1、ICS45.020CCSS 7113河北省地方標準DB 13/T 5519.12022軌道交通 AFC 系統線網技術要求第 1 部分：系統結構及功能Technical requirements for AFC system network of rail transit Part 1 : System structure and function2022 - 02 - 28 發布2022 - 03 - 31 實施河北省市場監督管理局發 布學兔兔 標準下載DB 13/T 5519.12022目次前言II引言III1 范圍12 規范性引用文件13 術語和定義14 縮略語15 AFC 系統總體架構2

2、6 互聯互通47 時鐘同步58 ACC 功能要求59 LC 功能要求1710 SC 功能要求2311 SLE 功能要求28IDB 13/T 5519.12022前言本文件按照GB/T 1.12020標準化工作導則第1部分：標準化文件的結構和起草規則的規定起草。請注意本文件的的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。DB13/T 5519-2022軌道交通 AFC 系統線網技術要求分為 7 個部分：第 1 部分：系統結構及功能第 2 部分：終端與專用設備第 3 部分：讀寫器應用第 4 部分：人機界面第 5 部分：票卡應用標準第 6 部分：數據傳輸第 7 部分：數據接口本文件是

3、DB13/T 5519-2022的第1部分。本文件由石家莊市市場監督管理局提出。本文件起草單位：石家莊市軌道交通集團有限責任公司、南京熊貓信息產業有限公司。本文件主要起草人：付朝立、路江、桑靜波、王相輝、陸斌、布永忠、連蘇寧、李楊、王龍、李戰彬、楊俊義、王智勇、侯璟琨、劉謙、陳園園。IIDB 13/T 5519.12022引言本文件的編寫是為了給河北省內軌道交通AFC系統建設提供參考標準及規范。在這方面，我省已經初步完成河北省軌道交通AFC系統線網技術要求標準文件的起草、制定和組織工作，擬由七部分構成。第1部分：系統結構及功能。目的在于進一步規范軌道交通AFC系統架構以及功能統一，確立各層系統

4、互聯互通、不同設備接入的相關技術要求。第2部分：終端與專用設備。目的在于進一步規范軌道交通AFC系統各類終端設備的技術要求和功能，方便后期擴展，指導新線有序建設。第3部分：讀寫器應用。目的在于進一步規范軌道交通AFC系統讀寫器應用，為系統引入新設備、新票種，實現系統的互聯互通提供支持。第4部分：人機界面。目的在于進一步規范軌道交通AFC系統各類終端設備人機交互界面的統一，推動乘客人機交互界面應用的標準化，方便操作員維護，提高乘客使用的體驗感。第5部分：票卡應用標準。目的在于進一步規范軌道交通AFC系統中使用的實體票卡技術要求統一，確保滿足票卡的兼容性及新設備、新票種（或卡型）引入的要求。第6部

5、分：數據傳輸。目的在于進一步規范軌道交通AFC系統中各級系統之間、設備與系統之間的數據內容，促進后期建設及擴展的可持續發展。第7部分：數據接口。目的在于進一步規范軌道交通AFC系統各線路終端設備與車站計算機、車站計算機與線路中央計算機、線路中央計算機與中央清分系統，以及城市軌道交通與一卡通之間的接口。結合我省實際軌道交通AFC系統事業建設情況，首要任務就是盡快建立明確的地方標準體系。建設完善的技術規則而起草高質量的標準化文件，有利于保證河北省內軌道交通建設和后續新建線路的順利接入，有利于促進河北省軌道交通事業的可持續發展。IIIDB 13/T 5519.12022軌道交通AFC 系統線網技術要

6、求 第 1 部分：系統結構及功能1 范圍本文件規定了軌道交通AFC系統總體架構、各層系統架構的主要功能和各層系統之間互聯互通的應用標準。本文件適用于軌道交通AFC系統設計、建設、驗收和改造及系統應用等的實現和系統級、設備級之間的互聯互通。2 規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單） 適用于本文件。GB/T 16649識別卡 帶觸點的集成電路卡GB/T 20907-2007城市軌道交通自動售檢票系統技術條件GB 50157-2013地鐵設計規范GB 50

7、381-2018城市軌道交通自動售檢票系統工程質量驗收規范CJJ/T 162-2011城市軌道交通自動售檢票系統檢測技術規程JR/T 0025中國金融集成電路（IC）卡規范（PBOC 3.0）3 術語和定義本文件沒有需要界定的術語和定義。4 縮略語下列縮略語適用于本文件：ACC: 軌道交通清算管理中心（AFC Clearing Center）AFC：自動售檢票系統（Automatic Fare Collection System） AGM: 自動檢票機（Automatic Gate Machine）BOM: 半自動售票機（Booking Office Machine） E/S: 編碼分揀機（E

8、ncode/Sorter）FAS：火災報警系統（Fire Alarm System）IC卡：集成電路卡（Integrated Circuit Card） ISAM: 增值SAM（Increment SAM）ISCS：綜合監控系統（Integrated Supervisory Control System） LAN: 局域網（Local Area Network）LC: 線路中心計算機系統（Line Central Computer System） LED: 發光二極管（Light Emitting Diode）NTP：網絡時間協議（Network Time Protocol） POI：興趣點（

