黃澤龍，張文安，謝 云

（中國(guó)電信股份有限公司廣東研究院 廣州 510630）

移動(dòng)支付密鑰體系研究

黃澤龍，張文安，謝 云

（中國(guó)電信股份有限公司廣東研究院 廣州 510630）

針對(duì)移動(dòng)支付的多應(yīng)用安全需求，首先在RFID智能卡和對(duì)稱密鑰技術(shù)的基礎(chǔ)上，提出了多層密鑰體系和密鑰管理系統(tǒng)；然后研究了系統(tǒng)中密鑰的管理流程；最后介紹了系統(tǒng)所采用的密鑰安全技術(shù)。所提出的多層密鑰體系和密鑰管理系統(tǒng)，引入了與第三方合作類(lèi)業(yè)務(wù)的密鑰，同時(shí)支持PSAM卡二次發(fā)卡，比目前常用的密鑰管理系統(tǒng)具有更好的可管理性和方便擴(kuò)展性。

移動(dòng)支付；密鑰體系；密鑰管理；支付安全

1 引言

移動(dòng)支付(mobile payment，m-pay)[1]是允許用戶使用手機(jī)對(duì)所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式。它以RFIDU(S)IM卡為介質(zhì)，集成了公交刷卡、門(mén)禁、考勤、繳納公用事業(yè)費(fèi)等各種各樣的服務(wù)，深受大眾的歡迎和電信運(yùn)營(yíng)商的重視。目前，國(guó)內(nèi)的運(yùn)營(yíng)商，包括中國(guó)電信、中國(guó)移動(dòng)和中國(guó)聯(lián)通都在大力推廣移動(dòng)支付業(yè)務(wù)，特別是基于RFID智能卡的現(xiàn)場(chǎng)支付業(yè)務(wù)。RFID智能卡作為移動(dòng)支付核心部件，其密鑰管理系統(tǒng)是移動(dòng)支付應(yīng)用系統(tǒng)安全的核心，密鑰系統(tǒng)的管理和控制是支付應(yīng)用系統(tǒng)的關(guān)鍵，密鑰管理系統(tǒng)的安全性將直接影響整個(gè)支付應(yīng)用系統(tǒng)的安全性[2]。

目前，密鑰管理系統(tǒng)一般為單層密鑰管理系統(tǒng)[3]和三層密鑰管理系統(tǒng)[4～6]兩種。單層密鑰管理系統(tǒng)，直接使用根密鑰來(lái)生成智能卡的密鑰，密鑰的生成需要系統(tǒng)的根密鑰，根密鑰的安全性難以保證，并且難以擴(kuò)展智能卡應(yīng)用系統(tǒng)的密鑰。三層密鑰管理系統(tǒng)主要通過(guò)根密鑰、二級(jí)密鑰和會(huì)話密鑰三層密鑰機(jī)制和“一卡一密”來(lái)保障密鑰安全。系統(tǒng)較為簡(jiǎn)單，只適用于校園一卡通或其他特定的小區(qū)域，無(wú)法適用于電信運(yùn)營(yíng)商大力推廣的移動(dòng)支付業(yè)務(wù)，因?yàn)槊荑€的索引過(guò)少，難以降低密鑰泄漏所帶來(lái)的風(fēng)險(xiǎn)；密鑰管理系統(tǒng)只有一個(gè)級(jí)別，無(wú)法實(shí)現(xiàn)“各區(qū)域發(fā)卡，跨區(qū)域通用”；沒(méi)有引入與第三方合作類(lèi)業(yè)務(wù)的密鑰，且只支持PSAM卡一次發(fā)卡，缺乏可擴(kuò)展性和靈活性。參考文獻(xiàn)[7]提出的密鑰管理系統(tǒng)比三層密鑰管理系統(tǒng)有所改進(jìn)，增加了密鑰的索引和引入了兩級(jí)密鑰管理系統(tǒng)，但仍然沒(méi)有引入與第三方合作類(lèi)業(yè)務(wù)的密鑰，且只支持PSAM卡一次發(fā)卡，缺乏可擴(kuò)展性和靈活性。因此，本文在對(duì)稱密鑰技術(shù)的基礎(chǔ)上提出了多層密鑰體系和密鑰管理系統(tǒng)，增強(qiáng)密鑰管理系統(tǒng)的可擴(kuò)展性和靈活性，以滿足移動(dòng)支付的多應(yīng)用安全需求。

