基于边缘计算的铁路无人值守站监测应用研究
2021-11-17刘晏伊臧永立朱超平
刘晏伊,臧永立,朱超平
(中国铁道科学研究院集团有限公司,北京 100081)
1 引言
自2005年始,铁路行业的视频监控系统逐步从硬盘摄像机发展到服务器存储[1]。随着铁路信息化发展,铁路视频监控的应用需求大幅增加,成果显著。针对入侵人员隐患,监控位图分析可以有效触发报警[2]。北京交通大学与兰州铁路局也联合完成视频入侵检测报警专利发明[3]。随着铁路云平台架构被搭建[4],视频监控应用借助与云计算的融合更有效的发挥作用。例如,针对“行人非法上道、沿线非法施工损坏铁路设备设施、上跨桥及公铁并行区段机动车肇事侵入线路”的安全隐患,铁路利用热成像原理成功研发了安全视频监控和智能分析系统[5]。
由于铁路行业每天所产生的数据均以T计,因此铁路云平台在数据存储及计算方面的负荷极重,云计算传统的结构正在变慢,视频监测应用更多及普遍的搭载将给云平台产生更大的压力。基于以上情况,为减轻云平台压力、优化传统云平台结构,本文将以铁路无人值守站视频监测分析的云计算应用需求为例,引入边缘计算,搭建基于“云-边-端”协同的边缘计算架构,实现无人值守站监测应用。与传统的人员入侵视频监测应用所不同的是,本文将聚焦于设备安全监测,使视频监测更适合应用于无人值守站需求。
2 功能分析
2.1 视频本地处理
各无人值守站视频流的生成、采集、分析、管理等主要在本地无人值守站进行,跨区情况少。
2.2 视频汇集处理
各局管区域有多处无人值守站,视频监控流需要在局域边缘节点统一聚集、分析及管理。处理包括视频结构化提取及云上传。
2.3 视频AI分析
装载分析算法,对视频监控流的内容进行AI分析,判断设备运转是否正常,以满足设备异常信息提取、告警上报等功能需求。
2.4 管理查看
云存储的视频保留90天,随时于平台上查看管理。
3 无人值守站云边协同
边缘计算(EC:Edge computing)是一种将主要处理过程和数据存储放在网络的边缘节点的分布式计算形式[6]。边缘计算是云计算的一部分,二者是互补协同的关系。采用边缘计算可以将原有云数据中心(中心云)上运行的一些视频分析以及计算任务分解,然后将分解的计算任务迁移到边缘节点进行处理,由此降低云计算数据中心的计算负载,进而达到降低能耗的效果。在铁路上已有将边缘计算应用至高铁移动通信中去减少时延的实例[7]。
在计算资源方面,增加边缘计算、采用云边协同将放大云计算与边缘计算的优势[8]。铁路云计算中心关注整体,善于非实时、长周期的数据分析;边缘计算聚焦局部,善于实时、短周期的数据分析。边缘云应最大限度地与铁路中心云采用同一架构、同一接口、同一管理[9],将云计算的范围拓展至离产生数据源更近的地方,从而弥补传统架构的云计算在铁路无人站监测应用场景中的不足。边缘云计算将给铁路云中心增加了分布式能力。在边缘侧部署部分业务逻辑并完成相关的数据处理,可以大大缓解将数据传回中心云的压力,为监测应用的实现提供可能性。图1给出了本文的云边协同框架,阐述了铁路云中心与边缘云之间的互补协同关系。
为有效地解决制药类专业实验教学中存在的问题,基于“一主二翼”(以新工科为一主体,以《工程教育专业认证标准》和《普通高等学校本科专业类教学质量国家标准》为新工科的二翼)思想,采用经典的OBE法和CDIO法[5],从不同层次、不同侧面、不同程度上对制药工程专业实验教学进行升级改造,强化实验教学对于实践教学的支撑作用,经过医药化工企业实践和评价,进行持续改进。
图1 无人值守站云边协同框架
云平台提供服务的三个层次分别为:软件服务SaaS(Software-as-a-Service)、平台服务PaaS(Platform as a Service)及基础设施服务IaaS(Infrastructure as a Service)。边缘计算同样也不是单一的层次,而是涉及边缘SaaS、边缘PaaS及边缘IaaS的端到端开放平台[10]。在无人值守站云边协同框架中,边缘设备向边缘服务器传递数据,边缘服务器控制、反馈指令给边缘设备。边缘SaaS与云SaaS之间达成服务协同,边缘PaaS与云PaaS之间达成数据、AI、管理协同,边缘IaaS与云IaaS之间达成资源协同。
