◆何耀忠 陳釗正

（江西省高速公路聯(lián)網(wǎng)管理中心 江西 330003）

ETC互聯(lián)網(wǎng)信息安全淺析

◆何耀忠 陳釗正

（江西省高速公路聯(lián)網(wǎng)管理中心 江西 330003）

隨著全國ETC聯(lián)網(wǎng)順利開通后，ETC跨省服務、ETC互聯(lián)網(wǎng)服務已成為目前電子不停車收費發(fā)展的重要目標，而隨著互聯(lián)網(wǎng)接入交通專網(wǎng)，各類安全問題也必然成為當前亟待解決的問題，本文將就ETC互聯(lián)網(wǎng)服務的安全及其解決方案進行了相關分析和研究，并提出了相關解決方案。

ETC；互聯(lián)網(wǎng)；安全；圈存服務；證書體系

0 引言

隨著全國ETC聯(lián)網(wǎng)第一階段的順利開展，14個省（市）高速公路電子不停車收費（ETC）正式聯(lián)網(wǎng)運行，全國ETC聯(lián)網(wǎng)格局已基本形成，將為“一帶一路”、各個經濟帶發(fā)展提供巨大動力，搭建創(chuàng)新性平臺，為促進國民經濟與社會發(fā)展做出重要貢獻。

“一卡在手，走遍全國高速”正在一步步實現(xiàn)的同時，如何從人工服務轉向信息化服務，如何借助互聯(lián)網(wǎng)這個載體，在現(xiàn)有專網(wǎng)的基礎上實現(xiàn)各類高速公路聯(lián)網(wǎng)服務是目前各個 ETC聯(lián)網(wǎng)?。ㄊ校┕ぷ鞯闹匾较?。

互聯(lián)網(wǎng)在給 ETC體系帶來便利的同時，其副作用也必然隨其一并代入，特別是針對數(shù)據(jù)庫和業(yè)務系統(tǒng)的網(wǎng)絡病毒、惡意攻擊、非法篡改等嚴重威脅 ETC乃至整個聯(lián)網(wǎng)系統(tǒng)的安全性、保密性，ETC互聯(lián)網(wǎng)服務的信息安全問題必須引起高度重視，也是當前乃至相當長時間內亟待解決的問題[1]。

本文將針對傳統(tǒng)聯(lián)網(wǎng)系統(tǒng)向互聯(lián)網(wǎng)拓展應用時存在的安全問題、所應架構的安全體系進行分析、研究并給出相應的意見和建議。

1 傳統(tǒng)架構

傳統(tǒng)高速公路聯(lián)網(wǎng)系統(tǒng)立足于專網(wǎng)，與互聯(lián)網(wǎng)物理隔離，預防病毒和非法攻擊主要立足于殺毒軟件和離線病毒庫升級的技術手段，業(yè)務系統(tǒng)往往兼有安全系統(tǒng)的功能，人員身份認證基本依靠用戶名+密碼的方式，具體參見圖1所示。

圖1 傳統(tǒng)架構

這種模式簡潔實用，在專網(wǎng)系統(tǒng)中較為普遍，具有較好地的適用性和實施性，其建設維護成本較低，便于大范圍的展開[2]，且對于內網(wǎng)管理人員技術水平要求不是很高，便于分布式廣域系統(tǒng)的升級和維護。但是在互聯(lián)網(wǎng)環(huán)境下，它存在較大地安全隱患，其中之一就是業(yè)務系統(tǒng)和安全系統(tǒng)沒有較好地分離，在互聯(lián)網(wǎng)接入的時候，用戶及其操作存在不確定性時單純依靠用戶名和密碼的模式在身份認證及防抵賴方面存在安全隱患[3]，而在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)時數(shù)據(jù)的密文傳輸、密鑰管理也存在一定的管理缺陷。

2 標準互聯(lián)網(wǎng)接入架構

構建高速公路聯(lián)網(wǎng)系統(tǒng)的DMZ區(qū)域，如圖2所示。在DMZ區(qū)域中構建一套面向互聯(lián)網(wǎng)基于Web的ETC服務體系，同時在DMZ區(qū)與核心業(yè)務區(qū)域構建安全邊界防護，如果業(yè)務系統(tǒng)的等級保護要求達到三級以上的話，就必須采用網(wǎng)閘作為核心區(qū)域和DMZ區(qū)域的安全邊界，兩個區(qū)域的數(shù)據(jù)交互采用數(shù)據(jù)擺渡的方式。

