广州地铁自动售检票系统用户权限划分的实现方式

摘　要　对广州地铁自动售检票系统用户权限划分的实现方式进行了技术分析和探讨。阐述了建立地铁自动售检票系统用户权限的重要性,提出了建立用户权限管理机制的一些基本原则;根据不同级别,不同部门的操作人员对自动售检票系统的不同需求,提出了四种不同的用户权限划分方式;探讨了自动售检票系统的用户权限管理实现方式的解决方案。

关键词　地铁,自动售检票系统,用户权限,管理员
 
      地铁自动售检票(AutomaticFareCollection简称AFC)系统是一个独立、封闭和高度自动化的综合性信息管理系统。AFC系统管理着整个地铁运营的客运收入。如何提高系统的收益安全一直是地铁运营需要不断探讨的课题。在考虑提高收益安全的各种措施中,首先必须对大量的使用AFC系统的操作人员进行明确分工和规范管理。本文对广州地铁AFC系统中用户种类的划分方式和实现方式进行分析和研究。
      1用户权限管理机制的一些基本原则
      在完成一整套权限管理机制前,需要先为权限管理的机制设定一些基本的原则。根据国家密码管理委员会的相关规定和计算机信息系统安全保护等级划分准则,设计了以下操作权限控制机制的一些基本原则。
      1)所有操作人员拥有自己唯一的操作员账号及操作密码;
      2)用户名和密码由中央计算机分配;
      3)账号和密码具有使用期限,失效期限按参数设置;
      4)任何人员进入系统前,必须通过用户名和密码认证;
      5)用户将被加入到不同的组中,并被赋予不同的权限;
      6)操作人员只能执行那些被中央计算机授权的功能,其可运行的授权功能项可通过从中央计算机下载参数设定;
      7)通过参数设置车站计算机操作员登录后无操作自动注销的时限;
      8)操作员的登录及注销信息记入操作日志,并向中央计算机发送相应的登录及注销状态信息;
      9)通过使用专业的计算机安全管理软件,设置车站操作员工作站操作策略,以确保除授权人员之外的其他用户仅能使用系统应用程序,而无法访问操作系统、文件系统及其它应用程序;
      10)对影响到车站车票运作及系统收益的运作模式,如紧急模式,应采用密码保护,同时记入操作审计,并上传至车站计算机和中央计算机,以供审计。
2 AFC系统用户划分方式概述
      作为一个独立、封闭和高度信息化的AFC系统,应具有对使用该系统的所有操作人员进行权限管理的功能。由于AFC系统中操作人员分工的多样性,按照实际的运营需求,不同级别、不同层次的操作人员能使用的设备功能应有所不同,需要较为灵活和细化的权限管理方式来实现对AFC系统操作人员的管理。
      通过对广州地铁运营事业总部使用AFC系统的员工进行需求调查,从各种不同级别、不同部门的操作人员对AFC系统各种层次的需求进行分析,得到下面几种用户划分方式。
      1)按AFC系统设备层次来划分用户:
      ·综合中央计算机系统(IntegratedCentra ComputerSystem,简为ICCS)用户;
      ·线路中央计算机(LineCentralComputer,简为LCC)系统用户;
      ·车站计算机(StaionComputer,简为SC)系统用户;
      ·车站终端设备(StationLevelEquipment,简为SLE)用户。
      2)按AFC系统用户级别来划分用户:
      ·地铁运营主管人员;
      ·线路AFC系统维修人员;
      ·车站AFC系统运营人员。
      3)按AFC系统业务逻辑来划分用户:
      ·线路AFC系统维修人员;
      ·运营参数管理人员;
      ·车站AFC系统运营人员;
      ·票务稽查员;
      ·系统用户权限管理员;
      ·运营收入统计员。
      比较以上三种用户划分方式,发现不同的运营人员,由于所处的部门和职务的不同,对AFC系统用户的划分方式也有不同的理解和需求。根据调查数据发现:第一、二种划分需求,主要出于管理职务的人员。这一类人员由于使用AFC系统的机会比较少,所以对AFC系统提出的用户划分需求也比较笼统。而第三种划分需求主要出于基层员工,他们每天都需使用AFC设备,从而对AFC系统了解更深,所提出的需求也更细化,更符合实际运营需求。所以以第三种划分需求为基础,同时考虑第一、第二种划分需求,提出一种新的、更为细化的划分方式,即第四种用户划分方式,使其可以适合上述三种划分需求。
      4)按AFC系统业务逻辑来更为细化地划分用户:
      a系统维修人员,在AFC全系统内都能从事维修、维护;
      b业务管理人员,在AFC全系统内都能从事业务监督、统计;
      c车站维修员,在本车站进行维修、维护;

