◆何耀忠 陳釗正

（江西省高速公路聯(lián)網(wǎng)管理中心 江西 330003）

ETC互聯(lián)網(wǎng)信息安全淺析

◆何耀忠 陳釗正

（江西省高速公路聯(lián)網(wǎng)管理中心 江西 330003）

隨著全國ETC聯(lián)網(wǎng)順利開通后，ETC跨省服務(wù)、ETC互聯(lián)網(wǎng)服務(wù)已成為目前電子不停車收費(fèi)發(fā)展的重要目標(biāo)，而隨著互聯(lián)網(wǎng)接入交通專網(wǎng)，各類安全問題也必然成為當(dāng)前亟待解決的問題，本文將就ETC互聯(lián)網(wǎng)服務(wù)的安全及其解決方案進(jìn)行了相關(guān)分析和研究，并提出了相關(guān)解決方案。

ETC；互聯(lián)網(wǎng)；安全；圈存服務(wù)；證書體系

0 引言

隨著全國ETC聯(lián)網(wǎng)第一階段的順利開展，14個(gè)?。ㄊ校└咚俟冯娮硬煌＼囀召M(fèi)（ETC）正式聯(lián)網(wǎng)運(yùn)行，全國ETC聯(lián)網(wǎng)格局已基本形成，將為“一帶一路”、各個(gè)經(jīng)濟(jì)帶發(fā)展提供巨大動(dòng)力，搭建創(chuàng)新性平臺(tái)，為促進(jìn)國民經(jīng)濟(jì)與社會(huì)發(fā)展做出重要貢獻(xiàn)。

“一卡在手，走遍全國高速”正在一步步實(shí)現(xiàn)的同時(shí)，如何從人工服務(wù)轉(zhuǎn)向信息化服務(wù)，如何借助互聯(lián)網(wǎng)這個(gè)載體，在現(xiàn)有專網(wǎng)的基礎(chǔ)上實(shí)現(xiàn)各類高速公路聯(lián)網(wǎng)服務(wù)是目前各個(gè) ETC聯(lián)網(wǎng)省（市）工作的重要方向。

互聯(lián)網(wǎng)在給 ETC體系帶來便利的同時(shí)，其副作用也必然隨其一并代入，特別是針對數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)病毒、惡意攻擊、非法篡改等嚴(yán)重威脅 ETC乃至整個(gè)聯(lián)網(wǎng)系統(tǒng)的安全性、保密性，ETC互聯(lián)網(wǎng)服務(wù)的信息安全問題必須引起高度重視，也是當(dāng)前乃至相當(dāng)長時(shí)間內(nèi)亟待解決的問題[1]。

本文將針對傳統(tǒng)聯(lián)網(wǎng)系統(tǒng)向互聯(lián)網(wǎng)拓展應(yīng)用時(shí)存在的安全問題、所應(yīng)架構(gòu)的安全體系進(jìn)行分析、研究并給出相應(yīng)的意見和建議。

1 傳統(tǒng)架構(gòu)

傳統(tǒng)高速公路聯(lián)網(wǎng)系統(tǒng)立足于專網(wǎng)，與互聯(lián)網(wǎng)物理隔離，預(yù)防病毒和非法攻擊主要立足于殺毒軟件和離線病毒庫升級(jí)的技術(shù)手段，業(yè)務(wù)系統(tǒng)往往兼有安全系統(tǒng)的功能，人員身份認(rèn)證基本依靠用戶名+密碼的方式，具體參見圖1所示。

圖1 傳統(tǒng)架構(gòu)

這種模式簡潔實(shí)用，在專網(wǎng)系統(tǒng)中較為普遍，具有較好地的適用性和實(shí)施性，其建設(shè)維護(hù)成本較低，便于大范圍的展開[2]，且對于內(nèi)網(wǎng)管理人員技術(shù)水平要求不是很高，便于分布式廣域系統(tǒng)的升級(jí)和維護(hù)。但是在互聯(lián)網(wǎng)環(huán)境下，它存在較大地安全隱患，其中之一就是業(yè)務(wù)系統(tǒng)和安全系統(tǒng)沒有較好地分離，在互聯(lián)網(wǎng)接入的時(shí)候，用戶及其操作存在不確定性時(shí)單純依靠用戶名和密碼的模式在身份認(rèn)證及防抵賴方面存在安全隱患[3]，而在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)時(shí)數(shù)據(jù)的密文傳輸、密鑰管理也存在一定的管理缺陷。

2 標(biāo)準(zhǔn)互聯(lián)網(wǎng)接入架構(gòu)

