基于人脸识别的智慧轨交安全支付系统

城市级地铁轨道交通刷脸支付是当下公共交通领域的重点研究方向。刷脸支付具备的非接触式生物信息识别特性给支付带来了极大便利，但也给用户的财产和个人隐私带来了极大的安全隐患。

为了解决地铁轨交支付系统的安全问题，设计了针对“中国数谷”贵阳市的智慧轨交安全支付系统，提出了可能存在的安全风险，并就可能存在的风险提出了详细的系统安全保护措施，论述了系统的可用性与可靠性。

最后，提出了针对地铁刷脸支付的泛轨交支付场景，对其未来发展进行了展望。

随着人工智能领域技术的不断发展和算法精度的不断提高，基于人脸识别的应用系统逐渐在安防、金融、医疗等各大领域落地实践。其中，城市交通刷脸支付是一项典型的基于人脸识别算法的应用场景。城市交通的刷脸支付与传统的支付方式相比，为乘客出行提供了更加便捷有效的支付手段，能够大幅提高乘客通行效率，提升乘客出行体验。

目前，全国各地有一些试点的地铁刷脸通行方案，但都是以小规模特定人群进行试点，且只进行刷脸身份验证，并没有完成完整的支付流程。

究其原因，刷脸通行无感支付在城市智慧交通领域是一个世界级的创新难题，百万量级甚至千万量级的场景、复杂的现场环境、高识别精度和低响应时延，都对人像识别算法和整体实现方案提出了极高要求。

此外，刷脸支付通行虽然便捷，但是由于使用了非接触式生物信息作为身份验证凭据，用户可能在非主观授意的情况下被远程读取面部信息，一旦被攻击者恶意利用，将会给用户带来不可估量的损失。

本文主要针对刷脸支付通行这一课题，设计了完全自主研发的首例行业解决方案，建立了一套包括识别算法、捕获硬件、刷脸应用、安全运营、安全数据存储以及安全架构的应用体系。

依托于依图科技世界领先的算法和硬件研发技术，结合“中国数谷”贵州省贵阳市得天独厚的人工智能技术与实体经济深度融合的实施条件，此项目已经在贵阳市地铁和部分公交大巴线路成功上线运行，引领了便捷乘车新模式。

01 智慧轨交安全支付系统

地铁刷脸支付的核心需求可归结为4点：通行效率高、用户体验好、算法精度高、运营优化快。基于以上考虑，设计智慧轨交安全支付分层应用体系架构，如图1所示。架构整体从上到下分为5层。

图1 智慧轨交安全支付分层应用体系架构

1.1 交互层

交互层位于整个系统架构的顶层，是与用户直接联系的人机交互感知硬件层，主要用于部署基于Android的人机交互设备，是每个乘客在日常乘坐地铁时进行交互的终端。

1.2 应用层

应用层依赖于交互层而存在，包含了与用户直接联系的人机交互感知软件层，主要搭载了基于智慧轨交安全支付业务相关的功能软件，与交互层一起实现了人机交互软硬件一体化。

1.3 服务层

服务层包含众多以微服务形式存在的功能模块，为上层应用系统提供了业务服务和基础支撑服务。

1.4 数据层

数据层承担了整个系统的数据中心，主要以刷脸应用业务为核心，构建了基础数据与动态数据相结合的数据平台。

1.5 基础设施层

基础设施层即整个系统部署所依赖的计算资源、存储资源和网络资源，为上层提供了进行人脸识别计算所需要的GPU和CPU算力支持以及大数据中心、用户信息、运行日志等分布式异构存储。

从北到南的智慧轨交安全支付分层应用体系架构模型，充分满足了基于人脸识别的地铁支付通行所需要的关键技术栈。为了实现完整的支付扣费流程，充分按照行业规范和企业的运营需求，在东西向设计了对接银行或其他支付系统，以此满足了接入第三方支付平台的广大需求。