在存储方面,对于以云为核心的存储架构,所有的数据都需要传输到云数据中心,因此其对带宽的需求是很大的。另一方面,在现实应用的监测应用中,并不是所有数据都需要长期保存[11]。例如,对于无人站监控的视频数据仅保存数天、数周或数月。本文选择利用边缘存储动态优化带宽和传输内容质量。例如,在边缘设备录制高质量的监测视频,而在远程查看标准质量的监测视频,甚至可以在网络带宽不受限制时才将录制的高质量监测视频同步到后端系统或云中心存储中去。通过边缘存储和云存储的有效结合,本文将一部分监测数据的存储需求从中心转移到边缘。此举可以更加合理有效地利用宝贵的网络带宽,并根据网络带宽的情况灵活优化资源的传输,使得现有网络可以支撑更多边缘计算节点的接入、降低成本。
4 无人值守站边缘计算架构及关键算法
本文搭建了基于“云-边-端”协同的边缘计算架构,该架构由下至上分为三层功能结构:采集层、分析层和管理层。架构图如图2所示。
图2 无人值守站“云-边-端”协同的边缘计算架构
其中,采集层包含无人值守站的边缘设备及网络设备,分析层包含各局管区域进行边缘计算的边缘节点,管理层则包含云数据中心,管理员使用平台服务进行管理。下面将对各层传递数据过程及功能进行解释。
4.1 采集层
采集层利用已配置的监控摄像头及必要的网络设备对各无人值守站的视频数据进行采集,不需配备计算或存储设备,各无人值守站以专线接入同一局管区域边缘节点,实时上传视频监控流。
4.2 分析层
各局管区域边缘节点为同局管区域无人值守站提供基础设备,承载AI分析、视频结构化解析及回放存储等服务。视频作为非结构数据一般被整体存储为二进制的数据格式。边缘节点以优化算法选择最优公网链路,闲时上传降帧视频数据至云中心。分析层中,局管区域边缘节点将采用基于深度学习的Faster RCNN算法对设备运行情况进行监测判断,传回告警信息至无人值守站节点,上传告警结果至云平台管理层。
4.2.1 最优公网链路选择算法逻辑
最优公网链路选择算法的目的是,选取链路时延小于或等于约束值的链路集合中传输代价最小的链路(约束值在本文中设置为30ms并简化传输代价为影响最大的传输距离)。最优公网链路选择算法以禁忌搜索算法[12]为基础,利用其禁止到达或有选择的到达曾经计算过的局部最优解,增大获得全局最优链路解的概率。算法首先利用Dijkstra最短路径算法[13]求出从当前边缘节点至云中心的最小时延路径P0作为算法初始解。其次,禁忌搜索算法求出前k(k=20)条局部最短路径解,生成邻域链路集。最后,从产生的链路集合中求出传输代价最小的链路解,判断禁忌搜索算法中曾到达的局部最优解中是否有代价更小的链路解,若有,则替换当前最优链路解。按照上述算法逻辑,分析层将选取最优链路,以短时延、低传输代价向云中心上传视频流。
4.2.2 Faster RCNN监测分析算法逻辑
Faster RCNN监测分析算法的目的是,通过制作设备正常运行状态的图像训练集,利用Faster RCNN模型在该数据集上进行轮流学习,则训练完毕的模型即能以每15分钟一次的频率对视频画面中的设备运行是否正常进行24小时的比对监测。图像训练集收集各个角度、各个时间段光线下的设备指示灯、设备外观数据,让训练模型更为合理。如图3所示为监测算法流程图,它包含了RPN网络与Faster RCNN 算法的检测结构两个部分。Faster RCNN监测分析算法[14]首先把视频图形输入至输入端口,其后深度卷积神经网络中的卷积层和池化层对输入的视频图形进行卷积池化处理,从而可以得到输入视频图形的卷积特征图,接着将特征图输入经过RPN网络以提取感兴趣区域(设备运行指示灯区域),将感兴趣的区域经过感兴趣区域池化区映射到对应特征图的对应位置区域上,并对特征图的对应位置区域采样而得到一个固定大小的特征区域。给RPN网络的卷积部分再加上分类层和定位层,最终输入进入检测部分的网络。其中,RPN深度神经网络的作用在于产生感兴趣区域。
图3 Faster RCNN模型结构图
4.3 管理层
云中心对接各局管区域上传数据,统一做报警管理、人工审核及重要数据的存储等,可按需实时调取原始视频流。
5 无人值守站边缘计算架构信息安全技术
