GBT 25320.11-2023 電力系統(tǒng)管理及其信息交換 數(shù)據(jù)和通信安全 第11部分：XML文件的安全

電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第11部分：XML文件的安全PowersystemsmanagementDataandcommunicationssecurit國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T25320.11—2023/IEC 12規(guī)范性引用文件 13術(shù)語和定義 24本文件涉及的安全問題 24.1概述 24.2應(yīng)對(duì)安全威脅 34.3應(yīng)對(duì)安全攻擊 3 36XML文件封裝 46.1概述 46.2信息頭類型HeaderType 5 6 6.5簽名類型SignatureTy 6.6支持的XSD類型 6.7安全算法選擇 7示例文件(資料性) 207.1非加密示例 7.2加密示例 228IANA簽名、摘要和加密方法列表(資料性) 參考文獻(xiàn) 圖1IEC62351-11的XML文件結(jié)構(gòu)概述 1圖2數(shù)據(jù)中轉(zhuǎn)示例 3圖3XML文件的安全封裝 4 4圖5信息頭類型HeaderType的XSD類型定義 5圖6信息Information的XSD復(fù)雜類型定義 6圖7訪問控制AccessControl的XSD復(fù)雜類型定義 7圖8訪問控制類型AccessControlType的XSD復(fù)雜類型定義 7圖9ACL限制類型ACLRestrictionType的XSD復(fù)雜類型定義 8 圖12帶有CIM文件的IEC62351-11正文Body示例 圖13IEC62351-11加密Encrypted的結(jié)構(gòu) 圖14加密方法類型EncryptionMethodType的結(jié)構(gòu) ⅡGB/T25320.11—2023/IEC62351-11:2016 圖19簽名方法類型SignatureMethodType的結(jié)構(gòu) 圖20引用類型ReferenceType的結(jié)構(gòu) 圖21密鑰信息類型KeylnfoType的結(jié)構(gòu) 20表1IEC62351-11的XML文件的通用結(jié)構(gòu)定義 5 6 7表4契約Contractual和ACL元素的定義 8 9表6ACLType枚舉值的定義 表7約束Constraint的枚舉值定義 9 Ⅲ——第1部分：通信網(wǎng)絡(luò)和系統(tǒng)安全安全問題介紹。目的在于介紹GB/T(Z)25320的其他部——第3部分：通信網(wǎng)絡(luò)和系統(tǒng)安全包含TCP/IP的協(xié)議集。目的在于規(guī)定如何通過限于傳輸——第4部分：包含MMS的協(xié)議集。目的在于規(guī)定了對(duì)基于GB/T16720(ISO9506)制造報(bào)文規(guī)——第5部分：GB/T18657等及其衍生標(biāo)準(zhǔn)的安全。目的在于定義了應(yīng)用程序配置文件(a-profile)安全通信機(jī)制，規(guī)定了對(duì)基于或衍生于IEC60870-5的所有協(xié)議的運(yùn)行進(jìn)行安全 ——第7部分：網(wǎng)絡(luò)和系統(tǒng)管理(NSM)的數(shù)據(jù)對(duì)象模型。目的在于定義了電力系統(tǒng)運(yùn)行所特有的——第9部分：電力系統(tǒng)設(shè)備的網(wǎng)絡(luò)安全密鑰管理。目的在于通過指定或限制要使用的密鑰管理——第11部分：XML文件的安全。目的在于規(guī)范智能變電站通信過程中的配置文件(XML文件)——第12部分：分布式能源(DER)系統(tǒng)的快速恢復(fù)和安全建議。目的在于提高分布式能源——第90-2部分：加密通信的深度包檢測。目的在于說明應(yīng)用于IEC62351保護(hù)的通信信道的——第100-1部分：IEC62351-5和IECTS60870-5-7的一致性測試用例。目的在于提供了在于提供了IEC62351-3:2023一致性測試用例及驗(yàn)證影響安全擴(kuò)展程序和協(xié)議行為的所有VGB/T(Z)25320《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全》定義了電力系統(tǒng)相關(guān)通信協(xié)議電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全本文件規(guī)定了用于保護(hù)IEC范圍內(nèi)使用的XML文件以及其他本文件使用了W3C標(biāo)準(zhǔn)來實(shí)現(xiàn)XML文件安全性，并提——Header(信息頭):Header包含已創(chuàng)建保存文件的相關(guān)信息，例如創(chuàng)建IEC6——可選擇以加密或非加密格式來封裝原始XML文件。如果選擇加密，則會(huì)提供一種機(jī)制來表——AccessControl(訪問控制):表示與原始XML文件中包含的信息有關(guān)的訪問控制信息的機(jī)制。——Body(正文):用于包含要封裝的原始XML文件?！猄ignature(簽名):能用于身份驗(yàn)證和篡改檢測的簽名?？傮w結(jié)構(gòu)應(yīng)符合圖1。