一、前言 

　　金融電子化潮流，為國內(nèi)基于互聯(lián)網(wǎng)進行的金融服務(wù)技術(shù)填補了一大缺口，中國銀聯(lián)支付網(wǎng)關(guān)集團2005年交易量已超過150億，但對于網(wǎng)路安全與虛擬貨幣的管理還是一個處于探討的階段，尤其在清華大學王曉云教授成功攻破網(wǎng)絡(luò)加密MD5和 SHA-1后，人民銀行對由鍵盤輸入銀行卡號和密碼的外國網(wǎng)上支付普遍的作法表示擔憂。 

　　公安部從2004 年起向13 億多公民發(fā)放內(nèi)置RFID（無線射頻）標簽的居民身份證，這是全球最大的RFID項目之一，中國銀聯(lián)網(wǎng)絡(luò)支付集團，研擬正運用中國二代身份證技術(shù)有關(guān)的，有自有知識產(chǎn)權(quán)的軟硬件加密方法`。 

　　網(wǎng)上支付有一個特點，從表現(xiàn)上是IT領(lǐng)域，容易進入，但實質(zhì)是金融行業(yè)，與金融有關(guān)的業(yè)務(wù)中有非常多的規(guī)則，也有很多非常敏感的事情，例如網(wǎng)絡(luò)安全的問題、信用卡套現(xiàn)、洗錢、非法集資等，問題的復雜性很高。很多網(wǎng)上支付的公司，在人民銀行即將頒布的《清算組織管理辦法》下，應(yīng)該會有比較大的調(diào)整。沒有技術(shù)和安全機制的，很難真正在國內(nèi)的網(wǎng)上支付個行業(yè)中立足。 

　　由于人民銀行的清算政策和網(wǎng)上資金的監(jiān)管還是處于空白狀態(tài)，第三方支付公司現(xiàn)在還在努力爭奪用戶中。不管是什么第三方，最終都要通過銀行， 一旦操作方式有問題，都會牽連到銀行，銀行承擔巨大風險，這是人民銀行最擔心的地方。同時，由于第三方支付公司本身的風險而牽連買賣雙方導致的損失，用戶處于最末端，風險才是最大的。人民銀行希望能夠?qū)Φ谌街Ц豆镜馁Y金流向、業(yè)務(wù)流程全監(jiān)控，這樣才能規(guī)避風險，但現(xiàn)在沒有相關(guān)法規(guī)能讓第三方支付公司受到合理的監(jiān)控。而支付業(yè)務(wù)永遠是金融業(yè)務(wù)，做支付業(yè)務(wù)首先要拿到政策， 

　　RFID首先將主要應(yīng)用于居民身份證，如果將這個RFID號碼當成網(wǎng)上識別的一部分，然后和中國金融認證中心的1024位電子證書結(jié)合，在網(wǎng)上交易就非常安全。 

　　但是普遍采納RFID還面臨許多挑戰(zhàn)，包括：RFID 各地已頒發(fā)的5千多萬張交通卡標準不兼容，是開放電子錢包跨行業(yè)跨區(qū)域運營面臨的挑戰(zhàn)。 

　　有了二代身份證標準的為中心，目前已有3萬張卡 加上人民銀行的配合應(yīng)用，政府是采納RFID最重要的推動力量。中國銀聯(lián)的介入成為密鑰交換中心，并在所有的POS加上RFID讀寫模塊，對推動電子支付的網(wǎng)上和網(wǎng)下業(yè)務(wù)是正的關(guān)鍵。正如過去二十年移動電話行業(yè)年收入增長率超過20%一樣，RFID 行業(yè)在中國有望沿用相同的成熟模式、實現(xiàn)長期可持續(xù)增長。 

　　二、政策與方向 

　　目前與中國銀聯(lián)支付網(wǎng)關(guān)共同開發(fā)線上(Internet) 的收款業(yè)務(wù)和小額支付電子錢包的離線支付及清算有一個叫www.eRMB.org 的公司提供了手機(非I /RFID /eNetmouse (hardware DES) /CFCA數(shù)字簽名PKI 射頻化的軟硬結(jié)合解決方案。由于網(wǎng)絡(luò)黑客及普遍的鍵盤木馬問題，人民銀行不支持鍵盤輸入銀行卡號、及密碼做為網(wǎng)絡(luò)銀行支付方法。 

　　中國人民銀行的公告〔2005.10.26〕第 23 號電子支付指引（第一號）規(guī)定銀行通過互聯(lián)網(wǎng)為個人客戶辦理電子支付業(yè)務(wù)，除采用數(shù)字證書、電子簽名等安全認證方式外，單筆金額不應(yīng)超過1000元人民幣，每日累計金額不應(yīng)超過5000元人民幣?！钡南拗?，就是要防范網(wǎng)上交易的風險. 

