王 健，李 郁，張亦然，吳 娟，張明柱

（1.南京地鐵集團(tuán)有限公司，南京 210008；2.北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；3.南京地鐵建設(shè)有限責(zé)任公司，南京 210008）

1 概述

自動(dòng)售檢票系統(tǒng)（Automatic Fare Collection System，AFC）安全性的高低直接影響票務(wù)收益安全，在整個(gè)地鐵運(yùn)營(yíng)中起著至關(guān)重要的作用。隨著移動(dòng)支付技術(shù)、人臉識(shí)別技術(shù)、語(yǔ)音識(shí)別技術(shù)等在地鐵AFC 系統(tǒng)中不斷發(fā)展應(yīng)用，對(duì)AFC 系統(tǒng)的可靠性、安全性、實(shí)時(shí)性和開(kāi)放性的要求越來(lái)越高，AFC 系統(tǒng)與外部系統(tǒng)的接口也越來(lái)越多，面臨的外部風(fēng)險(xiǎn)也越來(lái)越大。在日常的運(yùn)營(yíng)過(guò)程中，AFC 系統(tǒng)產(chǎn)生了大量的重要數(shù)據(jù)信息，例如設(shè)備運(yùn)行指令信息、交易信息、乘客支付信息、乘客注冊(cè)信息、人臉信息等，其中很多數(shù)據(jù)信息涉及到系統(tǒng)安全、財(cái)務(wù)安全甚至人身安全，伴隨著海量的數(shù)據(jù)交互的產(chǎn)生，如何保障AFC 系統(tǒng)的數(shù)據(jù)安全就顯得尤為重要。同時(shí)，隨著計(jì)算機(jī)的計(jì)算能力不斷增強(qiáng)，傳統(tǒng)的數(shù)據(jù)加密算法仍有一定被破解的風(fēng)險(xiǎn)。此外，國(guó)家對(duì)信息安全等級(jí)保護(hù)工作要求也不斷提升，出臺(tái)了一系列法律法規(guī)，要求保障網(wǎng)絡(luò)與信息的安全，對(duì)于自動(dòng)售檢票系統(tǒng)的安全防護(hù)提出了更高的要求。因此需要更加安全的防護(hù)手段，確保AFC 系統(tǒng)安全穩(wěn)定可靠的運(yùn)行。

為了彌補(bǔ)傳統(tǒng)AFC 系統(tǒng)加密的不足，提高數(shù)據(jù)傳輸?shù)陌踩?，本文設(shè)計(jì)了一種基于量子密鑰分發(fā)(Quantum Key Distribution，QKD)和對(duì)稱(chēng)加密技術(shù)的地鐵AFC 系統(tǒng)量子保密通信傳輸方案，采用更加安全可靠的量子保密通信技術(shù)來(lái)提升數(shù)據(jù)的安全。

2 自動(dòng)售檢票系統(tǒng)數(shù)據(jù)安全防護(hù)現(xiàn)狀

AFC 系統(tǒng)根據(jù)各層次設(shè)備和子系統(tǒng)各自的功能、管理職能和所處的位置劃分為5 層系統(tǒng)架構(gòu)，系統(tǒng)架構(gòu)具有一定的伸縮性，自動(dòng)售檢票系統(tǒng)架構(gòu)如圖1所示。從車(chē)站到清分中心，自動(dòng)售檢票系統(tǒng)與通信、綜合監(jiān)控、一卡通、第三方支付等存在多個(gè)外部系統(tǒng)接口，系統(tǒng)生產(chǎn)環(huán)境復(fù)雜，不確定風(fēng)險(xiǎn)較多。

