劉樂(lè)毅 趙圣娜 張寧 張炳森

(1.南京地鐵運(yùn)營(yíng)有限責(zé)任公司，南京 210012；2.中鐵上海設(shè)計(jì)院集團(tuán)有限公司，上海 200070；3.東南大學(xué)智能運(yùn)輸系統(tǒng)研究中心軌道交通研究所，南京 210096）

1 概述

城市軌道交通自動(dòng)售檢票（Automatic Fare Collection, AFC）系統(tǒng)為乘客提供了便捷、高效、人性化的服務(wù)，是城市軌道交通的重要組成部分[1]。目前，AFC傳統(tǒng)的5層架構(gòu)模式在互聯(lián)互通、資源高效利用等方面存在一定的局限性；另外，網(wǎng)絡(luò)化運(yùn)營(yíng)逐漸實(shí)現(xiàn)，如何滿足AFC系統(tǒng)海量數(shù)據(jù)的高效率存儲(chǔ)、讀寫(xiě)和計(jì)算的量級(jí)需求，以及后期線路接入的擴(kuò)展性需求，成為運(yùn)營(yíng)管理部門(mén)關(guān)心的重要問(wèn)題。

云計(jì)算作為一種新型的計(jì)算模式，應(yīng)用于軌道交通系統(tǒng)中以降低建設(shè)和運(yùn)營(yíng)成本已成為趨勢(shì)[2]。云計(jì)算分為公有云、私有云和混合云[3]。私有云是由企業(yè)自己構(gòu)建的，企業(yè)擁有基礎(chǔ)設(shè)備，不僅可提供對(duì)數(shù)據(jù)、安全性和服務(wù)質(zhì)量的有效控制，并可控制在基礎(chǔ)設(shè)施上部署應(yīng)用程序的方式。將私有云引入到軌道交通建設(shè)中，從長(zhǎng)遠(yuǎn)角度考慮，私有云平臺(tái)的成本呈現(xiàn)降低的趨勢(shì)[4]；另一方面，數(shù)據(jù)存儲(chǔ)安全性與可靠性較高，私有云平臺(tái)架構(gòu)的部署靈活性較高。所以考慮建立基于私有云平臺(tái)的AFC系統(tǒng)（Automatic Fare Collection based on Private Cloud Platform,PCAFC），是解決AFC問(wèn)題的有效途徑。

結(jié)合上述分析，首先分析了基于私有云平臺(tái)的AFC系統(tǒng)的需求，接著提出一種私有云平臺(tái)AFC系統(tǒng)架構(gòu)，在此基礎(chǔ)上，探討PCAFC實(shí)現(xiàn)的方案，對(duì)整個(gè)AFC系統(tǒng)的運(yùn)營(yíng)管理與工程建設(shè)具有積極意義。

2 基于私有云平臺(tái)的AFC系統(tǒng)需求分析

構(gòu)建PCAFC系統(tǒng)，需要了解系統(tǒng)的需求。從功能和非功能兩個(gè)方面進(jìn)行分析，為下文確定系統(tǒng)架構(gòu)奠定基礎(chǔ)。

2.1 功能需求分析

結(jié)合運(yùn)營(yíng)管理部門(mén)的職能定位，PCAFC系統(tǒng)除了應(yīng)滿足既有AFC系統(tǒng)的主要功能之外，還應(yīng)具備應(yīng)對(duì)網(wǎng)絡(luò)化運(yùn)營(yíng)及大客流帶來(lái)的大數(shù)據(jù)挖掘、分析、存儲(chǔ)、管理等能力，功能需求可以分為幾個(gè)方面[5]，如表1所示。

2.2 非功能需求分析

在非功能需求方面應(yīng)具備安全性、可靠性和可擴(kuò)展性。

1）安全性

為保障系統(tǒng)的安全性，應(yīng)在不同域的邊界設(shè)置防火墻、入侵檢測(cè)系統(tǒng)、防病毒體系以及訪問(wèn)控制列表等安全保障體系，數(shù)據(jù)的安全性應(yīng)采取有效的加密技術(shù)來(lái)實(shí)現(xiàn)。

表1 系統(tǒng)功能需求表Tab.1 System function requirements

2）可靠性

系統(tǒng)各層要符合相關(guān)技術(shù)規(guī)范，滿足穩(wěn)定運(yùn)行與故障修復(fù)的時(shí)間要求，全生命周期內(nèi)都要確保系統(tǒng)的穩(wěn)定性與可靠性。

3）可擴(kuò)展性

為滿足軌道交通線網(wǎng)規(guī)模擴(kuò)大和客流量日益增長(zhǎng)的需要，PCAFC系統(tǒng)應(yīng)具備可擴(kuò)展性，預(yù)留未來(lái)新線接入的接口需求與容量需求。