2 移動(dòng)支付多層密鑰體系

移動(dòng)支付業(yè)務(wù)包括運(yùn)營(yíng)商自營(yíng)業(yè)務(wù)和合作類(lèi)業(yè)務(wù)，從地域上劃分為全國(guó)性業(yè)務(wù)和省內(nèi)業(yè)務(wù)，也就意味著一張RFID智能卡將加載多種支付應(yīng)用，既要保障應(yīng)用的安全性，還要支持應(yīng)用擴(kuò)展的靈活性。因此，多層密鑰體系要達(dá)到以下目標(biāo)：

·技術(shù)安全性，包括保證密鑰管理系統(tǒng)運(yùn)行的安全，保障密鑰生成、存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)的安全性，以防止密鑰泄露；

·可管理性，密鑰涉及多個(gè)層次和多個(gè)應(yīng)用，需保證密鑰的分散、恢復(fù)等環(huán)節(jié)的安全性，以降低密鑰泄露所帶來(lái)的風(fēng)險(xiǎn)；

·方便擴(kuò)展性，保證密鑰安全的同時(shí)，保證不同應(yīng)用間的獨(dú)立性以及加載合作類(lèi)應(yīng)用密鑰的靈活性。

2.1 多層密鑰結(jié)構(gòu)

體系中的密鑰主要分為4類(lèi)，分別是卡片管理密鑰、應(yīng)用管理密鑰、應(yīng)用功能密鑰和通信保護(hù)密鑰。

（1）卡片管理密鑰

包括用戶卡和PSAM卡的卡片主控密鑰和卡片維護(hù)密鑰，確保卡片應(yīng)用的安全加載以及卡片根目錄下文件的安全保護(hù)。

（2）應(yīng)用管理密鑰

包括應(yīng)用主控密鑰和應(yīng)用維護(hù)密鑰，確?？ㄆ瑧?yīng)用密鑰的安全加載以及應(yīng)用下文件的安全保護(hù)。

（3）應(yīng)用功能密鑰

包括消費(fèi)密鑰、圈存密鑰等，是應(yīng)用于具體應(yīng)用的密鑰。

（4）通信保護(hù)密鑰

用于保證系統(tǒng)間、終端和平臺(tái)間的通信安全。

體系中的密鑰分3個(gè)級(jí)別：全國(guó)級(jí)密鑰、省級(jí)密鑰和卡內(nèi)密鑰。密鑰從全國(guó)級(jí)密鑰開(kāi)始，逐級(jí)分散得到省級(jí)密鑰和卡內(nèi)密鑰。全國(guó)根密鑰是卡片管理密鑰、通信保護(hù)密鑰、全國(guó)性自營(yíng)業(yè)務(wù)的應(yīng)用管理密鑰、全國(guó)性自營(yíng)業(yè)務(wù)的應(yīng)用功能密鑰和省應(yīng)用根密鑰的根密鑰。省應(yīng)用根密鑰是各省省內(nèi)自營(yíng)業(yè)務(wù)的根密鑰（本省應(yīng)用根密鑰）的根密鑰。全國(guó)性合作類(lèi)業(yè)務(wù)的應(yīng)用管理密鑰和應(yīng)用功能密鑰來(lái)自全國(guó)第三方應(yīng)用母卡，而省內(nèi)合作類(lèi)業(yè)務(wù)的則來(lái)自省第三方應(yīng)用母卡。

