【中國數字視聽網訊】隨著產業化改革為中國電影市場帶來勃勃生機的同時，影院出現的偷漏瞞報票房的問題不僅影響了票務數據的準確性，還嚴重破壞了電影產業的正常發展。。本文在現有的電影院票務管理系統技術要求規范的基礎上，提出了一種影院安全票務系統的技術方案。利用此技術方案，一方面能夠保證電影票票面信息的真實性，無法進行信息的偽造;另一方面能夠通過技術手段獲取影院完整的票務數據信息，以便進行票務數據統計以及數據的回溯確認。

一、引言

近年來，在國家相關政策的支持下，我國電影產業規模和經濟總量得到大幅度擴張，技術裝備水平明顯提高，電影市場持續繁榮發展，中國電影票房也出現了超高速增長。2014年全國電影總票房296.39億元，其中國產片票房161.55億元，占總票房的54.51%，2015年全國電影票房收入440。69億元，其中國產片票房達到271.36億元，占總票房的61.58%。2015年度電影總票房同比增長48.7%。

當前電影產業的商業運作模式采用票房分賬的方式，影片的票房收入由影票銷售單位定期上報，根據票房收入國家管理機構、制片方、院線方、影院等機構進行分成。電影發行商是電影投資方代表，具有最低票價限價權，但是無法直接獲取實際銷量數據，該數據來自于影院的票務系統，同時是票款回收的環節。影院是電影產品的分銷及價值變現環節，由于電影產品大多采用票房分成的商業模式，因此影院作為銷售前端，其最容易掌握真實票房數據，且其直接接受現款，在扣除自身所得后再向上游提交。在這個過程中，影院上報票房數據的真實性就成為整個產業鏈賴以維系的核心。

電影票房的真實性依賴下述手段來保證：國家管理機構以牌照準入的方式審核計算機售票系統廠家，符合技術標準的票務系統廠商才允許進入影院市場;各售票系統按照統一技術規范將票房數據上報至國家管理機構的統一票務數據統計平臺，以平臺數據作為產業鏈分賬依據。

從技術上來說，由于影票的售票、檢票和票房數據的統計上報均由影票銷售單位承擔，售票行為作為數據產生的源頭，數據流向是單向的，電影專資辦票房管理系統無法偵測和約束影院售票行為。因此在票房統計數據的準確性方面多方均會存在一些疑慮。

當前國內放映行業中，在電影院線票房數據統計、票房分成方面，由于部分影院存在偷漏瞞報、虛報、挪移票房現象，票房數據產生及統計過程不能完全保證影院上報的數據是實際營業數據，從而導致影票數據的合法性、準確性等方面存在著問題，損害了片方、及院線集團的合法利益，受到來自院線管理方、影片發行方的質疑，一定程度上阻礙了電影產業的健康發展。

二、影院安全票務系統方案

目前國內影院計算機售票系統需要遵循《GY/T207-2013電影院票務管理系統技術要求和測量方法》。此標準規范在《GY/T207-2005 電影院計算機票務管理系統軟件技術規范》的基礎上進一步修訂。明確規定了應用于電影院計算機票務管理系統中的電影院編碼、影片編碼、影票信息碼等基本規則;對于電影計算機票務管理系統相關的基本業務功能和要求、數據上報、系統數據備份與恢復、以及操作的安全性進行了規范，并對系統數據接口做出基本要求，增加網絡代售接口、信息數據接口、自助取票接口和USBKey軟件開發包接口，并定義相應技術要求。在新的規范中，刪除了在票務監管方面定義的“監管接口”，將上報接口變更為票房數據統計上報接口。在系統安全性方面增加了USBKey安全通信以及數據簽名操作，在保障數據真實性和準確性的手段和要求方面未做詳細定義。

本文在現有的計算機票務管理系統技術要求的基礎上，提出了一種全新的影院安全票務系統技術方案，在方案中引入了票務安全管理系統和票務安全管理器，并能夠與原有的符合國家規范的計算機票務管理系統進行無縫對接，實現對影院票務系統的安全性增強，以保證影院票務綜合信息管理系統數據的真實性和可靠性。

方案中利用票務安全管理系統和票務安全管理器，為原有票務管理系統提供了一個安全的環境。在這個環境下，一是為票務系統售票、驗票及退票時提供票務安全驗證碼服務;二是能夠安全記錄所有票務信息，保證票務信息的真實性和完整性，并能夠提供回溯追查。

