摘 要：針對目前高速公路可變信息標志發(fā)布系統(tǒng)安全性低的狀況，文章提出了一種信息發(fā)布安全管控方法。該方法在信息發(fā)布系統(tǒng)和可變信息標志之間插入信息安全管控服務器和前端控制器，實現(xiàn)了發(fā)布通道的加密、發(fā)布身份驗證、發(fā)布內(nèi)容審核和發(fā)布行為審計等功能，降低了因黑客攻擊或違規(guī)操作向公眾發(fā)布錯誤信息的可能性。同時，比較了4種信息發(fā)布的安全管控方法，總結了該方法的優(yōu)缺點，提出了后續(xù)改進的方向，為可變信息標志的安全管控提供了參考。

關鍵詞：可變信息標志；安全管控；信息發(fā)布安全

中圖分類號：U495

0 引言

可變信息標志又稱為情報板，是高速公路向司乘人員發(fā)布和傳遞信息的重要機電設施。其幫助駕駛員了解路況、天氣、道路封閉和施工信息、突發(fā)路況信息、服務區(qū)信息等。在交通路況、天氣狀況等出現(xiàn)異常時這些信息能及時提醒駕駛員，配合交通監(jiān)控系統(tǒng)對交通流進行誘導和控制，以提高行車安全和維持路況的通暢［1］。高速公路中常見的可變信息標志有可變限速標志、懸臂式可變信息標志、門架式可變信息標志、服務區(qū)信息發(fā)布屏、分流屏、費額顯示器等?？勺冃畔酥驹诟咚俟肥褂梅浅V泛，樞紐互通兩側、隧道外、隧道內(nèi)、服務區(qū)、重點事故易發(fā)點、收費站等都有可變信息標志。

然而，目前在高速公路上使用的大多數(shù)可變信息標志信息發(fā)布系統(tǒng)缺乏系統(tǒng)安全設計，存在著信息易泄露、身份易仿冒、消息易篡改的風險，并且信息發(fā)布過程缺乏內(nèi)容審核和行為審計，出現(xiàn)違規(guī)行為時難追責。可變信息標志的控制器受硬件限制，無法僅通過軟件升級實現(xiàn)和上位機的通信加密、防篡改等功能。若更換可變信息標志控制器使之能滿足通信加密功能，不但需要重新開發(fā)上位機的發(fā)布軟件，巨大的更換成本使高速公路運營單位也難以承受。

1 風險分析

目前國內(nèi)的可變信息標志廠商在設計產(chǎn)品時，重點考慮了功能性、可靠性和易用性，卻欠缺安全性方面的考慮。市面上使用的大多數(shù)可變信息標志與發(fā)布上位機之間的通信通道沒有加密。而上位機從監(jiān)控中心到可變信息標志之間的通信鏈路需要經(jīng)過多個網(wǎng)絡節(jié)點，發(fā)布消息很容易被竊取、篡改和偽造。運營單位在可變信息標志上發(fā)布信息的過程存在安全風險主要有以下幾方面：

（1） 信源風險：假冒他人登錄信息發(fā)布系統(tǒng)發(fā)布未經(jīng)審核的信息，偽造信息發(fā)布服務器指令發(fā)布未經(jīng)審核信息［2］。

（2）鏈路風險：監(jiān)聽鏈路數(shù)據(jù)，竊取發(fā)布內(nèi)容，假冒通信服務器發(fā)布信息中斷傳輸鏈路，接入業(yè)務網(wǎng)絡假冒通信服務器發(fā)布信息。

（3） 數(shù)據(jù)風險：可變信息標志接收數(shù)據(jù)無法驗證發(fā)送者身份標識，無法驗證信息完整性，黑客可以篡改發(fā)布信息內(nèi)容，向可變信息標志發(fā)布非法信息［3］。

（4） 違規(guī)操作風險：運營單位的信息發(fā)布流程控制不嚴格，監(jiān)控人員編輯好發(fā)布內(nèi)容就可以直接在上位機上發(fā)布信息，發(fā)布內(nèi)容缺乏審核，發(fā)布行為缺乏審計。即使操作失誤，錯誤信息也可誤發(fā)布到可變信息標志，從而引發(fā)輿情。若監(jiān)控人員如在上位機上人為刪除發(fā)布記錄，很難追查審查發(fā)布過程，難以進行事后追責。

