【摘要】 隨著產(chǎn)業(yè)化改革為中國(guó)電影市場(chǎng)帶來(lái)勃勃生機(jī)的同時(shí)，影院出現(xiàn)的偷漏瞞報(bào)票房的問(wèn)題不僅影響了票務(wù)數(shù)據(jù)的準(zhǔn)確性，還嚴(yán)重破壞了電影產(chǎn)業(yè)的正常發(fā)展。。本文在現(xiàn)有的電影院票務(wù)管理系統(tǒng)技術(shù)要求規(guī)范的基礎(chǔ)上，提出了一種影院安全票務(wù)系統(tǒng)的技術(shù)方案。利用此技術(shù)方案，一方面能夠保證電影票票面信息的真實(shí)性，無(wú)法進(jìn)行信息的偽造；另一方面能夠通過(guò)技術(shù)手段獲取影院完整的票務(wù)數(shù)據(jù)信息，以便進(jìn)行票務(wù)數(shù)據(jù)統(tǒng)計(jì)以及數(shù)據(jù)的回溯確認(rèn)。

　　【關(guān)鍵詞】影院票務(wù)系統(tǒng) 票務(wù)安全管理系統(tǒng) 票務(wù)安全管理器 影票安全驗(yàn)證碼

一、引言

　　近年來(lái)，在國(guó)家相關(guān)政策的支持下，我國(guó)電影產(chǎn)業(yè)規(guī)模和經(jīng)濟(jì)總量得到大幅度擴(kuò)張，技術(shù)裝備水平明顯提高，電影市場(chǎng)持續(xù)繁榮發(fā)展，中國(guó)電影票房也出現(xiàn)了超高速增長(zhǎng)。2014年全國(guó)電影總票房296.39億元，其中國(guó)產(chǎn)片票房161.55億元，占總票房的54.51%，2015年全國(guó)電影票房收入440。69億元，其中國(guó)產(chǎn)片票房達(dá)到271.36億元，占總票房的61.58%。2015年度電影總票房同比增長(zhǎng)48.7%。

　　當(dāng)前電影產(chǎn)業(yè)的商業(yè)運(yùn)作模式采用票房分賬的方式，影片的票房收入由影票銷售單位定期上報(bào)，根據(jù)票房收入國(guó)家管理機(jī)構(gòu)、制片方、院線方、影院等機(jī)構(gòu)進(jìn)行分成。電影發(fā)行商是電影投資方代表，具有最低票價(jià)限價(jià)權(quán)，但是無(wú)法直接獲取實(shí)際銷量數(shù)據(jù)，該數(shù)據(jù)來(lái)自于影院的票務(wù)系統(tǒng)，同時(shí)是票款回收的環(huán)節(jié)。影院是電影產(chǎn)品的分銷及價(jià)值變現(xiàn)環(huán)節(jié)，由于電影產(chǎn)品大多采用票房分成的商業(yè)模式，因此影院作為銷售前端，其最容易掌握真實(shí)票房數(shù)據(jù)，且其直接接受現(xiàn)款，在扣除自身所得后再向上游提交。在這個(gè)過(guò)程中，影院上報(bào)票房數(shù)據(jù)的真實(shí)性就成為整個(gè)產(chǎn)業(yè)鏈賴以維系的核心。

　　電影票房的真實(shí)性依賴下述手段來(lái)保證：國(guó)家管理機(jī)構(gòu)以牌照準(zhǔn)入的方式審核計(jì)算機(jī)售票系統(tǒng)廠家，符合技術(shù)標(biāo)準(zhǔn)的票務(wù)系統(tǒng)廠商才允許進(jìn)入影院市場(chǎng)；各售票系統(tǒng)按照統(tǒng)一技術(shù)規(guī)范將票房數(shù)據(jù)上報(bào)至國(guó)家管理機(jī)構(gòu)的統(tǒng)一票務(wù)數(shù)據(jù)統(tǒng)計(jì)平臺(tái)，以平臺(tái)數(shù)據(jù)作為產(chǎn)業(yè)鏈分賬依據(jù)。