2.1 影院票務安全管理系統結構

在本方案中，現有電影院計算機票務管理系統與票務安全管理系統模塊進行對接，票務安全管理系統通過局域網與票務安全管理器進行安全通信，票務安全管理器物理上獨立的硬件設備。系統結構如圖1所示。

圖1 影院票務安全管理系統結構

2.2票務安全管理系統功能

在電影院計算機票務管理系統進行售票、退票以及驗票業務操作時，與票務安全管理系統模塊進行通信，將錄入的影票票面信息傳輸給票務安全管理系統，并從票務安全管理系統獲得影票安全驗證碼。

影票安全驗證碼生成

在生成影票信息時，票務管理系統會提供相應的影票票面信息，包括影院編號、影片編號、放映日期、放映場次、影廳編號、座位編號以及票價等信息。票務安全管理系統將相應的信息編碼后，與票務安全管理器進行通信，票務安全管理器產生影票對應的唯一的影票安全驗證碼發送給票務安全管理系統，從而生成完整的影票編碼。

影票安全驗證碼校驗

票務管理系統在進行驗票業務操作時，會提供所有的影票票面信息。票務安全管理系統將相應的信息編碼后與票務安全管理器進行通信，并且將完整的影票編碼傳輸給票務安全管理器。票務安全管理器根據輸入的影票信息，校驗該影票安全驗證碼的正確性，并將校驗結果返回給票務安全管理系統。

影票記錄數據安全日志收集、存儲與上報

票務安全管理系統可以將票務安全管理器中存儲的影票記錄數據以安全日志的方式導出進行本地存儲。影票記錄數據安全日志的導出可以設置為定時行為，比如每天在夜間定時導出當天的安全日志并存儲到本地磁盤，就可以定期向管理、分析機構進行上報。

放映日志收集與日志比對分析

票務安全管理系統通過與影院管理系統(TMS)對接，可獲取各影廳放映服務器的放映日志。通過實際放映日志與售票安全日志數據的比對分析，來確定所售電影場次的實際放映情況。

安全通信協議

票務安全管理系統與票務安全管理器之間采用TLS v1.0協議作為安全通信通道，通信雙方進行嚴格雙向身份認證，并采用專用會話協議來發送和接收消息。

三、票務安全管理器方案設計

3.1票務安全管理器模塊設計

票務安全管理器設計為硬件安全設備，其可以表現為獨立的票務安全盒物理設備;也可以表現為獨立的板卡，以集成到票務安全管理系統所在的服務器上。其通過局域網與外部票務安全管理系統進行通信。

票務安全管理器模塊涉及到硬件系統和軟件系統兩個方面，硬件系統部分的主體設計為一塊PCB板卡，板卡中采用嵌入式CPU芯片運行嵌入式操作系統環境;軟件部分包括嵌入式環境的基本結構和安全系統應用軟件，并運行在嵌入式操作系統環境中。票務安全管理器對外提供相應的SDK開發包，對票務安全管理系統進行系統集成開發，為票務安全管理系統提供信息安全相關功能服務。

圖2 票務安全管理器系統模塊圖

票務安全管理器硬件與外部票務安全管理系統通過TLS通信實現無縫對接，為票務安全管理系統提供最關鍵信息安全服務，主要提供的安全功能包括：

(1)票務安全驗證碼的生成與校驗

計算機票務管理系統在生成影票時，與票務安全管理器進行安全通信，票務安全管理器對接收的影票信息進行一系列安全運算，產生影票安全驗證碼，并將影票安全驗證碼傳輸給票務安全管理系統。

在計算機票務管理系統進行驗票及退票操作時，票務安全管理系統將影票信息以及安全驗證碼全部發送給票務安全管理器，票務安全管理器對接收的影票信息重新進行安全運算，將運算結果與接收的影票安全驗證碼比對。若兩者一致，說明影票信息真實，則驗票成功或者允許進行退票操作。

(2)安全日志的記錄

對于售票操作，在票務安全管理器接收到售票指令后，將對傳入的影票信息進行安全運算產生影票安全驗證碼的同時，將影票信息以及生成的對應安全驗證碼以安全日志記錄的方式進行保存。安全日志記錄存放在板卡的安全區域中，外部不能通過任何方式對安全日志記錄進行修改、替換或刪除。