國家標準化管理委員會于2023-03-17發(fā)布了《高速公路LED可變信息標志》（GB/T 23828-2023）（以下簡稱新標準），用來替代GB/T23828-2009，并已于2023-10-01正式實施。新標準規(guī)定了發(fā)布信息時，應對發(fā)布信息進行加密、防篡改處理，要求支持實時監(jiān)測可變信息標志當前顯示播放內(nèi)容，讀取LED可變信息標志當前畫面，進行實時監(jiān)控防止非法控制，并在監(jiān)測到非法控制時可以一鍵關屏［4］。但目前在高速公路上使用的情報板控制器大多使用單片機，處理能力較弱，硬件升級能力有限，無法實現(xiàn)復雜的加密算法和防篡改算法，難以滿足新標準的要求。

2 解決方案

新標準建議通過對現(xiàn)有的控制中心通信機（信息發(fā)布上位機）以及外場可變LED可變信息標志進行軟件升級，以實現(xiàn)加解密，保障通訊安全。但新標準只規(guī)定了發(fā)布信息時應進行加密和防篡改，沒有統(tǒng)一制定加密和防篡改算法，由各廠商自行制定。高速公路運營單位使用了綜合信息發(fā)布系統(tǒng)向管轄路段的所有可變信息標志發(fā)布信息。由于這些可變信息標志可能由多家廠商供貨，因此廠商的控制器軟件升級意味著綜合信息發(fā)布系統(tǒng)要進行重新適配每家廠商的控制器，而每家廠商的加密、防篡改算法都不一樣，大大增加了綜合信息發(fā)布系統(tǒng)的開發(fā)難度和工作量。此外，可變信息標志現(xiàn)在在用的控制器硬件性能和軟件系統(tǒng)提升能力有限，升級改造成本高，效果也不理想。通過升級可變信息標志控制器和綜合信息發(fā)布系統(tǒng)軟件的方法來滿足新標準的要求，對已建成的高速公路信息發(fā)布系統(tǒng)來說，改造難度和成本都比較大，而且效果也不理想。

可變信息標志的控制器支持從USB或者通過TCP/IP協(xié)議發(fā)布信息，當前的高速公路信息發(fā)布系統(tǒng)都是使用TCP/IP協(xié)議來發(fā)布信息。本研究提出在信息發(fā)布系統(tǒng)和可變信息標志之間，插入信息安全管控服務器和前端控制器，信息發(fā)布系統(tǒng)發(fā)布信息時，先經(jīng)過信息安全管控服務器，由信息安全管控服務器對信息進行加密、加簽名后，將發(fā)布信息發(fā)送到前端控制器，由前端控制器驗證簽名和解密，再將發(fā)布內(nèi)容轉(zhuǎn)發(fā)到可變信息標志的控制器，完成信息內(nèi)容顯示。

如圖1所示，可變信息標志安全管控系統(tǒng)包含安全管控服務器及前端控制器兩部分。其中，前端控制器部署在現(xiàn)場可變情報板位置，配置有雙網(wǎng)卡，一端連接高速公路監(jiān)控數(shù)據(jù)網(wǎng)，一端和可變信息標志的控制器直連，屏蔽外界對可變信息標志的訪問。安全管控服務器通過網(wǎng)線/光纖與信息發(fā)布服務設備連接，主要用于對信息發(fā)布安全終端的身份認證、傳輸數(shù)據(jù)完整性校驗與確認、斷線告警、狀態(tài)展示等。

3 方案設計

在原來的發(fā)布模式中，用戶登錄信息發(fā)布平臺，選擇需要發(fā)布的可變信息標志，編輯要發(fā)送的內(nèi)容，點擊發(fā)送就直接將信息發(fā)布到可變信息標志，中間的通道沒有加密。新的發(fā)布模式下，信息發(fā)布流程如圖2所示。

