青岛地铁互联网票务平台建设方案研究

2018-10-22罗情平兰慧峰陈修哲

现代城市轨道交通 2018年10期

罗情平，兰慧峰，陈修哲，任玲

（青岛地铁集团有限公司，山东青岛 266045）

0 引言

2016 年底青岛地铁 3 号线陆续上线运营了 72 台闪客峰云购票机，并通过中软提供的云平台与第三方支付机构进行清分结算，云购票业务得到了市民的广泛使用，云购票机售卖单程票占售卖总数的比例近期已达到 50%以上，进入云购票时代。但是，3 号线云购票业务存在地铁方人工对账、无法掌握用户数据等相关问题，是一种临时过渡方案。从长远角度出发，为保证移动支付交易数据等在 AFC 系统局域网内的逐级上传，并考虑后期商业增值业务开发的需要，地铁需自主建设互联网票务平台。本文以青岛地铁互联网票务平台建设方案为例，介绍平台建设思路、建设目标、系统组成及采用的关键技术等。

1 互联网票务平台建设思路及目标

1.1 建设思路

互联网票务平台的建设思路是为了给乘客提供更好的乘车服务、减少购票中间环节、节约进站时间，引导乘客通过地铁官方 APP 提供的乘车码或手机 NFC 功能（以下简称“虚拟电子票”）直接过闸，实现从实体卡向虚拟卡，从线下支付向线上支付的转型。

青岛地铁互联网票务平台采取自主建设模式，同步推进地铁 APP 建设和 2 号线、3 号线、11 号线等既有线的 AFC 系统改造。自动售票机增加互联网购票功能主要涉及到软件改造，无需增加硬件模块。自动检票机的改造涉及到软件改造和硬件改造两部分，需加装二维码识别模块，实现 AFC 系统的虚拟电子票过闸业务。

后续新线建设时，充分考虑移动支付的业务需求，将移动支付功能作为 AFC 系统的标准配置，使所有自动售票机具备云购票功能，并优化调整新建线路自动售票机的硬件配置，使 50% 的自动售票机具备传统的现金购票功能，这样可以减少 50% 的纸币和硬币处理模块采购量，在满足乘客购票需求的同时，有效节约新线建设投资、减少运营现金周转成本、降低售票设备的运营维护工作量。

1.2 建设目标

1.2.1 云购票

用户通过第三方支付机构（支付宝、微信、银联等）的 APP 软件扫描自动售票机生成的支付码进行购票，实现云购票功能，主要服务于未在地铁 APP 上实名注册的用户。平台对车票订单信息进行统计并与第三方支付进行订单数据交互，实现相关的清分结算及对账功能，对账包括正常交易对账和异常交易的处理调整等。

根据 AFC 维护和故障记录统计，自动售票机故障处理中，对现金处理模块的故障处理率高达 60%，占用了大量的维护资源，并且现金补充、清点、搬运、储存、兑换均占用相当多的车站客运工时。云购票功能通过移动支付，可有效减少现金购票量，为用户提供多元化的支付方式。

1.2.2 云检票

通过地铁官方 APP 的虚拟电子票功能在自动检票机上直接过闸，实现云检票功能，主要服务于在地铁 APP上进行实名注册的用户群体。平台通过与 APP 的接口，为APP 提供乘车码生成、手机 NFC 电子票信息加载、交易查询等直接面向乘客的云检票服务，并对交易进行统计，对车票有效性进行验证，实现相关的清分结算及对账功能。

微信、支付宝等第三方支付机构的乘车码不可以直接过闸，第三方支付机构作为地铁 APP 账户的支付渠道提供服务。地铁公司通过地铁 APP 掌握云检票业务带来的流量和入口，依靠地铁这种高频小额交易应用场景，提高地铁 APP 的注册用户量和活跃用户量，并基于互联网票务平台建立的用户体系进行大数据分析和增值服务，为地铁创造更大的价值。另外，云检票功能减少了现场购票环节，降低了实体票卡的流通管理成本，且无需与城市一卡通绑定，地铁直接与第三方支付单位进行结算，进而将云检票变为地铁自主票务支付手段。

