行业术语

收单方工作密钥 (AWK) 是通常用于在收单方/收单方处理器和网络（例如 Visa 或 Mastercard）之间交换数据的密钥。从历史上看，AWK 利用 3DES 进行加密，将表示为 TR31_P0_PIN_ENCRYPTION_KEY。

基础派生密钥 (BDK) 是用于派生后续密钥的工作密钥，通常用作 PCI PIN 和 PCI P2PE DUKPT 流程的一部分。它表示为 TR31_B0_BASE_DERIVATION_KEY。

卡片主密钥 (CMK) 是一个或多个卡专用密钥，通常源自发行人主密钥、PAN 和 PSN，通常是 3DES 密钥。在个性化过程中，这些密钥存储在 EMV 芯片上。CMK 的示例包括 AC、SMI 和 SMC 密钥。

应用程序密码 (AC) 密钥用作 EMV 交易的一部分，用于生成交易密码，是一种卡片主密钥。

安全消息完整性 (SMI) 密钥用作 EMV 的一部分，用于验证使用 MAC 发送到卡的有效负载（例如 pin 码更新脚本）的完整性。它是一种卡片主密钥。

安全消息保密性 (SMC) 密钥用作 EMV 的一部分，用于加密发送到卡片的数据，例如密码更新。它是一种卡片主密钥。

卡片验证密钥 (CVK) 是用于使用定义的算法生成 CVV、CVV2 和类似值以及验证输入的密钥。它表示为 TR31_C0_CARD_VERIFICATION_KEY。

iCvV 是一个类似 Cvv2 的值，但在 EMV（Chip）卡上嵌入了 track2 的等效数据。该值是使用服务代码 999 计算得出的，与 CVV1/CVV2 不同，以防止窃取的信息被用来创建不同类型的新支付凭证。例如，如果获得了芯片交易数据，则无法使用这些数据生成磁条 (CVV1) 或用于在线购买 (CVV2)。

它使用一把CVK钥匙

发行方主密钥 (IMK) 是用作 EMV 芯片卡个性化一部分的主密钥。通常会有 3 个 IMK，分别用于 AC（密码）、SMI（用于完整性/签名的脚本主密钥）和 SMC（用于保密/加密的脚本主密钥）密钥。

初始密钥 (IK) 是 DUKPT 过程中使用的第一个密钥，源自基本派生密钥 (BDK)。此密钥上不会处理任何交易，但它用于派生未来将用于交易的密钥。创建 IK 的推导方法是在 X9. 24-1:2017 中定义的。使用 TDES BDK 时，X9. 24-1:2009 是适用的标准，IK 被初始密码加密密钥 (IPEK) 所取代。

初始 PIN 加密密钥 (IPEK) 是 DUKPT 流程中使用的初始密钥，源自基本派生密钥 (BDK)。此密钥上不会处理任何交易，但它用于派生未来将用于交易的密钥。IPEK 用词不当，因为这个密钥也可以用来派生数据加密和 Mac 密钥。创建 IPEK 的推导方法是在 X9 中定义的。24-1:2009。使用 AES BDK 时，X9. 24-1:2017 是适用的标准，IPEK 被初始密钥 (IK) 所取代。

发行方工作密钥 (IWK) 是通常用于在发行方/发行方处理器和网络（例如 Visa 或 Mastercard）之间交换数据的一种密钥。从历史上看，IWK 利用 3DES 进行加密，表示为 TR31_P0_PIN_ENCRYPTION_KEY。

密钥加密密钥 (KEK) 是用于加密其他密钥以进行传输或存储的密钥。根据标准，用于保护其他密钥的密钥通常为 TR31_K0_KE KeyUsage Y_ENCRYPTION_KE Y。TR-31

PIN 加密密钥 (PEK) 是一种工作密钥，用于加密 PIN 以进行存储或在双方之间传输。IWK 和 AWK 是 pin 加密密钥具体用途的两个示例。这些密钥表示为 TR31_P0_PIN_ENCRYPTION_KEY。

PIN 验证密钥 (PVK) 是一种工作密钥，用于生成 PVV 等 PIN 验证值。两种最常见的类型是用于生成 IBM3624 偏移值的TR31_V1_IBM3624_PIN_VERIFICATION_KEY 和用于 Visa/ABA 验证值的 TR31_V2_VISA_PIN_VERIFICATION_KEY。

授权请求密码 (ARQC) 是由 EMV 标准芯片卡（或等效的非接触式实现）在交易时生成的密码。通常，ARQC 由芯片卡生成，并在交易时转发给发卡机构或其代理进行验证。

每次交易派生唯一密钥 (DUKPT) 是一种密钥管理标准，通常用于定义实物 POS/POI 上一次性加密密钥的使用。从历史上看，DUKPT 利用 3DES 进行加密。DUKPT 的行业标准在 ANSI X9.24-3-2017 中定义。

