趙偉慧，孫同慶，汪曉臣，王志飛

（中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081)

0 引言

軌道交通乘客信息系統(tǒng)(PIS系統(tǒng))實(shí)時(shí)播放車站運(yùn)營(yíng)信息、列車到站信息、客流密度、公益廣告等服務(wù)資訊，及時(shí)告知并引導(dǎo)乘客出行，提高了地鐵服務(wù)水平和質(zhì)量；同時(shí)在火災(zāi)等緊急情況下，可迅速、直觀、醒目播放緊急疏散和防災(zāi)等文本和圖像信息，起到輔助防災(zāi)、救災(zāi)的作用，是保障城市軌道交通運(yùn)行安全的重要手段[1]。PIS系統(tǒng)應(yīng)用廣泛，受眾群體龐大，信息發(fā)布的安全性至關(guān)重要。目前，城市軌道交通PIS系統(tǒng)均是獨(dú)立建設(shè)運(yùn)營(yíng)，針對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)的安全物理環(huán)境、安全網(wǎng)絡(luò)通信和安全管理與運(yùn)維要求[2]，在硬件層面做了防火墻隔離和訪問(wèn)控制。

隨著城市軌道交通信息化、數(shù)字化、智能化建設(shè)的進(jìn)一步發(fā)展和完善，乘客服務(wù)信息內(nèi)容更加豐富，張森等[3]、賈文崢等[4]分別從智能化服務(wù)和線網(wǎng)化運(yùn)營(yíng)角度描述了乘客服務(wù)的發(fā)展趨勢(shì)，傳統(tǒng)單一圖文、音視頻服務(wù)信息逐步發(fā)展為“人—車—物—事件”多源融合的服務(wù)信息[5]，信息發(fā)布的多樣性和實(shí)時(shí)性要求越來(lái)越高。PIS系統(tǒng)信息發(fā)布的數(shù)據(jù)安全機(jī)制薄弱，從中心發(fā)布到車站終端顯示沒(méi)有嚴(yán)格的數(shù)據(jù)保護(hù)機(jī)制，存在信息被惡意篡改的風(fēng)險(xiǎn)。特別是北京地鐵冬奧支線的乘客信息服務(wù)，涉及到冬奧賽事信息、疫情防控信息、車站運(yùn)營(yíng)信息、客流密度信息、周邊公交信息、商業(yè)活動(dòng)信息的融合，多源數(shù)據(jù)實(shí)時(shí)發(fā)布對(duì)PIS系統(tǒng)信息發(fā)布管理的保密性、完整性、準(zhǔn)確性及防篡改等安全要求也越來(lái)越高，信息顯示的安全保障要求更為迫切。因此，PIS系統(tǒng)需要在網(wǎng)絡(luò)防護(hù)和訪問(wèn)控制的基礎(chǔ)上，針對(duì)信息發(fā)布的處理、融合、編播、審核、傳輸、解析、顯示等各個(gè)環(huán)節(jié)進(jìn)行數(shù)據(jù)層面的加密防護(hù)和安全校驗(yàn)，從而確保車站終端乘客服務(wù)信息顯示的安全性。

1 PIS系統(tǒng)信息發(fā)布數(shù)據(jù)安全性分析

分別從用戶數(shù)據(jù)和信息數(shù)據(jù)2個(gè)角度對(duì)PIS系統(tǒng)信息發(fā)布的數(shù)據(jù)安全性進(jìn)行分析。

（1）用戶數(shù)據(jù)安全性分析。PIS系統(tǒng)作為多用戶多角色參與的業(yè)務(wù)系統(tǒng)，在信息發(fā)布過(guò)程中，審批流轉(zhuǎn)需要多人協(xié)同完成，且基于網(wǎng)絡(luò)實(shí)現(xiàn)的業(yè)務(wù)操作用戶無(wú)法面對(duì)面確認(rèn)信息。目前，運(yùn)營(yíng)消息和媒體播放計(jì)劃的發(fā)布，對(duì)操作人員身份認(rèn)證僅依靠輸入密碼方式，存在一號(hào)多用、賬號(hào)盜用風(fēng)險(xiǎn)，導(dǎo)致終端屏幕顯示非法或政治敏感信息，造成重大安全隱患。為保證操作人員的合法性，需要提高用戶身份認(rèn)證機(jī)制的安全性，從而保證信息編輯、審核、發(fā)布痕跡為用戶的真實(shí)意愿。

