脫機二維碼支付在城市軌道交通售檢票系統中的應用

徐高峻

(上海申通地鐵集團有限公司運營管理中心，200080，上海//高級工程師)

我國城市軌道交通先后采用過紙質車票、磁票和IC卡作為售檢票系統票證介質。尤其是IC卡，作為方便、安全、設備簡單的票證，一經啟用便被廣泛采用。近年來，隨著城市軌道交通路網的快速發展和信息技術水平的不斷提升，基于近場通信(NFC)技術的手機電子虛擬票支付在城市軌道交通中逐步開始應用。如上海市在2014年先后開通了基于PBOC3.0標準的手機銀行卡、手機交通卡等手機支付業務。但無論是手機銀行卡還是手機交通卡等移動支付，其支付方式仍采用脫機電子現金的消費模式，即先對電子錢包圈存或充值后再進行消費的方式。在該模式下，手機需具有NFC模塊方能使用，不僅對手機載體有一定要求，在使用便利性和乘客體驗方面，仍存在一定缺憾。

隨著互聯網技術的不斷發展，以移動終端為載體，以二維碼作為支付憑證的二維碼支付技術得到迅速發展。二維碼支付具有載體信息量大、支付操作簡便、對移動終端載體要求低等優點。區別于電子現金需要先圈存再使用的方式，二維碼支付基于信用消費模式的支付方式，一經推出便深受廣大消費者的歡迎。

城市軌道交通行業使用二維碼作為支付憑證即刷二維碼過閘，不僅能增加乘客支付的便利性和改善乘坐體驗，又能減少實體車票的使用，減少相應的車票管理成本。因此，促使傳統支付向無現金、信用消費的二維碼支付演變是一種趨勢。

1 技術難點

二維碼支付作為支付手段在零售行業能迅速興起，是因為傳統的二維碼支付是O2O模式(offline to online、online to online)的交易模式，交易終端采用聯機交易。聯機交易業務簡單、技術成熟，但對網絡要求相對較高。城市軌道交通傳統的IC卡支付或者基于電子現金移動支付屬于脫機支付，是典型的offline to offline脫機交易模式。脫機交易模式與聯機交易模式在實現技術上差別較大。

如將傳統的二維碼聯機交易模式應用于城市軌道交通售檢票系統，一是交易時間長，無法滿足城市軌道交通大客流快速通行的特征，不僅影響乘客刷卡體驗，也給客運組織帶來了難度；二是在斷網情況下無法降級使用，降低了售檢票系統現有功能，也易造成各類票務糾紛與投訴，存在一定安全隱患。因此，二維碼聯機交易模式只適用于客流較小的示范線路，缺乏大面積推廣的基礎。

城市軌道交通行業脫機交易模式需要交易速度快、對網絡要求低，需要滿足城市軌道交通售檢票系統故障模式下的離線孤島運行需求。因此，要在城市軌道交通行業推廣二維碼過閘，尤其是在路網規模大、客流量大的城市或者線路，脫機方案就成了首選。要實現脫機二維碼過閘，需解決以下技術難點。

(1) 二維碼聯機交易模式，終端設備在進行消費交易時，可實時將交易信息上送后臺系統，采用聯機驗證方式保障二維碼賬戶和消費的安全性。而脫機交易模式，如何保障二維碼賬戶及消費的安全性是難點之一。

(2) 二維碼存儲信息量大，但編碼簡單，展現方便，容易被傳播復制。聯機交易模式可實時對二維碼賬戶消費進行更新，對異常交易進行黑名單處理，但在脫機交易模式下，存在一定傳播復制的風險。如何從技術上進行風控，減少因此帶來的票務糾紛是難點之二。

(3) 城市軌道交通消費是一個復合消費交易，傳統IC卡進出閘機時會在卡片上記錄進出站站點、時間等信息，閘機根據卡片記錄的信息進行業務規則判斷和計費。二維碼作為車票介質，讀寫器只能單向讀取數據，無法進行數據交互，所有票務業務規則處理和計費均延遲在后臺完成。終端無法進行“寫卡”操作，會帶來二維碼重復進站等問題，容易增加現場票務處理難度和單邊交易壞賬的產生。如何減少現場票務處理糾紛和減少因單邊交易產生的收益風險是難點之三。