9、Point of Interest）PSAM: 消費SAM（Purchase SAM） RF: 射頻（Radio Frequency）SAM: 安全存儲模塊（Secure Access Module） SC: 車站計算機系統（Station Computer System） SLE: 車站終端設備（Station Level Equipment）SNTP：簡單網絡時間協議（Simple Network Time Protocol） TAC: 交易驗證碼（Transaction Authorization Cryptogram）1DB 13/T 5519.12022TVM: 自動售票機（Tick

10、et Vending Machine） USB: 通用串行總線（Universal Serial Bus）5 AFC 系統總體架構 AFC 系統五層架構5.1.1 清分管理層負責線網內票務政策的參數化，統一管理票務數據，實現線路的收入統計及線路間收入的清分與對賬，及軌道交通運營主體與其他發卡方間的清分結算。5.1.2 線路中央層負責收集線路（區域內）所有車站的各類數據，向所管理車站主動發起或轉發系統上層發來的控制命令及控制參數，為線路工作人員提供所管理線路內所有車站、終端設備等的運行狀態，對線路內運營情況、收益、票卡等的使用等情況進行統計分析。5.1.3 車站系統層負責收集并處理車站終端設備產

11、生的各種數據，向終端設備層主動發起或轉發系統上層發來的控制命令及控制參數，為車站工作人員提供車站終端設備等的運行狀態及收益的統計報表。5.1.4 終端設備層用于控制終端設備各部件的協同工作，產生和收集各種交易數據，向車站系統發送數據并接受車站系統相關參數及控制命令。5.1.5 票卡層采用非接觸式電子芯片等來記錄乘客進站信息（進站車站、進站時間等），出站設備讀取票卡中已寫入的進站信息，按照票務規則進行費率計算及計扣。軌道交通AFC系統五層架構如圖1。2DB 13/T 5519.12022圖 1 軌道交通系統架構框圖 AFC 系統功能定位5.2.1 ACC 功能定位ACC是軌道交通AFC系統聯網收

12、費的核心部分，負責不同運營線路間帳務清算、票務發行等，同時作為軌道交通運營商的代理，與城市一卡通公司進行清分結算和協調等工作。ACC功能應包括：a) 票務數據處理；b) 車票發行、調配及跟蹤；c) 與運營線路間清算、對賬；d) 與城市一卡通公司進行清分結算；e) 線網票價的制定及發布；f) 網絡化運營統一管理；g) 數據備份與恢復。5.2.2 LC 功能定位LC為本線路AFC系統的核心部分，實現對系統運營、票務、收益、維修的集中管理功能。LC主要功能應包括：a) 收集、處理系統內各類數據；b) 制定、維護系統各類參數；c) 接收、下達系統各類指令；d) 為系統提供高度的安全機制和嚴格的操作規程

13、；e) 完成與一卡通卡公司之間的結算；f) 接受 ACC 系統參數及指令；3DB 13/T 5519.12022g) 根據相關要求向 ACC 上傳相關數據并可與 ACC 對帳。5.2.3 SC 功能定位SC為車站AFC系統的核心部分，可對本車站內部的所有設備進行實時監控，實現對車站AFC系統運營、票務、收益及維修的集中管理功能。SC的主要功能應包括：a) 收集、處理車站 AFC 系統內各類數據；b) 上傳各類數據到 LC；c) 接收 LC 下傳的各類系統參數，并下載到本車站各終端設備；d) 接收 LC 下達的各類系統指令，并下達到本車站各終端設備；e) 應可根據需要自行向車站設備下達控制指令，

14、并將該操作記錄上傳到 LC。5.2.4 SLE 功能定位車站終端設備主要由自動售票機、半自動售票機、自動檢票機、自助查詢機、便攜式檢驗票機等設備構成。SLE的主要功能應包括：a) 接收參數及命令，完成規定操作及信息提示；b) 生成并上傳全部交易數據、審核數據和事件數據，生成日志數據；c) 按要求存儲數據，存儲時間一般不少于 7 天；d) 設備故障自診斷和故障提示；e) 在發生通信故障時能獨立運行，并能實現數據導出功能，通信故障恢復后數據自動上傳。5.2.5 車票功能定位車票的主要功能應包括：a) 記錄乘客乘車的信息；b) 記錄車票的系統編號、安全信息、車票種類、個人信息、進出站信息、金額、有效

15、期、歷史交易記錄等信息；c) 與車站終端設備共同完成自動售票、檢票功能。6 互聯互通 系統級的互聯互通系統級的互聯互通是指不同線路的AFC系統能實現互聯互通，這一層次的互聯互通是基本要求， 是實現“一票通”、“一卡通”的基礎。應統一軌道交通聯網收費系統制定的技術規范，為軌道交通聯網收費系統提供基礎，包括：a) 統一操作流程，規范軌道交通收費系統操作；b) 統一數據交換接口，為軌道交通系統的互聯互通，實現清結算提供技術基礎；c) 統一票卡應用要求、密鑰管理體系，保證票卡在軌道交通各線路之間具有通用性。 設備級的互聯互通在AFC系統中，車站終端設備主要有自動售票機、自助查詢機、半自動售票機以及自動

