基于私有云平臺的AFC系統(tǒng)實現(xiàn)方案

劉樂毅 趙圣娜 張寧 張炳森

(1.南京地鐵運營有限責任公司，南京 210012；2.中鐵上海設計院集團有限公司，上海 200070；3.東南大學智能運輸系統(tǒng)研究中心軌道交通研究所，南京 210096）

1 概述

城市軌道交通自動售檢票（Automatic Fare Collection, AFC）系統(tǒng)為乘客提供了便捷、高效、人性化的服務，是城市軌道交通的重要組成部分[1]。目前，AFC傳統(tǒng)的5層架構(gòu)模式在互聯(lián)互通、資源高效利用等方面存在一定的局限性；另外，網(wǎng)絡化運營逐漸實現(xiàn)，如何滿足AFC系統(tǒng)海量數(shù)據(jù)的高效率存儲、讀寫和計算的量級需求，以及后期線路接入的擴展性需求，成為運營管理部門關心的重要問題。

云計算作為一種新型的計算模式，應用于軌道交通系統(tǒng)中以降低建設和運營成本已成為趨勢[2]。云計算分為公有云、私有云和混合云[3]。私有云是由企業(yè)自己構(gòu)建的，企業(yè)擁有基礎設備，不僅可提供對數(shù)據(jù)、安全性和服務質(zhì)量的有效控制，并可控制在基礎設施上部署應用程序的方式。將私有云引入到軌道交通建設中，從長遠角度考慮，私有云平臺的成本呈現(xiàn)降低的趨勢[4]；另一方面，數(shù)據(jù)存儲安全性與可靠性較高，私有云平臺架構(gòu)的部署靈活性較高。所以考慮建立基于私有云平臺的AFC系統(tǒng)（Automatic Fare Collection based on Private Cloud Platform,PCAFC），是解決AFC問題的有效途徑。

結(jié)合上述分析，首先分析了基于私有云平臺的AFC系統(tǒng)的需求，接著提出一種私有云平臺AFC系統(tǒng)架構(gòu)，在此基礎上，探討PCAFC實現(xiàn)的方案，對整個AFC系統(tǒng)的運營管理與工程建設具有積極意義。

2 基于私有云平臺的AFC系統(tǒng)需求分析

構(gòu)建PCAFC系統(tǒng)，需要了解系統(tǒng)的需求。從功能和非功能兩個方面進行分析，為下文確定系統(tǒng)架構(gòu)奠定基礎。

2.1 功能需求分析

結(jié)合運營管理部門的職能定位，PCAFC系統(tǒng)除了應滿足既有AFC系統(tǒng)的主要功能之外，還應具備應對網(wǎng)絡化運營及大客流帶來的大數(shù)據(jù)挖掘、分析、存儲、管理等能力，功能需求可以分為幾個方面[5]，如表1所示。

2.2 非功能需求分析

在非功能需求方面應具備安全性、可靠性和可擴展性。

1）安全性

為保障系統(tǒng)的安全性，應在不同域的邊界設置防火墻、入侵檢測系統(tǒng)、防病毒體系以及訪問控制列表等安全保障體系，數(shù)據(jù)的安全性應采取有效的加密技術來實現(xiàn)。

表1 系統(tǒng)功能需求表Tab.1 System function requirements

2）可靠性

系統(tǒng)各層要符合相關技術規(guī)范，滿足穩(wěn)定運行與故障修復的時間要求，全生命周期內(nèi)都要確保系統(tǒng)的穩(wěn)定性與可靠性。

3）可擴展性

為滿足軌道交通線網(wǎng)規(guī)模擴大和客流量日益增長的需要，PCAFC系統(tǒng)應具備可擴展性，預留未來新線接入的接口需求與容量需求。

3 基于私有云平臺的AFC系統(tǒng)架構(gòu)

軌道交通的發(fā)展使得AFC5層架構(gòu)體系存在一定的局限性，出現(xiàn)了多線路中心、區(qū)域中心、合并清分（ACC）系統(tǒng)和線路中央計算機（LC）系統(tǒng)的優(yōu)化形式[6]，然而這些方案一定程度上精簡了系統(tǒng)架構(gòu)，但未將車站級系統(tǒng)的優(yōu)化考慮在內(nèi)。針對此問題，考慮引入云計算技術優(yōu)化AFC系統(tǒng)架構(gòu)。