對于退票操作，票務安全管理器在接收到退票指令后，對傳入的影票信息以及安全驗證碼進行驗證，如果影票安全驗證碼正確無誤，則允許退票，同時將退票記錄以安全日志記錄的方式進行保存，否則拒絕退票。

對于驗票操作，其結果不影響票務數據，故票務安全管理器僅對票面信息進行驗證，不進行記錄安全日志操作。

(3)安全日志記錄的導出

票務安全管理器提供安全日志記錄導出的功能，以進行票務數據信息核查。票務安全管理系統通過與票務安全管理器進行通信，利用票務安全管理器提供的功能接口將其保存的安全日志記錄進行導出。安全日志記錄以日志報告xml文件的方式導出。安全日志報告導出時，票務安全管理器對導出的日志報告中添加數字簽名，通過驗證數字簽名可以保證導出日志報告信息的完整性和真實性。

(4)安全許可證的導入

票務安全管理器的操作依賴于影票編碼密鑰，影票編碼密鑰通過安全許可證的導入操作進行設置。

安全許可證由管理中心進行簽發。管理中心針對每臺票務安全管理器簽發安全許可證文件，票務安全管理器利用安全許可證的導入功能接口接收影票編碼密鑰，從而達到管理中心對票務安全管理器的管理控制以及影票編碼密鑰的授權及更換的目的。

票務安全管理器導入安全許可證并進行保存、使用。由于安全許可證文件中所攜帶的影票編碼密鑰有使用有效期的限制，因此只有在有效期內的密鑰是可用的。

3.2票務安全管理器的密鑰管理機制及工作流程

票務安全管理器由管理中心統一管理。管理中心通過對票務安全管理器硬件設備的管理，從而對票務安全管理系統進行安全監管和控制。管理中心負責所有票務安全管理器的發放和更新、設備密鑰管理、設備證書管理、影票編碼密鑰的發放與管理。

票務安全管理器中均保存有一對密鑰對，其中的私鑰秘密保存，針對公鑰信息管理中心為每個票務安全管理器設備發放并設置數字設備證書。數字設備證書與票務安全管理器一一對應，由管理中心統一進行安全管理。

圖3 票務安全管理器密鑰管理機制及工作流程

(1) 密鑰管理與證書管理

票務安全管理器中采用了非對稱密鑰密碼機制，管理中心為每個票務安全管理器產生一對RSA密鑰對，密鑰長度采用2048比特，RSA的私鑰存放在票務安全管理器的安全存儲區。同時，管理中心的數字證書認證中心為每個票務安全管理器簽發設備證書。管理中心對所有票務安全管理器的設備證書進行統一管理。

(2) 安全許可證發放

管理中心發放影票編碼密鑰時，票務安全管理器采用唯一的影票編碼密鑰，由管理中心隨機生成。利用對應票務安全管理器的設備證書，使用其RSA公鑰對影票編碼密鑰進行加密，并對相關信息進行數字簽名，生成對應票務安全管理器的安全許可證。管理中心通過公網或其他方式發放安全許可證，由于只有票務安全管理器中保存有對應的RSA私鑰，只能夠解析自己的安全許可證，無法對其他設備的安全許可證進行解析。

(3) 安全許可證解析

票務安全管理器通過功能接口接收到自己的安全許可證之后，首先驗證安全許可證中簽名的正確性，確保安全許可證是由管理中心所簽發;然后票務安全管理器使用自己秘密保存的RSA私鑰對安全許可證進行解密操作，就可以進行安全許可證的解析，從而使用安全許可證中所攜帶的的影票編碼密鑰。

(4) 影票安全驗證碼的編碼與生成

當票務安全管理器的安全許可證所包含的影票編碼密鑰在有效期內時，票務安全管理器可以執行影票安全驗證碼的編碼操作。

票務安全管理系統售票過程中對票務安全管理器發出售票指令時，票務安全管理器立刻就能對其接收的影票票面信息進行編碼操作。票面信息包括影院編碼、影廳編碼、影片編碼、放映時間、放映場次、票價及座位號信息。該編碼方式是可逆的，即影票編碼后的信息可根據定義的規則進行逆推，可以還原出原始影票票面信息。

