解读恩智浦电动汽车充电中的安全用户识别与授权白皮书

随着电动汽车 (EV) 普及速度加快，充电基础设施面临的压力与日俱增。数百万新用户将依赖不断扩大的公共和私人充电站网络，这类充电站不仅数量持续增长，其技术也日趋先进。尽管快速、便捷且安全地使用这些充电站至关重要，但用户身份验证方面仍存在令人担忧的隐患。许多系统在无意中采用了不安全的做法，依赖智能卡的唯一标识符 (UID) 进行验证用户身份，这可能导致驾驶员面临欺诈风险，运营商也面临安全风险。

本文节选自恩智浦《电动汽车充电中的安全用户识别与授权》白皮书，探讨了电动汽车充电领域对安全用户识别的迫切需求，并阐述了新标准与技术如何提供更安全、更具可扩展性的解决路径。

在需求增长、环境法规和政府激励措施的推动下，电动汽车市场持续扩张。2024年，电动汽车销量同比增长超过25%，突破1700万辆，预计到2030年，全球保有量将达到约3.5亿辆。国际能源署 (IEA) 预测，到2035年，全球电动汽车保有量将增长12倍，届时全球新车销量中电动汽车的占比将高达60%。

电动汽车数量持续增长，充电基础设施亟需升级，以满足数百万电动驾驶员的使用需求。随着电池技术不断进步，电动汽车的续航里程将进一步延长，充电速度也将加快，进一步激发消费者的购买意愿。

欧洲汽车制造商协会 (ACEA) 估计，到2030年将需要880万个充电站；而欧盟委员会预计，实现新车碳减排55%的目标，需建设350万个公共充电站。欧洲汽车制造商协会最新报告指出，电动汽车销量与公共充电站可用性密切相关——当人们觉得充电设施足够完善时，购买电动汽车的意愿更高。但消费者对续航焦虑和快速充电站数量不足的担忧依然存在，进一步凸显了建设高效、可靠、值得信赖的充电基础设施的紧迫性。

参与方众多，市场环境复杂

2023年，全球电动汽车充电基础设施市场规模达258.3亿美元，预计2024年至2030年将以25.4%的复合年增长率 (CAGR) 持续增长。价值数十亿美元的电动汽车充电生态体系汇集了多方参与者。各利益相关方都有自身的关注重点和立场，但很少有企业具备全面掌控全局的能力或专业知识。

从拥有自建充电网络的电动汽车制造商 (OEM)，到转型进入这一高潜力市场的石油和天然气公司，再到设备制造商、充电站及网络运营商，众多参与方构成了这一复杂的生态系统。各方均面临诸多挑战，建设满足消费者需求量的充电设施，仅是其中之一。相关企业正在大力投资电网建设，重点关注智能能源管理与分配、分时电价机制、实时电价、负载监测与调节等。与此同时，各家公司还在开发各自的充电应用程序、智能卡和口令牌，进一步增加了普通驾驶员为车辆充电的复杂度。

充电站运营商(CPO)

充电站运营商负责电动汽车充电网络的实际运营、维护与扩展，部署并管理充电硬件设施，并依赖后端系统——充电点管理软件 (CPMS)——进行运营管理、负载调控与数据分析。

电动出行服务提供商 (eMSP)

电动出行服务提供商负责提供客户端服务层，管理用户订阅、 支付、计费与客户支持等。他们通常向电动汽车驾驶员提供智能卡或提供移动应用，用于在充电站进行身份验证与支付。

原始设备制造商 (OEM)

包括特斯拉、大众、梅赛德斯、福特、雷诺和宝马在内的多家汽车制造商，现在既是CPO，又是eMSP，在销售车辆的同时打包提供充电服务。

电动汽车供电设备 (EVSE) 制造商

电动汽车供电设备制造商开发充电硬件及相关技术。

漫游网络运营商 (RNO)

漫游网络运营商负责实现CPO与eMSP之间的网络互联互通，通过互操作协议支持跨网络充电服务，这一机制被称为电动汽车漫游 (EVRoaming)。

智能充电如何提升用户体验

CPO、eMSP、EVSE及RNO共同负责确保充电站的使用过程顺畅便捷，提供不间断的充电体验及安全可靠的支付服务。

欧盟2024年出台的《替代燃料基础设施条例》(AFIR) 强制要求公共充电站运营商实施智能充电，并与后端系统相连。大多数电动汽车充电站直接接入电网，从中获取电力，为接入的车辆供电。

智能充电器是早期或本地系统中基础或独立式充电器的升级版本。在智能充电模式下，各充电站通过云系统及充电点管理软件 (CPMS) 进行远程管理。这使CPO能够清晰掌握所有充电站的运行状态与负载情况，实现远程管理与负载平衡，从而确保在多辆电动汽车之间智能分配可用的电力，避免过载并最大化充电效率。

