趙偉慧，孫同慶，汪曉臣，王志飛

（中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京 100081)

0 引言

軌道交通乘客信息系統(tǒng)(PIS系統(tǒng))實時播放車站運營信息、列車到站信息、客流密度、公益廣告等服務(wù)資訊，及時告知并引導(dǎo)乘客出行，提高了地鐵服務(wù)水平和質(zhì)量；同時在火災(zāi)等緊急情況下，可迅速、直觀、醒目播放緊急疏散和防災(zāi)等文本和圖像信息，起到輔助防災(zāi)、救災(zāi)的作用，是保障城市軌道交通運行安全的重要手段[1]。PIS系統(tǒng)應(yīng)用廣泛，受眾群體龐大，信息發(fā)布的安全性至關(guān)重要。目前，城市軌道交通PIS系統(tǒng)均是獨立建設(shè)運營，針對信息系統(tǒng)網(wǎng)絡(luò)安全等級保護的安全物理環(huán)境、安全網(wǎng)絡(luò)通信和安全管理與運維要求[2]，在硬件層面做了防火墻隔離和訪問控制。

隨著城市軌道交通信息化、數(shù)字化、智能化建設(shè)的進(jìn)一步發(fā)展和完善，乘客服務(wù)信息內(nèi)容更加豐富，張森等[3]、賈文崢等[4]分別從智能化服務(wù)和線網(wǎng)化運營角度描述了乘客服務(wù)的發(fā)展趨勢，傳統(tǒng)單一圖文、音視頻服務(wù)信息逐步發(fā)展為“人—車—物—事件”多源融合的服務(wù)信息[5]，信息發(fā)布的多樣性和實時性要求越來越高。PIS系統(tǒng)信息發(fā)布的數(shù)據(jù)安全機制薄弱，從中心發(fā)布到車站終端顯示沒有嚴(yán)格的數(shù)據(jù)保護機制，存在信息被惡意篡改的風(fēng)險。特別是北京地鐵冬奧支線的乘客信息服務(wù)，涉及到冬奧賽事信息、疫情防控信息、車站運營信息、客流密度信息、周邊公交信息、商業(yè)活動信息的融合，多源數(shù)據(jù)實時發(fā)布對PIS系統(tǒng)信息發(fā)布管理的保密性、完整性、準(zhǔn)確性及防篡改等安全要求也越來越高，信息顯示的安全保障要求更為迫切。因此，PIS系統(tǒng)需要在網(wǎng)絡(luò)防護和訪問控制的基礎(chǔ)上，針對信息發(fā)布的處理、融合、編播、審核、傳輸、解析、顯示等各個環(huán)節(jié)進(jìn)行數(shù)據(jù)層面的加密防護和安全校驗，從而確保車站終端乘客服務(wù)信息顯示的安全性。

1 PIS系統(tǒng)信息發(fā)布數(shù)據(jù)安全性分析

分別從用戶數(shù)據(jù)和信息數(shù)據(jù)2個角度對PIS系統(tǒng)信息發(fā)布的數(shù)據(jù)安全性進(jìn)行分析。

（1）用戶數(shù)據(jù)安全性分析。PIS系統(tǒng)作為多用戶多角色參與的業(yè)務(wù)系統(tǒng)，在信息發(fā)布過程中，審批流轉(zhuǎn)需要多人協(xié)同完成，且基于網(wǎng)絡(luò)實現(xiàn)的業(yè)務(wù)操作用戶無法面對面確認(rèn)信息。目前，運營消息和媒體播放計劃的發(fā)布，對操作人員身份認(rèn)證僅依靠輸入密碼方式，存在一號多用、賬號盜用風(fēng)險，導(dǎo)致終端屏幕顯示非法或政治敏感信息，造成重大安全隱患。為保證操作人員的合法性，需要提高用戶身份認(rèn)證機制的安全性，從而保證信息編輯、審核、發(fā)布痕跡為用戶的真實意愿。

