交换初始密钥 (KEK)

在 AS28 05 中，双方都有自己的 KEK。KEK (s) 是指发送端密钥，每当发送方需要密钥并将其发送到 node2 时，都将使用该 protect/wrap 密钥。KEK (r) 是由另一方（节点 2）创建的密钥。

这些术语是相对的——一方创建密钥（发送方），另一方接收密钥。因此 KEY1，在节点 1 上它被称为 KEK (s)，在节点 2 上被称为 KEK (r)。

AS2805 的 KEK 始终是密钥类型 = TR31 _K0_KEY_ENCRYPTION_KEY，因为它们用于保护密码而不是密钥块。这映射到 05 6.1 中定义的 TERMINAL_MAJOR_KEY_VARIANT_00 AS28

步骤：

1.创建密钥: 使用 CreateKeyapi 创建密钥。您将创建一个 _K0_KEY_KEY_ENCRYPTION TR31 _KEY 类型的密钥
2. 确定与 node2 交换密钥的方法: 确定如何与对手交换 KEK。对于 AS28 05，最常见且可互操作的方法是 RSA Wrap。
3. 导出 KEKs: 根据您在上面的选择，您将收到来自 node2 的公钥证书。您将使用该证书运行导出以保护密钥（或者如果使用 ECDH 则派生密钥）。
4. 导入 KEKr: 根据您在上面的选择，您将向 node2 发送公钥证书。您将使用该证书运行 import，将节点 2 加载 KEKr 到服务中。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

AS2805

KEK 的验证