【中国数字视听网讯】随着产业化改革为中国电影市场带来勃勃生机的同时,影院出现的偷漏瞒报票房的问题不仅影响了票务数据的准确性,还严重破坏了电影产业的正常发展。。本文在现有的电影院票务管理系统技术要求规范的基础上,提出了一种影院安全票务系统的技术方案。利用此技术方案,一方面能够保证电影票票面信息的真实性,无法进行信息的伪造;另一方面能够通过技术手段获取影院完整的票务数据信息,以便进行票务数据统计以及数据的回溯确认。
一、引言
近年来,在国家相关政策的支持下,我国电影产业规模和经济总量得到大幅度扩张,技术装备水平明显提高,电影市场持续繁荣发展,中国电影票房也出现了超高速增长。2014年全国电影总票房296.39亿元,其中国产片票房161.55亿元,占总票房的54.51%,2015年全国电影票房收入440。69亿元,其中国产片票房达到271.36亿元,占总票房的61.58%。2015年度电影总票房同比增长48.7%。
当前电影产业的商业运作模式采用票房分账的方式,影片的票房收入由影票销售单位定期上报,根据票房收入国家管理机构、制片方、院线方、影院等机构进行分成。电影发行商是电影投资方代表,具有最低票价限价权,但是无法直接获取实际销量数据,该数据来自于影院的票务系统,同时是票款回收的环节。影院是电影产品的分销及价值变现环节,由于电影产品大多采用票房分成的商业模式,因此影院作为销售前端,其最容易掌握真实票房数据,且其直接接受现款,在扣除自身所得后再向上游提交。在这个过程中,影院上报票房数据的真实性就成为整个产业链赖以维系的核心。
电影票房的真实性依赖下述手段来保证:国家管理机构以牌照准入的方式审核计算机售票系统厂家,符合技术标准的票务系统厂商才允许进入影院市场;各售票系统按照统一技术规范将票房数据上报至国家管理机构的统一票务数据统计平台,以平台数据作为产业链分账依据。
从技术上来说,由于影票的售票、检票和票房数据的统计上报均由影票销售单位承担,售票行为作为数据产生的源头,数据流向是单向的,电影专资办票房管理系统无法侦测和约束影院售票行为。因此在票房统计数据的准确性方面多方均会存在一些疑虑。
当前国内放映行业中,在电影院线票房数据统计、票房分成方面,由于部分影院存在偷漏瞒报、虚报、挪移票房现象,票房数据产生及统计过程不能完全保证影院上报的数据是实际营业数据,从而导致影票数据的合法性、准确性等方面存在着问题,损害了片方、及院线集团的合法利益,受到来自院线管理方、影片发行方的质疑,一定程度上阻碍了电影产业的健康发展。
二、影院安全票务系统方案
目前国内影院计算机售票系统需要遵循《GY/T207-2013电影院票务管理系统技术要求和测量方法》。此标准规范在《GY/T207-2005 电影院计算机票务管理系统软件技术规范》的基础上进一步修订。明确规定了应用于电影院计算机票务管理系统中的电影院编码、影片编码、影票信息码等基本规则;对于电影计算机票务管理系统相关的基本业务功能和要求、数据上报、系统数据备份与恢复、以及操作的安全性进行了规范,并对系统数据接口做出基本要求,增加网络代售接口、信息数据接口、自助取票接口和USBKey软件开发包接口,并定义相应技术要求。在新的规范中,删除了在票务监管方面定义的“监管接口”,将上报接口变更为票房数据统计上报接口。在系统安全性方面增加了USBKey安全通信以及数据签名操作,在保障数据真实性和准确性的手段和要求方面未做详细定义。
本文在现有的计算机票务管理系统技术要求的基础上,提出了一种全新的影院安全票务系统技术方案,在方案中引入了票务安全管理系统和票务安全管理器,并能够与原有的符合国家规范的计算机票务管理系统进行无缝对接,实现对影院票务系统的安全性增强,以保证影院票务综合信息管理系统数据的真实性和可靠性。
