【中國數(shù)字視聽網(wǎng)訊】隨著產(chǎn)業(yè)化改革為中國電影市場帶來勃勃生機的同時，影院出現(xiàn)的偷漏瞞報票房的問題不僅影響了票務(wù)數(shù)據(jù)的準確性，還嚴重破壞了電影產(chǎn)業(yè)的正常發(fā)展。。本文在現(xiàn)有的電影院票務(wù)管理系統(tǒng)技術(shù)要求規(guī)范的基礎(chǔ)上，提出了一種影院安全票務(wù)系統(tǒng)的技術(shù)方案。利用此技術(shù)方案，一方面能夠保證電影票票面信息的真實性，無法進行信息的偽造;另一方面能夠通過技術(shù)手段獲取影院完整的票務(wù)數(shù)據(jù)信息，以便進行票務(wù)數(shù)據(jù)統(tǒng)計以及數(shù)據(jù)的回溯確認。

一、引言

近年來，在國家相關(guān)政策的支持下，我國電影產(chǎn)業(yè)規(guī)模和經(jīng)濟總量得到大幅度擴張，技術(shù)裝備水平明顯提高，電影市場持續(xù)繁榮發(fā)展，中國電影票房也出現(xiàn)了超高速增長。2014年全國電影總票房296.39億元，其中國產(chǎn)片票房161.55億元，占總票房的54.51%，2015年全國電影票房收入440。69億元，其中國產(chǎn)片票房達到271.36億元，占總票房的61.58%。2015年度電影總票房同比增長48.7%。

當前電影產(chǎn)業(yè)的商業(yè)運作模式采用票房分賬的方式，影片的票房收入由影票銷售單位定期上報，根據(jù)票房收入國家管理機構(gòu)、制片方、院線方、影院等機構(gòu)進行分成。電影發(fā)行商是電影投資方代表，具有最低票價限價權(quán)，但是無法直接獲取實際銷量數(shù)據(jù)，該數(shù)據(jù)來自于影院的票務(wù)系統(tǒng)，同時是票款回收的環(huán)節(jié)。影院是電影產(chǎn)品的分銷及價值變現(xiàn)環(huán)節(jié)，由于電影產(chǎn)品大多采用票房分成的商業(yè)模式，因此影院作為銷售前端，其最容易掌握真實票房數(shù)據(jù)，且其直接接受現(xiàn)款，在扣除自身所得后再向上游提交。在這個過程中，影院上報票房數(shù)據(jù)的真實性就成為整個產(chǎn)業(yè)鏈賴以維系的核心。

電影票房的真實性依賴下述手段來保證：國家管理機構(gòu)以牌照準入的方式審核計算機售票系統(tǒng)廠家，符合技術(shù)標準的票務(wù)系統(tǒng)廠商才允許進入影院市場;各售票系統(tǒng)按照統(tǒng)一技術(shù)規(guī)范將票房數(shù)據(jù)上報至國家管理機構(gòu)的統(tǒng)一票務(wù)數(shù)據(jù)統(tǒng)計平臺，以平臺數(shù)據(jù)作為產(chǎn)業(yè)鏈分賬依據(jù)。

從技術(shù)上來說，由于影票的售票、檢票和票房數(shù)據(jù)的統(tǒng)計上報均由影票銷售單位承擔，售票行為作為數(shù)據(jù)產(chǎn)生的源頭，數(shù)據(jù)流向是單向的，電影專資辦票房管理系統(tǒng)無法偵測和約束影院售票行為。因此在票房統(tǒng)計數(shù)據(jù)的準確性方面多方均會存在一些疑慮。

當前國內(nèi)放映行業(yè)中，在電影院線票房數(shù)據(jù)統(tǒng)計、票房分成方面，由于部分影院存在偷漏瞞報、虛報、挪移票房現(xiàn)象，票房數(shù)據(jù)產(chǎn)生及統(tǒng)計過程不能完全保證影院上報的數(shù)據(jù)是實際營業(yè)數(shù)據(jù)，從而導(dǎo)致影票數(shù)據(jù)的合法性、準確性等方面存在著問題，損害了片方、及院線集團的合法利益，受到來自院線管理方、影片發(fā)行方的質(zhì)疑，一定程度上阻礙了電影產(chǎn)業(yè)的健康發(fā)展。

