中老铁路客票系统互联互通分析与设计

中老昆万铁路(昆明—万象，以下简称“中老铁路”)于2021 年12 月3 日正式开通运营，沿途分为3 段，昆玉段、玉磨段、磨万段。中老铁路磨万段客票系统(以下简称“磨万段客票系统”)根据老挝国内情况，已研发形成一套集票务管理、交易于一体的客运综合系统。磨万段客票系统和中老铁路玉磨段国际列车客票系统(以下简称“玉磨段国际客票系统”)运营后，受新冠疫情影响，暂未发售跨国车票，目前磨万段客票系统、玉磨段国际客票系统2 套系统独立运行，尚未互联互通，不利于后续跨境票业务办理。随着我国铁路信息化建设的不断进步，结合跨国信息化系统交流合作的现状，综合未来可预见的延伸拓展服务，解决各系统独立存在形成不了合力相关问题[1]，通过研究磨万段客票系统与玉磨段国际客票系统(以下统称为“双方系统”)互联互通，实现票务数据共享，以更好支撑跨国票跨境业务办理，提升旅客便利化出行体验[2-4]，对推动我国自主研发的铁路客票系统走向国际化以及国际列车联运发展具有重大意义。

1 互联互通需求分析

磨万段客票系统、玉磨段国际客票系统由于部署位置跨国、数据存储位置跨国、运行网络差异，双方需要以人工传递基础数据的方式通知对方系统维护后才能互售，除此之外，依靠双方约定交由对方系统维护发售的车票能够在其国家线下车站或者线上网站进行退票、改签业务办理外，其他票额均需在购票车站所属国家进行退改，通过数据共享、架构改造、功能服务以及安全保障几个方面分析中老铁路客票系统互联互通需求。

1.1 数据共享需求

（1）基础数据是跨境业务办理的基本依赖，主要包括线路、车次信息、停靠站、列车编组、车厢类型、列车席别、站间票价等，席位信息以基础数据作为支撑，根据相应规则约束生成。为支撑双方系统实时交易的互通，双方系统需要按照约定规则对基础数据信息自动校验与转换，分别适应双方系统的表结构与存储规范，保障交易业务正常进行。

（2）交易数据是跨境业务办理的核心凭证。双方系统通过查询车次、查询余票、获取席位、支付等操作记录交易信息，实现车票的发售，跨国跨境票的售改退废全部依赖交易信息。为保证跨境业务办理需要实时同步交易数据，为外部系统提供本系统发售其席位的相关订单数据及跨境列车的发售信息、旅客信息等。交易数据的同步将为中老客运运营动态二维码验检、智能化人脸验检及延伸服务提供旅客行程服务记录(PSR)数据支持[5-6]。

（3）统计数据是铁路客票系统的运营情况汇总。双方发售对方席位由各系统各自记录，收入审核数据依据双方系统交易存根、结账信息每日定时生成，统计数据的同步便于各系统发售外部系统席位的收入统计、18 点速报、清分清算等需求，也将为客流预测、票额预分提供有力的数据支持。

1.2 架构改造需求

双方系统均采用微服务架构设计理念，由管理端和交易端WEB 接入；使用网关、注册中心、鉴权机制连接后台服务；数据层主要采用关系型数据库，对基础数据、交易数据等进行存储；日志及监控贯穿整个链路。双方系统互联互通需要数据层打通，形成数据合集，因此需要双方网络架构支撑数据传输，严格遵守《个人信息保护法》《网络安全法》《数据安全法》等数据跨境传输的规则，在网络传输层提供安全可靠的通道进行数据的交互，确保数据传输的安全[7-9]。

1.3 功能服务需求

由于双方系统在数据存储上存在差异性，例如时区的不同影响列车停靠站始发终到时刻，车站电报码位数及定义规则不同导致双方数据同步存在冲突等问题，需要使用数据映射手段将双方系统数据通过规则转换成双方互认的形式进行存储。除此之外，基础数据、统计数据与交易数据相比，实时性要求不高，为避免过度损耗系统资源，将基础数据、统计数据以异步的方式传输，交易数据由于业务办理的时效性需要实时传输。

