徐高峻

(上海申通地鐵集團有限公司運營管理中心，200080，上海//高級工程師)

我國城市軌道交通先后采用過紙質(zhì)車票、磁票和IC卡作為售檢票系統(tǒng)票證介質(zhì)。尤其是IC卡，作為方便、安全、設備簡單的票證，一經(jīng)啟用便被廣泛采用。近年來，隨著城市軌道交通路網(wǎng)的快速發(fā)展和信息技術(shù)水平的不斷提升，基于近場通信(NFC)技術(shù)的手機電子虛擬票支付在城市軌道交通中逐步開始應用。如上海市在2014年先后開通了基于PBOC3.0標準的手機銀行卡、手機交通卡等手機支付業(yè)務。但無論是手機銀行卡還是手機交通卡等移動支付，其支付方式仍采用脫機電子現(xiàn)金的消費模式，即先對電子錢包圈存或充值后再進行消費的方式。在該模式下，手機需具有NFC模塊方能使用，不僅對手機載體有一定要求，在使用便利性和乘客體驗方面，仍存在一定缺憾。

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，以移動終端為載體，以二維碼作為支付憑證的二維碼支付技術(shù)得到迅速發(fā)展。二維碼支付具有載體信息量大、支付操作簡便、對移動終端載體要求低等優(yōu)點。區(qū)別于電子現(xiàn)金需要先圈存再使用的方式，二維碼支付基于信用消費模式的支付方式，一經(jīng)推出便深受廣大消費者的歡迎。

城市軌道交通行業(yè)使用二維碼作為支付憑證即刷二維碼過閘，不僅能增加乘客支付的便利性和改善乘坐體驗，又能減少實體車票的使用，減少相應的車票管理成本。因此，促使傳統(tǒng)支付向無現(xiàn)金、信用消費的二維碼支付演變是一種趨勢。

1 技術(shù)難點

二維碼支付作為支付手段在零售行業(yè)能迅速興起，是因為傳統(tǒng)的二維碼支付是O2O模式(offline to online、online to online)的交易模式，交易終端采用聯(lián)機交易。聯(lián)機交易業(yè)務簡單、技術(shù)成熟，但對網(wǎng)絡要求相對較高。城市軌道交通傳統(tǒng)的IC卡支付或者基于電子現(xiàn)金移動支付屬于脫機支付，是典型的offline to offline脫機交易模式。脫機交易模式與聯(lián)機交易模式在實現(xiàn)技術(shù)上差別較大。

如將傳統(tǒng)的二維碼聯(lián)機交易模式應用于城市軌道交通售檢票系統(tǒng)，一是交易時間長，無法滿足城市軌道交通大客流快速通行的特征，不僅影響乘客刷卡體驗，也給客運組織帶來了難度；二是在斷網(wǎng)情況下無法降級使用，降低了售檢票系統(tǒng)現(xiàn)有功能，也易造成各類票務糾紛與投訴，存在一定安全隱患。因此，二維碼聯(lián)機交易模式只適用于客流較小的示范線路，缺乏大面積推廣的基礎。

城市軌道交通行業(yè)脫機交易模式需要交易速度快、對網(wǎng)絡要求低，需要滿足城市軌道交通售檢票系統(tǒng)故障模式下的離線孤島運行需求。因此，要在城市軌道交通行業(yè)推廣二維碼過閘，尤其是在路網(wǎng)規(guī)模大、客流量大的城市或者線路，脫機方案就成了首選。要實現(xiàn)脫機二維碼過閘，需解決以下技術(shù)難點。

(1) 二維碼聯(lián)機交易模式，終端設備在進行消費交易時，可實時將交易信息上送后臺系統(tǒng)，采用聯(lián)機驗證方式保障二維碼賬戶和消費的安全性。而脫機交易模式，如何保障二維碼賬戶及消費的安全性是難點之一。

(2) 二維碼存儲信息量大，但編碼簡單，展現(xiàn)方便，容易被傳播復制。聯(lián)機交易模式可實時對二維碼賬戶消費進行更新，對異常交易進行黑名單處理，但在脫機交易模式下，存在一定傳播復制的風險。如何從技術(shù)上進行風控，減少因此帶來的票務糾紛是難點之二。

(3) 城市軌道交通消費是一個復合消費交易，傳統(tǒng)IC卡進出閘機時會在卡片上記錄進出站站點、時間等信息，閘機根據(jù)卡片記錄的信息進行業(yè)務規(guī)則判斷和計費。二維碼作為車票介質(zhì)，讀寫器只能單向讀取數(shù)據(jù)，無法進行數(shù)據(jù)交互，所有票務業(yè)務規(guī)則處理和計費均延遲在后臺完成。終端無法進行“寫卡”操作，會帶來二維碼重復進站等問題，容易增加現(xiàn)場票務處理難度和單邊交易壞賬的產(chǎn)生。如何減少現(xiàn)場票務處理糾紛和減少因單邊交易產(chǎn)生的收益風險是難點之三。