二、影院安全票務(wù)系統(tǒng)方案

目前國內(nèi)影院計算機售票系統(tǒng)需要遵循《GY/T207-2013電影院票務(wù)管理系統(tǒng)技術(shù)要求和測量方法》。此標準規(guī)范在《GY/T207-2005 電影院計算機票務(wù)管理系統(tǒng)軟件技術(shù)規(guī)范》的基礎(chǔ)上進一步修訂。明確規(guī)定了應(yīng)用于電影院計算機票務(wù)管理系統(tǒng)中的電影院編碼、影片編碼、影票信息碼等基本規(guī)則;對于電影計算機票務(wù)管理系統(tǒng)相關(guān)的基本業(yè)務(wù)功能和要求、數(shù)據(jù)上報、系統(tǒng)數(shù)據(jù)備份與恢復(fù)、以及操作的安全性進行了規(guī)范，并對系統(tǒng)數(shù)據(jù)接口做出基本要求，增加網(wǎng)絡(luò)代售接口、信息數(shù)據(jù)接口、自助取票接口和USBKey軟件開發(fā)包接口，并定義相應(yīng)技術(shù)要求。在新的規(guī)范中，刪除了在票務(wù)監(jiān)管方面定義的“監(jiān)管接口”，將上報接口變更為票房數(shù)據(jù)統(tǒng)計上報接口。在系統(tǒng)安全性方面增加了USBKey安全通信以及數(shù)據(jù)簽名操作，在保障數(shù)據(jù)真實性和準確性的手段和要求方面未做詳細定義。

本文在現(xiàn)有的計算機票務(wù)管理系統(tǒng)技術(shù)要求的基礎(chǔ)上，提出了一種全新的影院安全票務(wù)系統(tǒng)技術(shù)方案，在方案中引入了票務(wù)安全管理系統(tǒng)和票務(wù)安全管理器，并能夠與原有的符合國家規(guī)范的計算機票務(wù)管理系統(tǒng)進行無縫對接，實現(xiàn)對影院票務(wù)系統(tǒng)的安全性增強，以保證影院票務(wù)綜合信息管理系統(tǒng)數(shù)據(jù)的真實性和可靠性。

方案中利用票務(wù)安全管理系統(tǒng)和票務(wù)安全管理器，為原有票務(wù)管理系統(tǒng)提供了一個安全的環(huán)境。在這個環(huán)境下，一是為票務(wù)系統(tǒng)售票、驗票及退票時提供票務(wù)安全驗證碼服務(wù);二是能夠安全記錄所有票務(wù)信息，保證票務(wù)信息的真實性和完整性，并能夠提供回溯追查。

2.1 影院票務(wù)安全管理系統(tǒng)結(jié)構(gòu)

在本方案中，現(xiàn)有電影院計算機票務(wù)管理系統(tǒng)與票務(wù)安全管理系統(tǒng)模塊進行對接，票務(wù)安全管理系統(tǒng)通過局域網(wǎng)與票務(wù)安全管理器進行安全通信，票務(wù)安全管理器物理上獨立的硬件設(shè)備。系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 影院票務(wù)安全管理系統(tǒng)結(jié)構(gòu)

2.2票務(wù)安全管理系統(tǒng)功能

在電影院計算機票務(wù)管理系統(tǒng)進行售票、退票以及驗票業(yè)務(wù)操作時，與票務(wù)安全管理系統(tǒng)模塊進行通信，將錄入的影票票面信息傳輸給票務(wù)安全管理系統(tǒng)，并從票務(wù)安全管理系統(tǒng)獲得影票安全驗證碼。

