浅谈自动售检票系统安全管理

浅谈自动售检票系统安全管理

自动售检票系统（AFC）主要完成售票、检票功能，同时要完成与一卡通公司的对账、清分

业务，其获取的票款是地铁公司业务收入的主要来源。因此地铁自动售检票系统的安全性与

可靠性是AFC系统设计、管理重点考虑的因素。

一、从系统架构看系统安全设计的实现

1、AFC系统组成及功能

第一层：清分中心，完成车票、票价、清算、对帐业务等；第二层：线路中心计算机系统，

管理线路内部参数;第三层：车站计算机系统，通过可视化设备方便AFC系统维护人员管理SLE设备，保障系统的正常运行；第四层：车站终端设备，包括TVM、AGM、BOM,完成车票

的售卖和回收；第五层：车票，乘客乘车信息的媒介和载体。

2、网络层面的安全设计

由AFC系统的架构可以看出，一二三层是各业务的集中层，主要从网络角度来控制系统的安全。包括建立全方位、多层次的防病毒体系；在各层次网络出口处安装防火墙，来进行有效

的隔离；设置网络设备包括交换机、各类服务器等，用来禁止非法访问；根据功能模块将局

域网划分为多个VLAN，以控制网络流量，提高网络效率，防止网络窃听。

3、终端安全保障措施

1)硬件结构对于纸币接收模块，为了防止乘客塞入纸币后使用钓鱼线把钱勾出来，设置了防

钓鱼装置；为了防止系统维护人员和客运值班员徇私舞弊，采用监控摄像头；为了防止有人

打开钱箱，采用了联锁方式的机械锁，必须双人同时持有两把钥匙才能打开钱箱；为防止非

认证人员操作系统，在设备内部安装了警报器，非法打开设备维护门系统就会报警。

2)软件层面的用户身份及访问控制系统设有不同组别的用户，并且按个别用户需求赋予有关

的功能及权限。比如AFC工程师具有现场设备的所有权限：登陆、查看、修改系统配置等。

对于客运值班员只能实现设备登陆，票务收益数据查看及票箱与钱箱的清空操作，防止其对

设备的误操作。

4、CUP票卡的安全比较

最底层是票卡层，按镶嵌芯片的不同可以分为存储卡、逻辑加密卡、CUP卡。存储卡内芯片

仅有数据存储能力，没有数据处理能力，功能和磁卡差不多，存在着类似磁卡一样的安全缺陷，对片内信息可以不受限制的任意存取，这样安全性就没有保障。逻辑加密卡除了具有存

储卡的EEPROM外，还带有加密逻辑，每次读/写卡之前要先进行密码验证。如果连续几次密码验证错误，卡片将会自锁，成为死卡。CUP卡芯片内部包含微处理器单元（CPU），ROM

中固化有片内操作系统COS，EEPROM用于存放持卡人的个人信息以及发行单位的有关信息。CPU管理信息的加/解密和传输，严格防范非法访问卡内信息，发现数次非法访问，将锁死相

应的信息区（也可用高一级命令解锁）。CPU卡良好的处理能力和上佳的保密性能。无锡地

铁的AFC系统采用的就是CUP卡形式，这样从硬件及协议上就保证了票卡数据的安全。

二、从业务流程分析安全管理

AFC系统设计票卡和现金的业务流程主要可以分为：票务管理流程和票务收益管理流程。其

中票务流程包括：ACC系统需要对车票出入库、初始化、预赋值、发行、发售、回收、注销、再编码等车票流程进行处理，实现对车票的动态调配管理。SC可对车站车票的出入库、发售、回收等车票流程进行处理，实现对车票的动态库存管理。为保证车票安全，防止车票的流失。收益流程包括TVM结算、车站结算、线路结算、清分结算对账、银行结算等。