(4) 售檢票系統(tǒng)原本是一個封閉的內(nèi)網(wǎng)運轉(zhuǎn)系統(tǒng)，二維碼的應用必定會引入互聯(lián)網(wǎng)第三方支付渠道的介入和清算。在原有的系統(tǒng)架構(gòu)中， 售檢票系統(tǒng)與互聯(lián)網(wǎng)之間沒有互聯(lián)互通的接口，售檢票系統(tǒng)架構(gòu)如何保證既能滿足與互聯(lián)網(wǎng)業(yè)務的交互需求，又能保障與互聯(lián)網(wǎng)系統(tǒng)交互的安全是難點之四。

(5) 城市軌道交通既有的讀寫設備是一個多票種應用合一的基于射頻通信的讀寫設備，二維碼讀取設備是一個光電掃描設備，兩種不同制式的設備合二為一必然會對原有的讀寫器具進行重新設計和規(guī)劃。在硬件或者軟件上如何兼容，既能整合為一、又不互相干擾是難點之五。

2 應用關鍵點

脫機二維碼過閘在城市軌道交通售檢票系統(tǒng)中的應用，需從標準制定、系統(tǒng)架構(gòu)設計、讀寫設備研制、仿真系統(tǒng)驗證等幾個應用關鍵點入手，解決現(xiàn)有技術(shù)難點。

2.1 標準制定

目前城市軌道交通自動售檢票(AFC)系統(tǒng)技術(shù)規(guī)范只對IC卡或者以脫機電子現(xiàn)金作為支付形式的地鐵專用車票、交通卡、金融IC卡的應用作了技術(shù)說明，以二維碼作為支付介質(zhì)和支付形式的規(guī)范和標準尚沒有制定。如要應用二維碼支付(過閘)，需要制定一系列AFC相關設備對二維碼交易掃碼識別、業(yè)務邏輯處理及數(shù)據(jù)清結(jié)算功能實現(xiàn)的技術(shù)標準，包括：讀寫器對二維碼掃碼識別處理的相關標準；閘機等終端設備對二維碼交易業(yè)務處理流程的標準；車站計算機、清分系統(tǒng)對二維碼交易數(shù)據(jù)的定義標準。對于脫機二維碼過閘，在標準制訂時既要考慮二維碼賬戶及消費數(shù)據(jù)的安全性，又要考慮城市軌道交通復合消費交易場景環(huán)境，同時還要兼顧防復制傳播的風險防控。

2.1.1 二維碼標準的制定

制定二維碼標準時要包涵兩個關鍵點：一是要設計一套加密算法，保證二維碼賬戶及消費數(shù)據(jù)的安全性；二是要從技術(shù)側(cè)增加防復制傳播的風險防范。

首先，在二維碼賬戶和消費數(shù)據(jù)安全性方面，在白名單方式不可取的情況下(白名單受使用量和更新頻次限制，無法滿足AFC系統(tǒng)網(wǎng)絡環(huán)境要求)，二維碼賬戶可采用對稱密鑰離線加密認證方式進行有效性檢驗。傳統(tǒng)的IC卡安全認證由讀寫器中的安全模塊(PSAM)和卡片中的消費密鑰對稱計算完成。二維碼也可借鑒，采用加入地鐵專用密鑰，通過讀寫器PSAM和移動終端在申請二維碼時保存的臨時密鑰對稱計算進行校驗，使閘機端在脫機模式下，也能完成對二維碼的有效性認證。除賬戶信息外，二維碼中的消費信息也可通過安全模塊加密的方式進行加解密校驗。

其次，針對防復制傳播風險，一是可在二維碼算法中引入有效時間概念，即在一定時間內(nèi)二維碼有效，過期即失效，減少同一二維碼反復使用的可能性；二是，可在二維碼中加入定位信息，終端設備通過定位信息判斷是否在本站使用，減少二維碼復制散發(fā)的可能性；三是，移動終端在注冊時使用實名認證，二維碼在基于信用消費的模式下進行消費，通過實名認證對用戶的誠信進行追溯。

2.1.2 二維碼交易流程設計

二維碼的特性決定了單純的掃碼只是讀取二維碼數(shù)據(jù)，無法對二維碼進行更新操作，二維碼中無法記錄前一筆進出站信息，終端設備無法進行進出業(yè)務的判斷，計費也完全依賴于后臺系統(tǒng)。這不僅加大了后臺交易數(shù)據(jù)配對計費的壓力，而且終端設備在進出站忽略“自由放行”的情況下，容易產(chǎn)生單邊交易，增加車站票務處理壓力。

二維碼“只讀不寫”是由其讀取掃描設備所決定的，僅依靠二維碼掃描設備無法做到雙向交互。但在進出站后“改寫”二維碼，又是復合消費交易流程所需要的，因此，借助于其他通信信道的二維碼“回寫”技術(shù)孕育而生。比如基于藍牙低能耗(BLE)通信的回寫技術(shù)，即通過二維碼掃描讀取二維碼數(shù)據(jù)，交易過程中通過讀寫設備的藍牙模塊與移動終端的藍牙模塊進行通信交互，對二維碼進行“回寫”，建立雙向交互的通道，完成進出站信息的記錄。該技術(shù)接近或兼容現(xiàn)有的復合消費交易流程，可解決傳統(tǒng)二維碼無法滿足復合交易等問題。目前，藍牙通信技術(shù)非常成熟，讀寫器藍牙與手機藍牙的交互不是難點，只要解決交易速度和通信安全保護，即可實現(xiàn)二維碼藍牙“回寫”方案。

