基于HCE的轨道交通售检票系统构想与实践

2016-02-13刘刚吴海峰

铁路技术创新 2016年6期

■ 刘刚吴海峰

■ 刘刚吴海峰

随着城市轨道交通的快速发展及科技创新快捷便民运营理念的深入，移动支付在轨道交通领域的应用不断深入。在介绍国内NFC手机支付方案分类及现状的基础上，结合NFC最新技术，对涵盖用户账户管理、手机票生成、手机票消费、用户凭证管理、交易安全管理、交易结算处理的HCE网络售检票系统组网方式，以及关联售票终端智能化方案等开展研究，并将HCE网络售检票方案付诸实践。

城市轨道交通；自动售检票；HCE；移动支付；NFC

0 引言

城市轨道交通作为支撑城市正常运行的大动脉，具有运量大、安全、准时、节能环保、节省城市用地等优点，近年来发展迅速。根据中国城市轨道交通协会统计资料，截至2015年底，我国城市轨道交通在建城市39个，城市轨道交通建设已由北上广等一线城市逐步走向二线城市。预计到2020年，我国拥有轨道交通的城市将达50个，运营里程约6000 km。

自动售检票系统是轨道交通众多机电系统中的一环，是集计算机技术、信息收集和处理技术、机械制造技术于一体的智能化系统，其便捷和准确性远优于传统的纸票售票方式，解决了人工售检票模式中固有的速度慢、财务漏洞多、出错率高、劳动强度大等缺点，能够防止假票，杜绝人情票，防止工作人员作弊，提高管理水平，减轻劳动强度。其中售票系统的网络化能够极大提升支付便捷性，缩短交易时间，提高通行效率，是轨道交通智能化的重要体现。

1 城市轨道交通自动售检票系统现状

1.1 自动售检票系统

自动售检票系统主要由清分中心综合中央计算机系统、线路中央计算机系统、车站计算机系统、车站售检票终端设备、车票等组成（见图1）。其中车站售检票终端设备直接面向乘客，其操作方便与否直接影响乘客的体验。随着技术的不断进步，车站售检票终端设备不断改变，售检票手段不断丰富，除了标准配置的自动售票机，各种移动支付方案也陆续上线[1]。

1.2 售检票系统移动支付方案

移动支付技术实现方案主要有3种[2]：基于射频识别SIM卡（Radio Frequency Identification-SIM，RFID-SIM）、握奇数据公司双界面SIM卡（SIMpass）和近场无线通信（Near Field Communication，NFC），其中RFID-SIM和SIMpass由于技术原因，逐渐淡出移动支付领域。目前轨道交通在用的系统几乎都是基于NFC技术使用安全模块（SE）实现的，当使用安全模块来提供卡模拟时，安全模块通过NFC芯片中的非接触前端与外部读写设备进行通信，数据的存储和处理都在安全模块中。用户将手机放入NFC终端的识别范围，NFC控制器将从外部读写器接收到的所有数据直接转发到手机内部的安全模块，由安全模块处理，然后再通过NFC控制器将响应数据发送给外部读写终端，整个事务过程中手机上的应用程序完全没有参与其中。待事务过程完成后手机端的Android应用程序可以查询安全模块的事务状态，然后通知客户。基于安全模块的处理流程见图2。

图1 自动售检票系统示意图

NFC手机方案根据安全模块所处的位置分为以下几种[3]：

（1）NFC全终端方案。将安全模块集成到手机终端的NFC方案，其优点是标准成熟，得到众多终端厂商的认可与支持。目前广东岭南通、深圳通等采用这种方案。

（2）NFC-SIM方案。使用SIM/UIM卡作为安全模块，存储用户支付账户、密钥等敏感数据，运行支付应用，手机中的NFC控制器通过单线协议（Single Wire Protocol，SWP）与SIM/UIM卡通信。由于SIM/UIM卡是移动用户必不可少的身份识别模块，用户对SIM卡作为安全模块较容易接受，同时卡片的发行及服务可以借助电信运营商的受理渠道，容易进行业务推广。此外，SIM卡与终端分离，用户更换手机不会影响移动支付业务的继续使用，灵活性更高。目前北京、上海等地轨道交通部分使用该方案。

