解决方案横幅PC版
解决方案横幅iPad版
解决方案横幅手机版

渔翁信息高速公路系统国产密码应用安全解决方案

TIME:2019-08-07   click: 274 次

1.高速公路信息安全化政策

从国家层面看,目前已明确在高速公路信息化方面推行密码应用。

1.1、从下发的政策文件中已明确指出“交通运输网络密码应用”。服务交通强国战略实施,如加强铁路、公路、水运、航空、邮政以及城市公共交通等交通运输网络密码应用,构建铁路公共服务平台、客运联网售票、高速公路不停车收费、交通一卡通、出行服务、寄递服务、运政管理等信息系统密码支撑体系,促进密码在新一代国家交通控制网、多式联运信息资源共享等应用。”

1.2、交通运输领域密码应用与创新发展工作方案中指出:“十三五”期间,要建成以国产密码为主要支撑的交通运输信息安全保障体系,实现交通运输领域信息安全核心产品及系统的信息安全,完成已建网络和信息系统密码国产化改造。

2.交通运输部规划推动市场需求

交通运输部曾在2016年3月印发《交通运输行业重要业务领域密码应用推进总体规划》的通知,在通知中明确“推进高速公路不停车收费系统(ETC)等涉及国计民生的重要信息系统国产密码应用,组织开展高速公路不停车收费系统(ETC)国产密码应用试点示范工作”。

在2018年上半年,交通运输部又先后出台以下措施推动收费系统国产密码应用工作:

1)《交通运输部办公厅关于印发<全国高速公路联网电子不停车收费系统国产密码算法迁移工程实施方案>的通知》(交办公路[2018]26号);

2)《“全国高速公路联网电子不停车收费系统国产密码算法迁移工程“工作座谈会会议纪要》(交通运输部公路科学研究院[2018年4月8日]);

3)《全国高速公路联网电子不停车收费(ETC)系统国产密码算法迁移工程总体技术方案》(2018年3月);

4)《高速公路电子不停车收费(ETC)系统国产密码算法迁移试点工程暂行技术要求》(2018年3月);

根据以上有关要求,全国高速公路联网电子不停车收费系统(ETC)所用的密钥将统一迁移至国产密钥。

3.高速公路信息安全化密码应用分析

在高速公路行业,将于道路主体工程相配套的收费、通讯、监控系统以及供电照明等一系列强弱电附属设施统一列入“机电工程”(又称“高速公路智能交通系统工程”)。

目前来看,高速公路机电系统中信息化相关部分主要是:监控系统(收费站、道路及隧道监控)、收费系统和通信系统三大系统,具体介绍如下:

3.1高速公路监控系统

3.1.1高速公路监控系统介绍

高速公路监控系统从管理层次一般分为外场设备、监控中心,具体如下表:

3.1.2高速公路监控系统架构图:

  

高速公路监控系统架构图

 

3.1.3高速公路监控系统基于国产密码应用

公路监控系统的密码技术应用有两个,一是保证采集数据的真实性和完整性、二是保证相关控制指令的真实性和完整性。考虑2019年初国家发布的GB35114标准和融媒体安全方面的系列政策,后续高速公路监控系统在数据采集、传输和接收方面将采用密码技术的应用。

视频采集终端可采用渔翁信TF加密卡、渔翁信息链路加密终端方式与采集终端对接,以满足基于国密的硬件密码设备要求。

监控中心的视频编码器、解码器、图像处理器可采用调用渔翁信息服务器密码机、渔翁信息PCI-E加密卡卡方式,以满足基于国密的硬件密码设备要求。

(3)建议在监控系统的服务端部署签名验签服务器,对其数据、指令进行签名和验签;考虑客户端工作环境(高温、高湿、震动),需要部署符合工业标准的密码终端,如渔翁信息网络隐身终端、渔翁信息嵌入密码芯片的网络摄像头等。

3.2 高速公路收费系统

高速公路收费系统从管理层次一般分为所收费站、收费分中心和收费总中心。高速公路收费站一般由收费站监控室计算机网络系统、收费车道计算机控制系统(IC 卡读写设施、金额显示设施、自动栏杆机、计重设施、票据打印机等)、视频监控系统(亭内、车道、收费广场摄像机)、对讲系统以及报警系统等部分组成。收费分中心、收费总中心根据功能和要求的不同,一般由网络数据/服务器和若干个工作站组成。

