孙福杰

【摘 要】自动售检票系统（ Autom at ic Fare Collection，AFC）是集机械制造、电子技术、计算机通信管理、票务政策实施和微机实时控制等功能于一体的自动控制系统和信息处理系统。本文主要就地铁售检票系统的安全管理问题进行了详细阐述。

【关键词】地铁售检票系统；安全管理；AFC；网络；票务

一、地铁售检票系统概述

近几年，随着我国城市轨道交通事业的发展，广州、上海等城市在地铁中相继引入了自动售检票（AFC）系统。该系统综合了机械、电子、通信、计算机等学科，替代传统的人工售检票，实现了地铁运营环境中售票、进站检票、出站检票、票务数据统计和处理等环节的自动化，杜绝了人为因素的影响，体现了地铁票务管理的现代化水平，同时也极大地方便了乘客。下面就该系统作一简介。

AFC系统由付费媒介、中央系统、车站系统、通信传输系统和电源系统组成。自动售检票系统框图如下图所示。

自动售检票系统框图

二、地铁售检票系统的特点

1、AFC系统具有对闸机（AGM）、自动售票机（TVM）、自动验票机（TCM ）等就地级设备的状态的监测功能。对重要设备上锁，并装有防拆开关，一旦有人非法打开或者破坏箱体，就会产生本地报警。

