祖立军 翟孟东 叶家炜

摘要：在物联网时代，急剧增长的物联网设备及其产生的海量数据对边缘侧的计算和存储能力提出了新的需求，与此同时，受到物联网技术的影响，金融支付在端侧对隐私保护、安全传输和应用时延提出了更多的要求。该文提出了基于边缘计算网关的金融支付受理体系，该体系通过融合硬件设计和软件设计来保障金融支付受理的功能和性能，能够支持多种支付场景。该文借助新能源汽车无感支付业务对该体系进行验证说明，设计并实现了基于边缘计算网关的支付受理系统，并通过实验对边缘网关的性能进行测试，实验结果表明基于该边缘计算网关的金融支付受理技术能够提高安全性，降低时延，提高用户的服务质量。

关键词：边缘计算网关;金融支付受理;无感支付

中图分类号：TP39 文献标识码：A

文章编号：1009-3044（2020）33-0020-06

开放科学（资源服务）标识码（OSID）：

1 背景及研究现状

1.1边缘计算概述

随着计算机网络的高速发展和物联网设备数量的急剧增加，全球每天产生的数据量已达到上百ZB并在持续增加[1]。传统云计算模型中所有数据都上传到云端，凭借云端超强的计算能力对数据进行计算处理和分析。然而这种对数据的集中处理模式有许多不足，例如无法提供一个实时计算的能力，数据需要上传到云端后再进行计算;有限的网络带宽与海量的端侧数据是一组短期内无法调和的矛盾，所有数据上云是对现有网络能力的巨大挑战;此外，云端汇集了所有数据，一旦遭到攻击，容易引发严重的隐私泄露问题[2]。

边缘计算范式为解决上述问题提供了新的思路。边缘计算指在靠近物或数据源头的一侧，采用集网络、计算、存储、应用等核心能力为一体的开放平台，在网络边缘侧提供分布式的网络计算服务。“边缘”是指从数据源到云计算中心路径之间的任意计算和网络资源[2]。相比传统云计算，边缘计算有如下几个优点：1）网络边缘实时计算。由于无须将数据上传到云端进行处理，边缘计算相比云计算有更快的数据处理速度。这点对于对实时性要求较高的场景极为有用;2）轻量化数据传输。边缘计算模式下网络的数据传输压力远小于云计算模式，在降低了网络带宽占用的同时也起到了降低能耗的作用;3）强化隐私保护。边缘计算架构中对于数据的收集和计算是在本地或者边缘节点上进行，因此大大降低了用户敏感信息泄漏的问题。同时边缘计算的分布式架构相较于云计算架构更能抵抗网络攻击，具有更高的可靠性、容错性[3]。

1.2当前边缘计算的研究现状

根据边缘计算产业联盟提出的边缘计算参考架构3.0，边缘计算架构由云端、边缘层、现场设备三部分组成[4]。边缘层位于云端和现场层之间，向下支持各种现场设备的接人，向上与云端对接。边缘层主要包括边缘节点和边缘管理器，其中边缘节点为硬件实体（如网关），是边缘计算业务的核心;边缘管理器负责模型的业务编排和资源调用。边缘计算网关是一种常见的边缘计算设备，相较于传统的网关，边缘网关除了可以连接云端和大量异构的物联网设备，还具备一定的数据分析和应用管理等计算能力。

邹萍等人提出了制造资源感知接人环境下的边缘网关系统设计[5]，设计出包括运行环境组件、设备交互组件、网络连接组件在内的边缘智能网关系统，提出了基于OPCUA的制造资源感知接人模型的构建方法，并基于应用实例对关键技术和边缘网关设备进行了验证说明。

赵佶等人提出了一个构建简单的提供边缘计算服务的网关设备的方法[6]，结合树莓派、OpenWRT系统、TensorFlow以及HA系统等软硬件设备实现了一个包含无线路由模块、数据分析模块以及设备管理模块的边缘计算网关，构建出的边缘计算网关不仅具备传统路由的功能，还可以提供边缘计算服务，并通过软分类的高斯混合模型对网关进行部署定位以提高网络的可靠性。

Ching-Han Chen等人提出了一种基于可编程门阵列和多个可扩展微处理器的多MCU系统架构[7]。通过分布式协同计算，多MCU边缘计算网关可以有效地实现数据收集和网络通信，与已有的物联网解决方案相比大大降低了功耗和计算时延，并提高了可扩展性。

Tshiamo Sigwele等人设计了一个互通健康系统，它是一个基于边缘计算语义的智能网关框架[8]。该框架可以在基于不同物联网健康系统的机器与用户之间提供可读性较好的信息交换。每个健康系统由一个包含restful API的网络应用的智能边缘计算网关组成。

