產業術語 - AWS 付款密碼編譯

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

產業術語

常用金鑰類型

AWK

收單機構工作金鑰 (AWK) 是一種金鑰,通常用於在收單/收單方處理器與網路 (例如 Visa 或萬事達卡) 之間交換資料。從歷史上看,AWK 利用 3DES 進行加密,並將表示為 TR31_P0_PIN 加密密鑰。

BDK

基本派生密鑰(BDK)是用於導出後續密鑰的工作密鑰,通常用作 PCI PIN 和 PCI P2PE DUKPT 過程的一部分。它被表示為基本派生密鑰。

CMK

卡主金鑰 (CMK) 是一或多個特定於卡片的金鑰,通常衍生自發卡機構主要金鑰 PANPSN,通常是 3 DES 金鑰。在個人化期間,這些金鑰會儲存在 EMV 晶片上。CMK 的範例包括交流電、SMI 和 SMC 金鑰。

厘米交流

應用程式密碼 (AC) 金鑰用作 EMV 交易的一部分,以產生交易密碼,是卡片主金鑰的一種類型。

CMK-SMI

使用安全訊息完整性 (SMI) 金鑰做為 EMV 的一部分,以驗證使用 MAC 傳送至卡片的承載的完整性,例如針腳更新指令碼。它是一種卡主密鑰

厘米積電

安全訊息傳送機密性 (SMC) 金鑰用作 EMV 的一部分,以加密傳送至卡片的資料,例如 PIN 碼更新。它是一種卡主密鑰

CVK

卡片驗證金鑰 (CVK) 是使用定義的演算法產生 CVV、CVV2 和類似值以及驗證輸入的金鑰。它被表示為一個 TR 31 _ 卡驗證密鑰。

IMK

發行者主要金鑰 (IMK) 是用作 EMV 晶片卡個人化一部分的主金鑰。通常會有 3 個 IMK-AC(加密),SMI(用於完整性/簽名的腳本主密鑰)和 SMC(用於機密/加密的腳本主密鑰)各一個。

IK

初始金鑰 (IK) 是 DUKPT 程序中使用的第一個金鑰,並衍生自基礎衍生金鑰 (BDK)。這個金鑰不會處理任何交易,但它會用來衍生將用於交易的 future 金鑰。建立 IK 的衍生方法是在 X9. 24:2017 中定義的。使用 TDES BDK 時,X9. 24-1:2009 是適用的標準,IK 會被初始密碼加密金鑰 (IPEK) 取代。

伊佩克

初始 PIN 碼加密金鑰 (IPEK) 是 DUKPT 程序中使用的初始金鑰,並衍生自基礎衍生金鑰 (BDK)。這個金鑰不會處理任何交易,但它會用來衍生將用於交易的 future 金鑰。IPEK 是用詞不當,因為此密鑰也可用於導出數據加密和 mac 密鑰。用於創建 IPEK 的派生方法是在 X9 中定義的。使用 AES BDK 時,X9. 24-1:2017 是適用的標準,IPEK 會被初始金鑰 (IK) 取代。

IWK

發卡機構工作金鑰 (IWK) 是一種金鑰,通常用於在發行機構/發行機構處理者與網路 (例如 Visa 或萬事達卡) 之間交換資料。從歷史上看,IWK 利用 3DES 進行加密,並以 TR31_P0_PIN 加密密鑰表示。

小桶

金鑰加密金鑰 (KEK) 是用來加密其他金鑰以進行傳輸或儲存的金鑰。根據標準,用於保護其他密鑰 KeyUsage的密鑰通常具有 TR31_K0_KEY_加密 _ 密鑰。TR-31

PEK

PIN 加密金鑰 (PEK) 是一種工作金鑰,用於加密 PIN 碼,以便在雙方之間進行儲存或傳輸。IWK 和 AWK 是 PIN 碼加密金鑰特定用途的兩個範例。這些金鑰會表示為 TR31 _P0_PIN 加密金鑰。