16、檢票機等。實現AFC設備級互聯互通應包括：a) 設備功能一致明確；b) 運行模式基本相同；c) 接口基本統一。 部分模塊的互換部分模塊應具備互換性，保證不同軌道交通線路間的互聯互通；設備的互換有著極高的經濟價值和社會價值，在技術條件成熟后，可考慮實施；某些特殊的模塊互換也可在進一步的統一規劃下實施。4DB 13/T 5519.12022 關鍵代碼的統一河北省軌道交通采用大讀寫器，應確保票卡處理程序能在不同品牌的讀寫器上運行，票卡處理程序在更新時，應能同步進行更新操作。關鍵代碼的統一應包括：a) 讀寫器的硬件要求統一；b) 系統軟件要求統一；c) 底層函數庫要求統一。7 時鐘同步ACC系統應從外

17、界時鐘源（衛星數據或者通信系統）獲得準確的當前時間，來設置自己的系統時間，并成為線網標準時間的源頭。時鐘同步的實現應包括：a) 時間同步采用 SNTP 或 NTP 來實現；b) AFC 系統中只在相鄰的兩層之間進行時鐘同步；c) 時鐘同步校準時間間隔、最小閾值、最大閾值可配置。8 ACC 功能要求 ACC 主要功能ACC主要功能應包括：a) ACC 制定 AFC 系統運營的各項規則AFC系統運營的主要規則應包括：1) 車票、票價、清算、對帳業務規則；2) 車票使用管理及調配流程規則；3) 運營模式控制管理流程、運營參數、安全管理的流程與授權規則；4) 終端設備乘客服務界面顯示規則；5) 系統接

18、口和編碼規則等。b) 車票的發行與管理車票的發行與管理應包括：1) ACC 統一發行軌道交通車票（以下簡稱“一票通”）；2) ACC 對軌道交通各線路車票進行統一動態調配和跟蹤管理。c) ACC 票務規則和清分模型ACC票務規則和清分模型的主要功能應包括：1) 負責支撐各線路 AFC 系統運行，負責收集、統計、分析、查詢運營數據；2) 負責一卡通和一票通車票交易收益在軌道交通系統不同線路之間的清分；3) 負責實現軌道交通系統與一卡通系統間的清算、對帳。d) ACC 下發各類參數和命令，確保整個 AFC 系統正常、安全運營；e) ACC 具備時鐘同步功能，提供軌道交通 AFC 系統的時鐘源；f)

19、 ACC 負責制作、發行系統內使用的 SAM 卡，完成交易數據 TAC 碼認證；g) ACC 設有 E/S 設備，E/S 具有對車票的初始化、賦值、分揀、校驗、注銷等功能；h) ACC 統一管理 AFC 系統密鑰；i) ACC 負責 AFC 系統與外部系統接口處理，包括銀行、一卡通等。 ACC 通用要求8.2.1 安全性系統應是高度安全的，應體現在設備安全、票卡安全、軟件安全、網絡安全、數據安全等方面。a) 設備安全設備安全方面應包括：5DB 13/T 5519.120221) 設備表面應平滑，邊角應圓滑，不會在人員使用或維護時造成傷害；2) 硬件設備的外殼應有足夠的強度，耐受一定程度的碰撞和

20、沖擊；3) 所有設備應具備相應的安全保護，設備內各模塊應固定防止隨意移動，所有接頭應具有固定措施；4) 所有設備應有良好的電氣接地安全措施，保證設備金屬外殼不帶電，不會在人員使用或維護時造成傷害；5) 所有設備及通信線路應具備相應的電源保護措施；6) 設備應至少通過防電、防火、防水、防潮、防酸、防堿、防腐蝕、防毒、防劃傷等方法，確保設備和人身的安全。b) 票卡安全票卡安全方面應包括：1) 票卡芯片內部數據結構、卡與讀寫器相互認證、交易數據安全認證等方面應具有較完善的安全功能；2) 票卡及票卡讀寫器應具備防沖突功能；3) 票卡讀寫器應具有防止突然拔卡和掉電保護功能；4) 系統應具備完善的車票跟蹤

21、功能。c) 軟件安全軟件安全方面應包括：1) 軟件系統應具有操作權限管理功能；2) 利用所有在系統內的操作和交易記錄，可進行完整的審計和交易、現金、票卡流程追蹤；3) 軟件系統自身應具有自監測、自診斷和充分的冗余功能，并自動運行防病毒軟件、防火墻等加強軟件系統的防護能力；4) 軟件系統應可防止對數據的惡意破壞；5) 軟件系統應具有防止誤操作及惡意操作的功能；6) 軟件的更新應保證安全、有序且不影響正常運營。d) 網絡安全網絡安全方面應包括：1) 應保證各種網絡資源的穩定、可靠、授權使用；2) 應保證所有網絡信息的機密、完整、可用；3) 應至少采用入侵檢測、訪問控制、防火墻、病毒防護等安全性措施

22、以防止或阻止非授權的訪問或活動。e) 數據安全數據安全方面應包括：1) 系統內所有敏感數據必須采用高安全加密方式，主要包括票卡、讀寫器、ES 和數據通信網絡內的存儲、訪問、修改和傳輸；2) 應符合國際、國家和建設部、中國人民銀行等行業技術標準及規范中有關的安全要求， 采用的電子安全交易技術手段，包括對稱/非對稱密鑰算法、信息認證碼（MAC）、數字簽名、數字校驗等。8.2.2 可靠性系統應進行可靠性設計，降低軟硬件故障，提高系統可靠性和平均無故障維修周期，提高系統軟硬件的使用和管理的安全性。系統可靠性的實現應包括：a) 應結合可維修性和安全性進行系統的可靠性設計；b) 應確定最佳費用效能比以及可