　　從技術(shù)上來(lái)說(shuō)，由于影票的售票、檢票和票房數(shù)據(jù)的統(tǒng)計(jì)上報(bào)均由影票銷售單位承擔(dān)，售票行為作為數(shù)據(jù)產(chǎn)生的源頭，數(shù)據(jù)流向是單向的，電影專資辦票房管理系統(tǒng)無(wú)法偵測(cè)和約束影院售票行為。因此在票房統(tǒng)計(jì)數(shù)據(jù)的準(zhǔn)確性方面多方均會(huì)存在一些疑慮。

　　當(dāng)前國(guó)內(nèi)放映行業(yè)中，在電影院線票房數(shù)據(jù)統(tǒng)計(jì)、票房分成方面，由于部分影院存在偷漏瞞報(bào)、虛報(bào)、挪移票房現(xiàn)象，票房數(shù)據(jù)產(chǎn)生及統(tǒng)計(jì)過(guò)程不能完全保證影院上報(bào)的數(shù)據(jù)是實(shí)際營(yíng)業(yè)數(shù)據(jù)，從而導(dǎo)致影票數(shù)據(jù)的合法性、準(zhǔn)確性等方面存在著問(wèn)題，損害了片方、及院線集團(tuán)的合法利益，受到來(lái)自院線管理方、影片發(fā)行方的質(zhì)疑，一定程度上阻礙了電影產(chǎn)業(yè)的健康發(fā)展。

二、影院安全票務(wù)系統(tǒng)方案

　　目前國(guó)內(nèi)影院計(jì)算機(jī)售票系統(tǒng)需要遵循《GY/T207-2013電影院票務(wù)管理系統(tǒng)技術(shù)要求和測(cè)量方法》。此標(biāo)準(zhǔn)規(guī)范在《GY/T207-2005 電影院計(jì)算機(jī)票務(wù)管理系統(tǒng)軟件技術(shù)規(guī)范》的基礎(chǔ)上進(jìn)一步修訂。明確規(guī)定了應(yīng)用于電影院計(jì)算機(jī)票務(wù)管理系統(tǒng)中的電影院編碼、影片編碼、影票信息碼等基本規(guī)則；對(duì)于電影計(jì)算機(jī)票務(wù)管理系統(tǒng)相關(guān)的基本業(yè)務(wù)功能和要求、數(shù)據(jù)上報(bào)、系統(tǒng)數(shù)據(jù)備份與恢復(fù)、以及操作的安全性進(jìn)行了規(guī)范，并對(duì)系統(tǒng)數(shù)據(jù)接口做出基本要求，增加網(wǎng)絡(luò)代售接口、信息數(shù)據(jù)接口、自助取票接口和USBKey軟件開發(fā)包接口，并定義相應(yīng)技術(shù)要求。在新的規(guī)范中，刪除了在票務(wù)監(jiān)管方面定義的“監(jiān)管接口”，將上報(bào)接口變更為票房數(shù)據(jù)統(tǒng)計(jì)上報(bào)接口。在系統(tǒng)安全性方面增加了USBKey安全通信以及數(shù)據(jù)簽名操作，在保障數(shù)據(jù)真實(shí)性和準(zhǔn)確性的手段和要求方面未做詳細(xì)定義。

　　本文在現(xiàn)有的計(jì)算機(jī)票務(wù)管理系統(tǒng)技術(shù)要求的基礎(chǔ)上，提出了一種全新的影院安全票務(wù)系統(tǒng)技術(shù)方案，在方案中引入了票務(wù)安全管理系統(tǒng)和票務(wù)安全管理器，并能夠與原有的符合國(guó)家規(guī)范的計(jì)算機(jī)票務(wù)管理系統(tǒng)進(jìn)行無(wú)縫對(duì)接，實(shí)現(xiàn)對(duì)影院票務(wù)系統(tǒng)的安全性增強(qiáng)，以保證影院票務(wù)綜合信息管理系統(tǒng)數(shù)據(jù)的真實(shí)性和可靠性。

　　方案中利用票務(wù)安全管理系統(tǒng)和票務(wù)安全管理器，為原有票務(wù)管理系統(tǒng)提供了一個(gè)安全的環(huán)境。在這個(gè)環(huán)境下，一是為票務(wù)系統(tǒng)售票、驗(yàn)票及退票時(shí)提供票務(wù)安全驗(yàn)證碼服務(wù)；二是能夠安全記錄所有票務(wù)信息，保證票務(wù)信息的真實(shí)性和完整性，并能夠提供回溯追查。