圖2 網(wǎng)絡架構

在DMZ區(qū)域中，為滿足互聯(lián)網(wǎng)服務帶來的業(yè)務及安全需求[4]，需添加邊界防火墻、SSL VPN 身份認證體系，并在DMZ區(qū)域中再構建一個安全區(qū)域，安全區(qū)域的作用負責與核心業(yè)務系統(tǒng)的數(shù)據(jù)交互、ETC業(yè)務服務和保證互聯(lián)網(wǎng)數(shù)據(jù)庫、安全認證的核心設備的安全，故安全區(qū)與DMZ其他設備之間需添加相應防火墻用于隔離。

在圖3中，邊界防火墻用以保證DMZ與互聯(lián)網(wǎng)之間邊界分離及安全保護，SSL VPN用于互聯(lián)網(wǎng)接入業(yè)務的SSL通道建立和數(shù)據(jù)加密，負載均衡是為了平滑互聯(lián)網(wǎng)數(shù)據(jù)峰值的風險，身份認證體系為了針對ETC用戶提供針對性服務敏感信息的身份認證、簽名和加密，動態(tài)驗證碼是用于保障身份認證的準確性[5]，安全區(qū)內存放相對安全級別較高的設備和業(yè)務，包括CA證書及存儲體系，ETC互聯(lián)網(wǎng)業(yè)務服務和互聯(lián)網(wǎng)數(shù)據(jù)等，同時只有安全區(qū)設備才可以與核心業(yè)務系統(tǒng)進行數(shù)據(jù)同步和信息交互。

圖3 DMZ區(qū)域架構示意圖

3 安全隱患分析

在標準化的互聯(lián)網(wǎng)接入架構中，采用防火墻、網(wǎng)閘、PKI體系等用以保證互聯(lián)網(wǎng)接入時信息交互的安全性，但是當其應用于ETC領域時就會存在一定的安全隱患和安全問題，因為ETC服務，特別是 ETC用戶卡相對于傳統(tǒng)意義上的銀行卡，它是具有電子錢包的，需要進行圈存操作，這樣比起一般意義上的網(wǎng)絡消費或在線支付，其步驟增加了，風險自然而然就加大了，且容易產生糾紛和故障，以下本文將就此進行詳細的分析。

3.1 注冊申請

ETC用戶是一群以ETC設備基礎的互聯(lián)網(wǎng)用戶，其注冊和申請必然需要參照互聯(lián)網(wǎng)模式和ETC模式，兩種模式綜合考慮，互聯(lián)網(wǎng)模式一定是開放式下載，而 ETC用戶有其特殊性，在于其涉及用戶資金操作，如果統(tǒng)一采用互聯(lián)網(wǎng)模式必然帶來信息泄露或資金隱患，如圖4所示，而采用銀行的模式，即人工去柜臺申請后才能開通相關網(wǎng)上銀行，對于全國各地流動性較大的車主用戶，在ETC服務網(wǎng)點有限的現(xiàn)狀下，操作性上具有一定難度，故此 ETC用戶互聯(lián)網(wǎng)注冊申請是個瓶頸點，如何在保證用戶信息隱私的前提下規(guī)范相關的注冊申請流程。

3.2 用戶資金隱患

由于目前各類網(wǎng)上消費充值業(yè)務已經非常普及，其安全性也得到了時間和實踐的檢驗，并且形成了一套較為成熟并在不斷完善的流程體系，且互聯(lián)網(wǎng) ETC服務體系中，有關于用戶資金的具體操作均是交給國家網(wǎng)上交易可信的第三方進行操作，互聯(lián)網(wǎng)ETC服務只需與支付平臺方面構建一套安全通信平臺即可，提供互聯(lián)網(wǎng) ETC服務的相關單位應需在其APP、官網(wǎng)、微信、微博等平臺上公開發(fā)布其相關銀行和支付平臺的賬戶名稱信息，方便用戶在支付時進行核對和校驗。

3.3 ETC用戶卡寫卡安全性分析

由于針對用戶銀行卡操作完全由支付平臺負責，其安全性是由支付平臺負責，故此目前已有較為成熟的解決方案就不予分析，而 ETC用戶卡充值必須有個圈存寫卡的過程，這是目前所有各類銀行卡互聯(lián)網(wǎng)操作不需要考慮的環(huán)節(jié)，故此這是一個全新的安全技術領域，其在互聯(lián)網(wǎng)上操作必然存在如下問題：

（1）用戶的銀行卡或支付憑證的金額扣除和ETC用戶卡圈存的順序問題，為了保證資金安全，只有在收到支付平臺扣款成功的結果之后才能發(fā)起ETC用戶卡圈存程序。

（2） 扣款成功后圈存不成功。

最為理想的狀態(tài)是支付平臺收到退款指令自動進行回滾操作；由于移動 APP端無線網(wǎng)絡信號問題無法發(fā)起退款指令的時候，存在如下風險：移動APP端已經寫卡成功，由于網(wǎng)絡問題，互聯(lián)網(wǎng) ETC服務沒有收到寫卡成功的指令，而又無法獲取移動APP端的日志文件，用戶投訴沒有寫卡成功；確實沒有寫卡成功，用戶資金被扣，如何盡快將該資金退還給客戶。