PGK

PGK(PIN 碼產生金鑰)是 PIN 碼驗證金鑰的另一個名稱。它實際上並不是用來產生接腳 (依預設為密碼編譯隨機數字),而是用來產生驗證值,例如 PVV。

PVK

PIN 驗證金鑰 (PVK) 是一種用來產生 PIN 碼驗證值 (例如 PVV) 的工作金鑰。這兩種最常見的種類是用於產生 IBM3624 偏移值的 TR31_V1_IBM3624_ 驗證碼,以及用於簽證/ABA 驗證值的驗證金鑰。這也稱為「接腳產生金鑰」。

其他條款

ARQC

授權請求加密(ARQC)是 EMV 標準芯片卡(或同等的非接觸式實現)在交易時生成的密碼編譯。通常,ARQC 是由芯片卡生成的,並轉發給發行商或其代理商,以便在交易時進行驗證。

CVV

卡片驗證值是一種靜態機密值,傳統上嵌入磁條上,用於驗證交易的真實性。該算法也用於其他目的,如 ICVV,CAVV,CVV2。對於其他用例,它可能不會以這種方式引入。

CVV2

信用卡驗證值 2 是一種靜態的機密值,傳統上印在支付卡的正面(或背面),用於驗證不在場的信用卡付款(例如在電話或在線上)的真實性。它使用與 CVV 相同的算法,但服務代碼設置為 000。

智能病毒

ICVV 是類似 CV2 的值,但嵌入了 EMV(晶片)卡上的軌跡 2 等效資料。此值是使用 999 的服務代碼計算,與 CVV1/CVV2 不同,以防止竊取的資訊被用來建立不同類型的新付款憑證。例如,如果取得晶片交易資料,就無法使用此資料產生磁條 (CVV1) 或線上購買 (CVV2)。

它使用一個CVK密鑰

DUKPT

衍生每筆交易的唯一金鑰 (DUKPT) 是一種金鑰管理標準,通常用於定義在實體 PO/POI 上使用一次性加密金鑰的使用。從歷史上看,DUKPT 利用 3DES 進行加密。DUKPT 的業界標準定義於二零一七年十二月三日。

EMV

EMV(原來是 Europay,萬事達卡,Visa)是一個技術機構,與支付利益相關者合作創建可互操作的支付標準和技術。一個例子標準是用於芯片/非接觸式卡以及與之交互的支付終端機,包括使用的加密技術。EMV 密鑰派生是指根據初始密鑰集(例如,為每個支付卡生成唯一密鑰的方法)IMK

HSM

硬體安全模組 (HSM) 是一種實體裝置,可保護密碼編譯作業 (例如,加密、解密和數位簽章),以及用於這些作業的基礎金鑰。

KCV

索引鍵檢查值 (KCV) 是指各種校驗和方法,主要用來比較金鑰之間的索引鍵,而無需存取實際的金鑰資料。KCV 也被用於完整性驗證(尤其是在交換密鑰時),儘管此角色現在已包含在關鍵區塊格式中,例如. TR-31 對於 TDES 金鑰,KCV 的計算方式是將 8 個位元組加密,每個位元組的值為零,並保留加密結果的 3 個最高順序位元組。對於 AES 金鑰,KCV 是使用 CMAC 演算法計算,其中輸入資料為零的 16 個位元組,並保留加密結果的 3 個最高階位元組。

KDH

金鑰發佈主機 (KDH) 是在金鑰交換程序 (例如 TR-34) 中傳送金鑰的裝置或系統。從 AWS 支付密碼學發送密鑰時,它被認為是 KDH。

KIF

密鑰注入工具(KIF)是用於初始化支付終端機(包括使用加密密鑰加載它們)的安全設施。

KRD

金鑰接收裝置 (KRD) 是在金鑰交換程序 (例如 TR-34) 中接收金鑰的裝置。當發送密鑰 AWS 支付密碼學,它被認為是 KRD。

KSN

密鑰序列號(KSN)是用作 DUKPT 加密/解密的輸入值,以便在每個交易中創建唯一的加密密鑰。KSN 通常由 BDK 標識符,半唯一終端 ID 以及一個事務計數器組成,該計數器會在給定支付終端上處理的每個轉換時遞增。

mPOC

mPoC (商用硬體上的行動銷售點) 是 PCI 標準,可滿足商家使用智慧型手機或其他商業 off-the-shelf (COTS) 行動裝置接受持卡人 PIN 碼或非接觸式付款的解決方案的安全要求。