3.1 AFC系統(tǒng)私有云平臺總體架構(gòu)

基于私有云平臺的AFC系統(tǒng)架構(gòu)如圖1所示。

在PCAFC系統(tǒng)架構(gòu)中，私有云平臺取代了原系統(tǒng)中的ACC層和LC層，是PCAFC系統(tǒng)中的主生產(chǎn)系統(tǒng)，實現(xiàn)軌道交通運營的管理工作。車站計算機（SC）系統(tǒng)直接通過專用通信傳輸系統(tǒng)提供的以太網(wǎng)通道與私有云平臺互連，各車站共享私有云平臺計算機服務器資源池，車站只保留操作終端。當車站終端設備與SC或SC與私有云平臺之間通信中斷或無網(wǎng)絡連接時，設備可在離線模式下工作，并在本機上保存相關的參數(shù)設置。當恢復通信時，系統(tǒng)自動檢測未上傳完的數(shù)據(jù)，并自動上傳至私有云平臺。

圖1 PCAFC 系統(tǒng)結(jié)構(gòu)圖Fig.1 PCAFC system structure

圖2 私有云平臺總體架構(gòu)示意圖Fig.2 Overall architecture of the private cloud platform

3.2 私有云平臺架構(gòu)

私有云平臺按架構(gòu)可以分為基礎設施層、平臺中間件層和軟件層，此外還有貫穿整個私有云平臺全局的云安全機制[7]，如圖2所示。

基礎設施層主要由物理資源池和虛擬資源池兩部分組成，物理資源池由各式各樣的硬件構(gòu)成，通過虛擬技術將相同類型的資源構(gòu)成同構(gòu)或接近同構(gòu)的資源池[8]。云平臺中間件是平臺的核心，為系統(tǒng)提供多元化的應用環(huán)境與業(yè)務平臺，可以劃分為：業(yè)務中心、用戶中心、資源中心、云數(shù)據(jù)中心、培訓測試中心和云災備中心。軟件層是通過將特定的開發(fā)環(huán)境、應用軟件和操作系統(tǒng)封裝成標準Web Services服務，為管理者和相關操作人員提供按需服務。云平臺安全機制的目的是達到降低風險、保護系統(tǒng)資源與數(shù)據(jù)庫。

4 基于私有云平臺的AFC系統(tǒng)實現(xiàn)方案

在PCAFC系統(tǒng)中，車票層和終端設備層繼承了傳統(tǒng)AFC系統(tǒng)的建設模式，車站層簡化為不具備計算與存儲資源的瘦客戶端，私有云平臺為主生產(chǎn)系統(tǒng)。結(jié)合系統(tǒng)架構(gòu)，對私有云平臺的實現(xiàn)方案進行詳細研究。

4.1 基礎設施層的實現(xiàn)

1）基礎設施的部署模式

傳統(tǒng)AFC系統(tǒng)的數(shù)據(jù)中心采用“煙囪式”的建設模式，即應用程序與各自的服務器和存儲設備自成一體，服務器之間存在隔離、擴展難度大的缺點[9]。PCAFC系統(tǒng)在基礎設施部署時，摒棄此建設模式，將所需的服務器、存儲、網(wǎng)絡等硬件設備加以集中配置，形成一體化的基礎設施資源池，如圖3所示。資源池中的服務器、存儲等設備不再按業(yè)務類別作具體劃分，規(guī)避了“煙囪”模式帶來的問題。

圖3 PCAFC系統(tǒng)基礎設施的部署模式Fig.3 Deployment mode of PCAFC system infrastructure

2）基礎設施的選擇

基礎設施的選擇要從云服務器類型、性能和云數(shù)據(jù)中心存儲容量兩方面考慮。云服務器類型要保證數(shù)據(jù)安全可靠，可選擇基于x86架構(gòu)的服務器；服務器性能從CPU處理能力和內(nèi)存大小兩方面分析，在考慮交易數(shù)量和30%冗余負荷情況下，處理能力應不小于事物處理性能的基準程序值；服務器內(nèi)存配置要在確定內(nèi)存開銷的基礎上做出預留。云數(shù)據(jù)中心存儲容量需考慮全年交易數(shù)據(jù)所需容量，并為未來業(yè)務增長預留足夠存儲空間。

3）虛擬化的實現(xiàn)

