1.高速公路信息安全化政策
從國家層面看��,现在已明確在高速公路信息化方面推行密碼應用。
1.1��、從下發的政策文件中已明確指出“交通運輸網絡密碼應用”。服務交通強國戰略實施���,如加強鐵路���、公路����、水運���、航空��、郵政以及城市公共交通等交通運輸網絡密碼應用����,構建鐵路公共服務平台����、客運聯網售票����、高速公路不停車收費���、交通一卡通��、出行服務���、寄遞服務���、運政管理等信息系統密碼支撐體系����,促進密碼在新一代國家交通控制網���、多式聯運信息資源共享等應用。”
1.2��、交通運輸領域密碼應用與創新开展工作方案中指出����:“十三五”期間��,要建成以國產密碼為主要支撐的交通運輸信息安全保障體系���,實現交通運輸領域信息安全核心產品及系統的信息安全���,完成已建網絡和信息系統密碼國產化改造。
2.交通運輸部規劃有助于市場需求
交通運輸部曾在2016年3月印發����《交通運輸行業重要業務領域密碼應用推進總體規劃》的通知����,在通知中明確“推進高速公路不停車收費系統(ETC)等涉及國計民生的重要信息系統國產密碼應用����,組織召开高速公路不停車收費系統(ETC)國產密碼應用試點示範工作”。
在2018年上半年��,交通運輸部又先後出台以下措施有助于收費系統國產密碼應用工作��:
1)����《交通運輸部辦公廳關於印發<全國高速公路聯網電子不停車收費系統國產密碼算法遷移工程實施方案>的通知》(交辦公路[2018]26號);
2)���《“全國高速公路聯網電子不停車收費系統國產密碼算法遷移工程“工作座談會會議紀要》(交通運輸部公路科學研究院[2018年4月8日]);
3)���《全國高速公路聯網電子不停車收費(ETC)系統國產密碼算法遷移工程總體技術方案》(2018年3月);
4)���《高速公路電子不停車收費(ETC)系統國產密碼算法遷移試點工程暫行技術要求》(2018年3月);
根據以上有關要求���,全國高速公路聯網電子不停車收費系統(ETC)所用的密鑰將統一遷移至國產密鑰。
3.高速公路信息安全化密碼應用分析
在高速公路行業��,將於道路主體工程相配套的收費����、通訊����、監控系統以及供電照明等一系列強弱電附屬設施統一列入“機電工程”(又稱“高速公路智能交通系統工程”)。
现在來看���,高速公路機電系統中信息化相關部分主要是���:監控系統(收費站����、道路及隧道監控)���、收費系統和通信系統三大系統��,具體介紹如下��:
3.1高速公路監控系統
3.1.1高速公路監控系統介紹
高速公路監控系統從管理層次一般分為外場設備����、監控中心��,具體如下表��:
3.1.2高速公路監控系統架構圖����:
3.1.3高速公路監控系統基於國產密碼應用
公路監控系統的密碼技術應用有兩個����,一是保證採集數據的真實性和完整性���、二是保證相關控制指令的真實性和完整性。考慮2019年初國家發佈的GB35114標準和融媒體安全方面的系列政策����,後續高速公路監控系統在數據採集���、傳輸和接收方面將採用密碼技術的應用。
視頻採集終端可採用evo真人(中国)信TF加密卡���、evo真人(中国)信息鏈路加密終端方式與採集終端對接��,以滿足基於國密的硬件密碼設備要求。
監控中心的視頻編碼器���、解碼器��、圖像處理器可採用調用evo真人(中国)信息服務器密碼機��、evo真人(中国)信息PCI-E加密卡卡方式���,以滿足基於國密的硬件密碼設備要求。
(3)建議在監控系統的服務端部署簽名驗簽服務器��,對其數據��、指令進行簽名和驗簽;考慮客戶端工作環境(高溫����、高濕����、震動)����,需要部署符合工業標準的密碼終端���,如evo真人(中国)信息網絡隱身終端���、evo真人(中国)信息嵌入密碼晶片的網絡攝像頭等。
3.2 高速公路收費系統
高速公路收費系統從管理層次一般分為所收費站����、收費分中心和收費總中心。高速公路收費站一般由收費站監控室計算機網絡系統��、收費車道計算機控制系統(IC 卡讀寫設施����、金額顯示設施���、自動欄杆機���、計重設施���、票據打印機等)���、視頻監控系統(亭內��、車道���、收費廣場攝像機)���、對講系統以及報警系統等部分組成。收費分中心����、收費總中心根據功能和要求的不同���,一般由網絡數據/服務器和若干個工作站組成。
高速公路收費系統架構圖��:
3.2.1高速公路收費系統國產密碼應用