影票安全驗證碼生成

在生成影票信息時，票務(wù)管理系統(tǒng)會提供相應(yīng)的影票票面信息，包括影院編號、影片編號、放映日期、放映場次、影廳編號、座位編號以及票價等信息。票務(wù)安全管理系統(tǒng)將相應(yīng)的信息編碼后，與票務(wù)安全管理器進行通信，票務(wù)安全管理器產(chǎn)生影票對應(yīng)的唯一的影票安全驗證碼發(fā)送給票務(wù)安全管理系統(tǒng)，從而生成完整的影票編碼。

影票安全驗證碼校驗

票務(wù)管理系統(tǒng)在進行驗票業(yè)務(wù)操作時，會提供所有的影票票面信息。票務(wù)安全管理系統(tǒng)將相應(yīng)的信息編碼后與票務(wù)安全管理器進行通信，并且將完整的影票編碼傳輸給票務(wù)安全管理器。票務(wù)安全管理器根據(jù)輸入的影票信息，校驗該影票安全驗證碼的正確性，并將校驗結(jié)果返回給票務(wù)安全管理系統(tǒng)。

影票記錄數(shù)據(jù)安全日志收集、存儲與上報

票務(wù)安全管理系統(tǒng)可以將票務(wù)安全管理器中存儲的影票記錄數(shù)據(jù)以安全日志的方式導(dǎo)出進行本地存儲。影票記錄數(shù)據(jù)安全日志的導(dǎo)出可以設(shè)置為定時行為，比如每天在夜間定時導(dǎo)出當天的安全日志并存儲到本地磁盤，就可以定期向管理、分析機構(gòu)進行上報。

放映日志收集與日志比對分析

票務(wù)安全管理系統(tǒng)通過與影院管理系統(tǒng)(TMS)對接，可獲取各影廳放映服務(wù)器的放映日志。通過實際放映日志與售票安全日志數(shù)據(jù)的比對分析，來確定所售電影場次的實際放映情況。

安全通信協(xié)議

票務(wù)安全管理系統(tǒng)與票務(wù)安全管理器之間采用TLS v1.0協(xié)議作為安全通信通道，通信雙方進行嚴格雙向身份認證，并采用專用會話協(xié)議來發(fā)送和接收消息。

三、票務(wù)安全管理器方案設(shè)計

3.1票務(wù)安全管理器模塊設(shè)計

票務(wù)安全管理器設(shè)計為硬件安全設(shè)備，其可以表現(xiàn)為獨立的票務(wù)安全盒物理設(shè)備;也可以表現(xiàn)為獨立的板卡，以集成到票務(wù)安全管理系統(tǒng)所在的服務(wù)器上。其通過局域網(wǎng)與外部票務(wù)安全管理系統(tǒng)進行通信。

票務(wù)安全管理器模塊涉及到硬件系統(tǒng)和軟件系統(tǒng)兩個方面，硬件系統(tǒng)部分的主體設(shè)計為一塊PCB板卡，板卡中采用嵌入式CPU芯片運行嵌入式操作系統(tǒng)環(huán)境;軟件部分包括嵌入式環(huán)境的基本結(jié)構(gòu)和安全系統(tǒng)應(yīng)用軟件，并運行在嵌入式操作系統(tǒng)環(huán)境中。票務(wù)安全管理器對外提供相應(yīng)的SDK開發(fā)包，對票務(wù)安全管理系統(tǒng)進行系統(tǒng)集成開發(fā)，為票務(wù)安全管理系統(tǒng)提供信息安全相關(guān)功能服務(wù)。

圖2 票務(wù)安全管理器系統(tǒng)模塊圖

票務(wù)安全管理器硬件與外部票務(wù)安全管理系統(tǒng)通過TLS通信實現(xiàn)無縫對接，為票務(wù)安全管理系統(tǒng)提供最關(guān)鍵信息安全服務(wù)，主要提供的安全功能包括：