　　2.1 影院票務(wù)安全管理系統(tǒng)結(jié)構(gòu)

　　在本方案中，現(xiàn)有電影院計(jì)算機(jī)票務(wù)管理系統(tǒng)與票務(wù)安全管理系統(tǒng)模塊進(jìn)行對(duì)接，票務(wù)安全管理系統(tǒng)通過(guò)局域網(wǎng)與票務(wù)安全管理器進(jìn)行安全通信，票務(wù)安全管理器物理上獨(dú)立的硬件設(shè)備。系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1  影院票務(wù)安全管理系統(tǒng)結(jié)構(gòu)

　　2.2票務(wù)安全管理系統(tǒng)功能

　　在電影院計(jì)算機(jī)票務(wù)管理系統(tǒng)進(jìn)行售票、退票以及驗(yàn)票業(yè)務(wù)操作時(shí)，與票務(wù)安全管理系統(tǒng)模塊進(jìn)行通信，將錄入的影票票面信息傳輸給票務(wù)安全管理系統(tǒng)，并從票務(wù)安全管理系統(tǒng)獲得影票安全驗(yàn)證碼。

　　影票安全驗(yàn)證碼生成

    在生成影票信息時(shí)，票務(wù)管理系統(tǒng)會(huì)提供相應(yīng)的影票票面信息，包括影院編號(hào)、影片編號(hào)、放映日期、放映場(chǎng)次、影廳編號(hào)、座位編號(hào)以及票價(jià)等信息。票務(wù)安全管理系統(tǒng)將相應(yīng)的信息編碼后，與票務(wù)安全管理器進(jìn)行通信，票務(wù)安全管理器產(chǎn)生影票對(duì)應(yīng)的唯一的影票安全驗(yàn)證碼發(fā)送給票務(wù)安全管理系統(tǒng)，從而生成完整的影票編碼。

　　影票安全驗(yàn)證碼校驗(yàn)

　　票務(wù)管理系統(tǒng)在進(jìn)行驗(yàn)票業(yè)務(wù)操作時(shí)，會(huì)提供所有的影票票面信息。票務(wù)安全管理系統(tǒng)將相應(yīng)的信息編碼后與票務(wù)安全管理器進(jìn)行通信，并且將完整的影票編碼傳輸給票務(wù)安全管理器。票務(wù)安全管理器根據(jù)輸入的影票信息，校驗(yàn)該影票安全驗(yàn)證碼的正確性，并將校驗(yàn)結(jié)果返回給票務(wù)安全管理系統(tǒng)。

　　影票記錄數(shù)據(jù)安全日志收集、存儲(chǔ)與上報(bào)

　　票務(wù)安全管理系統(tǒng)可以將票務(wù)安全管理器中存儲(chǔ)的影票記錄數(shù)據(jù)以安全日志的方式導(dǎo)出進(jìn)行本地存儲(chǔ)。影票記錄數(shù)據(jù)安全日志的導(dǎo)出可以設(shè)置為定時(shí)行為，比如每天在夜間定時(shí)導(dǎo)出當(dāng)天的安全日志并存儲(chǔ)到本地磁盤，就可以定期向管理、分析機(jī)構(gòu)進(jìn)行上報(bào)。

　　放映日志收集與日志比對(duì)分析

　　票務(wù)安全管理系統(tǒng)通過(guò)與影院管理系統(tǒng)（TMS）對(duì)接，可獲取各影廳放映服務(wù)器的放映日志。通過(guò)實(shí)際放映日志與售票安全日志數(shù)據(jù)的比對(duì)分析，來(lái)確定所售電影場(chǎng)次的實(shí)際放映情況。

　　安全通信協(xié)議

　　票務(wù)安全管理系統(tǒng)與票務(wù)安全管理器之間采用TLS v1.0協(xié)議作為安全通信通道，通信雙方進(jìn)行嚴(yán)格雙向身份認(rèn)證，并采用專用會(huì)話協(xié)議來(lái)發(fā)送和接收消息。

