基于5G的智慧交通信息安全体系研究

基于5G的智慧交通信息安全体系研究

江晓虹

深圳市粤通建设工程有限公司，广东深圳 518033

摘要：目前，结合5G的智慧交通还处于探索和试验阶段，相对于传统的车联网和单一的信息系统，智慧交通信息系统采用了5G移动技术、跨区域多级云计算、分布式计算技术，并需要接入、打通与融合多元异构路侧和车载终端之间的信息，其架构和系统非常复杂和庞大。对于智慧交通信息系统的安全体系建设，产业界和学术研究机构都还在探索和试点中。

关键词：5G；智慧交通；信息安全；体系研究

1智慧交通

城市建设，交通先行，交通是城市经济发展的动脉，智慧交通是智慧城市建设的重要构成部分。在城市化进程中出行需求急剧攀升，由此带来的拥堵、事故、空气污染、运输效率低下等问题，亟待更智能的交通运行系统来发现并解决。我国公安部交管局在“关于深化城市道路交通管理警务机制改革现场会”明确提出，要主动拥抱大数据、云计算、物联网、人工智能等新技术，积极构建适应新时代城市交通治理的新模式，不断提升城市道路交通治理科学化、精细化、智能化水平。

2 5G智慧交通信息系统安全体系建设思路

2.1安全管理

追根溯源网络空间的安全问题，还是需要解决对抗中的攻防问题。在真实世界中的攻防，无论是发生在物理世界，还是网络的虚拟空间，操纵各类网络硬件、系统、数据、应用等工具的背后因素终归还是人。这使得在具备了相同资源的情况下，人的因素是能把安全问题解决的高下立判的决定因素。只有从以人为本的思路出发进行安全管理建设，才能开展后续的信息、网络、数据等安全建设。

解决安全管理计划最有效的方法之一是使用自上而下（top-down）的方法。上级或高级管理层用来负责启动和定义组织的策略。安全策略为组织层次结构的所有级别提供指导。中层管理人员有责任将安全策略充实为标准、基线、准则和程序。然后，运营经理或安全专业人员必须执行安全管理文档中规定的配置。最后，最终用户必须遵守组织的所有安全策略。智慧交通信息系统的安全建设发展，需要从顶层设计开展信息的安全管理，以国家的法律法规、各级政府、组织机构和企业的政策方针为核心，制订组织级别的安全策略与制度；获得组织内部发起人对安全体系建设的支持，建立组织内的安全行动纲领，明确组织各级职责范围；从人员管理层面建立企业的安全人员培养与考核制度；从系统建设管理层面建立安全合规的工作流程，并同步整个系统开发生命周期中的安全评估与修复状态；从安全服务与系统运维层面建立安全服务与安全运维的管理和响应机制。建立一个安全管理中心，为系统的运行建立安全运营与态势感知的安全系统，以高效地执行安全运营与预警响应工作。

（1）安全综合管理控制域

安全综合管理控制域面向企业网络信息系统的安全提供综合管理办法与业务执行流程。①法律法规和行业监管。②规范性文件。③行业规范、标准、指南。

（2）安全运行监测控制域

安全运行监测控制域在网络信息系统运行时提供一个安全管理中心系统，支撑组织的安全运营管理和系统的安全态势感知。

2.2安全技术

2.2.1网络安全

1）物理网络安全

建议的物理网络的安全防护主要包括：①边界防护：在不同区域之间部署防火墙进行边界防护，还可以针对不同的安全域之间实际的通信业务/流量部署对应的安全设备；②防火墙：防火墙是安全域隔离和网络层防攻击能力的主设备；针对5G网络，在经过运营商/互联网互通的接口使用双重异构防火墙；采用IP专网进行互通的安全域通过内网互通域之间的防火墙进行互访控制；在边缘云或核心云系统内部可采用DMZ、内网防火墙等方式对信息系统内部网络进行隔离，避免攻击者进入网络内部后能够全局访问任何服务器或主机系统；③身份认证：确保所通信的网络实体（如车载终端、路侧单元、无线基站等）、所调用的组件、所执行的代码等是合法可信的；④通信加密：身份认证可以防御仿冒攻击，但无法防御通信链路被窃听。通信加密可以弥补身份认证的不足，保障路侧终端、车载终端、边缘云、核心云之间的通信传输的安全等。