采用安全管控后的信息發(fā)布過程如下：

（1） 用戶按照原來的操作在綜合信息發(fā)布系統(tǒng)向可變信息標志發(fā)布信息。

（2） 綜合信息發(fā)布服務器上的伺服程序?qū)l(fā)布內(nèi)容重定向到安全管控服務器。

（3） 安全管控服務器對發(fā)布的內(nèi)容進行審核，如果發(fā)布內(nèi)容在黑名單內(nèi)，拒絕發(fā)布并記錄發(fā)布失敗信息；如在白名單內(nèi)，將內(nèi)容加上簽名和摘要并加密，發(fā)送前端控制器；如不在白名單，轉(zhuǎn)人工審核，人工審核通過后，將內(nèi)容加入白名單并加簽名加密后，發(fā)送到前端控制器。

（4） 前端控制器解密，檢驗摘要和驗證簽名，驗簽成功將內(nèi)容轉(zhuǎn)發(fā)到可變信息標志；如果解密驗簽失敗，通知安全管控服務器記錄發(fā)布失敗信息。

（5） 可變信息標志將發(fā)布內(nèi)容顯示在屏體，返回發(fā)布成功信息。

為了使綜合信息發(fā)布系統(tǒng)在發(fā)布信息時能將消息轉(zhuǎn)發(fā)到安全管控服務器，需在綜合信息發(fā)布服務器上安裝伺服程序，將向可變信息標志發(fā)送的消息加密，并重定向到安全管控服務器。前端控制器配置成可變信息標志的IP，通過內(nèi)網(wǎng)IP與之相連，可變信息標志的IP地址修改成和前端控制器的內(nèi)網(wǎng)IP同一網(wǎng)段，屏蔽外界訪問。安全管控服務器、前端控制器以及伺服程序之間的通信使用國密算法sm2加密，發(fā)布內(nèi)容采用國密算法sm3生成摘要，并加入數(shù)字證書簽名，確保發(fā)布信息無法泄露、無法偽造、無法篡改。

4 方案對比

業(yè)內(nèi)提出的可變信息發(fā)布安全管控方案主要有4種，第一種是升級可變信息標志和信息發(fā)布系統(tǒng)，實現(xiàn)通信內(nèi)容的加密和防篡改；第二種是升級信息發(fā)布系統(tǒng)，在可變信息標志前插入一個前端控制器，實現(xiàn)通信內(nèi)容的加密和防篡改；第三種是在可變信息標志前插入一個前端控制器，屏蔽外界對可變信息標志的訪問，用戶發(fā)布信息時，發(fā)布消息到達前端控制器，前端控制器將發(fā)布內(nèi)容加密轉(zhuǎn)發(fā)到云安全平臺，云安全平臺檢查發(fā)布內(nèi)容是否在黑名單內(nèi)，不在黑名單內(nèi)則通知前端控制器允許發(fā)布。這三種方案的系統(tǒng)拓撲如圖3所示。

第四種是本文提出的方案。張坤銀［5］提出在信息發(fā)布系統(tǒng)后面設置加密機、簽名服務器、數(shù)字證書認證等設備實現(xiàn)發(fā)布通道的加密、防篡改等，和本方案的拓撲和功能類似，區(qū)別在于加密、摘要和簽名認證用硬件實現(xiàn)還是用軟件實現(xiàn)，不再另外討論。4種方案的對比如表1所示。

方案一是根據(jù)新標準提出的方案，通過升級信息發(fā)布系統(tǒng)軟件和可變信息標志的軟硬件實現(xiàn)通信的加密和簽名，優(yōu)點是改造徹底，可有效防止竊聽、篡改、防非法內(nèi)容發(fā)布，但由于可變信息標志的控制器硬件升級空間有限，只能更換，導致成本高，而且不同的廠商有不同的加密算法，增加了信息發(fā)布系統(tǒng)升級難度和升級成本。方案三是在新標準實施前，部分高速公路運營單位為了防止非法內(nèi)容被發(fā)布到可變信息標志而實施的方案，僅需在可變信息標志前設置了前端控制器，利用云安全服務來審查發(fā)布內(nèi)容，無須改動原來的信息發(fā)布系統(tǒng)軟件和可變信息標志硬件，改造難度和成本最低，但由于信息發(fā)布系統(tǒng)和前端控制器之間的通信通道沒有加密和驗證身份，容易被竊聽，假冒身份和篡改發(fā)布內(nèi)容，不符合新標準的要求。方案二是方案三的改造版本，由文獻［3］提出，在可變信息標志前插入前端控制器，并升級信息發(fā)布系統(tǒng)軟件，使之具備通信加密、防篡改功能，避開了可變信息標志控制器無法升級的弊端，但前端控制器需要適配不同廠商的可變信息標志的發(fā)布協(xié)議，增加了開發(fā)難度。