（2）信息數(shù)據(jù)安全性分析。PIS系統(tǒng)核心業(yè)務(wù)是面向公眾發(fā)布服務(wù)信息，信息來源較多，主要包括指揮中心媒體和運營信息、信號系統(tǒng)列車到發(fā)信息、綜合監(jiān)控系統(tǒng)緊急信息、外部公交系統(tǒng)換乘信息以及互聯(lián)網(wǎng)商業(yè)、天氣信息等。對信息接收、錄入、存儲、加工、傳遞等數(shù)據(jù)流動的各個環(huán)節(jié)均需要確保信息數(shù)據(jù)的完整性和真實性，主要包括存儲安全和傳輸安全2個方面。①數(shù)據(jù)存儲安全性?？紤]到大媒體文件的加解密效率低、列車到站信息秒級實時性要求以及IT部門運維人員數(shù)據(jù)庫問題排查直觀便捷性，PIS系統(tǒng)待發(fā)布信息以明文形式存儲，存儲信息在被調(diào)度發(fā)布時無法判斷存儲信息是否被惡意篡改，需要增加數(shù)據(jù)存儲防篡改校驗機制。②數(shù)據(jù)傳輸安全性。地鐵沿線車站較多，每個站點均與PIS 系統(tǒng)存在信息交互，一旦遭到惡意攻擊，數(shù)據(jù)有可能在傳輸?shù)倪^程中被竊取或篡改，造成信息無法發(fā)布或者發(fā)布內(nèi)容與審核內(nèi)容不一致，存在發(fā)布信息不可控的安全隱患，需要提升數(shù)據(jù)傳輸安全保護機制。

綜合以上對用戶數(shù)據(jù)和信息數(shù)據(jù)的不同安全需求分析，設(shè)計相應(yīng)的數(shù)據(jù)安全防護校驗機制，提出基于PIS架構(gòu)特點和信息發(fā)布流程的安全發(fā)布方案。

2 PIS系統(tǒng)信息安全發(fā)布平臺設(shè)計

2.1 系統(tǒng)總體架構(gòu)與安全支撐平臺架構(gòu)設(shè)計

乘客服務(wù)信息安全發(fā)布方案是在PIS系統(tǒng)架構(gòu)基礎(chǔ)上，針對信息發(fā)布功能的編輯、審核、存儲、調(diào)度、傳輸、顯示各個環(huán)節(jié)，增加用戶操作認(rèn)證、存儲防篡改校驗和信息加解密支撐模塊，構(gòu)建信息發(fā)布安全支撐平臺，實現(xiàn)對用戶數(shù)據(jù)和信息數(shù)據(jù)的安全保護功能。PIS系統(tǒng)信息安全發(fā)布總體架構(gòu)如圖1所示。

圖1 PIS系統(tǒng)信息安全發(fā)布總體架構(gòu)Fig.1 Overall architecture of secure PIS information release

PIS系統(tǒng)為“中心—車站”兩級控制結(jié)構(gòu)[6]，包括中心的信息發(fā)布客戶端、數(shù)據(jù)管理單元、信息調(diào)度單元及車站播放終端。信息發(fā)布客戶端提供信息編輯、審核、撤銷及日志查看功能，客戶端生成的信息和外部系統(tǒng)發(fā)送的信息均由數(shù)據(jù)管理單元按照統(tǒng)一數(shù)據(jù)結(jié)構(gòu)存儲，信息調(diào)度單元按照信息等級和播放時間從數(shù)據(jù)管理單元調(diào)取信息發(fā)送給車站播放終端顯示。

安全支撐平臺作為信息安全發(fā)布的服務(wù)支撐，一方面是以數(shù)字證書認(rèn)證技術(shù)為核心結(jié)合生物識別技術(shù)的安全認(rèn)證平臺，對信息發(fā)布操作用戶進(jìn)行身份認(rèn)證，確保用戶操作的安全性；另一方面，中心安全支撐平臺和車站安全支撐子平臺分別包含數(shù)據(jù)加解密盒子，對中心和車站間傳輸數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)在傳輸過程中的安全性。安全支撐平臺架構(gòu)設(shè)計如圖2所示，包含支撐層、服務(wù)層、接口層和應(yīng)用層。

