祖立軍 翟孟東 葉家煒

摘要：在物聯(lián)網時代，急劇增長的物聯(lián)網設備及其產生的海量數據對邊緣側的計算和存儲能力提出了新的需求，與此同時，受到物聯(lián)網技術的影響，金融支付在端側對隱私保護、安全傳輸和應用時延提出了更多的要求。該文提出了基于邊緣計算網關的金融支付受理體系，該體系通過融合硬件設計和軟件設計來保障金融支付受理的功能和性能，能夠支持多種支付場景。該文借助新能源汽車無感支付業(yè)務對該體系進行驗證說明，設計并實現了基于邊緣計算網關的支付受理系統(tǒng)，并通過實驗對邊緣網關的性能進行測試，實驗結果表明基于該邊緣計算網關的金融支付受理技術能夠提高安全性，降低時延，提高用戶的服務質量。

關鍵詞：邊緣計算網關;金融支付受理;無感支付

中圖分類號：TP39 文獻標識碼：A

文章編號：1009-3044（2020）33-0020-06

開放科學（資源服務）標識碼（OSID）：

1 背景及研究現狀

1.1邊緣計算概述

隨著計算機網絡的高速發(fā)展和物聯(lián)網設備數量的急劇增加，全球每天產生的數據量已達到上百ZB并在持續(xù)增加[1]。傳統(tǒng)云計算模型中所有數據都上傳到云端，憑借云端超強的計算能力對數據進行計算處理和分析。然而這種對數據的集中處理模式有許多不足，例如無法提供一個實時計算的能力，數據需要上傳到云端后再進行計算;有限的網絡帶寬與海量的端側數據是一組短期內無法調和的矛盾，所有數據上云是對現有網絡能力的巨大挑戰(zhàn);此外，云端匯集了所有數據，一旦遭到攻擊，容易引發(fā)嚴重的隱私泄露問題[2]。

邊緣計算范式為解決上述問題提供了新的思路。邊緣計算指在靠近物或數據源頭的一側，采用集網絡、計算、存儲、應用等核心能力為一體的開放平臺，在網絡邊緣側提供分布式的網絡計算服務?！斑吘墶笔侵笍臄祿吹皆朴嬎阒行穆窂街g的任意計算和網絡資源[2]。相比傳統(tǒng)云計算，邊緣計算有如下幾個優(yōu)點：1）網絡邊緣實時計算。由于無須將數據上傳到云端進行處理，邊緣計算相比云計算有更快的數據處理速度。這點對于對實時性要求較高的場景極為有用;2）輕量化數據傳輸。邊緣計算模式下網絡的數據傳輸壓力遠小于云計算模式，在降低了網絡帶寬占用的同時也起到了降低能耗的作用;3）強化隱私保護。邊緣計算架構中對于數據的收集和計算是在本地或者邊緣節(jié)點上進行，因此大大降低了用戶敏感信息泄漏的問題。同時邊緣計算的分布式架構相較于云計算架構更能抵抗網絡攻擊，具有更高的可靠性、容錯性[3]。

1.2當前邊緣計算的研究現狀

根據邊緣計算產業(yè)聯(lián)盟提出的邊緣計算參考架構3.0，邊緣計算架構由云端、邊緣層、現場設備三部分組成[4]。邊緣層位于云端和現場層之間，向下支持各種現場設備的接人，向上與云端對接。邊緣層主要包括邊緣節(jié)點和邊緣管理器，其中邊緣節(jié)點為硬件實體（如網關），是邊緣計算業(yè)務的核心;邊緣管理器負責模型的業(yè)務編排和資源調用。邊緣計算網關是一種常見的邊緣計算設備，相較于傳統(tǒng)的網關，邊緣網關除了可以連接云端和大量異構的物聯(lián)網設備，還具備一定的數據分析和應用管理等計算能力。

鄒萍等人提出了制造資源感知接人環(huán)境下的邊緣網關系統(tǒng)設計[5]，設計出包括運行環(huán)境組件、設備交互組件、網絡連接組件在內的邊緣智能網關系統(tǒng)，提出了基于OPCUA的制造資源感知接人模型的構建方法，并基于應用實例對關鍵技術和邊緣網關設備進行了驗證說明。

