眾所周知，密鑰管理系統(tǒng)（KeyManagementSystem），也簡稱KMS，是IC項目安全的核心。如何進行密鑰的安全管理，貫穿著IC卡應(yīng)用的整個生命周期。

IC項目中常用的是非接觸式邏輯加密卡和非接觸式CPU卡，非接觸CPU卡與非接觸邏輯加密卡相比，擁有獨立的CPU處理器和芯片操作系統(tǒng)，所以可以更靈活的支持各種不同的應(yīng)用需求，更安全的設(shè)計交易流程。但同時，與非接觸邏輯加密卡系統(tǒng)相比，非接觸CPU卡的系統(tǒng)顯得更為復(fù)雜，需要進行更多的系統(tǒng)改造，比如密鑰管理、交易流程、PSAM卡以及卡片個人化等。

非接觸邏輯加密卡的安全認證依賴于每個扇區(qū)獨立的KEYA和KEY的校驗，可以通過扇區(qū)控制字對KEYA和KEY的不同安全組合，實現(xiàn)扇區(qū)數(shù)據(jù)的讀寫安全控制。由于ＫＥＹＡ和ＫＥＹＢ的校驗機制，只能解決卡片對終端的認證，而無法解決終端對卡片的認證，即我們俗稱的“偽卡”的風(fēng)險，所以通常在采用非接觸邏輯加密卡的時候，還會使用卡片認證碼的機制?！《墙佑|ＣＰＵ卡可以通過內(nèi)外部認證的機制，以及像建設(shè)部定義的電子錢包的交易流程，高可靠的滿足不同的業(yè)務(wù)流程對安全和密鑰管理的需求。對電子錢包圈存可以使用圈存密鑰，消費可以使用消費密鑰，清算可以使用ＴＡＣ密鑰，更新數(shù)據(jù)可以使用卡片應(yīng)用維護密鑰，卡片個人化過程中可以使用卡片傳輸密鑰、卡片主控密鑰、應(yīng)用主控密鑰等，真正做到一鑰一用。

實施非接觸ＣＰＵ卡項目，可以使用密鑰版本的機制，即對于不同批次的用戶卡，使用不同版本的密鑰在系統(tǒng)中并存使用，達到密鑰到期自然淘汰過渡的目的，逐步更替系統(tǒng)中所使用的密鑰，防止系統(tǒng)長期使用帶來的安全風(fēng)險。

實施非接觸ＣＰＵ卡項目，還可以使用密鑰索引的機制，即對于發(fā)行的用戶卡，同時支持多組索引的密鑰，假如當前使用的密鑰被泄漏或存在安全隱患的時候，系統(tǒng)可以緊急激活另一組索引的密鑰，而不用回收和更換用戶手上的卡片。

因此，要成功實施非接觸ＣＰＵ卡項目，需要一個完善的密鑰管理系統(tǒng)，能支持多種不同用途的密鑰，并支持密鑰版本和密鑰索引的機制。