張晶鑫

(無(wú)錫地鐵集團(tuán)有限公司運(yùn)營(yíng)分公司，江蘇 無(wú)錫 214000)

無(wú)錫地鐵自動(dòng)售檢票系統(tǒng)安全性分析

張晶鑫

(無(wú)錫地鐵集團(tuán)有限公司運(yùn)營(yíng)分公司，江蘇 無(wú)錫 214000)

在城市軌道交通系統(tǒng)中，自動(dòng)售檢票(AFC)系統(tǒng)作為城市軌道交通向乘客提供服務(wù)的窗口，是城市軌道交通系統(tǒng)的核心子系統(tǒng)。扮演著售票員、檢票員、會(huì)計(jì)員、審計(jì)員等角色，實(shí)現(xiàn)了票務(wù)管理的高度自動(dòng)化。文章簡(jiǎn)單介紹了無(wú)錫地鐵AFC系統(tǒng)的安全性，結(jié)合無(wú)錫地鐵AFC項(xiàng)目實(shí)際，從票卡安全、現(xiàn)金安全、人員安全、設(shè)備安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面對(duì)AFC系統(tǒng)安全措施進(jìn)行了介紹。

無(wú)錫地鐵;軌道交通;安全性; 自動(dòng)售檢票系統(tǒng)

0 引言

目前，城市軌道交通系統(tǒng)不斷發(fā)展并大量采用自動(dòng)化設(shè)備，以確保城市軌道交通系統(tǒng)安全、快捷、準(zhǔn)點(diǎn)地運(yùn)營(yíng)。其中自動(dòng)售檢票(AFC)系統(tǒng)與地鐵公司的日常運(yùn)營(yíng)、客運(yùn)收入和乘客的資金支付密切相關(guān),因此AFC系統(tǒng)的安全性和可靠性顯得尤為重要。具體體現(xiàn)在票卡安全、現(xiàn)金安全、人員安全、設(shè)備安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面。下面就無(wú)錫地鐵AFC系統(tǒng)具體的應(yīng)用和技術(shù)進(jìn)行介紹。

1 票卡安全

票卡安全體現(xiàn)在票卡的使用安全、數(shù)據(jù)安全以及票卡存放保管安全三個(gè)方面。

1.1 票卡的使用安全

AFC系統(tǒng)具備完善的車票跟蹤功能，可以針對(duì)某張票卡進(jìn)行使用情況的跟蹤。票卡的跟蹤功能一方面為在票卡被非法使用時(shí)提供追溯依據(jù)，另一方面也可通過(guò)票卡在其生命周期內(nèi)的使用場(chǎng)所、使用頻度來(lái)了解票卡的質(zhì)量。

1.2 票卡的數(shù)據(jù)安全

1.2.1 讀寫密鑰

票卡在采購(gòu)后需要進(jìn)行初始化才能投入運(yùn)營(yíng)流轉(zhuǎn)，在票卡初始化時(shí)，將讀寫密鑰從票卡供應(yīng)商密鑰轉(zhuǎn)換成運(yùn)營(yíng)商密鑰。

1.2.2 與讀寫器的雙向合法性認(rèn)證

在與票卡讀寫器進(jìn)行交互時(shí)，票卡與讀寫器之間進(jìn)行雙向合法性認(rèn)證，從而保證了票卡的數(shù)據(jù)讀寫安全。

1.2.3 票卡數(shù)據(jù)完整性

在票卡的數(shù)據(jù)結(jié)構(gòu)和讀寫流程中設(shè)計(jì)了安全備份機(jī)制，能有效地保證票卡讀寫過(guò)程被意外終止時(shí)的數(shù)據(jù)完整性。

1.2.4 防沖突

票卡在與讀寫器進(jìn)行交互的過(guò)程具備防沖突機(jī)制，能有效地保證在票卡讀寫器的讀寫范圍內(nèi)同時(shí)出現(xiàn)兩張及兩張以上票卡時(shí)的票卡讀寫操作的安全性和數(shù)據(jù)的完整性。

