5部分：數(shù)據(jù)傳輸及安全 范 附錄A（規(guī)范性）分布式認(rèn)證的認(rèn)證接口規(guī) 概 附錄B（規(guī)范性）證書管理規(guī) 概 附錄C（資料性）數(shù)據(jù)加解密方 概 2345GB/T7408數(shù)據(jù)元和交換格式信息交換GB/T9387.1信息技術(shù)開放系統(tǒng)互連基本參考模型1GB/T17901.1-20201部分：框架GB/T17964-2021信息安全技術(shù)分組密碼算法的工作模式術(shù)語GB/Z19027GB/T19001—2000的統(tǒng)計技術(shù)指南GB/T19596GB/T20271信息安全技術(shù)GB/T22239信息安全技術(shù)GB/T25056信息安全技術(shù)GB/T25069信息安全技術(shù)GB/T25070信息安全技術(shù)GB/T29317GB/T35275SM2密碼算法加密簽名消息語法規(guī)范GB/T35276信息安全技術(shù)SM2密碼算法使用規(guī)范GB/T37092-2018GB/T38636-2020信息安全技術(shù)傳輸層密碼協(xié)議(TLCP)GB/T44130.11部分：總則GB/T44130.22GB/T44130.33GB/T44130.44RFC2986PKCS#10CertificationRequestSyntaxSpecificationVersion1.7,IETFRFC5246TheTransportLayerSecurity(TLS)ProtocolVersion1.2,IETFRFC5746TransportLayerSecurity(TLS)RenegotiationIndicationExtension,IETFRFC8446TheTransportLayerSecurity(TLS)ProtocolVersion1.3,IETFRFC8998ShangMi(SM)CipherSuitesforTLS1.3,MQTT3.1.1GB/T19596、GB/T25056、GB/T25069、GB/T29317、GB/T44130、GB/Z19027platformdistributedcentralexchangesymmetricencryptionasymmetriccryptographic證書digitalcertificatedatadatainformationinformationsecurity充換電服務(wù)平臺，charingandbatteryswapservice第三方服務(wù)及管理平臺，third-partyservicesandmanagement與電動汽車充換電服務(wù)平臺進行信息交換的獨立運行平臺,是以第三方的角色為客戶提供系列電動汽車充換電基礎(chǔ)設(shè)施，electricvehiclechargingservice充電站管理系統(tǒng)，chargingStationManagement安全協(xié)議套件，securityprotocol充換電設(shè)施制造商，chargingandswitchingfacilities序列號，serialAES：高級加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard）CBC：密碼分組鏈接模式（CipherBlockChaining）CSMS：充電站管理系統(tǒng)（ChargingStationManagementSystem）DSA：數(shù)字簽名算法（DigitalSignatureAlgorithm）ECDHE：橢圓曲線迪菲-赫爾曼密鑰交換算法（EllipticCurveDiffie-HellmanEphemeral）ECDSA：橢圓曲線數(shù)字簽名算法(EllipticCurveDigitalSignatureAlgorithm)FQDN：完全合格域名（FullyQualifiedDomainName）GCM：伽羅瓦/計數(shù)器模式（Galois/CounterMode）HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）HTTPS：安全超文本傳輸協(xié)議（HypertextTransferProtocolSecure）IDS：入侵檢測系統(tǒng)（IntrusionDetectionSystem）MQTT：消息隊列遙測傳輸協(xié)議（MessageQueuingTelemetryTransport）MQTTS：安全消息隊列遙測傳輸協(xié)議（MessageQueuingTelemetryTransportSecure）NIST：美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsandTechnology）RFC：征求意見稿(RequestForComments)PKCS：公鑰密碼學(xué)標(biāo)準(zhǔn)（PublicKeyCryptographyStandards）PSS：概率簽名方案（ProbabilisticSignatureScheme）SM1：商用密碼算法1（SM1cryptographicalgorithm）SM2：商用密碼算法2（SM2cryptographicalgorithm）SM3：商用密碼算法3（SM3cryptographicalgorithm）SM4：商用密碼算法4（SM4cryptographicalgorithm）SN：序列號（SerialNumber）TCP：傳輸控制協(xié)議（TransmissionControlProtocol）TLS：傳輸層安全協(xié)議（TransportLayerSecurity）TLCP：傳輸層密碼協(xié)議（TransportLayerCryptographicProtocol）VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）圖1圖2圖3電動汽車充換電服務(wù)信息交換應(yīng)符合GB/T25070—2019規(guī)定的安全計算環(huán)境設(shè)計技術(shù)要求、GB/T22239--2019規(guī)定的的安全通信網(wǎng)絡(luò)要求。運營服務(wù)平臺運營服務(wù)平臺運營服務(wù)平臺運營服務(wù)平臺運營服務(wù)平臺運營服務(wù)平臺運營服務(wù)平臺運營服務(wù)平臺運營服務(wù)平臺運營服務(wù)平臺圖4它，否則需要重新進行認(rèn)證。