2 互联网票务平台系统构成

互联网票务平台是将移动互联网技术与传统 AFC业务模式相结合，实现地铁互联网售票、互联网检票、结算与对账、信息安全管控等功能，完成基于传统业务体系下新的业务发展。平台主要包括账户管理、支付管理、结算管理、风险管理、信息管理等子系统。

2.1 账户管理子系统

账户管理子系统主要提供基于账户的开销户、状态、密码管理等基础服务，建立一套账户管理子系统实现平台账户的管理。主要功能包括：管理账户的注册以及认证，支持实名认证及关联第三方认证等方式；账户内互联网虚拟电子票的相关信息，包括记录与更新车票的发售、充值及消费交易记录等；支持支付账户的信用账户（后付费）功能、与银行卡等资金渠道账户绑定，并具备拓展其他金融相关业务的能力等。

2.2 支付管理子系统

支付管理子系统实现平台统一的支付功能处理，支持直接支付、信用支付、快捷支付、退款处理等功能，对平台内各种交易进行管理。主要功能包括：实现平台对各类第三方支付的管理；对虚拟电子票的相关消费交易数据进行落地，并转发至第三方支付；提供支付渠道的手续费率管理功能，包括手续费率的增加、删除、修改、查询等。

2.3 结算管理子系统

结算管理子系统提供互联网业务相关的统一清分结算接口，虚拟电子票交易不通过 ACC 对账，由平台直接与第三方支付进行对账、结算。主要功能包括：对账参数管理；对账差错管理；与平台有资金往来业务的银行或第三方支付机构进行自动对账处理，根据对账结果，提供相应的自动记账服务；支持不同接入机构不同时段的日切管理要求，支持根据不同的日切要求进行相关对账处理。

2.4 风险管理子系统

风险管理子系统主要通过数据收集、规则管理及案件处理等功能模块实现移动支付业务的事前、事中及事后风险控制管理，同时通过风控管理子系统分析的数据，反哺给其他子系统，为各子系统对不同风险级别的用户提供个性化服务支撑，也可以与第三方支付机构的信用体系交互风控数据，获得用户更准确的风险基本情况分析资料。另外，在风险控制方面对云检票用户严格执行实名制认证要求，保障用户的金融级支付消费安全。

2.5 信息管理子系统

信息管理子系统通过移动互联网入口在地铁的应用场景，结合数据分析与挖掘，为地铁智能化运营提供相关数据支撑服务。平台接收、处理 ACC 上传的线网内各线路互联网票务相关的客流数据、交易数据等，并及时显示和定时更新，满足地铁的信息需求，利用多维数据分析、在线分析等技术来处理数据信息。数据分析用于向运营商提供信息、向政府部门汇报、票款收益分析、客流分析、市场分析等。通过数据的不断积累，平台须形成一个全面的数据库，平台可利用这些数据进行决策支持。

2.6 应用级灾备子系统

考虑到互联网票务平台在城市轨道交通线网 AFC 系统中的重要地位和对数据安全可靠的高要求性，应对互联网票务平台进行异地灾备。在对系统关键数据库服务器以及通信链路进行本地冗余设置的同时，在辽阳东路控制中心配置一套应用级的互联网票务平台异地灾备系统，通过青岛地铁上层传输网提供的网络通道与主系统连接，在主系统发生严重故障或灾难的情况下，灾备系统能够接管相关应用，尽量减少系统停机时间，提高业务连续性，最大限度地保护地铁资金安全。

3 互联网票务平台业务关键技术

区别于传统 AFC 系统建设方式，在互联网票务平台建设过程中应充分利用新技术发展成果，将地铁票务需求与云计算、信息安全等广泛对接和深度融合，持续推进智能地铁建设，探索服务新渠道，打造“地铁+互联网”新格局。