高速公路收费系统架构图:

  

高速公路收费系统架构图

 

3.2.1高速公路收费系统国产密码应用

国家高速公路联网电子收费的安全与可信支撑体系采用了PKI技术,PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。通过对合法用户和设备发放数字证书,可以实现用户身份认证、加解密、签名验签、责任认定等具体应用。数字证书包括签名证书和加密证书,签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。

3.2.2高速公路收费系统国产密码应用模式

收费系统目前主要需求是国密升级改造。改造内容是建设基于国密的数字证书系统,包括对密钥管理系统、证书签发系统和证书注册管理系统等。

(1)收费操作人员、业务操作人员身份的识别、收费操作行为的记录。通过为所有收费操作人员和业务操作人员发放用户证书,在操作员访问业务系统前进行基于数字证书的身份验证,防止非法用户访问业务系统进行越权操作,并对所有收费操作和业务操作行为进行记录,实现对操作人员的身份验证和责任认定。

(2)ETC设备的身份识别、收费操作行为的记录

通过为所有ETC收费终端发放设备证书,对所有接入网络的ETC收费终端设备进行基于数字证书的身份验证防止非法设备接入到收费网络,并对自动收费行为进行记录,实现对ETC收费终端的身份验证和责任认定。

(3)收费交易行为记录的真实性、可认定以及收费数据的防篡改。通过对每一笔人工收费及ETC自动收费记录进行签名处理,可以确保收费交易行为记录的真实性和可认定,同时,可以防止收费数据被非法篡改。

(4)跨区域结箅数据的身份识别、加密、防篡改。

通过对跨区域结算数据在存储和传输过程中进行基于数字证书的加解密和签名验证处理,可以确保各收费中心向区域结算中心以及各区域结算中心间互相发送收费结算数据的保密性、完整性,并能对收费结算数据的发送方和接收方的身份进行鉴别与确认,确保只有收费结算数据的操作人员才能正确解读数据信息,保证收费结算数据的安全。

此外,在保证车辆通行效率的同时,为提高收费系统的安全性,将在每个高速公路收费站部署两台加解密设备(或密码卡),对通过该收费站的车辆信息进行密码处理,并将相关数据通过VPN上传至结算中心。

3.3高速公路通信系统

3.3.1通信系统介绍

高速公路通信系统是高速公路现代化管理的重要支撑系统,它要准确及时的传输监控系统和收费系统的话音、数据和图像等信息,保持高速公路各管理部门之间业务联络通讯的畅通,并要为高速公路内部各部门和外界建立必要的联系;同时高速公路通信系统作为交通专用通信网的重要组成部分,是交通信息的主要传输载体,为各种网络服务及会议电视系统提供传输通道。

通信系统基于高速公路监控系统和收费系统的业务需求,通信系统一般也分为通信站、通信分中心、通信总中心几个层次。高速公路通信系统主要由光纤数字传输系统、数字程控交换机系统(含指令电话系统)、光电缆线路工程以及通信电源系统等几部分构成。通过通信系统把监控系统、收费等系统的业务需求(数据、语音和图像信息)逐级(站、分中心、总中心)进行连接,实现高速公路各管理部门之间信息的畅通,保障高速公路安全、舒适、快捷、高效的运营。

  

高速公路系统国产密码应用安全解决方案拓扑图

 

3.3.2高速公路通信系统国产密码应用模式

通信系统主要用来传输数据,需要在各级(站、分中心、总中心)布设渔翁信息VPN 安全网关设备建立专用虚拟网络对数据进行专网加密传输。

渔翁信息国产密码产品在高速公路系统中的应用在一定程度上解决了目前系统潜在的安全威胁,通过为人工收费设备、ETC收费设备、业务系统服务器、收费人员、业务系统操作人员等发放数字证书,可以验证网络上设备和用户的真实身份,并实现对收费交易数据和业务操作行为数据的记录以及其真实性和责任认定;同时,在系统运行过程中,通过对所传输的收费交易数据、收费结算数据进行加解密、签名和验证签名的处理,保证了对数据发送方和接收方身份的确认以及数据的不被非法篡改。通过这些安全措施,为跨区域联网不停车收费系统的安全、稳定、可靠运行提供了安全保障。

上一篇:GB35114解读|公共安全监控视频建设联网应用解决方案 下一篇:卫生综合管理平台密码应用解决方案