一、前言 

　　金融電子化潮流，為國內基于互聯網進行的金融服務技術填補了一大缺口，中國銀聯支付網關集團2005年交易量已超過150億，但對于網路安全與虛擬貨幣的管理還是一個處于探討的階段，尤其在清華大學王曉云教授成功攻破網絡加密MD5和 SHA-1后，人民銀行對由鍵盤輸入銀行卡號和密碼的外國網上支付普遍的作法表示擔憂。 

　　公安部從2004 年起向13 億多公民發放內置RFID（無線射頻）標簽的居民身份證，這是全球最大的RFID項目之一，中國銀聯網絡支付集團，研擬正運用中國二代身份證技術有關的，有自有知識產權的軟硬件加密方法`。 

　　網上支付有一個特點，從表現上是IT領域，容易進入，但實質是金融行業，與金融有關的業務中有非常多的規則，也有很多非常敏感的事情，例如網絡安全的問題、信用卡套現、洗錢、非法集資等，問題的復雜性很高。很多網上支付的公司，在人民銀行即將頒布的《清算組織管理辦法》下，應該會有比較大的調整。沒有技術和安全機制的，很難真正在國內的網上支付個行業中立足。 

　　由于人民銀行的清算政策和網上資金的監管還是處于空白狀態，第三方支付公司現在還在努力爭奪用戶中。不管是什么第三方，最終都要通過銀行， 一旦操作方式有問題，都會牽連到銀行，銀行承擔巨大風險，這是人民銀行最擔心的地方。同時，由于第三方支付公司本身的風險而牽連買賣雙方導致的損失，用戶處于最末端，風險才是最大的。人民銀行希望能夠對第三方支付公司的資金流向、業務流程全監控，這樣才能規避風險，但現在沒有相關法規能讓第三方支付公司受到合理的監控。而支付業務永遠是金融業務，做支付業務首先要拿到政策， 

　　RFID首先將主要應用于居民身份證，如果將這個RFID號碼當成網上識別的一部分，然后和中國金融認證中心的1024位電子證書結合，在網上交易就非常安全。 

　　但是普遍采納RFID還面臨許多挑戰，包括：RFID 各地已頒發的5千多萬張交通卡標準不兼容，是開放電子錢包跨行業跨區域運營面臨的挑戰。 

　　有了二代身份證標準的為中心，目前已有3萬張卡 加上人民銀行的配合應用，政府是采納RFID最重要的推動力量。中國銀聯的介入成為密鑰交換中心，并在所有的POS加上RFID讀寫模塊，對推動電子支付的網上和網下業務是正的關鍵。正如過去二十年移動電話行業年收入增長率超過20%一樣，RFID 行業在中國有望沿用相同的成熟模式、實現長期可持續增長。 

　　二、政策與方向 

　　目前與中國銀聯支付網關共同開發線上(Internet) 的收款業務和小額支付電子錢包的離線支付及清算有一個叫www.eRMB.org 的公司提供了手機(非I /RFID /eNetmouse (hardware DES) /CFCA數字簽名PKI 射頻化的軟硬結合解決方案。由于網絡黑客及普遍的鍵盤木馬問題，人民銀行不支持鍵盤輸入銀行卡號、及密碼做為網絡銀行支付方法。 

　　中國人民銀行的公告〔2005.10.26〕第 23 號電子支付指引（第一號）規定銀行通過互聯網為個人客戶辦理電子支付業務，除采用數字證書、電子簽名等安全認證方式外，單筆金額不應超過1000元人民幣，每日累計金額不應超過5000元人民幣?！钡南拗?，就是要防范網上交易的風險. 

