中國電信 融合 支付 平臺(tái)技術(shù)要求 密鑰 分 冊(cè) （試行） 中國電信集團(tuán) 公司 2010 年 6 月 前言 本規(guī)范根據(jù)中國電信翼支付產(chǎn)品（基礎(chǔ)版）業(yè)務(wù)規(guī)范制定，描述 中國電信融合支付平臺(tái)的密鑰管理 功能。 本規(guī)范適用于 中國電信融合支付平臺(tái)的密鑰管理功能 開發(fā)。 本規(guī)范解釋權(quán)屬于中國電信股份有限公司。 本規(guī)范起草單位：中國電信股份有限公司移動(dòng)支付項(xiàng)目組 。 本規(guī)范主要起草人 ： 俞海宏， 陳洪 。 中國電信融合支付平臺(tái)技術(shù)要求 密鑰 分冊(cè) i 目錄 1. 概述 . 1 2. 引用標(biāo)準(zhǔn) . 1 3. 名詞解釋 . 2 4. 密鑰管理系統(tǒng)總體架構(gòu) . 3 5. 密鑰管理業(yè)務(wù)規(guī)則 . 4 5.1 密鑰類型 . 4 5.2 密鑰版本和索引 . 5 5.3 業(yè)務(wù)數(shù)據(jù)定義 . 6 5.4 分散因子選取和分散算法 . 6 5.5 密鑰分級(jí)管理 . 7 5.5.1 全國密鑰管理系統(tǒng) . 7 5.5.2 省密鑰管理系統(tǒng) . 8 5.6 密鑰分散屬性 . 8 5.6.1 類型一 全國密鑰管理系統(tǒng)生成后分散傳遞到省 . 8 5.6.2 類型二 全國密鑰管理系統(tǒng)生成后直接傳遞到省 . 9 5.6.3 類型三 全國密鑰管理系統(tǒng)生成后寫入 PSAM 卡 . 10 5.6.4 類型四 全國應(yīng)用中由省生成的密鑰 . 11 5.6.5 類型五 省特色應(yīng)用、社區(qū)應(yīng)用密鑰 . 11 6. 全國密鑰管理系統(tǒng)業(yè)務(wù)功能 . 12 6.1 密鑰生成 . 12 6.2 密鑰傳輸 . 12 6.3 密鑰銷毀 . 12 6.4 密鑰加載 . 12 6.5 密鑰恢復(fù) . 12 6.6 PSAM 卡一次發(fā)卡 . 12 6.7 密鑰管理輔助功能 . 13 7. 省密鑰管理系統(tǒng) . 13 7.1 密鑰生成 . 13 7.2 密鑰接收 . 13 7.3 密鑰傳輸 . 13 7.4 密鑰銷毀 . 14 7.5 密鑰加載 . 14 7.6 密鑰恢復(fù) . 15 7.7 PSAM 卡二次發(fā)卡 . 15 7.8 用戶卡發(fā)卡支持 . 15 8. 非功能性需求 . 15 8.1 安全性需求 . 15 8.2 易用性需求 . 16 8.3 擴(kuò)展性需求 . 16 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 1 頁 共 16 頁 1. 概述 本文是對(duì) 融合支付平臺(tái)中相關(guān)的密鑰體系的說明 。 本文檔中說指的移動(dòng)支付是以手機(jī)為主要介質(zhì)，對(duì)所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付和處理的行為，既包括翼支付賬戶支付，也包括電信積分、優(yōu)惠券等支付形式，目前移動(dòng)支付中使用的密鑰是對(duì)稱密鑰，密鑰管理是指與移動(dòng)支付相關(guān)的對(duì)稱密鑰的安全管理。 