圖1 自動(dòng)售檢票系統(tǒng)架構(gòu)Fig.1 Architecture of AFC system

傳統(tǒng)AFC 系統(tǒng)采用基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）的方式部署加密模塊（Security Access Module，SAM）卡，對(duì)系統(tǒng)進(jìn)行身份認(rèn)證、文件簽名、數(shù)據(jù)加密等，其安全機(jī)制的保障是基于密鑰的安全性，通過(guò)復(fù)雜算法對(duì)數(shù)據(jù)進(jìn)行加密。由于現(xiàn)有技術(shù)尚不具備破解能力，信息傳輸整體安全性能夠得到有效保障。隨著人類(lèi)計(jì)算能力的增強(qiáng)，以及密鑰破解算法的突破，非對(duì)稱(chēng)SM2 加密算法的破解難度和時(shí)間將大幅降低，攻擊者通過(guò)竊聽(tīng)密鑰協(xié)商過(guò)程有可能破解出雙方協(xié)商的密鑰，竊取核心信息，傳統(tǒng)密碼保密體系的破解風(fēng)險(xiǎn)與日俱增。由于地鐵密鑰更新頻率低，一旦被破解，將會(huì)對(duì)地鐵造成不可估量的損失，因此需要構(gòu)建更安全的數(shù)據(jù)保密措施，來(lái)保證數(shù)據(jù)的安全。

3 量子保密通信在AFC系統(tǒng)的應(yīng)用

量子保密通信的原理是基于量子密鑰分發(fā)的密碼通信解決方案，量子密鑰分發(fā)不依賴(lài)于計(jì)算的復(fù)雜性來(lái)保證通信安全，而是基于量子力學(xué)基本原理，從原理上保證了一旦存在竊聽(tīng)就必然被發(fā)現(xiàn)。同時(shí)，量子密碼系統(tǒng)的安全性不會(huì)受到計(jì)算能力和數(shù)學(xué)水平的不斷提高的威脅，理論上可實(shí)現(xiàn)不可破譯的安全保密通信。因此，可以利用量子保密通信技術(shù)，對(duì)AFC 系統(tǒng)數(shù)據(jù)進(jìn)行加密傳輸，從而提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3.1 自動(dòng)售檢票系統(tǒng)數(shù)據(jù)安全加密需求

AFC 系統(tǒng)內(nèi)主要數(shù)據(jù)流向如圖2 所示，按照數(shù)據(jù)流向分為上傳數(shù)據(jù)流及下載數(shù)據(jù)流。下載數(shù)據(jù)流，即從清分中心（ACC）將指令、運(yùn)營(yíng)參數(shù)、票務(wù)庫(kù)存數(shù)據(jù)等下傳到線(xiàn)路中心（LC）/車(chē)站（SC）/車(chē)站終端設(shè)備；上傳數(shù)據(jù)流，即收集與設(shè)備交易有關(guān)的交易數(shù)據(jù)、設(shè)備狀態(tài)等，上傳至SC/LC/ACC。AFC 系統(tǒng)內(nèi)大部分?jǐn)?shù)據(jù)按照系統(tǒng)架構(gòu)逐層上傳，但是根據(jù)業(yè)務(wù)需求不同，部分?jǐn)?shù)據(jù)由終端設(shè)備直接與ACC 進(jìn)行傳輸。因此，在減少對(duì)既有系統(tǒng)的影響的前提下，基于地鐵AFC 系統(tǒng)架構(gòu)及數(shù)據(jù)流向，在原有的安全性措施的基礎(chǔ)上，在清分中心、線(xiàn)路中心及車(chē)站部署量子安全設(shè)備，建立量子安全加密隧道，形成量子保密通信網(wǎng)絡(luò)，構(gòu)建更高安全等級(jí)、更全面的AFC 系統(tǒng)數(shù)據(jù)加密傳輸體系。