三、票務(wù)安全管理器方案設(shè)計(jì)

　　3.1票務(wù)安全管理器模塊設(shè)計(jì)

　　票務(wù)安全管理器設(shè)計(jì)為硬件安全設(shè)備，其可以表現(xiàn)為獨(dú)立的票務(wù)安全盒物理設(shè)備；也可以表現(xiàn)為獨(dú)立的板卡，以集成到票務(wù)安全管理系統(tǒng)所在的服務(wù)器上。其通過(guò)局域網(wǎng)與外部票務(wù)安全管理系統(tǒng)進(jìn)行通信。

　　票務(wù)安全管理器模塊涉及到硬件系統(tǒng)和軟件系統(tǒng)兩個(gè)方面，硬件系統(tǒng)部分的主體設(shè)計(jì)為一塊PCB板卡，板卡中采用嵌入式CPU芯片運(yùn)行嵌入式操作系統(tǒng)環(huán)境；軟件部分包括嵌入式環(huán)境的基本結(jié)構(gòu)和安全系統(tǒng)應(yīng)用軟件，并運(yùn)行在嵌入式操作系統(tǒng)環(huán)境中。票務(wù)安全管理器對(duì)外提供相應(yīng)的SDK開發(fā)包，對(duì)票務(wù)安全管理系統(tǒng)進(jìn)行系統(tǒng)集成開發(fā)，為票務(wù)安全管理系統(tǒng)提供信息安全相關(guān)功能服務(wù)。

圖2 票務(wù)安全管理器系統(tǒng)模塊圖

　　票務(wù)安全管理器硬件與外部票務(wù)安全管理系統(tǒng)通過(guò)TLS通信實(shí)現(xiàn)無(wú)縫對(duì)接，為票務(wù)安全管理系統(tǒng)提供最關(guān)鍵信息安全服務(wù)，主要提供的安全功能包括：

　　（1）票務(wù)安全驗(yàn)證碼的生成與校驗(yàn)

　　計(jì)算機(jī)票務(wù)管理系統(tǒng)在生成影票時(shí)，與票務(wù)安全管理器進(jìn)行安全通信，票務(wù)安全管理器對(duì)接收的影票信息進(jìn)行一系列安全運(yùn)算，產(chǎn)生影票安全驗(yàn)證碼，并將影票安全驗(yàn)證碼傳輸給票務(wù)安全管理系統(tǒng)。

　　在計(jì)算機(jī)票務(wù)管理系統(tǒng)進(jìn)行驗(yàn)票及退票操作時(shí)，票務(wù)安全管理系統(tǒng)將影票信息以及安全驗(yàn)證碼全部發(fā)送給票務(wù)安全管理器，票務(wù)安全管理器對(duì)接收的影票信息重新進(jìn)行安全運(yùn)算，將運(yùn)算結(jié)果與接收的影票安全驗(yàn)證碼比對(duì)。若兩者一致，說(shuō)明影票信息真實(shí)，則驗(yàn)票成功或者允許進(jìn)行退票操作。

　　（2）安全日志的記錄

　　對(duì)于售票操作，在票務(wù)安全管理器接收到售票指令后，將對(duì)傳入的影票信息進(jìn)行安全運(yùn)算產(chǎn)生影票安全驗(yàn)證碼的同時(shí)，將影票信息以及生成的對(duì)應(yīng)安全驗(yàn)證碼以安全日志記錄的方式進(jìn)行保存。安全日志記錄存放在板卡的安全區(qū)域中，外部不能通過(guò)任何方式對(duì)安全日志記錄進(jìn)行修改、替換或刪除。

　　對(duì)于退票操作，票務(wù)安全管理器在接收到退票指令后，對(duì)傳入的影票信息以及安全驗(yàn)證碼進(jìn)行驗(yàn)證，如果影票安全驗(yàn)證碼正確無(wú)誤，則允許退票，同時(shí)將退票記錄以安全日志記錄的方式進(jìn)行保存，否則拒絕退票。

　　對(duì)于驗(yàn)票操作，其結(jié)果不影響票務(wù)數(shù)據(jù)，故票務(wù)安全管理器僅對(duì)票面信息進(jìn)行驗(yàn)證，不進(jìn)行記錄安全日志操作。