1.2.5 交易數(shù)據(jù)驗(yàn)證

在交易數(shù)據(jù)生成后，采用加密的交易驗(yàn)證碼(TAC)的方法，杜絕了交易數(shù)據(jù)在傳輸過(guò)程中被篡改的可能性。

1.3 票卡的存放保管安全

AFC系統(tǒng)具備票卡庫(kù)存管理功能，能夠?qū)ζ笨ǖ膸?kù)存、調(diào)撥進(jìn)行有效地控制和管理。車站終端設(shè)備中的票箱使用專用鑰匙,在專門地點(diǎn)由專人打開(kāi)、清點(diǎn)，可有效地防止票卡的流失。

2 現(xiàn)金安全

AFC系統(tǒng)對(duì)車站現(xiàn)金收益數(shù)據(jù)、銀行現(xiàn)金收繳數(shù)據(jù)進(jìn)行審核，達(dá)到現(xiàn)金安全管理的目的?，F(xiàn)金安全管理采用總量監(jiān)督和控制的方式，對(duì)于車站上傳的收益數(shù)據(jù)和實(shí)際上繳的收益資金進(jìn)行審核和控制。車站終端設(shè)備中的現(xiàn)金的儲(chǔ)存箱使用專用鑰匙，在專門地點(diǎn)由專人打開(kāi)、清點(diǎn)，以確?，F(xiàn)金安全。

3 人員安全

車站終端設(shè)備表面平滑，邊角圓滑，無(wú)突出物。所有設(shè)備、線纜及相關(guān)部件都安全接地。關(guān)鍵設(shè)備及線路具備電源保護(hù)措施。在緊急疏散情況下，拍打門打開(kāi)，后備電源提供電力，供檢票機(jī)兩端方向指示器顯示信息。

4 設(shè)備安全

車站終端設(shè)備外殼均具有足夠的強(qiáng)度，能夠耐受一定程度的碰撞和沖擊，不會(huì)造成如凹陷、劃痕等設(shè)備表面的損傷。對(duì)設(shè)備中關(guān)鍵部件的拆卸和更換，必須經(jīng)系統(tǒng)授權(quán)和身份認(rèn)證方可進(jìn)行。未經(jīng)系統(tǒng)授權(quán)和身份認(rèn)證而打開(kāi)機(jī)柜、機(jī)殼進(jìn)行強(qiáng)行拆卸，會(huì)立即引發(fā)報(bào)警，并留下系統(tǒng)日志記錄備查。

5 軟件安全

AFC系統(tǒng)從以下方面實(shí)現(xiàn)軟件安全：

5.1 用戶管理

在應(yīng)用系統(tǒng)層建立一個(gè)基于機(jī)構(gòu)、角色、用戶、權(quán)限的統(tǒng)一用戶管理系統(tǒng)。

5.2 訪問(wèn)控制

用戶經(jīng)過(guò)身份認(rèn)證后，只能獲取符合設(shè)定權(quán)限的服務(wù)，任何用戶未經(jīng)身份認(rèn)證，都無(wú)法獲取應(yīng)用服務(wù)。

5.3 通信會(huì)話控制

通訊雙方在建立TCP/IP連接時(shí)，認(rèn)證雙方的IP和端口。

5.4 建立用戶操作審計(jì)日志

根據(jù)安全策略，對(duì)受控資源的操作，應(yīng)用系統(tǒng)都將其軌跡記錄審計(jì)日志。

5.5 審計(jì)分析

定期對(duì)系統(tǒng)記錄的審計(jì)日志進(jìn)行分析，以發(fā)現(xiàn)可能違反安全規(guī)定的事件。

5.6 自診斷

軟件系統(tǒng)自身具有自監(jiān)測(cè)、自診斷和充分的冗余功能，并通過(guò)防病毒軟件、防火墻等加強(qiáng)軟件系統(tǒng)的防護(hù)能力。

5.7 密鑰管理

軟件中涉及密鑰管理的部分符合密鑰管理規(guī)范要求，密碼以密文形式傳輸和存放，密碼明文不出現(xiàn)在任何通信報(bào)文、磁盤文件中。

5.8 軟件更新

軟件的更新保證安全、有序且不影響正常運(yùn)營(yíng)。新版本下載后如出現(xiàn)異常，系統(tǒng)能恢復(fù)到穩(wěn)定狀態(tài)，便于調(diào)試診斷。