分散全國(guó)根密鑰可生成各種全國(guó)性自營(yíng)業(yè)務(wù)的密鑰（全國(guó)應(yīng)用管理密鑰和全國(guó)應(yīng)用功能密鑰）；分散本省應(yīng)用根密鑰可以得到各種省內(nèi)自營(yíng)業(yè)務(wù)的密鑰（本省應(yīng)用管理密鑰和本省應(yīng)用功能密鑰）；通過(guò)全國(guó)第三方應(yīng)用母卡，可接入各種全國(guó)性合作類(lèi)業(yè)務(wù)的密鑰（全國(guó)第三方應(yīng)用管理密鑰和全國(guó)第三方應(yīng)用功能密鑰）；通過(guò)省第三方應(yīng)用母卡，可接入各種省內(nèi)合作類(lèi)業(yè)務(wù)的密鑰（本省第三方應(yīng)用管理密鑰和本省第三方應(yīng)用功能密鑰）。采用此方式，各種業(yè)務(wù)的密鑰各不相同，保證了智能卡內(nèi)各種應(yīng)用的安全。此外，通過(guò)此方式還可靈活地生成更多全國(guó)性自營(yíng)業(yè)務(wù)和省內(nèi)自營(yíng)業(yè)務(wù)的密鑰，接入更多合作類(lèi)業(yè)務(wù)的密鑰。多層密鑰結(jié)構(gòu)如圖1所示。

圖1 多層密鑰結(jié)構(gòu)

2.2 多層密鑰管理系統(tǒng)

多層密鑰管理系統(tǒng)管理多層密鑰結(jié)構(gòu)中的各種密鑰，分為全國(guó)密鑰管理中心和省密鑰管理中心兩個(gè)級(jí)別，主要由全國(guó)密鑰管理系統(tǒng)、全國(guó)發(fā)卡系統(tǒng)、省密鑰管理系統(tǒng)、省發(fā)卡系統(tǒng)和第三方系統(tǒng)5個(gè)子系統(tǒng)組成，系統(tǒng)結(jié)構(gòu)如圖2所示。

為保證系統(tǒng)以及各子系統(tǒng)免受外部攻擊，系統(tǒng)需要封閉式運(yùn)行，即系統(tǒng)與其他系統(tǒng)間以及各子系統(tǒng)間無(wú)物理連接，它們間的密鑰通過(guò)密鑰母卡進(jìn)行傳遞。各子系統(tǒng)間的關(guān)系如下：

·全國(guó)密鑰管理系統(tǒng)向全國(guó)發(fā)卡系統(tǒng)提供PSAM卡發(fā)卡母卡；

·全國(guó)密鑰管理系統(tǒng)通過(guò)密鑰母卡向省密鑰管理系統(tǒng)傳遞密鑰；

·省密鑰管理系統(tǒng)向省發(fā)卡系統(tǒng)提供用戶卡發(fā)卡母卡和PSAM卡二次發(fā)卡母卡；

·全國(guó)密鑰管理中心接入的第三方應(yīng)用密鑰，通過(guò)全國(guó)密鑰管理系統(tǒng)接收后傳遞給各省密鑰管理中心；

·省密鑰管理中心接入的第三方應(yīng)用密鑰，通過(guò)省密鑰管理系統(tǒng)進(jìn)行接收。

2.2.1 全國(guó)密鑰管理中心功能

多層密鑰管理系統(tǒng)的功能主要由全國(guó)密鑰管理中心和省密鑰管理中心來(lái)完成。其中全國(guó)密鑰管理中心作為系統(tǒng)的第一級(jí)別，主要負(fù)責(zé)以下幾方面。

·根據(jù)密鑰種子A、B生成全國(guó)根密鑰，使用全國(guó)應(yīng)用標(biāo)識(shí)分散全國(guó)根密鑰得到全國(guó)卡片管理密鑰、全國(guó)應(yīng)用管理密鑰、全國(guó)應(yīng)用功能密鑰、全國(guó)通信保護(hù)密鑰和省應(yīng)用根密鑰。