趙佶等人提出了一個構建簡單的提供邊緣計算服務的網關設備的方法[6]，結合樹莓派、OpenWRT系統(tǒng)、TensorFlow以及HA系統(tǒng)等軟硬件設備實現了一個包含無線路由模塊、數據分析模塊以及設備管理模塊的邊緣計算網關，構建出的邊緣計算網關不僅具備傳統(tǒng)路由的功能，還可以提供邊緣計算服務，并通過軟分類的高斯混合模型對網關進行部署定位以提高網絡的可靠性。

Ching-Han Chen等人提出了一種基于可編程門陣列和多個可擴展微處理器的多MCU系統(tǒng)架構[7]。通過分布式協(xié)同計算，多MCU邊緣計算網關可以有效地實現數據收集和網絡通信，與已有的物聯(lián)網解決方案相比大大降低了功耗和計算時延，并提高了可擴展性。

Tshiamo Sigwele等人設計了一個互通健康系統(tǒng)，它是一個基于邊緣計算語義的智能網關框架[8]。該框架可以在基于不同物聯(lián)網健康系統(tǒng)的機器與用戶之間提供可讀性較好的信息交換。每個健康系統(tǒng)由一個包含restful API的網絡應用的智能邊緣計算網關組成。

邊緣計算網關在多種場景下已經表現出極大的應用價值，然而，對于金融支付場景來說，缺乏邊緣計算技術的應用研究及對應的解決方案設計。相比于其他應用場景，金融支付領域對安全性和實時性有更加嚴格，對軟件和硬件的設計也提出了更高的要求。

2 基于邊緣計算網關的金融支付受理技術研究及實驗

2.1 邊緣計算契合金融支付場景的應用需求

金融的核心關注點在于風險可控，邊緣計算相較于云計算更能降低風險。

云計算架構中用戶需要將數據上傳到云端，數據在傳輸過程中存在被截獲甚至被篡改的可能;邊緣計算由于更靠近信息源，因此能實時獲取真實完整的一手數據，此外這些數據攜帶場景信息，對于金融支付來說可以明確交易發(fā)生的場景，精確定位交易類型。

云計算架構中，包含著敏感信息的數據直接從端側上傳到云中心，容易造成用戶隱私的泄漏;邊緣計算則可以在網絡的邊緣側對敏感數據進行處理，如進行脫敏處理、加密處理等操作，在對隱私信息進行處理之后與云端進行通信，有效地保護隱私信息。

借助邊緣計算在網絡邊緣側進行金融增值服務的處理，相比于完全交由云端進行處理，既能降低網絡傳輸壓力，又能減小云端的計算壓力。

邊緣計算中典型的支付場景及需求如表1所示。

邊緣計算網關處于網絡邊緣側且靠近物聯(lián)網設備，能夠實時獲取物聯(lián)網設備信息和支付場景信息。從邊緣計算支付場景的分析可以看出，邊緣計算網關將是物聯(lián)網時代POS（pointof sale）的新形態(tài)。

2.2 基于邊緣計算網關的支付受理體系參考架構

如圖1所示，基于邊緣計算網關的支付受理體系參考架構分為云、邊緣、現場三層?，F場層主要由各種異構的物聯(lián)網設備組成，物聯(lián)網設備通過以太網、WiFi、藍牙、PLC等與邊緣層進行通信。邊緣層的物理資源主要是邊緣計算網關，網關通過物聯(lián)網通信協(xié)議對接現場層，通過協(xié)議轉換功能將現場層數據翻譯為云端可識別的數據。此外，邊緣網關通過應用編排以及資源管理模塊來實現定制化的邊緣計算服務，通過支付控件以及安全芯片來進行金融支付安全加固，通過位置服務和時間服務精確定位交易場景。云端獲得邊緣計算網關上傳的訂單后需要完成最終的交易結算，故云端需要設計支付服務，且用戶在請求邊緣端服務前，需要在云端進行設備的注冊。因此云端需要提供用戶服務以及業(yè)務服務，涉及金融支付，云端必須包含風控服務以增強系統(tǒng)安全性。