23、靠性增長方案；c) 應能實現系統生命周期內的可靠性管理。8.2.3 穩定性應確保所提供的ACC系統的穩定性，使其能夠24×7×365小時連續穩定運行。6DB 13/T 5519.120228.2.4 可維護性系統應進行可維護性設計，減少維修次數和維修時間，提高運營服務質量，達到零配件數量低比率。系統可維護性的實現應包括：a) 應做到控制維護保養需求；b) 應做到減少維修作業次數；c) 應做到減少維修時間；d) 應做到簡化維修操作；e) 應做到控制零配件需求；f) 應做到控制專用維修設備和工具需求；g) 應做到減少出錯可能性等。8.2.5 可測試性系統應有良好的可測試性，應能

24、快速準確判斷系統故障的位置和原因，減少維修次數、時間、費用。系統可測試性的實現應包括：a) 應充分考慮系統設備測試點的設置；b) 應對測試點進行詳細的特性描述；c) 所采用的測試手段應易于掌握；d) 測試設備和工具應盡量通用。8.2.6 先進性系統的軟硬件應遵循國際、國內開放系統標準及協議，屬于當前業界的主流產品，并已經得到廣泛應用，占有較高的市場份額。系統先進性設計的實現應包括：a) 應采用在同類產品中處于領先地位且已經在全球范圍內的各種應用中大量應用的產品；b) 應采用先進技術設計和制造，具有高性能，同時又成熟可靠，經過各方面考驗的成熟和先進產品。8.2.7 開放性與可擴展性系統的軟、硬件

25、應具有良好的開放性與可擴展性，系統應能提供開放式的標準接口，以支持未來基于軌道交通儲值票卡的多應用擴展等。系統的軟硬件開放性與可擴展性應包括但不限于：a) 運營線路擴展與運營商的擴展；b) 系統功能擴展；c) 新增模塊擴展；d) 新增系統接口的擴展；e) 新增系統應用的擴展（如其它支付方式、身份識別等）；f) 城市一卡通清算中心系統及其它支付系統、支付方式的應用擴展；g) 人機界面；h) 其它應用的擴展。系統的軟硬件開放性與可擴展性具體體現在：a) 系統結構1) 系統層次化布局；2) 系統功能模塊化組合；3) 同層子系統之間相對獨立的運行；4) 參數化設計；5) 系統層與層之間具有互為冗余特性

26、。b) 應用接口1) 數據通訊采用國際標準的開放式協議；7DB 13/T 5519.120222) 硬件接口采用國際上廣泛使用的標準接口；3) 軟件接口全面開放；4) 系統參數設置方式全面開放。c) 應用功能1) 滿足用戶需求管理且滿足需求變化及擴展需要；2) 滿足可適應運營規則變化的功能擴展需要；3) 滿足系統各組成軟件模塊的增加、變更及組合的應用需要；4) 滿足低成本且可便捷實現系統功能的變化及擴展需要；5) 滿足軌道交通專用票及一卡通票的應用擴展需要；6) 滿足其他支付方式的應用擴展需要；7) 滿足軌道交通其他關聯應用的擴展需要。d) 軟件1) 軟件應采用集成的模塊化設計，系統軟件處理結

27、構應滿足上述各項要求；2) 軟件模塊各接口應開放，軟件新功能、性能變更應可方便實施，且不會影響整體系統正常運營需求。e) 硬件1) 計算機類設備的配置應充分考慮預留，可通過增加或更新硬件進行系統擴展；2) 設備應采用模塊化設計,功能的選擇可以通過配置不同的硬件模塊來實現，設備操作功能可通過參數及指令形式控制和調整8.2.8 3C 認證按照本標準執行的工程中凡列入國家強制性產品認證（3C認證）的產品，必須經國家指定的認證機構認證合格，取得相關證書并加施認證標志后，方能進行出廠驗收和工程使用。8.2.9 接地從提高工作人員操作設備時的安全性和系統設備間數據傳輸的可靠性等方面綜合考慮，系統實施應符合

28、設備保護接地和六類屏蔽線纜接地要求。8.2.10 環保ACC系統設計的環保要求應包括但不限于：a) 所有系統設備的 PCB 板應為無鉛化產品；b) 所有系統設備應進行節能型設計，以利于能源節約。 ACC 系統構成ACC系統應包含：清算管理系統、票務管理系統、參數管理系統、安全密鑰系統、信息管理系統、系統管理系統、報表系統。8.3.1 清算管理系統ACC的核心功能是為軌道交通運營商提供清算管理服務，并代表軌道交通各運營商與一卡通進行清算。清算管理功能應包括（但不限于）以下重點：a) 應具備處理一票通的交易數據的功能；b) 應具備處理一卡通的交易數據的功能；c) 應具備票款、票卡處理服務費用結算、