方案中利用票务安全管理系统和票务安全管理器,为原有票务管理系统提供了一个安全的环境。在这个环境下,一是为票务系统售票、验票及退票时提供票务安全验证码服务;二是能够安全记录所有票务信息,保证票务信息的真实性和完整性,并能够提供回溯追查。
2.1 影院票务安全管理系统结构
在本方案中,现有电影院计算机票务管理系统与票务安全管理系统模块进行对接,票务安全管理系统通过局域网与票务安全管理器进行安全通信,票务安全管理器物理上独立的硬件设备。系统结构如图1所示。
图1 影院票务安全管理系统结构
2.2票务安全管理系统功能
在电影院计算机票务管理系统进行售票、退票以及验票业务操作时,与票务安全管理系统模块进行通信,将录入的影票票面信息传输给票务安全管理系统,并从票务安全管理系统获得影票安全验证码。
影票安全验证码生成
在生成影票信息时,票务管理系统会提供相应的影票票面信息,包括影院编号、影片编号、放映日期、放映场次、影厅编号、座位编号以及票价等信息。票务安全管理系统将相应的信息编码后,与票务安全管理器进行通信,票务安全管理器产生影票对应的唯一的影票安全验证码发送给票务安全管理系统,从而生成完整的影票编码。
影票安全验证码校验
票务管理系统在进行验票业务操作时,会提供所有的影票票面信息。票务安全管理系统将相应的信息编码后与票务安全管理器进行通信,并且将完整的影票编码传输给票务安全管理器。票务安全管理器根据输入的影票信息,校验该影票安全验证码的正确性,并将校验结果返回给票务安全管理系统。
影票记录数据安全日志收集、存储与上报
票务安全管理系统可以将票务安全管理器中存储的影票记录数据以安全日志的方式导出进行本地存储。影票记录数据安全日志的导出可以设置为定时行为,比如每天在夜间定时导出当天的安全日志并存储到本地磁盘,就可以定期向管理、分析机构进行上报。
放映日志收集与日志比对分析
票务安全管理系统通过与影院管理系统(TMS)对接,可获取各影厅放映服务器的放映日志。通过实际放映日志与售票安全日志数据的比对分析,来确定所售电影场次的实际放映情况。
安全通信协议
票务安全管理系统与票务安全管理器之间采用TLS v1.0协议作为安全通信通道,通信双方进行严格双向身份认证,并采用专用会话协议来发送和接收消息。
三、票务安全管理器方案设计
3.1票务安全管理器模块设计
票务安全管理器设计为硬件安全设备,其可以表现为独立的票务安全盒物理设备;也可以表现为独立的板卡,以集成到票务安全管理系统所在的服务器上。其通过局域网与外部票务安全管理系统进行通信。
票务安全管理器模块涉及到硬件系统和软件系统两个方面,硬件系统部分的主体设计为一块PCB板卡,板卡中采用嵌入式CPU芯片运行嵌入式操作系统环境;软件部分包括嵌入式环境的基本结构和安全系统应用软件,并运行在嵌入式操作系统环境中。票务安全管理器对外提供相应的SDK开发包,对票务安全管理系统进行系统集成开发,为票务安全管理系统提供信息安全相关功能服务。
图2 票务安全管理器系统模块图
票务安全管理器硬件与外部票务安全管理系统通过TLS通信实现无缝对接,为票务安全管理系统提供最关键信息安全服务,主要提供的安全功能包括:
(1)票务安全验证码的生成与校验
计算机票务管理系统在生成影票时,与票务安全管理器进行安全通信,票务安全管理器对接收的影票信息进行一系列安全运算,产生影票安全验证码,并将影票安全验证码传输给票务安全管理系统。
在计算机票务管理系统进行验票及退票操作时,票务安全管理系统将影票信息以及安全验证码全部发送给票务安全管理器,票务安全管理器对接收的影票信息重新进行安全运算,将运算结果与接收的影票安全验证码比对。若两者一致,说明影票信息真实,则验票成功或者允许进行退票操作。
(2)安全日志的记录