圖2 AFC系統(tǒng)內(nèi)主要數(shù)據(jù)流向Fig.2 Flow of main data in AFC system

3.2 量子保密通信設(shè)備部署應(yīng)用方案

清分中心與線(xiàn)路中心之間有大量的交易數(shù)據(jù)、對(duì)賬數(shù)據(jù)、系統(tǒng)參數(shù)等關(guān)鍵數(shù)據(jù)，數(shù)據(jù)交互量大，對(duì)于系統(tǒng)安全要求比較高，因此，在清分中心與線(xiàn)路中心之間采用基于量子加密機(jī)結(jié)合QKD 的量子安全傳輸方案。車(chē)站的半自動(dòng)售票機(jī)、智慧客服等終端設(shè)備不僅包含交易信息，還可以進(jìn)行人臉注冊(cè)、移動(dòng)支付票務(wù)處理等，涉及到許多個(gè)人信息，并且車(chē)站分布廣、現(xiàn)場(chǎng)環(huán)境復(fù)雜，車(chē)站到中心的信息安全很難保障。因此，在車(chē)站與線(xiàn)路中心及清分中心之間采用基于量子加密機(jī)的量子安全終端防護(hù)方案，建立車(chē)站到線(xiàn)路中心及清分中心的量子密鑰體系，對(duì)敏感的人臉信息、交易信息、二維碼信息等數(shù)據(jù)提供高安全的加密傳輸通道，保障車(chē)站與線(xiàn)路中心及清分中心之間的數(shù)據(jù)業(yè)務(wù)傳輸安全。量子保密通信在AFC 系統(tǒng)的網(wǎng)絡(luò)拓?fù)淙鐖D3 所示，在清分中心、線(xiàn)路中心及車(chē)站分別部署量子保密通信設(shè)備。

圖3 量子保密通信在AFC系統(tǒng)的網(wǎng)絡(luò)拓?fù)銯ig.3 Network topology of quantum secure communication in AFC system

在清分中心部署量子密鑰分配終端、密鑰服務(wù)終端、量子加密機(jī)、量子云控系統(tǒng)、量子網(wǎng)絡(luò)管理系統(tǒng)、量子密鑰管控系統(tǒng)等設(shè)備，在各線(xiàn)路中心對(duì)應(yīng)清分中心部署密鑰分配終端、密鑰服務(wù)終端、量子加密機(jī)等設(shè)備，在各車(chē)站部署量子加密機(jī)。形成清分中心、各線(xiàn)路中心及車(chē)站之間的量子保密通信網(wǎng)絡(luò)。

量子密鑰服務(wù)終端負(fù)責(zé)產(chǎn)生量子密鑰，清分中心與各線(xiàn)路中心的量子密鑰服務(wù)終端利用裸光纖協(xié)商生成點(diǎn)對(duì)點(diǎn)的安全量子密鑰。量子密鑰分配終端負(fù)責(zé)對(duì)生成的量子密鑰進(jìn)行安全分配、密鑰管理等。量子加密機(jī)從量子密鑰分配終端讀取量子密鑰，使用國(guó)密算法或國(guó)際算法對(duì)數(shù)據(jù)進(jìn)行加密處理，數(shù)據(jù)通過(guò)量子加密機(jī)給數(shù)據(jù)量子加密后傳輸?shù)綄?duì)端量子加密機(jī)，由對(duì)端的量子加密機(jī)對(duì)數(shù)據(jù)進(jìn)行解密。

量子云控系統(tǒng)采用量子隨機(jī)數(shù)生成量子密鑰，負(fù)責(zé)密鑰的產(chǎn)生、密鑰的分發(fā)使用規(guī)則、密鑰的充注使用等，并通過(guò)加密通道實(shí)時(shí)把密鑰更新到各車(chē)站的量子加密機(jī)。車(chē)站量子加密機(jī)部署在車(chē)站的網(wǎng)絡(luò)出口處，采用串聯(lián)的方式接入網(wǎng)絡(luò)，使用預(yù)先充注好的密鑰與線(xiàn)路中心及清分中心的量子安全加密機(jī)進(jìn)行加密通信。

在清分中心設(shè)置量子網(wǎng)絡(luò)管理系統(tǒng)，實(shí)時(shí)檢測(cè)整個(gè)量子通信網(wǎng)絡(luò)設(shè)備之間的網(wǎng)絡(luò)關(guān)系和量子鏈路的實(shí)時(shí)運(yùn)行情況，查看量子設(shè)備網(wǎng)絡(luò)配置、監(jiān)管量子設(shè)備、了解量子設(shè)備狀況、查找告警設(shè)備/鏈路、分析故障原因等。此外，由于線(xiàn)路中心與清分中心的量子加密機(jī)采用量子密鑰服務(wù)終端產(chǎn)生的密鑰，車(chē)站的量子加密機(jī)采用量子云控系統(tǒng)產(chǎn)生的密鑰，車(chē)站與中心之間量子加密機(jī)之間無(wú)法直接進(jìn)行保密通信，因此，在清分中心部署一套量子密鑰管控系統(tǒng)，管理整個(gè)量子密鑰網(wǎng)絡(luò)的量子密鑰，實(shí)現(xiàn)了各量子密鑰的互聯(lián)互通。