對于某些關(guān)鍵操作（如密碼重置），應(yīng)使用一次性Token；充換電服務(wù)平臺與第三方服務(wù)及管理平臺應(yīng)符合GB/T25070規(guī)定的安全計算環(huán)境設(shè)計技術(shù)要GB/T20271GB/T22239規(guī)定的的安全通信網(wǎng)絡(luò)要求，提供嚴(yán)格的系統(tǒng)GB/T41578-2022規(guī)定的保密性、完整性、不可否認(rèn)性和可用性要求。對敏感等級較高的相關(guān)數(shù)據(jù),1RSA/DSA采用[RFC錄C。對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。圖5賬號/2MQTT安全策略2MQTTTLS或GB/T38636-安全策略3TLS或GB/T38636-注3RSA/DSATLS使用5246]5746]TLS平臺服務(wù)端）（TLS端）（TLS端）4宜采用不同端口分別實現(xiàn)在充換電基礎(chǔ)設(shè)施與充換561-MQTTMQTT客戶端連接（CONNECT）:MQTT客戶端維持連接：定期發(fā)送PINGREQMQTT服務(wù)器響應(yīng)：服務(wù)器接收到PINGREQ后，發(fā)送PINGRESPMQTT客戶端斷開連接（DISCONNECT）：后，發(fā)送DISCONNECT圖671-明文傳輸及基礎(chǔ)認(rèn)證-充換電服務(wù)平臺通過MQTT82-MQTT客戶端維持連接圖792-充換電基礎(chǔ)設(shè)施應(yīng)使用MQTT充換電基礎(chǔ)設(shè)施應(yīng)驗證證書主題中的CN（或多個103-MQTT客戶端發(fā)送CONNECTMQTT服務(wù)器對用戶名和口令驗證成功后，響應(yīng)CONNACKMQTT圖8113-充換電服務(wù)平臺應(yīng)當(dāng)通過檢查證書主題字段中的CN（充換電基礎(chǔ)設(shè)施應(yīng)驗證證書主題中的CN電動汽車充換電服務(wù)信息交換應(yīng)符合GB/T9387.1中關(guān)于會話連接的要求，可經(jīng)過平臺認(rèn)證、HTTP(S)接口，每個接口的URL應(yīng)采用如下格式定義：)。為application/json；charset＝UTF-8。授權(quán)信息(Authorization)字段用于證明客戶端有權(quán)查看某個資源，本標(biāo)準(zhǔn)中所規(guī)范的授權(quán)信息采用令牌(Token)的方式，因此需要在配置消息頭中的Authorization為BearerToken。表12宜采用國密算法SM4，詳細(xì)示例參見附錄數(shù)秒數(shù)，不計算閏秒。數(shù)據(jù)類型為long，格式為4參數(shù)返表13返參數(shù)編碼Ret -Token圖9圖1014SNHTTP(POST設(shè)備SN200"code":"data":{"registerCode":"message""code":"data":"message"XXX表15HTTP(POST設(shè)備SN用于設(shè)備生成多個槍信息，若沒有則填200"code":"data":"productKey":"EuipmentID":"deviceSecret":"message""code":"data":"message"XXXTNTP服務(wù)器。Topaylopayoa4top1、表17。表16時鐘同步請求topic三級字是否必{"deviceSendTime":"1571724098000"表17時鐘同步響應(yīng)topic三級字是否必{"deviceSendTime":"1571724098000"(${serverRecvTime}${serverSendTime}${deviceRecvTime${deviceSendTime})2。圖11電動汽車充換電服務(wù)信息交換應(yīng)符合GB/T 圖12MQTTBroker之間的業(yè)務(wù)數(shù)據(jù)交換，而設(shè)施管理層主題則用于監(jiān)控和管理MQTTBroker的運行狀態(tài)。c）$SYS/broker/clients/connected：當(dāng)設(shè)施連接到MQTTBroker時發(fā)送消息到該主題。d）$SYS/broker/clients/disconnected：當(dāng)設(shè)施斷開到MQTTBroker時發(fā)送消息到該主題。JSONUTF8為appliatin/jon；charstUTF8。置消息頭中的授權(quán)信息宜為BearerToken。包號（PacketCount）和協(xié)議版本號（ProtoVersion）組成，具體要求參見表18。18"Data"：{"Total"：1，"StationStatusInfos" "ConnectorID"："1"，"Status"：4，"CurrentA"：0，"CurrentB"：0， ：0， ：0，"VoltageB"：0，"VoltageC"：0，"SOC"}］接口請求時的時間戳信息,自POSIX紀(jì)元以來的整數(shù)（2016年9月7日下午對Data數(shù)據(jù)采用CRC32附錄此接口用于平臺之間認(rèn)證Token的申請，Token作為全局唯一憑證，調(diào)用各接口時均需要使A.1表 返A(chǔ).2表 0101附錄表 表 NIST2011-2030B.6BCA簽發(fā)的證書，也C表B.3書請求文件（P10文件）發(fā)送給CA密鑰管理平臺，由CA進行證書簽發(fā)。P10文件應(yīng)符合RFC2986PKCS#10CertificationRequestSyntaxSpecificationVersion1.7數(shù)字證書相關(guān)要求。密鑰對宜使用SM2表B.4國家省所在地組織單位主題名yy+郵箱\h表B.5CNCNB.6CAB.圖B.1圖B.2P10CA圖B.3圖B.4B.7B.8注1：快速過期證書有效期不超過24小時。證書到期后，充換電服務(wù)平臺需要向證書認(rèn)證機構(gòu)注2：當(dāng)證書鏈被破壞時，攻擊者可以使用偽造的證書來欺騙充電基礎(chǔ)設(shè)置連接到“假”充換注3：允許立即撤銷充換電基礎(chǔ)設(shè)施證書。充換電基礎(chǔ)設(shè)施證書會被撤銷，比如當(dāng)充換電基礎(chǔ)附錄C.1128128始向量256256SM3sm2p256v1圖C.1步驟1:PrivateKey