对于售票操作,在票务安全管理器接收到售票指令后,将对传入的影票信息进行安全运算产生影票安全验证码的同时,将影票信息以及生成的对应安全验证码以安全日志记录的方式进行保存。安全日志记录存放在板卡的安全区域中,外部不能通过任何方式对安全日志记录进行修改、替换或删除。
对于退票操作,票务安全管理器在接收到退票指令后,对传入的影票信息以及安全验证码进行验证,如果影票安全验证码正确无误,则允许退票,同时将退票记录以安全日志记录的方式进行保存,否则拒绝退票。
对于验票操作,其结果不影响票务数据,故票务安全管理器仅对票面信息进行验证,不进行记录安全日志操作。
(3)安全日志记录的导出
票务安全管理器提供安全日志记录导出的功能,以进行票务数据信息核查。票务安全管理系统通过与票务安全管理器进行通信,利用票务安全管理器提供的功能接口将其保存的安全日志记录进行导出。安全日志记录以日志报告xml文件的方式导出。安全日志报告导出时,票务安全管理器对导出的日志报告中添加数字签名,通过验证数字签名可以保证导出日志报告信息的完整性和真实性。
(4)安全许可证的导入
票务安全管理器的操作依赖于影票编码密钥,影票编码密钥通过安全许可证的导入操作进行设置。
安全许可证由管理中心进行签发。管理中心针对每台票务安全管理器签发安全许可证文件,票务安全管理器利用安全许可证的导入功能接口接收影票编码密钥,从而达到管理中心对票务安全管理器的管理控制以及影票编码密钥的授权及更换的目的。
票务安全管理器导入安全许可证并进行保存、使用。由于安全许可证文件中所携带的影票编码密钥有使用有效期的限制,因此只有在有效期内的密钥是可用的。
3.2票务安全管理器的密钥管理机制及工作流程
票务安全管理器由管理中心统一管理。管理中心通过对票务安全管理器硬件设备的管理,从而对票务安全管理系统进行安全监管和控制。管理中心负责所有票务安全管理器的发放和更新、设备密钥管理、设备证书管理、影票编码密钥的发放与管理。
票务安全管理器中均保存有一对密钥对,其中的私钥秘密保存,针对公钥信息管理中心为每个票务安全管理器设备发放并设置数字设备证书。数字设备证书与票务安全管理器一一对应,由管理中心统一进行安全管理。
图3 票务安全管理器密钥管理机制及工作流程
(1) 密钥管理与证书管理
票务安全管理器中采用了非对称密钥密码机制,管理中心为每个票务安全管理器产生一对RSA密钥对,密钥长度采用2048比特,RSA的私钥存放在票务安全管理器的安全存储区。同时,管理中心的数字证书认证中心为每个票务安全管理器签发设备证书。管理中心对所有票务安全管理器的设备证书进行统一管理。
(2) 安全许可证发放
管理中心发放影票编码密钥时,票务安全管理器采用唯一的影票编码密钥,由管理中心随机生成。利用对应票务安全管理器的设备证书,使用其RSA公钥对影票编码密钥进行加密,并对相关信息进行数字签名,生成对应票务安全管理器的安全许可证。管理中心通过公网或其他方式发放安全许可证,由于只有票务安全管理器中保存有对应的RSA私钥,只能够解析自己的安全许可证,无法对其他设备的安全许可证进行解析。
(3) 安全许可证解析
票务安全管理器通过功能接口接收到自己的安全许可证之后,首先验证安全许可证中签名的正确性,确保安全许可证是由管理中心所签发;然后票务安全管理器使用自己秘密保存的RSA私钥对安全许可证进行解密操作,就可以进行安全许可证的解析,从而使用安全许可证中所携带的的影票编码密钥。
(4) 影票安全验证码的编码与生成
当票务安全管理器的安全许可证所包含的影票编码密钥在有效期内时,票务安全管理器可以执行影票安全验证码的编码操作。
票务安全管理系统售票过程中对票务安全管理器发出售票指令时,票务安全管理器立刻就能对其接收的影票票面信息进行编码操作。票面信息包括影院编码、影厅编码、影片编码、放映时间、放映场次、票价及座位号信息。该编码方式是可逆的,即影票编码后的信息可根据定义的规则进行逆推,可以还原出原始影票票面信息。