29、對賬的功能；d) 應具備運費收入清分、對賬的功能；e) 應具備運營商賬務管理功能；f) 應具備統計報表、信息服務等功能。g) 應具備獨立于其它系統運作的功能。h) 應具備同時滿足有障礙換乘的業務要求。i) 所有關于一卡通的功能設計與實施，必須遵循城市一卡通清算中心系統的有關規定。8DB 13/T 5519.120228.3.2 票務管理系統ACC作為軌道交通專用一票通的發行機構，統一定義、發行、管理一票通票卡。ACC應能要求線路中心向ACC上調票卡，或在ACC授權下，指示線路中心向缺票的線路調配。線路中心應對車票調配進行記錄，并定期向ACC上傳車站庫存、車票流失等有關數據。票務管理功能應包括：

30、a) 中央票卡庫存管理；b) 監控線路車票回收、流動；c) 壞票、過期票中央回收；d) 票卡初始化；e) 票卡個性化；f) 票卡遺失、跟蹤，黑名單處理；g) 票卡使用記錄，分析，查詢；h) 票卡可靠性分析，流失分析。8.3.3 參數管理系統ACC應能利用參數對其系統功能進行設置，對AFC系統的有關功能進行統一管理，以滿足不同業務要求。系統主要參數應包括：a) ACC 系統參數；b) 在應用一票通時，ACC 與AFC 系統共同采用的參數；c) 在應用一卡通時，由城市一卡通清算中心系統定義，通過 ACC 傳輸到 AFC 系統的城市一卡通清算中心系統、ACC 及AFC 系統共同采用的參數；d) 軌道

31、交通黑名單；e) 一卡通黑名單。8.3.4 安全密鑰系統8.3.4.1 AFC 系統設備安全管理ACC應能完成對軌道交通線網內所有AFC系統設備的注冊管理、認證管理及數據審核。8.3.4.2 SAM 卡安全管理所有ACC發行的SAM卡必須在ACC系統內登記。ACC應設有SAM卡與AFC設備的關系表，記錄SAM卡所安裝的AFC設備編碼。8.3.4.2.1 SAM 卡通用技術要求SAM卡目前被廣泛的應用在安全認證方面，通用技術要求應包括：a) 應符合識別卡，帶觸點的集成電路卡標準 ISO/IEC 7816-1/2/3/4；b) 應符合中國人民銀行 PSAM 卡規范；c) 應符合中國金融集成電路（I

32、C）卡規范；d) 應支持一卡多應用，各應用之間相互獨立（多應用、防火墻功能）；e) 應支持多種文件類型 包括二進制文件，定長記錄文件，變長記錄文件，循環文件，錢包文件；f) 應在通訊過程中支持多種安全保護機制（信息的機密性和完整性保護）；g) 應支持多種安全訪問方式和權限（認證功能和口令保護）；h) 應支持中國人民銀行認可的 Single DES、Triple DES 算法；i) 應支持多級密鑰分散機制，產生中國金融集成電路（IC）卡規范中定義的 MAC1 和校驗MAC2，用分散后的密鑰作為臨時密鑰對數據進行加密、解密、MAC 等運算；j) 以完成終端與卡片之間的合法性認證等功能；k) 應支持

33、多種通訊協議：接觸界面支持 T=0（字符傳送）和 T=1（塊傳送）通訊協議；l) 接觸界面應符合 PPS 協議，支持多種速率選擇：9600/19200/38400/57600bps；9DB 13/T 5519.12022m) 應支持多種容量選擇。8.3.4.2.2 SAM 卡文件結構SAM卡應滿足以下對文件結構的定義和要求： a ) 應符合 ISO/IEC 7816-4；b) 應用數據文件（ADF）應包括：1) 能夠將數據文件與應用聯系起來；2) 確保應用之間的獨立性；3) 可以通過應用選擇實現對其邏輯結構的訪問。目錄結構采用以其應用標識符（AID）的方式進入一個應用；4) 文件可以通過文件名

34、或 SFI 進行查詢；5) 卡中的任何 ADF 或 DDF 可通過其 DF 名查詢，ADF 的 DF 名對應其 AID，每個 DF 名在給定的卡中應是唯一的；6) 在一個給定的應用中 SFI 應是唯一的，專用 SFI 的使用由應用決定。8.3.4.3 安全機制安全機制應滿足如下要求：a) 秘鑰的獨立性；b) 安全報文傳送的格式和規則等符 GB/T 16649 的規定；c) 消息驗證碼（MAC）的位置，長度，計算算法，過程秘鑰的產生方式和過程符合中國金融集成電路（IC）卡規范中有關規定；d) 對明文數據加密的秘鑰產生，算法，加密數據的格式應符合中國金融集成電路（IC）卡規范中有關規定。8.3.5

35、 信息管理系統信息管理系統應包括數據分析、決策支持、報表生成、信息發布等功能。a) 數據分析數據分析主要功能應包括：1) ACC 應能滿足不同單位或部門的信息需求；2) ACC 接收、處理各線 LC 上傳的客流數據，應能及時顯示和定時更新；3) ACC 應提供一系列的報表，分析各線路的票務收益，包括不同時段、不同日期、不同票種等。數據應能從系統內導出，供用戶進行數據再處理和分析。b) 決策支持決策支持主要功能應包括：1) 車票需求分析；2) 車票丟失分析；3) 收費決策(通過數據分析，ACC 能得出 ACC 的收益預算，提供票價敏感性分析等)；4) 市場數據分析；5) 為其他主管和相關單位，提