02 智慧轨交系统安全性分析

地铁智慧轨交安全支付系统是智慧城市的重要基础设施，面对百万量级甚至千万量级的用户参与使用刷脸支付系统，系统本身的可靠性和可用性变得至关重要。针对如何衡量信息系统的安全性与可靠性的问题，业内普遍接受的是基于信息安全的三要素，即机密性（Confidentiality）、完整性（Integrity）和可用性（Availability），如图2所示。

图2 信息安全三要素

对于整个轨交支付系统来说，机密性要求了对整个安全系统内的信息、数据、文件等的访问权限控制。为了维护机密性，通常会在数据的传输、存储、处理过程中进行诸如加密、访问权限控制等措施进行安全保护。完整性则着重保护了数据的可信度和准确性，即防止未授权的修改数据，通常要进行严格的访问控制和身份认证。

可用性通常是保证经过授权的用户能及时、准确、不间断地访问数据。为了保证轨交系统的可用性，主要是确保人脸识别算法的精准且高效。

针对轨道交通支付系统可能存在的缺陷和问题，本项目采用了相应的技术管理手段来尽量规避。下文将从物理、网络、主机、算法和数据5个方面阐述解决方案。

2.1 物理层面

在物理层面，门禁闸机一般布置在地铁站等具备防震、防风和防雨等能力的建筑物内，保证物理机器的可用性。同时，为了最大程度地保证物理层面的机密性和完整性，服务器机房布置在贵阳轨交公司的A级物理机房。

机房和地铁进出口还安装有监控摄像头，并接入预警系统，能根据内置的算法发现异常行为，及时上报管理员。这项举措能够隐藏、保护设备的对外接口，保证攻击者不能轻易获得其相应的固件和内部的芯片信息。

2.2 网络层面

为保证网络系统的可用性，能够不间断连续运行，本方案中的核心交换机和路由接入设备采用模块化分布式处理技术实现；各主要部件特别是作为整个计算机网络系统核心的多层交换单元，更具备了冗余备份的容错能力，这样整个网络中不存在单一故障点。

网络系统的机密性和完整性主要包括对网域的划分隔离和传输的安全性保证。根据系统逻辑功能的不同，对网域进行了如图3所示的划分。

图3 系统网域划分示意

各个车站和刷脸支付系统都是一个独立的网域，在网域之间采用了专用的局域网网络，通过路由控制，仅能通过特定的接口进行安全通信。其他隔离的系统与刷脸支付系统间的数据传输都将经过防火墙的严格过滤，采用业界最高的威胁防护等级和SSL性能检测，能够有效防止隐藏在流量中的恶意软件攻击。

为了保障通信过程的安全，采取私有证书的HTTPS协议对整个链路中的流量进行加密，同时构建了相应的安全态势感知平台，根据机器学习所得模型对实时流量进行分析，实现了针对各路威胁的智慧防御。

2.3 主机层面

为保证核心服务器的高可用性和可靠性，各种应用子系统的服务器都被配置为互备模式；在服务器架构设计上，采用双机或多机并行运行方式，防止在服务器一级出现单点故障。

此外，服务器具备身份鉴别机制，遵循最小权限原则；具备安全审计功能，对重要的用户行为，记录系统资源的异常使用和重要系统命令使用等事件，以此满足核心服务器的机密性要求。

2.4 算法层面

人脸识别技术主要基于深度学习算法，这一类算法容易受到生成式对抗网络（Generated Against Network，GAN）的攻击，如图4所示，是当前国际上最流行的一种攻击方式。攻击主要通过在数据集中故意添加细微的扰动干扰输入样本，导致模型以高置信度输出一个错误结果。应用到贵阳轨交系统，可能造成的后果是闸机无法识别人脸和闸机识别人脸结果错误。

图4 生成式对抗网络攻击

针对这一点，依图利用其世界领先的人脸识别算法，提出对场景光照识别优化的双目活体识别算法，在保证高精度、低延迟识别的同时，能够以较高可信度抵御攻击，从而能够保证人脸识别系统结果达到稳定的准确率，满足信息安全的可用性。

