马小龙1, 马照亭1, 赵园春1, 方驰宇1, 费雯凯2, 闫春利3, 王月明4, 石一慧5

1. 中国测绘科学研究院, 北京 100036

2. 北京华为数字技术有限公司, 北京 100095

3. 北京四维图新科技股份有限公司, 北京 100094

4. 腾讯大地通途(北京)科技有限公司, 北京 100089

5. 高德软件有限公司, 北京 100102

基金项目：国家重点研发计划(2024YFB2505800);湖南省自然资源厅科技计划(湘自资科20240103XX);重庆市技术创新与应用发展专项(CSTB2022TIAD-DEX0013)

关键词：自动驾驶地图, 众源采集, 在线更新, 商用密码, 技术融合, 地理信息安全

摘要 ：随着自动驾驶地图应用领域不断拓展,其数据采集、传输、更新及分发的业务模式和管理机制正面临全新变革与挑战。在保障地理信息安全的前提下,如何实现自动驾驶地图数据众源采集与在线更新的高效协同,已成为该领域在新形势下亟待攻克的关键难题。本文分析了当下地图数据众源采集与在线更新的安全合规需求及研究现状,提出了融合地理信息保密处理与商用密码保护的自动驾驶地图在线更新安全合规技术。经国家级科研项目探索与实践,证实该技术能够满足众源采集与在线更新相关业务性能要求,有效提升自动驾驶地图及相关地理信息数据安全保障能力。

作为顺应汽车驾驶自动化需求而衍生的电子地图[1-8]，自动驾驶地图为车道级导航定位、环境感知辅助、路径规划决策及智能网联交互提供重要数据支撑，是地理信息科学与汽车工程、信息通信、电子技术、交通运输、信息安全及密码学等多行业多领域深度融合的研究焦点[9-11]。作为国家战略性基础信息资源，自动驾驶地图相关众源采集、在线传输、动态更新与分发服务等社会化应用，均与地理信息安全紧密相关。构建自动驾驶地图数据安全技术体系，已成为我国测绘地理信息新安全格局中的重点攻关内容，对于维护国家地理信息安全、推动智能汽车产业高质量发展具有重要意义。

近年来，《智能汽车创新发展战略》《自然资源部关于促进智能网联汽车发展维护测绘地理信息安全的通知》及《自然资源部关于加强智能网联汽车有关测绘地理信息安全管理的通知》等政策密集出台，有力推动了自动驾驶地图相关试点技术探索与创新应用。在此基础上，诸如《智能网联汽车时空数据安全处理基本要求》《导航电子地图安全处理技术基本要求》《智能汽车基础地图数据传输安全保护技术规范》和《道路高精导航电子地图数据更新技术规范》等相关国家标准和行业标准制修订，围绕地图数据采集、传输、更新及分发等业务环节，强调地理信息保密处理、商用密码保护及其融合应用，进一步发挥了自动驾驶地图安全技术引领作用。其中，对业务应用与安全合规的关系把握，主要涉及以下方面[12]：其一，自动驾驶地图数据全生命周期安全机制尚不完善，涉及众源采集、在线传输、增量更新及服务分发等环节存在的网络层和应用层等安全风险隐患[13-14]；其二，自动驾驶地图相关业务应用效能与安全合规手段之间难以权衡，面向自动驾驶地图数据众源采集与在线更新业务下安全、可控、好用的技术范式尚未形成。鉴于此，本文从地理信息安全与自动驾驶地图应用合规角度出发，提出一种自动驾驶地图在线更新安全合规技术，涵盖地理信息保密处理与商用密码保护于智能网联汽车端和地图业务平台端的技术融合，以及相关软硬件集成等关键内容。结合国家级科研项目实施与示范应用，对本文所提技术在项目实施中的性能指标和实际效果进行全面总结与分析佐证。

1 场景业务概况

自动驾驶地图数据众源采集与在线更新是汽车智能网联应用场景的重要组成部分[15-17]，主要涉及智能网联汽车开展的数据采集与在线传输，以及地图业务平台承担的地图处理与更新分发等内容。