36、供決策支持相關的信息。6) 具備靈活的數據統計及分析功能。c) 報表生成報表生成主要功能應包括：1) 報表必須按用戶輸入的報表周期生成，可由 ACC 通過設定自動生成，或由用戶控制生成報表。所生成的報表應能以圖表方式提供。用戶應可將報表數據輸出到通用文字及電子表格應用軟件供分析和操作。2) 報表周期包括日報表、周報表、月報表、季報表、年報表及自選報表。清算報表需要基于清算日期及運作日期。ACC 應允許用戶下載其需要的報表，并通過參數管理決定每一種報表的存儲期限。3) ACC 須允許用戶實時(在線)或批次生成數據分析報表。在線生成的數據分析報表應在5 分鐘內完成。離線生成的數據分析報表應在 30

37、 分鐘內完成。10DB 13/T 5519.120224) 報表類型至少包括：客流、收益、票卡庫存、現金收益、清算、異常、票卡查詢、票卡跟蹤、審核、數據分析及數據查閱等。5) 系統清分、設備運行、車票交易、客流、現金處理及維修等各種運營報表為基本需求， 根據業務需求設計報表，以滿足業務需求為原則。6) ACC 應提供對使用報表的用戶及終端權限控制的功能，可以在報表級設置各用戶、用戶組或終端的權限。其用戶權限的設置應與系統權限分別設置。報表用戶應能在授權終端上查看、打印相應報表。不同種類的報表經管理員選定后可多張一次同時打印。7) 報表應可以通過網絡共享，當同時打開同一報表時，應保證用戶訪問的報

38、表數據一致。標準報表在規定的時間段內可供在線查詢，并支持通過 Web 頁面的方式進行瀏覽。根據操作員權限的不同，允許查詢的報表類型范圍也應對應不同。報表維護人員可利用ACC 提供的報表生成工具軟件，開發新的報表類型。d) 信息發布信息發布主要功能應包括：1) 對于各種統計比較信息（如：客流信息等）、告警信息提示、通知等，ACC 系統必須建立較好的適應運營實際需求的信息發布機制。2) 信息接收對象主要為持卡人、各線路 AFC 系統運營人員、各級領導、以及 ACC 各級管理人員。信息接收對象可以分組定義，并支持分組發布。3) 信息發布前應可根據需求進行適當編輯，系統應提供對發布信息進行適當編輯的工

39、具。4) 信息發布可以采用投影、屏幕、互聯網絡、電信移動短信等形式發布。8.3.6 系統管理系統系統管理系統應包括權限管理、系統審計、數據備份、維護管理、災難恢復管理、系統運營日志管理、時鐘同步、網絡管理、在線幫助、測試培訓平臺系統等功能。a) 權限管理權限管理主要功能應包括：1) 根據 ACC 不同用戶的職權設置不同的組別，賦予有關的功能及權限。同一組別中可配置個別的用戶權限；2) 所有用戶必須通過申請，得到 ACC 有關人員的批準，由系統管理人員通過 ACC 系統開設用戶帳號，并賦予其有關的操作和訪問權限。系統須自動生成初始密碼給新用戶。新用戶必須要在首次使用時更改初始密碼；3) ACC

40、需要保證用戶名在各系統間統一，有唯一用戶名及權限；4) ACC 應允許用戶修改自己的密碼；5) ACC 只允許用戶根據系統賦予的權限工作；6) ACC 必須具備準確和完整的審計記錄功能，完善地記錄用戶的帳戶開設、更改及使用情況。b) 系統審計系統審計主要功能應包括：1) 當用戶試圖登錄 ACC 系統的任何一個子系統、應用功能、設備，ACC 系統必須對用戶名稱及密碼進行核對；2) 進行系統間的訪問，如通信、資訊共享前，ACC 須要核對用戶身份；3) ACC 系統需要記錄成功及失敗的登錄次數，根據不同的需要，隨時提供查詢用戶的登錄情況；4) ACC 系統需要對所有登錄活動、主要存取及注銷，作詳細的

41、記錄并予保留后記入操作日志。c) 數據備份系統應具備完善的數據備份能力，ACC系統管理人員應能根據數據傳輸及其處理的時間來制定備份時間或備份周期。d) 維護管理系統應具備集中統一對ACC內部及接入系統間設備部件進行維護管理的功能，應具備通過網絡對系統設備的軟件進行更新的功能，應具備收集設備狀態信息，并生成相應的統計報告的功能。11DB 13/T 5519.12022ACC系統維護必須提供以下（但不限于）功能：1) 當不正常的狀態出現時，系統應能自動診斷、偵查異常情況，向操作員及時提供通報；2) 操作員應能運行自診斷功能，檢查系統狀況，應須允許操作員有選擇地執行診斷，并保證不影響整個系統的運營；

42、3) 系統應提供數據及文件自動歸檔功能，功能由參數設定；4) 系統應提供數據及文件的自動清除功能，清除期限由參數設定。e) 災難恢復管理災難恢復管理主要功能應包括：1) ACC 系統設計必須實現運營系統與異地備份后備系統的數據切換，包括數據從運營系統切換到異地備份的后備系統，及數據從異地備份后備系統恢復到運營系統。2) 運營系統發生災害或出現嚴重故障時，系統應馬上監測到異常情況，及時向管理員發送警報，并手動啟動異地備份將數據備份至后備系統。3) 災難恢復應在 24h 以內完成。f) 系統運營日志管理系統運營日志管理主要功能應包括：1) 所有自動或手動的系統操作必須做有效的記錄和維護。2) 操作