3.3 方案部署特點(diǎn)

清分中心與線(xiàn)路中心之間采用點(diǎn)對(duì)點(diǎn)的量子密鑰分配終端，密鑰生成速率高，QKD 支持實(shí)時(shí)協(xié)商產(chǎn)生對(duì)稱(chēng)量子密鑰，并對(duì)量子密鑰服務(wù)端的密鑰池進(jìn)行實(shí)時(shí)更新，可做到一次一密的高強(qiáng)度數(shù)據(jù)加密方式。QKD 的密鑰分發(fā)是基于BB84 協(xié)議設(shè)計(jì)的，其具備理論上的無(wú)條件安全性，具備不可竊聽(tīng)、不可破譯的特性，安全性能極高。

車(chē)站到線(xiàn)路中心及清分中心自己采用量子加密機(jī)進(jìn)行數(shù)據(jù)加密，量子云控系統(tǒng)和量子安全加密機(jī)設(shè)備使用的量子密鑰更新頻率可自由設(shè)定（量子安全加密機(jī)最小可以按小時(shí)為單位密鑰更新策略），更新時(shí)間可以根據(jù)業(yè)務(wù)的需求靈活設(shè)定（如地鐵運(yùn)營(yíng)時(shí)間結(jié)束以后更新等）。量子云控系統(tǒng)的密鑰都是由量子隨機(jī)數(shù)源生成，生成速率及密鑰隨機(jī)性高于傳統(tǒng)密鑰，量子安全加密機(jī)和量子云控系統(tǒng)之間通過(guò)安全算法進(jìn)行密鑰更新，實(shí)現(xiàn)量子安全加密機(jī)內(nèi)密碼的按需更新。

此外，量子保密通信網(wǎng)絡(luò)與傳統(tǒng)非加密AFC 業(yè)務(wù)傳輸網(wǎng)絡(luò)分別采用通信傳輸通道進(jìn)行傳輸，量子保密通信網(wǎng)絡(luò)與傳統(tǒng)業(yè)務(wù)傳輸形成互為雙備網(wǎng)絡(luò)，在量子保密通信發(fā)生故障時(shí)，系統(tǒng)可自動(dòng)切換到傳統(tǒng)業(yè)務(wù)傳輸通道，優(yōu)先保障業(yè)務(wù)正常運(yùn)行。

4 結(jié)語(yǔ)

在AFC 系統(tǒng)已設(shè)置入侵檢測(cè)、訪(fǎng)問(wèn)控制、防火墻、病毒防護(hù)等安全性措施的基礎(chǔ)上，采用量子保密通信對(duì)系統(tǒng)內(nèi)的敏感信息及重要信息進(jìn)行加密傳輸，是對(duì)現(xiàn)有的保密通信技術(shù)中的對(duì)稱(chēng)加密體系的一種安全性提升，解決了密鑰分發(fā)部分的安全性問(wèn)題，提升對(duì)稱(chēng)加密通信的安全性水平，構(gòu)建了更高安全等級(jí)、更全面的網(wǎng)絡(luò)安全防護(hù)體系，保證了核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)傳輸安全。同時(shí)，在移動(dòng)支付快速發(fā)展的背景下，各城市軌道交通對(duì)AFC 系統(tǒng)的安全越來(lái)越重視，該應(yīng)用方案具備安全性高、對(duì)AFC系統(tǒng)影響小、實(shí)施難度小、可復(fù)制性強(qiáng)等特點(diǎn)，具備在AFC 系統(tǒng)應(yīng)用的條件。但是，量子保密通信也存在如設(shè)備成本比較高、使用不夠靈活、不同廠(chǎng)家互聯(lián)互通存在困難等劣勢(shì)，同時(shí)，量子保密通信并不能完全解決AFC 系統(tǒng)中面臨的所有安全性問(wèn)題，在不同的應(yīng)用場(chǎng)景下仍需要采取針對(duì)性的安全防護(hù)措施來(lái)保證AFC 系統(tǒng)的安全。