云邊協同關鍵技術及其在智慧交通中的應用

鄧春艷,楊雨程,華開峰

(南京郵電大學通達學院,江蘇 揚州 225127)

0 引言

目前,我國云邊協同發展仍處于探索階段,還有許多問題需要解決,如設備異構、計算框架和安全性。 近年來,智能化、便捷化服務普及的同時,數據量飛速增加,數據安全也上升到重中之重。 不同行業都出現過數據泄露事件,2019 年醫療行業數據泄漏導致全美4 000 多萬群眾(12.55%)的醫療記錄遭到泄露、意外公開或盜竊[1]。

目前,我國智慧交通正處于高速發展階段,智能路網、智慧停車、交通管制等正逐步提高我國的交通和管理水平。 隨著車輛的普及,現有的智慧交通的存在一系列問題,ETC 電子不停車收費系統的引入得到了有效緩解,但仍存在問題和挑戰。

1 云邊協同研究現狀

1.1 云計算和邊緣計算

本質上,云計算是一種從分布式計算中衍生出的計算范式,具有高效資源服務的優勢、傳輸距離長的缺點,它可以為終端用戶提供隨時隨地的無限計算資源,用戶只為使用的服務付費[2]。 云計算通過網絡“云”將龐大復雜的數據程序經過一系列的工作分解為許多更小的程序,再傳輸給用戶來提高效率。 經過十幾年的更新迭代,如今,云計算技術日趨成熟和先進,簡單的云計算已成為互聯網服務的主流服務。

邊緣計算以云計算為基礎,在云端的“邊緣”處理、分析和存儲數據,邊緣計算具有低時延、高效率、分布式等特點,能提高云端處理數據的效率,并發揮邊緣計算設備的能力。 近幾年,邊緣計算飛速發展并得到全面關注,作為云計算的輔助機制,其模型一直在更新迭代,未來邊緣計算將帶來更廣闊的前景[3]。 目前,邊緣計算使用的領域越來越多,但邊緣計算更廣泛深入的使用會遇到各方面的問題。

1.2 云邊協同

云邊協同結合了云計算的高效資源服務的優勢和邊緣計算的低時延的優勢,因此,云邊協同成為新型計算機新的研究趨勢。 如今云邊協同的使用遍及各個行業,集中在數字能源、智慧交通、工業互聯網等許多技術場景上。 云邊協同具有更多節點來負載流量,因此數據傳輸更快,數據處理更安全和及時,提高了用戶的使用體驗感。 云邊協同的使用需結合具體的使用場景,在不同場景中云邊協同涉及的內涵也不盡相同。

云邊協同的過程中,邊緣計算主要負責處理需實時處理的數據,將高價值的數據上傳至云端,云計算則負責處理那些不需要實時且周期長的數據,并負責管理邊緣應用的整個生命周期。 云邊協同涉及邊云間SaaS、PaaS、IaaS 各層面的協同,SaaS 層實現服務協同,PaaS 層實現數據、智能、應用管理和業務編排協同,IaaS 層實現資源協同[2]。

2 在云邊協同的應用

2.1 數據協同

邊緣節點負責收集、分析與處理終端設備數據,并將處理后的數據發送到云端,由云端對海量的數據進行存儲、分析以及價值挖掘[2]。

2.2 SM9 標識密碼算法

SM9 標識加密算法是基于橢圓曲線點群上的雙線性對配對的一種IBC 算法,包括數字簽名、公鑰加密、密鑰封裝和密鑰交換四大功能,作為信息安全中不可或缺的密碼技術,數字簽名可以滿足除機密性之外的信息安全需求[4]。 SM9 標識密碼算法將用戶的標識作為公鑰,無需交換數字證書和公鑰,使安全系統更容易部署和管理,適用于保障互聯網上各種新興應用的安全。

2.3 SM9 雙向身份認證協議

會話建立的過程中,身份認證協議不僅可以幫助通信實體間進行身份鑒別,還幫助通信雙方進行會話密鑰協商。 身份認證協議的存在使得未授權人員不能訪問受控資源、獲得未授權服務或執行其他違法操作。

王煜婷[4]提出了一種SM9 雙向身份認證協議,該協議將質問/應答式身份認證技術與SM9 標識密碼算法相結合,涉及SM9 數字簽名算法(身份認證信息產生和驗證算法)和SM9 密鑰封裝機制(密鑰封裝和解封裝算法)。 該協議不僅可以保證完整性、消息來源的真實性、新鮮性,還可以防止惡意驗證者發起的選擇文本攻擊,并具有已知密鑰安全的特性。

2.4 SM9 雙向身份認證協議在數據協同的應用

邊緣節點上傳數據至云端,雙方需先通過對各自身份的認證,然后進行協商和共享會話密鑰,并建立安全通信。 在邊緣節點與云端的數據安全認證中應用SM9 雙向身份認證協議后,能有更高的安全性、更低的通信開銷和更少的理論計算量。 雙向身份認證主要分3 步進行。

