本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 交换初始密钥 (KEK) 在 AS28 05 中,双方都有自己的 KEK。KEK (s) 是指发送端密钥,每当发送方需要密钥并将其发送到 node2 时,都将使用该 protect/wrap 密钥。KEK (r) 是由另一方(节点 2)创建的密钥。 **注意** 这些术语是相对的——一方创建密钥(发送方),另一方接收密钥。因此 KEY1,在节点 1 上它被称为 KEK (s),在节点 2 上被称为 KEK (r)。 AS2805 的 KEK 始终是密钥类型 = TR31 \$1K0\$1KEY\$1ENCRYPTION\$1KEY,因为它们用于保护密码而不是密钥块。这映射到 05 6.1 中定义的 TERMINAL\$1MAJOR\$1KEY\$1VARIANT\$100 AS28 步骤: **1.创建密钥** 使用 [CreateKey](create-keys.md)api 创建密钥。您将创建一个 \$1K0\$1KEY\$1KEY\$1ENCRYPTION TR31 \$1KEY 类型的密钥 **2. 确定与 node2 交换密钥的方法** 确定如何[与对手交换 KEK](keys-export.md)。对于 AS28 05,最常见且可互操作的方法是 RSA Wrap。 **3. 导出 KEKs** 根据您在上面的选择,您将收到来自 node2 的公钥证书。您将使用该证书运行导出以保护密钥(或者如果使用 ECDH 则派生密钥)。 **4. 导入 KEKr** 根据您在上面的选择,您将向 node2 发送公钥证书。您将使用该证书运行 import,将节点 2 加载 KEKr 到服务中。