(1)票務(wù)安全驗證碼的生成與校驗

計算機票務(wù)管理系統(tǒng)在生成影票時，與票務(wù)安全管理器進行安全通信，票務(wù)安全管理器對接收的影票信息進行一系列安全運算，產(chǎn)生影票安全驗證碼，并將影票安全驗證碼傳輸給票務(wù)安全管理系統(tǒng)。

在計算機票務(wù)管理系統(tǒng)進行驗票及退票操作時，票務(wù)安全管理系統(tǒng)將影票信息以及安全驗證碼全部發(fā)送給票務(wù)安全管理器，票務(wù)安全管理器對接收的影票信息重新進行安全運算，將運算結(jié)果與接收的影票安全驗證碼比對。若兩者一致，說明影票信息真實，則驗票成功或者允許進行退票操作。

(2)安全日志的記錄

對于售票操作，在票務(wù)安全管理器接收到售票指令后，將對傳入的影票信息進行安全運算產(chǎn)生影票安全驗證碼的同時，將影票信息以及生成的對應(yīng)安全驗證碼以安全日志記錄的方式進行保存。安全日志記錄存放在板卡的安全區(qū)域中，外部不能通過任何方式對安全日志記錄進行修改、替換或刪除。

對于退票操作，票務(wù)安全管理器在接收到退票指令后，對傳入的影票信息以及安全驗證碼進行驗證，如果影票安全驗證碼正確無誤，則允許退票，同時將退票記錄以安全日志記錄的方式進行保存，否則拒絕退票。

對于驗票操作，其結(jié)果不影響票務(wù)數(shù)據(jù)，故票務(wù)安全管理器僅對票面信息進行驗證，不進行記錄安全日志操作。

(3)安全日志記錄的導(dǎo)出

票務(wù)安全管理器提供安全日志記錄導(dǎo)出的功能，以進行票務(wù)數(shù)據(jù)信息核查。票務(wù)安全管理系統(tǒng)通過與票務(wù)安全管理器進行通信，利用票務(wù)安全管理器提供的功能接口將其保存的安全日志記錄進行導(dǎo)出。安全日志記錄以日志報告xml文件的方式導(dǎo)出。安全日志報告導(dǎo)出時，票務(wù)安全管理器對導(dǎo)出的日志報告中添加數(shù)字簽名，通過驗證數(shù)字簽名可以保證導(dǎo)出日志報告信息的完整性和真實性。

(4)安全許可證的導(dǎo)入

票務(wù)安全管理器的操作依賴于影票編碼密鑰，影票編碼密鑰通過安全許可證的導(dǎo)入操作進行設(shè)置。

安全許可證由管理中心進行簽發(fā)。管理中心針對每臺票務(wù)安全管理器簽發(fā)安全許可證文件，票務(wù)安全管理器利用安全許可證的導(dǎo)入功能接口接收影票編碼密鑰，從而達到管理中心對票務(wù)安全管理器的管理控制以及影票編碼密鑰的授權(quán)及更換的目的。

票務(wù)安全管理器導(dǎo)入安全許可證并進行保存、使用。由于安全許可證文件中所攜帶的影票編碼密鑰有使用有效期的限制，因此只有在有效期內(nèi)的密鑰是可用的。

3.2票務(wù)安全管理器的密鑰管理機制及工作流程

票務(wù)安全管理器由管理中心統(tǒng)一管理。管理中心通過對票務(wù)安全管理器硬件設(shè)備的管理，從而對票務(wù)安全管理系統(tǒng)進行安全監(jiān)管和控制。管理中心負責所有票務(wù)安全管理器的發(fā)放和更新、設(shè)備密鑰管理、設(shè)備證書管理、影票編碼密鑰的發(fā)放與管理。

票務(wù)安全管理器中均保存有一對密鑰對，其中的私鑰秘密保存，針對公鑰信息管理中心為每個票務(wù)安全管理器設(shè)備發(fā)放并設(shè)置數(shù)字設(shè)備證書。數(shù)字設(shè)備證書與票務(wù)安全管理器一一對應(yīng)，由管理中心統(tǒng)一進行安全管理。