根據(jù)對基礎設施的規(guī)劃，創(chuàng)建物理設施資源池，采用虛擬化軟件Xen或KVM將物理設施虛擬化成虛擬資源池。業(yè)務服務器中抽象出多個虛擬機，并為每個虛擬機配置相應的操作系統(tǒng)和應用。虛擬化的實現(xiàn)使得同一臺業(yè)務服務器上同時運行多個不同的操作系統(tǒng)和不同的業(yè)務功能成為可能。同時，因使用特定型號的計算機、特殊尺寸的磁盤以及其他類似特殊硬件設備而產(chǎn)生的局限性將盡可能地被減少，甚至被消除。

4.2 云平臺中間件的實現(xiàn)

云平臺中間件是私有云平臺的核心部分，PCAFC系統(tǒng)業(yè)務的處理在云平臺中間件環(huán)境中實現(xiàn)，下面從各個模塊來分析如何實現(xiàn)PCAFC的功能需求

1）業(yè)務中心

業(yè)務中心實現(xiàn)PCAFC系統(tǒng)主要業(yè)務處理，通過設置運營管理模塊、票務管理模塊、清分管理模塊、信息管理模塊和系統(tǒng)管理模塊實現(xiàn)運營管理、票務管理、清分管理、信息管理和系統(tǒng)管理功能需求。

2）用戶中心

用戶中心實現(xiàn)對用戶身份及權限的管理，并為用戶提供操作環(huán)境配置。根據(jù)系統(tǒng)用戶職權的不同設置不同組別，賦予有關的功能及權限，同一組別可配置個別的用戶權限。所有用戶必須經(jīng)過申請，得到批準后，由系統(tǒng)管理人員通過云平臺開設賬號，賦予有關功能權限。

3）資源中心

資源中心實現(xiàn)對基礎設施資源的管理，采用動態(tài)平衡策略，實時地監(jiān)測基礎設施資源的使用情況，作出及時、合理的資源調(diào)度。資源調(diào)度過程既要考慮請求任務的實際需求，也要考慮計算節(jié)點的物理性能，以減少基礎設施資源的開銷。

4）云數(shù)據(jù)中心

云數(shù)據(jù)中心實現(xiàn)PCAFC系統(tǒng)中的海量數(shù)據(jù)處理、分析與存儲功能。Hadoop是對Google云平臺的開源實現(xiàn)，提供了二次開發(fā)與個性化服務定制的功能，可以滿足城市軌道交通AFC系統(tǒng)的需要。因此，云數(shù)據(jù)中心采用基于Hadoop的方案，選用分布式云存儲、HDFS分布式文件系統(tǒng)和融合型數(shù)據(jù)庫以實現(xiàn)系統(tǒng)需求。

5）培訓測試中心

培訓測試中心提供真實的云平臺模擬系統(tǒng)，為參加培訓的人員提供真實的學習環(huán)境，模擬測試系統(tǒng)實現(xiàn)系統(tǒng)開通前的軟硬件功能測試、開通后軟硬件修改、配合其他線路作開通測試和軟件修改等功能。

6）云災備中心

私有云平臺作為軌道交通的清分中心，發(fā)生癱瘓等事故會給整個行業(yè)帶來嚴重后果，因此，為不影響整個PCAFC系統(tǒng)的正常工作，需建立異地云災備中心。云災備中心的建設模式有主備模式、混合雙活和雙活模式。

考慮到PCAFC系統(tǒng)對大數(shù)據(jù)的計算有較高的實時性要求，選擇雙活模式建立災備中心，如圖4所示活模式指云平臺和云災備中心所有的服務器、存儲設備全天候處于生產(chǎn)狀態(tài)，根據(jù)服務需求，將業(yè)務分配到不同的中心，跨雙中心建立共享的資源訪問方式和高可用性集群，通過數(shù)據(jù)復制技術將數(shù)據(jù)鏡像到對方中心。當出現(xiàn)災難事件時，根據(jù)需要接管的方式，按照當前的業(yè)務狀態(tài)動態(tài)調(diào)整調(diào)度服務和資源。

圖4 云災備中心雙活模式Fig.4 Double live mode of Cloud Disaster Center

4.3 云安全機制的實現(xiàn)