1.4 安全保障需求

（1）网络安全。网络设备需要满足客票系统日常及票额流量高峰情况下的运转能力；核心网段与非核心网段之间使用可靠的隔离机制；设置路由控制，建立安全的访问通路。对访问资源路径、网络设备运行情况、访问流量、访问行为等安全审计信息进行分析和评估。能够对常用攻击行为进行检测和监视，对攻击事件进行详细记录，包括IP、时间点、地点、类型等，必要情况下，应及时告警并妥善处理。

（2）应用安全。双方系统需要将系统启动用户的权限限制在最小范围内，禁止用户拥有其他非必要路径的访问权限；隐藏系统重要参数配置信息和日志文件，防止系统和数据库错误信息直接输出在页面上；接口安全方面要保证数据不会被窃听、篡改和重复调用。从系统设计开始就充分考虑安全与业务应用的关系，认真分析客票系统存在的安全风险，使安全与业务应用融为一体，实现核心交易不间断。

（3）数据安全。双方系统个人信息及订单等核心数据确保在各系统间传输中不泄露隐私信息，存储上不被篡改[10]，直连数据库的修改手段需要避免或追溯；基础类数据使用最小化授权标准，非授权不可访问；建立安全数据传输通道，通过技术手段实现传输安全并尽量保证售票效率不受影响；对系统公共数据加密方式和密钥进行定期更换，保证数据问题能审计和追责。

2 互联互通方案设计

互联互通方案基于互联互通需求，充分考虑技术手段先进性、实用性、高可靠性、安全性。在保障双方系统平稳运行不间断、各层级业务流程完整以及运行效率不降低的情况下，从网络方案、架构改造方案、安全保障方案、功能实现方案多方面展开互联互通方案设计。

2.1 网络方案

中老铁路客票系统互联互通网络架构如图1 所示，玉磨段国际客票系统与磨万段客票系统，分别由中国国家铁路集团有限公司(以下简称“国铁集团”)客票数据中心和中国铁路昆明局集团有限公司(以下简称“昆明局集团公司”)普洱车务段万象运营管理中心(以下简称“万象运营管理中心”)通过专线经由昆明局集团公司进行连接，通过两端的安全网关建立安全通信通道。专线在我国侧接入位置为玉磨段国际客票系统国铁集团客票数据中心的外部接入区，老挝侧接入位置为磨万段客票系统万象运营管理中心的外部接入区。在外部接入区部署防火墙、安全网关、负载均衡器、WEB 应用防火墙(WAF)、入侵检测系统(IDS)、入侵防御系统(IPS)等安全防护设备，实现访问控制、接入认证、加密传输、高可用、WEB 应用防护、入侵检测与防御等功能，满足安全通信网络和安全区域边界的防护要求。

图1 中老铁路客票系统互联互通网络架构Fig.1 Connectivity network framework of ticketing system for China-Laos Railway

2.2 架构改造方案

为了玉磨段国际客票系统、磨万段客票系统数据集成共享，增设数据处理平台，用于对数据差异化映射以及结构不同的对接处理；使用数据同步接口对双方系统数据进行实时和非实时传输存储，为不影响新需求数据互通对既有稳定运行系统的影响，使用单独共享数据库存储双方传递的数据，当接收到车票业务请求时，识别出票源是内部还是外部系统票额，如果是外部票额，直接连接共享数据库使用外部车票处理流程并记录处理数据信息，将业务处理产生的数据通过数据同步接口走网络专线传输给外部共享数据库。架构改造图如图2 所示。

图2 架构改造图Fig.2 Framework reconstruction

2.3 安全保障方案

双方系统从风险控制、管理安全、设施安全、设备安全等多重防御层面进行保障，建立多层次的防护体系，达到安全营运的预期标准。其中，跨国互联互通网络安全设备包括安全网关、入侵检测、安全审计、防病毒软件等安全产品，在客票数据服务区、外部接入区和边界区分别根据需求部署对应的网络安全设备，保障客票系统的安全运行。