　　（3）安全日志記錄的導(dǎo)出

　　票務(wù)安全管理器提供安全日志記錄導(dǎo)出的功能，以進(jìn)行票務(wù)數(shù)據(jù)信息核查。票務(wù)安全管理系統(tǒng)通過(guò)與票務(wù)安全管理器進(jìn)行通信，利用票務(wù)安全管理器提供的功能接口將其保存的安全日志記錄進(jìn)行導(dǎo)出。安全日志記錄以日志報(bào)告xml文件的方式導(dǎo)出。安全日志報(bào)告導(dǎo)出時(shí)，票務(wù)安全管理器對(duì)導(dǎo)出的日志報(bào)告中添加數(shù)字簽名，通過(guò)驗(yàn)證數(shù)字簽名可以保證導(dǎo)出日志報(bào)告信息的完整性和真實(shí)性。

　　（4）安全許可證的導(dǎo)入

　　票務(wù)安全管理器的操作依賴于影票編碼密鑰，影票編碼密鑰通過(guò)安全許可證的導(dǎo)入操作進(jìn)行設(shè)置。

　　安全許可證由管理中心進(jìn)行簽發(fā)。管理中心針對(duì)每臺(tái)票務(wù)安全管理器簽發(fā)安全許可證文件，票務(wù)安全管理器利用安全許可證的導(dǎo)入功能接口接收影票編碼密鑰，從而達(dá)到管理中心對(duì)票務(wù)安全管理器的管理控制以及影票編碼密鑰的授權(quán)及更換的目的。

　　票務(wù)安全管理器導(dǎo)入安全許可證并進(jìn)行保存、使用。由于安全許可證文件中所攜帶的影票編碼密鑰有使用有效期的限制，因此只有在有效期內(nèi)的密鑰是可用的。

　　3.2票務(wù)安全管理器的密鑰管理機(jī)制及工作流程

　　票務(wù)安全管理器由管理中心統(tǒng)一管理。管理中心通過(guò)對(duì)票務(wù)安全管理器硬件設(shè)備的管理，從而對(duì)票務(wù)安全管理系統(tǒng)進(jìn)行安全監(jiān)管和控制。管理中心負(fù)責(zé)所有票務(wù)安全管理器的發(fā)放和更新、設(shè)備密鑰管理、設(shè)備證書管理、影票編碼密鑰的發(fā)放與管理。

　　票務(wù)安全管理器中均保存有一對(duì)密鑰對(duì)，其中的私鑰秘密保存，針對(duì)公鑰信息管理中心為每個(gè)票務(wù)安全管理器設(shè)備發(fā)放并設(shè)置數(shù)字設(shè)備證書。數(shù)字設(shè)備證書與票務(wù)安全管理器一一對(duì)應(yīng)，由管理中心統(tǒng)一進(jìn)行安全管理。

圖3 票務(wù)安全管理器密鑰管理機(jī)制及工作流程

　　（1）密鑰管理與證書管理

　　票務(wù)安全管理器中采用了非對(duì)稱密鑰密碼機(jī)制，管理中心為每個(gè)票務(wù)安全管理器產(chǎn)生一對(duì)RSA密鑰對(duì)，密鑰長(zhǎng)度采用2048比特，RSA的私鑰存放在票務(wù)安全管理器的安全存儲(chǔ)區(qū)。同時(shí)，管理中心的數(shù)字證書認(rèn)證中心為每個(gè)票務(wù)安全管理器簽發(fā)設(shè)備證書。管理中心對(duì)所有票務(wù)安全管理器的設(shè)備證書進(jìn)行統(tǒng)一管理。

　　（2）安全許可證發(fā)放

　　管理中心發(fā)放影票編碼密鑰時(shí)，票務(wù)安全管理器采用唯一的影票編碼密鑰，由管理中心隨機(jī)生成。利用對(duì)應(yīng)票務(wù)安全管理器的設(shè)備證書，使用其RSA公鑰對(duì)影票編碼密鑰進(jìn)行加密，并對(duì)相關(guān)信息進(jìn)行數(shù)字簽名，生成對(duì)應(yīng)票務(wù)安全管理器的安全許可證。管理中心通過(guò)公網(wǎng)或其他方式發(fā)放安全許可證，由于只有票務(wù)安全管理器中保存有對(duì)應(yīng)的RSA私鑰，只能夠解析自己的安全許可證，無(wú)法對(duì)其他設(shè)備的安全許可證進(jìn)行解析。