      d车站督导员,在本车站工作,能使用SC检测车站设备,能设置车站运行模式;
      e车站值班员,在本车站工作,能使用SC检测车站设备,但不能设置车站运行模式;
      f车站站务员,在本车站工作,只能操作TVM(自动售票机)、BOM(半自动售票机)、GATE(检票机)的基本运营功能;
      g运营系统管理员,能够设置系统运营参数,包括车站表参数、票价表和设备运行参数等;
      h运营值班员,能查询系统运营参数,不能改变系统运营参数;
      i设备管理员,能管理线路车站设备的注册信息,包括设备的增加、修改和删除;
      j设备维修值班员,能查询车站设备的注册信息;
      k黑名单管理员,管理系统内黑名单车票的设置;
      l操作员管理员,管理系统内所有用户的权限设置;
      m退款终端操作员,能够操作非即时退款服务器终端,为坏票卡设置罚金;
      n票务督导员,能够使用票务管理的全部功能,能制定车票生产计划订单;
      o票务值班员,能够查询车票生产计划订单;
      p制票员,能够操作ES(编码售票机),根据车票生产计划制票。
      该方案从广州地铁运营事业总部对AFC系统业务人员业务需求出发,同时又兼顾到各用户层次不同的需求,基本满足了广州地铁运营事业总部对AFC系统用户划分的要求。3 AFC系统用户权限管理实现方式的解决方案
      根据权限管理机制的设计原则,针对以上所提出的AFC系统用户划分的要求,为方便进行操作员权限的统一管理,广州地铁AFC系统引入了目前国际流行的、先进的、基于角色的用户权限管理模型。其特点是通过分配和取消角色来完成用户权限的授予和取消,并且提供了角色分配规则和操作检查规则。系统将各设备的功能项细化,为每一功能项设置一个访问权限;权限管理人员根据需要可以定义各种各样的角色,并为角色设置合适的访问权限;而用户根据其职务和责任的不同再被指派为不同的角色,用户属于角色才能使用该角色被赋予的权限。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。角色划分的方式不仅满足了系统设计的要求,而且通过新建、修改各角色所拥有的访问权限,还能设置更多的角色组合以满足地铁运营发展的需要。如图1所示,角色可看成是一个表达访问控制策略的语义结构,它可以表示承担特定工作的资格。
　　访问权限是指在AFC系统所控制的一种具体操作行为,例如“发售车票”、“车票充值”、“打印报表”等;系统根据不同类型的设备所能执行的操作许可,定义所需的访问权限。
      角色是一组访问权限的集合,代表系统中的某个工作或职位,并拥有一定的资格、权利和责任。
      用户是一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的主体,一般代表某个操作员。
　　一个用户可以是很多角色的成员,一个角色也可以有很多个访问权限,而一个访问权限也可以重复配置于多个角色。只有角色具有相应的访问权限后,用户委派才能具有实际意义。

      根据设计原则和用户权限分配方案,可得出从LCC下发操作员权限到SC和SLE的示意图如图2。其中:LCC系统统一生成各操作员的用户和密码,并赋予相应的访问权限;LCC将用户密码及权限信息下发到SC系统;SC将本车站的操作员ID密码及权限信息下发到SLE。LCC系统打印各操作员的用户ID和密码,分发到各操作员。
4 结语
      地铁AFC系统用户权限的划分和实现方式是根据广州地铁运营实际需要制定并为运营服务的;随着地铁运营的发展,工作分工的细化或整合都会对AFC系统提出新的需求。AFC系统的设计必须适应和满足这些新的需求,才能有利于系统的长久安全运营。
 
参考文献
[1]DGJ08-1101-2005轨道交通自动售检票系统通用技术规范[S].
[2]孙章,何宗华,徐金祥.城市轨道交通概论[M].北京:中国铁道出版社,2000.