(1) 采集传输是测绘资质单位在智能网联汽车测绘活动中履行主体责任的主要环节，涉及对智能网联汽车传感器所采集的各类地理信息原始资料的管理与应用，包括轨迹数据、影像数据、点云数据及惯导数据等。根据当前测绘领域的法律法规及政策文件的相关规定，上述数据在社会化应用前，必须经过由自然资源主管部门指定的保密处理流程，并采取相应的安全保护措施[18-19]。然而，由于汽车制造业的生产周期和大规模量产的需求限制，目前车端在经过多源异构传感器数据的融合处理及智能配准后，为了确保车内外数据通信的安全性，通常会采用私有数据格式或依赖国外的密码技术措施，部分数据以明文或私有协议传输，导致敏感信息极易遭到窃取、篡改或泄露。

(2) 地图处理是测绘资质单位履行自动驾驶地图业务主体责任的主要环节，涵盖地图业务平台内的数据存储、融合处理，以及地图处理与审核等关键流程。地图业务平台与车端之间需要经过身份验证确定合法来源，其接收并存储的地理信息数据，再经融合解译、差异提取、版本更新等一系列工序，通过测绘资质单位离线送审或备案审查等流程后，才会形成可用于对外提供服务的地图更新产品。尽管《自然资源领域数据安全管理办法》明确要求，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等多个维度，加强数据存储、流转及访问控制等安全管控[20-21]，但现阶段地图业务平台在落实网络安全等级保护和密码保护等制度要求方面，力度仍显不足，地图业务平台端的安全防护技术链路有待进一步规范。

(3) 更新分发是测绘资质单位基于OTA(over-the-air technology)向车厂或相关运营车辆等传递自动驾驶地图产品的主要环节，涉及地图业务平台依托车云协同机制，按需推送地图更新数据至车端的完整性[22-24]，传输过程中地图分发的可靠性、身份合法性和可追溯性等内容。此外，自动驾驶地图更新分发的业务特性给传统地图监管模式带来一定挑战，诸如车—云身份认证漏洞、传输通道攻击及地图数据溯源缺失等安全隐患尚存。

2 行业研究现状

当前，针对自动驾驶地图数据众源采集与在线更新的研究工作，大多聚焦于数据采集、要素提取、变化检测、服务分发等方面的关键技术攻关与模式创新。涉及地理信息安全，尤其是其数据全生命周期安全保护的研究相对较少，应用合规方面也主要围绕对现有测绘资质单位的管控机制，以及相关机构开展地图审图方式等的意见建议。文献[25]提出了基于视觉众包数据的高精度地图更新闭环技术，包括多源异构车辆传感器数据汇聚的模型构建、基于空间语义特征的智能配准、多源数据融合和冲突处理等。文献[26]聚焦城市高精地图数据生产及更新维护业务流程，探索形成涵盖众源数据反馈、人工核实、母库修改、自动化处理与仿真闭环测试等的地图维护更新技术链路。文献[27]提出基于高精动态地图基础平台的众源更新技术，涉及基础设施、系统软件、数据处理、数据分析、数据质检和成果转化发布，以及平台安全管理流程和制度。文献[28]针对《关于加强智能网联汽车有关测绘地理信息安全管理的通知》，提出对车端、路侧端与云端进行数据传输及更新过程中其数据安全保密、安全监管及资质管控方面落地措施的迫切需求。文献[29]探索了自动驾驶地图众包更新关键技术和机制，针对众源更新技术面临的诸多挑战，建议构建地图云服务平台与地图数据安全管理机制，研究地理信息保密处理、加密、权限控制、数据溯源等技术手段融合，推动智能审图。文献[30]系统分析了高精度地图众源更新中的地理信息安全风险，提出众源采集数据的脱敏处理、传输加密、身份验证及相关防控追溯机制等技术方面的意见建议，强调技术配套现有政策与标准才能确保众源更新全流程安全可控。文献[31]梳理了自动驾驶地图众源更新技术现状，提及商用密码在地图领域的应用程度、不影响车端业务的偏转加密机制、快速审图技术等安全保障方面的技术挑战。文献[32]提出了基于智能路侧系统(MEC)的地图快速更新技术，就地图要素变化信息和局部地图更新发布所涉及的业务环节，指出地理信息保密处理技术处理与国产商用密码技术结合的思路，包含访问控制和数据加密等功能接口集成并支撑MEC开展众源更新。文献[33]探索形成了一套高精度地图众源更新安全监管技术链路，通过车端行为日志记录与平台端合规检查手段，判断测绘资质、保密处理、传输加密、地图脱敏、技术审查等操作是否开展，以及技术手段的合规性。