IECTS62351-2電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第2部分：術(shù)語(Powersys-2temsmanagementandassociatedinformationeGlossaryofterms)IECTS62351-8電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第8部分：基于角色的訪問控制(Powersystemsmanagementandassociatedinformationexchange—DataRFC6931文件格式附加的XML安全統(tǒng)一資源標(biāo)識(shí)符(URI)[AdditionalXMLSecurityUni-formResourceIdentifiers(URIs)]W3CXML1.0典型規(guī)范，網(wǎng)際網(wǎng)路聯(lián)盟(RecommendedCanonicalXML1.0withcomments)(/TR/2001/REC-xml-cl4n-2001031W3CXML1.0規(guī)范要求，網(wǎng)際網(wǎng)路聯(lián)盟(RequiredCanonicalXML1.0,Omitscomments)(/TR/2001/REC-xml-c的交換用于IEC61970(所有部分)和IECC37.111(COMTRADE),也使用了XML文件。對(duì)于這些標(biāo)準(zhǔn)和其他基于XML的文件中可能包含的任何XML文件。3出到第三個(gè)參與者。如果在初始文件中提供了敏感或機(jī)密信息，則沒有技術(shù)機(jī)制來阻止應(yīng)用使用IEC61970-552傳輸電力系統(tǒng)拓?cái)?shù)據(jù)庫用戶A生成4圖2描述了在數(shù)據(jù)中轉(zhuǎn)中存在的潛在問題。A向B提供CIMXML文件，該文件包含了在A和由于B的導(dǎo)出而造成風(fēng)險(xiǎn)。推薦的處理中轉(zhuǎn)數(shù)據(jù)的方法是允許A將特定文件內(nèi)容分類并對(duì)敏感或保件遵循xsd格式規(guī)范，本文件旨在保留這類文件。因此，本文件采用的設(shè)計(jì)方法是對(duì)原始文件進(jìn)行XML文件的安全封裝符合圖3。隨機(jī)值的字節(jié)圖4通用IEC62351-11XSD結(jié)構(gòu)5圖4描述了本文件的XML文件的通用XSD結(jié)構(gòu)?？蛇x(O)/強(qiáng)制(M)/有條件的(信息頭)M(見6.2)系信息(不加密)C(見6.3)看原始文件內(nèi)容)。如果用戶不關(guān)心信息的機(jī)密性，或者可通過其他外部機(jī)制提供機(jī)密性，宜使用此選項(xiàng)。(加密)C(見6.4)為原始文件的訪問控制和封裝提供加密。如果用戶有對(duì)信息進(jìn)行私密性防護(hù)的意愿，且不能通過外部機(jī)制獲得私密性防護(hù)，宜使用此選項(xiàng)。XSD元素nonEncrypted和Encrypt(簽名)MW3CXMLSignature信息的信息頭類型HeaderType的XSD結(jié)構(gòu)應(yīng)符合圖5。Q1:VersionNumberQ1:VersionNumberQ1:DateTimeOfEncapsulation6可選(O)/強(qiáng)制(M)/有條件的(版本號(hào))M為“1.0”(封裝的日期時(shí)間)M指對(duì)原始文件進(jìn)行封裝的日期和時(shí)間(文件描述)O的，則此元素是必需的，因?yàn)槿绻霈F(xiàn)問題，用戶將無法(責(zé)任實(shí)體)O(見6.6.2)(聯(lián)系信息)O用戶提供的字符串，其中可能包含文件使用者在遇到問Information類型的結(jié)構(gòu)符合圖6。信息Information類型是以下子元素的XSD序列：Nonce;AccessControl;Body。這些元素的定義及其類型符合表3。7表3信息Information的定義可選(O)/強(qiáng)制(M)/有條件的(隨機(jī)數(shù))M見6.3.2(訪問控制)O(見6.3.3)這個(gè)元素用于表達(dá)訪問控制信息。如果未出現(xiàn)訪問控制元素，訪問控制的默認(rèn)值是允許所有的訪問(正文)M此元素表示一個(gè)與安全相關(guān)的屬性，該屬性確保如果同一主體使用相同的憑據(jù)，則至少簽名會(huì)不同。在很多情況下，用于加密的nonce宜是符合密碼學(xué)意義上的隨機(jī)數(shù)。然而，在本文件中，隨機(jī)性不是必要性需求，但應(yīng)滿足唯一性特征。為了防止加密產(chǎn)生的nonce值相同，nonce值應(yīng)包含DateTime值和UUID,nonce值不應(yīng)用于任何AccessControl允許零(0)值，因?yàn)锳ccessControl是可選項(xiàng)，或者為封裝的文件指定多組訪問信Ql:AccessControlQQl:AccessControlQ圖7訪問控制AccessControl的XSD復(fù)雜類型定義AccessControl元素是由一個(gè)或多個(gè)訪問控制信息AccessControllnformation(s)組成的XSD序列。每個(gè)AccessControllnformation都對(duì)應(yīng)一個(gè)XSD類型的訪問控制類型AccessControlType,其結(jié)構(gòu)符合圖8。