「主要帳戶號碼」(PAN) 是信用卡或扣帳卡等帳戶的唯一識別碼。通常長度為 13-19 位數字。前 6-8 位數字識別網絡和發卡銀行。

針腳擋塊

在處理或傳輸過程中包含 PIN 以及其他數據元素的數據塊。PIN 圖塊格式標準化 PIN 圖塊的內容,以及如何處理以擷取 PIN 碼。大多數 PIN 塊由 PIN 碼,PIN 長度組成,並且通常包含 PAN 的部分或全部。 AWS 支付密碼技術支持 ISO 9564-1 格式 0,1,3 和 4。AES 金鑰需要格式 4。驗證或轉譯 PIN 時,需要指定傳入或傳出資料的 PIN 碼區塊。

POI

互動點(POI)也經常與銷售點(POS)同義使用,是持卡人與其互動以顯示其付款憑據的硬件設備。POI 的一個例子是商家位置的實體終端機。如需獲得認證的 PCI PTS POI 終端機清單,請參閱 PCI 網站

PSN

PAN 序號(PSN)是用於區分使用相同 PAN 發行的多張卡的數值。

公有金鑰

使用非對稱密碼 (RSA) 時,公開金鑰是公開-私密 key pair 組的公開元件。公有金鑰可以共用並分配至需要為公有-私有金鑰對擁有者加密資料的實體。對於數位簽章操作,公有金鑰用於驗證簽章。

私有金鑰

使用非對稱密碼 (RSA) 時,私密金鑰是公用-私密金鑰組的私密元件。私有金鑰用於解密資料或建立數位簽章。與對稱 AWS 式付款密碼編譯金鑰類似,私密金鑰是由 HSM 安全建立的。它們只會解密到 HSM 的揮發性記憶體中,而且只會在處理加密要求所需的時間內解密。

PVV

PIN 驗證值 (PVV) 是一種密碼編譯輸出類型,可用於在不儲存實際接腳的情況下驗證引腳。雖然它是一個通用術語,但在 AWS 付款密碼學的背景下,PVV 是指 Visa 或 ABA PVV 方法。這個 PVV 是一個四位數的數字,其輸入包括卡號,平移序列號,平移本身和 PIN 驗證密鑰。在驗證階段期間, AWS 付款密碼編譯會使用交易資料在內部重新建立 PVV,並再次比較 AWS 付款密碼編譯客戶所儲存的值。通過這種方式,它在概念上類似於加密哈希或 MAC。

RSA 包裝/展開包裝

RSA 換行使用非對稱金鑰來包裝對稱金鑰 (例如 TDES 金鑰) 以傳輸到另一個系統。只有具有相符私密金鑰的系統才能解密承載並載入對稱金鑰。相反,RSA 解除包裝,將安全地解密使用 RSA 加密的密鑰,然後將該密鑰加載到支付密碼學中。 AWS RSA wrap 是一種交換密鑰的低級方法,不以密鑰塊格式傳輸密鑰,並且不使用發送方的有效負載簽名。應考慮備用控制以確定天意和關鍵屬性沒有突變。

TR-34 也在內部使用 RSA,但它是一種單獨的格式,不可互操作。

TR-31

TR-31(正式定義為 ANSI X9 TR 31)是由美國國家標準協會(ANSI)定義的關鍵區塊格式,用於支援在與關鍵資料本身相同的資料結構中定義關鍵屬性。TR-31 鍵圖塊格式定義了一組關鍵屬性,這些屬性與鍵相關聯,以便將它們保存在一起。 AWS 付款密碼學盡可能使用 TR-31 標準化術語,以確保適當的密鑰分離和密鑰目的。TR-31 已被二年十月二十四日取代。

TR-34

TR-34 是 ANSI X9.24-2 的一項實作,其中描述了使用非對稱技術 (例如 RSA) 安全散佈對稱金鑰 (例如 3DES 和 AES) 的通訊協定。 AWS 付款密碼學使用 TR-34 方法來允許密鑰的安全導入和導出。