6 網(wǎng)絡(luò)安全

從網(wǎng)絡(luò)安全區(qū)域劃分，AFC系統(tǒng)網(wǎng)絡(luò)接入可分為交易服務(wù)區(qū)、本地服務(wù)區(qū)和對(duì)外服務(wù)區(qū)。如圖1所示。

6.1 交易服務(wù)區(qū)安全

交易服務(wù)區(qū)系統(tǒng)網(wǎng)絡(luò)如圖2。

6.1.1 廣域網(wǎng)絡(luò)

采用冗余設(shè)計(jì)，消除單點(diǎn)故障。通訊線路選用軌道交通或電信點(diǎn)對(duì)點(diǎn)專線，構(gòu)建一個(gè)受信的、可控的專用網(wǎng)絡(luò)，從物理上斷絕與非授權(quán)的外部網(wǎng)絡(luò)連接。

6.1.2 接入管理層

由接入路由器、防火墻、入侵檢測(cè)、漏洞掃描組成，形成安全防御體系的第一道防線。

圖1 AFC系統(tǒng)網(wǎng)絡(luò)圖

圖2 交易服務(wù)區(qū)系統(tǒng)網(wǎng)絡(luò)圖

6.1.3 防火墻

通過(guò)防火墻對(duì)來(lái)往的IP包按照設(shè)定的安全規(guī)則進(jìn)行過(guò)濾、應(yīng)用代理和地址轉(zhuǎn)換等多種防御技術(shù)，可有效地防止黑客對(duì)內(nèi)部網(wǎng)絡(luò)的入侵。

6.1.4 入侵檢測(cè)

實(shí)時(shí)監(jiān)控訪問(wèn)網(wǎng)絡(luò)和系統(tǒng)的數(shù)據(jù)包，分析可疑行為，警告安全管理員或中斷攻擊連接，保護(hù)網(wǎng)絡(luò)和系統(tǒng)不受攻擊，生成詳細(xì)報(bào)表，為管理員完善安全策略提供依據(jù)。

6.1.5 漏洞掃描

發(fā)現(xiàn)漏洞，提供詳細(xì)漏洞報(bào)告，輔助中央維護(hù)員及時(shí)修補(bǔ)漏洞，保障網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)庫(kù)的全面安全。

6.2 本地服務(wù)區(qū)

本地服務(wù)區(qū)安全體系如下：

6.2.1 局域網(wǎng)絡(luò)

根據(jù)局域網(wǎng)絡(luò)中服務(wù)器的功能和服務(wù)對(duì)象，利用LAN交換機(jī)VLAN功能，按最小訪問(wèn)權(quán)限原則，將一個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)邏輯網(wǎng)段，實(shí)現(xiàn)資源的相互安全共享和網(wǎng)絡(luò)層的訪問(wèn)控制。

6.2.2 操作系統(tǒng)

選用C2級(jí)商用操作系統(tǒng)，實(shí)現(xiàn)按存取控制列表(ACL)對(duì)控制資源的存取，并軌跡記錄審計(jì)日志。

6.2.3 訪問(wèn)控制

主要是進(jìn)行用戶的身份認(rèn)證、權(quán)限控制、安全審計(jì)。

6.3 對(duì)外服務(wù)區(qū)

對(duì)外服務(wù)區(qū)系統(tǒng)網(wǎng)絡(luò)圖如下(圖3)：

圖3 對(duì)外服務(wù)區(qū)系統(tǒng)網(wǎng)絡(luò)圖

外層防火墻對(duì)網(wǎng)站采?。簛?lái)往的IP包按照設(shè)定的安全規(guī)則進(jìn)行過(guò)濾、應(yīng)用代理和地址轉(zhuǎn)換等多種防御技術(shù)，可有效地防止黑客對(duì)內(nèi)部網(wǎng)絡(luò)的入侵。

內(nèi)層防火墻采?。号c外層防火墻不同廠家的產(chǎn)品，防止黑客對(duì)網(wǎng)絡(luò)中心區(qū)服務(wù)器的攻擊。內(nèi)層防火墻有綜合數(shù)據(jù)包過(guò)濾、應(yīng)用代理和地址轉(zhuǎn)換等多種防御技術(shù)，集成多種網(wǎng)絡(luò)安全產(chǎn)品。

