高速公路可變信息標志安全管控系統研究

摘 要：針對目前高速公路可變信息標志發布系統安全性低的狀況，文章提出了一種信息發布安全管控方法。該方法在信息發布系統和可變信息標志之間插入信息安全管控服務器和前端控制器，實現了發布通道的加密、發布身份驗證、發布內容審核和發布行為審計等功能，降低了因黑客攻擊或違規操作向公眾發布錯誤信息的可能性。同時，比較了4種信息發布的安全管控方法，總結了該方法的優缺點，提出了后續改進的方向，為可變信息標志的安全管控提供了參考。

關鍵詞：可變信息標志；安全管控；信息發布安全

中圖分類號：U495

0 引言

可變信息標志又稱為情報板，是高速公路向司乘人員發布和傳遞信息的重要機電設施。其幫助駕駛員了解路況、天氣、道路封閉和施工信息、突發路況信息、服務區信息等。在交通路況、天氣狀況等出現異常時這些信息能及時提醒駕駛員，配合交通監控系統對交通流進行誘導和控制，以提高行車安全和維持路況的通暢［1］。高速公路中常見的可變信息標志有可變限速標志、懸臂式可變信息標志、門架式可變信息標志、服務區信息發布屏、分流屏、費額顯示器等。可變信息標志在高速公路使用非常廣泛，樞紐互通兩側、隧道外、隧道內、服務區、重點事故易發點、收費站等都有可變信息標志。

然而，目前在高速公路上使用的大多數可變信息標志信息發布系統缺乏系統安全設計，存在著信息易泄露、身份易仿冒、消息易篡改的風險，并且信息發布過程缺乏內容審核和行為審計，出現違規行為時難追責。可變信息標志的控制器受硬件限制，無法僅通過軟件升級實現和上位機的通信加密、防篡改等功能。若更換可變信息標志控制器使之能滿足通信加密功能，不但需要重新開發上位機的發布軟件，巨大的更換成本使高速公路運營單位也難以承受。

1 風險分析

目前國內的可變信息標志廠商在設計產品時，重點考慮了功能性、可靠性和易用性，卻欠缺安全性方面的考慮。市面上使用的大多數可變信息標志與發布上位機之間的通信通道沒有加密。而上位機從監控中心到可變信息標志之間的通信鏈路需要經過多個網絡節點，發布消息很容易被竊取、篡改和偽造。運營單位在可變信息標志上發布信息的過程存在安全風險主要有以下幾方面：

（1） 信源風險：假冒他人登錄信息發布系統發布未經審核的信息，偽造信息發布服務器指令發布未經審核信息［2］。

（2）鏈路風險：監聽鏈路數據，竊取發布內容，假冒通信服務器發布信息中斷傳輸鏈路，接入業務網絡假冒通信服務器發布信息。

（3） 數據風險：可變信息標志接收數據無法驗證發送者身份標識，無法驗證信息完整性，黑客可以篡改發布信息內容，向可變信息標志發布非法信息［3］。

（4） 違規操作風險：運營單位的信息發布流程控制不嚴格，監控人員編輯好發布內容就可以直接在上位機上發布信息，發布內容缺乏審核，發布行為缺乏審計。即使操作失誤，錯誤信息也可誤發布到可變信息標志，從而引發輿情。若監控人員如在上位機上人為刪除發布記錄，很難追查審查發布過程，難以進行事后追責。

國家標準化管理委員會于2023-03-17發布了《高速公路LED可變信息標志》（GB/T 23828-2023）（以下簡稱新標準），用來替代GB/T23828-2009，并已于2023-10-01正式實施。新標準規定了發布信息時，應對發布信息進行加密、防篡改處理，要求支持實時監測可變信息標志當前顯示播放內容，讀取LED可變信息標志當前畫面，進行實時監控防止非法控制，并在監測到非法控制時可以一鍵關屏［4］。但目前在高速公路上使用的情報板控制器大多使用單片機，處理能力較弱，硬件升級能力有限，無法實現復雜的加密算法和防篡改算法，難以滿足新標準的要求。