通过电动汽车漫游扩大服务范围

智能充电器及其远程充电点管理系统 (CPMS) 为充电运营商 (CPO) 提供清晰的网络运行视图。更重要的是，驾驶员也能实时查看可用充电点。得益于充电生态系统中合作伙伴间的协议，驾驶员的可视范围可延伸至所在地区和常用服务商之外。借助电动汽车漫游服务，驾驶员的充电选择大幅增加，可跨区域、跨运营商自由充电。

电动汽车漫游通过开放充电点协议 (OCPP) 与开放充电点接口 (OCPI) 等协议实现，驾驶员只需一张基于NFC的智能卡，即可在其他运营商的充电网络中完成身份验证与支付，并使用其充电站。尽管当前的身份识别、验证与授权方法仍存在问题，电动汽车漫游仍有望减少驾驶员对多张充电卡、多个应用程序和订阅服务的依赖。

尽管用于用户身份验证与支付处理的技术已相对成熟，但在电动汽车充电生态系统中的应用仍暴露出一些安全漏洞。电动汽车驾驶员需要便捷、快速、可用的充电服务，以及简单安全的支付。目前，多家CPO与eMSP各自发行专属卡片和应用，导致驾驶员需要携带多张卡片，并在多种应用间来回切换，才能找到正确的充电卡或应用。每张卡片和每种应用均包含敏感信息：智能卡中的用户身份信息与后端的订阅及支付细节相关联。

遗憾的是，传统智能卡的使用方式进一步加剧了多卡多应用带来的不便——充电站与智能卡之间常通过不安全的NFC通信进行数据交换。

电动汽车充电服务的支付方式

使用非接触式智能卡支付

电动汽车充电用户身份验证与支付方式通常有三种——非接触式智能卡、银行/信用卡以及智能手机应用程序。每种方式各有利弊，其中最受欢迎的是非接触式智能卡。这类卡片通常是由电动出行服务提供商 (eMSP) 发行的射频识别 (RFID) 卡，与eMSP后台系统中的用户账户绑定，并关联客户偏好的支付方式、信用卡或银行信息。eMSP用户账户会跟踪使用情况、订阅详情以及驾驶员激活的服务套餐。

作为eMSP的注册客户，驾驶员可享受折扣和忠诚度计划优惠，如专属费率。所有优惠信息均通过eMSP账户进行记录，驾驶员可通过智能卡访问。每张卡均内嵌有NFC/RFID芯片，驾驶员只需使卡片轻触充电站的读卡器，即可启动身份认证。完成身份识别后，系统即授权充电，流程随即开始。

该卡片所采用的技术支持智能卡与读卡器之间的信息加密传输，但这一功能并未广泛使用。此外，由于NFC/RFID芯片为无源器件，卡片不会像智能手机那样出现电量耗尽的情况。与智能手机应用不同，该芯片无需互联网即可工作。

使用借记卡/信用卡支付

许多充电站接受Europay (欧陆卡)/Mastercard (万事达卡)/VISA (维萨卡) (EMV)支付方式。驾驶员无需订阅eMSP服务，可直接使用EMV卡在充电站充电，但他们无法享受eMSP订阅附带的折扣、忠诚度计划和优惠券。因此，使用EMV卡充电的成本可能更高。

使用智能手机应用支付

智能手机应用日益普及，支付便捷、灵活，可为驾驶员提供充电站分布、导航、充电记录及费用信息的一体化视图。与非接触式智能卡支付类似，该应用也与用户账户绑定。驾驶员可通过轻触充电站的NFC区域、扫描二维码或在应用中启动充电。需要注意的是，这种方式依赖稳定的网络连接和充足的手机电量，才能顺利完成充电。

智能卡UID盗用风险

目前，大多数公共电动汽车充电系统使用非接触式智能卡进行用户识别与充电授权。然而，这类卡片的使用非常基础，甚至误用——系统仅依赖卡片的唯一标识符 (UID)。UID是芯片制造时嵌入的固定编号，原本仅用于区分不同卡片。用卡片轻触读卡器会触发国际标准ISO/IEC14443-3中的“防冲突协议”(anti-collision protocol)，该协议用于在卡片与读卡器之间建立通信通道，防止同时刷卡时出现识别混乱。UID的唯一用途就是作为区分标识，仅是一个序列号。

遗憾的是，由于操作疏忽或缺乏认知，许多电动汽车充电系统错误地将UID作为唯一的用户识别方式。更令人惋惜的是，这些NFC芯片通常在内存中预留了专门用于用户识别的数据字段，可通过加密等二级安全机制进一步加以保护。

仅将芯片中最基础的标识符作为唯一的用户识别方式，确实令人担忧。本质上，这就像为房屋安装了一道配备先进安全系统的坚固新入户门，却让门敞开着，锁具和警报系统完全未启用。入侵者只需知道新门的编号，就能轻松进入。