　　三、虛擬賬號的加密防范與我國將來規(guī)劃的安全管理體系 

　　國際RFID卡無論是在脫機交易還是聯(lián)機交易，或日終的交易結(jié)算過程中都要使用密鑰進行交易的認證。認證過程主要是使用存儲在交易認證服務(wù)器中的密鑰進行MAC計算，因此交易管理基本功能包括以下功能： 

　　MAC/TAC計算服務(wù)：使用交易認證加密機內(nèi)部保存的密鑰對傳入的數(shù)據(jù)進行MAC或TAC（交易認證碼）計算，并將結(jié)果通過網(wǎng)絡(luò)輸出。 

　　MAC/TAC校驗服務(wù)：使用交易認證加密機內(nèi)部保存的密鑰對傳入的數(shù)據(jù)進行MAC/TAC計算，并將計算結(jié)果與傳入的結(jié)果進行比較,如果結(jié)果相同，則返回新的MAC值或返回認證通過。 

　　1、特殊保護密鑰 

　　國際交易認證服務(wù)器中的密鑰： 

　　通信密鑰保護密鑰：首次下載通訊主密鑰時用于保護通信主密鑰的下發(fā)； 

　　通信主密鑰根密鑰：用來離散生成通信主密鑰的密鑰； 

　　 簽到主密鑰根密鑰：用來離散生成各個終端的簽到主密鑰的密鑰。 

　　通信工作密鑰根密鑰：用來離散生成通信工作密鑰的密鑰。 

　　2、完整性認證和密鑰下發(fā)安全機制： 

　　聯(lián)機交易通訊過程中，通訊報文的防篡改性由通信工作密鑰保護，采用標準的3DES算法的MAC認證機制。 

　　前置系統(tǒng)向終端（杜下發(fā)通訊主密鑰和簽到主密鑰的安全性，是從交易認證加密機中通過標準的3DES算法的加密導出來保證通訊過程中的密鑰的安全隱藏，加密密鑰存于交易認證服務(wù)器中，外界無法獲得。 

　　POS終端的通訊主密鑰和簽到主密鑰的替換是用專用的密碼設(shè)備（密碼鍵盤）實現(xiàn)。 

　　各個終端的通訊主密鑰的區(qū)分是通過用交易認證服務(wù)器中的根密鑰按各個終端號分散得到，此過程也是在交易認證服務(wù)器進行。 

　　3、交易驗證過程 

　　交易驗證服務(wù)器內(nèi)存儲了從密鑰管理加密機中導入的多種相關(guān)密鑰，當聯(lián)機交易進行時，它從前置系統(tǒng)獲得實時的交易數(shù)據(jù)，用對應(yīng)的密鑰對其進行驗證，然后通過前置系統(tǒng)將結(jié)果發(fā)給業(yè)務(wù)主機。由于交易驗證系統(tǒng)處理的是聯(lián)機交易，因此采用了雙機熱備的形式，以保證聯(lián)機的安全穩(wěn)定。密鑰管理系統(tǒng)的交易驗證服務(wù)器為銀行前置系統(tǒng)安全驗證提供密鑰服務(wù)。 

　　4、人民銀行三級密鑰管理體系 

　　我國應(yīng)用在EMV標準與國際卡接軌上加入了POBOC的自有加密法和管理體系，將來在全國PBOC金融RFID卡架構(gòu)中，各級密鑰管理中心會利用密鑰管理系統(tǒng)來實現(xiàn)密鑰的安全管理。密鑰管理中心采用全國密鑰管理總中心、二級密鑰管理中心、成員行密鑰管理中心三級管理體制。整個安全體系結(jié)構(gòu)主要包括三類密鑰：全國通用的消費/取現(xiàn)主密鑰GMPK、發(fā)卡銀行的聯(lián)機交易密鑰和發(fā)卡銀行的其他主密鑰。根據(jù)密鑰的用途，系統(tǒng)采用不同的處理策略。 

　　GMPK是整個系統(tǒng)的根密鑰，只能由全國密鑰管理總中心產(chǎn)生和控制，并裝載到下發(fā)的PSAM卡中；BPK由全國密鑰管理總中心將GMPK根據(jù)二級密鑰管理中心機構(gòu)代碼分散產(chǎn)生，并通過傳輸卡傳遞到二級密鑰管理中心；二級密鑰管理中心再根據(jù)成員銀行的機構(gòu)代碼分散產(chǎn)生MPK，也通過傳輸卡傳輸?shù)匠蓡T銀行密鑰管理中心，其他主密鑰由成員行自行產(chǎn)生。 