國家高速公路聯網電子收費的安全與可信支撐體系採用了PKI技術,PKI是一種遵循既定標準的密鑰管理平台,它能夠為所有網絡應用给予加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。顺利获得對合法用戶和設備發放數字證書,可以實現用戶身份認證����、加解密���、簽名驗簽��、責任認定等具體應用。數字證書包括簽名證書和加密證書,簽名證書主要用於對用戶信息進行簽名,以保證信息的不可否認性;加密證書主要用於對用戶傳送信息進行加密,以保證信息的真實性和完整性。
3.2.2高速公路收費系統國產密碼應用模式
收費系統现在主要需求是國密升級改造。改造內容是建設基於國密的數字證書系統���,包括對密鑰管理系統���、證書籤發系統和證書註冊管理系統等。
(1)收費操作人員����、業務操作人員身份的識別���、收費操作行為的記錄。顺利获得為所有收費操作人員和業務操作人員發放用戶證書,在操作員訪問業務系統前進行基於數字證書的身份驗證,防止非法用戶訪問業務系統進行越權操作,並對所有收費操作和業務操作行為進行記錄,實現對操作人員的身份驗證和責任認定。
(2)ETC設備的身份識別���、收費操作行為的記錄
顺利获得為所有ETC收費終端發放設備證書,對所有接入網絡的ETC收費終端設備進行基於數字證書的身份驗證防止非法設備接入到收費網絡,並對自動收費行為進行記錄,實現對ETC收費終端的身份驗證和責任認定。
(3)收費交易行為記錄的真實性��、可認定以及收費數據的防篡改。顺利获得對每一筆人工收費及ETC自動收費記錄進行簽名處理,可以確保收費交易行為記錄的真實性和可認定,同時,可以防止收費數據被非法篡改。
(4)跨區域結箅數據的身份識別���、加密���、防篡改。
顺利获得對跨區域結算數據在存儲和傳輸過程中進行基於數字證書的加解密和簽名驗證處理,可以確保各收費中心向區域結算中心以及各區域結算中心間互相發送收費結算數據的保密性��、完整性,並能對收費結算數據的發送方和接收方的身份進行鑑別與確認,確保只有收費結算數據的操作人員才能正確解讀數據信息,保證收費結算數據的安全。
此外����,在保證車輛通行效率的同時��,為提高收費系統的安全性����,將在每個高速公路收費站部署兩台加解密設備(或密碼卡)��,對顺利获得該收費站的車輛信息進行密碼處理��,並將相關數據顺利获得VPN上傳至結算中心。
3.3高速公路通信系統
3.3.1通信系統介紹
高速公路通信系統是高速公路現代化管理的重要支撐系統����,它要準確及時的傳輸監控系統和收費系統的話音����、數據和圖像等信息��,保持高速公路各管理部門之間業務聯絡通訊的暢通��,並要為高速公路內部各部門和外界建立必要的聯繫;同時高速公路通信系統作為交通專用通信網的重要組成部分��,是交通信息的主要傳輸載體����,為各種網絡服務及會議電視系統给予傳輸通道。
通信系統基於高速公路監控系統和收費系統的業務需求��,通信系統一般也分為通信站����、通信分中心����、通信總中心幾個層次。高速公路通信系統主要由光纖數字傳輸系統����、數字程控交換機系統(含指令電話系統)����、光電纜線路工程以及通信電源系統等幾部分構成。顺利获得通信系統把監控系統��、收費等系統的業務需求(數據����、語音和圖像信息)逐級(站����、分中心���、總中心)進行連接���,實現高速公路各管理部門之間信息的暢通����,保障高速公路安全����、舒適����、快捷����、高效的運營。
3.3.2高速公路通信系統國產密碼應用模式
通信系統主要用來傳輸數據����,需要在各級(站���、分中心����、總中心)佈設evo真人(中国)信息VPN 安全網關設備建立專用虛擬網絡對數據進行專網加密傳輸。
evo真人(中国)信息國產密碼產品在高速公路系統中的應用在一定程度上解決了现在系統潛在的安全威脅,顺利获得為人工收費設備��、ETC收費設備���、業務系統服務器����、收費人員����、業務系統操作人員等發放數字證書,可以驗證網絡上設備和用戶的真實身份,並實現對收費交易數據和業務操作行為數據的記錄以及其真實性和責任認定;同時,在系統運行過程中,顺利获得對所傳輸的收費交易數據��、收費結算數據進行加解密����、簽名和驗證簽名的處理,保證了對數據發送方和接收方身份的確認以及數據的不被非法篡改。顺利获得這些安全措施,為跨區域聯網不停車收費系統的安全���、穩定����、可靠運行给予了安全保障。