如今，攻击者只需使用简单工具即可以明文形式轻松读取NFC芯片的UID，然后将该编号克隆至空白RFID卡，并利用克隆卡，冒用他人账户发起充电，造成损失。

为什么没有安全措施来防止这种情况?实际上是有安全措施的，但并未被广泛采用。随着电动汽车市场的持续增长，这一问题可能演变为更严重的安全风险，让消费者面临欺诈威胁，并危及准备不足的eMSP与CPO的声誉与可信度。

采用安全加密技术的稳健解决方案

智能卡的核心用途是利用其技术安全地存储和处理数据，保护终端用户信息的保密性与完整性。当前的使用方式未能充分发挥智能卡的安全功能，主要原因在于错误地将UID视为安全特性，而非其本质上的序列号。解决这一问题的关键在于引入加密技术，作为额外的身份认证环节。

对称加密

对称加密技术可用于在电动汽车充电器与智能卡之间实现双向身份验证。一种方法采用基于AES-128或AES-256加密的三次传递协议 (three-pass protocol)。在此过程中，卡片与读卡器通过交换加密的随机数来证明双方持有相同的密钥。只有当双方持有相同的对称密钥时，才能显示出相同的验证结果。

通过这种方式，密钥本身无需传输，可有效防止窃听和重放攻击。身份验证成功后，用户特定数据即可通过加密通道安全传输，并授权充电。采用此类对称加密时，所有授权方必须共享同一个密钥。CPO、eMSP和RNO均需持有相同的密钥，而且必须在密钥生成、存储、分发、轮换与撤销的全过程中确保其安全。随着授权方数量增加，复杂性及风险随之上升——链条中任何一个环节的泄露都会危及整个系统。

非对称加密

作为一种替代方案，非对称加密技术提供了更大的灵活性。它使用密钥对 (一个公钥，一个私钥)，公钥可自由分发，而私钥则安全地存储在卡片中。在卡片单向非对称身份验证中，读卡器发送随机数据，卡片用私钥签名，读卡器用公钥验证。实时动态签名验证机制可确保卡片唯一性及用户身份真实性，并能有效防止克隆、窃听或重放攻击。一旦验证成功，用户数据即可安全传输。

VDE-AR-E 2532-100非对称加密

VDE是一家专注于发电、电力分配与安全使用的德国非营利组织。其近期发布的应用指南VDE-AR-E 2532-100获得广泛支持，被视为一种简单且经济高效的方案，可将非对称加密技术引入电动汽车充电系统。通过采用安全数字签名验证每张卡片的真实性，遵循VDE-AR-E 2532-100的系统可识别伪造凭证并阻止其启动充电。该指南为新建及现有充电站制定了基于RFID/NFC智能卡的安全互操作认证规范。

对现有充电站而言，可通过软件直接升级至非对称加密技术。无论是新建或现有充电站，VDE-AR-E2532-100指南均为安全电动汽车充电与漫游铺平了道路，同时确保不同系统与网络间的兼容性。最终，驾驶员只需一张安全卡片即可访问多个网络和多家服务商，且无需担心卡片克隆或当前系统中的安全漏洞。

安全合规单芯片解决方案

恩智浦提供一款完全符合VDE-AR-E 2532-100指南的非接触式NFC芯片，即MIFARE DUOX智能卡IC，在单芯片中集成了对称与非对称加密技术，符合相关标准，专为电动汽车充电市场量身打造。MIFARE DUOX芯片在电动汽车充电场景中，可通过非对称密钥对与实时数字签名验证，实现安全的终端用户身份验证与授权。

每个芯片均按VDE-AR-E 2532-100规范预配置了专属的电动汽车充电应用、密钥及证书，可简化部署流程，并确保多网络互操作性。MIFARE DUOX使用公钥基础设施，避免了对称密钥共享的复杂性，可加快并简化CPO与eMSP的安全部署流程。

为最大限度减少中断并优化部署，MIFARE DUOX可直接集成到电动汽车充电系统中，无需更改充电站或读卡器的硬件。对VDE-AR-E2532-100所规定功能的支持可通过软件更新实现，更新可在充电站或后台服务端进行。在充电站读卡器端，可通过固件升级引入所需的加密功能与NFC指令，或通过连接的后台服务实现。MIFARE DUOX还兼容仍采用UID识别的系统，为制造商与相关方带来更大的灵活性，助力其逐步过渡至更安全的用户身份验证方案。

用成熟的解决方案应对问题

逐步提升电动汽车充电应用中的用户身份验证与支付安全性，有助于应对日益增长的欺诈、伪造及数据完整性问题。MIFARE DUOX将安全性、对称与非对称加密技术集成于一张智能卡中，适用于新建与现有系统，并可在多个网络中通用。为电动汽车驾驶员带来所需的灵活性、便捷性与安全性，提升用户体验，同时为充电运营商构建坚实、安全且具备前瞻性的基础。

用于电动汽车充电的MIFARE DUOX芯片可作为现成产品提供，卡片结构已预配置，包含符合VDE-AR-E 2532-100规范的片上应用、密钥及证书，专用于电动汽车充电场景。