AccessControfTypeQ1:ACLRestriction申ü”圖8訪問控制類型AccessControlType的XSD復(fù)雜類型定義8AccessControlType可選用契約Contractual限制(例如具有法律約束力的文件)或者訪問控制列Contractual或ACL是一個(gè)由表4中定義的元素所組成的XSD序列?？蛇x(O)/強(qiáng)制(M)/有條件的(契約文件名)M語句中指定的信息有關(guān)的允許訪問權(quán)限/特權(quán)的信息(ACL限制)M(見)ACLRestriction的使用允許用戶指定白名單或(XML路徑)O(見)此元素包含XPATH值，該值表示正文中包含的信26#”管”ACLRestrictionType的結(jié)構(gòu)應(yīng)符合圖9,是一個(gè)由XSD元素序列組成的復(fù)雜類型，其元素定義應(yīng)符合表5。9可選(O)/強(qiáng)制(M)/有條件的(C)(ACL類型)M(見)用于描述訪問限制規(guī)則是允許還是拒絕。因此，對(duì)應(yīng)ACLType的枚舉值應(yīng)是：Allow和DenyM(見)用于允許用戶聲明一系列的可允許或拒絕的訪問權(quán)(ACL應(yīng)用于)M(ACL期限)O用于指定訪問控制規(guī)則不再適用的日期和時(shí)間。因此對(duì)于存在公共約束值和相同/重疊的ACLAppliedTo值的情況，應(yīng)優(yōu)先采用ACLType值為Deny的聲明。ACLType是一個(gè)xs:string,其值為受限制的枚舉值，表6描述了ACLType枚舉值的定義和順序。表6ACLType枚舉值的定義定義(允許)描述對(duì)應(yīng)的ACLRestrictionType是用于創(chuàng)建白名單，且對(duì)特定ACLAppliedTo對(duì)straints特定約束權(quán)限是允許(拒絕)描述對(duì)應(yīng)的ACLRestrictionType是用于創(chuàng)建黑名單，且對(duì)特定ACLAppliedTo對(duì)straints特定約束權(quán)限是拒絕ACLConstraints是一系列Constraint值，其定義應(yīng)符合表7。Constraint是一個(gè)枚舉類型的字符串，其使用由ACLType定義。與可執(zhí)行的文件特權(quán)不同，Constraint值表示在數(shù)據(jù)轉(zhuǎn)換過程中宜遵循的處理導(dǎo)則。Constraint值應(yīng)符合表7。表7約束Constraint的枚舉值定義定義(全部)聲明對(duì)讀取、寫入和列表的所有權(quán)限。Read讀取權(quán)限，(如果允許)表示實(shí)體可以提供值/元素給另一個(gè)實(shí)體。Write寫入權(quán)限，(如果允許)表示實(shí)體能夠?qū)χ?元素進(jìn)行修List列表權(quán)限，(如果允許)表示實(shí)體能夠獲知值/元素是否存因此，All值與Read、Write、List和Forward是互(傳遞值)聲明對(duì)XPATH指定的信息值傳遞給另一個(gè)實(shí)體的能力。該聲明中的Read權(quán)限隱含了List的權(quán)限。例如，如果ACLType的枚舉值是Allow,則一個(gè)實(shí)體將能夠?qū)α硪粋€(gè)實(shí)體提供信(寫)聲明對(duì)XPATH指定信息的值具有修改的權(quán)限EntityType的結(jié)構(gòu)應(yīng)符合圖10。*:#圖10實(shí)體類型EntityType的XSD復(fù)雜類型定義EntityType是一個(gè)實(shí)體規(guī)范組合的XSD序列，用于確定ACL適用的實(shí)體。表8定義了EntityType可選(O)/強(qiáng)制(M)/有條件的(可分辨名稱)M(見6.6.2)系人(如組織或個(gè)人)以及ACL的適用人信息(URL地址)M用于聲明適用ACL的網(wǎng)址信息。的特定FTP站點(diǎn)引用到一個(gè)組織(角色)O(見)分組的類型這些值的組合能用于限制訪問，例如，DistinguishedName和Role的組合可用于描述一個(gè)ACL限制可應(yīng)用于一個(gè)公司部門的特定角色。Role是一個(gè)xs:string,其值通過枚舉進(jìn)行限制。字符串的允許值按照IECTS62351-8進(jìn)行定義。此元素包含XPATH值，該值引導(dǎo)指定的約束到Body中對(duì)應(yīng)的信息標(biāo)簽。如果未指定XPATH,指定的約束應(yīng)適用于整個(gè)Body元素。