（3）NFC-SD技术方案。使用移动终端智能SD卡作为安全模块的NFC技术方案，与NFC-SIM方案类似，智能SD卡与NFC控制器芯片之间也采用SWP协议连接，可实现卡模拟、读卡器和点对点通信3种工作模式。采用NFC-SD方案，服务提供商（Service Provider，SP）可以自行发行SD卡，能够独立于电信运营商发展NFC业务，因此金融机构主导时更愿意采用这种方式。2011年，银联先后在成都、北京、上海、广州、杭州等地启动SD方案的支付试点，但近几年NFC-SD方案逐渐退出市场。

图2 基于安全模块的处理流程

1.3 移动支付方案的弊端

采用全终端解决方案和NFC-SIM技术方案，虽然解决了多应用的服务问题，但是安全模块的控制权却被手机制造商和移动运营商牢牢掌控，第三方SP要部署服务必须和安全模块的发行者沟通，既复杂又耗时。如果采用NFC-SD方案，尽管SP可以自己控制安全模块，但这种方案不能得到手机厂商和移动运营商的支持，市面上支持NFC-SD方案的机型太少，而且一张SD卡只能支持一个SP服务，如果用户希望使用多种服务，还必须在不同SD卡间切换，切换过程繁琐且成本偏高，这些因素都限制了NFC技术在移动支付领域的应用。

智能手机芯片加载安全模块的3种不同方式，带来了诸多争端，问题的核心在于安全模块的控制权。在具体的业务模式及利益分配层面上，控制了安全模块就主导了NFC移动支付市场。因此，NFC-SD方案的银联和商业银行阵营、NFC-SIM方案的运营商阵营及全终端方案的手机制造商阵营互不相让。

轨道交通使用以上方案都将对使用人群有所限制，例如需更换特定SIM卡、更换特定手机等，不利于轨道交通移动支付的推广和使用。

2 基于HCE的网络售检票系统

2.1 HCE简介

2013年10月31日，Google发布了最新的Android4．4系统，其中提到了NFC的新技术，即基于主机的卡模拟（Host Card Emulation，HCE）。自诞生之初，HCE就得到了极大关注，不仅在于这项令人耳目一新的新技术本身，更在于其提供了脱离安全模块而部署NFC的可能性。HCE技术对第三方SP意义重大，使SP可以将自己的服务在更短时间内以更低的开发成本推向市场，而用户也可以更方便地使用多个SP提供的服务。

HCE在主机卡模拟模式下，不需要提供安全模块，而是由在手机中运行的一个应用或云端的服务器完成安全模块的功能，此时NFC芯片接收到的数据由操作系统或发送至手机中的应用，或通过移动网络发送至云端的服务器来完成交互。这一标准的好处在于绕过了手机内置的安全模块限制，不需要整个行业为了控制安全模块而竞争。

使用HCE时，NFC控制器从外部读写终端接收到的数据将直接被发送到主机系统，而不是安全模块。HCE处理流程见图3[4]。

2.2 HCE网络售检票系统组网方式

在自动售检票清分中心系统中新建基于HCE模式的支付管理平台，并建立可信服务管理平台（Trusted Service Management，TSM），与既有清分系统互联，实现对手机支付应用进行可信服务管理，对用户账户敏感信息进行安全管理，完成安全模块的云端模拟和管理功能，使用户可通过手机终端实现离线支付功能。

图3 HCE处理流程

清分中心HCE支付管理平台由手机APP管理系统、账户管理系统、凭证管理系统、交易管理系统、安全管理系统、结算处理系统等组成（见图4）。

HCE手机支付系统的主要业务流程见图5。

2.2.1 用户账户管理

在用户使用手机进行移动购票前，需先通过手机下载轨道交通手机支付APP，向HCE支付管理系统申请支付账户。HCE支付管理系统对用户申请进行审核，审核通过后，向结算处理系统提交建立支付账户请求。HCE支付管理系统在结算处理系统建立支付账户后，将支付账户信息提交凭证管理系统，并建立支付账户和手机账户的对应关系。同时，凭证管理系统向安全管理系统提交凭证信息，并从安全管理系统获得手机账户的认证数据和钱包数据。

在凭证管理系统建立手机账户后，HCE支付管理系统向用户手机的轨道交通手机支付APP回送手机账户信息，APP完成手机注册。

在正常使用过程中，HCE支付管理系统将监控账户使用状态，如果发现用户交易异常，将建立账户黑名单管理，保证手机账户的资金安全。

2.2.2 手机票生成

手机账户构建完成后，向HCE支付管理系统回送手机账户信息，再根据轨道交通清分中心轨道交通票卡规范结构构建手机票的卡目录，并从安全管理系统获取消费密钥和TAC计算密钥。

