城市轨道交通乘客服务信息发布安全保障方案研究

赵伟慧，孙同庆，汪晓臣，王志飞

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081)

0 引言

轨道交通乘客信息系统(PIS系统)实时播放车站运营信息、列车到站信息、客流密度、公益广告等服务资讯，及时告知并引导乘客出行，提高了地铁服务水平和质量；同时在火灾等紧急情况下，可迅速、直观、醒目播放紧急疏散和防灾等文本和图像信息，起到辅助防灾、救灾的作用，是保障城市轨道交通运行安全的重要手段[1]。PIS系统应用广泛，受众群体庞大，信息发布的安全性至关重要。目前，城市轨道交通PIS系统均是独立建设运营，针对信息系统网络安全等级保护的安全物理环境、安全网络通信和安全管理与运维要求[2]，在硬件层面做了防火墙隔离和访问控制。

随着城市轨道交通信息化、数字化、智能化建设的进一步发展和完善，乘客服务信息内容更加丰富，张森等[3]、贾文峥等[4]分别从智能化服务和线网化运营角度描述了乘客服务的发展趋势，传统单一图文、音视频服务信息逐步发展为“人—车—物—事件”多源融合的服务信息[5]，信息发布的多样性和实时性要求越来越高。PIS系统信息发布的数据安全机制薄弱，从中心发布到车站终端显示没有严格的数据保护机制，存在信息被恶意篡改的风险。特别是北京地铁冬奥支线的乘客信息服务，涉及到冬奥赛事信息、疫情防控信息、车站运营信息、客流密度信息、周边公交信息、商业活动信息的融合，多源数据实时发布对PIS系统信息发布管理的保密性、完整性、准确性及防篡改等安全要求也越来越高，信息显示的安全保障要求更为迫切。因此，PIS系统需要在网络防护和访问控制的基础上，针对信息发布的处理、融合、编播、审核、传输、解析、显示等各个环节进行数据层面的加密防护和安全校验，从而确保车站终端乘客服务信息显示的安全性。

1 PIS系统信息发布数据安全性分析

分别从用户数据和信息数据2个角度对PIS系统信息发布的数据安全性进行分析。

（1）用户数据安全性分析。PIS系统作为多用户多角色参与的业务系统，在信息发布过程中，审批流转需要多人协同完成，且基于网络实现的业务操作用户无法面对面确认信息。目前，运营消息和媒体播放计划的发布，对操作人员身份认证仅依靠输入密码方式，存在一号多用、账号盗用风险，导致终端屏幕显示非法或政治敏感信息，造成重大安全隐患。为保证操作人员的合法性，需要提高用户身份认证机制的安全性，从而保证信息编辑、审核、发布痕迹为用户的真实意愿。

（2）信息数据安全性分析。PIS系统核心业务是面向公众发布服务信息，信息来源较多，主要包括指挥中心媒体和运营信息、信号系统列车到发信息、综合监控系统紧急信息、外部公交系统换乘信息以及互联网商业、天气信息等。对信息接收、录入、存储、加工、传递等数据流动的各个环节均需要确保信息数据的完整性和真实性，主要包括存储安全和传输安全2个方面。①数据存储安全性。考虑到大媒体文件的加解密效率低、列车到站信息秒级实时性要求以及IT部门运维人员数据库问题排查直观便捷性，PIS系统待发布信息以明文形式存储，存储信息在被调度发布时无法判断存储信息是否被恶意篡改，需要增加数据存储防篡改校验机制。②数据传输安全性。地铁沿线车站较多，每个站点均与PIS 系统存在信息交互，一旦遭到恶意攻击，数据有可能在传输的过程中被窃取或篡改，造成信息无法发布或者发布内容与审核内容不一致，存在发布信息不可控的安全隐患，需要提升数据传输安全保护机制。

综合以上对用户数据和信息数据的不同安全需求分析，设计相应的数据安全防护校验机制，提出基于PIS架构特点和信息发布流程的安全发布方案。

2 PIS系统信息安全发布平台设计

2.1 系统总体架构与安全支撑平台架构设计

乘客服务信息安全发布方案是在PIS系统架构基础上，针对信息发布功能的编辑、审核、存储、调度、传输、显示各个环节，增加用户操作认证、存储防篡改校验和信息加解密支撑模块，构建信息发布安全支撑平台，实现对用户数据和信息数据的安全保护功能。PIS系统信息安全发布总体架构如图1所示。

图1 PIS系统信息安全发布总体架构Fig.1 Overall architecture of secure PIS information release

PIS系统为“中心—车站”两级控制结构[6]，包括中心的信息发布客户端、数据管理单元、信息调度单元及车站播放终端。信息发布客户端提供信息编辑、审核、撤销及日志查看功能，客户端生成的信息和外部系统发送的信息均由数据管理单元按照统一数据结构存储，信息调度单元按照信息等级和播放时间从数据管理单元调取信息发送给车站播放终端显示。