EMV（最初是Europay、Mastercard、Visa）是一个与支付利益相关者合作创建可互操作的支付标准和技术的技术机构。一个示例标准是芯片卡/非接触式卡及其与之交互的支付终端，包括使用的加密技术。EMV 密钥派生是指根据一组初始密钥为每张支付卡生成唯一密钥的方法，例如 IMK

硬件安全模块 (HSM) 是一种物理设备，用于保护加密操作（例如加密、解密和数字签名）以及用于这些操作的底层密钥。

密钥校验值 (KCV) 是指各种校验和方法，主要用于在无需访问实际密钥材料的情况下比较彼此的密钥。KCV 也被用于完整性验证（尤其是在交换密钥时），尽管此角色现在已作为密钥块格式的一部分包括在内，例如 TR-31。对于 TDES 密钥，KCV 是通过使用要检查的密钥对每个值为零的 8 个字节进行加密，并保留加密结果的 3 个最高阶字节来计算的。对于 AES 密钥，KCV 使用 CMAC 算法计算，其中输入数据为 16 个字节的零，并保留加密结果的 3 个最高位字节。

密钥分配主机 (KDH) 是在密钥交换过程（例如 TR-34）中发送密钥的设备或系统。从 AWS 支付密码学发送密钥时，它被视为 KDH。

密钥注入工具 (KIF) 是一种安全设施，用于初始化支付终端，包括向支付终端加载加密密钥。

密钥接收设备 (KRD) 是在密钥交换过程中（例如 TR-34）中接收密钥的设备。向 AWS 支付密码学发送密钥时，它被视为 KRD。

密钥序列号 (KSN) 是用作 DUKPT 加密/解密输入的值，用于为每笔交易创建唯一的加密密钥。KSN 通常由一个 BDK 标识符、一个半唯一的终端 ID 以及一个交易计数器组成，该计数器在给定支付终端上处理的每次转换时递增。

主账号 (PAN) 是信用卡或借记卡等账户的唯一标识符。长度通常为 13-19 位数字。前 6-8 位数字标识网络和发卡行。

在处理或传输过程中包含 PIN 码以及其他数据元素的数据块。PIN 码块格式标准化了 PIN 码块的内容以及如何处理它以检索 PIN 码。大多数 PIN 块由 PIN 和 PIN 长度组成，通常包含部分或全部 PAN。 AWS 支付密码学支持 ISO 9564-1 格式 0、1、3 和 4。AES 密钥需要格式 4。在验证或转换 PIN 码时，需要指定传入或传出数据的 PIN 码块。

交互点 (POI) 也经常与销售点 (POS) 同义词使用，是持卡人与之交互以出示其支付凭证的硬件设备。POI 的一个示例是商家位置的实物终端。有关经过认证的 PCI PTS POI 终端列表，请访问 PCI 网站。

PAN 序列号 (PSN) 是一个数值，用于区分使用相同 PAN 发行的多张卡。

使用非对称密码 (RSA) 时，公有密钥是公有-私有密钥对的公有组成部分。加密详细信息介绍公有密钥可以共享并分发给需要为公有-私有密钥对拥有者加密数据的实体。对于数字签名操作，公有密钥用于验证签名。

使用非对称密码 (RSA) 时，私有密钥是公有-私有密钥对的私有组成部分。私有密钥用于解密数据或创建数字签名。与对称 AWS 支付密码学密钥类似，私钥由 HSM 安全创建。这些密钥仅在 HSM 的易失存储器中解密，并且仅在处理加密请求所需的时间内解密。

PIN 验证值 (PVV) 是通过算法从一系列输入（例如卡号和 PIN 码）中得出的值，它生成的值可用于后续验证。其中一种方案称为 Visa PVV（也称为 ABA 方法），尽管它可用于任何网络上的 PIN 码。

RSA wrap 使用非对称密钥来封装对称密钥（例如 TDES 密钥），以便传输到另一个系统。只有具有匹配私钥的系统才能解密有效负载并加载对称密钥。相反，RSA 解包将安全地解密使用 RSA 加密的密钥，然后将该密钥加载到支付密码中。 AWS RSA wrap 是一种交换密钥的低级方法，它不以密钥块格式传输密钥，也不使用发送方的有效载荷签名。应考虑使用其他控制措施来确定天意和关键属性不会发生变化。

TR-34 在内部也使用 RSA，但它是一种单独的格式，不可互操作。

TR-31（正式定义为 ANSI X9 TR 31）是由美国国家标准协会 (ANSI) 定义的一种密钥块格式，用于支持在与密钥数据本身相同的数据结构中定义密钥属性。TR-31 密钥块格式定义了一组与密钥关联的按键属性，以便将它们组合在一起。 AWS Payment Cryptography 尽可能使用 TR-31 标准化术语来确保正确的密钥分离和密钥用途。TR-31 已被 ANSI X9.143-2022 所取代。

TR-34 是 ANSI X9.24-2 的实现，它描述了一种使用非对称技术（例如 RSA）安全分发对称密钥（例如 3DES 和 AES）的协议。 AWS Payment Cryptography 使用 TR-34 方法来允许安全导入和导出密钥。