量子保密通信在AFC系统的应用

王 健，李 郁，张亦然，吴 娟，张明柱

（1.南京地铁集团有限公司，南京 210008；2.北京全路通信信号研究设计院集团有限公司，北京 100070；3.南京地铁建设有限责任公司，南京 210008）

1 概述

自动售检票系统（Automatic Fare Collection System，AFC）安全性的高低直接影响票务收益安全，在整个地铁运营中起着至关重要的作用。随着移动支付技术、人脸识别技术、语音识别技术等在地铁AFC 系统中不断发展应用，对AFC 系统的可靠性、安全性、实时性和开放性的要求越来越高，AFC 系统与外部系统的接口也越来越多，面临的外部风险也越来越大。在日常的运营过程中，AFC 系统产生了大量的重要数据信息，例如设备运行指令信息、交易信息、乘客支付信息、乘客注册信息、人脸信息等，其中很多数据信息涉及到系统安全、财务安全甚至人身安全，伴随着海量的数据交互的产生，如何保障AFC 系统的数据安全就显得尤为重要。同时，随着计算机的计算能力不断增强，传统的数据加密算法仍有一定被破解的风险。此外，国家对信息安全等级保护工作要求也不断提升，出台了一系列法律法规，要求保障网络与信息的安全，对于自动售检票系统的安全防护提出了更高的要求。因此需要更加安全的防护手段，确保AFC 系统安全稳定可靠的运行。

为了弥补传统AFC 系统加密的不足，提高数据传输的安全性，本文设计了一种基于量子密钥分发(Quantum Key Distribution，QKD)和对称加密技术的地铁AFC 系统量子保密通信传输方案，采用更加安全可靠的量子保密通信技术来提升数据的安全。

2 自动售检票系统数据安全防护现状

AFC 系统根据各层次设备和子系统各自的功能、管理职能和所处的位置划分为5 层系统架构，系统架构具有一定的伸缩性，自动售检票系统架构如图1所示。从车站到清分中心，自动售检票系统与通信、综合监控、一卡通、第三方支付等存在多个外部系统接口，系统生产环境复杂，不确定风险较多。

图1 自动售检票系统架构Fig.1 Architecture of AFC system

传统AFC 系统采用基于公钥基础设施（Public Key Infrastructure，PKI）的方式部署加密模块（Security Access Module，SAM）卡，对系统进行身份认证、文件签名、数据加密等，其安全机制的保障是基于密钥的安全性，通过复杂算法对数据进行加密。由于现有技术尚不具备破解能力，信息传输整体安全性能够得到有效保障。随着人类计算能力的增强，以及密钥破解算法的突破，非对称SM2 加密算法的破解难度和时间将大幅降低，攻击者通过窃听密钥协商过程有可能破解出双方协商的密钥，窃取核心信息，传统密码保密体系的破解风险与日俱增。由于地铁密钥更新频率低，一旦被破解，将会对地铁造成不可估量的损失，因此需要构建更安全的数据保密措施，来保证数据的安全。

3 量子保密通信在AFC系统的应用

量子保密通信的原理是基于量子密钥分发的密码通信解决方案，量子密钥分发不依赖于计算的复杂性来保证通信安全，而是基于量子力学基本原理，从原理上保证了一旦存在窃听就必然被发现。同时，量子密码系统的安全性不会受到计算能力和数学水平的不断提高的威胁，理论上可实现不可破译的安全保密通信。因此，可以利用量子保密通信技术，对AFC 系统数据进行加密传输，从而提高数据传输的安全性。

3.1 自动售检票系统数据安全加密需求

AFC 系统内主要数据流向如图2 所示，按照数据流向分为上传数据流及下载数据流。下载数据流，即从清分中心（ACC）将指令、运营参数、票务库存数据等下传到线路中心（LC）/车站（SC）/车站终端设备；上传数据流，即收集与设备交易有关的交易数据、设备状态等，上传至SC/LC/ACC。AFC 系统内大部分数据按照系统架构逐层上传，但是根据业务需求不同，部分数据由终端设备直接与ACC 进行传输。因此，在减少对既有系统的影响的前提下，基于地铁AFC 系统架构及数据流向，在原有的安全性措施的基础上，在清分中心、线路中心及车站部署量子安全设备，建立量子安全加密隧道，形成量子保密通信网络，构建更高安全等级、更全面的AFC 系统数据加密传输体系。