图4 清分中心HCE支付管理平台

图5 HCE手机支付的业务流程

2.2.3 手机票充值

用户需要使用手机账户进行手机票卡快速支付时，需先通过轨道交通手机支付APP向账户管理系统申请手机账户充值。账户管理系统允许后，APP需从银行卡账户、微信或支付宝完成充值支付，并从账户管理系统获得手机账户的认证数据和钱包数据完成对手机票的充值。

2.2.4 手机票消费

手机账户充值完成后，手机可在限期内多次完成轨道交通快速支付，直到限定期限到期或账户余额值不足。

交易时需根据轨道交通清分中心轨道交通票卡消费流程规范，对交易数据生成交易认证码，并将手机票交易数据发送到清分中心后台进行结算，清分中心再与HCE支付管理平台及银行、微信、支付宝等各方充值商进行对账。

2.2.5 用户凭证管理

凭证管理系统针对每次手机账户申请，独立形成一个唯一的凭证。该凭证具有唯一对应的非对称认证密钥和对称计算密钥。

同一时间，系统内仅有唯一一个凭证所标识的手机账户与唯一一个HCE支付管理端账户对应。

2.2.6 交易安全管理

系统采用非对称的安全算法对手机账户进行认证。通过私钥对认证数据进行认证加密，将公钥提供给终端，使终端能够认证手机账户的同时，也防止伪造手机账户。对于交易过程和交易数据的认证，系统采用快速的对称安全算法，保证数据的快速认证和准确性。

2.2.7 交易结算处理

HCE支付管理系统向安全管理系统提出交易数据安全认证请求。确认交易数据后，结算处理系统向凭证管理系统查询HCE支付管理端账户和手机账户的对应关系，并将交易信息更新入HCE支付管理端账户的交易列表中。完成信息确认和更新后，结算处理系统形成和清分中心系统间的结算数据。

HCE支付和清分中心系统根据结算数据完成资金结算和划拨。

2.3 关联售票终端智能化方案

在运用HCE实施网络化售票后，还需要对关联的车站终端进行智能优化，以便不具备NFC功能的手机用户完成网络购票，更大限度地提高购票的便捷性。考虑到轨道交通自动售检票系统中，自助查询机使用率不高，可将该设备升级为综合票务机，增加单程票卡箱、二维码扫描仪等，配合手机APP相关功能，实现网络售票、取票功能，将现有TVM购票过程中最消耗时间的选站和支付环节引导至线上完成，实现移动购票功能，减小对TVM的压力，提高售票效率；同时由于取消了现金支付环节，通过移动支付，解决了零钱问题、现金处理和现金模块故障率高的问题，还大大降低了轨道公司现金处理的相关成本。可通过以下两种方式实现手机终端网络化购票、充值。

支付购票方式一：乘客使用手机APP点选所购车票的起止站点，APP显示所购车票金额并提示乘客进行支付，乘客可选择支付宝或微信进行支付，支付完成后由后台系统向乘客手机发送作为购票成功凭证的支付二维码，根据该支付二维码在综合票务机进行兑票。兑票时，综合票务机屏幕提示乘客相应操作流程并提示二维码扫描器的位置，乘客将手机上支付二维码放至扫描器位置，扫描成功后，综合票务机完成出票。

支付购票方式二：乘客可使用综合票务机购票，综合票务机屏幕显示地铁线路信息供乘客点选起止站点，选择完成后综合票务机显示用于乘客手机扫描支付的二维码，乘客使用手机扫描二维码，在手机上完成支付。手机付款可以通过在线或离线2种状态进行交易，具体实现方式可根据实际需求确认。综合票务机接收到后台系统下发的支付成功信息后，完成出票。

3 HCE网络售检票系统实践情况

目前HCE网络售检票已纳入乌鲁木齐轨道交通1号线的招标方案，部分系统已招标采购完成，预计于2017年底开始联合调试。由于乌鲁木齐轨道交通暂不具备乌鲁木齐红山一卡通的发卡权，因此乌鲁木齐现有方案仅限于发行轨道交通单程票和储值票，不能用于管理一卡通票卡。另外，自动检票机端具有带NFC支付功能的读写器模块，需要手机具备NFC支付功能，在某些场景下，还需要具备手机上网条件，以完成认证功能。