城轨互联网票务系统建设指南

文 / 李中浩

在交通出行“互联网＋”时代大背景下，随着国内轨道交通自动售检票系统（AFC）新技术的迅速发展，各个城市的轨道交通运营商不断尝试引入新型支付模式，以丰富地铁票务支付形式，给乘客提供更好的出行支付服务。目前较多城市轨道交通运营商将二维码支付成功运用于地铁通行中，有效解决了地铁售检票系统存在的乘客购票效率低、排队购票时间长、车票单次使用成本大，以及地铁票务运营开销大等问题。自动售检票系统新增采用手机二维码过闸技术，实现乘客只需凭移动应用APP生成的二维码即可实现“刷码过闸”，为市民和外地游客提供更多便捷的出行体验。

各轨道交通互联网票务系统建设情况

目前部分城市轨道交通运营商已经实现了基于二维码、NFC（银联闪付卡、手机PAY等）的新型互联网支付应用，但因无行业规范，尤其是在二维码数字票务应用，各城市轨道交通运营商在二维码过闸支付业务上所采用的技术路线各有不同，具体有以下几种情况：

二维码码结构标准不统一，不利于闸机识别、行业发展；

二维码票务业务方案存在以下不一致内容：

生码方式：APP生码方式分有联机生码、脱机生码；

校验方式：闸机校验二维码有联机校验、脱机校验、蓝牙回写等多种方式；

码模式：有使用不限进出方向的通用二维码，也有使用区分进出站专用二维码；

计费方式：有采用后台行程匹配、计费，也有采用闸机侧计费；

支付模式：有先乘车后付费，也有先购票后乘车；

系统建设部署模式存在差异性，有公有云模式、私有云模式、自建IDC模式及混合模式；

系统建设过程中，对传统AFC／ACC及互联网票务系统的定位分工不同：

有的城市采用对传统AFC／ACC系统进行改造以满足对新增互联网票务的支持；

也有城市采用新增建设相对独立的互联网票务系统来区别传统的实体票卡业务。

二维码在有的城市仅作为一种新型数字票种来使用，但在更多的城市，除了做为新型数字票种外更是作为一种身份识别码来使用。二维码在城轨的应用实施实名制，改变传统票种在城轨只有人流没有客流的现状，实名制采集有利于城轨交通大数据收集，通过对用户出行轨迹的分析，结合大数据处理能力，就能够提供智能客流分析系统、客流统计人流密度监控预警系统，可为地铁的精细化、自动化运营提供重要的数据支持。

另一方面，各个城市城轨快速建设互联网票务系统的过程中由于缺乏统一的建设标准指导，造成各地二维码不兼容，系统不能互通，给乘客在各城市间漫游乘车形成了屏障。进一步提高投资资源的利用率，方便民众享受便捷的地铁出行服务，提高整个地铁行业的竞争力，城市之间的无缝漫游成为各个城市的急迫需求。

以上各城市互联网票务系统建设过程中无论哪种方式，票务运营的规范均需要与之配套。但目前各个城轨企业规则松紧不一、规范也不统一。

基于此现状，中国城市轨道交通协会秉承“让城市地铁出行更便捷”的服务理念，基于“互联网+交通”策略，为规范城市轨道交通行业互联网票务系统能遵循统一标准，编制城轨互联网票务系统指南，旨在为城市轨道交通建设业主方提供新建互联网票务平台的决策依据，为设计方提供设计指南，为运营方提供运营维护指导。

城轨互联网系统建设原则

轨道交通是一个复杂的、技术密集型的城市公共交通系统，业务的创新发展的首要前提是确保安全性，因此，城轨互联网票务系统的设计需要满足以下原则。

1、系统可靠性

要求系统架构健壮、运行稳定、功能可靠。支持通过容错、热备、故障恢复等方式，实现在系统发生故障时仍能保持正常工作。对于规范要求以外的输入能够判断出其不符合规范要求，并能具备合理的处理方式。保持系统运行稳定，确保数据不因意外情况丢失或损坏。

2、安全性

要求系统的设计、开发、制造、调试和维护的全生命周期安全保证体系应满足中国相关标准，符合国家关于《信息安全等级保护管理办法》信息安全等保三级的标准要求。

技术平台必须要符合国家信息安全等保体系的管理要求，并遵循国家网络安全设计规范。系统关键信息进行机密管理，实现关键信息的加解密保存；系统数据完整，有效防止信息被非法修改。