由于无人值守站边缘计算具有分布式架构、实时性需求等特点,传统云计算架构下的数据安全及隐私保护机制无法适用于边缘设备产生的海量视频数据防护。视频数据的计算安全、存储安全、共享安全、传播和管控以及隐私保护等问题随时间变得突出。
与传统云计算的集中式存储计算架构相比,无人值守站边缘计算的安全性能存在特殊的优势。第一,视频数据是在离数据源最近的视频边缘节点上暂时存储和分析,这种本地处理方式使得网络攻击方难以接近源数据;第二,数据源边缘设备和云之间不存在实时信息交换,攻击方难以感知任何用户的私人数据。但是,无人值守站边缘计算架构的安全性仍然面对诸多挑战,例如边缘设施安全、边缘服务器安全、边缘网络安全和边缘设备安全。要创立一个安全可用的边缘计算架构,实施各种类型的安全保护机制至关重要。
本文架构拟采用数据保密、数据完整性、安全数据计算、身份认证、访问控制及隐私保护的现有安全机制以保证无人值守站边缘计算架构的信息安全。
5.1 数据保密
在边缘计算架构中,用户私有数据被外包到边缘服务器,因此数据的所有权和控制权是分开的,用户实际上失去了对外包出去的数据的物理控制。此外,存储在外部的敏感数据也面临着数据丢失、泄露等风险。为了解决这些威胁,本架构采用适当的基于身份的数据加密机制。该方案包括三个阶段:发送方使用公钥对接收方地址加密;接收方使用私钥进行身份验证;接收方解密获取数据。加入基于身份加密的机制保护了视频数据存储的安全性。
5.2 数据完整性
数据完整性是边缘计算架构安全性的重要指标。随着用户数据被外包到边缘服务器,数据完整性可能会受到外包流程的影响。接收方将检查数据的完整性和可用性,以确保没有被任何未经授权的用户或系统修改。本架构拟加入动态审计及批量审计,支持用户在边缘数据中心发送审计请求和批处理功能以检查数据完整性。
5.3 安全数据计算
安全数据计算也是边缘计算架构中的一个关键问题。来自终端的敏感数据通常以密文形式外包到边缘服务器。在这种情况下,用户必须在加密数据文件中进行关键字搜索。本架构拟采用安全排名可搜索加密方法,支持通过关键字在加密数据中进行安全搜索而不需要执行解密操作。安全排名的关键字搜索方案可以通过一定的相关标准和索引获得正确的搜索结果。
5.4 身份认证
如果没有任何身份验证机制,外部攻击方将有很大可能访问服务基础架构的敏感资源,内部攻击者则可以通过其合法访问权限以擦除恶意访问的记录。基于这种情况下,本架构拟采用必要的身份验证实施方法,尽量减少内部威胁和外部威胁。目前,合适的认证方法包括单域认证、跨域认证。单域认证用于解决每个实体的身份分配问题,架构中的用户在获得数据查看或管理服务前从授权中心进行身份验证。跨域认证则是使无人值守站边缘计算架构中的边缘计算服务器可互相认证,使用云中心动态产生的密钥认证。
5.5 访问控制
为防止边缘服务器被恶意用户访问、滥用、修改虚拟化资源,本文架构拟采用基于属性访问控制与基于角色访问控制结合的机制保证访问控制的安全性[15]。此机制在每次访问产生密钥的同时将用户与权限之间使用角色进行划分,每一种角色对应一组权限。采取这样的机制可以减少创建用户时进行权限分配的操作,只需要分配对应角色即可。
5.6 隐私保护
在边缘计算架构中,隐私保护问题尤为重要。边缘数据中心、基础设施提供商、服务提供商,甚至授权用户等也许会为了各自的利益获取、泄露用户敏感信息。针对隐私保护,本架构首先利用边缘服务器和传感器设备从终端设备收集敏感数据,提供数据加密而无须解密。其次,在身份验证和管理期间对身份信息提供加密保护。最后,用户的位置信息同样属于隐私保护的范畴,LP-doctor细粒度位置访问控制工具[16]提供了一种可以生成假位置以确保位置匿名的方法。
6 结语
随着中国率先走入5G时代,中国铁路信息化改革也已经走上轨道,更多的铁路智能化应用被开发建设。本文以铁路无人值守站视频监控应用作为启发,提出有别于人员监控识别的车站设备安全识别概念,创新性的为铁路云计算应用融入边缘计算架构,给出边缘节点关键算法逻辑及信息安全分析。本文所搭建的边缘计算架构可以有效节省带宽,加入在边缘节点的AI监测分析计算后,与视频流未经计算全量上传云端计算相比预计节省50%-70%的回源带宽。在局域边缘节点完成计算也为本地提供更多的铁路云服务、保证监控视频数据传输的可靠性。本文下一步将完善算法模型,加入实际考虑中除了传输距离以外的因素,使模型更加精密。