综上所述，自动驾驶地图相关行业领域更多聚焦于业务模式、技术流程、产品检测、服务分发等的探索和实践，在地理信息安全与业务应用合规方面，均能梳理分析各环节的安全风险隐患，对其数据加密、传输防护、平台监管、快速审查等技术层面和管理层面明确建议，暂未提出具体研究思路、总体架构、软硬件集成改造，以及项目示范应用效果等的全生命周期安全合规技术链路。

3 安全合规技术

聚焦自动驾驶地图数据众源采集与在线更新场景，从地理信息安全与业务应用合规的视角出发，本文提出一种自动驾驶地图在线更新安全合规技术，针对采集传输、地图处理和更新分发等全链路业务环节，涵盖各智能终端侧地理信息数据的安全保护，以及传输通道和传输机制下的安全防护，真正将地理信息保密处理和商用密码技术相融合，形成集成于智能网联汽车和地图业务平台相关业务系统的软硬件成果，发挥地理信息安全与应用合规保障作用，并就此构建自动驾驶地图数据众源采集与在线更新安全合规技术闭环，具体如图 1所示。

图 1 自动驾驶地图在线更新安全合规技术架构

集传输方面，其安全合规技术内容重点围绕智能网联汽车端采集的轨迹数据、影像数据和点云数据等的机密性、完整性、真实性，以及传输通道的安全。车机系统集成空间位置处理模块、去标识化/匿名化等敏感内容处理模块，以及符合《信息安全技术密码模块安全要求》(GB/T 37092—2018)的密码模块，对众源采集过程中形成的敏感地理信息数据进行完整性计算与加密处理，以此防范数据被篡改、泄露及遭受非法利用的风险。同时，建立基于商用密码技术的安全传输通道，采用车端证书与平台证书完成双向身份鉴别，借助蜂窝网络实现敏感地理信息数据安全上传。

地图处理方面，其安全合规技术内容核心在于密码基础设施建设与密码协同保障体系。地图业务平台端所接收和存储的密文地理信息数据，均处于符合网络安全等级保护三级及以上要求的数据处理环境。自动驾驶地图更新系统可调用适配集成的密码服务接口进行身份鉴别、解密处理及完整性验证，确保数据在接收、存储及流转过程中的安全可信。此外，地图业务平台内搭建的分布式密码基础设施，通过证书级联管理、密钥动态分发及跨域身份互信机制，实现地图业务平台与授信汽车终端间密码服务与监管上报的协同联动。

更新分发方面，其安全合规技术内容则侧重自动驾驶地图产品可信分发与完整性保护。地图业务平台调用其集成的密码服务接口，对地图更新数据包或数据块进行完整性计算，基于各自证书的双向身份认证后通过安全传输通道向车端下发。待车端成功接收并作完整性验证后，通过版本比对与差分重构等技术手段实现车内地图更新，就此完成自动驾驶地图数据众源采集、在线上传、更新处理及服务分发业务闭环。

4 项目实践4.1 实践对象和范围

本文选取的实践对象均来自国家级科研项目的试点单位，安全合规技术涉及其地图业务平台的密码基础设施搭建、地图更新处理相关业务系统安全改造，以及面向不同测试车型的车机系统或采集设备安全保护技术集成等工作(如图 2所示)。

图 2 测试车辆

测试范围主要选取北京地区道路路段(不含五环及五环以内)，通过开展道路测试，梳理分析车端轨迹数据和影像数据在加密处理过程中的应用效果、平均时延及车端资源占用状况，对应平台端数据解密和地图更新效果等，以证实本文所提技术对自动驾驶地图在线更新业务的重要支撑作用，具体如图 3所示。