边缘计算网关在多种场景下已经表现出极大的应用价值，然而，对于金融支付场景来说，缺乏边缘计算技术的应用研究及对应的解决方案设计。相比于其他应用场景，金融支付领域对安全性和实时性有更加严格，对软件和硬件的设计也提出了更高的要求。

2 基于边缘计算网关的金融支付受理技术研究及实验

2.1 邊缘计算契合金融支付场景的应用需求

金融的核心关注点在于风险可控，边缘计算相较于云计算更能降低风险。

云计算架构中用户需要将数据上传到云端，数据在传输过程中存在被截获甚至被篡改的可能;边缘计算由于更靠近信息源，因此能实时获取真实完整的一手数据，此外这些数据携带场景信息，对于金融支付来说可以明确交易发生的场景，精确定位交易类型。

云计算架构中，包含着敏感信息的数据直接从端侧上传到云中心，容易造成用户隐私的泄漏;边缘计算则可以在网络的边缘侧对敏感数据进行处理，如进行脱敏处理、加密处理等操作，在对隐私信息进行处理之后与云端进行通信，有效地保护隐私信息。

借助边缘计算在网络边缘侧进行金融增值服务的处理，相比于完全交由云端进行处理，既能降低网络传输压力，又能减小云端的计算压力。

边缘计算中典型的支付场景及需求如表1所示。

边缘计算网关处于网络边缘侧且靠近物联网设备，能够实时获取物联网设备信息和支付场景信息。从边缘计算支付场景的分析可以看出，边缘计算网关将是物联网时代POS（pointof sale）的新形态。

2.2 基于边缘计算网关的支付受理体系参考架构

如图1所示，基于边缘计算网关的支付受理体系参考架构分为云、边缘、现场三层。现场层主要由各种异构的物联网设备组成，物联网设备通过以太网、WiFi、蓝牙、PLC等与边缘层进行通信。边缘层的物理资源主要是边缘计算网关，网关通过物联网通信协议对接现场层，通过协议转换功能将现场层数据翻译为云端可识别的数据。此外，边缘网关通过应用编排以及资源管理模块来实现定制化的边缘计算服务，通过支付控件以及安全芯片来进行金融支付安全加固，通过位置服务和时间服务精确定位交易场景。云端获得边缘计算网关上传的订单后需要完成最终的交易结算，故云端需要设计支付服务，且用户在请求边缘端服务前，需要在云端进行设备的注册。因此云端需要提供用户服务以及业务服务，涉及金融支付，云端必须包含风控服务以增强系统安全性。

2.3 边缘计算网关的安全加固设计

作为物联网时代新型POS，边缘计算网关承载着关键金融服务，安全性显得愈发重要，因此有必要对边缘计算网关进行安全加固设计。

一方面，经过边缘计算网关的信息需要进行加密处理，我们在边缘计算网关上集成物联网安全芯片，通过物联网安全芯片实现GmSSL加密。GmSSL是一个开源的密码工具箱，边缘计算网关与物联网支付平台的关键信息交换都要经过GmSSL进行加密处理。实现了GmSSL之后的安全芯片支持常用的国家商用密码算法（如SM2/SM3/SM4/SM9/ZUC等）、SM2国密数字证书以及基于SM2证书的SSL/TLS安全通信协议，还支持国密硬件密码设备，提供符合国密规范的编程接口和命令行工具，因此可用于构建PKI/CA、安全通信、数据加密等安全应用。当边缘计算场景的交易数据流经边缘计算网关时，网关的支付控件会调用物联网安全芯片对数据进行加密，有效地保障了信息在传输和存储过程中的安全性。

另一方面，边缘计算网关需要运用可信启动的方法进行安全加固，边缘计算网关上部署其他安全方案进行安全加固的前提是边缘计算网关的内置程序本身是安全的，如果边缘计算网关的程序被篡改或者破坏，导致边缘计算网关进入一种不可信的状态，则在此基础上建立的安全加固方案就会成为无源之水，因此我们需要可信启动，具体方法有：通过在边缘计算网关中添置可信平台模块这类安全芯片，安全芯片中存储边缘计算网关初始的预期度量值，启动时将内置程序加载到内存中，比较当前计算值和初始的预期度量值是否一致以确定启动的内置程序是否可信。

此外，由于存在未知的恶意应用，可以使用基于白名单的防御机制对边缘计算网关进行安全加固，即只允许经过物联网平台认证过的应用在边缘计算网关上部署，禁止在边缘网关上运行未知的软件。物联网平台对所有可信的软件进行程序、驱动文件等的指纹提取并将其纳入白名单库，边缘计算网关在部署新的应用时将提取到的应用指纹信息提交到白名单库进行软件安全性验证，若指纹不在白名单库中，则边缘网关会向云中心发送包含非法应用信息和当前网关的状态信息等报警信息，并禁止非法应用收集用户信息和向云中心发起会话请求。

