1. 概述

地铁涉及国计民生领域，与人民群众日常出行及地区经济发展息息相关，已成为驱动区域经济发展的强劲动力，地铁信息系统是国家重要基础设施的组成部分，地铁信息化安全建设是国家十三五网络安全和信息化工作的重头戏，是保证国家重要基础设施信息化建设健康发展的需要。近年来地铁已经成为人们日常出行重要的公共交通工具，为缓解高峰期乘客排队购票现象，提升乘客搭乘地铁体验和出行效率，二维码乘车为乘客提供一个全新的便捷乘车体验。乘客下载注册地铁APP，不用预付押金，无须预先充值，先使用，后扣费，覆盖面广，乘客只需配备IOS和Android智能机便能安全享受到扫码进、出站的方便与快捷。

2. 安全需求分析

二维码乘车系统，乘客通过手机APP产生二维码，在闸机口通过扫码方式过闸乘车，根据地铁二维码乘车的特性，需要从技术上解决如下安全问题：

1、如何确认乘客真实身份？

2、如何对乘车二维码的安全分发及使用，防止乘车二维码被非法复制、盗刷？

3、如何保证乘客手机在脱机情况下的正常乘车？

4、如何确保乘客乘车过程及对产生的乘车费用的不可否认性？

5、如何确保在线车费支付及与第三方支付机构的安全清分结算？

6、如何防止乘客手机APP信息泄露？

3. 方案架构

3.1 技术架构

为保障扫码乘车过程的安全，将基于国产SM2/3/4密码算法，以可信的身份认证为核心、以数字证书技术为基础、以数字签名技术为保障，建设一套PKI可信身份认证体系，在二维码申请、发放、产生、验证等重要环节使用数字签名技术，防止乘车二维码被非法篡改、复制、盗刷及确保每笔交易的可追溯性，数据在传输过程中采用国密的SSL/TLS加密技术，确保乘车交易数据在互联网环境中明文不落地，实现数据的安全可控。

扫码过闸安全方案将贯穿从乘客身份鉴定、二维码申请、发放、验证、乘车数据记录、扣款交易记录、地铁和第三方支付公司的结算等关键流程中。当乘客首次使用地铁APP注册开通扫码过闸功能的同时，通过协同签名技术为乘客签发一张有效的个人数字证书，数字证书与乘客手机硬件信息及账户信息进行绑定，APP在与后台服务平台进行通信传输数据时会通过数字证书进行安全认证及通信加密。乘客在申请二维码授权时用乘客证书做数字签名，服务端下发的二维码授权包使用发码机构的数字证书做数字签名，闸机验证二维码时会对乘客的数字签名及二维码授权包的签名信息进行两次签名验证，若验签都通过才能开闸放行，确保了乘车二维码的产生、分发、消费过程的安全性，防止乘车码被非法复制、盗刷。

由于地铁站环境复杂，用户手机可能处于无网络服务情况，方案支持用户手机脱机扫码过闸。在用户手机脱机情况下，利用手机端密钥做数字签名生成二维码，闸机端验证手机密钥签名通过后开闸放行，当用户手机联网之后APP会与后台对本次出行数据完成协同签名操作，后台对协同签名验证通过之后完成扣款流程。

地铁与第三方支付公司的数据通信采用数字证书的方式做身份认证，清算数据全部采用数字签名的方式校验。地铁机构与第三方支付公司的对接签名接口使用硬件的签名服务器，保证了签名私钥的安全性及签名运算的高效性。

3.2 产品部署图

在地铁部署两套SZT1901型号的数字证书认证系统，为所有乘客提供数字证书的生命周期管理；在地铁部署两台SJJ1515型号的安全认证网关，在APP与票卡系统之间建立安全的加密隧道，保障所有交互数据安全传输；在地铁部署两台SRJ1913型号的签名验签服务器，与票卡系统进行对接，对用户的发码过程做签名验签，保障关键交易的数据的完整性、不可否认性及事后的可追溯性；在地铁部署两套SHT1733型号协同签名平台及SHM1705型号的移动密码模块，为客户端APP提供数字证书下载及协同签名，保证客户端数字证书的存储及使用的安全性。

3.3 主要功能

通过数字证书的安全策略在地铁信任域内建立一套完善、安全的身份识别体系，结合数字签名技术、SSL/TLS安全传输技术，保障地铁APP过闸使用过程中的身份认证、数据安全传输、关键数据的完整性和操作不可否认性等问题。

3.4 主要技术指标

根据城市乘坐地铁的人数及城市地铁闸机总数计算，证书签发系统每秒的发证量设计不低于100张，证书签发总数不低于2000万张，APP生成二维码并发数不低于200笔/秒，二维码过闸验证时间不高于0.5秒。

4. 方案特色

安全的密钥保护机制，方案采用了更安全便捷的协同签名技术，密钥安全级别达到了《密码模块安全检测要求》第二级安全等级。

APP安全加固，采用一种基于云计算服务的密码技术，应用被Java程序代码混淆、C/C++代码混淆、底层接口加壳进行加固，产生的数据均使用专利加密技术进行加密，从而保证地铁APP数据的安全，与安全容器外进行隔离。

用户行为模型及机器深度学习，通过在系统使用过程中逐步采集日常乘客行为习惯、行为特征并归纳出用户画像的优势，构建数据模型和机器学习模型，为每个乘客构建击键行为特征画像，对用户身份进行鉴别，并将这一机制应用到地铁扫码过闸系统中。

终端异常交易感知，实时监测地铁APP终端安全态势，并把采集的数据发送到监测平台，由平台对收到的海量安全、交易数据通过大数据技术进行分析，感知二维码扫码乘车过程中终端安全异常、交易异常行为，并进行主动告警。

5. 适用领域

二维码消费已经成为主流的一种支付方式，方案中通过国产密码的应用，全面的保护了乘车二维码从产生、分发、使用、消费、结算等整个生命周期的安全。二维码支付不仅适用于地铁乘车过闸，在公交扫码支付、高速扫码支付等交通领域同样适用。

6. 企业分工

武汉地铁扫码乘车方案中二维码安全的国产密码应用由北京信安世纪科技股份有限公司参与的方案设计、方案实施、项目上线保障等工作。方案适用的产品清单如下：

供应商:北京信安世纪科技股份有限公司

1 SZT1901信安数字证书认证系统3套

2 Linux ARM平台安全中间件1套

3 SJJ1515信安应用安全网关系统3套

4 SRJ1913信安数字签名服务器系统3套

5      SHT1733信安移动统一认证安全管理平台3套

6 SHM1705移动安全中间件MSDK1套

7 定制开发服务1项

7. 应用案例

武汉地铁上线二维码乘车半年，注册用户200万，签发了数字证书200万张，每天使用二维码乘车交易量约40万笔。项目的安全稳定运行进一步落实了地铁信息安全战略和产业发展规划，促进了我国信息安全密码产业在技术、市场、服务、品牌的整体提升。

                          北京信安世纪科技股份有限公司

                           联系人：邵素芬            康茹

                           电  话：010-68025518-8118  010-68025518-8531