图 3 测试区域范围

4.2 安全合规效果

车端方面，本文所提出的安全合规技术有机融合地理信息保密处理和商用密码技术优势，形成集成内嵌于车机系统的安全保护模块，保障自动驾驶地图在线更新场景业务中的地理信息安全。具体而言，通过集成空间位置处理、商用密码加密及数字签名等功能模块，实现轨迹数据空间匹配与安全处理，同触发式采集机制下的影像数据进行加密处理和签名处理，实现地理信息数据机密性、完整性及真实性保护。所形成的密文数据包，仅授权特定的地图业务平台具备解密解析权限，第三方工具无法对其数据内容进行破解，具体如图 4—图 6所示。

图 4 车端轨迹数据加密处理结果

图 5 车端影像数据加密处理结果

图 6 车端数据签名处理结果

平台端方面，利用本文所提出的安全合规技术，对试点单位的地图业务平台相关业务系统进行集成应用，并通过调用密码基础设施中的密码服务接口，成功实现众源采集数据的可信接收、安全存储及更新应用(如图 7—图 8所示)。与此同时，集成安全合规技术的车端与平台端相关业务系统，均经过物理和环境、网络和通信、设备和计算、应用和数据等多个维度的单元测评结果与整体检测，全面验证本文所提技术在数据安全和网络安全等方面的支撑作用，为自动驾驶地图数据众源采集与在线更新的安全合规提供了有力的保障。

图 7 平台端数据解密处理示例

图 8 平台端地图数据更新示例

4.3 性能指标分析

在加密处理时延方面，安全合规技术下的智能网联汽车(车端配置六核CPU与8 GB内存)已集成加密处理模块，在触发式采集机制下的性能表现如下：轨迹数据加密处理效率可达每轨迹包186 ms(单包含100个轨迹点，数据量约12 KB)，影像数据加密处理效率为每张照片7.6 ms(单张照片数据量约150 KB)。在保障地理信息安全的前提下，上述指标充分满足当前测绘资质单位开展自动驾驶地图数据触发式采集与在线更新应用的实时性要求。

从资源占用比例来看，智能网联汽车业务系统在触发式采集过程中，CPU平均占用率维持在13%，峰值可达16%，其中加密处理环节仅消耗3.5%；内存平均使用量为1.6 GB，峰值达2.4 GB，其中加密处理内存占用量稳定保持在50~100 MB之间。分析表明，安全合规技术下的加密处理环节对车端计算与存储资源的占用处于极低水平，与现有智能网联汽车业务系统的运行需求完全兼容，不会对其正常运行造成影响。

5 结语

本文针对自动驾驶地图数据众源采集与在线更新中存在的地理信息安全风险隐患，提出了一种自动驾驶地图在线更新安全合规技术，融合地理信息保密处理技术与商用密码技术的优势，构建形成自动驾驶地图“采集—传输—处理—更新—分发”全链路数据安全与应用合规闭环。理论层面，将地理信息保密处理和商用密码技术有机融入数据采集、传输、处理、更新及分发等各个业务环节，突破了自动驾驶地图更新落地与安全应用的技术难题，系统实现了自动驾驶地图数据全生命周期的“安全、可信、可用”的目标。实践层面，经实际测试验证，轨迹数据和影像数据加密处理时延及车端资源占用率均显著低于行业阈值，相关技术成果有效契合现行管理政策、标准规范及行业建议，致力于从“可用”提升至“好用”，不断完善本文所提安全合规技术在“车路云一体化”试点工作中的稳定性和实用性，进一步支撑我国自动驾驶地图数据众源采集与在线更新模式转型，为自然资源主管部门开展行业监管提供有力参考。

作者简介：马小龙(1989—),男,博士,副研究员,主要从事自动驾驶地图安全保护研究工作。

E-mail:maxiaolong@casm.ac.cn

通信作者：马照亭。

E-mail:mazht@casm.ac.cn