智慧交通大數據平臺規劃設計方案目錄TOC\o"1-5"\h\z1項目概況 32邊緣計算模型驅動參考架構 53邊緣計算CROSS功能 6聯接的海量與異構(Connection) 6業務的實時性(Real-time) 6數據的優化(Optimization) 6應用的智能性(Smart) 7安全與隱私保護(Security) 74邊云協同能力 75邊云協同參考架構 8邊緣側 9云端 106邊緣計算節點系統安全 101項目概況車路協同是釆用先進的無線通信和新一代互聯網等技術，全方位實施車車、車路動態實時信息交互，并在全時空動態交通信息釆集與融合的基礎上開展車輛主動安全控制和道路協同管理，充分實現人車路的有效協同，保證交通安全，提高通行效率，從而形成的安全、高效和環保的道路交通系統。邊緣計算是在靠近物或數據源頭的網絡邊緣側，融合網絡、計算、存儲、應用核心能力的分布式開放平臺(架構)，就近提供邊緣智能服務，滿足行業數字化在敏捷聯接、實時業務、數據優化、應用智能、安全與隱私保護等萬面的關鍵需求。它可以作為聯接物理和數字世界的橋梁，使能智能資產、智能網關、智能系統和智能服務。傳統智能交通系統是建立在中心云計算的基礎上的，在前端實現實時采集數據的情況下，數據上傳至云端，在云端上實現計算，并將結果發布至路口信號機和移動終端上，實現云端的信號燈系統戰略控制和路口協調控制。但隨著車路協同系統的推進，需要處理海量實時數據，車輛行駛安全服務需要在毫秒級延時的情況下通知開車人或控制車輛采取措施，因此原來的中心計算方式無法保證車路協同的時效性。邊緣計算可以將云端的計算負荷整合到邊緣層，在邊緣計算節點(ECN)完成絕大部分的計算，并通過LTE-V/5G路側單元(RUS)等傳輸手段，實時將結果發送給裝置車載單元(OBU)的車輛，滿足車路協同的需要。車路協同是智慧交通的重要發展方向之一。車路協同的能力構建涉及車內邊緣計算、道路邊緣計算、車路協同云等方面。在車內邊緣計算方面，車內通訊多采用控制器車載總線(如CAN等)實現對車內的各個子系統進行檢測與控制，未來將轉變為高速實時車載以太技術(如基于TSN的TCP/IP的網絡)，汽車則成為邊緣計算節點，在結合邊云協同在本地提供車輛增值服務與控制能力。車內邊緣計算屬于特殊的應用場景，不在本文討論范圍內。在道路邊緣計算方面，未來新的道路側系統將綜合內置LTE-V/5G等多種通信方式、提供多種傳感器接口以及局部地圖系統、并提供信號配時信息和周邊運

動目標信息、提供車輛協同決策等多種技術與能力，綜合構建為道路側邊緣計算節點。車間(V2V)、車路(V2I)協調駕駛可以通過事故預警與規避的手段，來減少事故發生的概率。汽車需要將本地通過雷達、攝像頭等取得的數據與周邊車輛和道路基礎設施通過邊緣網關進行交互，并提升感知范圍，從而達到車輛間、車路間的協同，為駕駛員提供碰撞預警、變道預警、自適應巡航等輔助，必要時接管汽車防止事故的發生。本文重點討論道路邊緣計算。車路協同云平臺移動云車路協同云平臺移動云圖1C-V2X應用場景車路協同云可以通過與車輛邊緣計算節點以及道路側邊緣計算節點之間的交互，對車輛密度、速度等的感知，來引導道路上的車輛規避擁堵路段，實現交通的高效調度。在交叉路口，車載邊緣計算可以結合道路交通狀況告知道路邊緣計算節點當前的道路狀況。而道路邊緣計算節點則收集附近道路的信息，通過大數據算法，下發合理的道路交通調度指令，通過控制信號燈的狀態、為駕駛員提供擁堵預警等手段，實現道路的最大利用率、減少不必要的停留，從而減少道路