　　（3）安全許可證解析

　　票務(wù)安全管理器通過(guò)功能接口接收到自己的安全許可證之后，首先驗(yàn)證安全許可證中簽名的正確性，確保安全許可證是由管理中心所簽發(fā)；然后票務(wù)安全管理器使用自己秘密保存的RSA私鑰對(duì)安全許可證進(jìn)行解密操作，就可以進(jìn)行安全許可證的解析，從而使用安全許可證中所攜帶的的影票編碼密鑰。

　　（4）影票安全驗(yàn)證碼的編碼與生成

　　當(dāng)票務(wù)安全管理器的安全許可證所包含的影票編碼密鑰在有效期內(nèi)時(shí)，票務(wù)安全管理器可以執(zhí)行影票安全驗(yàn)證碼的編碼操作。

　　票務(wù)安全管理系統(tǒng)售票過(guò)程中對(duì)票務(wù)安全管理器發(fā)出售票指令時(shí)，票務(wù)安全管理器立刻就能對(duì)其接收的影票票面信息進(jìn)行編碼操作。票面信息包括影院編碼、影廳編碼、影片編碼、放映時(shí)間、放映場(chǎng)次、票價(jià)及座位號(hào)信息。該編碼方式是可逆的，即影票編碼后的信息可根據(jù)定義的規(guī)則進(jìn)行逆推，可以還原出原始影票票面信息。

　　其次，票務(wù)安全管理器使用影票編碼密鑰對(duì)編碼的影票信息使用帶密鑰的摘要密碼算法（HMAC-SHA-1算法）進(jìn)行運(yùn)算，從而獲得編碼的影票信息的HMAC值，這里稱之為影票的指紋碼。由于運(yùn)算時(shí)采用的影票編碼密鑰是嚴(yán)格保密的，在未知密鑰的情況下計(jì)算出影票指紋碼是完全不可能的。

　　在影票指紋碼計(jì)算完畢后，針對(duì)影票指紋碼的數(shù)據(jù)，依據(jù)特定算法進(jìn)行計(jì)算，從得出的結(jié)果中獲得某種規(guī)則，使用此規(guī)則對(duì)之前的編碼的影票信息進(jìn)行移位和置換，形成全新置亂的影票信息編碼，將編碼影票信息的順序打亂，使其無(wú)規(guī)律可循。

　　最后，將置亂的影票信息編碼與影票指紋碼組合后，就形成了最終的影票安全驗(yàn)證碼。

　　3.3 票務(wù)安全管理器的安全性

　　在該影院安全票務(wù)系統(tǒng)的技術(shù)方案中，票務(wù)安全管理器硬件設(shè)備的采用是整體系統(tǒng)安全性的最好保障，其安全性體現(xiàn)在以下方面：

　　影票編碼密鑰的分發(fā)安全性

　　管理中心在下發(fā)影票編碼密鑰時(shí)，使用每個(gè)票務(wù)安全管理器的設(shè)備證書，利用RSA公鑰進(jìn)行加密。故只有該票務(wù)安全管理器使用自己的RSA私鑰才能在內(nèi)部進(jìn)行解密，并獲得影票編碼密鑰。

　　密鑰安全存儲(chǔ)保護(hù)

　　票務(wù)安全管理器中所涉及的密鑰包括RSA私鑰、影票編碼密鑰以及其他所有的敏感信息，均存放在票務(wù)安全管理器的安全存儲(chǔ)區(qū)，通過(guò)物理安全保護(hù)機(jī)制進(jìn)行保護(hù)，任何人無(wú)法將其導(dǎo)出。

　　基于身份的安全認(rèn)證管理

　　票務(wù)安全管理器的訪問(wèn)采用基于身份的安全認(rèn)證方式。票務(wù)安全管理器內(nèi)置安全用戶，用戶登錄時(shí)需提供登錄信息的數(shù)字簽名，票務(wù)安全管理器使用用戶的數(shù)字證書對(duì)簽名進(jìn)行身份認(rèn)證；驗(yàn)證通過(guò)后方可允許用戶進(jìn)行操作，從而確保操作用戶為合法用戶。