其次，票務安全管理器使用影票編碼密鑰對編碼的影票信息使用帶密鑰的摘要密碼算法(HMAC-SHA-1算法)進行運算，從而獲得編碼的影票信息的HMAC值，這里稱之為影票的指紋碼。由于運算時采用的影票編碼密鑰是嚴格保密的，在未知密鑰的情況下計算出影票指紋碼是完全不可能的。

在影票指紋碼計算完畢后，針對影票指紋碼的數據，依據特定算法進行計算，從得出的結果中獲得某種規則，使用此規則對之前的編碼的影票信息進行移位和置換，形成全新置亂的影票信息編碼，將編碼影票信息的順序打亂，使其無規律可循。

最后，將置亂的影票信息編碼與影票指紋碼組合后，就形成了最終的影票安全驗證碼。

3.3 票務安全管理器的安全性

在該影院安全票務系統的技術方案中，票務安全管理器硬件設備的采用是整體系統安全性的最好保障，其安全性體現在以下方面：

影票編碼密鑰的分發安全性

管理中心在下發影票編碼密鑰時，使用每個票務安全管理器的設備證書，利用RSA公鑰進行加密。故只有該票務安全管理器使用自己的RSA私鑰才能在內部進行解密，并獲得影票編碼密鑰。

密鑰安全存儲保護

票務安全管理器中所涉及的密鑰包括RSA私鑰、影票編碼密鑰以及其他所有的敏感信息，均存放在票務安全管理器的安全存儲區，通過物理安全保護機制進行保護，任何人無法將其導出。

基于身份的安全認證管理

票務安全管理器的訪問采用基于身份的安全認證方式。票務安全管理器內置安全用戶，用戶登錄時需提供登錄信息的數字簽名，票務安全管理器使用用戶的數字證書對簽名進行身份認證;驗證通過后方可允許用戶進行操作，從而確保操作用戶為合法用戶。

影票信息的真實性保證

影票安全驗證碼的生成，只有通過票務安全管理器才能進行操作。由于只有票務安全管理器中保存有影票編碼密鑰，任何人無法對影票安全驗證碼進行偽造。通過驗證影票安全驗證碼，可以對影票真偽進行實時查詢，從而保證影票真實性。

影票信息的不可篡改性

影票一旦出售，其對應的影票安全驗證碼不可進行篡改。如果更改影票的任何信息，比如票價信息，則更改后的影票所對應的安全驗證碼會與影票原始的安全驗證碼不一致，導致影票驗票不通過。因此保證影票的原始信息是不可篡改和不可抵賴的。

票務信息的安全日志記錄

票務安全管理器中通過安全日志記錄的方式保存所有的售票和退票信息。安全日志記錄主要用于事后的審計，安全日志記錄不能夠被外部刪除，只能夠進行導出操作。導出的安全日志報告中包含票務安全管理器的數字簽名，每條日志記錄通過Hash校驗進行關聯，所以不能對任何日志記錄進行更改，從而可以提供所有影票操作記錄的追溯。

通信的安全性

票務安全管理器系統與票務安全管理系統之間的通信采用TLS v1.0安全協議作為安全通信通道，通信雙方進行相互的身份認證，并采用專用的通信請求應答方式傳遞消息，充分保證通信的安全性。

物理安全保護機制

票務安全管理器按照Fips1402 Level3的安全要求進行設計，在硬件板卡上包含一塊安全區域，安全區域具有物理安全保護，所有的密碼操作以及敏感信息的存儲及處理均在安全區域內完成。安全區域部分均覆蓋堅固的不透明材料，任何攻擊安全區域的行為都會留下痕跡。在堅固不透明材料的覆蓋保護下，闖入者無法對安全區域的電子元器件進行有效探測和分析，強行訪問將導致電子元器件的徹底破壞或敏感信息全部清零，從而無法獲取其中保存的任何安全信息。

四、結束語

本文中通過引入了票務安全管理系統以及票務安全管理器硬件設備，提供了一種影院票務系統的安全解決方案。現有的影院計算機票務系統在進行簡單的改造升級之后，即可與該方案完成對接，實現安全的票務管理系統。通過該方案的實施，一方面保證了影票票面信息的真實性，不可進行篡改偽造;另一方面能夠通過票務安全日志保證獲取完整的票務數據信息，以進行數據統計以及數據的回溯確認。

（編輯：gaolq）