(1)初始化及私鑰的提取:首先,系統建立一個雙線性映射e:G1×G2→GT,密鑰生成中心KGC 隨機選擇整數ks,ke∈[1,N-1]作為主私鑰秘密保存,計算主密鑰Ppub-s=[ks]P2和Ppub-e=[ke]P1,將(ks,Ppub-s)、(ke,Ppub-e)作為簽名和加密算法的系統主公鑰對;其次,KGC 選取一個用戶標識的字節hid 生成用戶的私鑰dii= [(H1(IDi||hid,N)+ ki)-1·ki]P2。 系統公開參數:(G1,G2,GT,P1,P2,Ppub-s,Ppub-e,hid)。

(2)身份認證:邊緣節點發起挑戰和身份認證,云端對消息MB(RA,RB,IDA)通過身份認證信息產生算法進行簽名產生身份認證信息σB,將σB作為應答、RB作為質詢發送至邊緣節點。 邊緣節點收到云端的σB后,通過身份認證信息驗證算法對云端進行身份認證。 若認證通過,邊緣節點通過身份認證信息產生算法對消息MA(RA,RB,IDB)進行簽名產生身份認證信息σA,并向云端發送σA和認證通過信息;否則,向云端返回錯誤信息且終止認證。 云端收到σA后,利用身份認證信息驗證算法檢驗邊緣節點身份的合法性。 若驗證通過,云端向邊緣節點返回認證通過信息并執行會話密鑰協商;否則,向邊緣節點返回錯誤信息且終止認證。身份認證階段流程,如圖1 所示。

圖1 身份認證階段流程

(3)密鑰協商:云端通過密鑰封裝算法產生會話密鑰K、封裝密鑰的密文C 和問候消息密文cb,并向邊緣節點發送C 和cb。 邊緣節點收到(C,cb)后,通過密鑰解封裝算法得到會話密鑰K＇、云端的問候消息明文mb 和邊緣節點問候消息密文ca,然后向云端發送ca。雙方完成對話密鑰的協商,創建安全通信。 密鑰協商階段流程,如圖2 所示。

圖2 密鑰協商階段流程

3 在ETC 的應用

3.1 智慧交通

隨著大數據的普及,新興科技不斷發展,2009 年IBM 提出了智慧交通的概念。 智慧交通系統主要包括交通實時監控、公共車輛管理、出行信息服務、車輛輔助控制四大應用需求。 智慧交通系統是指利用物聯網、大數據、云計算、人工智能等先進技術對交通信息進行全面的收集、篩檢、融合和分析,使智慧交通系統實現自我感知、自動互聯、智能和綜合分析等,以充分發揮道路基礎設施效率,提高交通管理系統的運行工作效率,緩解交通擁堵,最大限度地減少交通安全事故,全面保障交通道路安全。

3.2 ETC 電子不停車收費

ETC 不停車收費系統是當前世界上最先進的橋路收費方式,它的工作原理是通過安裝在車輛上的ETC車載設備或IC 卡與ETC 車道內的微波設備進行通信,設備進行車輛識別,聯網進行扣費,完成車輛不停車收費。

ETC 技術在國外已有較長的發展歷史,逐漸形成了規模效益,而我國也受著這一潮流的影響。 ETC 剛起步時也是困難重重,經過交通運輸部不斷底改進,結合公眾的需求增加了使用場景,ETC 的覆蓋率正在走上坡路。 2021 年9 月底,全網ETC 平均使用率已超過了66%,基本上,ETC 服務實現全覆蓋機場、火車站、客運站和港口等主要交通樞紐的停車場區域,重點在小區和景點的停車場推廣使用。 雖然我國在ETC 的研究上有較大的進步并逐漸普及,但在安全、效率、收費透明性、標準化等方面還存在一些問題[5]。

3.3 ETC 不停車收費的數據安全

ETC 不停車收費系統的IC 卡加密、射頻通信加密和網絡數據傳輸安全等安全和隱私問題一直都是用戶關注的熱點。 在網絡數據傳輸安全方面,邊緣節點向云端傳輸數據的過程可能會面臨數據泄露、數據篡改、入侵者惡意攻擊等風險[6]。 將文中提出的結合SM9 雙向身份認證協議的數據協同技術應用在ETC 電子不停車收費系統中。

邊緣節點讀取用戶信息后,與云端進行雙向身份認證,通過認證后,邊緣節點對數據進行封裝和加密,并上傳至云端。 云端進行解封裝和解密得到數據,并對數據進行存儲、分析和價值挖掘,對相關信息進行計算并做出對應操作。 由于邊緣計算的低時延,使入侵者難以訪問并篡改在傳輸過程中的數據;使用SM9 雙向身份認證協議對通信雙方進行身份認證,既提高了數據的安全性、新鮮性,也降低了通信開銷。

4 結語

身份認證在各種信息安全系統中都發揮著重要作用,它能真實鑒別網絡中實體的身份。 SM9 雙向身份認證協議在云邊協同的應用能夠實現更高的數據傳輸的安全性、新鮮性,并減少通信開銷。 隨著物聯網、云計算、邊緣計算等技術的發展,云邊協同在各個領域廣泛應用,隨著研究與實踐的不斷深入,云邊協同會逐步走向成熟,為各領域創造更多的價值。