圖3 票務(wù)安全管理器密鑰管理機制及工作流程

(1) 密鑰管理與證書管理

票務(wù)安全管理器中采用了非對稱密鑰密碼機制，管理中心為每個票務(wù)安全管理器產(chǎn)生一對RSA密鑰對，密鑰長度采用2048比特，RSA的私鑰存放在票務(wù)安全管理器的安全存儲區(qū)。同時，管理中心的數(shù)字證書認證中心為每個票務(wù)安全管理器簽發(fā)設(shè)備證書。管理中心對所有票務(wù)安全管理器的設(shè)備證書進行統(tǒng)一管理。

(2) 安全許可證發(fā)放

管理中心發(fā)放影票編碼密鑰時，票務(wù)安全管理器采用唯一的影票編碼密鑰，由管理中心隨機生成。利用對應(yīng)票務(wù)安全管理器的設(shè)備證書，使用其RSA公鑰對影票編碼密鑰進行加密，并對相關(guān)信息進行數(shù)字簽名，生成對應(yīng)票務(wù)安全管理器的安全許可證。管理中心通過公網(wǎng)或其他方式發(fā)放安全許可證，由于只有票務(wù)安全管理器中保存有對應(yīng)的RSA私鑰，只能夠解析自己的安全許可證，無法對其他設(shè)備的安全許可證進行解析。

(3) 安全許可證解析

票務(wù)安全管理器通過功能接口接收到自己的安全許可證之后，首先驗證安全許可證中簽名的正確性，確保安全許可證是由管理中心所簽發(fā);然后票務(wù)安全管理器使用自己秘密保存的RSA私鑰對安全許可證進行解密操作，就可以進行安全許可證的解析，從而使用安全許可證中所攜帶的的影票編碼密鑰。

(4) 影票安全驗證碼的編碼與生成

當票務(wù)安全管理器的安全許可證所包含的影票編碼密鑰在有效期內(nèi)時，票務(wù)安全管理器可以執(zhí)行影票安全驗證碼的編碼操作。

票務(wù)安全管理系統(tǒng)售票過程中對票務(wù)安全管理器發(fā)出售票指令時，票務(wù)安全管理器立刻就能對其接收的影票票面信息進行編碼操作。票面信息包括影院編碼、影廳編碼、影片編碼、放映時間、放映場次、票價及座位號信息。該編碼方式是可逆的，即影票編碼后的信息可根據(jù)定義的規(guī)則進行逆推，可以還原出原始影票票面信息。

其次，票務(wù)安全管理器使用影票編碼密鑰對編碼的影票信息使用帶密鑰的摘要密碼算法(HMAC-SHA-1算法)進行運算，從而獲得編碼的影票信息的HMAC值，這里稱之為影票的指紋碼。由于運算時采用的影票編碼密鑰是嚴格保密的，在未知密鑰的情況下計算出影票指紋碼是完全不可能的。

在影票指紋碼計算完畢后，針對影票指紋碼的數(shù)據(jù)，依據(jù)特定算法進行計算，從得出的結(jié)果中獲得某種規(guī)則，使用此規(guī)則對之前的編碼的影票信息進行移位和置換，形成全新置亂的影票信息編碼，將編碼影票信息的順序打亂，使其無規(guī)律可循。

最后，將置亂的影票信息編碼與影票指紋碼組合后，就形成了最終的影票安全驗證碼。

3.3 票務(wù)安全管理器的安全性

在該影院安全票務(wù)系統(tǒng)的技術(shù)方案中，票務(wù)安全管理器硬件設(shè)備的采用是整體系統(tǒng)安全性的最好保障，其安全性體現(xiàn)在以下方面：

影票編碼密鑰的分發(fā)安全性

管理中心在下發(fā)影票編碼密鑰時，使用每個票務(wù)安全管理器的設(shè)備證書，利用RSA公鑰進行加密。故只有該票務(wù)安全管理器使用自己的RSA私鑰才能在內(nèi)部進行解密，并獲得影票編碼密鑰。