安全支撑平台作为信息安全发布的服务支撑，一方面是以数字证书认证技术为核心结合生物识别技术的安全认证平台，对信息发布操作用户进行身份认证，确保用户操作的安全性；另一方面，中心安全支撑平台和车站安全支撑子平台分别包含数据加解密盒子，对中心和车站间传输数据进行加密，确保数据在传输过程中的安全性。安全支撑平台架构设计如图2所示，包含支撑层、服务层、接口层和应用层。

图2 安全支撑平台架构Fig.2 Architecture of security support platform

支撑层依托生物特征核验引擎、数字签名验签系统以及加解密设备为人脸信息识别、数字签名、数据加密提供基础支持。服务层是安全支撑平台核心，包括安全支撑服务和安全支撑管理，安全支撑服务提供信息安全发布数字签名、人脸比对、信息加解密服务，安全支撑管理用于维护用户信息和密钥信息。接口层是PIS业务系统和安全支撑平台数据同步及服务调用的数据通道，包括生物特征认证接口、信息加解密接口和用户数据同步接口。应用层针对PIS系统浏览器和服务器(B/S)架构，封装适配客户端浏览器的安全组件，通过人脸活体检测仪实现用户人脸信息采集。

2.2 信息安全发布处理模块设计

基于PIS系统信息发布各个环节业务流程和数据安全防护需求，通过操作安全认证、存储安全校验和传输安全加密3个模块实现信息安全发布。

（1）操作安全认证。乘客服务信息的编辑、审核、撤销等操作需要进行用户身份校验。操作安全审核是通过更加安全可靠的身份认证技术实现信息发布操作时的用户身份识别和用户操作认证，规避一号多用和密码盗用，确保用户的真实性，并对用户操作事件进行认证，形成信息发布完整证据链，确保操作可溯源，增强信息发布操作的安全性。

（2）存储安全校验。针对信息明文存储的需求，信息存储安全校验基于信息摘要比对实现防篡改校验。在原始信息存储时，计算并保存信息摘要，在信息被调度发布到终端前再次计算其摘要，通过摘要比对主动识别信息在存储期间被恶意篡改异常，及时终止非法信息的调度发布并反馈告警提示。

（3）传输安全加密。通过存储安全校验的信息经由中心和车站PIS局域网络发送给车站播放终端播出显示。信息传输安全加密是指中心信息调度单元通过调用安全支撑平台的中心加密盒子对待发布信息进行加密，由加密信封的方式经由原网络传输信息。车站播放终端收到加密信封后通过安全支撑平台的车站解密盒子进行信息解密及有效性校验，实现信息从中心到车站的加密传输，确保终端显示信息的安全性。

3 信息安全发布处理模块实现方案

3.1 基于人脸识别和数字签名的用户操作安全认证

身份认证主流方式包括静态口令、动态口令、生物特征识别，其中生物特征识别中的人脸识别技术具有较高准确度和安全性[7]。PIS系统用户在客户端进行信息编辑、审核、撤销操作时的身份审核采用“人脸识别+数字签名”双认证方式。信息发布客户端配置双目摄像头，采用专用近红外人脸活体检测算法，可判断摄像头实时采集人脸的真实性，规避了使用智能终端视频、平面照片、简易面具等手段进行攻击的行为。数字签名是基于数字证书验证用户身份[8]，对用户姓名、账号、部门等信息进行加密处理，用于在网络通信中认证各方身份信息，对用户操作行为进行认证。PIS系统预先采集用户人脸，绑定对应的数字证书并保存在安全支撑平台。

用户身份认证业务流程如图3所示，用户在登录状态有效时完成业务操作后，PIS系统信息发布客户端将该用户信息提交给安全支撑平台，客户端抓取的用户照片与安全支撑平台人像库中录入的照片进行1 : 1比对，比对成功后获取该用户的私钥，对用户的操作行为进行数字签名，并存储该认证签名信息，保证用户行为的抗抵赖性。

图3 用户身份认证业务流程Fig.3 Business process of user identity authentication

3.2 基于消息摘要算法的数据存储安全校验

消息摘要算法不涉及密钥管理和获取，具有输出随输入改变的特征。基于消息摘要算法，针对待发布信息的关键要素进行加密计算可以得到信息摘要信息，信息关键要素的任何改变都会导致其摘要的改变，摘要作为信息的“数字指纹”，具备唯一性，能够确保信息的完整性[9]。