·通過(guò)第三方提供的第三方應(yīng)用母卡接收合作類(lèi)應(yīng)用的密鑰。

·加載全國(guó)通信保護(hù)密鑰到加密機(jī)，銷(xiāo)毀加密機(jī)中的全國(guó)通信保護(hù)密鑰。

·使用全國(guó)通信保護(hù)密鑰制作省通信母卡，使用省應(yīng)用根密鑰制作省應(yīng)用母卡，使用全國(guó)卡片管理密鑰、全國(guó)應(yīng)用管理密鑰和全國(guó)應(yīng)用功能密鑰制作PSAM卡發(fā)卡母卡和省用戶卡發(fā)卡母卡，使用第三方應(yīng)用母卡制作省第三方應(yīng)用母卡，使用全國(guó)卡片管理密鑰制作PSAM卡洗卡母卡和省PSAM卡發(fā)卡母卡?！ぐ咽⊥ㄐ拍缚ā⑹?yīng)用母卡、省用戶卡發(fā)卡母卡、省第三方應(yīng)用母卡、PSAM卡洗卡母卡和省PSAM卡發(fā)卡母卡傳遞給各省密鑰管理中心。

圖2 系統(tǒng)結(jié)構(gòu)

·PSAM卡的一次發(fā)卡。全國(guó)發(fā)卡系統(tǒng)使用PSAM卡發(fā)卡母卡，把PSAM卡的廠商密鑰替代為母卡中的PSAM卡卡片主控密鑰。然后，在卡片主控密鑰控制下導(dǎo)入卡片維護(hù)密鑰，創(chuàng)建卡文件結(jié)構(gòu)和導(dǎo)入全國(guó)應(yīng)用管理密鑰和全國(guó)應(yīng)用功能密鑰。

·把一次發(fā)卡后的PSAM卡傳遞給各省密鑰管理中心。

2.2.2 省密鑰管理中心功能

省密鑰管理中心是多層密鑰管理系統(tǒng)的第二級(jí)別，主要負(fù)責(zé)以下幾方面。

·接收全國(guó)密鑰管理中心傳遞省通信母卡、省應(yīng)用母卡、省用戶卡發(fā)卡母卡、省第三方應(yīng)用母卡、PSAM卡洗卡母卡和省PSAM卡發(fā)卡母卡。

·通過(guò)第三方提供的第三方應(yīng)用母卡接收合作類(lèi)應(yīng)用的密鑰。

·加載省通信保護(hù)密鑰到加密機(jī)，銷(xiāo)毀加密機(jī)中的省通信保護(hù)密鑰。

·使用本省應(yīng)用標(biāo)識(shí)分散省應(yīng)用母卡中的本省應(yīng)用根密鑰從而生成本省應(yīng)用功能密鑰和本省應(yīng)用管理密鑰。

·PSAM卡二次發(fā)卡母卡和用戶卡發(fā)卡母卡的制作。使用省通信保護(hù)密鑰、本省應(yīng)用功能密鑰、本省應(yīng)用管理密鑰和省PSAM卡發(fā)卡母卡制作PSAM卡二次發(fā)卡母卡；利用省用戶卡發(fā)卡母卡、省第三方應(yīng)用母卡、本省第三方應(yīng)用母卡、本省應(yīng)用功能密鑰和本省應(yīng)用管理密鑰制作用戶卡發(fā)卡母卡。

·用戶卡的發(fā)卡。省發(fā)卡系統(tǒng)首先使用用戶卡發(fā)卡母卡，將用戶卡的廠商密鑰替換母卡中的用戶卡卡片主控密鑰；然后，在卡片主控密鑰控制下導(dǎo)入卡片維護(hù)密鑰，創(chuàng)建用戶卡根目錄下的文件和應(yīng)用目錄，并導(dǎo)入應(yīng)用的主控密鑰。接著，在應(yīng)用主控密鑰控制下導(dǎo)入應(yīng)用維護(hù)密鑰和應(yīng)用功能密鑰，在應(yīng)用維護(hù)密鑰控制下創(chuàng)建應(yīng)用目錄下的文件。最后，將個(gè)人化信息寫(xiě)入用戶卡內(nèi)。用戶卡發(fā)卡母卡中的密鑰經(jīng)用戶卡序列號(hào)分散后倒入用戶卡。

·PSAM卡的二次發(fā)卡。省發(fā)卡系統(tǒng)使用PSAM卡二次發(fā)卡母卡和PSAM卡洗卡母卡，往PSAM卡寫(xiě)入終端機(jī)編號(hào)，創(chuàng)建本省應(yīng)用文件，并導(dǎo)入發(fā)卡母卡中的密鑰。發(fā)卡母卡中的應(yīng)用管理密鑰需使用PSAM卡序列號(hào)分散后寫(xiě)入。