2）5G安全

SDN系统多数部署在数据中心。由于数据中心底层的协议众多、运行在其上的IaaS和PaaS服务不免有漏洞存在，建议的SDN、NFV、NSSF切片的安全防护措施主要包括：身份认证、边界防护、防火墙、通信加密、异常行为检测、访问控制以及基于切片的安全隔离等。

2.2.2终端安全

1）路侧终端

路侧终端RSU内部运行操作系统具有一定的计算能力。应支持身份认证、边界防护、通信加密、异常行为检测、访问控制的安全防护策略和技术。在通信信息加密场景下可采用安全级别较高的AES256、国密SM1/SM4对称加密算法对信息体进行加密；在通信链路加密场景下，可采用安全级别较高的RSA2048，国密SM2非对称算法实现TLS，并采用SHA256、国密SM3算法支持信息、数据或OTA文件摘要/签名/完整性校验；在必要的时候，RSU可通过安全加密链路TLS交换对称密钥，或更新RSU、服务端的证书；RSU在开放WIFI与经常运营维护终端通信时，应采用WPA2-PSK及以上加密方式，密码长度设置为8位以上，使用特殊字符等方式符合复杂性原则；其他类型的路侧感知设备、交通基础设施设备如果不具备操作系统或具有较小的算力，应视情况选择前述的安全防护措施；

2）车载终端

与路侧终端的安全防护措施级别相同；由于车载终端OBU通过C-V2X无线技术，由UU口与边缘云进行5G通讯，其方式可能会被伪基站、假冒服务端攻击，应加强身份认证的防护；在采用蓝牙与用户设备通信时，应8位以上掺杂特殊字符复杂密码。

2.2.3云计算安全

1）IaaS层

①主机安全：从安全管理角度对主机所在机房进行安全建设和运营。根据云平台支撑业务的重要程度考虑是否建设异地容灾环境，执行常规的安全审计、安全巡检、应急演练、灾难恢复演练等工作。技术上加强物理主机的身份认证、访问控制等措施对主机系统的弱点做加固管理，部署防病毒系统，执行常规的补丁升级及时修复主机系统的漏洞，配置主机的安全基线；②网络安全：通过防火墙、VLAN、安全组划分安全区域、部署IDS/IPS/DDOS防御系统；边缘云区域重点关注UPF、SDN/NFV、切片的安全防护；核心云区域重点关注SDN/NFV、NEF的安全防护；③虚拟化安全：主要包括通过虚拟防火墙、VLAN、安全组划分安全区域，执行Hypervisor加固、虚拟机隔离、虚拟机快照备份、虚拟机运维监控预警等措施。

2）PaaS层

①容器安全：主要包括容器的镜像和集群用户访问控制、容器中间件等措施；②运维安全：主要包括中间件应用服务器、数据库集群的安全加固、补丁升级、漏洞修复、运维监控预警等措施；对数据加强访问控制、存储加密、数据租户级别的隔离、数据/日志的隐私脱敏、数据防泄露等措施；③应用防控：主要包括云平台的集中化访问管理以及针对上层SaaS应用的安全防护。

3）SaaS层

应用安全。在边缘侧和核心云侧开发并部署一套分布式、面向用户与车载/路侧设备提供统一认证鉴权的应用，结合信息加解密技术（例如AES256、国密SM1/SM4等）保证信息、信息通信链路加密技术（TLS1.3，需RSA2048或国密SM2非对称密钥交换、SHA256或SM3签名算法支持），提供基于OAuth2的认证与会话管理，进行API资源级别的访问控制，防止非法用户越权访问数据，通过操作日志记录和审计每个业务或系统用户的关键操作、重要行为、业务资源使用情况等重要事件，并提供操作记录审计的查询/统计/分析功能；在API接口中避免不安全的方法和IP端口；对系统代码、运行库和框架进行自动化的扫描检测，自动产生Bug记录以推荐研发人员快速修复代码库层面的安全漏洞等。

参考文献

[1]张泳.智慧城市交通系统的信息安全[J].自动化博览,2021,38(01):22-24.

[2]马亮.智慧交通信息安全研究初探[J].青海交通科技,2019,(03):16-18.

[3]苏颖,樊重俊.智慧交通中大数据应用面临的挑战与对策研究[J].物流科技,2016,39(06):89-91.

[4]陈楠枰.智慧交通的前提是信息安全[J].交通建设与管理,2014,(23):32-33.