中國電信密鑰管理基于如下基本業(yè)務(wù)原則： 統(tǒng)一規(guī)劃，建設(shè)一個(gè)統(tǒng)一的密鑰管理系統(tǒng)，實(shí)現(xiàn)卡管理、支付、積分等業(yè)務(wù)的密鑰管理需求 ； 兩級(jí)架構(gòu)，密鑰管理系統(tǒng)按照集團(tuán)、省兩級(jí)架構(gòu)，全國密鑰管理系統(tǒng)產(chǎn)生和管理全國應(yīng)用中跨區(qū)域共享應(yīng)用密鑰，如 消費(fèi)密鑰等，省密鑰管理系統(tǒng)管理全國應(yīng)用中省內(nèi)應(yīng)用密鑰、省應(yīng)用密鑰、社區(qū)支付平臺(tái)應(yīng)用密鑰 ； 風(fēng)險(xiǎn)分散，全國密鑰管理系統(tǒng)管理的跨區(qū)域共享應(yīng)用密鑰通過 省密鑰管理系統(tǒng) 代碼離散后，生成各省應(yīng)用子密鑰，傳遞到省密鑰管理系統(tǒng) ； 封閉運(yùn)行，基于安全性考慮，全國密鑰管理系統(tǒng)、省密鑰管理系統(tǒng)采用封閉運(yùn)行方式，系統(tǒng)不得提供直接與外部應(yīng)用系統(tǒng)網(wǎng)絡(luò)連接，密鑰傳遞采用密鑰管理母卡或加密設(shè)備方式進(jìn)行 ； 各省發(fā)卡、跨區(qū)域通用，電信 RFID UIM 卡的發(fā)行主體是各省公司，通過統(tǒng)一的密鑰管理和分發(fā)機(jī)制實(shí)現(xiàn)“各省發(fā)卡、全國通用”的目標(biāo) 。 1. 引用標(biāo) 準(zhǔn) 下列文件通過本文的參考而成為本技術(shù)要求的條款。凡是注日期的參考文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本文，凡是不注日期的參考文件，其最新版本適用于本文。 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 2 頁 共 16 頁 【 1】 中國電信翼支付產(chǎn)品（基礎(chǔ)版）業(yè)務(wù)規(guī)范（試行） 【 2】中國電信融合支付平臺(tái)技術(shù)要求 總冊(cè) 【 3】中國電信融合支付平臺(tái)技術(shù)要求 全國平臺(tái)功能分冊(cè) 【 4】中國電信融合支付平臺(tái)技術(shù)要求 省平臺(tái)功能分冊(cè) 2. 名詞解釋 術(shù)語 術(shù)語描述 翼支付賬戶 中國電信向用戶提供的電信消費(fèi)賬戶中的在線支付賬戶 翼支付卡 已經(jīng)寫 入電信翼支付賬戶的 RFID UIM 卡 翼支付卡號(hào) 為用戶翼支付卡分配的翼支付卡號(hào)，存放在翼支付卡內(nèi)，用以標(biāo)識(shí)翼支付應(yīng)用。 翼支付賬號(hào) 翼支付賬號(hào) 是用戶用來登錄及使用翼支付賬戶的號(hào)碼，翼支付賬號(hào)編碼同電信通行證編碼。 POSP 終端（接收端機(jī)具）接入平臺(tái)，分為全國、省兩級(jí)。 密鑰 用來進(jìn)行安全計(jì)算的字符串，本文檔中說指的密鑰未進(jìn)行特殊說明，指對(duì) 稱密鑰，長度為 16 字節(jié) 密鑰明文 未經(jīng)過加密處理的密鑰值 密鑰密文 經(jīng)過加密處理的密鑰值 密鑰母卡 一種特殊的 IC 卡，通常用來存儲(chǔ)密鑰管理系統(tǒng)中的密鑰 PIN Personal Identify Number 的簡稱，在本文檔指保存在 IC 卡上的標(biāo)識(shí)碼，用來確認(rèn)操作員身份 PIN 解鎖 PIN 多次嘗試失敗被鎖定后，解除鎖定的操作 PIN 重裝 PIN 遺忘后，重新設(shè)置 PIN 的操作 密鑰分散 通過特定的算法，通過父密鑰獲得子密鑰的過程 分散因子 密鑰分散過程需要的參數(shù) 用戶卡 前向用戶用來完成支付、積分應(yīng)用使用的介質(zhì) PSAM 卡 Purchase Security Authenticate Model 簡稱，放置在消費(fèi)終端上的安全模塊 消費(fèi) 用戶通過刷 卡獲得相應(yīng)商品和服務(wù)的過程 充值 通過轉(zhuǎn)賬或現(xiàn)金方式向用戶賬戶加值的過程 圈存 通過轉(zhuǎn)賬方式，將資金從資金主賬戶轉(zhuǎn)入錢包的過程 圈提 通過轉(zhuǎn)賬方式，將資金從電子存折轉(zhuǎn)入主賬戶的過程 TAC Transaction Authenticate Code 交易認(rèn)證碼的簡稱，用來確認(rèn)脫機(jī)交易的合法性 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 3 頁 共 16 頁 3. 