2.3 邊緣計算網關的安全加固設計

作為物聯(lián)網時代新型POS，邊緣計算網關承載著關鍵金融服務，安全性顯得愈發(fā)重要，因此有必要對邊緣計算網關進行安全加固設計。

一方面，經過邊緣計算網關的信息需要進行加密處理，我們在邊緣計算網關上集成物聯(lián)網安全芯片，通過物聯(lián)網安全芯片實現GmSSL加密。GmSSL是一個開源的密碼工具箱，邊緣計算網關與物聯(lián)網支付平臺的關鍵信息交換都要經過GmSSL進行加密處理。實現了GmSSL之后的安全芯片支持常用的國家商用密碼算法（如SM2/SM3/SM4/SM9/ZUC等）、SM2國密數字證書以及基于SM2證書的SSL/TLS安全通信協(xié)議，還支持國密硬件密碼設備，提供符合國密規(guī)范的編程接口和命令行工具，因此可用于構建PKI/CA、安全通信、數據加密等安全應用。當邊緣計算場景的交易數據流經邊緣計算網關時，網關的支付控件會調用物聯(lián)網安全芯片對數據進行加密，有效地保障了信息在傳輸和存儲過程中的安全性。

另一方面，邊緣計算網關需要運用可信啟動的方法進行安全加固，邊緣計算網關上部署其他安全方案進行安全加固的前提是邊緣計算網關的內置程序本身是安全的，如果邊緣計算網關的程序被篡改或者破壞，導致邊緣計算網關進入一種不可信的狀態(tài)，則在此基礎上建立的安全加固方案就會成為無源之水，因此我們需要可信啟動，具體方法有：通過在邊緣計算網關中添置可信平臺模塊這類安全芯片，安全芯片中存儲邊緣計算網關初始的預期度量值，啟動時將內置程序加載到內存中，比較當前計算值和初始的預期度量值是否一致以確定啟動的內置程序是否可信。

此外，由于存在未知的惡意應用，可以使用基于白名單的防御機制對邊緣計算網關進行安全加固，即只允許經過物聯(lián)網平臺認證過的應用在邊緣計算網關上部署，禁止在邊緣網關上運行未知的軟件。物聯(lián)網平臺對所有可信的軟件進行程序、驅動文件等的指紋提取并將其納入白名單庫，邊緣計算網關在部署新的應用時將提取到的應用指紋信息提交到白名單庫進行軟件安全性驗證，若指紋不在白名單庫中，則邊緣網關會向云中心發(fā)送包含非法應用信息和當前網關的狀態(tài)信息等報警信息，并禁止非法應用收集用戶信息和向云中心發(fā)起會話請求。

1）面向增值服務場景的多應用動態(tài)部署

對于不同應用場景，靈活、可高度自定義的邊緣應用能夠有效滿足邊緣計算服務運營商的多樣化需求，物聯(lián)網設備只需要在物聯(lián)網平臺注冊一次，便可在基于邊緣計算網關的多種支付場景中享受無感支付的便利性。

近年來容器技術在邊緣計算領域的使用愈加廣泛，Docker等技術可以實現面向金融增值服務場景的多應用動態(tài)部署。當邊緣計算網關的運營商需要定制某些業(yè)務服務時，只需要將編寫好的定制服務程序及相關的程序運行環(huán)境打包成容器鏡像上傳到容器倉庫，在滿足邊緣計算網關的安全加固方案的條件下，區(qū)域中的邊緣計算網關通過拉取倉庫的鏡像便可以實現網關應用的定制化。此外，在邊緣網關上應用容器技術還有其他優(yōu)勢，容器的啟動可以在秒級實現，相較于在邊緣計算網關上部署服務程序這種方案更加快速;由于容器不需要虛擬硬件或者操作系統(tǒng)，系統(tǒng)資源的利用率高，這體現在應用的執(zhí)行速度、內存消耗以及文件存儲速度等指標上;容器技術能夠屏蔽邊緣計算網關操作系統(tǒng)環(huán)境的差異化，使得邊緣應用在部署時效率更高;定制的服務程序在一次創(chuàng)建或者配置后，可以方便快速地在任何支持容器技術的其他邊緣計算網關上進行持續(xù)交付和部署，甚至結合持續(xù)部署系統(tǒng)進行自動部署;應用的遷移、維護、擴展等也更加快速高效。

3 一種面向金融支付場景的邊緣計算網關設計方案

3.1 硬件設計

如圖3.邊緣計算網關硬件分為加密板、核心板和主板。核心板集成CPU和flash、DDR、RAM，放置在主板的背面;主板提供電源電路、以太網電路、485和232電路、wifi電路、實時時鐘電路等支撐性硬件設備;4G模塊通過PCIe接口與主板連接;安全芯片和lorawan電路在加密板上，安全芯片通過USB口與主板連接，lorawan電路則是通過SPI口與主板連接。