（2）信息數(shù)據(jù)安全性分析。PIS系統(tǒng)核心業(yè)務(wù)是面向公眾發(fā)布服務(wù)信息，信息來(lái)源較多，主要包括指揮中心媒體和運(yùn)營(yíng)信息、信號(hào)系統(tǒng)列車到發(fā)信息、綜合監(jiān)控系統(tǒng)緊急信息、外部公交系統(tǒng)換乘信息以及互聯(lián)網(wǎng)商業(yè)、天氣信息等。對(duì)信息接收、錄入、存儲(chǔ)、加工、傳遞等數(shù)據(jù)流動(dòng)的各個(gè)環(huán)節(jié)均需要確保信息數(shù)據(jù)的完整性和真實(shí)性，主要包括存儲(chǔ)安全和傳輸安全2個(gè)方面。①數(shù)據(jù)存儲(chǔ)安全性。考慮到大媒體文件的加解密效率低、列車到站信息秒級(jí)實(shí)時(shí)性要求以及IT部門(mén)運(yùn)維人員數(shù)據(jù)庫(kù)問(wèn)題排查直觀便捷性，PIS系統(tǒng)待發(fā)布信息以明文形式存儲(chǔ)，存儲(chǔ)信息在被調(diào)度發(fā)布時(shí)無(wú)法判斷存儲(chǔ)信息是否被惡意篡改，需要增加數(shù)據(jù)存儲(chǔ)防篡改校驗(yàn)機(jī)制。②數(shù)據(jù)傳輸安全性。地鐵沿線車站較多，每個(gè)站點(diǎn)均與PIS 系統(tǒng)存在信息交互，一旦遭到惡意攻擊，數(shù)據(jù)有可能在傳輸?shù)倪^(guò)程中被竊取或篡改，造成信息無(wú)法發(fā)布或者發(fā)布內(nèi)容與審核內(nèi)容不一致，存在發(fā)布信息不可控的安全隱患，需要提升數(shù)據(jù)傳輸安全保護(hù)機(jī)制。

綜合以上對(duì)用戶數(shù)據(jù)和信息數(shù)據(jù)的不同安全需求分析，設(shè)計(jì)相應(yīng)的數(shù)據(jù)安全防護(hù)校驗(yàn)機(jī)制，提出基于PIS架構(gòu)特點(diǎn)和信息發(fā)布流程的安全發(fā)布方案。

2 PIS系統(tǒng)信息安全發(fā)布平臺(tái)設(shè)計(jì)

2.1 系統(tǒng)總體架構(gòu)與安全支撐平臺(tái)架構(gòu)設(shè)計(jì)

乘客服務(wù)信息安全發(fā)布方案是在PIS系統(tǒng)架構(gòu)基礎(chǔ)上，針對(duì)信息發(fā)布功能的編輯、審核、存儲(chǔ)、調(diào)度、傳輸、顯示各個(gè)環(huán)節(jié)，增加用戶操作認(rèn)證、存儲(chǔ)防篡改校驗(yàn)和信息加解密支撐模塊，構(gòu)建信息發(fā)布安全支撐平臺(tái)，實(shí)現(xiàn)對(duì)用戶數(shù)據(jù)和信息數(shù)據(jù)的安全保護(hù)功能。PIS系統(tǒng)信息安全發(fā)布總體架構(gòu)如圖1所示。

圖1 PIS系統(tǒng)信息安全發(fā)布總體架構(gòu)Fig.1 Overall architecture of secure PIS information release