3 基于私有云平臺(tái)的AFC系統(tǒng)架構(gòu)

軌道交通的發(fā)展使得AFC5層架構(gòu)體系存在一定的局限性，出現(xiàn)了多線路中心、區(qū)域中心、合并清分（ACC）系統(tǒng)和線路中央計(jì)算機(jī)（LC）系統(tǒng)的優(yōu)化形式[6]，然而這些方案一定程度上精簡(jiǎn)了系統(tǒng)架構(gòu)，但未將車(chē)站級(jí)系統(tǒng)的優(yōu)化考慮在內(nèi)。針對(duì)此問(wèn)題，考慮引入云計(jì)算技術(shù)優(yōu)化AFC系統(tǒng)架構(gòu)。

3.1 AFC系統(tǒng)私有云平臺(tái)總體架構(gòu)

基于私有云平臺(tái)的AFC系統(tǒng)架構(gòu)如圖1所示。

在PCAFC系統(tǒng)架構(gòu)中，私有云平臺(tái)取代了原系統(tǒng)中的ACC層和LC層，是PCAFC系統(tǒng)中的主生產(chǎn)系統(tǒng)，實(shí)現(xiàn)軌道交通運(yùn)營(yíng)的管理工作。車(chē)站計(jì)算機(jī)（SC）系統(tǒng)直接通過(guò)專(zhuān)用通信傳輸系統(tǒng)提供的以太網(wǎng)通道與私有云平臺(tái)互連，各車(chē)站共享私有云平臺(tái)計(jì)算機(jī)服務(wù)器資源池，車(chē)站只保留操作終端。當(dāng)車(chē)站終端設(shè)備與SC或SC與私有云平臺(tái)之間通信中斷或無(wú)網(wǎng)絡(luò)連接時(shí)，設(shè)備可在離線模式下工作，并在本機(jī)上保存相關(guān)的參數(shù)設(shè)置。當(dāng)恢復(fù)通信時(shí)，系統(tǒng)自動(dòng)檢測(cè)未上傳完的數(shù)據(jù)，并自動(dòng)上傳至私有云平臺(tái)。

圖1 PCAFC 系統(tǒng)結(jié)構(gòu)圖Fig.1 PCAFC system structure

圖2 私有云平臺(tái)總體架構(gòu)示意圖Fig.2 Overall architecture of the private cloud platform

3.2 私有云平臺(tái)架構(gòu)

私有云平臺(tái)按架構(gòu)可以分為基礎(chǔ)設(shè)施層、平臺(tái)中間件層和軟件層，此外還有貫穿整個(gè)私有云平臺(tái)全局的云安全機(jī)制[7]，如圖2所示。

基礎(chǔ)設(shè)施層主要由物理資源池和虛擬資源池兩部分組成，物理資源池由各式各樣的硬件構(gòu)成，通過(guò)虛擬技術(shù)將相同類(lèi)型的資源構(gòu)成同構(gòu)或接近同構(gòu)的資源池[8]。云平臺(tái)中間件是平臺(tái)的核心，為系統(tǒng)提供多元化的應(yīng)用環(huán)境與業(yè)務(wù)平臺(tái)，可以劃分為：業(yè)務(wù)中心、用戶中心、資源中心、云數(shù)據(jù)中心、培訓(xùn)測(cè)試中心和云災(zāi)備中心。軟件層是通過(guò)將特定的開(kāi)發(fā)環(huán)境、應(yīng)用軟件和操作系統(tǒng)封裝成標(biāo)準(zhǔn)Web Services服務(wù)，為管理者和相關(guān)操作人員提供按需服務(wù)。云平臺(tái)安全機(jī)制的目的是達(dá)到降低風(fēng)險(xiǎn)、保護(hù)系統(tǒng)資源與數(shù)據(jù)庫(kù)。

4 基于私有云平臺(tái)的AFC系統(tǒng)實(shí)現(xiàn)方案

在PCAFC系統(tǒng)中，車(chē)票層和終端設(shè)備層繼承了傳統(tǒng)AFC系統(tǒng)的建設(shè)模式，車(chē)站層簡(jiǎn)化為不具備計(jì)算與存儲(chǔ)資源的瘦客戶端，私有云平臺(tái)為主生產(chǎn)系統(tǒng)。結(jié)合系統(tǒng)架構(gòu)，對(duì)私有云平臺(tái)的實(shí)現(xiàn)方案進(jìn)行詳細(xì)研究。

4.1 基礎(chǔ)設(shè)施層的實(shí)現(xiàn)

