本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
行业术语
常见密钥类型
- AWK
-
收单方工作密钥 (AWK) 是通常用于在收单方/收单方处理器和网络(例如 Visa 或 Mastercard)之间交换数据的密钥。从历史上看,AWK 利用 3DES 进行加密,将表示为 TR31_P0_PIN_ENCRYPTION_KEY。
- BDK
-
基础派生密钥 (BDK) 是用于派生后续密钥的工作密钥,通常用作 PCI PIN 和 PCI P2PE DUKPT 流程的一部分。它表示为 TR31_B0_BASE_DERIVATION_KEY。
- CMK
-
卡片主密钥 (CMK) 是一个或多个卡专用密钥,通常源自发行人主密钥、PAN 和 PSN,通常是 3DES 密钥。在个性化过程中,这些密钥存储在 EMV 芯片上。CMK 的示例包括 AC、SMI 和 SMC 密钥。
- CMK-AC
-
应用程序密码 (AC) 密钥用作 EMV 交易的一部分,用于生成交易密码,是一种卡片主密钥。
- CMK-SMI
-
安全消息完整性 (SMI) 密钥用作 EMV 的一部分,用于验证使用 MAC 发送到卡的有效负载(例如 pin 码更新脚本)的完整性。它是一种卡片主密钥。
- CMK-SMC
-
安全消息保密性 (SMC) 密钥用作 EMV 的一部分,用于加密发送到卡片的数据,例如密码更新。它是一种卡片主密钥。
- CVK
-
卡片验证密钥 (CVK) 是用于使用定义的算法生成 CVV、CVV2 和类似值以及验证输入的密钥。它表示为 TR31_C0_CARD_VERIFICATION_KEY。
- IMK
-
发行方主密钥 (IMK) 是用作 EMV 芯片卡个性化一部分的主密钥。通常会有 3 个 IMK,分别用于 AC(密码)、SMI(用于完整性/签名的脚本主密钥)和 SMC(用于保密/加密的脚本主密钥)密钥。
- IK
-
初始密钥 (IK) 是 DUKPT 过程中使用的第一个密钥,源自基本派生密钥 (BDK)。此密钥上不会处理任何交易,但它用于派生未来将用于交易的密钥。创建 IK 的推导方法是在 X9. 24-1:2017 中定义的。使用 TDES BDK 时,X9. 24-1:2009 是适用的标准,IK 被初始密码加密密钥 (IPEK) 所取代。
- IPEK
-
初始 PIN 加密密钥 (IPEK) 是 DUKPT 流程中使用的初始密钥,源自基本派生密钥 (BDK)。此密钥上不会处理任何交易,但它用于派生未来将用于交易的密钥。IPEK 用词不当,因为这个密钥也可以用来派生数据加密和 Mac 密钥。创建 IPEK 的推导方法是在 X9 中定义的。24-1:2009。使用 AES BDK 时,X9. 24-1:2017 是适用的标准,IPEK 被初始密钥 (IK) 所取代。
- IWK
-
发行方工作密钥 (IWK) 是通常用于在发行方/发行方处理器和网络(例如 Visa 或 Mastercard)之间交换数据的一种密钥。从历史上看,IWK 利用 3DES 进行加密,表示为 TR31_P0_PIN_ENCRYPTION_KEY。
- KEK
-
密钥加密密钥 (KEK) 是用于加密其他密钥以进行传输或存储的密钥。根据标准,用于保护其他密钥的密钥通常为 TR31_K0_KE KeyUsage Y_ENCRYPTION_KE Y。TR-31
- PEK
-
PIN 加密密钥 (PEK) 是一种工作密钥,用于加密 PIN 以进行存储或在双方之间传输。IWK 和 AWK 是 pin 加密密钥具体用途的两个示例。这些密钥表示为 TR31_P0_PIN_ENCRYPTION_KEY。
- PGK
-