图2 AFC系统内主要数据流向Fig.2 Flow of main data in AFC system

3.2 量子保密通信设备部署应用方案

清分中心与线路中心之间有大量的交易数据、对账数据、系统参数等关键数据，数据交互量大，对于系统安全要求比较高，因此，在清分中心与线路中心之间采用基于量子加密机结合QKD 的量子安全传输方案。车站的半自动售票机、智慧客服等终端设备不仅包含交易信息，还可以进行人脸注册、移动支付票务处理等，涉及到许多个人信息，并且车站分布广、现场环境复杂，车站到中心的信息安全很难保障。因此，在车站与线路中心及清分中心之间采用基于量子加密机的量子安全终端防护方案，建立车站到线路中心及清分中心的量子密钥体系，对敏感的人脸信息、交易信息、二维码信息等数据提供高安全的加密传输通道，保障车站与线路中心及清分中心之间的数据业务传输安全。量子保密通信在AFC 系统的网络拓扑如图3 所示，在清分中心、线路中心及车站分别部署量子保密通信设备。

图3 量子保密通信在AFC系统的网络拓扑Fig.3 Network topology of quantum secure communication in AFC system

在清分中心部署量子密钥分配终端、密钥服务终端、量子加密机、量子云控系统、量子网络管理系统、量子密钥管控系统等设备，在各线路中心对应清分中心部署密钥分配终端、密钥服务终端、量子加密机等设备，在各车站部署量子加密机。形成清分中心、各线路中心及车站之间的量子保密通信网络。

量子密钥服务终端负责产生量子密钥，清分中心与各线路中心的量子密钥服务终端利用裸光纤协商生成点对点的安全量子密钥。量子密钥分配终端负责对生成的量子密钥进行安全分配、密钥管理等。量子加密机从量子密钥分配终端读取量子密钥，使用国密算法或国际算法对数据进行加密处理，数据通过量子加密机给数据量子加密后传输到对端量子加密机，由对端的量子加密机对数据进行解密。

量子云控系统采用量子随机数生成量子密钥，负责密钥的产生、密钥的分发使用规则、密钥的充注使用等，并通过加密通道实时把密钥更新到各车站的量子加密机。车站量子加密机部署在车站的网络出口处，采用串联的方式接入网络，使用预先充注好的密钥与线路中心及清分中心的量子安全加密机进行加密通信。

在清分中心设置量子网络管理系统，实时检测整个量子通信网络设备之间的网络关系和量子链路的实时运行情况，查看量子设备网络配置、监管量子设备、了解量子设备状况、查找告警设备/链路、分析故障原因等。此外，由于线路中心与清分中心的量子加密机采用量子密钥服务终端产生的密钥，车站的量子加密机采用量子云控系统产生的密钥，车站与中心之间量子加密机之间无法直接进行保密通信，因此，在清分中心部署一套量子密钥管控系统，管理整个量子密钥网络的量子密钥，实现了各量子密钥的互联互通。

3.3 方案部署特点

清分中心与线路中心之间采用点对点的量子密钥分配终端，密钥生成速率高，QKD 支持实时协商产生对称量子密钥，并对量子密钥服务端的密钥池进行实时更新，可做到一次一密的高强度数据加密方式。QKD 的密钥分发是基于BB84 协议设计的，其具备理论上的无条件安全性，具备不可窃听、不可破译的特性，安全性能极高。

车站到线路中心及清分中心自己采用量子加密机进行数据加密，量子云控系统和量子安全加密机设备使用的量子密钥更新频率可自由设定（量子安全加密机最小可以按小时为单位密钥更新策略），更新时间可以根据业务的需求灵活设定（如地铁运营时间结束以后更新等）。量子云控系统的密钥都是由量子随机数源生成，生成速率及密钥随机性高于传统密钥，量子安全加密机和量子云控系统之间通过安全算法进行密钥更新，实现量子安全加密机内密码的按需更新。

此外，量子保密通信网络与传统非加密AFC 业务传输网络分别采用通信传输通道进行传输，量子保密通信网络与传统业务传输形成互为双备网络，在量子保密通信发生故障时，系统可自动切换到传统业务传输通道，优先保障业务正常运行。

4 结语

在AFC 系统已设置入侵检测、访问控制、防火墙、病毒防护等安全性措施的基础上，采用量子保密通信对系统内的敏感信息及重要信息进行加密传输，是对现有的保密通信技术中的对称加密体系的一种安全性提升，解决了密钥分发部分的安全性问题，提升对称加密通信的安全性水平，构建了更高安全等级、更全面的网络安全防护体系，保证了核心业务系统的数据传输安全。同时，在移动支付快速发展的背景下，各城市轨道交通对AFC 系统的安全越来越重视，该应用方案具备安全性高、对AFC系统影响小、实施难度小、可复制性强等特点，具备在AFC 系统应用的条件。但是，量子保密通信也存在如设备成本比较高、使用不够灵活、不同厂家互联互通存在困难等劣势，同时，量子保密通信并不能完全解决AFC 系统中面临的所有安全性问题，在不同的应用场景下仍需要采取针对性的安全防护措施来保证AFC 系统的安全。