由于私有云平臺由軌道公司自行部署，位于企業(yè)內(nèi)部，所以不需要考慮公共用戶、公共網(wǎng)絡等安全問題。經(jīng)過對云平臺基礎設施層、云平臺中間件和軟件層安全問題的分析，從軟件安全機制、網(wǎng)絡安全機制和數(shù)據(jù)安全機制3方面解決云安全問題。

1）軟件安全機制

軟件安全機制體現(xiàn)在軟件自身保護、防止惡意破壞數(shù)據(jù)、防止誤操作、跟蹤與審計、軟件更新安全等5方面。

軟件自身保護：通過在PCAFC系統(tǒng)專用網(wǎng)與外部系統(tǒng)之間設置防火墻，避免大部分來自外部網(wǎng)絡的病毒等侵害。

防止惡意破壞數(shù)據(jù)：將所有原始數(shù)據(jù)在存儲時自動進行備份，對于數(shù)據(jù)量比較大的原始數(shù)據(jù)，在存儲時根據(jù)一定的規(guī)則劃分，分布存放到不同的存儲區(qū)域。

防止誤操作：系統(tǒng)中所有的操作都要檢查執(zhí)行者的口令和權限，避免大多數(shù)誤操作。

跟蹤和審計：系統(tǒng)將登記所有終端設備操作，并記錄到各自的日志中，上傳至私有云平臺做長期保存。利用審計工具以及校驗工具進行操作審核等操作。

軟件更新安全：系統(tǒng)軟件、設備軟件均可以實現(xiàn)動態(tài)更新，在設備中長期保存一個可靠版本軟件，以保證軟件更新失敗時，可以將其恢復到一個可靠運行的版本。

2）網(wǎng)絡安全機制

網(wǎng)絡安全是整個PCAFC系統(tǒng)安全的基石。私有云平臺與車站系統(tǒng)、城市公共交通卡系統(tǒng)和銀行系統(tǒng)之間實現(xiàn)安全的網(wǎng)絡通信和數(shù)據(jù)傳遞主要依賴于防火墻，但這種防護只能是基于IP層的訪問控制，對不同的用戶與具體文件無法實現(xiàn)控制，是一種粗粒度的防護，因此，在此基礎上，可配置入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡防病毒軟件，為系統(tǒng)安全提供多方面的安全防范手段。

3）數(shù)據(jù)安全機制

數(shù)據(jù)安全機制需從數(shù)據(jù)傳輸安全和數(shù)據(jù)存儲安全兩方面考慮。

a.數(shù)據(jù)傳輸安全

數(shù)據(jù)傳輸安全主要是指數(shù)據(jù)在兩邊交互時的安全保護，通常利用數(shù)據(jù)加密技術來保證交易數(shù)據(jù)的傳輸安全。整個數(shù)據(jù)傳輸過程如圖5所示，發(fā)送方將交易數(shù)據(jù)成功發(fā)出后，仍需要將這些數(shù)據(jù)于本地進行有效保存，以便進行數(shù)據(jù)審計或傳輸失敗時進行重傳。傳輸過程中加密與解密密鑰是對稱且唯一的，統(tǒng)一由密鑰管理中心負責生成與分配。

圖5 數(shù)據(jù)加密傳輸過程Fig.5 Data encryption transmission process

b.數(shù)據(jù)存儲安全

存儲在服務器、工作站和數(shù)據(jù)庫系統(tǒng)等處的數(shù)據(jù)，除了通過系統(tǒng)軟件、設備軟件、病毒防范系統(tǒng)和操作規(guī)范等外部措施保障外，從數(shù)據(jù)本身來說，應對數(shù)據(jù)丟失異常的唯一手段就是對數(shù)據(jù)進行有效的備份。

5 結(jié)語

隨著軌道交通網(wǎng)絡化運營的逐漸實現(xiàn)，AFC系統(tǒng)的優(yōu)化越來越受到有關部門的重視，云計算在軌道交通系統(tǒng)中的應用空間巨大，引入AFC系統(tǒng)中具有積極意義。選擇私有云平臺的部署方案，分析基于云平臺的AFC系統(tǒng)功能與非功能的需求，并提出一種系統(tǒng)架構(gòu)，在此基礎上，分別從基礎設施層、云平臺中間件層以及安全機制層探討基于私有云平臺的AFC系統(tǒng)實現(xiàn)方案。該研究為我國軌道交通AFC系統(tǒng)的架構(gòu)設計、優(yōu)和調(diào)整提供參考。