楊 波，陳逸辰

（1.貴陽市城市軌道交通集團(tuán)有限公司，貴州 貴陽 550081；2.上海依圖網(wǎng)絡(luò)科技有限公司，上海 201103）

0 引 言

隨著人工智能領(lǐng)域技術(shù)的不斷發(fā)展和算法精度的不斷提高，基于人臉識別的應(yīng)用系統(tǒng)逐漸在安防、金融、醫(yī)療等各大領(lǐng)域落地實踐。其中，城市交通刷臉支付是一項典型的基于人臉識別算法的應(yīng)用場景。城市交通的刷臉支付與傳統(tǒng)的支付方式相比，為乘客出行提供了更加便捷有效的支付手段，能夠大幅提高乘客通行效率，提升乘客出行體驗。目前，全國各地有一些試點的地鐵刷臉通行方案，但都是以小規(guī)模特定人群進(jìn)行試點，且只進(jìn)行刷臉身份驗證，并沒有完成完整的支付流程。

究其原因，刷臉通行無感支付在城市智慧交通領(lǐng)域是一個世界級的創(chuàng)新難題，百萬量級甚至千萬量級的場景、復(fù)雜的現(xiàn)場環(huán)境、高識別精度和低響應(yīng)時延，都對人像識別算法和整體實現(xiàn)方案提出了極高要求[1-2]。此外，刷臉支付通行雖然便捷，但是由于使用了非接觸式生物信息作為身份驗證憑據(jù)，用戶可能在非主觀授意的情況下被遠(yuǎn)程讀取面部信息，一旦被攻擊者惡意利用，將會給用戶帶來不可估量的損失。

本文主要針對刷臉支付通行這一課題，設(shè)計了完全自主研發(fā)的首例行業(yè)解決方案，建立了一套包括識別算法、捕獲硬件、刷臉應(yīng)用、安全運營、安全數(shù)據(jù)存儲以及安全架構(gòu)的應(yīng)用體系。依托于依圖科技世界領(lǐng)先的算法和硬件研發(fā)技術(shù)，結(jié)合“中國數(shù)谷”貴州省貴陽市得天獨厚的人工智能技術(shù)與實體經(jīng)濟(jì)深度融合的實施條件，此項目已經(jīng)在貴陽市地鐵和部分公交大巴線路成功上線運行，引領(lǐng)了便捷乘車新模式。

1 智慧軌交安全支付系統(tǒng)

地鐵刷臉支付的核心需求可歸結(jié)為4點：通行效率高、用戶體驗好、算法精度高、運營優(yōu)化快?；谝陨峡紤]，設(shè)計智慧軌交安全支付分層應(yīng)用體系架構(gòu)，如圖1所示。架構(gòu)整體從上到下分為5層。

圖1 智慧軌交安全支付分層應(yīng)用體系架構(gòu)

1.1 交互層

交互層位于整個系統(tǒng)架構(gòu)的頂層，是與用戶直接聯(lián)系的人機交互感知硬件層，主要用于部署基于Android的人機交互設(shè)備，是每個乘客在日常乘坐地鐵時進(jìn)行交互的終端。

1.2 應(yīng)用層

應(yīng)用層依賴于交互層而存在，包含了與用戶直接聯(lián)系的人機交互感知軟件層，主要搭載了基于智慧軌交安全支付業(yè)務(wù)相關(guān)的功能軟件，與交互層一起實現(xiàn)了人機交互軟硬件一體化。

1.3 服務(wù)層

服務(wù)層包含眾多以微服務(wù)形式存在的功能模塊，為上層應(yīng)用系統(tǒng)提供了業(yè)務(wù)服務(wù)和基礎(chǔ)支撐服務(wù)。

1.4 數(shù)據(jù)層

數(shù)據(jù)層承擔(dān)了整個系統(tǒng)的數(shù)據(jù)中心，主要以刷臉應(yīng)用業(yè)務(wù)為核心，構(gòu)建了基礎(chǔ)數(shù)據(jù)與動態(tài)數(shù)據(jù)相結(jié)合的數(shù)據(jù)平臺。