1）基礎(chǔ)設(shè)施的部署模式

傳統(tǒng)AFC系統(tǒng)的數(shù)據(jù)中心采用“煙囪式”的建設(shè)模式，即應(yīng)用程序與各自的服務(wù)器和存儲(chǔ)設(shè)備自成一體，服務(wù)器之間存在隔離、擴(kuò)展難度大的缺點(diǎn)[9]。PCAFC系統(tǒng)在基礎(chǔ)設(shè)施部署時(shí)，摒棄此建設(shè)模式，將所需的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等硬件設(shè)備加以集中配置，形成一體化的基礎(chǔ)設(shè)施資源池，如圖3所示。資源池中的服務(wù)器、存儲(chǔ)等設(shè)備不再按業(yè)務(wù)類(lèi)別作具體劃分，規(guī)避了“煙囪”模式帶來(lái)的問(wèn)題。

圖3 PCAFC系統(tǒng)基礎(chǔ)設(shè)施的部署模式Fig.3 Deployment mode of PCAFC system infrastructure

2）基礎(chǔ)設(shè)施的選擇

基礎(chǔ)設(shè)施的選擇要從云服務(wù)器類(lèi)型、性能和云數(shù)據(jù)中心存儲(chǔ)容量?jī)煞矫婵紤]。云服務(wù)器類(lèi)型要保證數(shù)據(jù)安全可靠，可選擇基于x86架構(gòu)的服務(wù)器；服務(wù)器性能從CPU處理能力和內(nèi)存大小兩方面分析，在考慮交易數(shù)量和30%冗余負(fù)荷情況下，處理能力應(yīng)不小于事物處理性能的基準(zhǔn)程序值；服務(wù)器內(nèi)存配置要在確定內(nèi)存開(kāi)銷(xiāo)的基礎(chǔ)上做出預(yù)留。云數(shù)據(jù)中心存儲(chǔ)容量需考慮全年交易數(shù)據(jù)所需容量，并為未來(lái)業(yè)務(wù)增長(zhǎng)預(yù)留足夠存儲(chǔ)空間。

3）虛擬化的實(shí)現(xiàn)

根據(jù)對(duì)基礎(chǔ)設(shè)施的規(guī)劃，創(chuàng)建物理設(shè)施資源池，采用虛擬化軟件Xen或KVM將物理設(shè)施虛擬化成虛擬資源池。業(yè)務(wù)服務(wù)器中抽象出多個(gè)虛擬機(jī)，并為每個(gè)虛擬機(jī)配置相應(yīng)的操作系統(tǒng)和應(yīng)用。虛擬化的實(shí)現(xiàn)使得同一臺(tái)業(yè)務(wù)服務(wù)器上同時(shí)運(yùn)行多個(gè)不同的操作系統(tǒng)和不同的業(yè)務(wù)功能成為可能。同時(shí)，因使用特定型號(hào)的計(jì)算機(jī)、特殊尺寸的磁盤(pán)以及其他類(lèi)似特殊硬件設(shè)備而產(chǎn)生的局限性將盡可能地被減少，甚至被消除。

4.2 云平臺(tái)中間件的實(shí)現(xiàn)

云平臺(tái)中間件是私有云平臺(tái)的核心部分，PCAFC系統(tǒng)業(yè)務(wù)的處理在云平臺(tái)中間件環(huán)境中實(shí)現(xiàn)，下面從各個(gè)模塊來(lái)分析如何實(shí)現(xiàn)PCAFC的功能需求

1）業(yè)務(wù)中心

業(yè)務(wù)中心實(shí)現(xiàn)PCAFC系統(tǒng)主要業(yè)務(wù)處理，通過(guò)設(shè)置運(yùn)營(yíng)管理模塊、票務(wù)管理模塊、清分管理模塊、信息管理模塊和系統(tǒng)管理模塊實(shí)現(xiàn)運(yùn)營(yíng)管理、票務(wù)管理、清分管理、信息管理和系統(tǒng)管理功能需求。

2）用戶中心

用戶中心實(shí)現(xiàn)對(duì)用戶身份及權(quán)限的管理，并為用戶提供操作環(huán)境配置。根據(jù)系統(tǒng)用戶職權(quán)的不同設(shè)置不同組別，賦予有關(guān)的功能及權(quán)限，同一組別可配置個(gè)別的用戶權(quán)限。所有用戶必須經(jīng)過(guò)申請(qǐng)，得到批準(zhǔn)后，由系統(tǒng)管理人員通過(guò)云平臺(tái)開(kāi)設(shè)賬號(hào)，賦予有關(guān)功能權(quán)限。