7 數(shù)據(jù)安全

下面從數(shù)據(jù)傳輸和存儲(chǔ)兩個(gè)方面討論AFC系統(tǒng)實(shí)現(xiàn)的數(shù)據(jù)安全性。

7.1 數(shù)據(jù)傳輸安全

AFC系統(tǒng)采用對(duì)消息中的敏感信息進(jìn)行加密和MAC驗(yàn)證兩種方法來(lái)保證數(shù)據(jù)傳輸過(guò)程中的保密性、完整性和來(lái)源的合法性。

7.2 數(shù)據(jù)存儲(chǔ)安全

AFC系統(tǒng)從以下三個(gè)方面考慮數(shù)據(jù)存儲(chǔ)安全：

7.2.1 敏感數(shù)據(jù)的加密存儲(chǔ)

敏感數(shù)據(jù)在網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫(kù)存儲(chǔ)時(shí)不得以明文出現(xiàn)，通過(guò)加密以密文方式存放在數(shù)據(jù)庫(kù)或數(shù)據(jù)文件中。

7.2.2 應(yīng)用架構(gòu)設(shè)計(jì)

由于軌道交通AFC系統(tǒng)是一個(gè)海量數(shù)據(jù)處理系統(tǒng)，為了使數(shù)據(jù)備份成為可能，日志表采用多套表設(shè)計(jì)。

7.2.3 數(shù)據(jù)庫(kù)和數(shù)據(jù)文件的備份策略

系統(tǒng)根據(jù)實(shí)際情況制定不同的備份策略。備份策略確定需備份的內(nèi)容、備份時(shí)間及備份方式。

8 結(jié)語(yǔ)

綜上所述,在制定AFC系統(tǒng)安全管理策略時(shí),需要建立多層次的防范機(jī)制、保護(hù)機(jī)制,規(guī)范完善安全監(jiān)督體系。在實(shí)踐中，我們還要不斷探索優(yōu)化系統(tǒng)構(gòu)成及管理模式,建立一個(gè)安全、可靠和穩(wěn)定運(yùn)行的AFC系統(tǒng),為無(wú)錫地鐵自動(dòng)售檢票事業(yè)做出貢獻(xiàn)。

[1]王國(guó)光. 自動(dòng)售檢票系統(tǒng)及關(guān)鍵技術(shù)研究[D].鐵道部科學(xué)研究院,2005.

[2]李立綱,洪瀾. 廣州地鐵自動(dòng)售檢票系統(tǒng)安全性探討[J]. 都市快軌交通,2006,04:33-35.

[3]李宇軒. 軌道交通自動(dòng)售檢票系統(tǒng)安全性分析及解決方法[J]. 現(xiàn)代城市軌道交通,2005,04:36-38+70.

[4]姜悅. 城市軌道交通車站自動(dòng)售檢票系統(tǒng)研究[D].長(zhǎng)春工業(yè)大學(xué),2015.

[5]胡鑫. AFC系統(tǒng)及相關(guān)網(wǎng)絡(luò)技術(shù)研究[D].天津大學(xué),2013.

(編輯 文新梅)

Analysis on the Security of AFC System in Wuxi Metro

ZHANG Jingxin

(Operation Company of Wuxi Metro Company Ltd., Wuxi 214000, China)

In the city rail transportation system, automatic fare collection (AFC) system as the city rail transit to provide passengers with a service window is the core subsystem of city rail transit system. Playing the roles of conductor, inspector, accountants, auditors and others, it achieves a high degree of automation of ticket management. This paper introduces the security for the AFC system of Wuxi Metro. Combined with the Wuxi Metro AFC project, this paper introduces the AFC system security measures from the aspects of ticket security, cash security, personnel security, equipment security, software security, network security, data security and so on.

Wuxi Metro; rail transit; security; automatic fare collection system

2016-12-10

張晶鑫(1989-)。學(xué)士學(xué)位，助理工程師。研究方向：城市軌道交通運(yùn)輸。

U231+.92 ;U293.2+2

A

1672-0601(2017)02-0113-04