PGK(Pin 生成密钥)是 P in 验证密钥的另一个名称。它实际上并不用于生成引脚(默认情况下,引脚是加密随机数),而是用于生成验证值,例如PVV。
- PVK
-
PIN 验证密钥 (PVK) 是一种工作密钥,用于生成 PVV 等 PIN 验证值。两种最常见的类型是用于生成 IBM3624 偏移值的TR31_V1_IBM3624_PIN_VERIFICATION_KEY 和用于 Visa/ABA 验证值的 TR31_V2_VISA_PIN_VERIFICATION_KEY。这也可以称为 Pin 生成密钥。
其他术语
- ARQC
-
授权请求密码 (ARQC) 是由 EMV 标准芯片卡(或等效的非接触式实现)在交易时生成的密码。通常,ARQC 由芯片卡生成,并在交易时转发给发卡机构或其代理进行验证。
- CVV
-
信用卡验证值是一种静态的秘密值,传统上嵌入在磁条上,用于验证交易的真实性。该算法还用于其他用途,例如 iCvV、CAVV、CVV2。对于其他用例,可能不会以这种方式嵌入它。
- CVV2
-
信用卡验证值 2 是一种静态的秘密值,传统上印在支付卡的正面(或背面),用于验证不在卡上的付款(例如通过电话或在线)的真实性。它使用与 CVV 相同的算法,但服务代码设置为 000。
- iCvV
-
iCvV 是一个类似 Cvv2 的值,但在 EMV(Chip)卡上嵌入了 track2 的等效数据。该值是使用服务代码 999 计算得出的,与 CVV1/CVV2 不同,以防止窃取的信息被用来创建不同类型的新支付凭证。例如,如果获得了芯片交易数据,则无法使用这些数据生成磁条 (CVV1) 或用于在线购买 (CVV2)。
它使用一把CVK钥匙
- DUKPT
-
每次交易派生唯一密钥 (DUKPT) 是一种密钥管理标准,通常用于定义实物 POS/POI 上一次性加密密钥的使用。从历史上看,DUKPT 利用 3DES 进行加密。DUKPT 的行业标准在 ANSI X9.24-3-2017 中定义。
- EMV
-
EMV
(最初是Europay、Mastercard、Visa)是一个与支付利益相关者合作创建可互操作的支付标准和技术的技术机构。一个示例标准是芯片卡/非接触式卡及其与之交互的支付终端,包括使用的加密技术。EMV 密钥派生是指根据一组初始密钥为每张支付卡生成唯一密钥的方法,例如 IMK - HSM
-
硬件安全模块 (HSM) 是一种物理设备,用于保护加密操作(例如加密、解密和数字签名)以及用于这些操作的底层密钥。
- KCV
-
密钥校验值 (KCV) 是指各种校验和方法,主要用于在无需访问实际密钥材料的情况下比较彼此的密钥。KCV 也被用于完整性验证(尤其是在交换密钥时),尽管此角色现在已作为密钥块格式的一部分包括在内,例如 TR-31。对于 TDES 密钥,KCV 是通过使用要检查的密钥对每个值为零的 8 个字节进行加密,并保留加密结果的 3 个最高阶字节来计算的。对于 AES 密钥,KCV 使用 CMAC 算法计算,其中输入数据为 16 个字节的零,并保留加密结果的 3 个最高位字节。
- KDH
-
密钥分配主机 (KDH) 是在密钥交换过程(例如 TR-34)中发送密钥的设备或系统。从 AWS 支付密码学发送密钥时,它被视为 KDH。
- KIF
-
密钥注入工具 (KIF) 是一种安全设施,用于初始化支付终端,包括向支付终端加载加密密钥。
- KRD
-
密钥接收设备 (KRD) 是在密钥交换过程中(例如 TR-34)中接收密钥的设备。向 AWS 支付密码学发送密钥时,它被视为 KRD。
- KSN
-
密钥序列号 (KSN) 是用作 DUKPT 加密/解密输入的值,用于为每笔交易创建唯一的加密密钥。KSN 通常由一个 BDK 标识符、一个半唯一的终端 ID 以及一个交易计数器组成,该计数器在给定支付终端上处理的每次转换时递增。
- mPoC
-
