系统中除了包括安全信息管理中心1 之外,还包括电动汽车2和充换电站3。其中电动汽车2负责在需要充换电服务时,向所述 充换电站提交经数字签名的自身的完整性信息,并向提供充换电服务的充换电站发出获取 对方的完整性信息的请求,以及将交换电站发送的经数字签名的完整性信息上报给所述安 全信息管理中心,并在所述安全信息管理中心对所述电动汽车和充换电站的完整性信息认 证通过后,与所述充换电站之间建立连接,进行数据交换,并接受充换电站提供的充换电服 务。充换电站3负责向所述安全信息管理中心提交所述电动汽车发送的完整性信息,9并根据所述电动汽车发出的请求向所述电动汽车提交经数字签名的完整性信息,在所述安 全信息管理中心对所述电动汽车和充换电站的完整性信息认证通过后,与所述电动汽车之 间建立连接,进行数据交换,并为电动汽车提供充换电服务。 最后应当说明的是以上实施例仅用以说明本发明的技术方案而非对其限制;尽 管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解依然 可以对本发明的具体实施方式
进行修改或者对部分技术特征进行等同替换;而不脱离本发 明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
权利要求
1.一种电动汽车与充换电站的安全数据交换方法,包括电动汽车在需要充换电服务时,向提供充换电服务的充换电站发出经数字签名的自身 的完整性信息,并且还向所述充换电站获取对方的完整性信息的请求;所述充换电站向安全信息管理中心提交所述电动汽车发送的完整性信息,并根据该请 求向所述电动汽车提交经数字签名的完整性信息;所述电动汽车向所述安全信息管理中心提交所述充换电站发送的完整性信息; 所述安全信息管理中心根据自身存储的完整性列表分别对所述电动汽车和充换电站 的完整性信息进行认证,并反馈认证结果;在认证结果均符合时,所述电动汽车与所述充换电站之间建立连接,进行数据交换,所 述充换电站为电动汽车提供充换电服务。
2.根据权利要求1所述的安全数据交换方法,其中,在所述电动汽车在智能电网中进 行充电服务的注册登记时,所述电动汽车计算自身的核心部件对应的完整性值,并向所述 安全信息管理中心上报所述电动汽车的注册信息和完整性值,所述安全信息管理中心将所 述电动汽车的注册信息和完整性值存入所述完整性列表。
3.根据权利要求1所述的安全数据交换方法,其中,在所述充换电站进行注册部署时, 所述充换电站计算自身的核心部件对应的完整性值,并向所述安全信息管理中心上报所述 充换电站的注册信息和完整性值,所述安全信息管理中心将所述充换电站的注册信息和完 整性值存入所述完整性列表。
4.根据权利要求2所述的安全数据交换方法,其中,所述电动汽车在向交换电站提交 经数字签名的完整性信息之前,还包括重新计算所述电动汽车自身的核心部件对应的完整 性值的步骤。
5.根据权利要求3所述的安全数据交换方法,其中,在所述充换电站根据该请求向所 述电动汽车提交经数字签名的完整性信息之前,还包括所述充换电站读取启动时重新计算 出的自身的核心部件对应的完整性值,或者根据所述电动汽车的请求重新计算自身的核心 部件对应的完整性值的步骤。
6.根据权利要求1所述的安全数据交换方法,其中,在所述电动汽车与所述充换电站 之间进行数据交换时,采用协商得到的会话密钥进行数据的加密。
7.根据权利要求6所述的安全数据交换方法,其中,所述会话密钥采用每次会话生成 的方式或按照预设周期生成的方式。
8.根据权利要求1所述的安全数据交换方法,其中,所述电动汽车在需要充换电服务 时,向安全信息管理中心提交经数字签名的完整性信息的操作具体为所述电动汽车在无法连接网络时,通过充换电站向安全信息管理中心转发经数字签名 的完整性信息;所述电动汽车在可连接网络时,直接向安全信息管理中心提交经数字签名的完整性信肩、ο
9.根据权利要求1所述的安全数据交换方法,其中,所述完整性值的计算采用哈希算法。
10.一种安全信息管理中心,包括完整性列表保存模块,用于通过完整性列表保存电动汽车和充换电站的完整性信息;完整性认证模块,用于接收电动汽车和充换电站的认证请求,并根据所述完整性列表 对所述电动汽车和充换电站的完整性信息进行认证;认证结果反馈模块,用于向所述电动汽车和充换电站反馈认证结果。
11.根据权利要求10所述的安全信息管理中心,其中,还包括设备证书颁布模块,用于在所述电动汽车或充换电站在首次接入智能电网时,核对所 述电动汽车或充换电站的设备信息是否正确,如果核对正确,则允许注册,并为所述电动汽 车或充换电站颁布对应的设备证书。
12.根据权利要求11所述的安全信息管理中心,其中,还包括会话证书颁布模块,用于在每次会话前或按照预设周期生成会话证书,并为所述电动 汽车或充换电站颁布所述会话证书。
13.一种包括权利要求10 12任一所述安全信息管理中心的安全数据交换系统,还包括电动汽车,用于在需要充换电服务时,向所述充换电站提交经数字签名的自身的完整 性信息,并向提供充换电服务的充换电站发出获取对方的完整性信息的请求,以及将交换 电站发送的经数字签名的完整性信息上报给所述安全信息管理中心,并在所述安全信息管 理中心对所述电动汽车和充换电站的完整性信息认证通过后,与所述充换电站之间建立连 接,进行数据交换,并接受充换电站提供的充换电服务;充换电站,用于向所述安全信息管理中心提交所述电动汽车发送的完整性信息,并根 据所述电动汽车发出的请求向所述电动汽车提交经数字签名的完整性信息,在所述安全信 息管理中心对所述电动汽车和充换电站的完整性信息认证通过后,与所述电动汽车之间建 立连接,进行数据交换,并为电动汽车提供充换电服务。
全文摘要
本发明涉及一种电动汽车与充换电站的安全数据交换方法,包括电动汽车向充换电站发出经数字签名的自身的完整性信息,并获取对方的完整性信息来提交安全信息管理中心;充换电站向安全信息管理中心提交电动汽车发送的完整性信息,并向电动汽车提交经数字签名的完整性信息;安全信息管理中心对完整性信息进行认证,并反馈认证结果;认证结果均符合时,电动汽车与充换电站间建立连接,进行数据交换。本发明还涉及一种安全信息管理中心及安全数据交换系统。本发明通过设备完整性信息来验证电动汽车和充换电站设备状态的安全性,保证状态正常的电动汽车和充换电站之间才能够进行正常的数据交换以及充换电操作,进而保障了用户和服务提供者的利益。
文档编号H04L9/32GK102045340SQ20101050836
公开日2011年5月4日 申请日期2010年10月15日 优先权日2010年10月15日
发明者曲亚东, 李凌, 王相勤, 胡江溢, 贾俊国, 赵保华, 赵婷, 邱进煊, 郑晓崑, 高昆仑 申请人:中国电力科学研究院, 国家电网公司