本文提出的信息發(fā)布安全管控系統(tǒng)方案，通過在發(fā)布信息系統(tǒng)和可變信息標志之間插入安全管控服務器和前端控制器，實現(xiàn)了發(fā)布信息的防篡改、防假冒和防攻擊。原有的信息發(fā)布服務器只需要安裝伺服程序?qū)⑾蚩勺冃畔酥镜陌l(fā)布消息重定向到安全管控服務器，可變信息標志無須升級改造，大大降低了改造的難度和工作量。安全管控服務器需要識別和提取發(fā)布信息中的發(fā)布內(nèi)容，而目前可變信息標志廠商的信息發(fā)布內(nèi)容都是明文傳輸，大大降低了開發(fā)難度。前端控制器通過網(wǎng)絡隔離屏蔽了外界對可變信息標志的攻擊，只需要對消息進行驗簽和解密，解密后的消息不做處理直接轉(zhuǎn)發(fā)到可變信息標志，接收到可變信息標志的返回信息也不做處理直接轉(zhuǎn)發(fā)到安全管控服務器，降低了任務的復雜度，可以使用輕量級的邊緣計算設備來實現(xiàn)，降低了改造成本。安全管控服務器支持雙機熱備，利用浮動IP實現(xiàn)信息發(fā)布系統(tǒng)的統(tǒng)一接入，具有較好的魯棒性。

本文提出的方案已經(jīng)在上思至防城高速公路信息發(fā)布系統(tǒng)中獲得了應用，經(jīng)實際測試驗證，實現(xiàn)了信息發(fā)布過程防篡改、防消息偽造和防惡意攻擊，提高了信息發(fā)布的安全性。系統(tǒng)在安裝調(diào)試時收集了防城港運營公司歷史發(fā)布的信息，將信息內(nèi)容批量導入白名單，減少了需要人工審核的次數(shù)，基本沒有改變用戶操作習慣，用戶無須特別培訓就迅速適應了系統(tǒng)。

5 結語

本文提出了一種可變信息發(fā)布的安全管控系統(tǒng)開發(fā)方案，不改動原有的信息發(fā)布系統(tǒng)和可變信息標志，通過在這兩者之間插入安全管控服務器和前端控制器，實現(xiàn)可變信息標志的內(nèi)容發(fā)布加密、防偽造、防篡改，不僅為高速公路運營單位對信息發(fā)布的安全管控提供了解決方案，也為其他可變信息標志的管理單位提供了有益的借鑒。

但本文提出的方案仍有不少不足之處，需要后續(xù)研究改進。例如，內(nèi)容審核采用白名單制，增加了審核人員的工作量；安全管控服務器需要為每一個可變信息標志提供一個監(jiān)聽端口，以區(qū)分信息發(fā)布到哪一個可變信息標志，需要占用大量的端口資源，同時向大量的可變信息標志發(fā)布信息時，安全管控服務器可能會因為資源占用溢出丟失發(fā)布消息。此外，發(fā)布者在信息發(fā)布系統(tǒng)發(fā)布信息，但審核的時候需要在信息發(fā)布安全管控系統(tǒng)上審核，不符合用戶的操作習慣，因此在實際系統(tǒng)中采用了自動推送短信提醒審核者，審核者直接在短信鏈接上打開頁面完成審核，減少用戶的操作不適應性。

參考文獻：

［1］ JT/607-2004，高速公路可變信息標志信息的顯示和管理［S］.

［2］ 沈興華，馮宗敏，段會寧，等.公路可變情報板信息發(fā)布安全防范措施研究［J］.交通世界，2019（11）：5-8.

［3］ 吳穗湘，張 璋，邱 暢，等.可變情報板聯(lián)網(wǎng)信息發(fā)布系統(tǒng)網(wǎng)絡安全風險分析及防護建設［J］.中國交通信息化，2023（10）：120-123.

［4］ GB/T 23828-2023，高速公路LED可變信息標志［S］.

［5］ 張坤銀.基于IPSec技術的可變情報板信息發(fā)布安全加密系統(tǒng)［J］.中國交通信息化，2023（6）：126-129.20240421