3 密鑰管理流程

RFID智能卡上集成多種支付應(yīng)用，能否準(zhǔn)確地生成用戶卡和PSAM卡中的密鑰，對(duì)支付系統(tǒng)的安全至關(guān)重要。因此，多層密鑰管理系統(tǒng)的一個(gè)重要方面是管理系統(tǒng)中各類(lèi)密鑰的生成，包括用戶卡的卡片管理密鑰和運(yùn)營(yíng)商自營(yíng)業(yè)務(wù)的密鑰生成，PSAM卡的卡片管理密鑰、通信保護(hù)密鑰和運(yùn)營(yíng)商自營(yíng)業(yè)務(wù)的密鑰生成和合作類(lèi)業(yè)務(wù)的密鑰加載。

3.1 用戶卡密鑰生成流程

首先，全國(guó)密鑰管理中心使用省編碼分散全國(guó)卡片管理密鑰、全國(guó)應(yīng)用管理密鑰、全國(guó)應(yīng)用功能密鑰得到省卡片管理密鑰、省應(yīng)用管理密鑰和省應(yīng)用功能密鑰，把省卡片管理密鑰、省應(yīng)用管理密鑰和省應(yīng)用功能密鑰寫(xiě)入空白密鑰母卡得到省用戶卡發(fā)卡母卡；將分散省應(yīng)用根密鑰得到的各省的本省應(yīng)用根密鑰寫(xiě)入空白密鑰母卡得到省應(yīng)用母卡。

然后，省密鑰管理中心使用本省應(yīng)用標(biāo)識(shí)分散省應(yīng)用母卡中的本省應(yīng)用根密鑰，得到本省應(yīng)用管理密鑰和本省應(yīng)用功能密鑰。將本省應(yīng)用管理密鑰和本省應(yīng)用功能密鑰一起加載到省用戶卡發(fā)卡母卡，從而得到用戶卡發(fā)卡母卡。

最后，省發(fā)卡系統(tǒng)對(duì)用戶卡進(jìn)行發(fā)卡。用戶卡密鑰的生成流程具體如圖3所示。

3.2 PSAM卡密鑰生成流程

首先，全國(guó)密鑰管理中心把全國(guó)應(yīng)用管理密鑰，全國(guó)卡片管理密鑰和全國(guó)應(yīng)用功能密鑰寫(xiě)入空白密鑰母卡得到PSAM卡發(fā)卡母卡；將分散全國(guó)通信保護(hù)密鑰得到的省通信保護(hù)密鑰寫(xiě)入空白密鑰母卡得到省通信母卡；將卡片管理密鑰寫(xiě)入空白密鑰母卡得到PSAM卡洗卡母卡；使用省編碼分散卡片管理密鑰后寫(xiě)入空白密鑰母卡得到省PSAM卡發(fā)卡母卡。全國(guó)發(fā)卡系統(tǒng)利用PSAM卡發(fā)卡母卡對(duì)PSAM卡進(jìn)行一次發(fā)卡。

然后，省密鑰管理中心把本省應(yīng)用管理密鑰、本省應(yīng)用功能密鑰和省通信保護(hù)密鑰寫(xiě)入到省PSAM卡發(fā)卡母卡，從而生成PSAM卡二次發(fā)卡母卡。最后，省發(fā)卡系統(tǒng)利用PSAM卡洗卡母卡和PSAM卡二次發(fā)卡母卡對(duì)一次發(fā)卡后的PSAM卡進(jìn)行二次發(fā)卡。PSAM卡的密鑰生成流程具體如圖4所示。

