一、前言 

　　金融电子化潮流，为国内基于互联网进行的金融服务技术填补了一大缺口，中国银联支付网关集团2005年交易量已超过150亿，但对于网路安全与虚拟货币的管理还是一个处于探讨的阶段，尤其在清华大学王晓云教授成功攻破网络加密MD5和 SHA-1后，人民银行对由键盘输入银行卡号和密码的外国网上支付普遍的作法表示担忧。 

　　公安部从2004 年起向13 亿多公民发放内置RFID（无线射频）标签的居民身份证，这是全球最大的RFID项目之一，中国银联网络支付集团，研拟正运用中国二代身份证技术有关的，有自有知识产权的软硬件加密方法`。 

　　网上支付有一个特点，从表现上是IT领域，容易进入，但实质是金融行业，与金融有关的业务中有非常多的规则，也有很多非常敏感的事情，例如网络安全的问题、信用卡套现、洗钱、非法集资等，问题的复杂性很高。很多网上支付的公司，在人民银行即将颁布的《清算组织管理办法》下，应该会有比较大的调整。没有技术和安全机制的，很难真正在国内的网上支付个行业中立足。 

　　由于人民银行的清算政策和网上资金的监管还是处于空白状态，第三方支付公司现在还在努力争夺用户中。不管是什么第三方，最终都要通过银行， 一旦操作方式有问题，都会牵连到银行，银行承担巨大风险，这是人民银行最担心的地方。同时，由于第三方支付公司本身的风险而牵连买卖双方导致的损失，用户处于最末端，风险才是最大的。人民银行希望能够对第三方支付公司的资金流向、业务流程全监控，这样才能规避风险，但现在没有相关法规能让第三方支付公司受到合理的监控。而支付业务永远是金融业务，做支付业务首先要拿到政策， 

　　RFID首先将主要应用于居民身份证，如果将这个RFID号码当成网上识别的一部分，然后和中国金融认证中心的1024位电子证书结合，在网上交易就非常安全。 

　　但是普遍采纳RFID还面临许多挑战，包括：RFID 各地已颁发的5千多万张交通卡标准不兼容，是开放电子钱包跨行业跨区域运营面临的挑战。 

　　有了二代身份证标准的为中心，目前已有3万张卡 加上人民银行的配合应用，政府是采纳RFID最重要的推动力量。中国银联的介入成为密钥交换中心，并在所有的POS加上RFID读写模块，对推动电子支付的网上和网下业务是正的关键。正如过去二十年移动电话行业年收入增长率超过20%一样，RFID 行业在中国有望沿用相同的成熟模式、实现长期可持续增长。 

　　二、政策与方向 

　　目前与中国银联支付网关共同开发线上(Internet) 的收款业务和小额支付电子钱包的离线支付及清算有一个叫www.eRMB.org 的公司提供了手机(非I /RFID /eNetmouse (hardware DES) /CFCA数字签名PKI 射频化的软硬结合解决方案。由于网络黑客及普遍的键盘木马问题，人民银行不支持键盘输入银行卡号、及密码做为网络银行支付方法。 

　　中国人民银行的公告〔2005.10.26〕第 23 号电子支付指引（第一号）规定银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币。”的限制，就是要防范网上交易的风险. 

　　三、虚拟账号的加密防范与我国将来规划的安全管理体系 

　　国际RFID卡无论是在脱机交易还是联机交易，或日终的交易结算过程中都要使用密钥进行交易的认证。认证过程主要是使用存储在交易认证服务器中的密钥进行MAC计算，因此交易管理基本功能包括以下功能： 

　　MAC/TAC计算服务：使用交易认证加密机内部保存的密钥对传入的数据进行MAC或TAC（交易认证码）计算，并将结果通过网络输出。 

　　MAC/TAC校验服务：使用交易认证加密机内部保存的密钥对传入的数据进行MAC/TAC计算，并将计算结果与传入的结果进行比较,如果结果相同，则返回新的MAC值或返回认证通过。 

　　1、特殊保护密钥 

　　国际交易认证服务器中的密钥： 

　　通信密钥保护密钥：首次下载通讯主密钥时用于保护通信主密钥的下发； 

　　通信主密钥根密钥：用来离散生成通信主密钥的密钥； 

　　 签到主密钥根密钥：用来离散生成各个终端的签到主密钥的密钥。 

　　通信工作密钥根密钥：用来离散生成通信工作密钥的密钥。 

　　2、完整性认证和密钥下发安全机制： 

　　联机交易通讯过程中，通讯报文的防篡改性由通信工作密钥保护，采用标准的3DES算法的MAC认证机制。 

　　前置系统向终端（杜下发通讯主密钥和签到主密钥的安全性，是从交易认证加密机中通过标准的3DES算法的加密导出来保证通讯过程中的密钥的安全隐藏，加密密钥存于交易认证服务器中，外界无法获得。 