擁塞、降低燃油損耗。車路協同云的內容在此也不做為重點討論內容。核心網股應用Uu中心帀殳通大腦RSU(PC5)圖2邊緣計算與云中心融合場景圖網初0擁塞、降低燃油損耗。車路協同云的內容在此也不做為重點討論內容。核心網股應用Uu中心帀殳通大腦RSU(PC5)圖2邊緣計算與云中心融合場景圖網初0NMHt輸宣位服務邊緣公(MEC)修幼業務切換邊緣云(MEC)丹竝路口屁用 命w：血圖應用1邊緣應用T&媒體分發應用2邊緣計算模型驅動參考架構邊緣計算參考架構3.0的主要內容包括：整個系統分為云、邊緣和現場三層，邊緣計算位于云和現場層之間，邊緣層向下支持各種現場設備的接入，向上可以與云端對接；邊緣層包括邊緣節點和邊緣管理器兩個主要部分。邊緣節點是硬件實體,是承載邊緣計算業務的核心。邊緣計算節點根據業務側重點和硬件特點不同，包括以網絡協議處理和轉換為重點的邊緣網關、以支持實時閉環控制業務為重點的邊緣控制器、以大規模數據處理為重點的邊緣云、以低功耗信息采集和處理為重點的邊緣傳感器等。邊緣管理器的呈現核心是軟件，主要功能是對邊緣節點進行統一的管理。邊緣計算節點一般具有計算、網絡和存儲資源，邊緣計算系統對資源的使用有兩種萬式：第一，直接將計算、網絡和存儲資源進行封裝，提供調用接口，邊緣管理器以代碼下載、網絡策略配置和數據庫操作等萬式使用邊緣節點資源;第二，進一步將邊緣節點的資源技功能領域封裝成功能模塊，邊緣管理器通過模型驅動的業務編排的萬式組合和調用功能模塊，實現邊緣計算業務的一體化開發和敏捷部署。開發服務框架 >部署運營服務框架開發服務框架 >部署運營服務框架云應用云服務邊綠邊緣管理器 基于模型的業務編排 丙接資源調用邊緣節點： 控砌較域 分析領域 優化領域邊緣網關、 功能複塊 功能仗塊 功能*塊轡弐制器、 計算/網絡府儲調用API邊緣云、邊緣傳感器… 計算資源 網絡資源 存儲資源現場設備接口設備自動化控制模型驅動的統一服務框架分析圖3邊緣計算參考架構3.03邊緣計算CROSS功能邊緣計算具備有CROSS的功能。(1)聯接的海量與異構(Connection)網絡是系統互聯與數據聚合傳輸的基石。伴隨聯接設備數量的劇自，網絡運維管理、靈活擴展和可靠性保障面面巨大挑戰。同時，工業現場長期以來存在大量異構的總線聯接，多種制式的工業以太網并存，如何兼容多種聯接并且確保聯接的實時可靠是必須要解決的現實問題。⑵業務的實時性(Real-time)工業系統檢測、控制、執行的實時性高，部分場景實時性要求在10ms以內。如果數據分析和控制邏輯全部在云端實現，難以滿足業務的實時性要求。(3)數據的優化(Optimization)當前工業現場存在大量的多樣化異構數據，需要通過數據優化實現數據的聚合、數據的統一呈現與開放，以靈活高效地服務于邊緣應用的智能。應用的智能性(Smart)業務流程優化、運維自動化與業務創新驅動應用走向智能，邊緣側智能能夠帶來顯著的效率與成本優勢。以預測性維護為代表的智能化應用場景正推動行業向新的服務模式與商業模式轉型。安全與隱私保護(Security)安全跨越云計算和邊緣計算之間的縱深，需要實施端到端防護。網絡邊緣側由于更貼近萬物互聯的設備，訪問控制與威脅防護的廣度和難度因此大幅提升。邊緣側安全主要包含設備安全、網絡安全、數據安全與應用安全。此外，關鍵數據的完整性、保密性，大量生產或人身隱私數據的保護也是安全領域需要重點關注的內容。4邊云協同能力邊緣計算不是單一的部件，也不是單一的層次，而是涉及到EC-IaaS.EC-PaaS.EC-SaaS的端到端開放平臺。典型的邊緣計算節點一般涉及網絡、虛擬化資源、RTOS、數據面、控制面、管理面、行業應用等，其中網絡、虛擬化資源、RTOS等屬于EC-IaaS能力，數據面、控制面、管理面等屬于EC-PaaS能力，行業應用屬于EC-SaaS范疇。邊云協同的能力涉及IaaS.PaaS、SaaS各層面的全面協同。EC-IaaS與云端IaaS應可實現對網絡、虛擬化資源、安全等的資源協同；EC-PaaS與云端PaaS應可實現數據協同、智能協同、應用管理協同、業務管理協同；EC-SaaS與云端SaaS應可實現服務協同。資源協同：邊緣節點提供計算、存儲、網絡、虛擬化等基礎設施資源、具有本地資源調度管理能力，同時可與云端協同，接受并執行云端資源調度管理策略,包括邊緣節點的設備管理、資源管理以及網絡聯接管理。數據協同：邊緣節點主要負責現場/終端數據的釆集，按照規則或數據模型對數據進行初步處理與分析，并將處理結果以及相關數據上傳給云端；云端提供