(4) 售檢票系統原本是一個封閉的內網運轉系統，二維碼的應用必定會引入互聯網第三方支付渠道的介入和清算。在原有的系統架構中， 售檢票系統與互聯網之間沒有互聯互通的接口，售檢票系統架構如何保證既能滿足與互聯網業務的交互需求，又能保障與互聯網系統交互的安全是難點之四。

(5) 城市軌道交通既有的讀寫設備是一個多票種應用合一的基于射頻通信的讀寫設備，二維碼讀取設備是一個光電掃描設備，兩種不同制式的設備合二為一必然會對原有的讀寫器具進行重新設計和規劃。在硬件或者軟件上如何兼容，既能整合為一、又不互相干擾是難點之五。

2 應用關鍵點

脫機二維碼過閘在城市軌道交通售檢票系統中的應用，需從標準制定、系統架構設計、讀寫設備研制、仿真系統驗證等幾個應用關鍵點入手，解決現有技術難點。

2.1 標準制定

目前城市軌道交通自動售檢票(AFC)系統技術規范只對IC卡或者以脫機電子現金作為支付形式的地鐵專用車票、交通卡、金融IC卡的應用作了技術說明，以二維碼作為支付介質和支付形式的規范和標準尚沒有制定。如要應用二維碼支付(過閘)，需要制定一系列AFC相關設備對二維碼交易掃碼識別、業務邏輯處理及數據清結算功能實現的技術標準，包括：讀寫器對二維碼掃碼識別處理的相關標準；閘機等終端設備對二維碼交易業務處理流程的標準；車站計算機、清分系統對二維碼交易數據的定義標準。對于脫機二維碼過閘，在標準制訂時既要考慮二維碼賬戶及消費數據的安全性，又要考慮城市軌道交通復合消費交易場景環境，同時還要兼顧防復制傳播的風險防控。

2.1.1 二維碼標準的制定

制定二維碼標準時要包涵兩個關鍵點：一是要設計一套加密算法，保證二維碼賬戶及消費數據的安全性；二是要從技術側增加防復制傳播的風險防范。

首先，在二維碼賬戶和消費數據安全性方面，在白名單方式不可取的情況下(白名單受使用量和更新頻次限制，無法滿足AFC系統網絡環境要求)，二維碼賬戶可采用對稱密鑰離線加密認證方式進行有效性檢驗。傳統的IC卡安全認證由讀寫器中的安全模塊(PSAM)和卡片中的消費密鑰對稱計算完成。二維碼也可借鑒，采用加入地鐵專用密鑰，通過讀寫器PSAM和移動終端在申請二維碼時保存的臨時密鑰對稱計算進行校驗，使閘機端在脫機模式下，也能完成對二維碼的有效性認證。除賬戶信息外，二維碼中的消費信息也可通過安全模塊加密的方式進行加解密校驗。

其次，針對防復制傳播風險，一是可在二維碼算法中引入有效時間概念，即在一定時間內二維碼有效，過期即失效，減少同一二維碼反復使用的可能性；二是，可在二維碼中加入定位信息，終端設備通過定位信息判斷是否在本站使用，減少二維碼復制散發的可能性；三是，移動終端在注冊時使用實名認證，二維碼在基于信用消費的模式下進行消費，通過實名認證對用戶的誠信進行追溯。

2.1.2 二維碼交易流程設計

二維碼的特性決定了單純的掃碼只是讀取二維碼數據，無法對二維碼進行更新操作，二維碼中無法記錄前一筆進出站信息，終端設備無法進行進出業務的判斷，計費也完全依賴于后臺系統。這不僅加大了后臺交易數據配對計費的壓力，而且終端設備在進出站忽略“自由放行”的情況下，容易產生單邊交易，增加車站票務處理壓力。