二<Q11EC62351-11xminsn1=htp//wwwatovacom/samplexmlothernamesxminsds="http//wwww3ong/200009/amldsigf'xminsenc="http//wwww3crg2001/04/mlenc'xmlnsxsi="http/Mwww3ong/2001/XMLChemainstance'xsichemaloxaton='http//wwwiecth/2014/01V62351-11*fie:/iC/Nsers/rootDesktop/EC6235<Q1XPATH>//cimPowerlranstomer|@rdt1D=120568311Z0568422124574<crdt:RDFxminsrdf="htp//www/1999/02/22-rdfsyntax-nstxmlnscim="http//ecch/TC57<omPowerTranstormerrdfID=12056831<omldentfiedObjectname>UNKNOcomfquipmentMemberOfEquipmen/cim.PowerTranstormecomBxeVotageisOC>fase</omBseVotageisC><cmldentfiedObjectname>500</cmldentiedObjectname>圖11訪問控制AccessControl和XML路徑XPATH示例六<cimldentifiedObject,name>XX</cimridentif<cimldentifiedO>ControlArea_XX</cimidentif<cimControlAreanetIn<cimSubstationrdfID=*S_10000<cimSubstation.Regi<dsCanonicalizationMethodAlgorithm=*/TR/2001/REC-xml-d4n-2001031<ds:HMACOutputlength>128</dsHM<ds-DigestMethodAlgorithm=*2001/04/xmldsig-more#sha384°></—①—白—白—①—白—白圖11描述了訪問控制AccessControl和XML路徑XPATH使用的示例，顯示了拒絕訪問有關(guān)特XPATH值應(yīng)不包括任何XML文件元素，應(yīng)僅對(duì)封裝的文件有效。這有利于基于XPATH來實(shí)Body是對(duì)正在進(jìn)行簽名/加密的實(shí)際文件的封裝元素。Body應(yīng)封裝一個(gè)不包含<?xml…>值的<rdfRDFxmlns:rdf="http.///1999402/22-rdf-syntax-ns#xmlns:cim="http./fiec.ch/TC57/2009/CIM-schema-cim14#><cim:PowerTransformerrdfID="TZD5<cim:Equipment.MemberOf_EquipmentContainerrdfresource="#SZD568<cim:Equipment.MemberOf_EquipmentContainerrdfresource="#SZD568<cim:BaseVoltage.nominalVoltage>500</cim:BaseVoltage.nom<cim:BaseVoltage.isDC>false</cim:BaseV<cim:IdentifiedO>500</cim:Identified<cim:SubGeographicalRegionrdfID=<cim:ldentifiedO>XX</cim:ldentified<cim:SubGeographicalRegion.Regionrdfresource="#H<cim:ldentifiedO>ControlArea_XX</cim:Identified<cim:ControlAlnterchange>D</cim:ControlA<cim:ControlArea.pTolerance>0</cim:ControlArea<cim:ldentifiedO>SUBSTATION_2</cim:ldentiie<cim:Substation.Regionrdf.resource="#Z_1"/><cim:ldentifiedO>SUBSTATION_2</cim:ldentiie白xene:EncryptionProper本文件的XML文件中Encrypted的結(jié)構(gòu)符合圖13。Encrypted和加密數(shù)據(jù)類型EncryptedData-W3C中的EncryptionMethodType指定了EncryptionMethod元素的結(jié)構(gòu)，應(yīng)在加密元素中應(yīng)出現(xiàn)可選的EncryptionMethod信息，其數(shù)值應(yīng)符合IANA的規(guī)定(見第8章)?！?009/xmlencl1#aes128-gc——2009/xmlencl1#aes192-gc——2009/xmlencl1#aes256-gc在加密元素中也應(yīng)出現(xiàn)可選的KeySize元素，并且為非NULL/非空值。對(duì)1024位密鑰長度的支三三aCipherValue應(yīng)為加密EncryptedData元素產(chǎn)生的值。該元素的結(jié)構(gòu)在圖16中定義。信息Information類型在6.如果EncryptedDataType中的Keylnfo元素不存在，則SignatureKeylnfo元素的值應(yīng)用于加中，能在此位置獲得巨a…=Signature元素的結(jié)構(gòu)定義采用了W3C定義的SignatureType,符合圖17。6.5規(guī)定了其結(jié)構(gòu)及結(jié)以下條款規(guī)定了在應(yīng)用本文件時(shí)在SignedInfoType中能選擇的特定值。SignedInfoType的結(jié)構(gòu)ds:CanonicalirationMe田attributesds:HMACOutputLengthlnyG田attributes在W3C的簽名規(guī)范文件中包括一個(gè)強(qiáng)制的規(guī)范化方法和三個(gè)推薦的規(guī)范化方法。