圖3 用戶卡密鑰生成流程

3.3 合作類(lèi)業(yè)務(wù)密鑰加載

與第三方合作時(shí)，第三方應(yīng)用的密鑰可采用“委托運(yùn)營(yíng)商完成”和“運(yùn)營(yíng)商授權(quán)、第三方自行加載”兩種方式加載。采用第一種方式時(shí)，運(yùn)營(yíng)商在用戶卡內(nèi)創(chuàng)建相應(yīng)的應(yīng)用并按照第三方的要求導(dǎo)入相應(yīng)的密鑰，密鑰的加載過(guò)程如圖5所示。如果第三方應(yīng)用密鑰通過(guò)全國(guó)第三方應(yīng)用母卡傳遞給全國(guó)密鑰管理中心，則全國(guó)密鑰管理中心分散母卡中的密鑰，并傳遞給各省密鑰管理中心。此時(shí)，各省發(fā)的用戶卡均具有該第三方應(yīng)用。如果通過(guò)省第三方應(yīng)用母卡傳遞給省密鑰管理中，則只有該省發(fā)的用戶卡才具有該第三方應(yīng)用。

在第二種方式中，省密鑰管理中心在用戶卡內(nèi)創(chuàng)建相應(yīng)的應(yīng)用目錄，并制作供第三方使用的第三方應(yīng)用洗卡母卡。第三方利用該母卡，在用戶卡中增加第三方應(yīng)用。

4 密鑰安全技術(shù)

移動(dòng)支付多層密鑰管理系統(tǒng)采用一定的密鑰安全技術(shù)保證其安全性，主要有：利用3DES算法生成根密鑰，方便恢復(fù)根密鑰；采用多索引多版本[8]和密鑰分散機(jī)制，降低密鑰泄漏的風(fēng)險(xiǎn)；使用硬件加密機(jī)和密鑰母卡分別存儲(chǔ)和傳遞密鑰，且限制密鑰的使用次數(shù)和用途，最大限度地保證密鑰的安全。

4.1 密鑰生成技術(shù)

全國(guó)根密鑰通過(guò)加密相關(guān)人員提供的密鑰種子A、B得到，密鑰種子A、B以安全的方式由各方保管，以供密鑰恢復(fù)時(shí)使用。生成過(guò)程為：相關(guān)人員提供密鑰種子A、B（8 byte的字符串），將其轉(zhuǎn)化為字節(jié)類(lèi)型a和b后，合并a和b得到16 byte的密鑰種子C。使用C 3DES加密C與16 byte F的異或值得到密鑰。

4.2 密鑰分散技術(shù)

系統(tǒng)采用的密鑰分散方法如下：假設(shè)KEYf表示母密鑰，KEYs表示子密鑰，K表示分散因子，那么使用分散因子K從母密鑰得到子密鑰，可表示為：

圖4 PSAM卡密鑰生成流程

圖5 “委托運(yùn)營(yíng)商完成”方式中第三方應(yīng)用密鑰的加載流程

KEYs=3DES(KEYf，K+XOR（K，F(xiàn)）)其中，XOR表示異或運(yùn)算，+表示連接，3DES表示3DES加密計(jì)算，F(xiàn) 表示 8 byte全 F，K 為 8 byte，KEYf和KEYs為 16 byte。

密鑰經(jīng)全國(guó)密鑰管理中心分散后傳遞給各省，保證即使某省的密鑰泄漏，也不會(huì)影響到其他省的密鑰安全；同樣地，密鑰分散后導(dǎo)入用戶卡，保證某張用戶卡的密鑰泄漏不會(huì)影響其它用戶卡的密鑰安全。

4.3 密鑰存儲(chǔ)傳輸技術(shù)

系統(tǒng)采用硬件加密機(jī)存儲(chǔ)和備份密鑰；使用密鑰母卡傳輸密鑰，且密鑰傳輸過(guò)程中，不得出現(xiàn)密鑰明文，同時(shí)密鑰母卡必須和密鑰認(rèn)證卡配合使用。密鑰導(dǎo)入密鑰母卡時(shí)，可以設(shè)置密鑰的最多使用次數(shù)，也可以設(shè)置密鑰的用途，比如密鑰只能用于分散或只能用于導(dǎo)出。系統(tǒng)根據(jù)密鑰最多使用次數(shù)和密鑰用途來(lái)限制密鑰的使用。