2、对操作人员采取身份认证管理。车站设备能够自动验证操作员权限的有效性，限制一个用户同时登录2台或2台以上不同设备，并为设备的操作建立日志。

3、AFC系统对其通信线、电源线进行监视，并能对线路短路、断路进行报警，对重要设备的导线加装滤波器，以减少传输阻抗和导线间的交叉耦合。

4、AFC设备均配有漏电保护开关，有良好的接地措施，以保证设备金属外壳不带电。

5、AFC设备均具备相应的安全保护系统，其内各模块都是固定的，以防止其随意移动，此外，所有接头也具有固定措施。

6、AFC设备及通信线路均具备相应的电源保护如防雷、防浪涌等措施，同时配有相应的不间断电源/电池。

三、地铁售检票系统的安全管理要点

（一）网络及数据的安全管理

1、操作系统的访问控制

（1）登录程序

①对操作系统进行访问必须经过一个安全的登录程序，以尽量减少非授权访问的机会。

②登录的过程应该显示最少的提示，以避免泄漏系统和服务信息。

③对于尝试登录连续失败多次的帐号，操作系统应该断开用户的连接并暂停其帐号。此帐号只能由操作系统管理员重新启用。

④操作系统必须记录所有的系统登录信息， 包括成功和失败的登录。

⑤登录失败及下一次登录之前应有一定的时间间隔。

（2）用户识别和认证

①所有用户都应该被识别和认证。

②在用户认证失败信息中， 应不显示其具体的失败原因。例如不能显示“帐号不存在”或“密码不正确”等。

③如果由于业务要求需要使用共享用户帐号，那么此共享帐号应该得到正式的批准并明文归档。

④操作系统管理员和应用系统管理员必须使用不同的帐号。

⑤所有使用帐号密码进行认证的系统，在帐号密码传送过程中，应该采用加密保护措施以防止泄漏。

（3）密码管理系统

①每个用户必须被分配一个唯一的帐号。

②修改密码时，操作系统必须提示用户确认新密码，以防止输入错误。

③不能明文显示输入的密码。

④密码文件应该与应用系统数据分开存储。

⑤密码处理时必须使用单向加密。

⑥当密码接近失效期或者已经过期时，操作系统应当提示或强制用户修改密码。

⑦所有默认的密码都应当在软件安装后立即更改。

2、应用系统的访问控制

（1）信息访问限制

①应用系统必须根据业务应用需求来制定访问控制，并与公司的访问控制策略相一致。

②应用系统应该控制用户的访问权限，如读写权限、删除权限以及执行权限。

③必须保证处理敏感信息的应用系统仅输出必需的信息到授权的终端，同时应对这些输出功能进行定期检查，保证不存在输出多余的信息。

（2）敏感系统的隔离

①应当根据应用系统的敏感程度对系统进行适当的隔离保护。

②敏感系统的各个部分都应当以适当的方式进行保护。

3、系统文件的安全管理

（1）实际运行系统的应用软件控制

①应用软件更新必须由获得授权的管理员来执行。

②严禁在实际运行系统中保留应用软件的源代码。

③必须建立程序库统一保管和维护应用程序的可执行代码。

④在测试成功、用户验收完成， 或相关的程序库被更新前， 严禁更新实际运行系统中的可执行代码。

⑤必须对程序库做好访问控制， 并对程序库的更新进行日志记录。

（2）对程序源代码库的访问控制

①应该建立程序源代码库， 并由指定人员进行统一管理。

②正在开发或修改的程序不应该保存在程序源代码库中。

③更新程序源代码库和向程序员提供程序源代码， 应通过指定的程序源代码库管理员来执行， 并且获得管理层的授权。

④程序源代码必须保存在安全的环境中。

⑤程序源代码的访问必须做好相关记录。

⑥程序源代码必须做好版本控制管理， 每一个版本都必须有相应的备份。

（二）密钥安全策略

密钥系统（KMS）安装在ICCS上，由ICCS统一维护和管理；系统内的密钥认证由系统内各个发生交易的设备执行。

1、SAM卡的发行

AFC系统专用SAM 卡均由ICCS统一发行。

2、SAM卡的注册

LCC、SC从ICCS领用SAM卡，领用时在ICCS对SAM 卡号进行登记注册。系统安装人员和系统维修人员从SC领用SAM 卡，并将之插入到站级设备的SAM卡槽中。

3、SAM卡的认证

车站级设备开机时，将报告设备的SAM卡号，然后由SC应用程序对其进行认证，如出错，监控程序将给予报警，由操作人员进行确认。车站级设备在开机或SAM卡断电时，需要重新与SC的认证系统在线进行SAM卡认证，成功后才能进入正常工作模式。

（三）票务收益安全策略

1、票卡收益的安全性考虑

所有在AFC系统内使用车票的详细交易记录都保存在ICCS中，在各线路AFC系统内使用车票的详细交易记录都保存在LCC中，ICCS通过对车票在系统中的使用情况进行跟踪，可以防止车票被滥用、复制及伪造等，减少由于欺诈行为而引起的财务损失。

（1）防止伪造票卡

票卡与售检票终端之间通过密钥信息交换可以实现相互验证，不合格的票卡将被拒绝使用。个性化处理和票卡认证必须有进入第一级别的密钥（最高级别） ，信息存入票卡内的服务合同分区，则需要有进入第二级别的密钥。

（2）防止票卡的非法充值

采取积极措施，以防止密钥泄漏，采用SAM 以预防非法操作的发生。如果配有SAM 的设备持续1天未与ICCS进行数据交换，那么该设备将被隔离； 如果某一售票设备1天内的交易量超出了限值，并且未与ICCS进行数据交换，那么该设备将被隔离。必须使用密钥才能为票卡充值，DES对称算法的密钥至少128 B，RAS非对称算法的密钥至少1024B。一个完整的密钥必须由2个工作人员完成，其中，每人完成密钥的1/2。

（3）防止票卡的违规使用

当半免老人票、学生票等部分优惠票种使用时，票亭会发出声光报警，提醒站务人员进行监督；对于全免老人票等优惠票种，需在票亭激活后才能使用。对票卡实施黑名单制度。将乘客挂失的票卡，被冒用的学生票、老人票、员工票或其他优惠票种列入黑名单，禁止其继续使用。

2、现金收益的安全性考虑

操作员在TVM 更换钱箱、补充车票时，必须严格按照程序进行，TVM、SC和LCC将分别生成相应的审核报告。

在TVM 和闸机所使用的钱箱和票箱都应安装唯一的电子标识。钱箱还应配备电子储存模块来记录钱箱的使用记录，如累计进入该钱箱的现金金额、最后一次装入设备和从设备取出的时间、最后一次取出时的该钱箱内的现金金额、最后一次取出时的操作人员号码等内容。以上记录可以通过专用的工具读取。

设备内部结构紧密、合理，操作人员不能直接接触到TVM 钱箱内的现金和车票。在车站AFC票务管理室配备视频监视系统、密码开门的门禁系统及火灾自动报警系统设备。所有的交易信息都必须及时上传到ICCS。

参考文献：

[1]彭志林，洪澜.广州地铁1、2号线自动售检票系统的维修组织[J].都市快轨交通，2004.17.

[2]方锦煌.提高地铁自动售检票系统设备的技术性能[J].城市轨道交通研究，2007.9.

[3]陈晓东，李宇轩.广州地铁自动售检票系统的管理经验[J].地铁与轻轨，2003.4.