43、員和維護人員應能跟蹤中央計算機的所有操作，審計人員應能審查操作員的所有操作記錄。ACC 系統的任何操作必須保留操作記錄。3) 日志最短應保存 1 年。g) 時鐘同步時鐘同步主要功能應包括：1) ACC 系統取通信系統時鐘源基準，協議為 NTP。2) ACC 與通信系統保持時鐘同步。3) ACC 系統與各線路保持時鐘同步，時差不大于參數設定時間。h) 網絡管理網絡管理主要功能應包括：ACC須完成ACC內部及接入系統間的網絡管理；具體管理功能包括但不限于以下功能：1) 設備的自動發現及管理界面定制功能：系統應能自動發現網絡環境中的被管理對象， 并將被發現的對象按照它們之間的關系建立系統管理模型。被

44、管理對象的圖像顯示應提供用戶定制功能，使網管系統的視圖更能適應管理的實際需要。2) 配置管理：對網絡設備端口、參數、IP 地址的設置和管理。3) 故障監控管理：網管系統應通過定期輪詢及被管理系統主動上報等方式收集故障信息， 一旦發現被管理設備有故障發生，網管系統應按照預定義的規則進行過濾、分類、轉換、通知和自動響應等各種處理。4) 事件分析：系統應根據不同故障和事件之間的實際關系，制定策略，進行過濾和轉換， 過濾一些從屬的故障和事件，只保留主要的問題根源，有利于發現系統及網絡中的主要問題，避免由于過多故障事件發生，淹沒了主要的故障根源。5) 性能管理：系統應管理設備性能、網絡響應時間、網絡帶寬

45、使用，從用戶的角度監控應用的性能，并且通過報警、圖形化分析、自動報告等方法提供端到端的性能管理。性能管理包括網絡性能及系統性能管理兩部分內容。6) 遠程控制管理：系統的遠程控制管理應提供對遠端的操作系統進行管理的功能，也可以傳輸文件、交互對話、執行遠程的應用，還可以對上述的連接過程進行記錄，使系統管理員可以協助操作系統用戶解決各種應用問題。通過與操作系統管理域的緊密集成，可以借助"域"的安全機制實現遠程控制中的安全控制。7) 網絡操作管理：系統應提供以太網交換機的故障、性能管理，包括路徑管理，提供選定設備間路徑的狀態情況。系統應提供交換機狀態監視、性能監視及分析、VLAN

46、配置管理和監視、Trunk 管理等功能。i) 在線幫助在線幫助主要功能應包括：1) ACC 系統須提供在線幫助功能。12DB 13/T 5519.120222) 系統應能讓操作員在線查詢系統功能，并提供操作指南。j) 測試培訓平臺系統測試培訓平臺系統主要功能應包括：1) 測試培訓平臺應能模擬 ACC 的所有功能，并應能利用真實數據或模擬數據運行。2) 測試培訓平臺必須提供能生成各種模擬數據的功能及測試用的軟件。3) 測試培訓平臺具有與運營系統相同的軟件管理功能。4) 測試培訓平臺所采用的系統軟件，應與運營系統一致。5) 測試培訓平臺必須提供運營系統所需的硬件及測試票卡，所采用的硬件必須與運營系

47、統兼容。6) 測試培訓平臺必須具備從運營系統/異地備份系統導入數據作為測試用途的能力。7) 測試培訓平臺必須為系統軟件（包括接口等）的開發、維護，以及系統二次開發創造條件。8) 測試培訓平臺須提供后續接入線路接入時的培訓功能。8.3.7 報表系統可以按要求生成不同時段的報表。報表應采用模塊化設置，根據不同條件組合靈活生成，以滿足運營需要。所生成的報表應能以圖表方式提供。用戶應可將報表數據輸出到通用文字及電子表格應用軟件供分析和操作。報表應可以通過網絡共享，當同時打開同一報表時，應保證用戶所看到的報表一致。系統應提供對使用報表的用戶及終端權限控制的功能，可以在報表級設置各用戶、用戶組或終端的權限

48、。其用戶權限的設置應與系統權限分別設置。報表用戶應能在授權終端上查看、打印相應報表。 ACC 安全要求8.4.1 SAM 密鑰管理系統a) 主要功能要求1) 建立密鑰管理中心，統一發放及實現密鑰管理全過程的安全，包括密鑰的產生、運送、存放、分發、下裝、使用、備份、更新、銷毀等；2) 密鑰系統須具有靈活、易維護及高安全等特性；3) 對于逐步開通的新應用，定義其所需要的密鑰種類、用途和數量；4) 對于不同級別或種類的密鑰，由不同級別的操作員分別管理；5) 生成并保管卡片根密鑰，根密鑰的生成應做到多人控制、相互制約；6) 按一票通票卡中所涉及的各種應用生成各種密鑰；7) 制作各種應用卡，包括用戶卡、