圖2 安全支撐平臺架構(gòu)Fig.2 Architecture of security support platform

支撐層依托生物特征核驗引擎、數(shù)字簽名驗簽系統(tǒng)以及加解密設(shè)備為人臉信息識別、數(shù)字簽名、數(shù)據(jù)加密提供基礎(chǔ)支持。服務(wù)層是安全支撐平臺核心，包括安全支撐服務(wù)和安全支撐管理，安全支撐服務(wù)提供信息安全發(fā)布數(shù)字簽名、人臉比對、信息加解密服務(wù)，安全支撐管理用于維護用戶信息和密鑰信息。接口層是PIS業(yè)務(wù)系統(tǒng)和安全支撐平臺數(shù)據(jù)同步及服務(wù)調(diào)用的數(shù)據(jù)通道，包括生物特征認(rèn)證接口、信息加解密接口和用戶數(shù)據(jù)同步接口。應(yīng)用層針對PIS系統(tǒng)瀏覽器和服務(wù)器(B/S)架構(gòu)，封裝適配客戶端瀏覽器的安全組件，通過人臉活體檢測儀實現(xiàn)用戶人臉信息采集。

2.2 信息安全發(fā)布處理模塊設(shè)計

基于PIS系統(tǒng)信息發(fā)布各個環(huán)節(jié)業(yè)務(wù)流程和數(shù)據(jù)安全防護需求，通過操作安全認(rèn)證、存儲安全校驗和傳輸安全加密3個模塊實現(xiàn)信息安全發(fā)布。

（1）操作安全認(rèn)證。乘客服務(wù)信息的編輯、審核、撤銷等操作需要進(jìn)行用戶身份校驗。操作安全審核是通過更加安全可靠的身份認(rèn)證技術(shù)實現(xiàn)信息發(fā)布操作時的用戶身份識別和用戶操作認(rèn)證，規(guī)避一號多用和密碼盜用，確保用戶的真實性，并對用戶操作事件進(jìn)行認(rèn)證，形成信息發(fā)布完整證據(jù)鏈，確保操作可溯源，增強信息發(fā)布操作的安全性。

（2）存儲安全校驗。針對信息明文存儲的需求，信息存儲安全校驗基于信息摘要比對實現(xiàn)防篡改校驗。在原始信息存儲時，計算并保存信息摘要，在信息被調(diào)度發(fā)布到終端前再次計算其摘要，通過摘要比對主動識別信息在存儲期間被惡意篡改異常，及時終止非法信息的調(diào)度發(fā)布并反饋告警提示。

（3）傳輸安全加密。通過存儲安全校驗的信息經(jīng)由中心和車站PIS局域網(wǎng)絡(luò)發(fā)送給車站播放終端播出顯示。信息傳輸安全加密是指中心信息調(diào)度單元通過調(diào)用安全支撐平臺的中心加密盒子對待發(fā)布信息進(jìn)行加密，由加密信封的方式經(jīng)由原網(wǎng)絡(luò)傳輸信息。車站播放終端收到加密信封后通過安全支撐平臺的車站解密盒子進(jìn)行信息解密及有效性校驗，實現(xiàn)信息從中心到車站的加密傳輸，確保終端顯示信息的安全性。

3 信息安全發(fā)布處理模塊實現(xiàn)方案

3.1 基于人臉識別和數(shù)字簽名的用戶操作安全認(rèn)證

身份認(rèn)證主流方式包括靜態(tài)口令、動態(tài)口令、生物特征識別，其中生物特征識別中的人臉識別技術(shù)具有較高準(zhǔn)確度和安全性[7]。PIS系統(tǒng)用戶在客戶端進(jìn)行信息編輯、審核、撤銷操作時的身份審核采用“人臉識別+數(shù)字簽名”雙認(rèn)證方式。信息發(fā)布客戶端配置雙目攝像頭，采用專用近紅外人臉活體檢測算法，可判斷攝像頭實時采集人臉的真實性，規(guī)避了使用智能終端視頻、平面照片、簡易面具等手段進(jìn)行攻擊的行為。數(shù)字簽名是基于數(shù)字證書驗證用戶身份[8]，對用戶姓名、賬號、部門等信息進(jìn)行加密處理，用于在網(wǎng)絡(luò)通信中認(rèn)證各方身份信息，對用戶操作行為進(jìn)行認(rèn)證。PIS系統(tǒng)預(yù)先采集用戶人臉，綁定對應(yīng)的數(shù)字證書并保存在安全支撐平臺。