密鑰管理系統(tǒng)總體架構(gòu) 移動(dòng)支付密鑰管理系統(tǒng)總體架構(gòu)如下圖所示： 集 團(tuán) 密 鑰 管 理 系 統(tǒng)省 密 鑰 管 理 系 統(tǒng)集 團(tuán) 卡 管 平 臺(tái)省 卡 管 平 臺(tái)卡 片 級(jí) 密 鑰發(fā) 卡 系 統(tǒng)第 三 方 系 統(tǒng)第 三 方 系 統(tǒng)發(fā) 卡 母 卡省 級(jí) 密 鑰圖 5-1 密鑰管理系統(tǒng)總體架構(gòu)圖 鑒于密鑰管理系統(tǒng)封閉運(yùn)行的特點(diǎn)，密鑰管理系統(tǒng)和其他系統(tǒng)之間不進(jìn)行物理網(wǎng)絡(luò)的互通，涉及到的密鑰交互通過密鑰 管理母卡的方式進(jìn)行傳遞。密鑰系統(tǒng)和周邊相關(guān)聯(lián)系統(tǒng)關(guān)系如下： 1. 全國密鑰管理系統(tǒng)向集團(tuán)卡管理平臺(tái)提供母卡，包含卡片級(jí)密鑰，集團(tuán)卡管平臺(tái)將相關(guān)密鑰導(dǎo)入系統(tǒng) ； 2. 全國密鑰管理系統(tǒng)向省密鑰管理系統(tǒng)傳輸中心生成和管理的密鑰 ； 3. 省級(jí)密鑰管理系統(tǒng)向發(fā)卡系統(tǒng)提供用戶卡發(fā)卡母卡，滿足用戶卡發(fā)卡要求 ； 4. 集團(tuán)統(tǒng)談的第三方應(yīng)用密鑰，通過全國密鑰管理系統(tǒng)接收后下發(fā)到省密鑰管理系統(tǒng) ； 5. 與省合作的第三方應(yīng)用密鑰，通過省密鑰管理系統(tǒng)進(jìn)行接收 。 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 4 頁 共 16 頁 4. 密鑰管理業(yè)務(wù)規(guī)則 4.1 密鑰類型 中國電信密鑰管理系統(tǒng)，從類型上可以分為如下幾種： 卡片管理類密鑰，包括用戶卡主控密鑰、用戶卡維護(hù)密鑰， PSAM 卡主控密鑰、 PSAM 卡維護(hù)密鑰， 用來保護(hù)卡片上多應(yīng)用的安全加載，以及卡片根目錄下的文件的安全保護(hù) ； 應(yīng)用管理類密鑰，包括應(yīng)用主控密鑰、應(yīng)用維護(hù)密鑰，用來保護(hù)卡片上某個(gè)應(yīng)用中的密鑰安全加載，以及某個(gè)應(yīng)用下的文件的安全保護(hù) ； 應(yīng)用密鑰，用來保護(hù)某個(gè)特定的應(yīng)用（比如消費(fèi)、圈存、 OTA 等）安全的密鑰，應(yīng)用密鑰包括如下幾種： 消費(fèi)密鑰，用來保護(hù)脫機(jī)消費(fèi)的安全性，針對(duì) M1 卡，消費(fèi)密鑰就是對(duì)應(yīng)扇區(qū)的讀、減值密鑰 ； 圈存密鑰，用來保護(hù)圈存（充值）交易的安全性，針對(duì) M1 卡，圈存密鑰就是對(duì)應(yīng)扇區(qū)的寫、加值密鑰 ； TAC 密鑰，用來計(jì)算交易驗(yàn)證碼的密鑰 ； 圈提密鑰，用來保護(hù)電子存折圈提交易安全性的密鑰 ； PIN 解鎖密鑰，用來保護(hù) PIN 解鎖交易安全的密鑰 ； PIN 重裝密鑰，用來保護(hù) PIN 重裝交易安全的密鑰 ； 透支更新密鑰，用來保護(hù)透支更新交易安全的密鑰 ； OTA MAC 計(jì)算密鑰，用來計(jì)算 OTA 交易報(bào)文的 MAC； OTA 加密密鑰，用來計(jì)算 OTA 交易報(bào)文中的密文信息 。 