2.2 系統(tǒng)架構(gòu)設計

既有AFC系統(tǒng)是一個封閉系統(tǒng)，與外部公有網(wǎng)絡間沒有鏈接和數(shù)據(jù)交互，而二維碼支付是基于“互聯(lián)網(wǎng)+”模式下與第三方支付的一種交互業(yè)務，需與外部公網(wǎng)間進行一定的數(shù)據(jù)交互。既有AFC系統(tǒng)架構(gòu)無法滿足該業(yè)務的拓展，因此，需在既有AFC 5層架構(gòu)基礎上進行系統(tǒng)架構(gòu)延伸。延伸方案是在現(xiàn)有清分系統(tǒng)和互聯(lián)網(wǎng)之間建立一套互聯(lián)網(wǎng)業(yè)務及安全網(wǎng)關。網(wǎng)關不僅是AFC系統(tǒng)與第三方支付間業(yè)務交互的中轉(zhuǎn)站，也是與互聯(lián)網(wǎng)之間安全管控與隔離的關卡?；ヂ?lián)網(wǎng)票務業(yè)務及安全網(wǎng)關介于票務清分系統(tǒng)與互聯(lián)網(wǎng)系統(tǒng)之間(見圖1)，承載互聯(lián)網(wǎng)票務相關業(yè)務在票務清分核心生產(chǎn)區(qū)與互聯(lián)網(wǎng)區(qū)之間形成信息交換平臺。

圖1 二維碼AFC系統(tǒng)架構(gòu)

2.3 讀寫設備研制

目前的AFC系統(tǒng)終端設備讀寫器是安裝在閘機或人工售補票機上，在其感應范圍內(nèi)，可對地鐵專用車票、交通卡、金融IC卡等非接觸式車票進行安全認證和讀寫操作。應用二維碼支付(過閘)后的讀寫設備，在支持現(xiàn)有票卡交易流程基礎上，需要具備對二維碼交易數(shù)據(jù)進行相關交易流程處理、防復制及安全性和有效性認證等功能。讀寫設備的研制是指對二維碼讀寫設備這一軟硬件綜合體的研發(fā)。新研制的讀寫設備在對二維碼圖案進行掃碼識別處理的基礎上，需兼容對原有地鐵專用車票、交通卡、金融IC卡的處理。新讀寫設備的研制不僅需要確定與終端設備之間業(yè)務通信接口標準，同時需要攻克二維碼支付過程中交易速度、安裝位置、安全認證、有效時限等技術(shù)難點。

2.4 仿真系統(tǒng)驗證

在增加二維碼支付功能以后，在現(xiàn)有AFC系統(tǒng)中將新增二維碼支付這一乘車憑證。為驗證技術(shù)方案的可行性，需要建立一套符合新標準及新業(yè)務規(guī)范的模擬仿真環(huán)境，用于新AFC系統(tǒng)功能的驗證和后續(xù)軟硬件開發(fā)測試。仿真環(huán)境中包含一套從終端設備到支付平臺的仿真鏈路，在閘機樣機上安裝符合新標準的讀寫設備(具有二維碼信息掃碼讀取功能)；搭建車站和線路中央計算機仿真環(huán)境，增加與二維碼支付有關的交易數(shù)據(jù)采集、存儲、處理、轉(zhuǎn)發(fā)等功能；搭建清分系統(tǒng)仿真環(huán)境，使其支持二維碼支付交易數(shù)據(jù)采集、處理、運營收益清分等功能。通過仿真模擬環(huán)境驗證性測試，驗證最終項目實施中相關標準及技術(shù)方案的正確性與可行性。

3 結(jié)語

隨著“互聯(lián)網(wǎng)+交通”的理念逐漸深入，二維碼支付在城市軌道交通中應用不僅能改善乘客的支付體驗，提高支付效率，拓展地鐵票務的營銷模式，也是實現(xiàn)“互聯(lián)網(wǎng)+交通”理念、提升城市軌道交通服務水平、推進智慧地鐵及智慧城市建設的一個重要舉措。

城市軌道交通快速過閘的需求決定了宜采用脫機二維碼的消費模式。區(qū)別于傳統(tǒng)聯(lián)機二維碼的消費模式，脫機二維碼過閘需要解決諸多技術(shù)難題。通過制訂二維碼標準、設計符合地鐵復合消費的交易流程、完善現(xiàn)有AFC系統(tǒng)架構(gòu)、研制多合一兼容讀寫器及仿真測試環(huán)境建立等，解決在脫機交易模式下的二維碼消費的安全性、有效性、風險性等問題，實現(xiàn)脫機二維碼過閘在城市軌道交通售檢票系統(tǒng)中的實際應用。