本文件使用的方法應(yīng)是推薦的方法之一：/TR/2001/REC-xml-cl4n-20010315#WithCom-此方法的使用還應(yīng)包括現(xiàn)有的空白以及XML注釋。SignatureMethod元素的定義結(jié)構(gòu)應(yīng)符合圖19。盡管W3C標(biāo)準(zhǔn)允許使用任何注冊(cè)的URI,但在本文件中將允許的列表限制為在IANA上注冊(cè)的(/assignments/xml-security-uris/xml-sec——2001/04/xmldsig-more#hmac-sha25——2001/04/xmldsig-more#hmac-sha38——2001/04/xmldsig-more#hmac-sha51截?cái)嗟拈L度值是80、128和256位。這些也是HMACOutputLength僅有的允許值。如果HMACOut-引用類型ReferenceType的定義結(jié)構(gòu)應(yīng)符合圖20。ds:Transformsds:Tran——2001/04/xmldsig-more#sha224;——2001/04/xmldsig-more#sha384。name="DigestValue"type="ds:DigestValue和未加密/加密的XML元素(如圖4);對(duì)原始XML文件的加密應(yīng)在對(duì)原始(如未加密)文件完ds:Object元素不應(yīng)出現(xiàn)在XML文件的范圍內(nèi)。NameSeqType用來提供一個(gè)DistiguishedName或RelativeDistinguishedName序列，應(yīng)符合圖22。NameSeqTypeScope元素是xs:string類型。Scope可能僅有一個(gè)安全算法的選擇遵循在IEC62351(所有部分)不同部分中對(duì)特定安全服務(wù)所采取的方法。以下提的一般通用算法。符合上述推薦算法在第8章中標(biāo)記為粗體。7示例文件(資料性)<?xmlversion="1.0"encoding="UTF-8"?><Q1:IEC62351-11xmlns:Q1="http://www.iec.ch/2014/01/62351-11#"xmlns:ds="/2000/09/xmldsxmlns:enc="/2001/04/xmlns:xsi="/2001/XMLSchema-xsi:schemaLocation="http://www.iec.ch/2014/01/62351-11#file:///C:/Users/root/Desk-<Q1:DateTimeOfEncapsulation>2<Q1:Filedesc>ExampleIEC62351<Q1:Nonce>85343410947jgfa8312b!</Q1<Q1:AcessControllnfo<Q1:ACLType>Deny</Q1:<Q1:Constraint>All</Q1:Co<Q1:XPATH>//cim:PowerTransformer[@rdf:ID='TZ0</Q1:AcessControllnfo<rdf:RDFxmlns:rdf="/1999/02/22-rdf-syntax-ns#"cim="http://iec.ch/TC57/2009/CIM-sc<cim:PowerTransformerrdf:ID="_T_Z0568311_Z<cim:IdentifiedO>UNKNOWN(/cim:IdentifiedO><cim:Equipment.MemberOf_EquipmentContainerrdf:resource="#S<cim:BaseVoltagerdf:ID="_<cim;BaseVoltage.nominalVoltage)500</cim:BaseVoltage.no<cim:BaseVoltage.isDC>false</cim:BaseV<cim:IdentifiedO)500</cim:Identified<cim:SubGeographicalRegionrdf:ID="ZX")<cim:IdentifiedO>XX</cim:Identified<cim:SubGeographicalRegion.Regionrdf:resource="#_H_XX"/)</cim:SubGeographica<cim:ControlAreardf:ID<cim:IdentifiedO)ControlArea_XX</cim:Identifie<cim:ControlAInterchange>0</cim:ControlA<cim:ControlArea.pTolerance>0</cim:ControlArea.<cim:Substationrdf:ID="S1000<cim:IdentifiedO)SUBSTATION_2</cim:ldentifie<cim:Substation.Regionrdf:resource="Algorithm="/TR/2001/R<ds:SignatureMethodAlgorithm="2001/04/xmldsig-more#h<ds:HMACOutputLength>128</ds:HMACOutp<ds:DigestMethodAlgorithm="2001/04/xmldsig-more#sha384"></ds:DigestMethod)<ds:DigestValue)dGhpcyBpcyBub3QgYSBzaWduYXR1cmUK</ds:D<ds:SignatureValue)dGhpcyBpcyBub3QgYSBzaWduYXR1cmUK</ds:Sign<ds:X509SerialNumber)</ds:X509Serial以下段落示例了一個(gè)使用CIM原始文件的XML文件。