通訊保護(hù)密鑰，用來保護(hù)各應(yīng)用系統(tǒng)之間、交易終端和應(yīng)用平臺(tái)之間，工作密鑰的安全更新和下載 。 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 5 頁 共 16 頁 4.2 密鑰版本和索引 為了降 低密鑰泄漏造成的風(fēng)險(xiǎn)，電信密鑰采用多版本和多索引管理機(jī)制，多版本和多索引也成為密鑰的組數(shù)，如果消費(fèi)密鑰有 5 組，則系統(tǒng)一共存在 25 個(gè)消費(fèi)密鑰，版本 1、索引 1 為第 1 個(gè)，版本 5、索引 5 為第 25 個(gè)，在 PSAM 卡中存放一個(gè)索引所對(duì)應(yīng)的多個(gè)版本的消費(fèi)密鑰，在用戶卡中存放一個(gè)版本所對(duì)應(yīng)的多個(gè)索引的消費(fèi)密鑰；在消費(fèi)時(shí)，取 PSAM 卡和用戶卡中共有的密鑰進(jìn)行相互的認(rèn)證和消費(fèi)；如下圖所示（假設(shè)采用 5 個(gè)版本、 5 個(gè)索引共 25 個(gè)消費(fèi)密鑰）： 2 3 4 5112345版本索引P S A M 卡中的5 個(gè)密鑰用戶卡中的5 個(gè)密鑰消費(fèi)時(shí)所用的密鑰圖 4-1 消費(fèi)密鑰的版本和索引 當(dāng)圖中所示的版本 3索引 4的消費(fèi)密鑰泄漏時(shí)，可以將所有索引為 4的 PSAM卡銷毀，替換成其他索引的 PSAM 卡，這樣，該泄漏的密鑰不會(huì)在消費(fèi)中再次使用，保證了交易的安全；由于只更換了少量的 PSAM 卡，大量的用戶卡不用作任何變動(dòng)，從而降低了密鑰泄漏所導(dǎo)致的風(fēng)險(xiǎn)。 為了確定消費(fèi)時(shí)所用密鑰的版本和索引，需要知道 PSAM 卡中密鑰的索引和用戶卡中密鑰的版本，這些信息都保存在 PSAM 卡和用戶卡相應(yīng)的信息文件中；消費(fèi)時(shí)，終端機(jī)從用戶卡中取得密鑰的版本信息，從 PSAM 卡中取得密鑰的索引信息，從而唯一確定某一個(gè)消費(fèi)密鑰。 不同密鑰類型，對(duì)應(yīng)的密鑰版本、索引如下表所示： 類型 版本 索引 說明 卡片主控密鑰 1 1 卡片維護(hù)密鑰 1 1 應(yīng)用主控密鑰 1 1 應(yīng)用維護(hù)密鑰 1 1 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 6 頁 共 16 頁 全國應(yīng)用消費(fèi)密鑰 5 5 省應(yīng)用消費(fèi)密鑰 2 2 社區(qū)應(yīng)用消費(fèi)密鑰 1 1 圈存密鑰 2 2 圈提密鑰 2 2 全國應(yīng)用 TAC 密鑰 5 5 省應(yīng)用 TAC 密鑰 2 2 社區(qū)應(yīng)用 TAC 密鑰 1 1 PIN 解鎖 1 1 PIN 重裝 1 1 透支更新 2 2 OTA MAC 密鑰 2 2 OTA 加密密鑰 2 2 通訊保護(hù)密鑰 5 1 此密鑰不存放在用戶卡 中，因此只有一個(gè)索引 4.3 業(yè)務(wù)數(shù)據(jù)定義 與密鑰管理相關(guān)的業(yè)務(wù)數(shù)據(jù)定義如下表所示： 類別 長度 規(guī)則 說明 發(fā)卡方標(biāo)識(shí)（全國中心） 8 88880001 FFFFFFFF 接收方標(biāo)識(shí)（省中心） 8 省會(huì)城市電話區(qū)號(hào) +0001，壓縮為BCD 碼后以 F 進(jìn)行填充 上海： 00210001 FFFFFFFF 浙江： 05710001 FFFFFFFF PSAM 卡序列號(hào) 10 發(fā)卡方標(biāo)識(shí)前 2 字節(jié) +接收方標(biāo)識(shí)前 4 字節(jié) +4 字節(jié)順序號(hào) 浙江 PSAM 卡： 8888 05710001 00000001 用戶卡上的“發(fā)卡方標(biāo)識(shí)” 使用省中心標(biāo)識(shí)，比如浙江發(fā)行用戶卡，其發(fā)卡方標(biāo)識(shí)為：“ 05710001” 。 