（3）用戶手機中毒，扣款成功，寫卡不成功：主要情況是用戶手機中毒后，不法程序修改APP程序或阻斷APP通信，導致用戶的資金被扣除，而沒有對用戶自身的 ETC用戶卡進行圈存，而是對其他卡片進行了圈存或者是進行了其他消費，如圖5所示：

圖5 病毒惡意攻擊示意圖

如果用戶下載的APP是完全被偽造，即一個與ETC完全不相干的APP偽造而成，如圖6所示，這個將無法在互聯(lián)網(wǎng)ETC服務的具體操作上有什么比較好的解決方案，只能是加大宣傳力度，嚴格對網(wǎng)絡中的非法冒用現(xiàn)象進行打擊。

圖6 被病毒感染的APP示意圖

ETC用戶手機終端中毒，成為他人ETC用戶卡充值的資金交易來源，這也是 APP出現(xiàn)問題的時候常見的攻擊情況，結果往往是數(shù)據(jù)庫中數(shù)據(jù)一切正常，沒有任何異常數(shù)據(jù)，而用戶資金受損，關鍵是容易導致沒有證據(jù)支持相關情況，如何避免此類問題是關鍵所在。

圖7 中間人攻擊示意圖

圖8 相關攻擊1

圖9 相關攻擊2

在圖8中，A用戶手機中毒后，APP中支付平臺仍然是其自己的資金，但是 ETC用戶卡及相應的讀寫卡設備已被病毒篡改為B用戶的ETC用戶卡和讀寫卡器，導致A用戶在發(fā)起ETC充值后資金扣除是A用戶的資金，但是圈存時圈存的對象是B用戶ETC用戶卡；

還有一種情況是手機中毒后，B用戶發(fā)起中間人攻擊，即B用戶成為A用戶和互聯(lián)網(wǎng)ETC服務之間的信息轉發(fā)體，當A用戶發(fā)起ETC卡充值服務時，病毒程序將會讓A用戶直接與B用戶相關程序聯(lián)系，B用戶在A用戶面前偽裝成互聯(lián)網(wǎng)ETC服務，在互聯(lián)網(wǎng)ETC服務面前偽裝成A用戶，其結果就是A用戶終端與B用戶程序進行通信，并發(fā)起充值，B用戶將相關信息轉發(fā)給互聯(lián)網(wǎng)ETC服務，直到A用戶資金被扣除，B用戶隨即發(fā)起對自己ETC用戶卡的圈存服務，并讓A用戶等待，圈存成功后，提示A用戶圈存失敗，具體如圖9所示。

4 解決方案

本文提出了一整套相關解決方案，從 APP獲取到具體的交易流程，具體如下：

4.1 規(guī)范APP下載、啟用

下載：登錄官網(wǎng)或正規(guī)應用商店，通過下載或掃描二維碼下載，APP中需要添加一個唯一的串號，并生成MAC在互聯(lián)網(wǎng)ETC服務中進行保存，保證APP的可追溯性。

啟用：填寫相關申請信息，包括：ETC用戶卡卡號+密碼、手機號、需要申請的用戶名+密碼后，互聯(lián)網(wǎng)ETC服務去數(shù)據(jù)庫中獲取相應的數(shù)據(jù)信息與之對比，保證用戶填寫資料的正確性后，向用戶輸入的手機號碼發(fā)送一個6位的動態(tài)驗證碼，并結合ETC用戶卡卡號、車輛行駛證號、身份證（個人）或組織機構代碼（單位）、ETC讀寫卡器信息（申請時必須連接上讀寫卡器和ETC用戶卡）、手機設備信息這些信息生成相關用戶證書，完成注冊申請流程，數(shù)字證書以ETC用戶卡卡號為唯一標識。

圖10 注冊申請示意圖

4.2 充值前步驟

在用戶發(fā)起充值起，首先讀取其 ETC余額并要求用戶生成用戶簽名確認（時間戳），回傳互聯(lián)網(wǎng)ETC服務存入互聯(lián)網(wǎng)數(shù)據(jù)庫中，當產生糾紛時，可先讀取用戶 ETC卡內余額，根據(jù)數(shù)據(jù)庫充值前數(shù)據(jù)進行比對后，確實沒有寫卡成功時，在保證支付平臺扣款成功前提下，系統(tǒng)自動發(fā)起圈存程序。

圖11 充值前卡內余額確認

4.3 APP安全保障

APP連接互聯(lián)網(wǎng)ETC服務時，則自動驗證APP的MAC與系統(tǒng)存儲的MAC是否一致，保證APP沒有被篡改，即保證APP為可信APP。