　　影票信息的真實(shí)性保證

　　影票安全驗(yàn)證碼的生成，只有通過(guò)票務(wù)安全管理器才能進(jìn)行操作。由于只有票務(wù)安全管理器中保存有影票編碼密鑰，任何人無(wú)法對(duì)影票安全驗(yàn)證碼進(jìn)行偽造。通過(guò)驗(yàn)證影票安全驗(yàn)證碼，可以對(duì)影票真?zhèn)芜M(jìn)行實(shí)時(shí)查詢，從而保證影票真實(shí)性。

　　影票信息的不可篡改性

　　影票一旦出售，其對(duì)應(yīng)的影票安全驗(yàn)證碼不可進(jìn)行篡改。如果更改影票的任何信息，比如票價(jià)信息，則更改后的影票所對(duì)應(yīng)的安全驗(yàn)證碼會(huì)與影票原始的安全驗(yàn)證碼不一致，導(dǎo)致影票驗(yàn)票不通過(guò)。因此保證影票的原始信息是不可篡改和不可抵賴的。

　　票務(wù)信息的安全日志記錄

　　票務(wù)安全管理器中通過(guò)安全日志記錄的方式保存所有的售票和退票信息。安全日志記錄主要用于事后的審計(jì)，安全日志記錄不能夠被外部刪除，只能夠進(jìn)行導(dǎo)出操作。導(dǎo)出的安全日志報(bào)告中包含票務(wù)安全管理器的數(shù)字簽名，每條日志記錄通過(guò)Hash校驗(yàn)進(jìn)行關(guān)聯(lián)，所以不能對(duì)任何日志記錄進(jìn)行更改，從而可以提供所有影票操作記錄的追溯。

　　通信的安全性

　　票務(wù)安全管理器系統(tǒng)與票務(wù)安全管理系統(tǒng)之間的通信采用TLS v1.0安全協(xié)議作為安全通信通道，通信雙方進(jìn)行相互的身份認(rèn)證，并采用專用的通信請(qǐng)求應(yīng)答方式傳遞消息，充分保證通信的安全性。

　　物理安全保護(hù)機(jī)制

　　票務(wù)安全管理器按照Fips1402 Level3的安全要求進(jìn)行設(shè)計(jì)，在硬件板卡上包含一塊安全區(qū)域，安全區(qū)域具有物理安全保護(hù)，所有的密碼操作以及敏感信息的存儲(chǔ)及處理均在安全區(qū)域內(nèi)完成。安全區(qū)域部分均覆蓋堅(jiān)固的不透明材料，任何攻擊安全區(qū)域的行為都會(huì)留下痕跡。在堅(jiān)固不透明材料的覆蓋保護(hù)下，闖入者無(wú)法對(duì)安全區(qū)域的電子元器件進(jìn)行有效探測(cè)和分析，強(qiáng)行訪問(wèn)將導(dǎo)致電子元器件的徹底破壞或敏感信息全部清零，從而無(wú)法獲取其中保存的任何安全信息。

四、結(jié)束語(yǔ)

　　本文中通過(guò)引入了票務(wù)安全管理系統(tǒng)以及票務(wù)安全管理器硬件設(shè)備，提供了一種影院票務(wù)系統(tǒng)的安全解決方案。現(xiàn)有的影院計(jì)算機(jī)票務(wù)系統(tǒng)在進(jìn)行簡(jiǎn)單的改造升級(jí)之后，即可與該方案完成對(duì)接，實(shí)現(xiàn)安全的票務(wù)管理系統(tǒng)。通過(guò)該方案的實(shí)施，一方面保證了影票票面信息的真實(shí)性，不可進(jìn)行篡改偽造；另一方面能夠通過(guò)票務(wù)安全日志保證獲取完整的票務(wù)數(shù)據(jù)信息，以進(jìn)行數(shù)據(jù)統(tǒng)計(jì)以及數(shù)據(jù)的回溯確認(rèn)。