4.4 分散因子選取和分散算法 密鑰分散因子選取規(guī)則如下表所示： 類別 規(guī)則 編碼 填充方式 省中心分散因子 接收方標(biāo)識(shí)（ 8 字節(jié)） BCD 不進(jìn)行填充 PSAM 卡分散因子 PSAM 卡序列號(hào)，從右向左取 8 字節(jié) BCD 不進(jìn)行填充 卡號(hào)分散因子 16 位卡號(hào) BCD 不進(jìn)行填充 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 7 頁 共 16 頁 密鑰分散流程如下： 1. 將分散因子填充為 8 字節(jié)（不足右補(bǔ) F） ； 2. 父密鑰對(duì)分散因子進(jìn)行 3DES 加密，得到子密鑰左半部份 ； 3. 父密鑰對(duì)分散因子按位取反后進(jìn)行 3DES 加密， 得到子密鑰右半部份 。 4.5 密鑰分級(jí)管理 4.5.1 全國密鑰管理系統(tǒng) 全國密鑰管理系統(tǒng) 生成和管理的密鑰類型如下： 用戶卡主控密鑰 用戶卡維護(hù)密鑰 PSAM 卡主控密鑰 PSAM 卡維護(hù)密鑰 全國應(yīng)用 -用戶卡應(yīng)用主控密鑰 全國應(yīng)用 -用戶卡應(yīng)用維護(hù)密鑰 全國應(yīng)用 -PSAM 卡應(yīng)用主控密鑰 全國應(yīng)用 -PSAM 卡應(yīng)用維護(hù)密鑰 全國應(yīng)用 -消費(fèi)密鑰 全國應(yīng)用 -圈存密鑰 全國應(yīng)用 -圈提密鑰 全國應(yīng)用 -TAC 密鑰 OTA MAC 密鑰 OTA 加密密鑰 全國通訊保護(hù)密鑰 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 8 頁 共 16 頁 4.5.2 省密鑰管理系統(tǒng) 省 全國密鑰管理系統(tǒng) 生成和管理 的密鑰類型如下： 全國應(yīng)用 -透支更新密鑰 全國應(yīng)用 -PIN 重裝密鑰 全國應(yīng)用 -PIN 解鎖密鑰 省通訊保護(hù)密鑰 社區(qū)應(yīng)用相關(guān)密鑰 省特色應(yīng)用相關(guān)密鑰，包括省錢包應(yīng)用以及關(guān)聯(lián)應(yīng)用的各種密鑰，根據(jù)各省實(shí)際情況進(jìn)行確定 4.6 密鑰分散屬性 依據(jù)“風(fēng)險(xiǎn)分散”原則，密鑰分散屬性，可以分為如下類型： 4.6.1 類型一 全國密鑰管理系統(tǒng) 生成后分散傳遞到省 這種類型的密鑰，由全國密鑰管理系統(tǒng)生成，按照 省密鑰管理系統(tǒng) 代碼離散后，生成對(duì)應(yīng)的子密鑰，傳遞到 省密鑰管理系統(tǒng) ，需要加載到 PSAM 卡中的密鑰，在全國密鑰管理系統(tǒng)進(jìn)行一次發(fā)卡時(shí)， 進(jìn)行加載。