5部分：數據傳輸及安全 范 附錄A（規范性）分布式認證的認證接口規 概 附錄B（規范性）證書管理規 概 附錄C（資料性）數據加解密方 概 2345GB/T7408數據元和交換格式信息交換GB/T9387.1信息技術開放系統互連基本參考模型1GB/T17901.1-20201部分：框架GB/T17964-2021信息安全技術分組密碼算法的工作模式術語GB/Z19027GB/T19001—2000的統計技術指南GB/T19596GB/T20271信息安全技術GB/T22239信息安全技術GB/T25056信息安全技術GB/T25069信息安全技術GB/T25070信息安全技術GB/T29317GB/T35275SM2密碼算法加密簽名消息語法規范GB/T35276信息安全技術SM2密碼算法使用規范GB/T37092-2018GB/T38636-2020信息安全技術傳輸層密碼協議(TLCP)GB/T44130.11部分：總則GB/T44130.22GB/T44130.33GB/T44130.44RFC2986PKCS#10CertificationRequestSyntaxSpecificationVersion1.7,IETFRFC5246TheTransportLayerSecurity(TLS)ProtocolVersion1.2,IETFRFC5746TransportLayerSecurity(TLS)RenegotiationIndicationExtension,IETFRFC8446TheTransportLayerSecurity(TLS)ProtocolVersion1.3,IETFRFC8998ShangMi(SM)CipherSuitesforTLS1.3,MQTT3.1.1GB/T19596、GB/T25056、GB/T25069、GB/T29317、GB/T44130、GB/Z19027platformdistributedcentralexchangesymmetricencryptionasymmetriccryptographic證書digitalcertificatedatadatainformationinformationsecurity充換電服務平臺，charingandbatteryswapservice第三方服務及管理平臺，third-partyservicesandmanagement與電動汽車充換電服務平臺進行信息交換的獨立運行平臺,是以第三方的角色為客戶提供系列電動汽車充換電基礎設施，electricvehiclechargingservice充電站管理系統，chargingStationManagement安全協議套件，securityprotocol充換電設施制造商，chargingandswitchingfacilities序列號，serialAES：高級加密標準（AdvancedEncryptionStandard）CBC：密碼分組鏈接模式（CipherBlockChaining）CSMS：充電站管理系統（ChargingStationManagementSystem）DSA：數字簽名算法（DigitalSignatureAlgorithm）ECDHE：橢圓曲線迪菲-赫爾曼密鑰交換算法（EllipticCurveDiffie-HellmanEphemeral）ECDSA：橢圓曲線數字簽名算法(EllipticCurveDigitalSignatureAlgorithm)FQDN：完全合格域名（FullyQualifiedDomainName）GCM：伽羅瓦/計數器模式（Galois/CounterMode）HTTP：超文本傳輸協議（HypertextTransferProtocol）HTTPS：安全超文本傳輸協議（HypertextTransferProtocolSecure）IDS：入侵檢測系統（IntrusionDetectionSystem）MQTT：消息隊列遙測傳輸協議（MessageQueuingTelemetryTransport）MQTTS：安全消息隊列遙測傳輸協議（MessageQueuingTelemetryTransportSecure）NIST：美國國家標準與技術研究院（NationalInstituteofStandardsandTechnology）RFC：征求意見稿(RequestForComments)PKCS：公鑰密碼學標準（PublicKeyCryptographyStandards）PSS：概率簽名方案（ProbabilisticSignatureScheme）SM1：商用密碼算法1（SM1cryptographicalgorithm）SM2：商用密碼算法2（SM2cryptographicalgorithm）SM3：商用密碼算法3（SM3cryptographicalgorithm）SM4：商用密碼算法4（SM4cryptographicalgorithm）SN：序列號（SerialNumber）TCP：傳輸控制協議（TransmissionControlProtocol）TLS：傳輸層安全協議（TransportLayerSecurity）TLCP：傳輸層密碼協議（TransportLayerCryptographicProtocol）VPN：虛擬專用網絡（VirtualPrivateNetwork）圖1圖2圖3電動汽車充換電服務信息交換應符合GB/T25070—2019規定的安全計算環境設計技術要求、GB/T22239--2019規定的的安全通信網絡要求。