其次,票务安全管理器使用影票编码密钥对编码的影票信息使用带密钥的摘要密码算法(HMAC-SHA-1算法)进行运算,从而获得编码的影票信息的HMAC值,这里称之为影票的指纹码。由于运算时采用的影票编码密钥是严格保密的,在未知密钥的情况下计算出影票指纹码是完全不可能的。
在影票指纹码计算完毕后,针对影票指纹码的数据,依据特定算法进行计算,从得出的结果中获得某种规则,使用此规则对之前的编码的影票信息进行移位和置换,形成全新置乱的影票信息编码,将编码影票信息的顺序打乱,使其无规律可循。
最后,将置乱的影票信息编码与影票指纹码组合后,就形成了最终的影票安全验证码。
3.3 票务安全管理器的安全性
在该影院安全票务系统的技术方案中,票务安全管理器硬件设备的采用是整体系统安全性的最好保障,其安全性体现在以下方面:
影票编码密钥的分发安全性
管理中心在下发影票编码密钥时,使用每个票务安全管理器的设备证书,利用RSA公钥进行加密。故只有该票务安全管理器使用自己的RSA私钥才能在内部进行解密,并获得影票编码密钥。
密钥安全存储保护
票务安全管理器中所涉及的密钥包括RSA私钥、影票编码密钥以及其他所有的敏感信息,均存放在票务安全管理器的安全存储区,通过物理安全保护机制进行保护,任何人无法将其导出。
基于身份的安全认证管理
票务安全管理器的访问采用基于身份的安全认证方式。票务安全管理器内置安全用户,用户登录时需提供登录信息的数字签名,票务安全管理器使用用户的数字证书对签名进行身份认证;验证通过后方可允许用户进行操作,从而确保操作用户为合法用户。
影票信息的真实性保证
影票安全验证码的生成,只有通过票务安全管理器才能进行操作。由于只有票务安全管理器中保存有影票编码密钥,任何人无法对影票安全验证码进行伪造。通过验证影票安全验证码,可以对影票真伪进行实时查询,从而保证影票真实性。
影票信息的不可篡改性
影票一旦出售,其对应的影票安全验证码不可进行篡改。如果更改影票的任何信息,比如票价信息,则更改后的影票所对应的安全验证码会与影票原始的安全验证码不一致,导致影票验票不通过。因此保证影票的原始信息是不可篡改和不可抵赖的。
票务信息的安全日志记录
票务安全管理器中通过安全日志记录的方式保存所有的售票和退票信息。安全日志记录主要用于事后的审计,安全日志记录不能够被外部删除,只能够进行导出操作。导出的安全日志报告中包含票务安全管理器的数字签名,每条日志记录通过Hash校验进行关联,所以不能对任何日志记录进行更改,从而可以提供所有影票操作记录的追溯。
通信的安全性
票务安全管理器系统与票务安全管理系统之间的通信采用TLS v1.0安全协议作为安全通信通道,通信双方进行相互的身份认证,并采用专用的通信请求应答方式传递消息,充分保证通信的安全性。
物理安全保护机制
票务安全管理器按照Fips1402 Level3的安全要求进行设计,在硬件板卡上包含一块安全区域,安全区域具有物理安全保护,所有的密码操作以及敏感信息的存储及处理均在安全区域内完成。安全区域部分均覆盖坚固的不透明材料,任何攻击安全区域的行为都会留下痕迹。在坚固不透明材料的覆盖保护下,闯入者无法对安全区域的电子元器件进行有效探测和分析,强行访问将导致电子元器件的彻底破坏或敏感信息全部清零,从而无法获取其中保存的任何安全信息。
四、结束语
本文中通过引入了票务安全管理系统以及票务安全管理器硬件设备,提供了一种影院票务系统的安全解决方案。现有的影院计算机票务系统在进行简单的改造升级之后,即可与该方案完成对接,实现安全的票务管理系统。通过该方案的实施,一方面保证了影票票面信息的真实性,不可进行篡改伪造;另一方面能够通过票务安全日志保证获取完整的票务数据信息,以进行数据统计以及数据的回溯确认。
(编辑:gaolq)
价格面议
[查看详情]