49、母卡、PSAM 卡和ISAM 卡；8) 對系統中密鑰的生成、分散、使用、更新和銷毀進行安全審計。b) 密鑰管理系統組成1) 密鑰管理工作站：負責生成各種專用密鑰，完成對密鑰的分發和管理，制作各類母卡；2) 密鑰管理軟件須記錄各種制卡設備所輸入的 SAM 卡發行信息。；3) SAM 卡制卡設備：負責制作所需的 SAM 卡；4) 加密機：加密機接入到中央交換機，根據密鑰系統導入的 TAC 計算密鑰，負責對交易數據進行 TAC 碼計算。c) 密鑰生成1) 密鑰管理系統接收根密鑰后，再分發其它應用主密鑰；2) 不需要重復生成的密鑰，要采用隨機產生的辦法，由系統隨機產生這些密鑰；3) 需要重復生成的密鑰

50、，要采用密鑰變換或密鑰衍生的辦法生成，并確保密鑰變換或密鑰衍生的過程絕對安全，并且在需要的時候，能夠重新得到與原來相同的密鑰；4) 密鑰系統要采用分級管理方式，由上一級生成下一級所需的所有子密鑰，并以卡片的形式傳遞給下一級。d) SAM 卡片制作13DB 13/T 5519.12022要使用傳輸密鑰控制密鑰的加密裝載、直接加密導出、分散加密導出。e) 加密機管理密鑰管理系統實現對加密機設備的維護和管理，及對加密機密鑰的維護和管理。f) SAM 密匙系統技術要求1) 系統性能應滿足系統進行大批量 SAM 卡及用戶卡發卡的要求；2) 加密機應能滿足系統交易記錄 TAC 碼等的計算要求；3) 系統可

51、靠性、可用性要求系統要滿足 ACC 的運行需要，發生局部硬件故障和軟件故障時有相應的容錯技術，單點故障應不影響整個系統的運行；4) 系統應保證本地密鑰備份數據和實際密鑰數據的一致性，發生局部故障時，密鑰數據不丟失；5) 系統擴展性要求系統軟件框架設計要具有可擴展性，新功能模塊的增加不影響原有系統軟件設計；6) 系統必須預留接口以支持未來多種新應用的擴展，而不能對密鑰系統產生影響；7) 對密鑰系統管理的要求系統應具備對加密機、本身數據庫、密鑰管理系統等進行監控、管理能力；對系統的信息、參數、文件進行統一的管理和控制。g) 系統軟件要求1) 應實現對系統管理員、系統一般管理員的管理；根據系統用戶角

52、色定義實現角色權限管理；實現系統數據備份和恢復操作；2) 應對所有操作進行日志記錄，并進行分類查詢和審計。日志記錄只允許有權限的管理員查看。h) 系統安全性要求1) 應使用經權威機構鑒定許可的硬件密碼設備和密碼算法；2) 應提供安全的密鑰生成和分散機制，采用安全報文方式實現密鑰的安全傳輸；3) 應提供用戶身份認證、訪問授權、日志記錄等安全控制功能。8.4.2 票卡安全a) 一票通票卡（儲值類）安全1) 票卡設計必須采用一卡一密鑰，一扇區一密鑰；2) 票卡的密鑰要利用票卡的序列號及其它相關信息，通過算法，由票卡的發行機構在對票卡進行初始化時，記錄在票卡中；3) 票卡在每次操作時，須經過密鑰驗證；

53、4) 票卡的驗證要通過 SAM 完成；5) 票卡在交易過程中，為了防止信號被意外截取，其通信（讀寫器與票卡之間）須進行加密。b) 票卡黑名單在對交易數據進行處理時，要能夠對數據進行分析，并對可疑的票卡使用產生黑名單，通過黑名單功能，實現對黑名單票卡的管理。8.4.3 設備安全a) 設備安全1) 一票通 SAM 與一卡通 SAM 應能夠同時在 AFC 設備中獨立運行；2) ACC 應具有設備管理功能，要能夠詳細記錄 AFC 系統 SAM 的登記、其所安裝的 AFC 設備等信息，同時提供密鑰版本號更換、黑名單更新、配置數據更新等記錄的維護功能；3) AFC 設備須符合 ACC 對一票通票卡的讀寫流

54、程；4) 一票通票卡須與 AFC 設備內的 SAM 進行驗證才可進行讀寫；5) 線網中的設備須具有唯一的設備編碼。b) 設備黑名單1) 運營系統應能夠實現對設備黑名單的生成、維護和管理；2) 交易發生于列入設備黑名單的日期以后，交易數據不做清算。14DB 13/T 5519.120228.4.4 網絡安全a) 防病毒體系1) 整個 ACC 中必須建立全面的網絡防病毒體系；2) 在構建網絡防病毒系統時，應利用企業級防毒產品；3) 須針對網絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統配置，使網絡沒有病毒入侵的薄弱環節；4) 防病毒軟件應能夠在局域網內指定的服務器進行更新。b) 防火墻1) 應在網絡出口處安裝防火墻，來進行有效的隔離，所有來自外部網絡的訪問請求須通過防火墻的檢查，保證內部網絡的安全性；2) 通過源地址過濾，拒絕外部非法 IP 地址，須有效避免外部網絡上與業務無關的主機的越權訪問；3) 防火墻應可設置保留有用服務，將其它不必要服務關閉，以縮小攻擊面；4) 防火墻應制定訪問策略，保證只有被授權的外部主機可以訪問內部網絡的有限 IP 地址，保證外部網絡只能訪問內部網絡中的必要資源，縮小可能攻擊來源；5) 防火墻應全面監視外