PIS系統(tǒng)為“中心—車站”兩級(jí)控制結(jié)構(gòu)[6]，包括中心的信息發(fā)布客戶端、數(shù)據(jù)管理單元、信息調(diào)度單元及車站播放終端。信息發(fā)布客戶端提供信息編輯、審核、撤銷及日志查看功能，客戶端生成的信息和外部系統(tǒng)發(fā)送的信息均由數(shù)據(jù)管理單元按照統(tǒng)一數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)，信息調(diào)度單元按照信息等級(jí)和播放時(shí)間從數(shù)據(jù)管理單元調(diào)取信息發(fā)送給車站播放終端顯示。

安全支撐平臺(tái)作為信息安全發(fā)布的服務(wù)支撐，一方面是以數(shù)字證書(shū)認(rèn)證技術(shù)為核心結(jié)合生物識(shí)別技術(shù)的安全認(rèn)證平臺(tái)，對(duì)信息發(fā)布操作用戶進(jìn)行身份認(rèn)證，確保用戶操作的安全性；另一方面，中心安全支撐平臺(tái)和車站安全支撐子平臺(tái)分別包含數(shù)據(jù)加解密盒子，對(duì)中心和車站間傳輸數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)在傳輸過(guò)程中的安全性。安全支撐平臺(tái)架構(gòu)設(shè)計(jì)如圖2所示，包含支撐層、服務(wù)層、接口層和應(yīng)用層。

圖2 安全支撐平臺(tái)架構(gòu)Fig.2 Architecture of security support platform

支撐層依托生物特征核驗(yàn)引擎、數(shù)字簽名驗(yàn)簽系統(tǒng)以及加解密設(shè)備為人臉信息識(shí)別、數(shù)字簽名、數(shù)據(jù)加密提供基礎(chǔ)支持。服務(wù)層是安全支撐平臺(tái)核心，包括安全支撐服務(wù)和安全支撐管理，安全支撐服務(wù)提供信息安全發(fā)布數(shù)字簽名、人臉比對(duì)、信息加解密服務(wù)，安全支撐管理用于維護(hù)用戶信息和密鑰信息。接口層是PIS業(yè)務(wù)系統(tǒng)和安全支撐平臺(tái)數(shù)據(jù)同步及服務(wù)調(diào)用的數(shù)據(jù)通道，包括生物特征認(rèn)證接口、信息加解密接口和用戶數(shù)據(jù)同步接口。應(yīng)用層針對(duì)PIS系統(tǒng)瀏覽器和服務(wù)器(B/S)架構(gòu)，封裝適配客戶端瀏覽器的安全組件，通過(guò)人臉活體檢測(cè)儀實(shí)現(xiàn)用戶人臉信息采集。

2.2 信息安全發(fā)布處理模塊設(shè)計(jì)

基于PIS系統(tǒng)信息發(fā)布各個(gè)環(huán)節(jié)業(yè)務(wù)流程和數(shù)據(jù)安全防護(hù)需求，通過(guò)操作安全認(rèn)證、存儲(chǔ)安全校驗(yàn)和傳輸安全加密3個(gè)模塊實(shí)現(xiàn)信息安全發(fā)布。

（1）操作安全認(rèn)證。乘客服務(wù)信息的編輯、審核、撤銷等操作需要進(jìn)行用戶身份校驗(yàn)。操作安全審核是通過(guò)更加安全可靠的身份認(rèn)證技術(shù)實(shí)現(xiàn)信息發(fā)布操作時(shí)的用戶身份識(shí)別和用戶操作認(rèn)證，規(guī)避一號(hào)多用和密碼盜用，確保用戶的真實(shí)性，并對(duì)用戶操作事件進(jìn)行認(rèn)證，形成信息發(fā)布完整證據(jù)鏈，確保操作可溯源，增強(qiáng)信息發(fā)布操作的安全性。