3）資源中心

資源中心實(shí)現(xiàn)對(duì)基礎(chǔ)設(shè)施資源的管理，采用動(dòng)態(tài)平衡策略，實(shí)時(shí)地監(jiān)測(cè)基礎(chǔ)設(shè)施資源的使用情況，作出及時(shí)、合理的資源調(diào)度。資源調(diào)度過(guò)程既要考慮請(qǐng)求任務(wù)的實(shí)際需求，也要考慮計(jì)算節(jié)點(diǎn)的物理性能，以減少基礎(chǔ)設(shè)施資源的開(kāi)銷(xiāo)。

4）云數(shù)據(jù)中心

云數(shù)據(jù)中心實(shí)現(xiàn)PCAFC系統(tǒng)中的海量數(shù)據(jù)處理、分析與存儲(chǔ)功能。Hadoop是對(duì)Google云平臺(tái)的開(kāi)源實(shí)現(xiàn)，提供了二次開(kāi)發(fā)與個(gè)性化服務(wù)定制的功能，可以滿足城市軌道交通AFC系統(tǒng)的需要。因此，云數(shù)據(jù)中心采用基于Hadoop的方案，選用分布式云存儲(chǔ)、HDFS分布式文件系統(tǒng)和融合型數(shù)據(jù)庫(kù)以實(shí)現(xiàn)系統(tǒng)需求。

5）培訓(xùn)測(cè)試中心

培訓(xùn)測(cè)試中心提供真實(shí)的云平臺(tái)模擬系統(tǒng)，為參加培訓(xùn)的人員提供真實(shí)的學(xué)習(xí)環(huán)境，模擬測(cè)試系統(tǒng)實(shí)現(xiàn)系統(tǒng)開(kāi)通前的軟硬件功能測(cè)試、開(kāi)通后軟硬件修改、配合其他線路作開(kāi)通測(cè)試和軟件修改等功能。

6）云災(zāi)備中心

私有云平臺(tái)作為軌道交通的清分中心，發(fā)生癱瘓等事故會(huì)給整個(gè)行業(yè)帶來(lái)嚴(yán)重后果，因此，為不影響整個(gè)PCAFC系統(tǒng)的正常工作，需建立異地云災(zāi)備中心。云災(zāi)備中心的建設(shè)模式有主備模式、混合雙活和雙活模式。

考慮到PCAFC系統(tǒng)對(duì)大數(shù)據(jù)的計(jì)算有較高的實(shí)時(shí)性要求，選擇雙活模式建立災(zāi)備中心，如圖4所示活模式指云平臺(tái)和云災(zāi)備中心所有的服務(wù)器、存儲(chǔ)設(shè)備全天候處于生產(chǎn)狀態(tài)，根據(jù)服務(wù)需求，將業(yè)務(wù)分配到不同的中心，跨雙中心建立共享的資源訪問(wèn)方式和高可用性集群，通過(guò)數(shù)據(jù)復(fù)制技術(shù)將數(shù)據(jù)鏡像到對(duì)方中心。當(dāng)出現(xiàn)災(zāi)難事件時(shí)，根據(jù)需要接管的方式，按照當(dāng)前的業(yè)務(wù)狀態(tài)動(dòng)態(tài)調(diào)整調(diào)度服務(wù)和資源。

圖4 云災(zāi)備中心雙活模式Fig.4 Double live mode of Cloud Disaster Center

4.3 云安全機(jī)制的實(shí)現(xiàn)

由于私有云平臺(tái)由軌道公司自行部署，位于企業(yè)內(nèi)部，所以不需要考慮公共用戶、公共網(wǎng)絡(luò)等安全問(wèn)題。經(jīng)過(guò)對(duì)云平臺(tái)基礎(chǔ)設(shè)施層、云平臺(tái)中間件和軟件層安全問(wèn)題的分析，從軟件安全機(jī)制、網(wǎng)絡(luò)安全機(jī)制和數(shù)據(jù)安全機(jī)制3方面解決云安全問(wèn)題。

1）軟件安全機(jī)制

軟件安全機(jī)制體現(xiàn)在軟件自身保護(hù)、防止惡意破壞數(shù)據(jù)、防止誤操作、跟蹤與審計(jì)、軟件更新安全等5方面。

軟件自身保護(hù)：通過(guò)在PCAFC系統(tǒng)專(zhuān)用網(wǎng)與外部系統(tǒng)之間設(shè)置防火墻，避免大部分來(lái)自外部網(wǎng)絡(luò)的病毒等侵害。