二維碼“只讀不寫”是由其讀取掃描設備所決定的，僅依靠二維碼掃描設備無法做到雙向交互。但在進出站后“改寫”二維碼，又是復合消費交易流程所需要的，因此，借助于其他通信信道的二維碼“回寫”技術孕育而生。比如基于藍牙低能耗(BLE)通信的回寫技術，即通過二維碼掃描讀取二維碼數據，交易過程中通過讀寫設備的藍牙模塊與移動終端的藍牙模塊進行通信交互，對二維碼進行“回寫”，建立雙向交互的通道，完成進出站信息的記錄。該技術接近或兼容現有的復合消費交易流程，可解決傳統二維碼無法滿足復合交易等問題。目前，藍牙通信技術非常成熟，讀寫器藍牙與手機藍牙的交互不是難點，只要解決交易速度和通信安全保護，即可實現二維碼藍牙“回寫”方案。

2.2 系統架構設計

既有AFC系統是一個封閉系統，與外部公有網絡間沒有鏈接和數據交互，而二維碼支付是基于“互聯網+”模式下與第三方支付的一種交互業務，需與外部公網間進行一定的數據交互。既有AFC系統架構無法滿足該業務的拓展，因此，需在既有AFC 5層架構基礎上進行系統架構延伸。延伸方案是在現有清分系統和互聯網之間建立一套互聯網業務及安全網關。網關不僅是AFC系統與第三方支付間業務交互的中轉站，也是與互聯網之間安全管控與隔離的關卡。互聯網票務業務及安全網關介于票務清分系統與互聯網系統之間(見圖1)，承載互聯網票務相關業務在票務清分核心生產區與互聯網區之間形成信息交換平臺。

圖1 二維碼AFC系統架構

2.3 讀寫設備研制

目前的AFC系統終端設備讀寫器是安裝在閘機或人工售補票機上，在其感應范圍內，可對地鐵專用車票、交通卡、金融IC卡等非接觸式車票進行安全認證和讀寫操作。應用二維碼支付(過閘)后的讀寫設備，在支持現有票卡交易流程基礎上，需要具備對二維碼交易數據進行相關交易流程處理、防復制及安全性和有效性認證等功能。讀寫設備的研制是指對二維碼讀寫設備這一軟硬件綜合體的研發。新研制的讀寫設備在對二維碼圖案進行掃碼識別處理的基礎上，需兼容對原有地鐵專用車票、交通卡、金融IC卡的處理。新讀寫設備的研制不僅需要確定與終端設備之間業務通信接口標準，同時需要攻克二維碼支付過程中交易速度、安裝位置、安全認證、有效時限等技術難點。

2.4 仿真系統驗證

在增加二維碼支付功能以后，在現有AFC系統中將新增二維碼支付這一乘車憑證。為驗證技術方案的可行性，需要建立一套符合新標準及新業務規范的模擬仿真環境，用于新AFC系統功能的驗證和后續軟硬件開發測試。仿真環境中包含一套從終端設備到支付平臺的仿真鏈路，在閘機樣機上安裝符合新標準的讀寫設備(具有二維碼信息掃碼讀取功能)；搭建車站和線路中央計算機仿真環境，增加與二維碼支付有關的交易數據采集、存儲、處理、轉發等功能；搭建清分系統仿真環境，使其支持二維碼支付交易數據采集、處理、運營收益清分等功能。通過仿真模擬環境驗證性測試，驗證最終項目實施中相關標準及技術方案的正確性與可行性。

3 結語

隨著“互聯網+交通”的理念逐漸深入，二維碼支付在城市軌道交通中應用不僅能改善乘客的支付體驗，提高支付效率，拓展地鐵票務的營銷模式，也是實現“互聯網+交通”理念、提升城市軌道交通服務水平、推進智慧地鐵及智慧城市建設的一個重要舉措。

城市軌道交通快速過閘的需求決定了宜采用脫機二維碼的消費模式。區別于傳統聯機二維碼的消費模式，脫機二維碼過閘需要解決諸多技術難題。通過制訂二維碼標準、設計符合地鐵復合消費的交易流程、完善現有AFC系統架構、研制多合一兼容讀寫器及仿真測試環境建立等，解決在脫機交易模式下的二維碼消費的安全性、有效性、風險性等問題，實現脫機二維碼過閘在城市軌道交通售檢票系統中的實際應用。