（2）存儲(chǔ)安全校驗(yàn)。針對(duì)信息明文存儲(chǔ)的需求，信息存儲(chǔ)安全校驗(yàn)基于信息摘要比對(duì)實(shí)現(xiàn)防篡改校驗(yàn)。在原始信息存儲(chǔ)時(shí)，計(jì)算并保存信息摘要，在信息被調(diào)度發(fā)布到終端前再次計(jì)算其摘要，通過(guò)摘要比對(duì)主動(dòng)識(shí)別信息在存儲(chǔ)期間被惡意篡改異常，及時(shí)終止非法信息的調(diào)度發(fā)布并反饋告警提示。

（3）傳輸安全加密。通過(guò)存儲(chǔ)安全校驗(yàn)的信息經(jīng)由中心和車站PIS局域網(wǎng)絡(luò)發(fā)送給車站播放終端播出顯示。信息傳輸安全加密是指中心信息調(diào)度單元通過(guò)調(diào)用安全支撐平臺(tái)的中心加密盒子對(duì)待發(fā)布信息進(jìn)行加密，由加密信封的方式經(jīng)由原網(wǎng)絡(luò)傳輸信息。車站播放終端收到加密信封后通過(guò)安全支撐平臺(tái)的車站解密盒子進(jìn)行信息解密及有效性校驗(yàn)，實(shí)現(xiàn)信息從中心到車站的加密傳輸，確保終端顯示信息的安全性。

3 信息安全發(fā)布處理模塊實(shí)現(xiàn)方案

3.1 基于人臉識(shí)別和數(shù)字簽名的用戶操作安全認(rèn)證

身份認(rèn)證主流方式包括靜態(tài)口令、動(dòng)態(tài)口令、生物特征識(shí)別，其中生物特征識(shí)別中的人臉識(shí)別技術(shù)具有較高準(zhǔn)確度和安全性[7]。PIS系統(tǒng)用戶在客戶端進(jìn)行信息編輯、審核、撤銷操作時(shí)的身份審核采用“人臉識(shí)別+數(shù)字簽名”雙認(rèn)證方式。信息發(fā)布客戶端配置雙目攝像頭，采用專用近紅外人臉活體檢測(cè)算法，可判斷攝像頭實(shí)時(shí)采集人臉的真實(shí)性，規(guī)避了使用智能終端視頻、平面照片、簡(jiǎn)易面具等手段進(jìn)行攻擊的行為。數(shù)字簽名是基于數(shù)字證書(shū)驗(yàn)證用戶身份[8]，對(duì)用戶姓名、賬號(hào)、部門(mén)等信息進(jìn)行加密處理，用于在網(wǎng)絡(luò)通信中認(rèn)證各方身份信息，對(duì)用戶操作行為進(jìn)行認(rèn)證。PIS系統(tǒng)預(yù)先采集用戶人臉，綁定對(duì)應(yīng)的數(shù)字證書(shū)并保存在安全支撐平臺(tái)。

用戶身份認(rèn)證業(yè)務(wù)流程如圖3所示，用戶在登錄狀態(tài)有效時(shí)完成業(yè)務(wù)操作后，PIS系統(tǒng)信息發(fā)布客戶端將該用戶信息提交給安全支撐平臺(tái)，客戶端抓取的用戶照片與安全支撐平臺(tái)人像庫(kù)中錄入的照片進(jìn)行1 : 1比對(duì)，比對(duì)成功后獲取該用戶的私鑰，對(duì)用戶的操作行為進(jìn)行數(shù)字簽名，并存儲(chǔ)該認(rèn)證簽名信息，保證用戶行為的抗抵賴性。

圖3 用戶身份認(rèn)證業(yè)務(wù)流程Fig.3 Business process of user identity authentication

3.2 基于消息摘要算法的數(shù)據(jù)存儲(chǔ)安全校驗(yàn)

消息摘要算法不涉及密鑰管理和獲取，具有輸出隨輸入改變的特征?；谙⒄惴?，針對(duì)待發(fā)布信息的關(guān)鍵要素進(jìn)行加密計(jì)算可以得到信息摘要信息，信息關(guān)鍵要素的任何改變都會(huì)導(dǎo)致其摘要的改變，摘要作為信息的“數(shù)字指紋”，具備唯一性，能夠確保信息的完整性[9]。