4.4 密鑰索引與版本

系統(tǒng)中的密鑰采用版本和索引來(lái)標(biāo)識(shí)，每類(lèi)密鑰均有多組不同的版本和索引。PSAM卡中存放一個(gè)索引對(duì)應(yīng)的多個(gè)版本的密鑰，用戶卡中存放一個(gè)版本對(duì)應(yīng)的多個(gè)索引的密鑰。此機(jī)制保證用戶卡密鑰泄漏時(shí)，不用回收已發(fā)出去的用戶卡，只需要把PSAM卡中的密鑰更改為另一個(gè)索引對(duì)應(yīng)的多個(gè)版本的密鑰即可，從而降低密鑰泄漏所帶來(lái)的風(fēng)險(xiǎn)。

5 結(jié)束語(yǔ)

本文針對(duì)移動(dòng)支付中集成多應(yīng)用的安全需求，提出了多層密鑰體系和密鑰管理系統(tǒng)，并對(duì)密鑰管理流程和采用的安全機(jī)制進(jìn)行了介紹。首先，系統(tǒng)封閉式運(yùn)行，并采用加密機(jī)和密鑰母卡分別存儲(chǔ)、傳輸密鑰，而且密鑰母卡需要密鑰認(rèn)證卡的配合才能使用，保證了系統(tǒng)運(yùn)行和密鑰的安全。再次，系統(tǒng)采用密鑰的多索引多版本安全機(jī)制和密鑰分散，降低了密鑰泄漏所帶來(lái)的風(fēng)險(xiǎn)，也保證了不同應(yīng)用間的獨(dú)立性。最后，全國(guó)密鑰管理中心和省密鑰管理中心均可接入第三方的應(yīng)用密鑰，保證了電信運(yùn)營(yíng)商與第三方合作的靈活性。該密鑰管理系統(tǒng)實(shí)現(xiàn)了技術(shù)安全性、可管理性和方便擴(kuò)展性，能支持豐富的移動(dòng)支付智能卡應(yīng)用。

1 Mobile Payment Forum.Mobile payment forum white paper,2002

2 劉金偉,黃樟欽,侯義斌,王普.校園CPU卡密鑰管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).信息安全與通信保密，2006（10）

3 彭旭榮,陽(yáng)王東.一卡通密鑰管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)安全，2010（7）

4 王國(guó)偉.校園一卡通中的密鑰管理研究.計(jì)算機(jī)安全，2008（7）

5 李振濤.校園一卡通的密鑰管理.河北職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2002（3）

6 劉金偉,黃樟欽,侯義斌,王普.校園CPU卡密鑰管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).信息安全與通信保密,2006

7 中國(guó)移動(dòng)手機(jī)支付業(yè)務(wù)密鑰安全管理總體技術(shù)要求,2009

8 向勇.智能卡密鑰管理研究及實(shí)現(xiàn).西安電子科技大學(xué)碩士學(xué)位論文，2007

9 陳鐵明，李偉，蔡家楣，馬世龍.IBE-XKMS：一個(gè)基于XML的IBE 密鑰管理服務(wù)體系.電信科學(xué)，2010，26（7）

10 劉挺，華皓，姚俊旻，張建宇.電信運(yùn)營(yíng)商的移動(dòng)支付產(chǎn)品商業(yè)模式探討.電信科學(xué)，2010，26（9）

11 陳洪，李真，張明杰，林正漢.手機(jī)非接觸支付的技術(shù)標(biāo)準(zhǔn)比較分析.電信科學(xué)，2010，26（9）

12 李真，張明杰，奚中德.基于統(tǒng)一賬號(hào)的電信運(yùn)營(yíng)商全業(yè)務(wù)支付體系探索.電信科學(xué)，2010，26（9）

Research on Key System of Mobile Payment

Huang Zelong,Zhang Wen’an,Xie Yun
(Guangdong Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China)

In this paper,for the multi-application security requirements of mobile payment,the multi-level key system and the multi-level key management system based on the RFID smart card and the symmetric key technology are proposed.And then,it is devoted to the processes of the key.Finally,the key security technologies used in the key management system are described.The proposed multi-level key system and multi-level key management system,which support the key of the business which cooperate with the other companies,and issuing the PSAM card twice,are more flexible and stronger than the common key management system.

mobile payment,key system,key management,the security of payment

2011-05-12）