3.2 芯片組的模塊設計

芯片組是集成控制、管理、計算和通信等功能的基礎開放平臺，其中CPU采用ARM雙核cortex A9，內存達到512MB，FLASH達到1GB，支持RTC時鐘、溫度檢測、掉電檢測等管理功能，能夠在-40℃- 70℃環(huán)境中正常工作，滿足工業(yè)級環(huán)境要求。

芯片組采用兩個間距為0.8mm SMT雙邊緣連接器，與底板進行業(yè)務連接以及電源供電等。提供5*GE、4*USB2.0、1*SPI、

1*IIC等業(yè)務接口功能，實物如圖5所示。

3.3 安全芯片的設計與集成

如圖所示，安全芯片采用32位嵌入式RISCV處理器核，帶有SRAM存儲器與FLASF存儲器，配置高安全性密碼算法引擎，集成芯片安全防護模塊，支持多功能系統(tǒng)控制，支持多種通訊接口。

在集成對接時，由核心板提供穩(wěn)定電源，安全芯片模組自身完成上電復位和邏輯復位?；赨SB2.0全速模式，并將USBDP/USBDM差分信號對串接電阻，改善信號質量。最后將芯片模組地（ GND）與主板共地。

3.4 外部接口

如圖6，邊緣網關一共有4個外部接口：1）電源接口為邊緣網關提供穩(wěn)定的電源輸入;2）兩個以太網口用于邊緣網關接人充電樁的局域網;3）USB接口用于接人其他存儲設備。

3.5 軟件設計

邊緣計算網關軟件包括物聯(lián)網設備管理模塊和安全加密管理模塊。

如圖7，物聯(lián)網設備管理模塊由以下子模塊組成。

物聯(lián)網設備硬件管理模塊：管理各個物聯(lián)網設備的上線登錄、心跳維護、設備狀態(tài)讀取、設備的啟動和停止：

1）運營平臺對接子模塊：向運營平臺上傳物聯(lián)網設備的登錄信息，狀態(tài)信息，接收平臺下發(fā)的啟動和停止服務的指令;從平臺取得標準時間，取得服務計費價格;提供服務時，上報實時服務數據;結束服務時，同步訂單支付結果。

2）物聯(lián)網支付平臺對接子模塊：識別物聯(lián)網設備ID并上傳給物聯(lián)網支付平臺進行身份驗證，獲得物聯(lián)網支付平臺授權后提供服務，服務結束后，上傳訂單給物聯(lián)網支付平臺完成交易。

3）安全加密模塊對接子模塊：對接安全加密模塊，將明文發(fā)送至安全加密模塊進行加密，并獲取加密后的密文，或將密文發(fā)送至安全加密模塊進行解密，并獲取解密后的明文。

4）服務計費子模塊：服務過程中，對實時數據進行讀取，并根據計費規(guī)則，計算本次服務的最終費用。

5）服務訂單管理子模塊：服務過程中，受理物聯(lián)網設備提交的支付請求，生成交易訂單，并詳細記錄服務過程中的分時數據以及費用明細。

安全加密模塊由以下子模塊組成：

1）加密解密子模塊：接收物聯(lián)網設備管理模塊傳來的明文數據，加密為密文;或者接收密文數據，解密為明文，回傳給聯(lián)網設備管理模塊。

2）證書密鑰管理模塊：存儲邊緣計算網關的密鑰及證書，并定時更新。

4 新能源汽車充電場景下的邊緣計算網關無感充電驗證

當前汽車充電場景的主流支付方式為掃碼支付，存在以下幾個問題：一是充電結算訂單在充電運營平臺生成，對于支付行業(yè)來說難以確定訂單真實的交易場景，存在被套用支付通道的風險;二是需要用戶在充電結束后掃碼進行支付，對于用戶來說體驗一般，不夠方便快捷。為解決上述問題，將邊緣計算技術引入汽車充電場景，設計基于物聯(lián)網邊緣計算網關的無感充電系統(tǒng)，使用邊緣計算網關作為POS設備，在邊緣側識別車輛身份并受理汽車充電的支付請求，實現“插槍即充、拔槍即付”的無感充電效果。