信<?xmlversion="1.0"encoding="UTF-8"?><Q1:IEC62351-11xmlns:n1=/samplexml/other-namespacexmlns:Q1="http://www.iec.ch/2014/01/62xmlns:ds="/2000/09/xmldsig#"xmlns:enc="http://wwxmlns:xsi="/2001/XMLSchema-xsi:schemaLocation="http://www.iec.ch/2014/01/62351-11#file:///C:/User<Q1:DateTimeOfEncapsulation>2014-04-14T21:32:52</Q1:DateTimeOfEnca<Q1:EncryptedType="/2001/04/xmlenc#Element")<enc:EncryptionMethodAlgorithm="2009/xmlencll#aes128-gcm"〉<enc:KeySize)2048</enc:TWFulGlzIGRpc3RpbmdlaXNoZWQsIG5vdCBvbmx5IGJ5IGhpcyByZIHNpbmd1bGFylHBhc3Npb24gZnJvbSBvdGhlciBhbmltYWxzLCB3adGhlIG1pbmQsIHRoYXQgYnkgYSBwZXJzZXZlcmFuY2Ugb2YgZGdWVkIGFuZCBpbmRIZmF0aWdhYmxlIGdlbmVyYXRpb24gb2Yga25vZSBzaG9ydCB2ZWhlbWVuY2Ugb2YgYW55IGNhcm5hbCBwbGVhAlgorithm="/TR/20<ds:SignatureMethodAlgorithm="2001/04/xmldsig-more#hmac-sha256")<ds:HMACOutputLength>128</ds:HMACOutp<ds:DigestMethodAlgorithm="2001/04/xmldsig-more#sha384"></ds:DigestMethod)<ds:DigestValue>dGhpcyBpcyBub3QgYSBzaWduYXR1cmUK</ds:D<ds:SignatureValue)dGhpcyBpcyBub3QgYSBzaWduYXR1cmUK</ds:Sign<ds:X509IssuerName>IEC</ds:X509Is<ds:X509SerialNumber>0123</ds:X509Seria為了提供與IEC62351(所有部分)中其他部分相同的安全性/類似的加密算法選擇(尤其是IEC62351-3中TLS的協(xié)議集),推薦的加密算法標(biāo)記為粗體，請(qǐng)注意，本推薦不宜限制更強(qiáng)算法的2000/09/xmldsig#base64Transform2000/09/xmldsig#DSAKeyValueRetrievaltype2000/09/xmldsig#dsa-shalSignatureMethod2000/09/xmldsig#enveloped-signature2000/09/xmldsig#hmac-shalSignature2000/09/xmldsig#MgmtDataRetrievaltype2000/09/xmldsig#PGPDataRetrievaltype2000/09/xmldsig#rawX509CertificateRetrieval2000/09/xmldsig#RSAd2001/04/xmldsig-more#2001/04/xmldsig-more#camell2001/04/xmldsig-more#camell2001/04/xmldsig-more#camell2001/04/xmldsig-more#ec2001/04/xmldsig-more#ecds2001/04/xmldsig-more#ecds2001/04/xmldsig-more#ecds2001/04/xmldsig-more#es2001/04/xmldsig-more#esig2001/04/xmldsig-more#esig2001/04/xmldsig-more#esig2001/04/xmldsig-more#esig2001/04/xmldsig-more#2001/04/xmldsig-more#hmac-2.6.2SignatureMethod[RFC6931][RFC6931],section[RFC6931],section[RFC6931],section[RFC6931],section[RFC6931],section[RFC6931],section2001/04/xmldsig-more#hma2001/04/xmldsig-more#hma2001/04/xmldsig-more#hma2001/04/xmldsig-more2001/04/xmldsig-more#2001/04/xmldsig-more#kw-ca2001/04/xmldsig-more#kw-ca2001/04/xmldsig-more#kw-ca2001/04/xmldsig-more#PKCS7signedDataRetrievaltype[RFC6931],section3.22001/04/xmldsig-more#p2001/04/xmldsig-more#p2001/04/xmldsig-more#rawPGPK2001/04/xmldsig-more#rawPKCS7s2001/04/xmldsig-more#raw2001/04/xmldsig-more#ra2001/04/xmldsig-more#Retrie2001/04/xmldsig-moreSignatureMethod[RFC6932001/04/xmldsig-more#rsSignatureMethod[RFC6931]2001/04/xmldsig-more#rs2001/04/xmldsig-more#rsa-rSignatureMethod[RF2001/04/xmldsig-morDigestAlgorithm[RFC6931],section2001/04/xmldsig-morDigestAlgorithm[RFC6931],section2.1.32001/04/xmldsig-morTransform[RFC6931]2001/04/xmldsig-more#PK2001/04/xmlenc#aes192-cb1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendatio2001/04/xmlenc#aes256-cbcEncryptionMethod["XMLEncryptionSyntaxand1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendatio2001/04/xmlenc#dhAgreeme1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation1"],D.Eastlake,J.Reagle,F.H2001/04/xmlenc#kw-aes192EncryptionMethod["XMLEncryptionSyntaxandPr1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation241"],D.Eastlake,J.Re1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation242001/04/xmlenc#rsa-1_5EncryptionMethod["XMLEncryptionSyntaxa1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation24January2001/04/xmlenc#rsa-oaep-mgflpEncryptionMethod["XMLEncryptision1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedD.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRe1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation2001/04/xmlenc#tripledes1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation242013.["XML-SignatureXPathFilter2.0"],J.Boyer,M.Huges,J.Reagle,8November2002/06/xmldsig-filter2Transform["XMLglund,S.Boag,D.Chamberlin,M.Fernandez,M.Kay,J.Robie,J.Simeon,W3C2002/07/decrypt#XMLTransform["DecryptioHughes,T.Imamura,H.Maruyama,W3C2006/12/xmlc12nl1#Canonicalization["CanonicalRecommendation2Ma2006/12/xmlc14n11#WithCommentsCanonicalization["CanoBoyer,G.Marcy,W3CRecomm2007/05/xmldsig-more#ecdsa-ripemd160SignatureMethod[RFC6931],section2007/05/xmldsig-more#ecdsa-whirlpoolSignatureMethod[RFC6932007/05/xmldsig-more#kw-seed128EncryptionMethod[RFC6931],section2.6.62007/05/xmldsig-more#md2-rsa-MGF1SignatureMethod[RFC6931],section2007/05/xmldsig-more#md5-rsa-MGF1SignatureMethod[RFC6931],sect2007/05/xmldsig-more#MGF1SignatureMethod2007/05/xmldsig-more#ripemd128-rsa-MGF1SignatureMethod[RFC6931],section2.3.102007/05/xmldsig-more#ripemd160-rsa-MGF1SignatureMethod[RFC6931],section2.3.102007/05/xmldsig