mPoC(商业硬件上的移动销售点)是一项 PCI 标准,旨在满足解决方案的安全要求,使商家能够使用智能手机或其他商用 off-the-shelf (COTS) 移动设备接受持卡人 PIN 或非接触式支付。
- PAN
-
主账号 (PAN) 是信用卡或借记卡等账户的唯一标识符。长度通常为 13-19 位数字。前 6-8 位数字标识网络和发卡行。
- PIN 码块
-
在处理或传输过程中包含 PIN 码以及其他数据元素的数据块。PIN 码块格式标准化了 PIN 码块的内容以及如何处理它以检索 PIN 码。大多数 PIN 块由 PIN 和 PIN 长度组成,通常包含部分或全部 PAN。 AWS 支付密码学支持 ISO 9564-1 格式 0、1、3 和 4。AES 密钥需要格式 4。在验证或转换 PIN 码时,需要指定传入或传出数据的 PIN 码块。
- POI
-
交互点 (POI) 也经常与销售点 (POS) 同义词使用,是持卡人与之交互以出示其支付凭证的硬件设备。POI 的一个示例是商家位置的实物终端。有关经过认证的 PCI PTS POI 终端列表,请访问 PCI 网站
。 - PSN
-
PAN 序列号 (PSN) 是一个数值,用于区分使用相同 PAN 发行的多张卡。
- 公有密钥
-
使用非对称密码 (RSA) 时,公有密钥是公有-私有密钥对的公有组成部分。加密详细信息介绍公有密钥可以共享并分发给需要为公有-私有密钥对拥有者加密数据的实体。对于数字签名操作,公有密钥用于验证签名。
- 私有密钥
-
使用非对称密码 (RSA) 时,私有密钥是公有-私有密钥对的私有组成部分。私有密钥用于解密数据或创建数字签名。与对称 AWS 支付密码学密钥类似,私钥由 HSM 安全创建。这些密钥仅在 HSM 的易失存储器中解密,并且仅在处理加密请求所需的时间内解密。
- PVV
-
PIN 验证值 (PVV) 是一种加密输出,可用于在不存储实际引脚的情况下验证引脚。尽管这是一个通用术语,但在 AWS 支付密码学的背景下,PVV是指Visa或ABA PVV方法。这个 PVV 是一个四位数的数字,其输入是卡号、平移序列号、平移本身和 PIN 验证密钥。在验证阶段,Payment Cryptography在内部使用交易数据重新创建PVV,并将其与 AWS AWS 支付密码学客户存储的值再次进行比较。这样,它在概念上类似于加密哈希或 MAC。
- RSA Wrap/Unwrap
-
RSA wrap 使用非对称密钥来封装对称密钥(例如 TDES 密钥),以便传输到另一个系统。只有具有匹配私钥的系统才能解密有效负载并加载对称密钥。相反,RSA 解包将安全地解密使用 RSA 加密的密钥,然后将该密钥加载到支付密码中。 AWS RSA wrap 是一种交换密钥的低级方法,它不以密钥块格式传输密钥,也不使用发送方的有效载荷签名。应考虑使用其他控制措施来确定天意和关键属性不会发生变化。
TR-34 在内部也使用 RSA,但它是一种单独的格式,不可互操作。
- TR-31
-
TR-31(正式定义为 ANSI X9 TR 31)是由美国国家标准协会 (ANSI) 定义的一种密钥块格式,用于支持在与密钥数据本身相同的数据结构中定义密钥属性。TR-31 密钥块格式定义了一组与密钥关联的按键属性,以便将它们组合在一起。 AWS Payment Cryptography 尽可能使用 TR-31 标准化术语来确保正确的密钥分离和密钥用途。TR-31 已被 ANSI X9.143-2022
所取代。 - TR-34
-
TR-34 是 ANSI X9.24-2 的实现,它描述了一种使用非对称技术(例如 RSA)安全分发对称密钥(例如 3DES 和 AES)的协议。 AWS Payment Cryptography 使用 TR-34 方法来允许安全导入和导出密钥。