　　三、虛擬賬號的加密防范與我國將來規劃的安全管理體系 

　　國際RFID卡無論是在脫機交易還是聯機交易，或日終的交易結算過程中都要使用密鑰進行交易的認證。認證過程主要是使用存儲在交易認證服務器中的密鑰進行MAC計算，因此交易管理基本功能包括以下功能： 

　　MAC/TAC計算服務：使用交易認證加密機內部保存的密鑰對傳入的數據進行MAC或TAC（交易認證碼）計算，并將結果通過網絡輸出。 

　　MAC/TAC校驗服務：使用交易認證加密機內部保存的密鑰對傳入的數據進行MAC/TAC計算，并將計算結果與傳入的結果進行比較,如果結果相同，則返回新的MAC值或返回認證通過。 

　　1、特殊保護密鑰 

　　國際交易認證服務器中的密鑰： 

　　通信密鑰保護密鑰：首次下載通訊主密鑰時用于保護通信主密鑰的下發； 

　　通信主密鑰根密鑰：用來離散生成通信主密鑰的密鑰； 

　　 簽到主密鑰根密鑰：用來離散生成各個終端的簽到主密鑰的密鑰。 

　　通信工作密鑰根密鑰：用來離散生成通信工作密鑰的密鑰。 

　　2、完整性認證和密鑰下發安全機制： 

　　聯機交易通訊過程中，通訊報文的防篡改性由通信工作密鑰保護，采用標準的3DES算法的MAC認證機制。 

　　前置系統向終端（杜下發通訊主密鑰和簽到主密鑰的安全性，是從交易認證加密機中通過標準的3DES算法的加密導出來保證通訊過程中的密鑰的安全隱藏，加密密鑰存于交易認證服務器中，外界無法獲得。 

　　POS終端的通訊主密鑰和簽到主密鑰的替換是用專用的密碼設備（密碼鍵盤）實現。 

　　各個終端的通訊主密鑰的區分是通過用交易認證服務器中的根密鑰按各個終端號分散得到，此過程也是在交易認證服務器進行。 

　　3、交易驗證過程 

　　交易驗證服務器內存儲了從密鑰管理加密機中導入的多種相關密鑰，當聯機交易進行時，它從前置系統獲得實時的交易數據，用對應的密鑰對其進行驗證，然后通過前置系統將結果發給業務主機。由于交易驗證系統處理的是聯機交易，因此采用了雙機熱備的形式，以保證聯機的安全穩定。密鑰管理系統的交易驗證服務器為銀行前置系統安全驗證提供密鑰服務。 

　　4、人民銀行三級密鑰管理體系 

　　我國應用在EMV標準與國際卡接軌上加入了POBOC的自有加密法和管理體系，將來在全國PBOC金融RFID卡架構中，各級密鑰管理中心會利用密鑰管理系統來實現密鑰的安全管理。密鑰管理中心采用全國密鑰管理總中心、二級密鑰管理中心、成員行密鑰管理中心三級管理體制。整個安全體系結構主要包括三類密鑰：全國通用的消費/取現主密鑰GMPK、發卡銀行的聯機交易密鑰和發卡銀行的其他主密鑰。根據密鑰的用途，系統采用不同的處理策略。 

　　GMPK是整個系統的根密鑰，只能由全國密鑰管理總中心產生和控制，并裝載到下發的PSAM卡中；BPK由全國密鑰管理總中心將GMPK根據二級密鑰管理中心機構代碼分散產生，并通過傳輸卡傳遞到二級密鑰管理中心；二級密鑰管理中心再根據成員銀行的機構代碼分散產生MPK，也通過傳輸卡傳輸到成員銀行密鑰管理中心，其他主密鑰由成員行自行產生。 

       5、密鑰管理中心與密鑰的傳遞 

　　上述的三級密鑰分散流程確定了在管理上需要建立三級的密鑰管理中心：人民銀行總行的全國密鑰管理總中心（一級密鑰管理中心）、人民銀行分行或商業銀行總行的二級密鑰管理中心、發卡行的三級密鑰管理中心： 