-more#rsa-pssSignatureMethod[RFC6931],section2.3.92007/05/xmldsig-more#rsa-sha224Signatur2007/05/xmldsig-more#rsa-whirlpoolSignatureMethod[RFC69312007/05/xmldsig-more#seed128-cbcEncryptionMethod[RFC6931],sectio2007/05/xmldsig-more#shal-rsa-MGF1SignatureMethod[RFC6931],section2.3.102007/05/xmldsig-more#sha224-rsa-MGF1SignatureMetho2007/05/xmldsig-more#sha256-rsa-MGF1SignatureMethod[RFC6931],section2.3.102007/05/xmldsig-more#sha3-224DigestAlgorithm[RFC6931],section2.1.52007/05/xmldsig-more#sha3-224-rsa-MGF1SignatureMethod[RFC6931],section2.3.102007/05/xmldsig-more#sha3-256DigestAlgorithm[RFC6931],section2.1.52007/05/xmldsig-more#sha3-256-rsa-MGF1SignatureMethod[RFC6931],s2007/05/xmldsig-more#sha3-384DigestAlgorithm[RFC6931],section2.1.52007/05/xmldsig-more#sha3-384-rsa-MGF1SignatureMethod[RFC6931],s2007/05/xmldsig-more#sha3-512DigestAlgorithm[RFC6931],section2.1.52007/05/xmldsig-more#sha3-512-rsa-MGF1SignatureMethod[RFC6931],se2007/05/xmldsig-more#sha384-rsa-MGF1SignatureMethod[RFC6931],section2.3.102007/05/xmldsig-more#sha512-rsa-MGF1SignatureMethod[RFC6931],section2.3.102007/05/xmldsig-more#whirlpoolDigestAlgorithm[RFC6931]2007/05/xmldsig-more#whirlpool-rsa-MGF1SignatureMethod2009/xmlencl1#kw-aes-128-padEncryptionMethod["XML.EncryptionVersion1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roe2009/xmlencl1#kw-aes-192-padEncryptionMethod["XMl.EncryptionVersion1.1"],D.Eastlake,J.Reagle,F.Hirsc2009/xmlencl1#kw-aes-256-padEncryptionMethod["XMLEncryptionVersion1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation2009/xmldsig11#dsa-sha256SignatureMethodSolo,F.Hirsch,M.Nystrom,ProposedRecommendatiRetrievaltypeSolo,F.HirschProposedRecommendat2009/xmldsig11#DEREncodedKeyValueRetrievaltypeSRoessler,K.Yiu,ProposedRec2009/xmlencl1#aes128-gcmEncryptionMeth1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation24Jan1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation24Jan1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation24Jan2009/xmlencl1#ConcatKDFEncryptionMethod["XMLEncryptionSyntaxandP1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,Proposed1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation2009/xmlencl1#mgflsha224SignatureMethod["XMLEncryption1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation24Jan2009/xmlencl1#mgflsha256SignatureMethod["XML.EncryptionSynta1.1"],D.Eastlake,J.Reagle,F.Hirsch,T.Roessler,ProposedRecommendation24Jan2