構(gòu)建高速公路聯(lián)網(wǎng)系統(tǒng)的DMZ區(qū)域，如圖2所示。在DMZ區(qū)域中構(gòu)建一套面向互聯(lián)網(wǎng)基于Web的ETC服務(wù)體系，同時(shí)在DMZ區(qū)與核心業(yè)務(wù)區(qū)域構(gòu)建安全邊界防護(hù)，如果業(yè)務(wù)系統(tǒng)的等級(jí)保護(hù)要求達(dá)到三級(jí)以上的話，就必須采用網(wǎng)閘作為核心區(qū)域和DMZ區(qū)域的安全邊界，兩個(gè)區(qū)域的數(shù)據(jù)交互采用數(shù)據(jù)擺渡的方式。

圖2 網(wǎng)絡(luò)架構(gòu)

在DMZ區(qū)域中，為滿足互聯(lián)網(wǎng)服務(wù)帶來的業(yè)務(wù)及安全需求[4]，需添加邊界防火墻、SSL VPN 身份認(rèn)證體系，并在DMZ區(qū)域中再構(gòu)建一個(gè)安全區(qū)域，安全區(qū)域的作用負(fù)責(zé)與核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)交互、ETC業(yè)務(wù)服務(wù)和保證互聯(lián)網(wǎng)數(shù)據(jù)庫、安全認(rèn)證的核心設(shè)備的安全，故安全區(qū)與DMZ其他設(shè)備之間需添加相應(yīng)防火墻用于隔離。

在圖3中，邊界防火墻用以保證DMZ與互聯(lián)網(wǎng)之間邊界分離及安全保護(hù)，SSL VPN用于互聯(lián)網(wǎng)接入業(yè)務(wù)的SSL通道建立和數(shù)據(jù)加密，負(fù)載均衡是為了平滑互聯(lián)網(wǎng)數(shù)據(jù)峰值的風(fēng)險(xiǎn)，身份認(rèn)證體系為了針對ETC用戶提供針對性服務(wù)敏感信息的身份認(rèn)證、簽名和加密，動(dòng)態(tài)驗(yàn)證碼是用于保障身份認(rèn)證的準(zhǔn)確性[5]，安全區(qū)內(nèi)存放相對安全級(jí)別較高的設(shè)備和業(yè)務(wù)，包括CA證書及存儲(chǔ)體系，ETC互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)和互聯(lián)網(wǎng)數(shù)據(jù)等，同時(shí)只有安全區(qū)設(shè)備才可以與核心業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)同步和信息交互。

圖3 DMZ區(qū)域架構(gòu)示意圖

3 安全隱患分析

在標(biāo)準(zhǔn)化的互聯(lián)網(wǎng)接入架構(gòu)中，采用防火墻、網(wǎng)閘、PKI體系等用以保證互聯(lián)網(wǎng)接入時(shí)信息交互的安全性，但是當(dāng)其應(yīng)用于ETC領(lǐng)域時(shí)就會(huì)存在一定的安全隱患和安全問題，因?yàn)镋TC服務(wù)，特別是 ETC用戶卡相對于傳統(tǒng)意義上的銀行卡，它是具有電子錢包的，需要進(jìn)行圈存操作，這樣比起一般意義上的網(wǎng)絡(luò)消費(fèi)或在線支付，其步驟增加了，風(fēng)險(xiǎn)自然而然就加大了，且容易產(chǎn)生糾紛和故障，以下本文將就此進(jìn)行詳細(xì)的分析。

3.1 注冊申請

ETC用戶是一群以ETC設(shè)備基礎(chǔ)的互聯(lián)網(wǎng)用戶，其注冊和申請必然需要參照互聯(lián)網(wǎng)模式和ETC模式，兩種模式綜合考慮，互聯(lián)網(wǎng)模式一定是開放式下載，而 ETC用戶有其特殊性，在于其涉及用戶資金操作，如果統(tǒng)一采用互聯(lián)網(wǎng)模式必然帶來信息泄露或資金隱患，如圖4所示，而采用銀行的模式，即人工去柜臺(tái)申請后才能開通相關(guān)網(wǎng)上銀行，對于全國各地流動(dòng)性較大的車主用戶，在ETC服務(wù)網(wǎng)點(diǎn)有限的現(xiàn)狀下，操作性上具有一定難度，故此 ETC用戶互聯(lián)網(wǎng)注冊申請是個(gè)瓶頸點(diǎn)，如何在保證用戶信息隱私的前提下規(guī)范相關(guān)的注冊申請流程。