1）面向增值服务场景的多应用动态部署

对于不同应用场景，灵活、可高度自定义的边缘应用能够有效满足边缘计算服务运营商的多样化需求，物联网设备只需要在物联网平台注册一次，便可在基于边缘计算网关的多种支付场景中享受无感支付的便利性。

近年来容器技术在边缘计算领域的使用愈加广泛，Docker等技术可以实现面向金融增值服务场景的多应用动态部署。当边缘计算网关的运营商需要定制某些业务服务时，只需要将编写好的定制服务程序及相关的程序运行环境打包成容器镜像上传到容器仓库，在满足边緣计算网关的安全加固方案的条件下，区域中的边缘计算网关通过拉取仓库的镜像便可以实现网关应用的定制化。此外，在边缘网关上应用容器技术还有其他优势，容器的启动可以在秒级实现，相较于在边缘计算网关上部署服务程序这种方案更加快速;由于容器不需要虚拟硬件或者操作系统，系统资源的利用率高，这体现在应用的执行速度、内存消耗以及文件存储速度等指标上;容器技术能够屏蔽边缘计算网关操作系统环境的差异化，使得边缘应用在部署时效率更高;定制的服务程序在一次创建或者配置后，可以方便快速地在任何支持容器技术的其他边缘计算网关上进行持续交付和部署，甚至结合持续部署系统进行自动部署;应用的迁移、维护、扩展等也更加快速高效。

3 一种面向金融支付场景的边缘计算网关设计方案

3.1 硬件设计

如图3.边缘计算网关硬件分为加密板、核心板和主板。核心板集成CPU和flash、DDR、RAM，放置在主板的背面;主板提供电源电路、以太网电路、485和232电路、wifi电路、实时时钟电路等支撑性硬件设备;4G模块通过PCIe接口与主板连接;安全芯片和lorawan电路在加密板上，安全芯片通过USB口与主板连接，lorawan电路则是通过SPI口与主板连接。

3.2 芯片组的模块设计

芯片组是集成控制、管理、计算和通信等功能的基础开放平台，其中CPU采用ARM双核cortex A9，内存达到512MB，FLASH达到1GB，支持RTC时钟、温度检测、掉电检测等管理功能，能够在-40℃- 70℃环境中正常工作，满足工业级环境要求。

芯片组采用两个间距为0.8mm SMT双边缘连接器，与底板进行业务连接以及电源供电等。提供5*GE、4*USB2.0、1*SPI、

1*IIC等业务接口功能，实物如图5所示。

3.3 安全芯片的设计与集成

如图所示，安全芯片采用32位嵌入式RISCV处理器核，带有SRAM存储器与FLASF存储器，配置高安全性密码算法引擎，集成芯片安全防护模块，支持多功能系统控制，支持多种通讯接口。

在集成对接时，由核心板提供稳定电源，安全芯片模组自身完成上电复位和逻辑复位。基于USB2.0全速模式，并将USBDP/USBDM差分信号对串接电阻，改善信号质量。最后将芯片模组地（ GND）与主板共地。

3.4 外部接口

如图6，边缘网关一共有4个外部接口：1）电源接口为边缘网关提供稳定的电源输入;2）两个以太网口用于边缘网关接人充电桩的局域网;3）USB接口用于接人其他存储设备。

3.5 软件设计

边缘计算网关软件包括物联网设备管理模块和安全加密管理模块。

如图7，物联网设备管理模块由以下子模块组成。

物联网设备硬件管理模块：管理各个物联网设备的上线登录、心跳维护、设备状态读取、设备的启动和停止：

1）运营平台对接子模块：向运营平台上传物联网设备的登录信息，状态信息，接收平台下发的启动和停止服务的指令;从平台取得标准时间，取得服务计费价格;提供服务时，上报实时服务数据;结束服务时，同步订单支付结果。

2）物联网支付平台对接子模块：识别物联网设备ID并上传给物联网支付平台进行身份验证，获得物联网支付平台授权后提供服务，服务结束后，上传订单给物联网支付平台完成交易。