4.1 驗證部署環(huán)境

如圖8，整個系統(tǒng)由充電樁、邊緣計算網關、物聯(lián)網支付平臺、物聯(lián)網安全平臺和充電樁運營平臺組成。

充電樁負責為電動汽車充電，并通過汽車CAN總線獲取車輛VIN號。

邊緣計算網關負責識別車輛VIN號并將充電樁上報的結算信息處理成交易訂單發(fā)送給物聯(lián)網支付平臺，此外，根據物聯(lián)網支付平臺和充電樁運營平臺下發(fā)的指令對充電樁進行控制。值得一提的是，邊緣計算網關集成了安全芯片，安全芯片除了支持國密加解密外，還存儲著安全平臺下發(fā)的密鑰和證書，當邊緣計算網關與物聯(lián)網支付平臺通信時，會調用安全芯片對通信內容進行加解密。

物聯(lián)網支付平臺的主要功能有三個，一是為用戶提供注冊人口，用戶可以通過小程序等渠道完成銀行卡與車輛的綁定;二是接收邊緣計算網關上送的車輛信息和訂單，完成車輛可用性的鑒別以及訂單中車輛VIN號與銀行卡的轉換;三是對接支付通道，完成訂單的提交。

安全平臺為該系統(tǒng)中各部分的通信提供安全保障，具體表現為證書管理和密鑰協(xié)商。當邊緣計算網關初次入網時，為網關簽發(fā)數字證書并下發(fā)給網關上的安全芯片;電動汽車與邊緣計算網關、邊緣計算網關與物聯(lián)網支付平臺通信前，安全平臺會生成特定的會話密鑰并告知通信雙方，實現通信雙方的密鑰協(xié)商過程。充電樁運營平臺是充電樁的所有者，負責監(jiān)測充電樁運營狀態(tài)，并對充電樁進行遠程管理。

4.2 業(yè)務流程設計

無感充電的主要業(yè)務流程包括三部分，即用戶注冊、插槍即充和拔槍即付。用戶注冊流程較為簡單，用戶只需要在物聯(lián)網安全平臺輸入車輛VIN號和銀行卡信息完成綁定即可開通無感充電業(yè)務。下面主要對插槍即充和拔槍即付兩個流程進行分析。

1）插槍即充業(yè)務流程

插槍即充的業(yè)務時序圖如圖9所示。充電槍插入電動汽車后，車輛向安全平臺請求通信密鑰，安全平臺生成密鑰K和token返回給電動汽車。電動汽車使用密鑰K對VIN進行加密，并與token -起通過充電樁發(fā)送給邊緣計算網關，邊緣計算網關透傳加密VIN和token至物聯(lián)網支付平臺，物聯(lián)網支付平臺使用token從安全平臺獲取通信密鑰K，使用密鑰K解密得到VIN號。物聯(lián)網支付平臺查詢該VIN號的車輛是否已綁定開通無感充電，若結果為已開通，則告知邊緣計算網關可以進行充電。邊緣計算網關收到可以充電的指令后，控制充電樁啟動充電。至此，插槍即充完成。

拔槍即付的業(yè)務時序圖如圖10所示。充電結束后，充電樁本次充電消耗電量發(fā)送給邊緣計算網關。邊緣計算網關根據耗電量計算出本次支付金額，之后與流水號封裝成訂單，并向物聯(lián)網安全平臺申請通信密鑰，將訂單加密后發(fā)送給物聯(lián)網支付平臺。物聯(lián)網支付平臺收到訂單后，根據流水號找到充電車輛對應的支付賬戶，之后通過收單機構實現銀行卡扣款至商戶?？劭罱Y束后，物聯(lián)網支付平臺將扣款情況同步至充電樁運營平臺。

4.3 實驗結果

基于以上部署環(huán)境和業(yè)務流程，使用比亞迪元ev360電動汽車，分別進行了功能實驗和性能實驗。功能實驗驗證了邊緣計算網關與物聯(lián)網支付平臺和物聯(lián)網安全平臺的對接、邊緣計算網關對充電樁的啟動管理、邊緣計算網關的計費功能以及與物聯(lián)網支付平臺的安全訂單數據傳輸。性能驗證實驗中，驗證了支付成功率，交易時間，邊緣計算網關最大支持樁數，寬帶利用率等，為使測試真實準確，試驗次數為30。實驗結果如表3和表4。