1.5 基礎(chǔ)設(shè)施層

基礎(chǔ)設(shè)施層即整個系統(tǒng)部署所依賴的計算資源、存儲資源和網(wǎng)絡(luò)資源，為上層提供了進(jìn)行人臉識別計算所需要的GPU和CPU算力支持以及大數(shù)據(jù)中心、用戶信息、運行日志等分布式異構(gòu)存儲。

從北到南的智慧軌交安全支付分層應(yīng)用體系架構(gòu)模型，充分滿足了基于人臉識別的地鐵支付通行所需要的關(guān)鍵技術(shù)棧。為了實現(xiàn)完整的支付扣費流程，充分按照行業(yè)規(guī)范和企業(yè)的運營需求，在東西向設(shè)計了對接銀行或其他支付系統(tǒng)，以此滿足了接入第三方支付平臺的廣大需求。

2 智慧軌交系統(tǒng)安全性分析

地鐵智慧軌交安全支付系統(tǒng)是智慧城市的重要基礎(chǔ)設(shè)施，面對百萬量級甚至千萬量級的用戶參與使用刷臉支付系統(tǒng)，系統(tǒng)本身的可靠性和可用性變得至關(guān)重要。針對如何衡量信息系統(tǒng)的安全性與可靠性的問題，業(yè)內(nèi)普遍接受的是基于信息安全的三要素，即機密性（Confidentiality）、完整性（Integrity）和可用性（Availability），如圖2所示。

圖2 信息安全三要素

對于整個軌交支付系統(tǒng)來說，機密性要求了對整個安全系統(tǒng)內(nèi)的信息、數(shù)據(jù)、文件等的訪問權(quán)限控制。為了維護(hù)機密性，通常會在數(shù)據(jù)的傳輸、存儲、處理過程中進(jìn)行諸如加密、訪問權(quán)限控制等措施進(jìn)行安全保護(hù)。完整性則著重保護(hù)了數(shù)據(jù)的可信度和準(zhǔn)確性，即防止未授權(quán)的修改數(shù)據(jù)，通常要進(jìn)行嚴(yán)格的訪問控制和身份認(rèn)證。可用性通常是保證經(jīng)過授權(quán)的用戶能及時、準(zhǔn)確、不間斷地訪問數(shù)據(jù)。為了保證軌交系統(tǒng)的可用性，主要是確保人臉識別算法的精準(zhǔn)且高效。

針對軌道交通支付系統(tǒng)可能存在的缺陷和問題，本項目采用了相應(yīng)的技術(shù)管理手段來盡量規(guī)避。下文將從物理、網(wǎng)絡(luò)、主機、算法和數(shù)據(jù)5個方面闡述解決方案。

2.1 物理層面

在物理層面，門禁閘機一般布置在地鐵站等具備防震、防風(fēng)和防雨等能力的建筑物內(nèi)，保證物理機器的可用性。同時，為了最大程度地保證物理層面的機密性和完整性，服務(wù)器機房布置在貴陽軌交公司的A級物理機房。機房和地鐵進(jìn)出口還安裝有監(jiān)控攝像頭，并接入預(yù)警系統(tǒng)，能根據(jù)內(nèi)置的算法發(fā)現(xiàn)異常行為，及時上報管理員。這項舉措能夠隱藏、保護(hù)設(shè)備的對外接口，保證攻擊者不能輕易獲得其相應(yīng)的固件和內(nèi)部的芯片信息。

2.2 網(wǎng)絡(luò)層面

為保證網(wǎng)絡(luò)系統(tǒng)的可用性，能夠不間斷連續(xù)運行，本方案中的核心交換機和路由接入設(shè)備采用模塊化分布式處理技術(shù)實現(xiàn)；各主要部件特別是作為整個計算機網(wǎng)絡(luò)系統(tǒng)核心的多層交換單元，更具備了冗余備份的容錯能力，這樣整個網(wǎng)絡(luò)中不存在單一故障點。