3.2 用戶資金隱患

由于目前各類網(wǎng)上消費(fèi)充值業(yè)務(wù)已經(jīng)非常普及，其安全性也得到了時(shí)間和實(shí)踐的檢驗(yàn)，并且形成了一套較為成熟并在不斷完善的流程體系，且互聯(lián)網(wǎng) ETC服務(wù)體系中，有關(guān)于用戶資金的具體操作均是交給國家網(wǎng)上交易可信的第三方進(jìn)行操作，互聯(lián)網(wǎng)ETC服務(wù)只需與支付平臺(tái)方面構(gòu)建一套安全通信平臺(tái)即可，提供互聯(lián)網(wǎng) ETC服務(wù)的相關(guān)單位應(yīng)需在其APP、官網(wǎng)、微信、微博等平臺(tái)上公開發(fā)布其相關(guān)銀行和支付平臺(tái)的賬戶名稱信息，方便用戶在支付時(shí)進(jìn)行核對和校驗(yàn)。

3.3 ETC用戶卡寫卡安全性分析

由于針對用戶銀行卡操作完全由支付平臺(tái)負(fù)責(zé)，其安全性是由支付平臺(tái)負(fù)責(zé)，故此目前已有較為成熟的解決方案就不予分析，而 ETC用戶卡充值必須有個(gè)圈存寫卡的過程，這是目前所有各類銀行卡互聯(lián)網(wǎng)操作不需要考慮的環(huán)節(jié)，故此這是一個(gè)全新的安全技術(shù)領(lǐng)域，其在互聯(lián)網(wǎng)上操作必然存在如下問題：

（1）用戶的銀行卡或支付憑證的金額扣除和ETC用戶卡圈存的順序問題，為了保證資金安全，只有在收到支付平臺(tái)扣款成功的結(jié)果之后才能發(fā)起ETC用戶卡圈存程序。

（2） 扣款成功后圈存不成功。

最為理想的狀態(tài)是支付平臺(tái)收到退款指令自動(dòng)進(jìn)行回滾操作；由于移動(dòng) APP端無線網(wǎng)絡(luò)信號(hào)問題無法發(fā)起退款指令的時(shí)候，存在如下風(fēng)險(xiǎn)：移動(dòng)APP端已經(jīng)寫卡成功，由于網(wǎng)絡(luò)問題，互聯(lián)網(wǎng) ETC服務(wù)沒有收到寫卡成功的指令，而又無法獲取移動(dòng)APP端的日志文件，用戶投訴沒有寫卡成功；確實(shí)沒有寫卡成功，用戶資金被扣，如何盡快將該資金退還給客戶。

（3）用戶手機(jī)中毒，扣款成功，寫卡不成功：主要情況是用戶手機(jī)中毒后，不法程序修改APP程序或阻斷APP通信，導(dǎo)致用戶的資金被扣除，而沒有對用戶自身的 ETC用戶卡進(jìn)行圈存，而是對其他卡片進(jìn)行了圈存或者是進(jìn)行了其他消費(fèi)，如圖5所示：

圖5 病毒惡意攻擊示意圖

如果用戶下載的APP是完全被偽造，即一個(gè)與ETC完全不相干的APP偽造而成，如圖6所示，這個(gè)將無法在互聯(lián)網(wǎng)ETC服務(wù)的具體操作上有什么比較好的解決方案，只能是加大宣傳力度，嚴(yán)格對網(wǎng)絡(luò)中的非法冒用現(xiàn)象進(jìn)行打擊。

圖6 被病毒感染的APP示意圖

ETC用戶手機(jī)終端中毒，成為他人ETC用戶卡充值的資金交易來源，這也是 APP出現(xiàn)問題的時(shí)候常見的攻擊情況，結(jié)果往往是數(shù)據(jù)庫中數(shù)據(jù)一切正常，沒有任何異常數(shù)據(jù)，而用戶資金受損，關(guān)鍵是容易導(dǎo)致沒有證據(jù)支持相關(guān)情況，如何避免此類問題是關(guān)鍵所在。

圖7 中間人攻擊示意圖

圖8 相關(guān)攻擊1

圖9 相關(guān)攻擊2

在圖8中，A用戶手機(jī)中毒后，APP中支付平臺(tái)仍然是其自己的資金，但是 ETC用戶卡及相應(yīng)的讀寫卡設(shè)備已被病毒篡改為B用戶的ETC用戶卡和讀寫卡器，導(dǎo)致A用戶在發(fā)起ETC充值后資金扣除是A用戶的資金，但是圈存時(shí)圈存的對象是B用戶ETC用戶卡；