整个业务流程中涉及的人员广泛，包括票卡厂商、车站票务人员、一卡通人员、银行人员。

因此在管理中，要明确各方的职责，划分责任界面，避免出现问题后，双方扯皮。其中特别

要对票务人员进行票务规章制度的培训，提高人员的票务安全意识，提高人员的业务素质，

减少由于业务不熟练造成票卡、现金的遗失；要建立票卡、备用金的台账，对所有出入库的

票卡、备用金做好详细的记录，对台账要及时更新；加强对库房的巡检，保证库房温湿度符

合规范，防止火灾等意外事故造成钱财损失；采用危险源分析方式，查找危险隐患，确定风

险等级，从而制定相应的措施方法。另外要建立票务稽查制度，设立专门的票务稽查岗位，

定期对票卡、收入审核，防止出现舞弊情况。

三、核心安全模块—AFC密钥系统分析

密钥管理系统是整个IC卡应用系统安全的核心，密钥的管理和控制是IC卡应用系统的关键。密钥管理系统主要用于车票编码、车票使用过程的安全保护、数据传输控制及身份认证的系统。

1、密钥系统原理

首先分析密钥系统的原理。无锡地铁密钥系统能够根据建设部规范要求，产生无锡地铁主密钥，根据业务代码能够产生业务主密钥，根据主密钥卡能够完成PSAM、ISAM以及发卡SAM

卡的发卡。其中不需要重复生成的密钥，要采用随机产生的办法，由系统随机产生这些密钥。需要重复生成的密钥，要采用密钥变换或密钥衍生的办法生成，并确保密钥变换或密钥衍生

的过程绝对安全，并且在需要的时候，能够重新得到与原来相同的密钥。从密钥产生的原理

可以得出结论：在控制密钥的安全性方面，首先从源头上看要要保证秘钥卡的分散，由多人

持有，在使用时通过相互认证；从传递过程来看密钥系统要采用分级管理方式，由上一级生

成下一级所需的所有子密钥，并以卡片的形式传递给下一级，这样保证了系统的安全，如果

下级密钥被破解了，只需修改上一级密钥即可，这是集中的体现。密钥体系分散与集中的统

一的辩证关系体现的密钥管理中系统安全性与系统灵活性的一种有效的结合。

2、终端安全认证模块简介

考虑终端安全认证模块，简称SAM卡。密钥通过一系列分发与传输后，输入到SAM卡。SAM卡认证包括不同的业务，其中PSAM卡安装在TVM上，实现售票过程的安全认证。ISAM卡安装在闸机上，实现检票过程的安全认证。车票从TVM购买以后到AGM刷卡进站、出站，SAM卡认证其全过程的安全。其中认证的过程不但保证了整个购票、检票数据的安全性，由于采用TAC码方式，认证过程中也保证了票的可靠性，以及终端设备的可靠性。因此

这种相互的认证方式杜绝了采用非法设备给车票赋值，然后进站、出站的情况。

3、SAM卡的安全管理方法

由SAM卡的工作原理可知道其在终端设备中是最重要的，因此作为运营管理部门要注意几点：1，通过建立台账保证设备与SAM一一对应的关系，这样不但保证了交易数据的真实性

和唯一性，也可以对异常交易分析；2，建立SAM卡领用、分发、安装严格的流程，防止卡

的流失及管理混乱；3，在设备维修过程中，如果需要调换SAM来排除故障，必须有两人配合，防止调换SAM卡忘记返回安装；4，建立检修制度，定期对SAM卡卡槽进行清理。

4 、应用安全防护设计

一般情况下，应用安全防护设计主要划分为2个方面，即应用的最高可用性与WEB流量防

护两个层面；首先采用负载均衡技术有效的将多台服务器联合在一起实现服务器集中区，能

够给多个应用提供服务减少全问题出现；其次，WEB应用防火墙保护信息技术，减少应用层

面出现的各种问题，在具体操作上需要采用主动防御的设计措施将SQL 注入，减少外界环境

产生的安全冲击。