前言
隨著通信技術(shù),特別是物聯(lián)網(wǎng)通信技術(shù)的快速進(jìn)步,“路燈單燈控制”這個概念早已在行業(yè)內(nèi)深入人心。相關(guān)產(chǎn)品和技術(shù)不斷涌現(xiàn);大量工程項目落地實施;創(chuàng)造了積極的經(jīng)濟(jì)效益和社會效益。但是,在路燈單燈控制產(chǎn)品中,有一個技術(shù)細(xì)節(jié)——“單燈控制器本地存儲定時策略”——卻被大多數(shù)技術(shù)開發(fā)者及用戶所忽視。
而對這個細(xì)節(jié)的“忽視”,卻隱藏了巨大的公共安全隱患。不僅會讓我們的公共照明系統(tǒng),存在因系統(tǒng)故障導(dǎo)致“失控”的風(fēng)險;甚至?xí)?ldquo;人為故意破壞”、“自然災(zāi)害”甚至“戰(zhàn)爭”等極端情況下,成為危害城市公共安全的定時炸彈。
1“單燈控制器本地存儲定時策略”的由來
早在LED調(diào)光電源問世之初,就有一些調(diào)光電源產(chǎn)品具備了一個“紅外程序燒寫口”,用于寫入功率調(diào)節(jié)的“策略”(即通電后多長時間降功率);例如,通電后4小時后降為半功率運(yùn)行。以此,在LED燈具節(jié)能的基礎(chǔ)上,實現(xiàn)二次節(jié)能。再后來,隨著“單燈控制”技術(shù)的日趨進(jìn)步,應(yīng)用數(shù)量越來越多,這一“本地策略運(yùn)行”的模式也被習(xí)慣性地“移植”到了單燈控制器中。
同時,目前主流的單燈控制技術(shù),都或多或少地存在“通信實時性較差”的問題,造成路上燈具遠(yuǎn)程控制一致性差,用戶觀感體驗很受影響。而“單燈控制器本地存儲定時策略”,這種本質(zhì)上屬于“定時控制”的方法,又可以在一定程度上彌補(bǔ)“控制不整齊”的弊端。所以,目前絕大多數(shù)單燈控制產(chǎn)品,將這一控制方式保留了下來。甚至,很多“招投標(biāo)文件”中,會把這一功能作為技術(shù)要求列出,作為必要的考核條件。
2技術(shù)原理
這種控制方式的原理非常簡單,以我們目前最常聽到的主流單燈控制技術(shù)NB-IoT為例:
由于受限于通信技術(shù)本身的“高延時”特性,采用NB-IoT通信方式的單燈控制器在控制實時性方面普遍較差。因此,遠(yuǎn)程管理平臺會預(yù)先設(shè)置好開關(guān)燈或調(diào)節(jié)功率的時間表(控制策略),在單燈控制器與服務(wù)器建立通信后,將這個時間表更新給單燈控制器。盡管單燈控制器不能和服務(wù)器保持很好的“實時溝通”,但是每隔一段時間還是可以與服務(wù)器“握手”一次,以獲取新的“運(yùn)行時間表”。
這樣,每臺單燈控制器就可以按照同一套本地時間表“離網(wǎng)”運(yùn)行,用戶觀感上也就會覺得控制還是比較“整齊”的。
但是,本質(zhì)上來說,這種控制方式其實還是“定時控制”。只不過是“控制時間表”可以遠(yuǎn)程修改罷了。
3危害
首先,我們介紹兩個在實際工程案例中遇到的真實情況。
第一例:
2017年,北方某城市單燈控制項目。項目投入運(yùn)營初期,現(xiàn)場工人依舊按照傳統(tǒng)的“開燈巡檢”模式排查燈具故障。巡檢班組白天給路燈供電回路上電準(zhǔn)備巡查滅燈情況,但由于單燈控制器本地存儲了定時策略,路上燈具無法正常在白天點(diǎn)亮。且由于遠(yuǎn)程管理平臺,修改定時策略的實時性較差,無法短時間內(nèi)做到100%修改成功,最終導(dǎo)致當(dāng)日巡檢工作被迫停止。
第二例:
2019年,華中某城市單燈控制項目。某路段集中控制器因故障拆除沒有補(bǔ)裝。前期因考慮到節(jié)約電能,該路段單燈控制器本地存儲了上電后4.5小時關(guān)燈的定時策略。后期因為附近高鐵施工,該路段工程車輛整晚作業(yè),路燈需要整晚開燈。但由于短時間內(nèi)無法補(bǔ)裝集中控制器,導(dǎo)致無法更改單燈控制器內(nèi)存中的“控制時間表”,最終只能耗時近一個星期,將單燈控制器全部拆除。
從上面這兩個案例可以看出,當(dāng)單燈控制器因故不能與管理平臺通信時,依舊按照其內(nèi)部固有的時間表“自主”控制路燈,會給路燈的正常管控造成非常大的不便甚至安全隱患。
那么,本文標(biāo)題中“危害城市公共安全的定時炸彈”,是不是“危言聳聽”呢?我們不妨通過下面一個假設(shè)的極端場景,來體會一下。
假設(shè)場景:
C國某城市30萬盞路燈全部安裝帶有“本地定時策略存儲”功能的單燈控制器;A國黑客悄悄黑掉了該城市的路燈管理服務(wù)器,并且修改了30萬盞路燈的本地定時策略,將其設(shè)置為晚上17點(diǎn)以后關(guān)燈;夜幕降臨,17:30,C國某城市路燈供電回路上電,30萬盞路燈點(diǎn)亮,單燈控制器獲取到時間信息后,立即按本地定時策略將所在路燈關(guān)閉,幾分鐘后30萬盞路燈全部熄滅,該城市一片漆黑;此時該城市路燈管理部門發(fā)現(xiàn)路燈管理平臺已遭破壞,無法遠(yuǎn)程更正單燈控制器本地定時策略。面對全城一片漆黑,束手無策!