還有一種情況是手機(jī)中毒后，B用戶發(fā)起中間人攻擊，即B用戶成為A用戶和互聯(lián)網(wǎng)ETC服務(wù)之間的信息轉(zhuǎn)發(fā)體，當(dāng)A用戶發(fā)起ETC卡充值服務(wù)時(shí)，病毒程序?qū)?huì)讓A用戶直接與B用戶相關(guān)程序聯(lián)系，B用戶在A用戶面前偽裝成互聯(lián)網(wǎng)ETC服務(wù)，在互聯(lián)網(wǎng)ETC服務(wù)面前偽裝成A用戶，其結(jié)果就是A用戶終端與B用戶程序進(jìn)行通信，并發(fā)起充值，B用戶將相關(guān)信息轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)ETC服務(wù)，直到A用戶資金被扣除，B用戶隨即發(fā)起對自己ETC用戶卡的圈存服務(wù)，并讓A用戶等待，圈存成功后，提示A用戶圈存失敗，具體如圖9所示。

4 解決方案

本文提出了一整套相關(guān)解決方案，從 APP獲取到具體的交易流程，具體如下：

4.1 規(guī)范APP下載、啟用

下載：登錄官網(wǎng)或正規(guī)應(yīng)用商店，通過下載或掃描二維碼下載，APP中需要添加一個(gè)唯一的串號(hào)，并生成MAC在互聯(lián)網(wǎng)ETC服務(wù)中進(jìn)行保存，保證APP的可追溯性。

啟用：填寫相關(guān)申請信息，包括：ETC用戶卡卡號(hào)+密碼、手機(jī)號(hào)、需要申請的用戶名+密碼后，互聯(lián)網(wǎng)ETC服務(wù)去數(shù)據(jù)庫中獲取相應(yīng)的數(shù)據(jù)信息與之對比，保證用戶填寫資料的正確性后，向用戶輸入的手機(jī)號(hào)碼發(fā)送一個(gè)6位的動(dòng)態(tài)驗(yàn)證碼，并結(jié)合ETC用戶卡卡號(hào)、車輛行駛證號(hào)、身份證（個(gè)人）或組織機(jī)構(gòu)代碼（單位）、ETC讀寫卡器信息（申請時(shí)必須連接上讀寫卡器和ETC用戶卡）、手機(jī)設(shè)備信息這些信息生成相關(guān)用戶證書，完成注冊申請流程，數(shù)字證書以ETC用戶卡卡號(hào)為唯一標(biāo)識(shí)。

圖10 注冊申請示意圖

4.2 充值前步驟

在用戶發(fā)起充值起，首先讀取其 ETC余額并要求用戶生成用戶簽名確認(rèn)（時(shí)間戳），回傳互聯(lián)網(wǎng)ETC服務(wù)存入互聯(lián)網(wǎng)數(shù)據(jù)庫中，當(dāng)產(chǎn)生糾紛時(shí)，可先讀取用戶 ETC卡內(nèi)余額，根據(jù)數(shù)據(jù)庫充值前數(shù)據(jù)進(jìn)行比對后，確實(shí)沒有寫卡成功時(shí)，在保證支付平臺(tái)扣款成功前提下，系統(tǒng)自動(dòng)發(fā)起圈存程序。

圖11 充值前卡內(nèi)余額確認(rèn)

4.3 APP安全保障

APP連接互聯(lián)網(wǎng)ETC服務(wù)時(shí)，則自動(dòng)驗(yàn)證APP的MAC與系統(tǒng)存儲(chǔ)的MAC是否一致，保證APP沒有被篡改，即保證APP為可信APP。

嚴(yán)格APP中數(shù)據(jù)交互接口，針對ETC用戶卡必須嚴(yán)格通信模式，除藍(lán)牙、NFC和USB數(shù)據(jù)線（OBU）外，不得使用其他方式（特別是通過網(wǎng)絡(luò)方式），而且嚴(yán)格藍(lán)牙、NFC和USB數(shù)據(jù)線通信的內(nèi)容和數(shù)據(jù)格式，除 ETC用戶卡相關(guān)信息外不得進(jìn)行其他通信。

數(shù)字證書申領(lǐng)過程，針對具體要充值的 ETC用戶卡（前提是一部智能終端可以為多張ETC用戶卡充值），PKI體系需要根據(jù)APP連接上ETC用戶卡，將根據(jù)ETC用戶卡信息、讀寫卡器信息、智能終端信息、用戶輸入信息和手機(jī)號(hào)信息生產(chǎn)用戶數(shù)字證書，并且保證一張 ETC用戶卡在終端上生成一張數(shù)字證書，證書離開終端即失效。