       5、密鑰管理中心與密鑰的傳遞 

　　上述的三級密鑰分散流程確定了在管理上需要建立三級的密鑰管理中心：人民銀行總行的全國密鑰管理總中心（一級密鑰管理中心）、人民銀行分行或商業(yè)銀行總行的二級密鑰管理中心、發(fā)卡行的三級密鑰管理中心： 

　?。?）全國密鑰管理總中心配備了SJY49一級密鑰管理系統(tǒng)、發(fā)卡設(shè)備和密鑰管理軟件，全國密鑰管理總中心在SJY49系統(tǒng)內(nèi)，使用經(jīng)國家主管部門審查通過的算法，生成全國通用的消費/取現(xiàn)主密鑰GMPK，并保存在SJY49系統(tǒng)中，系統(tǒng)還使用RFID卡進行密鑰的備份和恢復。全國密鑰管理總中心處理下屬二級密鑰管理中心的申請，使用二級機構(gòu)的代碼分散GMPK得到BMPK，并用隨機生成的傳輸密鑰加密和簽名后，分段派發(fā)到多張密鑰傳輸卡中，同時將傳輸密鑰用二級機構(gòu)的公鑰加密后也分段保存到多張傳輸卡中。密鑰傳輸卡使用PIN保護。密鑰傳輸卡通過安全的途徑傳遞到二級機構(gòu)。另外全國密鑰管理總中心還進行PSAM卡的一次發(fā)卡，發(fā)卡系統(tǒng)從SJY49系統(tǒng)獲得密鑰服務(wù)。 

　?。?）二級密鑰管理中心配備SJY49二級密鑰管理系統(tǒng)，二級密鑰管理中心向總中心申請領(lǐng)取BMPK等密鑰，密鑰經(jīng)密鑰傳輸卡下發(fā)后，SJY49系統(tǒng)從卡中分段讀取傳輸密鑰和BMPK密文，并進行解密后將BMPK保存在SJY49系統(tǒng)中。二級密鑰管理中心處理下屬發(fā)卡行密鑰管理中心的申請，使用發(fā)卡行的代碼分散BMPK得到MPK，采用與密鑰管理總中心相同的方法生成密鑰傳輸卡，并傳遞到發(fā)卡行。 

　　（3）發(fā)卡行密鑰管理中心配備SJY49三級密鑰管理系統(tǒng)、發(fā)卡設(shè)備、交易設(shè)備。發(fā)卡行密鑰管理中心向二級密鑰管理中心申請領(lǐng)取MPK等密鑰，采用與二級中心相同的方式得到MPK并保存在密鑰管理系統(tǒng)中。發(fā)卡行密鑰管理中心還需要生成本行的專有密鑰，這些密鑰保存在SJY49系統(tǒng)中。至此，發(fā)卡行SJY49系統(tǒng)中包含了所有電子存折/電子錢包應(yīng)用所需的主密鑰（MPK、MLK、MULK、MTK、MRPK、MPUK、MUK、MAMK），發(fā)卡時，SJY49系統(tǒng)內(nèi)部將MxxK根據(jù)用戶卡的應(yīng)用序列號（卡號）分散得到DxxK，經(jīng)用戶卡的傳輸密鑰加密后，通過網(wǎng)絡(luò)方式，傳輸給發(fā)卡系統(tǒng)，寫入到用戶卡中。同時，聯(lián)機密鑰也將傳遞至交易設(shè)備，為前置系統(tǒng)提供聯(lián)機交易驗證服務(wù)。 

　　6、密鑰多版本多索引體系 

　　為了降低密鑰泄漏導致的風險，金融RFID卡密鑰管理系統(tǒng)使用了密鑰的多版本和多索引技術(shù)。下面以消費密鑰為例說明密鑰的多版本和多索引技術(shù)是如何降低系統(tǒng)風險的： 

　　消費密鑰總共有5x5=25個不同密鑰，在用戶卡中存放的是其中的同一版本的5個密鑰，在PSAM卡中存放的是其中的同一索引的5個密鑰，在交易時，使用的用戶卡和PSAM卡所共同擁有的密鑰，即圖中的交叉點的密鑰。任何一張用戶卡和任何一張PSAM卡之間必然存在這樣的一個密鑰。 

　　當其中的一個密鑰泄漏時，可以將所有包含該密鑰PSAM卡銷毀，替換成其他索引的PSAM卡，這樣，該泄漏的密鑰不會在消費中再次使用，保證了交易的安全；由于只更換少量的PSAM卡，大量的用戶卡<