用戶身份認(rèn)證業(yè)務(wù)流程如圖3所示，用戶在登錄狀態(tài)有效時完成業(yè)務(wù)操作后，PIS系統(tǒng)信息發(fā)布客戶端將該用戶信息提交給安全支撐平臺，客戶端抓取的用戶照片與安全支撐平臺人像庫中錄入的照片進(jìn)行1 : 1比對，比對成功后獲取該用戶的私鑰，對用戶的操作行為進(jìn)行數(shù)字簽名，并存儲該認(rèn)證簽名信息，保證用戶行為的抗抵賴性。

圖3 用戶身份認(rèn)證業(yè)務(wù)流程Fig.3 Business process of user identity authentication

3.2 基于消息摘要算法的數(shù)據(jù)存儲安全校驗

消息摘要算法不涉及密鑰管理和獲取，具有輸出隨輸入改變的特征?；谙⒄惴?，針對待發(fā)布信息的關(guān)鍵要素進(jìn)行加密計算可以得到信息摘要信息，信息關(guān)鍵要素的任何改變都會導(dǎo)致其摘要的改變，摘要作為信息的“數(shù)字指紋”，具備唯一性，能夠確保信息的完整性[9]。

基于消息摘要算法的信息防篡改數(shù)字標(biāo)識模型如圖4所示，將待存儲信息的播放內(nèi)容、播放等級、播放時間作為消息摘要算法的輸入，生成信息的“數(shù)字指紋”。信息數(shù)據(jù)存儲時間的數(shù)據(jù)類型為時間戳 (TIMESTAMP)類型，當(dāng)存儲數(shù)據(jù)發(fā)生變化時存儲時間自動更新為當(dāng)前時間。信息“數(shù)字指紋”和數(shù)據(jù)存儲時間生成存儲數(shù)據(jù)的唯一標(biāo)識同步保存。當(dāng)運營信息被調(diào)用時，計算當(dāng)前存儲信息的摘要，結(jié)合當(dāng)前存儲時間生成數(shù)據(jù)標(biāo)識，與之前保存的數(shù)據(jù)標(biāo)識進(jìn)行比對，對于比對失敗的信息終止調(diào)度并生成相應(yīng)的存儲告警提示信息。

圖4 基于消息摘要算法的信息防篡改數(shù)字標(biāo)識模型Fig.4 Digital identification model featuring information tamper proof based on message digest algorithm

3.3 基于混合國密算法的信息傳輸安全加密

數(shù)據(jù)加密技術(shù)分為對稱型加密、非對稱型加密和不可逆加密3類。為了保障商用密碼的安全性，國家商用密碼管理辦公室制定了一系列密碼標(biāo)準(zhǔn)。其中，SM2橢圓曲線公鑰密碼算法為非對稱加密，密鑰分為公鑰和私鑰，為實現(xiàn)數(shù)字簽名提供了必要條件，其加密安全性高，但加解密速度較對稱算法慢，適用于加密密鑰和簽名等小塊數(shù)據(jù)；SM3密碼雜湊算法為不可逆加密，不存在密鑰保管和分發(fā)問題，適用于數(shù)字簽名和驗證消息認(rèn)證碼的生成與驗證；SM4分組密碼算法為對稱加密，計算速度快，尤其是對媒體大文件加密效率高，但存在密碼泄露風(fēng)險，安全性不高[10]。根據(jù)以上特點，綜合SM2算法安全性高和SM4算法速度快的優(yōu)勢，基于SM系列國密算法構(gòu)建具備驗證信息源的混合加密算法[11-12]，實現(xiàn)PIS系統(tǒng)信息從中心到車站的高可靠、高效率、低帶寬安全傳輸。