網(wǎng)絡(luò)系統(tǒng)的機密性和完整性主要包括對網(wǎng)域的劃分隔離和傳輸?shù)陌踩员ＷC。根據(jù)系統(tǒng)邏輯功能的不同，對網(wǎng)域進(jìn)行了如圖3所示的劃分。

各個車站和刷臉支付系統(tǒng)都是一個獨立的網(wǎng)域，在網(wǎng)域之間采用了專用的局域網(wǎng)網(wǎng)絡(luò)，通過路由控制，僅能通過特定的接口進(jìn)行安全通信。其他隔離的系統(tǒng)與刷臉支付系統(tǒng)間的數(shù)據(jù)傳輸都將經(jīng)過防火墻的嚴(yán)格過濾，采用業(yè)界最高的威脅防護(hù)等級和SSL性能檢測，能夠有效防止隱藏在流量中的惡意軟件攻擊。

為了保障通信過程的安全，采取私有證書的HTTPS協(xié)議對整個鏈路中的流量進(jìn)行加密，同時構(gòu)建了相應(yīng)的安全態(tài)勢感知平臺，根據(jù)機器學(xué)習(xí)所得模型對實時流量進(jìn)行分析，實現(xiàn)了針對各路威脅的智慧防御。

2.3 主機層面

為保證核心服務(wù)器的高可用性和可靠性，各種應(yīng)用子系統(tǒng)的服務(wù)器都被配置為互備模式；在服務(wù)器架構(gòu)設(shè)計上，采用雙機或多機并行運行方式，防止在服務(wù)器一級出現(xiàn)單點故障。

此外，服務(wù)器具備身份鑒別機制，遵循最小權(quán)限原則；具備安全審計功能，對重要的用戶行為，記錄系統(tǒng)資源的異常使用和重要系統(tǒng)命令使用等事件，以此滿足核心服務(wù)器的機密性要求。

圖3 系統(tǒng)網(wǎng)域劃分示意

2.4 算法層面

人臉識別技術(shù)主要基于深度學(xué)習(xí)算法，這一類算法容易受到生成式對抗網(wǎng)絡(luò)（Generated Against Network，GAN）的攻擊，如圖4所示，是當(dāng)前國際上最流行的一種攻擊方式。攻擊主要通過在數(shù)據(jù)集中故意添加細(xì)微的擾動干擾輸入樣本，導(dǎo)致模型以高置信度輸出一個錯誤結(jié)果。應(yīng)用到貴陽軌交系統(tǒng)，可能造成的后果是閘機無法識別人臉和閘機識別人臉結(jié)果錯誤。

圖4 生成式對抗網(wǎng)絡(luò)攻擊

針對這一點，依圖利用其世界領(lǐng)先的人臉識別算法，提出對場景光照識別優(yōu)化的雙目活體識別算法[3-4]，在保證高精度、低延遲識別的同時，能夠以較高可信度抵御攻擊[5]，從而能夠保證人臉識別系統(tǒng)結(jié)果達(dá)到穩(wěn)定的準(zhǔn)確率，滿足信息安全的可用性。

2.5 數(shù)據(jù)層面

為了提高可用性與可靠性，本方案采用RAID0+1的條帶化和數(shù)據(jù)冗余技術(shù)，用多個物理硬盤保存同一套數(shù)據(jù)，減小存儲設(shè)備發(fā)生故障的概率。

為了保證數(shù)據(jù)的機密性，采用商用加密算法對數(shù)據(jù)本身進(jìn)行加密。同時，系統(tǒng)以等保三級、ISO27001規(guī)范為基礎(chǔ)，提供采集終端、網(wǎng)絡(luò)傳輸、應(yīng)用系統(tǒng)以及硬件平臺的全面安全方案。此外，開發(fā)了額外的數(shù)據(jù)隔離機制來保證各個客戶之間的數(shù)據(jù)不可見性，并提供了相應(yīng)的災(zāi)備方案。

3 智慧軌交系統(tǒng)可用性分析

針對貴陽市實際情況，本項目設(shè)計了軌道交通場景模型參數(shù)，用以評估判斷系統(tǒng)在人臉識別算法領(lǐng)域的性能。各個參數(shù)說明見表1。