海量數據的存儲、分析與價值挖掘。邊緣與云的數據協同，支持數據在邊緣與云之間可控有序流動，形成完整的數據流轉路徑，高效低成本對數據進行生命周期管理與價值挖掘。智能協同：邊緣節點按照AI模型執行推理，實現分布式智能；云端開展AI的集中式模型訓練，并將模型下發邊緣節點。應用管理協同：邊緣節點提供應用部署與運行環境，并對本節點多個應用的生命周期進行管理調度；云端主要提供應用開發、測試環境，以及應用的生命周期管理能力。業務管理協同：邊緣節點提供模塊化、微服務化的應用/數字李生/網絡等應用實例；云端主要提供按照客戶需求實現應用/數字李生/網絡等的業務編排能力。服務協同：邊緣節點按照云端策略實現部分ECSaaS服務，通過ECSaaS與云端SaaS的協同實現面向客戶的按需SaaS服務；云端主要提供SaaS服務在云端和邊緣節點的服務分布策略，以及云端承擔的SaaS服務能力。DauJngtKionOedceCoAVolECSaaSvtBECPaaS應用期H分分析DauJngtKionOedceCoAVolECSaaSvtBECPaaS應用期H分分析COa*S圖4邊云協同能力框架5邊云協同參考架構為了支撐邊云協同能力，需要相應的參考架構與關鍵技術。參考架構需要考慮下述因素:

