在OCPP 1.6协议中，安全配置文件（Security Profile）决定了充电桩与充电管理系统（CSMS）之间通信的安全等级。随着充电基础设施的规模扩大与安全威胁增加，越来越多的运营方开始关注如何从传统的Profile 0/1（明文或基本TLS）迁移到更高安全级别的Profile 2/3（双向TLS认证、证书管理）。

一、OCPP安全配置文件回顾

Profile 0: 无加密，明文WebSocket通信。

Profile 1: 仅CSMS端认证的单向TLS通信。

Profile 2: 支持充电桩端证书的双向TLS认证。

Profile 3: 在Profile 2基础上，增加证书管理与安全事件日志上报能力。

升级到Profile 2/3可防止中间人攻击、伪造桩接入等安全风险，是未来充电网络合规化的趋势。

二、安全代理网关的作用

许多现网充电桩仅支持Profile 0或1，若要直接升级固件以支持双向TLS，往往成本高、风险大。深圳惠志科技推出的OCPP安全代理网关（OCPP Secure Proxy Gateway）便是在此场景下诞生的过渡解决方案。

该网关充当“安全中介层”，实现：

与CSMS通过Profile 2/3安全通道通信；

与充电桩保持Profile 0/1兼容；

动态转换OCPP报文，保证应用层逻辑不变；

统一管理证书与密钥，提升接入安全性。

换句话说，它能让不支持双向TLS的老旧桩“外挂”安全层，从而实现安全等级整体升级，而无需替换设备。

三、典型部署架构

充电桩（仅支持Profile 0/1） → 安全代理网关（本地或边缘部署）

安全代理网关（启用Profile 2/3） ↔ 中央CSMS平台

平台与网关之间通过PKI体系完成双向认证与加密通信。

这种架构下，CSMS认为它面对的是“完全合规”的Profile 3设备，从而达到安全与兼容性的统一。

四、结语

OCPP安全代理网关为充电网络的安全升级提供了一条现实可行的路径。无论是过渡期解决方案，还是长期混合架构的一部分，它都能助力运营商平滑迈向更高安全等级的OCPP生态。