万象运营管理中心和昆明局集团公司之间通过建立数据传输专线实现互联，用防火墙实现边界或区域访问控制，使用安全网关或网络密码机实现系统间数据的安全传输，使用WAF，IDS，IPS 实现应用防护和入侵防御。双方系统互联时使用https协议，系统内部使用http 协议，互联双方为对端生成数据证书，内含公私钥，用于应用报文的数字签名。WAF 以Lua 脚本语言编写风控业务规则，以Nginx 作为http 服务器，用于承担通用识别防控。业务专用风控规则由接口服务自身识别，完成风险识别防控之后，过滤非法请求，保留合法请求，分发至接口网关。接口网关是基于Java 语言开发的WEB 应用程序，负责统一调度，根据不同的url 确定当前请求归属于哪项服务，并对相应的客票数据服务区服务进行调用。服务调用会根据各项服务的实际情况，确定不同的超时阈值，当出现请求超时情况，自动进行控制，避免后端服务故障时拖累前端；当服务调用请求失败时，允许根据合理的重试次数进行重试。

3 互联互通功能实现

互联互通既要充分对接现有系统架构，又要充分考虑功能落地的可行性、高效性和平稳性，因此，增加数据处理平台与数据服务接口。

3.1 数据处理平台

（1）数据校验服务。互联双方调用外部系统之前或接受调用时，对请求信息进行校验，确保数据内容双方系统可识别。

（2）数据适配处理。对双方互联互通数据结构化以及信息化数据差异提前做好对接，使用接口服务进行适配，达到互认并且可以互相转化存储的目的。

（3）管理功能。对双方系统基础信息校验机制进行管理，对接口访问规则、接口服务的服务时间、频率、流量、权限等进行管理，对传输数据进行查询与处理，对业务流程进行全链路监控。其中，数据同步管理包括数据传输周期、数据范围、数据源、数据处理方式、数据目的地等管理；数据同步运维监控包括数据同步故障监控、数据同步统计、数据一致性检测等。

（4）安全管理。对访问服务接口的终端身份、访问权限进行鉴别；对接口API 采用高度安全的加密算法，通信报文中数据使用密钥签名，中间层无法篡改[11-12]，保证交易业务安全；对旅客个人敏感信息，如证件号、姓名、手机号等进行脱敏处理，保证隐私信息不泄露；对传输内容进行签名、验签处理，保证数据完整性、不可篡改、不可抵赖。

3.2 数据服务接口

（1）业务处理接口。由数据处理平台对请求进行甄别并做出适配转换后，数据处理平台调用相关业务处理接口，业务处理接口主要包括查询类、交易类。查询类包括：车次、停靠站、余票、订单等信息。交易类包括：获取席位、返还席位、支付等。当业务处理产生新的外部票源交易类数据信息时，存储到内部共享数据库。

（2）数据同步。内部共享数据库的交易信息、统计信息通过定时任务、消息队列、触发器调用数据处理平台的适配功能进行封装后，以同步或异步的方式通过专网传输到外部共享数据库，供各客票系统内办理后续业务和数据统计等。同步交易信息包括订单数据、旅客信息等，同步统计信息包括售票存根、退票存根、票据凭证等信息。

4 结束语

在我国铁路客票系统逐步走向国际，新型技术架构和网络结构日益复杂的情况下，设计国外与国内铁路票务系统的互联互通，以解决跨境系统间的数据共享难题，提升跨国铁路美好出行体验，为跨国铁路智能化、自动化扩展提供技术储备和数据支撑。系统互联互通设计，不仅降低国际客票信息人工传递的风险和数据传输成本，更是完备了跨国铁路系统支持能力，通过数据互通增进国际社会互信关系，为我国同世界铁路综合运营共建智慧出行平台提供新的思路，同样确保我国铁路客票系统在国际铁路项目中的核心竞争力，持续打造铁路客票系统的又一亮丽名片。