連接能力：有線連接與無線連接，實時連接與非實時連接，各種行業連接協議等信息特征：持續性信息與間歇性信息，時效性信息與非時效性信息，結構性信息與非結構性信息等資源約束性：不同位置、不同場景的邊緣計算對資源約束性要求不同，帶來邊云協同需求與能力的區別資源、應用與業務的管理與編排：需要支撐通過邊云協同，實現資源、應用與業務的靈活調度、編排及可管理根據上述考量，邊云協同的總體參考架構應該包括下述模塊與能力：(1)邊緣側基礎設施能力：需要包含計算、存儲、網絡、各類加速器(如AI加速器)，以及虛擬化能力；同時考慮嵌入式功能對時延等方面的特殊要求，需要直接與硬件通信，而非通過虛擬化資源邊緣平臺能力：需要包含數據協議模塊、數據處理與分析模塊，數據協議模塊要求可擴展以支撐各類復雜的行業通信協議；數據處理與分析模塊需要考慮時序數據庫、數據預處理、流分析、函數計算、分布式人工智能及推理等方面能力管理與安全能力：管理包括邊緣節點設備自身運行的管理、基礎設施資源管理、邊緣應用、業務的生命周期管理，以及邊緣節點南向所連接的終端管理等；安全需要考慮多層次安全，包括芯片級、操作系統級、平臺級、應用級等應用與服務能力：需要考慮兩類場景，一類場景是具備部分特征的應用與服務部署在邊緣側，部分部署在云端，邊緣協同云共同為客戶提供一站式應用與服務，如實時控制類應用部署在邊緣側，非實時控制類應用部署在云側；一類場景是同一應用與服務，部分模塊與能力部署在邊緣側，部分模塊與能力部署在云側,邊緣協同云共同為客戶提供某一整體的應用與服務。邊it節點ECSaaS議］nag邊it節點ECSaaS議］nag力析巧處■云第圖5邊云協同總體參考架構（2）云端平臺能力：包括邊緣接入、數據處理與分析、邊緣管理與業務編排。數據處理與分析需要考慮時序數據庫、數據整形、篩選、大數據分析、流分析、函數、人工智能集中訓練與推理等方面能力；邊緣管理與業務編排需要考慮邊緣節點設備、基礎設施資源、南向終端、應用、業務等生命周期管理，以及各類增值應用、網絡應用的業務編排邊緣開發測試云：在部分場景中，會涉及通過提供邊云協同的開發測試能力以促進生態系統發展的需求6邊緣計算節點系統安全邊緣計算架構的安全設計與實現首先需要考慮：安全功能適配邊緣計算的特定架構；安全功能能夠靈活部署與擴展；能夠在一定時間內持續抵抗頂擊；能夠否忍一定程度和范圍內的功能失效，但基礎功能始終保持運行；整個系統能夠從失敗中快速完全恢復。同時，需要考慮邊緣計算應用場景的獨特性：安全功能輕量化，能夠部署在各類硬件資源受限的IoT設備中；每量異構的設備接入，傳統的基于信任的安全模型不再適用，需要技照最小授權原則重新設計安全模型（自名單）；在關鍵的節點設備（例如邊緣網關）實現網絡與域的隔霄，對安全頂擊和風險范圍進行控制，避免頂擊由點到面擴展；安全和實時態勢感知無縫嵌入到整個邊緣計算架構中，實現持續的檢測與響應。盡可能依賴自動化實現，但是人工干預時常也需要發揮作用。安全的設計需要覆蓋邊緣計算架構的各個層級，不同層級需要不同的安全特性。同時，還需要有統一的態勢感知、安全管理與編排、統一的身份認證與管理，以及統一的安全運維體系，才能最大限度地保障整個架構安全與可靠。大散據安全分折（感知）關聯分析M里現坊初安全合規審計安全態勢越知全網主訪防滬隨理L .-- 」&用埸掬安全安全大散據安全分折（感知）關聯分析M里現坊初安全合規審計安全態勢越知全網主訪防滬隨理L .-- 」&用埸掬安全安全IR務生命罔期假理資安全統一安全扇話與期安全激理編排安全

運維

體系身份

和認證裁理白名單（如陽殆）的畑肪范WAF安金檢獗（購慮應用安全章計軟件DOffiftH卜丁安全Kitta皈防算改總巫保妒＜RIS）換訪冋控制已有傳諭協議安全性的冊用（?MRESTB?8W?4W1）FirewallIPS/IDSAntlDDoSVPN/TLS軼件?｝闔和安金配■安全何H彌升圾輕■級可信計■ECN安全曲Safety圖6安全服務架構節點安全：需要提供基礎的邊緣計算安全、端點安全、軟件加固和安全配置、安全與可靠遠程升級、輕量級可信計算、硬件Safety開關等功能。安全與可靠的遠程升級能夠及時完成漏洞和補丁的修復，同時避免升級后系統失效（也就是常說的“變磚”）。輕量級可信計算用于計算（CPU）和存儲資源受限的簡單切聯網設備，解決最基本的可信問題。網絡安全：包含防火墻（Firewall）、入侵檢測和防護（IPS/IDS）.DDoS防護、VPN/TLS功能，也包括一些傳輸協議的安全功能重用（例如REST協議的安全功能）。真中DDoS防護在切聯網和邊緣計算中特別重要，近年來，越來越多的