2.5 数据层面

为了提高可用性与可靠性，本方案采用RAID0+1的条带化和数据冗余技术，用多个物理硬盘保存同一套数据，减小存储设备发生故障的概率。

为了保证数据的机密性，采用商用加密算法对数据本身进行加密。同时，系统以等保三级、ISO27001规范为基础，提供采集终端、网络传输、应用系统以及硬件平台的全面安全方案。此外，开发了额外的数据隔离机制来保证各个客户之间的数据不可见性，并提供了相应的灾备方案。

03 智慧轨交系统可用性分析

针对贵阳市实际情况，本项目设计了轨道交通场景模型参数，用以评估判断系统在人脸识别算法领域的性能。各个参数说明见表1。

表1 轨道交通场景模型参数

基于该模型，为了探究使用轨交系统的会员比例对系统性能的影响，模拟测试了在会员总人数固定为1M、盗刷比例固定为1%、日乘坐量固定为200k的情况下，随着会员比例的变化，误刷率、盗刷率和日误报数的变化情况，具体结果见图5。

图5 会员比例对系统性能的影响

由图5（a）与图5（b）可知，随着会员比例的逐渐增大，误刷率与错刷率基本能够维持在一个稳定的较低值，即系统满足了信息安全三要素中的可用性，且现状的测试结果已经非常接近之前的理想预期，性能优越。

由图5（c）可知，日误报数基本与会员比例成正相关关系，这是因为日误报数主要有两个来源，即正式会员被识别错身份的情况和非会员被误识别为正式会员的情况。显而易见，当会员比例明显提高后，正式会员被识别错身份的数量会随着会员基数的增大而增大，因此测试结果是与理论分析相符的。

为了探究使用轨交系统的总会员人数对系统性能的影响，模拟测试了在会员比例固定为20%、盗刷比例固定为1%、日乘坐量固定为200k的情况下，随着会员人数的变化，误刷率、盗刷率和日误报数的变化情况，具体结果见图6。

图6 会员人数对系统性能的影响

由图6（a）知，随着会员人数的逐渐增大，误报率与会员人数成线性关系。由图6（b）知，随着会员人数的逐渐增大，误报率与会员人数成正相关关系。当总会员人数逐渐增大时，由于会员人数基数的缘故，会员被识别错身份的概率也明显增大，因此日误报数也呈现出一个增长的趋势。

由图6（c）可知，日误报数基本与会员人数成正相关关系，总体是一条向上的曲线。与前文测试案例类似，该测试结果是与理论分析结果相符。

04 结语

目前，基于人脸识别的智慧轨交安全支付课题研究已经形成了一套完整的解决方案，从技术手段到落地实施，经过了稳定测试、性能测试、安全测试等多道产品质量控制手段严格把关。

同时，依图的产品研发部门配备了数十人的专业安全团队，对产品的前后端均经过了内部的产品安全渗透测试，包括web安全测试、IoT安全测试以及网络安全测试，保证黑客难以通过常规手段入侵产品安全防线，从而全方位保障产品的安全性，保护公民的个人隐私。

未来，随着轨交刷脸支付一期项目投入建设和使用，泛轨交支付场景也将逐步打通，如地铁站内购物、地铁站周边停车、亲人代缴费等功能。后续还可建立乘客信用体系，根据乘客的使用习惯和使用频率，适当为其提供一定的透支额度，进一步提升乘客的出行体验。依图致力于将支付场景由一元化拓展到多元化，实现全方位的轨道交通刷脸支付体验，力争建设世界一流的智慧交通、智慧城市建设。

作者简介

杨波（1977—），男，硕士，中级工程师，主要研究方向为基于人脸识别的智慧轨交安全支付系统设计；

陈逸辰（1996—），女，硕士，主要研究方向为安全架构设计。

选自《通信技术》2020年第二期 （为便于排版，已省去原文参考文献）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。