3.1 云计算技术

云计算是一种新型的计算模式，通过虚拟化技术为各子系统提供计算、网络、存储资源，将系统的服务器、磁盘阵列等设备，按照存储和业务处理的需要，分别形成存储、应用、通信处理的资源池。

通过专业的第三方虚拟化软件（Vmware）将互联网票务平台中所使用的多台大内存 4 路多核服务器整合起来，将平台的所有业务统一归入存储、应用、通信处理资源池内，由资源池统一处理。每个资源池内所有服务器的线程数量和进程数量及每台服务器的内存、处理器和 I/O 都由虚拟化平台统一管理、动态分配。通过虚拟存储软件与物理硬盘等存储设备，建立一个相对独立的抽象层进行工作，将互联网票务平台中所有的存储空间集中起来，通过地址空间映射关系，在不中断硬盘 I/O 的情况下设置数据存放的地点，无中断地在数据中心内部迁移数据，组成可用的逻辑存储单元，大大提高存储资源的利用率和灵活性。

3.2 信息安全技术

“便捷”和“安全”为互联网票务业务关注的焦点，在开放、复杂的网络环境下，互联网票务平台必须配置安全防护体系，做到对风险可预防、可控制，增强系统网络抗攻击、防病毒、主动防御能力。

依据公通字[2007]43 号《信息安全等级保护管理办法》的要求，对互联网票务平台进行安全建设，达到三级等保标准要求，实现互联网票务信息的保密性、完整性、可用性以及系统安全运行控制，并采用适当的管理和技术措施，降低安全风险。在传统 AFC 系统配置防火墙、入侵检测的基础上，增设堡垒机、漏洞扫描、数据库安全审计、安全管理平台等网络安全设备，并将入侵检测设备升级为入侵防御设备，在与外网接口处增设NAT 防火墙，对内外网地址进行 NAT 转换。平台网络拓扑结构图详见图 1。

3.2.1 安全管理平台

安全管理平台能有效满足等级保护三级设计模型中建立安全管理中心的要求，实现对安全设备、网络设备的统一管理以及安全事件的发现、收集、分析、统计等功能。安全管理平台以实用性和可扩展性为设计指导思想，将安全管理员从复杂的设备配置和海量日志信息中解脱出来，把精力专注于发现和处理各种重要安全事件。同时，又将各自独立的安全设备组成一个有机的整体，通过基于资产管理的事件关联分析和管理，及时发现安全风险、安全事件和业务安全隐患，并结合安全策略和安全知识的管理，提供多种安全响应机制，从而使得客户能够实时掌控网络的安全态势。

图1 平台网络拓扑结构图

3.2.2 安全审计

在内网核心数据区部署数据库审计、网络审计设备，采用旁路方式进行设置，将引擎连接到核心交换机，收集镜像数据流，加强对关键系统的审计，从而有效地减少对核心信息资产的破坏和泄漏。系统安全审计主要负责对各个功能模块的运行事件检查、有关资料分析和密钥申请统计等服务。

3.2.3 漏洞扫描

漏洞扫描系统是基于网络的漏洞扫描、分析、评估与管理系统，定期对网络安全漏洞进行扫描，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而帮助用户在弱点全面评估的基础上实现安全自主掌控，最大可能地消除安全隐患。漏洞扫描的部署可以与入侵防御系统配合，构成网络安全评估系统，实时将系统安全漏洞信息与入侵事件相结合进行分析。

3.2.4 堡垒机

堡垒机用于实现单点登录、多种认证服务等功能，通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失。同时，对授权人员的运维操作进行记录、分析、展现，实现事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放等，加强内部业务操作行为监管，避免核心资产损失，保障业务系统的正常运营。

3.2.5 访问控制

在网络出口（互联网票务平台与互联网之间）部署入侵防御系统、防火墙，用于防止来自互联网的病毒和入侵的威胁，也可以作为边缘接入路由器部署，同时防止来自内部其他网络区域的蠕虫病毒、入侵攻击等威胁。通过对网络中深层攻击行为进行准确地分析判断，在判定为攻击行为后立即予以阻断，主动而有效地保护网络安全。