當(dāng)用戶發(fā)起用戶資金操作時(shí)，支付平臺(tái)要求必須將用戶資金賬號(hào)+智能終端+讀寫卡器+ETC用戶卡+時(shí)間戳進(jìn)行加密簽名（智能終端信息、ETC用戶卡不能通過網(wǎng)絡(luò)獲?。?，支付平臺(tái)會(huì)將扣款結(jié)果、用戶簽名信息發(fā)送給互聯(lián)網(wǎng) ETC服務(wù)，其會(huì)根據(jù)后臺(tái)數(shù)據(jù)庫內(nèi)存儲(chǔ)信息與其進(jìn)行比較、驗(yàn)證，當(dāng)圈存信息與之不一致時(shí)中斷操作。

同理當(dāng)用戶進(jìn)行 ETC用戶卡圈存業(yè)務(wù)時(shí)，要求必須將智能終端信息+ETC用戶卡+讀寫卡器+時(shí)間戳+隨機(jī)數(shù)進(jìn)行加密簽名（智能終端信息、ETC用戶卡、讀寫卡器不能通過網(wǎng)絡(luò)獲?。S機(jī)數(shù)為互聯(lián)網(wǎng) ETC服務(wù)根據(jù)用戶數(shù)字證書手機(jī)號(hào)碼發(fā)送的短信動(dòng)態(tài)驗(yàn)證碼，互聯(lián)網(wǎng) ETC服務(wù)會(huì)根據(jù)后臺(tái)數(shù)據(jù)庫內(nèi)存儲(chǔ)信息與其進(jìn)行比較、驗(yàn)證，參見圖12所示。

圖12 互聯(lián)網(wǎng)ETC服務(wù)信息交互流程圖

以上解決方案，通過 APP的可行性論證保證了用戶的APP不會(huì)被病毒惡意修改，保證與互聯(lián)網(wǎng)ETC服務(wù)通信的內(nèi)容可信；通過預(yù)讀取 ETC用戶卡內(nèi)余額，保證了當(dāng)出現(xiàn)扣款成功圈存不成功時(shí)不出現(xiàn)爭議；構(gòu)建了一套以一卡一證書的模式，在證書內(nèi)和互聯(lián)網(wǎng)數(shù)據(jù)庫中記錄用戶終端、讀寫卡器、ETC用戶卡等信息，并通過短信動(dòng)態(tài)驗(yàn)證碼的方式保證確為用戶本人進(jìn)行相關(guān)操作，其抵抗相關(guān)網(wǎng)絡(luò)攻擊的模擬過程如圖13所示。

5 總結(jié)及展望

目前全國 ETC互聯(lián)網(wǎng)服務(wù)系統(tǒng)正在緊張的研究、測試中，由于 ETC系統(tǒng)類似與金融系統(tǒng)的流程，同時(shí)由于其電子錢包的特性，相較于金融系統(tǒng)更為復(fù)雜，在線上進(jìn)行相關(guān)操作風(fēng)險(xiǎn)點(diǎn)多，故需要在系統(tǒng)上、技術(shù)上、管理上進(jìn)行更多的分析和研究，在前人的基礎(chǔ)上完善線上對電子錢包安全性進(jìn)行提高、改進(jìn)和完善，保證ETC全國聯(lián)網(wǎng)后可以借助互聯(lián)網(wǎng)平臺(tái)提供更好地服務(wù)。

本文后續(xù)將繼續(xù)和各大廠家、支付平臺(tái)進(jìn)行研究、測試，精簡信息交互流程，保證各類在網(wǎng)絡(luò)狀況不好、安全性不高的情況下，保證用戶、ETC系統(tǒng)不受損失或少受損失，保證各類業(yè)務(wù)的安全性、可追溯性。

圖13 模擬攻擊防御示意圖

[1]楊中岳，陳釗正，陳啟美.無線環(huán)境的OpenSSL辦公安全平臺(tái)實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010.

[2]金茂菁.我國智能交通系統(tǒng)技術(shù)發(fā)展現(xiàn)狀及展望[J].交通信息與安全，2012.

[3]陳釗正，許俊，余緒金，何耀忠.江西省高速公路電子不停車收費(fèi)自助服務(wù)系統(tǒng)[J].中國交通信息化，2014.

[4]姚廣洲，徐東彬.高速公路信息安全方案研究[J].公路交通科技，2012.

[5]王洪偉，魏勇敢.智能交通技術(shù)在交通信息采集中的應(yīng)用[J].公路交通科技，2014.

本文系江西省交通運(yùn)輸廳2015科研項(xiàng)目“江西省高速公路聯(lián)網(wǎng)信息安全體系的關(guān)鍵技術(shù)應(yīng)用研究”（2015x0042）。