運營服務平臺運營服務平臺運營服務平臺運營服務平臺運營服務平臺運營服務平臺運營服務平臺運營服務平臺運營服務平臺運營服務平臺圖4它，否則需要重新進行認證。對于某些關鍵操作（如密碼重置），應使用一次性Token；充換電服務平臺與第三方服務及管理平臺應符合GB/T25070規定的安全計算環境設計技術要GB/T20271GB/T22239規定的的安全通信網絡要求，提供嚴格的系統GB/T41578-2022規定的保密性、完整性、不可否認性和可用性要求。對敏感等級較高的相關數據,1RSA/DSA采用[RFC錄C。對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。圖5賬號/2MQTT安全策略2MQTTTLS或GB/T38636-安全策略3TLS或GB/T38636-注3RSA/DSATLS使用5246]5746]TLS平臺服務端）（TLS端）（TLS端）4宜采用不同端口分別實現在充換電基礎設施與充換561-MQTTMQTT客戶端連接（CONNECT）:MQTT客戶端維持連接：定期發送PINGREQMQTT服務器響應：服務器接收到PINGREQ后，發送PINGRESPMQTT客戶端斷開連接（DISCONNECT）：后，發送DISCONNECT圖671-明文傳輸及基礎認證-充換電服務平臺通過MQTT82-MQTT客戶端維持連接圖792-充換電基礎設施應使用MQTT充換電基礎設施應驗證證書主題中的CN（或多個103-MQTT客戶端發送CONNECTMQTT服務器對用戶名和口令驗證成功后，響應CONNACKMQTT圖8113-充換電服務平臺應當通過檢查證書主題字段中的CN（充換電基礎設施應驗證證書主題中的CN電動汽車充換電服務信息交換應符合GB/T9387.1中關于會話連接的要求，可經過平臺認證、HTTP(S)接口，每個接口的URL應采用如下格式定義：)。為application/json；charset＝UTF-8。授權信息(Authorization)字段用于證明客戶端有權查看某個資源，本標準中所規范的授權信息采用令牌(Token)的方式，因此需要在配置消息頭中的Authorization為BearerToken。表12宜采用國密算法SM4，詳細示例參見附錄數秒數，不計算閏秒。數據類型為long，格式為4參數返表13返參數編碼Ret -Token圖9圖1014SNHTTP(POST設備SN200"code":"data":{"registerCode":"message""code":"data":"message"XXX表15HTTP(POST設備SN用于設備生成多個槍信息，若沒有則填200"code":"data":"productKey":"EuipmentID":"deviceSecret":"message""code":"data":"message"XXXTNTP服務器。Topaylopayoa4top1、表17。表16時鐘同步請求topic三級字是否必{"deviceSendTime":"1571724098000"表17時鐘同步響應topic三級字是否必{"deviceSendTime":"1571724098000"(${serverRecvTime}${serverSendTime}${deviceRecvTime${deviceSendTime})2。圖11電動汽車充換電服務信息交換應符合GB/T 圖12MQTTBroker之間的業務數據交換，而設施管理層主題則用于監控和管理MQTTBroker的運行狀態。c）$SYS/broker/clients/connected：當設施連接到MQTTBroker時發送消息到該主題。d）$SYS/broker/clients/disconnected：當設施斷開到MQTTBroker時發送消息到該主題。JSONUTF8為appliatin/jon；charstUTF8。置消息頭中的授權信息宜為BearerToken。包號（PacketCount）和協議版本號（ProtoVersion）組成，具體要求參見表18。18"Data"：{"Total"：1，"StationStatusInfos" "ConnectorID"："1"，"Status"：4，"CurrentA"：0，"CurrentB"：0， ：0， ：0，"VoltageB"：0，"VoltageC"：0，"SOC"}］接口請求時的時間戳信息,自POSIX紀元以來的整數（2016年9月7日下午對Data數據采用CRC32附錄此接口用于平臺之間認證Token的申請，Token作為全局唯一憑證，調用各接口時均需要使A.1表 返A.2表 0101附錄表 表 NIST2011-2030B.6BCA簽發的證書，也C表B.3書請求文件（P10文件）發送給CA密鑰管理平臺，由CA進行證書簽發。P10文件應符合RFC2986PKCS#10CertificationRequestSyntaxSpecificationVersion1.7數字證書相關要求。密鑰對宜使用SM2表B.4國家省所在地組織單位主題名yy+郵箱\h表B.5CNCNB.6CAB.圖B.1圖B.2P10CA圖B.3圖B.4B.7B.8注1：快速過期證書有效期不超過24小時。證書到期后，充換電服務平臺需要向證書認證機構注2：當證書鏈被破壞時，攻擊者可以使用偽造的證書來欺騙充電基礎設置連接到“假”充換注3：允許立即撤銷充換電基礎設施證書。充換電基礎設施證書會被撤銷，比如當充換電基礎附錄C.1128128始向量256256SM3sm2p256v1圖C.1步驟1:PrivateKey