　?。?）全國密鑰管理總中心配備了SJY49一級密鑰管理系統、發卡設備和密鑰管理軟件，全國密鑰管理總中心在SJY49系統內，使用經國家主管部門審查通過的算法，生成全國通用的消費/取現主密鑰GMPK，并保存在SJY49系統中，系統還使用RFID卡進行密鑰的備份和恢復。全國密鑰管理總中心處理下屬二級密鑰管理中心的申請，使用二級機構的代碼分散GMPK得到BMPK，并用隨機生成的傳輸密鑰加密和簽名后，分段派發到多張密鑰傳輸卡中，同時將傳輸密鑰用二級機構的公鑰加密后也分段保存到多張傳輸卡中。密鑰傳輸卡使用PIN保護。密鑰傳輸卡通過安全的途徑傳遞到二級機構。另外全國密鑰管理總中心還進行PSAM卡的一次發卡，發卡系統從SJY49系統獲得密鑰服務。 

　?。?）二級密鑰管理中心配備SJY49二級密鑰管理系統，二級密鑰管理中心向總中心申請領取BMPK等密鑰，密鑰經密鑰傳輸卡下發后，SJY49系統從卡中分段讀取傳輸密鑰和BMPK密文，并進行解密后將BMPK保存在SJY49系統中。二級密鑰管理中心處理下屬發卡行密鑰管理中心的申請，使用發卡行的代碼分散BMPK得到MPK，采用與密鑰管理總中心相同的方法生成密鑰傳輸卡，并傳遞到發卡行。 

　?。?）發卡行密鑰管理中心配備SJY49三級密鑰管理系統、發卡設備、交易設備。發卡行密鑰管理中心向二級密鑰管理中心申請領取MPK等密鑰，采用與二級中心相同的方式得到MPK并保存在密鑰管理系統中。發卡行密鑰管理中心還需要生成本行的專有密鑰，這些密鑰保存在SJY49系統中。至此，發卡行SJY49系統中包含了所有電子存折/電子錢包應用所需的主密鑰（MPK、MLK、MULK、MTK、MRPK、MPUK、MUK、MAMK），發卡時，SJY49系統內部將MxxK根據用戶卡的應用序列號（卡號）分散得到DxxK，經用戶卡的傳輸密鑰加密后，通過網絡方式，傳輸給發卡系統，寫入到用戶卡中。同時，聯機密鑰也將傳遞至交易設備，為前置系統提供聯機交易驗證服務。 

　　6、密鑰多版本多索引體系 

　　為了降低密鑰泄漏導致的風險，金融RFID卡密鑰管理系統使用了密鑰的多版本和多索引技術。下面以消費密鑰為例說明密鑰的多版本和多索引技術是如何降低系統風險的： 

　　消費密鑰總共有5x5=25個不同密鑰，在用戶卡中存放的是其中的同一版本的5個密鑰，在PSAM卡中存放的是其中的同一索引的5個密鑰，在交易時，使用的用戶卡和PSAM卡所共同擁有的密鑰，即圖中的交叉點的密鑰。任何一張用戶卡和任何一張PSAM卡之間必然存在這樣的一個密鑰。 

　　當其中的一個密鑰泄漏時，可以將所有包含該密鑰PSAM卡銷毀，替換成其他索引的PSAM卡，這樣，該泄漏的密鑰不會在消費中再次使用，保證了交易的安全；由于只更換少量的PSAM卡，大量的用戶卡不用作任何變動，從而降低了密鑰泄漏所導致的風險。 

　　為了確定消費時所用密鑰的版本和索引，需要知道PSAM卡中密鑰的索引和用戶卡中密鑰的版本，這些信息都保存在PSAM卡和用戶卡相應的信息文件中；消費時，POS機從用戶卡中取得密鑰的版本信息，從PSAM卡中取得密鑰的索引信息，從而唯一確定一個消費密鑰。 

　　密鑰組數也不能太多。一方面，在卡片生命周期內多組密鑰全被破解的可能性不大，并且對付硬掩膜攻擊的方法，密鑰組數再多也沒用；另一方面密鑰組數太多，將占用用戶卡和PSAM卡的大量空間，增加卡片的成本。 