通過上面這類極端場景的推演,我們可以感受到,“單燈控制器本地定時策略存儲”這顆“炸彈”的威力。
4對策
針對上文描述的“隱患”,有些技術(shù)專家會也給出了“解藥”:可以設(shè)置一些限制條件,例如單燈控制器與遠(yuǎn)程服務(wù)器失聯(lián)一定時間后,即放棄執(zhí)行本地控制時間表。但是,如果這樣做,又帶來了其他問題:失聯(lián)多少時間后放棄本地時間表?這個“失效時間”誰來定義?如何定義?這個“失效時間”如果可以通過遠(yuǎn)程服務(wù)器修改,再次被人非法編輯了怎么辦?其實,我們應(yīng)該清楚“魔高一尺,道高一丈”這個道理。只要在單燈控制器內(nèi)部預(yù)留了“時間表控制”這樣的功能模塊,這個“漏洞”就可能被人非法利用。
反過來說,如果要保證絕對安全,那就不能預(yù)留這樣的功能。
路上照明設(shè)備的任何“關(guān)燈”和“降低功率”等可能會影響道路照明安全的動作,都需要遠(yuǎn)程管理平臺的實時指揮和授權(quán)。
做到了這一點(diǎn),就可以最大程度地避免“極端 事故”的發(fā)生。
我們還是用前面那個假設(shè)的極端場景進(jìn)行推演:
C國某城市30萬盞路燈使用的單燈控制器,硬件上即不支持“本地定時策略存儲”功能,路燈的定時策略全部由管理服務(wù)器遠(yuǎn)程定時下發(fā);
A國黑客悄悄黑掉了該城市的路燈管理服務(wù)器,并且修改了30萬盞路燈的遠(yuǎn)程服務(wù)器定時策略,將其設(shè)置為晚上17點(diǎn)以后關(guān)燈;
夜幕降臨,17:30,C國某城市路燈供電回路上電,30萬盞路燈點(diǎn)亮并上報狀態(tài),服務(wù)器檢測到單燈上報的開燈狀態(tài)后,按照A國黑客預(yù)設(shè)策略實施關(guān)燈動作,將30萬盞路燈全部關(guān)閉,該城市一片漆黑;
此時該城市路燈管理部門發(fā)現(xiàn)路燈管理平臺已被破壞,隨即切斷服務(wù)器電源及網(wǎng)絡(luò),同時立即安排全部工程人員上路,將所有供電回路人工斷電后重新上電,所有單燈控制器斷電重啟后,即恢復(fù)默認(rèn)亮燈狀態(tài);
如此應(yīng)對,一小時之內(nèi),市中心主要干道即可恢復(fù)正常道路照明。大約2小時后,全市30萬盞路燈全部恢復(fù)正常點(diǎn)亮。
同樣是極端的黑客破壞,但是沒有“單燈控制器本地存儲定時策略”功能的系統(tǒng),短時間內(nèi)即可完全恢復(fù)道路照明,將破壞的危害降至最低。
5總結(jié)
作為一個燈聯(lián)網(wǎng)通信架構(gòu)設(shè)計者,我認(rèn)為,當(dāng)路燈遠(yuǎn)程控制平臺任一環(huán)節(jié)出現(xiàn)故障(平臺、通信、現(xiàn)場硬件),都不應(yīng)導(dǎo)致傳統(tǒng)的“回路開關(guān)”控制方式失效。換句話說,任何所謂的“高科技”附加功能,都需要在設(shè)計之初充分考慮到“降級使用”的概念。即使“高級功能”因故障失效,還要保障“初級功能”的有效和可靠;避免因過度依賴“高級功能”,而在極端情況發(fā)生時,導(dǎo)致系統(tǒng)性“全面失控”。
照明行業(yè)的各位前輩,請大家認(rèn)真評估一下自己做過的單燈控制項目,您曾經(jīng)選擇的技術(shù)方案,是否在極端情況發(fā)生時依然有足夠的應(yīng)對能力,保障城市公共照明的絕對安全?
淺析“單燈控制器本地存儲定時策略”的巨大隱患
2021-08-10 10:42 點(diǎn)擊:5727 作者:時磊 常州海藍(lán)利科物聯(lián)網(wǎng)技術(shù)有限公司
核心提示:本文針對目前路燈單燈控制產(chǎn)品中普遍存在的一類技術(shù)漏洞,進(jìn)行了比較詳細(xì)的分析;并對其可能帶來的公共安全隱患做了較為深入的闡述。同時,筆者提出了針對這一隱患的改進(jìn)意見。最后,文章就如何提高路燈單燈控制系統(tǒng)的應(yīng)用安全性,提出了指導(dǎo)性的設(shè)計意見。
 |
|
 |
 |
 |
|