防止惡意破壞數(shù)據(jù)：將所有原始數(shù)據(jù)在存儲(chǔ)時(shí)自動(dòng)進(jìn)行備份，對(duì)于數(shù)據(jù)量比較大的原始數(shù)據(jù)，在存儲(chǔ)時(shí)根據(jù)一定的規(guī)則劃分，分布存放到不同的存儲(chǔ)區(qū)域。

防止誤操作：系統(tǒng)中所有的操作都要檢查執(zhí)行者的口令和權(quán)限，避免大多數(shù)誤操作。

跟蹤和審計(jì)：系統(tǒng)將登記所有終端設(shè)備操作，并記錄到各自的日志中，上傳至私有云平臺(tái)做長(zhǎng)期保存。利用審計(jì)工具以及校驗(yàn)工具進(jìn)行操作審核等操作。

軟件更新安全：系統(tǒng)軟件、設(shè)備軟件均可以實(shí)現(xiàn)動(dòng)態(tài)更新，在設(shè)備中長(zhǎng)期保存一個(gè)可靠版本軟件，以保證軟件更新失敗時(shí)，可以將其恢復(fù)到一個(gè)可靠運(yùn)行的版本。

2）網(wǎng)絡(luò)安全機(jī)制

網(wǎng)絡(luò)安全是整個(gè)PCAFC系統(tǒng)安全的基石。私有云平臺(tái)與車(chē)站系統(tǒng)、城市公共交通卡系統(tǒng)和銀行系統(tǒng)之間實(shí)現(xiàn)安全的網(wǎng)絡(luò)通信和數(shù)據(jù)傳遞主要依賴(lài)于防火墻，但這種防護(hù)只能是基于IP層的訪問(wèn)控制，對(duì)不同的用戶與具體文件無(wú)法實(shí)現(xiàn)控制，是一種粗粒度的防護(hù)，因此，在此基礎(chǔ)上，可配置入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒軟件，為系統(tǒng)安全提供多方面的安全防范手段。

3）數(shù)據(jù)安全機(jī)制

數(shù)據(jù)安全機(jī)制需從數(shù)據(jù)傳輸安全和數(shù)據(jù)存儲(chǔ)安全兩方面考慮。

a.數(shù)據(jù)傳輸安全

數(shù)據(jù)傳輸安全主要是指數(shù)據(jù)在兩邊交互時(shí)的安全保護(hù)，通常利用數(shù)據(jù)加密技術(shù)來(lái)保證交易數(shù)據(jù)的傳輸安全。整個(gè)數(shù)據(jù)傳輸過(guò)程如圖5所示，發(fā)送方將交易數(shù)據(jù)成功發(fā)出后，仍需要將這些數(shù)據(jù)于本地進(jìn)行有效保存，以便進(jìn)行數(shù)據(jù)審計(jì)或傳輸失敗時(shí)進(jìn)行重傳。傳輸過(guò)程中加密與解密密鑰是對(duì)稱(chēng)且唯一的，統(tǒng)一由密鑰管理中心負(fù)責(zé)生成與分配。

圖5 數(shù)據(jù)加密傳輸過(guò)程Fig.5 Data encryption transmission process

b.數(shù)據(jù)存儲(chǔ)安全

存儲(chǔ)在服務(wù)器、工作站和數(shù)據(jù)庫(kù)系統(tǒng)等處的數(shù)據(jù)，除了通過(guò)系統(tǒng)軟件、設(shè)備軟件、病毒防范系統(tǒng)和操作規(guī)范等外部措施保障外，從數(shù)據(jù)本身來(lái)說(shuō)，應(yīng)對(duì)數(shù)據(jù)丟失異常的唯一手段就是對(duì)數(shù)據(jù)進(jìn)行有效的備份。

5 結(jié)語(yǔ)

隨著軌道交通網(wǎng)絡(luò)化運(yùn)營(yíng)的逐漸實(shí)現(xiàn)，AFC系統(tǒng)的優(yōu)化越來(lái)越受到有關(guān)部門(mén)的重視，云計(jì)算在軌道交通系統(tǒng)中的應(yīng)用空間巨大，引入AFC系統(tǒng)中具有積極意義。選擇私有云平臺(tái)的部署方案，分析基于云平臺(tái)的AFC系統(tǒng)功能與非功能的需求，并提出一種系統(tǒng)架構(gòu)，在此基礎(chǔ)上，分別從基礎(chǔ)設(shè)施層、云平臺(tái)中間件層以及安全機(jī)制層探討基于私有云平臺(tái)的AFC系統(tǒng)實(shí)現(xiàn)方案。該研究為我國(guó)軌道交通AFC系統(tǒng)的架構(gòu)設(shè)計(jì)、優(yōu)和調(diào)整提供參考。