基于該模型，為了探究使用軌交系統(tǒng)的會員比例對系統(tǒng)性能的影響，模擬測試了在會員總?cè)藬?shù)固定為1M、盜刷比例固定為1%、日乘坐量固定為200k的情況下，隨著會員比例的變化，誤刷率、盜刷率和日誤報數(shù)的變化情況，具體結(jié)果見圖5。

表1 軌道交通場景模型參數(shù)

圖5 會員比例對系統(tǒng)性能的影響

由圖5（a）與圖5（b）可知，隨著會員比例的逐漸增大，誤刷率與錯刷率基本能夠維持在一個穩(wěn)定的較低值，即系統(tǒng)滿足了信息安全三要素中的可用性，且現(xiàn)狀的測試結(jié)果已經(jīng)非常接近之前的理想預(yù)期，性能優(yōu)越。

由圖5（c）可知，日誤報數(shù)基本與會員比例成正相關(guān)關(guān)系，這是因為日誤報數(shù)主要有兩個來源，即正式會員被識別錯身份的情況和非會員被誤識別為正式會員的情況。顯而易見，當(dāng)會員比例明顯提高后，正式會員被識別錯身份的數(shù)量會隨著會員基數(shù)的增大而增大，因此測試結(jié)果是與理論分析相符的。

為了探究使用軌交系統(tǒng)的總會員人數(shù)對系統(tǒng)性能的影響，模擬測試了在會員比例固定為20%、盜刷比例固定為1%、日乘坐量固定為200k的情況下，隨著會員人數(shù)的變化，誤刷率、盜刷率和日誤報數(shù)的變化情況，具體結(jié)果見圖6。

圖6 會員人數(shù)對系統(tǒng)性能的影響

由圖6（a）知，隨著會員人數(shù)的逐漸增大，誤報率與會員人數(shù)成線性關(guān)系。由圖6（b）知，隨著會員人數(shù)的逐漸增大，誤報率與會員人數(shù)成正相關(guān)關(guān)系。當(dāng)總會員人數(shù)逐漸增大時，由于會員人數(shù)基數(shù)的緣故，會員被識別錯身份的概率也明顯增大，因此日誤報數(shù)也呈現(xiàn)出一個增長的趨勢。

由圖6（c）可知，日誤報數(shù)基本與會員人數(shù)成正相關(guān)關(guān)系，總體是一條向上的曲線。與前文測試案例類似，該測試結(jié)果是與理論分析結(jié)果相符。

4 結(jié) 語

目前，基于人臉識別的智慧軌交安全支付課題研究已經(jīng)形成了一套完整的解決方案，從技術(shù)手段到落地實施，經(jīng)過了穩(wěn)定測試、性能測試、安全測試等多道產(chǎn)品質(zhì)量控制手段嚴(yán)格把關(guān)。同時，依圖的產(chǎn)品研發(fā)部門配備了數(shù)十人的專業(yè)安全團(tuán)隊，對產(chǎn)品的前后端均經(jīng)過了內(nèi)部的產(chǎn)品安全滲透測試，包括web安全測試、IoT安全測試以及網(wǎng)絡(luò)安全測試，保證黑客難以通過常規(guī)手段入侵產(chǎn)品安全防線，從而全方位保障產(chǎn)品的安全性，保護(hù)公民的個人隱私。

未來，隨著軌交刷臉支付一期項目投入建設(shè)和使用，泛軌交支付場景也將逐步打通，如地鐵站內(nèi)購物、地鐵站周邊停車、親人代繳費等功能。后續(xù)還可建立乘客信用體系，根據(jù)乘客的使用習(xí)慣和使用頻率，適當(dāng)為其提供一定的透支額度，進(jìn)一步提升乘客的出行體驗。依圖致力于將支付場景由一元化拓展到多元化，實現(xiàn)全方位的軌道交通刷臉支付體驗，力爭建設(shè)世界一流的智慧交通、智慧城市建設(shè)。