密鑰安全存儲保護

票務(wù)安全管理器中所涉及的密鑰包括RSA私鑰、影票編碼密鑰以及其他所有的敏感信息，均存放在票務(wù)安全管理器的安全存儲區(qū)，通過物理安全保護機制進行保護，任何人無法將其導(dǎo)出。

基于身份的安全認證管理

票務(wù)安全管理器的訪問采用基于身份的安全認證方式。票務(wù)安全管理器內(nèi)置安全用戶，用戶登錄時需提供登錄信息的數(shù)字簽名，票務(wù)安全管理器使用用戶的數(shù)字證書對簽名進行身份認證;驗證通過后方可允許用戶進行操作，從而確保操作用戶為合法用戶。

影票信息的真實性保證

影票安全驗證碼的生成，只有通過票務(wù)安全管理器才能進行操作。由于只有票務(wù)安全管理器中保存有影票編碼密鑰，任何人無法對影票安全驗證碼進行偽造。通過驗證影票安全驗證碼，可以對影票真?zhèn)芜M行實時查詢，從而保證影票真實性。

影票信息的不可篡改性

影票一旦出售，其對應(yīng)的影票安全驗證碼不可進行篡改。如果更改影票的任何信息，比如票價信息，則更改后的影票所對應(yīng)的安全驗證碼會與影票原始的安全驗證碼不一致，導(dǎo)致影票驗票不通過。因此保證影票的原始信息是不可篡改和不可抵賴的。

票務(wù)信息的安全日志記錄

票務(wù)安全管理器中通過安全日志記錄的方式保存所有的售票和退票信息。安全日志記錄主要用于事后的審計，安全日志記錄不能夠被外部刪除，只能夠進行導(dǎo)出操作。導(dǎo)出的安全日志報告中包含票務(wù)安全管理器的數(shù)字簽名，每條日志記錄通過Hash校驗進行關(guān)聯(lián)，所以不能對任何日志記錄進行更改，從而可以提供所有影票操作記錄的追溯。

通信的安全性

票務(wù)安全管理器系統(tǒng)與票務(wù)安全管理系統(tǒng)之間的通信采用TLS v1.0安全協(xié)議作為安全通信通道，通信雙方進行相互的身份認證，并采用專用的通信請求應(yīng)答方式傳遞消息，充分保證通信的安全性。

物理安全保護機制

票務(wù)安全管理器按照Fips1402 Level3的安全要求進行設(shè)計，在硬件板卡上包含一塊安全區(qū)域，安全區(qū)域具有物理安全保護，所有的密碼操作以及敏感信息的存儲及處理均在安全區(qū)域內(nèi)完成。安全區(qū)域部分均覆蓋堅固的不透明材料，任何攻擊安全區(qū)域的行為都會留下痕跡。在堅固不透明材料的覆蓋保護下，闖入者無法對安全區(qū)域的電子元器件進行有效探測和分析，強行訪問將導(dǎo)致電子元器件的徹底破壞或敏感信息全部清零，從而無法獲取其中保存的任何安全信息。

四、結(jié)束語

本文中通過引入了票務(wù)安全管理系統(tǒng)以及票務(wù)安全管理器硬件設(shè)備，提供了一種影院票務(wù)系統(tǒng)的安全解決方案。現(xiàn)有的影院計算機票務(wù)系統(tǒng)在進行簡單的改造升級之后，即可與該方案完成對接，實現(xiàn)安全的票務(wù)管理系統(tǒng)。通過該方案的實施，一方面保證了影票票面信息的真實性，不可進行篡改偽造;另一方面能夠通過票務(wù)安全日志保證獲取完整的票務(wù)數(shù)據(jù)信息，以進行數(shù)據(jù)統(tǒng)計以及數(shù)據(jù)的回溯確認。

（編輯：gaolq）