　　7、各級密鑰管理中心職能及軟硬件配置 

　?。?）全國密鑰管理總中心 

　　全國密鑰管理總中心應是中國銀聯體系中新建的部門或子公司，主要負責以下三個職能： 

　　1. 產生和管理全國總的消費/取現主密鑰GMPK。 

　　2. 接收二級機構的PSAM請求，進行PSAM卡一次發卡。 

　　3. 接收二級機構的發卡請求，生成二級機構消費主密鑰。 

　　（2）二級機構密鑰中心 

　　二級機構密鑰中心的主要職能為： 

　　1. 接收和管理人總行下發的BMPK。 

　　2. 接收各成員行的PSAM卡請求，轉發至人總行。 

　　3. 接收各成員行的發卡請求，制作三級消費主密鑰。 

　?。?）三級機構密鑰中心 

      三級機構密鑰中心的主要職能為： 

　　1. 接收和管理二級機構下發的MPK。 

　　2. 產生本發卡行的專有密鑰。 

　　3. 用戶卡的發卡。 

　　4. PSAM卡的二次發卡。 

　　5. 裝載專有密鑰到交易服務器中。 

　　6. 布放POS機。 

　　四、全國應用一卡通安全體系 

　　1、全國應用一卡通設計思路 

　　應用一般可分為兩種情況： 

　　簡單行業應用。該類應用本身無太多復雜應用，不需建立獨立的密鑰系統進行管理。 

　　特殊行業應用。該類應用一般具有獨立的密鑰系統，由行業內部自己管理，應用過程中獨立發行自己本行業的PSAM卡，并在終端設備中單獨放置。 

　　全國應用一卡通主要就是針對簡單行業應用所設計的一套體系，該體系通過對全國應用維護根密鑰的四級分散實現了應用的全國通用。整個體系由全國應用一卡通一級密鑰中心、二級密鑰中心、各地各應用三級密鑰中心及發卡行四級密鑰中心四個部分組成。 

　　在各應用中，如有消費等相關金融功能將由金融RFID卡電子錢包部分實現，而各自應用所需的維護密鑰都由一卡通一級密鑰中心產生的維護根密鑰分散而來。 

　　由于待加入應用的不確定性，建議一次生成5類維護密鑰，每類密鑰采用5個版本5個索引共25個密鑰。密鑰總數為125個。 

　　2、全國應用一卡通體系圖 

　　可以看出，整體架構可分為金融和全國應用一卡通兩個部分，兩部分間又有部分交叉重疊。應用維護密鑰的流程為： 

　　1. 在一級中心生成全國應用維護根密鑰，并將根密鑰寫入PSAM卡中； 

　　2. 一級中心根據二級中心的代碼，將全國應用維護根密鑰進行發散下發至二級中心； 

　　3. 二級中心根據各應用的代碼，將全國應用維護二級密鑰進行分散，得到各應用的維護密鑰，下發至各應用； 

　　4. 各應用將全國應用維護三級密鑰傳輸至各發卡行，各發卡行再根據用戶卡序列號的到每張用戶卡的應用維護密鑰，寫入卡中。如應用各自發卡，則應用發卡程序由用戶卡序列號，進行分散得到該用戶卡的應用維護密鑰，寫入卡中。 

　　3、全國應用一卡通體系特點 

　　采用全國應用一卡通具有以下五個特點： 

　　1. 通過對全國應用維護根密鑰的三級分散實現了應用的全國通用； 

　　2. 在PSAM卡中存放全國應用維護根密鑰從而實現應用的脫機處理； 

　　3. 體系擴展性強，加入新應用時，不需把PSAM卡回收重發； 

　　4. 加強了對各應用的統一管理； 

　　5. 應用支付功能由金融電子錢包實現，有利于推動金融RFID卡的普及使用。 

　　4、基本功能 

　　如前所述，RFID卡無論是在脫機交易還是聯機交易，或日終的交易結算過程中都要使用密鑰進行交易的認證。認證過程主要是使用存儲在交易認證服務器中的密鑰進行MAC計算，因此交易管理基本功能包括以下功能： 

