現(xiàn)在新建或改造充電樁時，一般不再允許只停留在 OCPP 1.6 的 Security Profile 0/1，要求升級到 Profile 2/3，核心原因可以歸納為“合規(guī)＋安全＋運(yùn)營風(fēng)險”三方面。深圳惠志科技推出的OCPP安全代理網(wǎng)關(guān)，可以輕松實(shí)現(xiàn)這一升級功能，無需更改樁端的硬件和代碼。

四類 Security Profile 的區(qū)別

在 OCPP 1.6 中通常有四種安全配置文件（不同文檔表述略有出入，但本質(zhì)相同）：

Profile 0：完全無加密，無認(rèn)證，明文 WebSocket/HTTP。

Profile 1：僅用 TLS 單向認(rèn)證（只驗(yàn)證服務(wù)器），樁端不帶證書。

Profile 2：TLS 雙向認(rèn)證（充電樁與平臺互相驗(yàn)證證書）。

Profile 3：在 Profile 2 的基礎(chǔ)上，再加上集中證書管理、證書更新與吊銷等機(jī)制。

0/1 只解決“通不通”的問題，2/3 才解決“是不是合法對象、證書如何生命周期管理”的問題。

為什么不能只用 Profile 0/1

明文或弱認(rèn)證已不滿足安全法規(guī)與行業(yè)規(guī)范

越來越多國家/地區(qū)在新能源充電設(shè)施標(biāo)準(zhǔn)、等保、關(guān)?；驍?shù)據(jù)安全要求中，已經(jīng)明確或默認(rèn)要求“通信加密＋身份認(rèn)證＋證書管理”。Profile 0 明文傳輸，Profile 1 只有單向認(rèn)證，都很難通過審計(jì)或安全測評。

一旦發(fā)生用戶信息泄露、虛假計(jì)費(fèi)、惡意遠(yuǎn)程控樁等事件，運(yùn)營方會被認(rèn)定安全措施不到位，合規(guī)風(fēng)險很高。?

防止“偽平臺”“偽充電樁”攻擊

Profile 1 只驗(yàn)證“平臺是不是可信”，樁不需要證書，因此攻擊者可以偽裝成“合法充電樁”接入平臺，或偽造樁側(cè)消息進(jìn)行騙補(bǔ)、騙電量、篡改交易記錄等。

Profile 2/3 強(qiáng)制樁端持有證書并被平臺驗(yàn)證，平臺也有證書被樁驗(yàn)證，形成雙向 TLS，能有效防止中間人攻擊和偽裝設(shè)備接入。

交易計(jì)費(fèi)與補(bǔ)貼場景對數(shù)據(jù)可信度要求更高

充電交易數(shù)據(jù)往往涉及對賬、補(bǔ)貼、電網(wǎng)側(cè)需求響應(yīng)結(jié)算等業(yè)務(wù)，如果通信鏈路不具備雙向認(rèn)證和證書生命周期管理，數(shù)據(jù)的“不可抵賴性”和“來源可信度”難以被監(jiān)管和金融機(jī)構(gòu)認(rèn)可。

Profile 2/3 可以配合平臺側(cè)日志、簽名等機(jī)制，為爭議處理、審計(jì)提供證據(jù)鏈基礎(chǔ)。?

平臺集中管理證書、降運(yùn)維成本

上萬根樁如果僅靠 Profile 1 的簡單 TLS，證書更新、吊銷、密鑰輪換會非?；靵y，存在過期證書無法及時替換、泄露證書無法統(tǒng)一吊銷的問題。

Profile 3 在協(xié)議層支持證書的下發(fā)、更新和吊銷，便于平臺集中管理和自動化運(yùn)維，大規(guī)模網(wǎng)絡(luò)下總成本更低，也更符合信息安全管理體系的要求。

政策與招標(biāo)的現(xiàn)實(shí)驅(qū)動

很多新建項(xiàng)目（高速、城際充電走廊、公共快充站等）的技術(shù)規(guī)范和招標(biāo)文件，會直接要求“支持 OCPP 1.6 Security Profile 2/3”，否則視為安全能力不達(dá)標(biāo)，無法中標(biāo)或無法通過竣工驗(yàn)收。

原有只支持 Profile 0/1 的存量樁，往往需要通過“安全代理網(wǎng)關(guān)”等方式，疊加 TLS 雙向認(rèn)證和證書管理能力，把外部暴露能力升級到 Profile 2/3，以滿足新的平臺和監(jiān)管要求。

一個簡單的場景對比

僅 Profile 1：

黑客搭一臺偽造“充電樁網(wǎng)關(guān)”，只要能連到平臺，就可以發(fā)虛構(gòu)交易、刷補(bǔ)貼；平臺無法從協(xié)議層區(qū)分真?zhèn)螛丁?/p>

Profile 2/3：

平臺驗(yàn)證樁證書鏈?zhǔn)欠駚碜钥尚?CA、是否未吊銷，且樁驗(yàn)證平臺證書；任一方不在白名單或證書異常，TLS 握手即失敗，連接建立不起來。

解決方案——OCPP安全代理網(wǎng)關(guān)

深圳惠志科技推出的OCPP安全代理網(wǎng)關(guān)，以網(wǎng)關(guān)中間件的形式，可以輕松實(shí)現(xiàn)OCPP 1.6 的 Security Profile 0/1升級到 Profile 2/3，無需修改樁端的硬件和軟件代碼。此網(wǎng)關(guān)含有CE/NB/EN18031認(rèn)證，可以助力樁企輕松實(shí)現(xiàn)出口合規(guī)。