密鑰流向關(guān)系如下圖所示： 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 9 頁 共 16 頁 全 國 應(yīng) 用根 密 鑰省 應(yīng) 用 密 鑰R F - U I M 卡分 散 ： 省 代 碼分 散 ：應(yīng) 用 序 列 號(hào)加 密 機(jī)裝載到加密機(jī)P S A M 卡圖 4-2 全國密鑰管理系統(tǒng) 生成后分散傳遞到省 示意圖 采用這種方式的密鑰包括： 用戶卡卡片主控密鑰 用戶卡卡片維護(hù)密鑰 全國應(yīng)用 -消費(fèi)密鑰 全國應(yīng)用 -圈存密鑰 全國應(yīng)用 -圈提密鑰 全國應(yīng)用 -TAC 密鑰 OTA MAC 計(jì)算密鑰 OTA 加密密鑰 4.6.2 類型二 全國密鑰管理系統(tǒng) 生成后直接傳遞到省 這種方式通常適用于管理類密鑰，由全國密鑰管理系統(tǒng)生成，基于全國統(tǒng)一管理的要求，不經(jīng)過離散出來，直接傳遞到 省密鑰管理系統(tǒng) ，需要加載到 PSAM卡中的密鑰，在省密鑰管理系統(tǒng)進(jìn)行二 次發(fā)卡時(shí)，進(jìn)行加載，密鑰流向關(guān)系如下中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 10 頁 共 16 頁 圖所示： 管 理 密 鑰R F - U I M 卡直 接 傳 遞分 散 ：應(yīng) 用 序 列 號(hào)加 密 機(jī)裝載到加密機(jī)管 理 密 鑰圖 4-3 全國密鑰管理系統(tǒng) 生成后直接傳遞到省 的密鑰分散示意圖 采用這種方式的密鑰包括： PSAM 卡卡片主控密鑰 PSAM 卡卡片維護(hù)密鑰 全國應(yīng)用 -用戶卡應(yīng)用主控密鑰 全國應(yīng)用 -用戶卡應(yīng)用維護(hù)密鑰 4.6.3 類型三 全國密鑰管理系統(tǒng) 生成后寫入 PSAM 卡 采用這種方式的密鑰是通訊保護(hù)密鑰，這種密鑰不向省 密鑰管理系統(tǒng) 進(jìn)行傳遞，直接通過 PSAM 卡一次發(fā)卡寫入 PSAM 卡，寫入時(shí)需要按照 PSAM 卡應(yīng)用序列號(hào)進(jìn)行分散，采用這種方式的密鑰包括： 全國應(yīng)用 -PSAM 卡應(yīng)用主控 密鑰 全國應(yīng)用 -PSAM 卡應(yīng)用維護(hù)密鑰 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 11 頁 共 16 頁 4.6.4 類型四 全國應(yīng)用中由省生成的密鑰 這類密鑰屬于全國支付應(yīng)用，相應(yīng)的業(yè)務(wù)功能只在省范圍內(nèi)開通，不進(jìn)行全國“漫游”使用，基于“風(fēng)險(xiǎn)分散”原則，這些密鑰由省密鑰管理系統(tǒng)生成，通過用戶卡應(yīng)用序列號(hào)分散后，裝載至用戶卡中，如果需要加載到 PSAM 卡時(shí)，通過 PSAM 卡二次發(fā)卡過程進(jìn)行裝載，密鑰流向圖如下： R F - U I M 卡分 散 ：應(yīng) 用 序 列 號(hào)加 密 機(jī)裝載到加密機(jī)應(yīng) 用 密 鑰P S A M 卡直 接 裝 載圖 4-4 全國應(yīng)用中由省生成的密鑰分散示意圖 采用這種方式的密鑰包括： 全國應(yīng)用 應(yīng)用維護(hù)密鑰 全國應(yīng)用 PIN 解鎖密鑰 全國應(yīng)用 -PIN 重裝密鑰 全國應(yīng)用 -透支 更新密鑰 4.6.5 類型五 省特色應(yīng)用、社區(qū)應(yīng)用密鑰 各省基于移動(dòng)支付業(yè)務(wù)開展的社區(qū)應(yīng)用、特色應(yīng)用、第三方合作應(yīng)用密鑰由省密鑰管理系統(tǒng) 進(jìn)行管理，相關(guān)應(yīng)用密鑰的分散屬性、管理方式由各省自行定義，集團(tuán)層面不做統(tǒng)一規(guī)定。 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 12 頁 共 16 頁 5. 