基于消息摘要算法的信息防篡改數(shù)字標(biāo)識(shí)模型如圖4所示，將待存儲(chǔ)信息的播放內(nèi)容、播放等級(jí)、播放時(shí)間作為消息摘要算法的輸入，生成信息的“數(shù)字指紋”。信息數(shù)據(jù)存儲(chǔ)時(shí)間的數(shù)據(jù)類型為時(shí)間戳 (TIMESTAMP)類型，當(dāng)存儲(chǔ)數(shù)據(jù)發(fā)生變化時(shí)存儲(chǔ)時(shí)間自動(dòng)更新為當(dāng)前時(shí)間。信息“數(shù)字指紋”和數(shù)據(jù)存儲(chǔ)時(shí)間生成存儲(chǔ)數(shù)據(jù)的唯一標(biāo)識(shí)同步保存。當(dāng)運(yùn)營(yíng)信息被調(diào)用時(shí)，計(jì)算當(dāng)前存儲(chǔ)信息的摘要，結(jié)合當(dāng)前存儲(chǔ)時(shí)間生成數(shù)據(jù)標(biāo)識(shí)，與之前保存的數(shù)據(jù)標(biāo)識(shí)進(jìn)行比對(duì)，對(duì)于比對(duì)失敗的信息終止調(diào)度并生成相應(yīng)的存儲(chǔ)告警提示信息。

圖4 基于消息摘要算法的信息防篡改數(shù)字標(biāo)識(shí)模型Fig.4 Digital identification model featuring information tamper proof based on message digest algorithm

3.3 基于混合國(guó)密算法的信息傳輸安全加密

數(shù)據(jù)加密技術(shù)分為對(duì)稱型加密、非對(duì)稱型加密和不可逆加密3類。為了保障商用密碼的安全性，國(guó)家商用密碼管理辦公室制定了一系列密碼標(biāo)準(zhǔn)。其中，SM2橢圓曲線公鑰密碼算法為非對(duì)稱加密，密鑰分為公鑰和私鑰，為實(shí)現(xiàn)數(shù)字簽名提供了必要條件，其加密安全性高，但加解密速度較對(duì)稱算法慢，適用于加密密鑰和簽名等小塊數(shù)據(jù)；SM3密碼雜湊算法為不可逆加密，不存在密鑰保管和分發(fā)問(wèn)題，適用于數(shù)字簽名和驗(yàn)證消息認(rèn)證碼的生成與驗(yàn)證；SM4分組密碼算法為對(duì)稱加密，計(jì)算速度快，尤其是對(duì)媒體大文件加密效率高，但存在密碼泄露風(fēng)險(xiǎn)，安全性不高[10]。根據(jù)以上特點(diǎn)，綜合SM2算法安全性高和SM4算法速度快的優(yōu)勢(shì)，基于SM系列國(guó)密算法構(gòu)建具備驗(yàn)證信息源的混合加密算法[11-12]，實(shí)現(xiàn)PIS系統(tǒng)信息從中心到車站的高可靠、高效率、低帶寬安全傳輸。

（1）中心調(diào)度發(fā)送端加密流程。中心調(diào)度發(fā)送端調(diào)用中心安全支撐平臺(tái)加密接口對(duì)待發(fā)送信息進(jìn)行數(shù)字簽名及加密，發(fā)送端加密流程如圖5所示，設(shè)定發(fā)送端SM2算法的私鑰為Ps，公鑰為Qs，接收端SM2算法私鑰為Pr，公鑰為Qr，SM4算法密鑰為K，發(fā)送端加密步驟為：①用SM3算法生成原始信息的摘要；②用發(fā)送端私鑰Ps通過(guò)SM2數(shù)字簽名算法加密摘要，生成數(shù)字簽名；③用SM4算法的密鑰K對(duì)數(shù)字簽名和原始信息進(jìn)行加密，生成信息密文S；④用接收端公鑰Qr通過(guò)SM2公鑰加密算法對(duì)K進(jìn)行加密，生成鑰匙密文；⑤將信息密文和鑰匙密文發(fā)送給接收端。