2 解決方案

新標準建議通過對現有的控制中心通信機（信息發布上位機）以及外場可變LED可變信息標志進行軟件升級，以實現加解密，保障通訊安全。但新標準只規定了發布信息時應進行加密和防篡改，沒有統一制定加密和防篡改算法，由各廠商自行制定。高速公路運營單位使用了綜合信息發布系統向管轄路段的所有可變信息標志發布信息。由于這些可變信息標志可能由多家廠商供貨，因此廠商的控制器軟件升級意味著綜合信息發布系統要進行重新適配每家廠商的控制器，而每家廠商的加密、防篡改算法都不一樣，大大增加了綜合信息發布系統的開發難度和工作量。此外，可變信息標志現在在用的控制器硬件性能和軟件系統提升能力有限，升級改造成本高，效果也不理想。通過升級可變信息標志控制器和綜合信息發布系統軟件的方法來滿足新標準的要求，對已建成的高速公路信息發布系統來說，改造難度和成本都比較大，而且效果也不理想。

可變信息標志的控制器支持從USB或者通過TCP/IP協議發布信息，當前的高速公路信息發布系統都是使用TCP/IP協議來發布信息。本研究提出在信息發布系統和可變信息標志之間，插入信息安全管控服務器和前端控制器，信息發布系統發布信息時，先經過信息安全管控服務器，由信息安全管控服務器對信息進行加密、加簽名后，將發布信息發送到前端控制器，由前端控制器驗證簽名和解密，再將發布內容轉發到可變信息標志的控制器，完成信息內容顯示。

如圖1所示，可變信息標志安全管控系統包含安全管控服務器及前端控制器兩部分。其中，前端控制器部署在現場可變情報板位置，配置有雙網卡，一端連接高速公路監控數據網，一端和可變信息標志的控制器直連，屏蔽外界對可變信息標志的訪問。安全管控服務器通過網線/光纖與信息發布服務設備連接，主要用于對信息發布安全終端的身份認證、傳輸數據完整性校驗與確認、斷線告警、狀態展示等。

3 方案設計

在原來的發布模式中，用戶登錄信息發布平臺，選擇需要發布的可變信息標志，編輯要發送的內容，點擊發送就直接將信息發布到可變信息標志，中間的通道沒有加密。新的發布模式下，信息發布流程如圖2所示。

采用安全管控后的信息發布過程如下：

（1） 用戶按照原來的操作在綜合信息發布系統向可變信息標志發布信息。

（2） 綜合信息發布服務器上的伺服程序將發布內容重定向到安全管控服務器。

（3） 安全管控服務器對發布的內容進行審核，如果發布內容在黑名單內，拒絕發布并記錄發布失敗信息；如在白名單內，將內容加上簽名和摘要并加密，發送前端控制器；如不在白名單，轉人工審核，人工審核通過后，將內容加入白名單并加簽名加密后，發送到前端控制器。

（4） 前端控制器解密，檢驗摘要和驗證簽名，驗簽成功將內容轉發到可變信息標志；如果解密驗簽失敗，通知安全管控服務器記錄發布失敗信息。

（5） 可變信息標志將發布內容顯示在屏體，返回發布成功信息。

為了使綜合信息發布系統在發布信息時能將消息轉發到安全管控服務器，需在綜合信息發布服務器上安裝伺服程序，將向可變信息標志發送的消息加密，并重定向到安全管控服務器。前端控制器配置成可變信息標志的IP，通過內網IP與之相連，可變信息標志的IP地址修改成和前端控制器的內網IP同一網段，屏蔽外界訪問。安全管控服務器、前端控制器以及伺服程序之間的通信使用國密算法sm2加密，發布內容采用國密算法sm3生成摘要，并加入數字證書簽名，確保發布信息無法泄露、無法偽造、無法篡改。

4 方案對比

業內提出的可變信息發布安全管控方案主要有4種，第一種是升級可變信息標志和信息發布系統，實現通信內容的加密和防篡改；第二種是升級信息發布系統，在可變信息標志前插入一個前端控制器，實現通信內容的加密和防篡改；第三種是在可變信息標志前插入一個前端控制器，屏蔽外界對可變信息標志的訪問，用戶發布信息時，發布消息到達前端控制器，前端控制器將發布內容加密轉發到云安全平臺，云安全平臺檢查發布內容是否在黑名單內，不在黑名單內則通知前端控制器允許發布。這三種方案的系統拓撲如圖3所示。

第四種是本文提出的方案。張坤銀［5］提出在信息發布系統后面設置加密機、簽名服務器、數字證書認證等設備實現發布通道的加密、防篡改等，和本方案的拓撲和功能類似，區別在于加密、摘要和簽名認證用硬件實現還是用軟件實現，不再另外討論。4種方案的對比如表1所示。