全國密鑰管理系統(tǒng) 業(yè)務(wù)功能 5.1 密鑰生成 采用安全、可恢復(fù)機(jī)制生成相關(guān)密鑰，密鑰長度為 16 字節(jié)，密鑰之間不存在互相推導(dǎo)和演繹關(guān)系，密鑰明文不得物理存儲(chǔ)于密鑰管理系統(tǒng)，以安全方式存儲(chǔ)于密鑰管理母卡或加密機(jī)中。 5.2 密鑰傳輸 采用安全方式進(jìn)行密鑰傳輸，密鑰傳輸過程中，不出現(xiàn)密鑰明文，通過密鑰管理母卡或加密機(jī)方式存儲(chǔ)進(jìn)行 傳輸?shù)拿荑€。 5.3 密鑰銷毀 提供安全的、不可回退的方式銷毀存儲(chǔ)在密鑰存儲(chǔ)介質(zhì)上的密鑰。 5.4 密鑰加載 采用安全方式將密鑰加載到 全國密鑰管理系統(tǒng) 硬件加密機(jī)中，密鑰加載過程中不得出現(xiàn)密鑰明文。 5.5 密鑰恢復(fù) 提供安全方式，利用碼單等密鑰備份手段進(jìn)行密鑰恢復(fù)。 5.6 PSAM 卡一次發(fā)卡 根據(jù)操作員選擇的密鑰類型，將 全國密鑰管理系統(tǒng) 管理的密鑰安全寫入PSAM 卡，基于多版本、多索引密鑰管理原則， PSAM 卡上應(yīng)寫入某個(gè)索引的所有版本的密鑰?？梢赃x擇寫入 PSAM 卡的密鑰包括： 全國應(yīng)用 -消費(fèi)密鑰 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 13 頁 共 16 頁 全國應(yīng)用 -圈存密鑰 全國應(yīng)用 -圈提密鑰 全國應(yīng)用 -TAC 密鑰 全國通訊保護(hù)密鑰 全國應(yīng)用 應(yīng)用維護(hù)密鑰 全國應(yīng)用 OTAMAC 密鑰 全國應(yīng)用 OTA 加密密鑰 5.7 密鑰管理輔助功能 包括操作員權(quán)限管理、系統(tǒng)設(shè)置、母卡 PIN 管理、操作日志管理等輔助功能 。 6. 省密鑰管理系統(tǒng) 6.1 密鑰生成 采用安全、可恢復(fù)機(jī)制生成相關(guān)密鑰，密鑰長度為 16 字節(jié)，密鑰之間不存在互相推導(dǎo)和演繹關(guān)系，密鑰明文不得物理存儲(chǔ)于密鑰管理系統(tǒng)，以安全方式存儲(chǔ)于密鑰管理母卡或加密機(jī)中。 6.2 密鑰接收 采用安全方式接收 全國密鑰管理系統(tǒng) 或第三方密鑰管理系統(tǒng)傳輸?shù)拿荑€，在密鑰傳輸過程 中，不得出現(xiàn)密鑰明文 。 6.3 密鑰傳輸 采用安全方式進(jìn)行密鑰傳輸，密鑰傳輸過程中，不出現(xiàn)密鑰明文，通過密鑰管理母卡或加密機(jī)方式存儲(chǔ)進(jìn)行傳輸?shù)拿荑€。 省密鑰管理系統(tǒng)進(jìn)行的密鑰傳輸包括如下幾種情況： 中國電信融合支付平臺(tái)技術(shù)要求 密鑰分冊(cè) 第 14 頁 共 16 頁 向用戶卡個(gè)人化系統(tǒng)傳輸密鑰 向省集中應(yīng)用平臺(tái)傳輸密鑰 向可信任的第三方密鑰管理系統(tǒng)傳輸密鑰 省密鑰管理系統(tǒng)向用戶卡個(gè)人化系統(tǒng)傳遞如下類型的密鑰： 用戶卡主控密鑰 用戶卡維護(hù)密鑰 全國應(yīng)用 -用戶卡應(yīng)用主控密鑰 全國應(yīng)用 -用戶卡應(yīng)用維護(hù)密鑰 全國應(yīng)用 -消費(fèi)密鑰 全國應(yīng)用 -圈存密鑰 全國應(yīng)用 -圈提密鑰 全國 應(yīng)用 -TAC 密鑰 全國應(yīng)用 -PIN 解鎖密鑰 全國應(yīng)用 -PIN 重裝密鑰 全國應(yīng)用 -透支更新密鑰 OTA MAC 密鑰 OTA 數(shù)據(jù)加密密鑰 省應(yīng)用相關(guān)密鑰 6.4 密鑰銷毀 提供安全的、不可回退的方式銷毀存儲(chǔ)在密鑰存儲(chǔ)介質(zhì)上的密鑰。 6.5 密鑰加