3）安全加密模块对接子模块：对接安全加密模块，将明文发送至安全加密模块进行加密，并获取加密后的密文，或将密文发送至安全加密模块进行解密，并获取解密后的明文。

4）服务计费子模块：服务过程中，对实时数据进行读取，并根据计费规则，计算本次服务的最终费用。

5）服务订单管理子模块：服务过程中，受理物联网設备提交的支付请求，生成交易订单，并详细记录服务过程中的分时数据以及费用明细。

安全加密模块由以下子模块组成：

1）加密解密子模块：接收物联网设备管理模块传来的明文数据，加密为密文;或者接收密文数据，解密为明文，回传给联网设备管理模块。

2）证书密钥管理模块：存储边缘计算网关的密钥及证书，并定时更新。

4 新能源汽车充电场景下的边缘计算网关无感充电验证

当前汽车充电场景的主流支付方式为扫码支付，存在以下几个问题：一是充电结算订单在充电运营平台生成，对于支付行业来说难以确定订单真实的交易场景，存在被套用支付通道的风险;二是需要用户在充电结束后扫码进行支付，对于用户来说体验一般，不够方便快捷。为解决上述问题，将边缘计算技术引入汽车充电场景，设计基于物联网边缘计算网关的无感充电系统，使用边缘计算网关作为POS设备，在边缘侧识别车辆身份并受理汽车充电的支付请求，实现“插枪即充、拔枪即付”的无感充电效果。

4.1 验证部署环境

如图8，整个系统由充电桩、边缘计算网关、物联网支付平台、物联网安全平台和充电桩运营平台组成。

充电桩负责为电动汽车充电，并通过汽车CAN总线获取车辆VIN号。

边缘计算网关负责识别车辆VIN号并将充电桩上报的结算信息处理成交易订单发送给物联网支付平台，此外，根据物联网支付平台和充电桩运营平台下发的指令对充电桩进行控制。值得一提的是，边缘计算网关集成了安全芯片，安全芯片除了支持国密加解密外，还存储着安全平台下发的密钥和证书，当边缘计算网关与物联网支付平台通信时，会调用安全芯片对通信内容进行加解密。

物联网支付平台的主要功能有三个，一是为用户提供注册人口，用户可以通过小程序等渠道完成银行卡与车辆的绑定;二是接收边缘计算网关上送的车辆信息和订单，完成车辆可用性的鉴别以及订单中车辆VIN号与银行卡的转换;三是对接支付通道，完成订单的提交。

安全平台为该系统中各部分的通信提供安全保障，具体表现为证书管理和密钥协商。当边缘计算网关初次入网时，为网关签发数字证书并下发给网关上的安全芯片;电动汽车与边缘计算网关、边缘计算网关与物联网支付平台通信前，安全平台会生成特定的会话密钥并告知通信双方，实现通信双方的密钥协商过程。充电桩运营平台是充电桩的所有者，负责监测充电桩运营状态，并对充电桩进行远程管理。

4.2 业务流程设计

无感充电的主要业务流程包括三部分，即用户注册、插枪即充和拔枪即付。用户注册流程较为简单，用户只需要在物联网安全平台输入车辆VIN号和银行卡信息完成绑定即可开通无感充电业务。下面主要对插枪即充和拔枪即付两个流程进行分析。

1）插枪即充业务流程

插枪即充的业务时序图如图9所示。充电枪插入电动汽车后，车辆向安全平台请求通信密钥，安全平台生成密钥K和token返回给电动汽车。电动汽车使用密钥K对VIN进行加密，并与token -起通过充电桩发送给边缘计算网关，边缘计算网关透传加密VIN和token至物联网支付平台，物联网支付平台使用token从安全平台获取通信密钥K，使用密钥K解密得到VIN号。物联网支付平台查询该VIN号的车辆是否已绑定开通无感充电，若结果为已开通，则告知边缘计算网关可以进行充电。边缘计算网关收到可以充电的指令后，控制充电桩启动充电。至此，插枪即充完成。

拔枪即付的业务时序图如图10所示。充电结束后，充电桩本次充电消耗电量发送给边缘计算网关。边缘计算网关根据耗电量计算出本次支付金额，之后与流水号封装成订单，并向物联网安全平台申请通信密钥，将订单加密后发送给物联网支付平台。物联网支付平台收到订单后，根据流水号找到充电车辆对应的支付账户，之后通过收单机构实现银行卡扣款至商户。扣款结束后，物联网支付平台将扣款情况同步至充电桩运营平台。

4.3 实验结果

基于以上部署环境和业务流程，使用比亚迪元ev360电动汽车，分别进行了功能实验和性能实验。功能实验验证了边缘计算网关与物联网支付平台和物联网安全平台的对接、边缘计算网关对充电桩的启动管理、边缘计算网关的计费功能以及与物联网支付平台的安全订单数据传输。性能验证实验中，验证了支付成功率，交易时间，边缘计算网关最大支持桩数，宽带利用率等，为使测试真实准确，试验次数为30。实验结果如表3和表4。