（1）中心調(diào)度發(fā)送端加密流程。中心調(diào)度發(fā)送端調(diào)用中心安全支撐平臺加密接口對待發(fā)送信息進(jìn)行數(shù)字簽名及加密，發(fā)送端加密流程如圖5所示，設(shè)定發(fā)送端SM2算法的私鑰為Ps，公鑰為Qs，接收端SM2算法私鑰為Pr，公鑰為Qr，SM4算法密鑰為K，發(fā)送端加密步驟為：①用SM3算法生成原始信息的摘要；②用發(fā)送端私鑰Ps通過SM2數(shù)字簽名算法加密摘要，生成數(shù)字簽名；③用SM4算法的密鑰K對數(shù)字簽名和原始信息進(jìn)行加密，生成信息密文S；④用接收端公鑰Qr通過SM2公鑰加密算法對K進(jìn)行加密，生成鑰匙密文；⑤將信息密文和鑰匙密文發(fā)送給接收端。

圖5 發(fā)送端加密流程Fig.5 Encryption process of information sender

（2）車站播放接收端解密流程。車站播放接收端接收加密信封后，調(diào)用車站安全支撐子平臺解密盒子接口，解密鑰匙密文和信息密文，并校驗信息源及信息的合法性，接收端解密流程如圖6所示，具體步驟為：①用接收端SM2算法的私鑰Pr解密鑰匙密文，得到SM4的密鑰K；②用K解密信息密文，得到明文信息和數(shù)字簽名；③用發(fā)送端SM2算法的公鑰Qs解密數(shù)字簽名，得到初始摘要；④用SM3算法生成明文信息的摘要；⑤比較明文摘要與初始摘要是否一致，如果一致則得到的明文信息即為原始信息，進(jìn)行播放顯示，如果不一致，則信息非法，終止信息播放并生成告警提示。

圖6 接收端解密流程Fig.6 Decryption process of information receiver

利用上述信息加解密方案實現(xiàn)PIS信息加密傳輸，確保了信息內(nèi)容及信息源的安全性，具有以下優(yōu)勢：①主體信息數(shù)據(jù)采用加密效率高的SM4算法加密，對SM4算法的密鑰采用SM2算法加密，總體加密、解密速度快，能夠滿足PIS系統(tǒng)信息實時性發(fā)布要求；②用發(fā)送端SM2算法私鑰加密摘要形成數(shù)字簽名并在接收端解密校驗，在信息加密傳輸?shù)耐瑫r驗證了發(fā)送方的身份和數(shù)據(jù)的完整性，加強了信息發(fā)布的安全性；③采用SM2算法加密SM4算法的密鑰，與信息密文合并為加密信封同步傳輸，避免發(fā)送端向接收端單獨傳遞信息解密的密鑰，降低密鑰泄露風(fēng)險。

4 結(jié)束語

所提出的PIS系統(tǒng)信息安全發(fā)布方案，集乘客服務(wù)信息發(fā)布的操作審核安全、數(shù)據(jù)存儲安全、信息傳輸安全技術(shù)于一體，提高了乘客服務(wù)信息發(fā)布的安全性?；谒龇桨秆邪l(fā)的成套乘客信息系統(tǒng)產(chǎn)品在北京地鐵冬奧支線進(jìn)行了試點應(yīng)用，并針對用戶操作認(rèn)證、數(shù)據(jù)存儲、信息傳輸環(huán)節(jié)進(jìn)行了模擬安全風(fēng)險測試，測試結(jié)果表明系統(tǒng)能夠精準(zhǔn)識別盜用賬號、冒名頂替等非法用戶操作行為，及時感知數(shù)據(jù)庫中待發(fā)布信息的異常變更，自動校驗信息在中心到車站網(wǎng)絡(luò)傳輸中的完整性和有效性，極大地提高了車站播放終端顯示信息的準(zhǔn)確性。隨著城市軌道交通與市郊鐵路、城際鐵路、干線鐵路的融合發(fā)展，設(shè)施互聯(lián)和信息共享逐步實現(xiàn)，大型綜合車站的信息發(fā)布內(nèi)容更加豐富靈活，研究不同系統(tǒng)間服務(wù)信息交互安全性勢在必行，通過進(jìn)一步提高數(shù)據(jù)安全校驗和加解密算法的效率，建立更全面更高效的乘客服務(wù)信息安全發(fā)布系統(tǒng)。