智慧公路物联网安全体系分析

论文

作者：陈忱1,2（1.甘肃省交通规划勘察设计院股份有限公司；2.甘肃省综合交通大数据应用技术工程研究中心）

摘要：智慧公路是智慧交通的重要组成部分。在智慧公路的总体框架下，沿线设施、车、路、人等通过不同的网络连接方式，构成了物联网环境。在物联网环境下，存在设备安全、数据安全、通信安全、计算安全等诸多问题。本文主要探讨了智慧公路范畴下的物联网工作环境和安全需求，进而提出了解决方案，对于提高智慧公路运行安全、保证生命财产具有重要意义。

智慧公路是智慧交通的重要组成部分，是实现交通强国伟大战略的重要切入点。不同的机构和企业对智慧公路有不同的定义和理解。总体来说，智慧公路是采用云计算、大数据、人工智能等新一代感知、计算、通信技术，实现对高速公路全面透彻、实时精准地感知与信息交互。按照如上定义，丰富、多样的感知体系是实现智慧公路的前提基础，基于采集的各类数据，经过一致化处理，最终为应用系统所用，为行业管理者和出行者提供服务。在智慧公路的总体框架下，沿线设施、车、路、人等通过不同的网络连接方式，构成了物联网环境。在物联网环境下，存在设备安全、数据安全、通信安全、计算安全等诸多问题。

一

研究背景

感知体系和应用系统之间的关系如图1所示。

图1 基于物联网环境的智慧公路体系

如图1所示，感知层包括路侧设备、车载设备、车辆、道路等多种元素，产生大量异构数据（视频影响数据、道路状况数据、驾驶员数据、车辆行驶状态数据、气象数据、传感数据等），这些数据共生共用，共同构成智慧公路应用场景的基础。相对于传统公路，沿线设备大规模扩展，数据充满多样性，通信形式复杂多变，在这样的背景下，如何保证信息安全就显得十分重要。

信息安全的概念很大，包括应用数据安全、传输安全、应用系统安全等。在智慧公路的总体框架下，沿线设施、车、路、人等通过不同的网络连接方式，构成了物联网环境，本文主要探讨在该物联网环境下的数据及网络安全问题，并提出相关解决方案，包括智慧公路物联网环境分析、智慧公路物联网安全需求、智慧公路物联网安全防护方案。

二

智慧公路物联网环境分析

按照业界对智慧公路的常规理解，在逻辑架构上，智慧公路可分为数据采集层、网络传输层、云存储层和应用层。基于不同的传感设备和数据传输方法，数据采集层和网络传输层构成了典型的物联网环境，如图2所示。智慧公路物联网环境中包括以下多种设备。

图2 智慧公路物联网环境

（1）智慧公路云数据中心。为整个智慧公路建设提供基础IT资源和计算资源。

（2）5G基站。5G基站是5G网络的核心设备，提供无线覆盖，实现有线通信网络与无线终端之间的无线信号传输。

（3）北斗地基增强系统。地基增强系统包括地基增强系统与星基增强系统。智慧公路建设主要是指地基增强系统。地基增强系统是北斗导航应用的核心，由基准站网络、数据处理系统、运营服务平台、数据播发系统和用户终端五部分组成。基准站接受卫星导航信号后，通过数据处理系统形成相应信息，经由卫星、广播、移动通信等手段实时播发给应用终端，实现高精定位服务。

（4）路侧智能基站。路侧智能基站是智慧公路沿线智慧感知设备的统称，可以是路侧RSU、监控摄像机、气象监测设备、ETC门架系统等，也可以是多种设备集成后形成的路侧设施设备或边缘计算节点。

（5）车载单元。车载单元是车载设备的统称，包括车载OBU、车载摄像机、北斗高精定位（导航仪）、车主手机终端等。

通过以上设备，智慧公路物联网环境可描述如下。

（1）通过高速主干光纤光缆、5G基站、路侧智能基站（天网）等通信传输设备，赋予智慧公路交通专网和公网传输能力，以及与天网的互联能力，实现公路沿线智慧感知设备与“云”的信息交互、车载单元（车主手机）与“云”的信息交互。5G基站的搭建，为实现车联网、物联网提供了技术支撑条件。

（2）通过北斗地基增强系统，赋予智慧公路卫星通信网络传输能力，实现车（北斗高精定位导航仪、车主手机）与北斗卫星的信息交互。北斗地基增强系统的搭建，为高精定位、测速、授时和导航等功能提供技术支撑条件。

（3）通过RSU和OBU等通信传输设备，利用5G、北斗、DSRC、C-V2X等通信技术，赋予公路沿线智慧感知设备与车的信息交互能力（V2I，DSRC）、车与车的信息交互能力（V2V，C-V2X），以及公路沿线智慧感知设备之间的信息交互能力（I2I，DSRC），最终达到车联网、物联网状态。