3、可扩展性

系统应具备规模扩展性，确保具备在用户、业务量增大时，通过资源横向扩展保障业务处理性能，保持一个良好的响应时间。

要求系统有良好的可扩展性，能够快速响应业务需求的变化。系统采用松耦合构件方式进行设计，对于应用功能的扩展可采用发布新构件方式实现，且新功能的部署不影响客户的使用。

4、开放性

互联网票务平台设计上应具备向第三方APP开放二维码过闸的能力，其他城轨移动应用平台、第三方APP可通过接入各城轨互联网票务平台实现乘车码的互联互通。

系统的主要功能、数据应具备开放性，通过标准或通用的接口向外部提供数据和功能的支持，且对接口有安全性的保护控制。

5、经济性

系统应具备高性价比，能对系统资源的使用进行优化。

6、通用及前瞻性

平台业务设计及技术选择应兼具通用性、前瞻性。1)二维码标准：建议遵循行业标准。

2)生码验码方案：建议以双脱机方案为主，确保城轨通行受外部条件影响最小，未来辅以信用消费体制及配套服务机制可充分降低单边、重刷的问题。在网络及相关条件具备、且城轨业主有特别管理要求的前提下辅以联机验证模式，减少重刷及单边交易量。

APP脱机生码：建议移动应用APP在线时获取行业授权数据后，可支持在授权有限期内内的离线情况下多次脱机生成乘车码。可降低因地铁站厅网络信号不佳、或APP系统故障造成无法生码影响乘客使用的情况。

脱机验码：二维码受理终端支持在脱机状态下对乘车码的合法性进行验证，可确保闸机在离线状态也可正常运行。

联机验证：在具备网络条件的情况下闸机辅以联机验证对用户的OD数据／状态进行联机验证，以减少重刷及单边交易量。

7、实名制及信用消费原则

互联网票务要求采用实名制，所有接入互联网票务平台的移动应用均需遵循互联网票务实名制安全要求，在首次申请开通服务时根据互联网票务平台的接口要求提供用户的实名信息，以确保城轨互联网票务运营的安全。

在实名制的前提下，采用信用消费模式，通过后台行程匹配及计费来实现先乘车后付费。

8、业务安全及独立性

城轨企业的互联网票务平台应是独立的，平台以及所产生的业务数据、交易数据均应属于城轨企业，以保障业务数据的安全性。

业务密钥：使用城轨企业ACC私有密钥，确保城轨企业对二维码业务的主控权。若现有城轨ACC密管不支持非对称SM2密钥算法，也可在数字票务系统上新增密管系统（含加密机硬件设备）予以支持。

各地城轨企业应具备独立发码能力，同时支持国家其他行业、交通部的发码要求，支持转码方式，在保障业务安全、独立性情况下，支持行业兼容及业务拓展。

为了保障商用密码的安全性，二维码的签名密钥算法应选用国密算法，建议采用基于SM2算法的非对称签名，在保障密钥安全的同时实现对脱机生码模式的支持。

城轨互联网系统与其他系统关系

根据互联网票务的特性，结合城轨AFC／ACC的定位，建议新建的互联网票务系统与其它系统域的关系如下图所示：

系统关系图

各平台域边界及分工定位建议如下：

1、城轨AFC／ACC建设：主要涉及AFC／ACC软、硬件新增对互联网票务的业务支持能力建设，本指南对AFC／ACC的软硬件功能支持要点提出建议。

2、互联网票务平台：本建设指南将城轨AFC/ACC以及新增的互联网票务平台统称为iAFC，通过iAFC的建设，实现对传统票务、新型互联网票务的业务能力支持。互联网票务平台主要对互联网票务业务进行管理，包括数字票务系统、二维码管理系统。

3、城轨官方APP：城轨官方APP做为城轨企业主要面向乘客的服务门户，提供用户实名认证管理、二维码扫码乘车、移动支付及城轨企业特色服务等。

4、BOM：BOM实现对传统票务、互联网票务的乘客事务处理，可基于城轨已有BOM的改造、新增iBOM或配套运营管理APP等一种或多种方式组合为互联网票务业务提供相应的运营管理支撑能力。

5、其它移动应用平台：新建的互联网票务平台要求具备开放性，可满足城轨向各移动应用开放商业化运营的需要，例如互联互通的城轨畅行APP，或其它第三方支付APP。