方案一是根據新標準提出的方案，通過升級信息發布系統軟件和可變信息標志的軟硬件實現通信的加密和簽名，優點是改造徹底，可有效防止竊聽、篡改、防非法內容發布，但由于可變信息標志的控制器硬件升級空間有限，只能更換，導致成本高，而且不同的廠商有不同的加密算法，增加了信息發布系統升級難度和升級成本。方案三是在新標準實施前，部分高速公路運營單位為了防止非法內容被發布到可變信息標志而實施的方案，僅需在可變信息標志前設置了前端控制器，利用云安全服務來審查發布內容，無須改動原來的信息發布系統軟件和可變信息標志硬件，改造難度和成本最低，但由于信息發布系統和前端控制器之間的通信通道沒有加密和驗證身份，容易被竊聽，假冒身份和篡改發布內容，不符合新標準的要求。方案二是方案三的改造版本，由文獻［3］提出，在可變信息標志前插入前端控制器，并升級信息發布系統軟件，使之具備通信加密、防篡改功能，避開了可變信息標志控制器無法升級的弊端，但前端控制器需要適配不同廠商的可變信息標志的發布協議，增加了開發難度。

本文提出的信息發布安全管控系統方案，通過在發布信息系統和可變信息標志之間插入安全管控服務器和前端控制器，實現了發布信息的防篡改、防假冒和防攻擊。原有的信息發布服務器只需要安裝伺服程序將向可變信息標志的發布消息重定向到安全管控服務器，可變信息標志無須升級改造，大大降低了改造的難度和工作量。安全管控服務器需要識別和提取發布信息中的發布內容，而目前可變信息標志廠商的信息發布內容都是明文傳輸，大大降低了開發難度。前端控制器通過網絡隔離屏蔽了外界對可變信息標志的攻擊，只需要對消息進行驗簽和解密，解密后的消息不做處理直接轉發到可變信息標志，接收到可變信息標志的返回信息也不做處理直接轉發到安全管控服務器，降低了任務的復雜度，可以使用輕量級的邊緣計算設備來實現，降低了改造成本。安全管控服務器支持雙機熱備，利用浮動IP實現信息發布系統的統一接入，具有較好的魯棒性。

本文提出的方案已經在上思至防城高速公路信息發布系統中獲得了應用，經實際測試驗證，實現了信息發布過程防篡改、防消息偽造和防惡意攻擊，提高了信息發布的安全性。系統在安裝調試時收集了防城港運營公司歷史發布的信息，將信息內容批量導入白名單，減少了需要人工審核的次數，基本沒有改變用戶操作習慣，用戶無須特別培訓就迅速適應了系統。

5 結語

本文提出了一種可變信息發布的安全管控系統開發方案，不改動原有的信息發布系統和可變信息標志，通過在這兩者之間插入安全管控服務器和前端控制器，實現可變信息標志的內容發布加密、防偽造、防篡改，不僅為高速公路運營單位對信息發布的安全管控提供了解決方案，也為其他可變信息標志的管理單位提供了有益的借鑒。

但本文提出的方案仍有不少不足之處，需要后續研究改進。例如，內容審核采用白名單制，增加了審核人員的工作量；安全管控服務器需要為每一個可變信息標志提供一個監聽端口，以區分信息發布到哪一個可變信息標志，需要占用大量的端口資源，同時向大量的可變信息標志發布信息時，安全管控服務器可能會因為資源占用溢出丟失發布消息。此外，發布者在信息發布系統發布信息，但審核的時候需要在信息發布安全管控系統上審核，不符合用戶的操作習慣，因此在實際系統中采用了自動推送短信提醒審核者，審核者直接在短信鏈接上打開頁面完成審核，減少用戶的操作不適應性。

參考文獻：

［1］ JT/607-2004，高速公路可變信息標志信息的顯示和管理［S］.

［2］ 沈興華，馮宗敏，段會寧，等.公路可變情報板信息發布安全防范措施研究［J］.交通世界，2019（11）：5-8.

［3］ 吳穗湘，張 璋，邱 暢，等.可變情報板聯網信息發布系統網絡安全風險分析及防護建設［J］.中國交通信息化，2023（10）：120-123.

［4］ GB/T 23828-2023，高速公路LED可變信息標志［S］.

［5］ 張坤銀.基于IPSec技術的可變情報板信息發布安全加密系統［J］.中國交通信息化，2023（6）：126-129.20240421