　　MAC/TAC計算服務：使用交易認證加密機內部保存的密鑰對傳入的數據進行MAC或TAC（交易認證碼）計算，并將結果通過網絡輸出。 

　　MAC/TAC校驗服務：使用交易認證加密機內部保存的密鑰對傳入的數據進行MAC/TAC計算，并將計算結果與傳入的結果進行比較,如果結果相同，則返回新的MAC值或返回認證通過。

      5、特殊保護密鑰 

　　交易認證服務器中的密鑰： 

　　通信密鑰保護密鑰：首次下載通訊主密鑰時用于保護通信主密鑰的下發； 

　   通信主密鑰根密鑰：用來離散生成通信主密鑰的密鑰； 

　　簽到主密鑰根密鑰：用來離散生成各個終端的簽到主密鑰的密鑰。 

　　通信工作密鑰根密鑰：用來離散生成通信工作密鑰的密鑰。 

　　6、完整性認證和密鑰下發安全機制 

　　聯機交易通訊過程中，通訊報文的防篡改性由通信工作密鑰保護，采用標準的3DES算法的MAC認證機制。 

　　前置系統向終端下發通訊主密鑰和簽到主密鑰的安全性，是從交易認證加密機中通過標準的3DES算法的加密導出來保證通訊過程中的密鑰的安全隱藏，加密密鑰存于交易認證服務器中，外界無法獲得。 

　　POS終端的通訊主密鑰和簽到主密鑰的替換是用專用的密碼設備（密碼鍵盤）實現。 

　　各個終端的通訊主密鑰的區分是通過用交易認證服務器中的根密鑰按各個終端號分散得到，此過程也是在交易認證服務器進行。 

　?。?）發卡行密鑰中心 

　　安全平臺的組成有密鑰服務，發卡服務，交易驗證服務以及相應的管理終端，三個主要的服務在網絡區域上物理隔離，數據交換通過PK卡＋數字信封技術離線傳遞，杜絕一切網絡入侵的可能性，確保安全。 

　?。?）中心職能 

　　各商業銀行密鑰管理中心是整個PBOC金融三級密鑰管理體系的三級機構以及全國應用一卡通四級密鑰管理體系的三級機構，其上級機構為PBOC金融二級密鑰管理中心以及各應用三級密鑰管理中心。發卡行密鑰管理中心主要職能有： 

　　1. 負責嚴格認真的貫徹上級密鑰中心制定的密鑰管理總體方案，負責密鑰管理中心管理人員的培訓。 

　　2. 負責向上級密鑰管理中心申請各類相關密鑰、PSAM卡及有關業務的聯系，并接受上級密鑰管理中心的業務管理和稽核。 

　　3. 負責本發卡行密鑰管理中心的日常運行，妥善保管敏感信息和核心設備，建立工作日志，詳細記錄系統密鑰的生成、分發、更新、廢除等有關記錄，并由專人定期檢查，發現問題，及時報告。 

　　4. 在出現安全緊急情況時，迅速制定應急方案，并組織全行實施，同時向上級密鑰管理中心和有關部門報告。 

　　5. 產生本發卡行的專有密鑰（包括應用主控密鑰、圈存密鑰、PIN重裝密鑰、PIN解鎖密鑰、應用維護密鑰、專有消費密鑰等）。 

　　6. 裝載交易密鑰至交易服務器中，實現交易驗證。 

　　7. 裝載用戶卡和PSAM卡發卡密鑰到發卡服務器中，為用戶卡和PSAM卡的發卡提供密鑰服務。 

　　五、結論 

　　銀行卡的發卡量是8億張，在全球是40億張。我國的網民有1億多，已覆蓋經把網民群體，銀行卡是最IT化，電子化程度是最高的，基于IT架構起來的平臺的話，是非常容易跟網上平臺對接的。 

　　另外銀行卡產業成熟，有國際標準、國內標準，也有行業的規范及完整的市場體系，這些體系也非常很嫁接到互聯網或無線網上。 因此網上支付未來仍然是網上支付的主要載體。透過網上支付的商務與銀行卡的現有行業規范，所以非常容易的形成多元化，能夠符合、配合到各類新出的電子商務的服務形式。解決了安全問題，商務應用發展必定迅猛。