　　POS终端的通讯主密钥和签到主密钥的替换是用专用的密码设备（密码键盘）实现。 

　　各个终端的通讯主密钥的区分是通过用交易认证服务器中的根密钥按各个终端号分散得到，此过程也是在交易认证服务器进行。 

　　3、交易验证过程 

　　交易验证服务器内存储了从密钥管理加密机中导入的多种相关密钥，当联机交易进行时，它从前置系统获得实时的交易数据，用对应的密钥对其进行验证，然后通过前置系统将结果发给业务主机。由于交易验证系统处理的是联机交易，因此采用了双机热备的形式，以保证联机的安全稳定。密钥管理系统的交易验证服务器为银行前置系统安全验证提供密钥服务。 

　　4、人民银行三级密钥管理体系 

　　我国应用在EMV标准与国际卡接轨上加入了POBOC的自有加密法和管理体系，将来在全国PBOC金融RFID卡架构中，各级密钥管理中心会利用密钥管理系统来实现密钥的安全管理。密钥管理中心采用全国密钥管理总中心、二级密钥管理中心、成员行密钥管理中心三级管理体制。整个安全体系结构主要包括三类密钥：全国通用的消费/取现主密钥GMPK、发卡银行的联机交易密钥和发卡银行的其他主密钥。根据密钥的用途，系统采用不同的处理策略。 

　　GMPK是整个系统的根密钥，只能由全国密钥管理总中心产生和控制，并装载到下发的PSAM卡中；BPK由全国密钥管理总中心将GMPK根据二级密钥管理中心机构代码分散产生，并通过传输卡传递到二级密钥管理中心；二级密钥管理中心再根据成员银行的机构代码分散产生MPK，也通过传输卡传输到成员银行密钥管理中心，其他主密钥由成员行自行产生。 

       5、密钥管理中心与密钥的传递 

　　上述的三级密钥分散流程确定了在管理上需要建立三级的密钥管理中心：人民银行总行的全国密钥管理总中心（一级密钥管理中心）、人民银行分行或商业银行总行的二级密钥管理中心、发卡行的三级密钥管理中心： 

　　（1）全国密钥管理总中心配备了SJY49一级密钥管理系统、发卡设备和密钥管理软件，全国密钥管理总中心在SJY49系统内，使用经国家主管部门审查通过的算法，生成全国通用的消费/取现主密钥GMPK，并保存在SJY49系统中，系统还使用RFID卡进行密钥的备份和恢复。全国密钥管理总中心处理下属二级密钥管理中心的申请，使用二级机构的代码分散GMPK得到BMPK，并用随机生成的传输密钥加密和签名后，分段派发到多张密钥传输卡中，同时将传输密钥用二级机构的公钥加密后也分段保存到多张传输卡中。密钥传输卡使用PIN保护。密钥传输卡通过安全的途径传递到二级机构。另外全国密钥管理总中心还进行PSAM卡的一次发卡，发卡系统从SJY49系统获得密钥服务。 

　　（2）二级密钥管理中心配备SJY49二级密钥管理系统，二级密钥管理中心向总中心申请领取BMPK等密钥，密钥经密钥传输卡下发后，SJY49系统从卡中分段读取传输密钥和BMPK密文，并进行解密后将BMPK保存在SJY49系统中。二级密钥管理中心处理下属发卡行密钥管理中心的申请，使用发卡行的代码分散BMPK得到MPK，采用与密钥管理总中心相同的方法生成密钥传输卡，并传递到发卡行。 

　　（3）发卡行密钥管理中心配备SJY49三级密钥管理系统、发卡设备、交易设备。发卡行密钥管理中心向二级密钥管理中心申请领取MPK等密钥，采用与二级中心相同的方式得到MPK并保存在密钥管理系统中。发卡行密钥管理中心还需要生成本行的专有密钥，这些密钥保存在SJY49系统中。至此，发卡行SJY49系统中包含了所有电子存折/电子钱包应用所需的主密钥（MPK、MLK、MULK、MTK、MRPK、MPUK、MUK、MAMK），发卡时，SJY49系统内部将MxxK根据用户卡的应用序列号（卡号）分散得到DxxK，经用户卡的传输密钥加密后，通过网络方式，传输给发卡系统，写入到用户卡中。同时，联机密钥也将传递至交易设备，为前置系统提供联机交易验证服务。 

　　6、密钥多版本多索引体系 

　　为了降低密钥泄漏导致的风险，金融RFID卡密钥管理系统使用了密钥的多版本和多索引技术。下面以消费密钥为例说明密钥的多版本和多索引技术是如何降低系统风险的： 

　　消费密钥总共有5x5=25个不同密钥，在用户卡中存放的是其中的同一版本的5个密钥，在PSAM卡中存放的是其中的同一索引的5个密钥，在交易时，使用的用户卡和PSAM卡所共同拥有的密钥，即图中的交叉点的密钥。任何一张用户卡和任何一张PSAM卡之间必然存在这样的一个密钥。 

　　当其中的一个密钥泄漏时，可以将所有包含该密钥PSAM卡销毁，替换成其他索引的PSAM卡，这样，该泄漏的密钥不会在消费中再次使用，保证了交易的安全；由于只更换少量的PSAM卡，大量的用户卡<