圖5 發(fā)送端加密流程Fig.5 Encryption process of information sender

（2）車站播放接收端解密流程。車站播放接收端接收加密信封后，調(diào)用車站安全支撐子平臺(tái)解密盒子接口，解密鑰匙密文和信息密文，并校驗(yàn)信息源及信息的合法性，接收端解密流程如圖6所示，具體步驟為：①用接收端SM2算法的私鑰Pr解密鑰匙密文，得到SM4的密鑰K；②用K解密信息密文，得到明文信息和數(shù)字簽名；③用發(fā)送端SM2算法的公鑰Qs解密數(shù)字簽名，得到初始摘要；④用SM3算法生成明文信息的摘要；⑤比較明文摘要與初始摘要是否一致，如果一致則得到的明文信息即為原始信息，進(jìn)行播放顯示，如果不一致，則信息非法，終止信息播放并生成告警提示。

圖6 接收端解密流程Fig.6 Decryption process of information receiver

利用上述信息加解密方案實(shí)現(xiàn)PIS信息加密傳輸，確保了信息內(nèi)容及信息源的安全性，具有以下優(yōu)勢(shì)：①主體信息數(shù)據(jù)采用加密效率高的SM4算法加密，對(duì)SM4算法的密鑰采用SM2算法加密，總體加密、解密速度快，能夠滿足PIS系統(tǒng)信息實(shí)時(shí)性發(fā)布要求；②用發(fā)送端SM2算法私鑰加密摘要形成數(shù)字簽名并在接收端解密校驗(yàn)，在信息加密傳輸?shù)耐瑫r(shí)驗(yàn)證了發(fā)送方的身份和數(shù)據(jù)的完整性，加強(qiáng)了信息發(fā)布的安全性；③采用SM2算法加密SM4算法的密鑰，與信息密文合并為加密信封同步傳輸，避免發(fā)送端向接收端單獨(dú)傳遞信息解密的密鑰，降低密鑰泄露風(fēng)險(xiǎn)。

4 結(jié)束語(yǔ)

所提出的PIS系統(tǒng)信息安全發(fā)布方案，集乘客服務(wù)信息發(fā)布的操作審核安全、數(shù)據(jù)存儲(chǔ)安全、信息傳輸安全技術(shù)于一體，提高了乘客服務(wù)信息發(fā)布的安全性?；谒龇桨秆邪l(fā)的成套乘客信息系統(tǒng)產(chǎn)品在北京地鐵冬奧支線進(jìn)行了試點(diǎn)應(yīng)用，并針對(duì)用戶操作認(rèn)證、數(shù)據(jù)存儲(chǔ)、信息傳輸環(huán)節(jié)進(jìn)行了模擬安全風(fēng)險(xiǎn)測(cè)試，測(cè)試結(jié)果表明系統(tǒng)能夠精準(zhǔn)識(shí)別盜用賬號(hào)、冒名頂替等非法用戶操作行為，及時(shí)感知數(shù)據(jù)庫(kù)中待發(fā)布信息的異常變更，自動(dòng)校驗(yàn)信息在中心到車站網(wǎng)絡(luò)傳輸中的完整性和有效性，極大地提高了車站播放終端顯示信息的準(zhǔn)確性。隨著城市軌道交通與市郊鐵路、城際鐵路、干線鐵路的融合發(fā)展，設(shè)施互聯(lián)和信息共享逐步實(shí)現(xiàn)，大型綜合車站的信息發(fā)布內(nèi)容更加豐富靈活，研究不同系統(tǒng)間服務(wù)信息交互安全性勢(shì)在必行，通過(guò)進(jìn)一步提高數(shù)據(jù)安全校驗(yàn)和加解密算法的效率，建立更全面更高效的乘客服務(wù)信息安全發(fā)布系統(tǒng)。