嚴格APP中數(shù)據(jù)交互接口，針對ETC用戶卡必須嚴格通信模式，除藍牙、NFC和USB數(shù)據(jù)線（OBU）外，不得使用其他方式（特別是通過網(wǎng)絡方式），而且嚴格藍牙、NFC和USB數(shù)據(jù)線通信的內容和數(shù)據(jù)格式，除 ETC用戶卡相關信息外不得進行其他通信。

數(shù)字證書申領過程，針對具體要充值的 ETC用戶卡（前提是一部智能終端可以為多張ETC用戶卡充值），PKI體系需要根據(jù)APP連接上ETC用戶卡，將根據(jù)ETC用戶卡信息、讀寫卡器信息、智能終端信息、用戶輸入信息和手機號信息生產用戶數(shù)字證書，并且保證一張 ETC用戶卡在終端上生成一張數(shù)字證書，證書離開終端即失效。

當用戶發(fā)起用戶資金操作時，支付平臺要求必須將用戶資金賬號+智能終端+讀寫卡器+ETC用戶卡+時間戳進行加密簽名（智能終端信息、ETC用戶卡不能通過網(wǎng)絡獲?。?，支付平臺會將扣款結果、用戶簽名信息發(fā)送給互聯(lián)網(wǎng) ETC服務，其會根據(jù)后臺數(shù)據(jù)庫內存儲信息與其進行比較、驗證，當圈存信息與之不一致時中斷操作。

同理當用戶進行 ETC用戶卡圈存業(yè)務時，要求必須將智能終端信息+ETC用戶卡+讀寫卡器+時間戳+隨機數(shù)進行加密簽名（智能終端信息、ETC用戶卡、讀寫卡器不能通過網(wǎng)絡獲?。?，隨機數(shù)為互聯(lián)網(wǎng) ETC服務根據(jù)用戶數(shù)字證書手機號碼發(fā)送的短信動態(tài)驗證碼，互聯(lián)網(wǎng) ETC服務會根據(jù)后臺數(shù)據(jù)庫內存儲信息與其進行比較、驗證，參見圖12所示。

圖12 互聯(lián)網(wǎng)ETC服務信息交互流程圖

以上解決方案，通過 APP的可行性論證保證了用戶的APP不會被病毒惡意修改，保證與互聯(lián)網(wǎng)ETC服務通信的內容可信；通過預讀取 ETC用戶卡內余額，保證了當出現(xiàn)扣款成功圈存不成功時不出現(xiàn)爭議；構建了一套以一卡一證書的模式，在證書內和互聯(lián)網(wǎng)數(shù)據(jù)庫中記錄用戶終端、讀寫卡器、ETC用戶卡等信息，并通過短信動態(tài)驗證碼的方式保證確為用戶本人進行相關操作，其抵抗相關網(wǎng)絡攻擊的模擬過程如圖13所示。

5 總結及展望

目前全國 ETC互聯(lián)網(wǎng)服務系統(tǒng)正在緊張的研究、測試中，由于 ETC系統(tǒng)類似與金融系統(tǒng)的流程，同時由于其電子錢包的特性，相較于金融系統(tǒng)更為復雜，在線上進行相關操作風險點多，故需要在系統(tǒng)上、技術上、管理上進行更多的分析和研究，在前人的基礎上完善線上對電子錢包安全性進行提高、改進和完善，保證ETC全國聯(lián)網(wǎng)后可以借助互聯(lián)網(wǎng)平臺提供更好地服務。

本文后續(xù)將繼續(xù)和各大廠家、支付平臺進行研究、測試，精簡信息交互流程，保證各類在網(wǎng)絡狀況不好、安全性不高的情況下，保證用戶、ETC系統(tǒng)不受損失或少受損失，保證各類業(yè)務的安全性、可追溯性。

圖13 模擬攻擊防御示意圖

[1]楊中岳，陳釗正，陳啟美.無線環(huán)境的OpenSSL辦公安全平臺實現(xiàn)[J].計算機工程與設計，2010.

[2]金茂菁.我國智能交通系統(tǒng)技術發(fā)展現(xiàn)狀及展望[J].交通信息與安全，2012.

[3]陳釗正，許俊，余緒金，何耀忠.江西省高速公路電子不停車收費自助服務系統(tǒng)[J].中國交通信息化，2014.

[4]姚廣洲，徐東彬.高速公路信息安全方案研究[J].公路交通科技，2012.

[5]王洪偉，魏勇敢.智能交通技術在交通信息采集中的應用[J].公路交通科技，2014.

本文系江西省交通運輸廳2015科研項目“江西省高速公路聯(lián)網(wǎng)信息安全體系的關鍵技術應用研究”（2015x0042）。