基于消息摘要算法的信息防篡改数字标识模型如图4所示，将待存储信息的播放内容、播放等级、播放时间作为消息摘要算法的输入，生成信息的“数字指纹”。信息数据存储时间的数据类型为时间戳 (TIMESTAMP)类型，当存储数据发生变化时存储时间自动更新为当前时间。信息“数字指纹”和数据存储时间生成存储数据的唯一标识同步保存。当运营信息被调用时，计算当前存储信息的摘要，结合当前存储时间生成数据标识，与之前保存的数据标识进行比对，对于比对失败的信息终止调度并生成相应的存储告警提示信息。

图4 基于消息摘要算法的信息防篡改数字标识模型Fig.4 Digital identification model featuring information tamper proof based on message digest algorithm

3.3 基于混合国密算法的信息传输安全加密

数据加密技术分为对称型加密、非对称型加密和不可逆加密3类。为了保障商用密码的安全性，国家商用密码管理办公室制定了一系列密码标准。其中，SM2椭圆曲线公钥密码算法为非对称加密，密钥分为公钥和私钥，为实现数字签名提供了必要条件，其加密安全性高，但加解密速度较对称算法慢，适用于加密密钥和签名等小块数据；SM3密码杂凑算法为不可逆加密，不存在密钥保管和分发问题，适用于数字签名和验证消息认证码的生成与验证；SM4分组密码算法为对称加密，计算速度快，尤其是对媒体大文件加密效率高，但存在密码泄露风险，安全性不高[10]。根据以上特点，综合SM2算法安全性高和SM4算法速度快的优势，基于SM系列国密算法构建具备验证信息源的混合加密算法[11-12]，实现PIS系统信息从中心到车站的高可靠、高效率、低带宽安全传输。

（1）中心调度发送端加密流程。中心调度发送端调用中心安全支撑平台加密接口对待发送信息进行数字签名及加密，发送端加密流程如图5所示，设定发送端SM2算法的私钥为Ps，公钥为Qs，接收端SM2算法私钥为Pr，公钥为Qr，SM4算法密钥为K，发送端加密步骤为：①用SM3算法生成原始信息的摘要；②用发送端私钥Ps通过SM2数字签名算法加密摘要，生成数字签名；③用SM4算法的密钥K对数字签名和原始信息进行加密，生成信息密文S；④用接收端公钥Qr通过SM2公钥加密算法对K进行加密，生成钥匙密文；⑤将信息密文和钥匙密文发送给接收端。

图5 发送端加密流程Fig.5 Encryption process of information sender

（2）车站播放接收端解密流程。车站播放接收端接收加密信封后，调用车站安全支撑子平台解密盒子接口，解密钥匙密文和信息密文，并校验信息源及信息的合法性，接收端解密流程如图6所示，具体步骤为：①用接收端SM2算法的私钥Pr解密钥匙密文，得到SM4的密钥K；②用K解密信息密文，得到明文信息和数字签名；③用发送端SM2算法的公钥Qs解密数字签名，得到初始摘要；④用SM3算法生成明文信息的摘要；⑤比较明文摘要与初始摘要是否一致，如果一致则得到的明文信息即为原始信息，进行播放显示，如果不一致，则信息非法，终止信息播放并生成告警提示。

图6 接收端解密流程Fig.6 Decryption process of information receiver

利用上述信息加解密方案实现PIS信息加密传输，确保了信息内容及信息源的安全性，具有以下优势：①主体信息数据采用加密效率高的SM4算法加密，对SM4算法的密钥采用SM2算法加密，总体加密、解密速度快，能够满足PIS系统信息实时性发布要求；②用发送端SM2算法私钥加密摘要形成数字签名并在接收端解密校验，在信息加密传输的同时验证了发送方的身份和数据的完整性，加强了信息发布的安全性；③采用SM2算法加密SM4算法的密钥，与信息密文合并为加密信封同步传输，避免发送端向接收端单独传递信息解密的密钥，降低密钥泄露风险。

4 结束语

所提出的PIS系统信息安全发布方案，集乘客服务信息发布的操作审核安全、数据存储安全、信息传输安全技术于一体，提高了乘客服务信息发布的安全性。基于所述方案研发的成套乘客信息系统产品在北京地铁冬奥支线进行了试点应用，并针对用户操作认证、数据存储、信息传输环节进行了模拟安全风险测试，测试结果表明系统能够精准识别盗用账号、冒名顶替等非法用户操作行为，及时感知数据库中待发布信息的异常变更，自动校验信息在中心到车站网络传输中的完整性和有效性，极大地提高了车站播放终端显示信息的准确性。随着城市轨道交通与市郊铁路、城际铁路、干线铁路的融合发展，设施互联和信息共享逐步实现，大型综合车站的信息发布内容更加丰富灵活，研究不同系统间服务信息交互安全性势在必行，通过进一步提高数据安全校验和加解密算法的效率，建立更全面更高效的乘客服务信息安全发布系统。