三

智慧公路物联网安全需求

智慧公路安全体系包括数据安全、传输安全、应用系统安全。本文只探讨由底层设备和网络构成的物联网安全体系，不涉及上层应用系统。在此前提下，智慧公路物联网安全的主要需求如下。

（1）设备安全

智慧公路沿线物联网设备主要包括云储存设备、5G基站、北斗地基增强站、路侧设备（RSU、摄像机、门架、雷达、边缘计算节点、气象设备等）、车载单元（OBU、导航仪、手持终端等）等。如果不考虑施工作业时的通信线路及配电安全和定期安全巡检，设备安全的主要需求在于本身的安全特性，如供电安全、断电保护、远程固件升级、认证等。

（2）数据安全

包括重要数据的安全存储、调用接口，如密钥信息等，通过外部接口访问需要严格的验证要求；设备的所有物理接口应该具有上锁的封闭能力。数据采集尽量最小化采集，项目无关数据不要采集，确保数据不被篡改和改动必有记录的能力。

（3）通信安全

通信过程中会面临非授权节点非法接入问题，感知节点交互的所有信息可能被攻击者获取。攻击者的目的除了窃听信息外，还可能是普遍的安全威胁，某些普通节点被攻击者控制之后，其与被控制的关键感知节点发出错误信息，从而影响系统的正常运行，涉及的感知节点包括RSU、OBU、智能摄像机、雷达、数据采集器等。通信安全包括数据收发时对数据的处理能力、加密和解密能力、完整性校验和验证能力，对通信方的鉴别能力等。

在数据采集层和网络传输层上的网络安全主要考虑数据保密性，通讯层安全，数据完整性，随时可用性。

四

智慧公路物联网安全防护方案

基于以上对智慧公路物联网安全需求的描述，从感知层到应用层，以智慧公路为载体的物联网安全方案如下表所示。

智慧公路物联网安全防护方案表

（1）代码签名。用来保护设备不受攻击，对可执行文件或脚本进行数字签名，确保所有运行代码都是被签名授权的。签名后的代码不会被篡改，可确保恶意代码不会被运行和覆盖正常代码。代码签名技术可以应用在应用级别，也可应用在固件级别。

（2）异常检测。对异常情况输出详细的日志信息，进行日志汇总、日志总结分析，及时发现攻击行为进行告警和干预处理。

（3）身份认证。是对用户合法使用资源的认证和控制，目前信息系统的访问控制主要是基于角色的访问控制机制（RBAC）及其扩展模型。身份认证可以使通信双方确信对方的身份并交换会话密钥。

（4）固件升级（OTA）。植入物联网设备中的升级程序，主要用来为设备及时打补丁，实现持续升级优化。

（5）深度包检测技术（DPI）。基于应用层的流量检测和控制技术，一种可识别特定网络协议的防火墙，针对物联网涉及的modbus等协议实现风险控制。

（6）入网认证。设备接入云端平台需要进行密钥认证、CA证书认证等授信接入。

智慧公路物联网安全拓扑如图3所示。

图3 智慧公路物联网安全网络拓扑

对于公路的物联网基础设施，需要保障其物联网设备安全，可通过在车载端OBU设备、路测段RSU设备上部署具备AI自动化终端可信安全SDK监测、检测与防护产品，实现车载终端主动免疫和可信保障机制，上报异常信息进行深度威胁分析，执行安全策略指令下发、OTA应急恢复、攻击溯源；对于终端登录用户进行身份鉴别和控制；终端与5G网络双向认证；支持进行二次认证；对终端敏感数据加密存储；敏感数据加密传输。

在边缘计算节点前置边缘计算安全网关，实现网内流量数据采集，对RSU、OBU等设备进行监控。安全网关通过自身具有的防火墙、防病毒、入侵检测、用户接入主动认证等功能，提供边缘计算节点接入安全管理方案。

五

结束语

智慧公路是公路行业发展的必然趋势，由各类传感设备、传输设备构成的感知物联网络又是智慧公路实现的基础。基于公路沿线物联设备、设施种类越来越多、数据越来越复杂的现状，本文通过对智慧公路物联网环境进行分析，提出了智慧公路物联网安全需求和防护方案。本文的研究成果对于保证智慧公路底层数据安全环境，促进应用系统应用效果具有重要意义。

参考文献

[1] 沙锐,梁德建.智慧公路发展现状、趋势分析及对策[J].科技中国,2020(12):7-9.

[2] 张敏阳.甘肃省智慧高速公路设计及应用[J].公路交通科技(应用技术版),2020,16(11):325-326.

[3] 徐萌.物联网技术在智能交通管理系统中的应用研究[J].数码世界,2021(2):10-11.

[4] 裴亮.5G时代的物联网发展与技术分析[J].电子世界,2021(2):5-6.

[5] 翟泽,钟磊,王欣.高速公路智慧云平台安全架构研究[J].网络安全技术与应用,2020(11):127-128.

（原文刊载于2021年第10期《中国交通信息化》）

微信编辑 | 户利华

责任编辑 | 崔雪薇

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。