本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AS2805
Australia Standard 2805 (AS2805) 是主要用於卡片付款交易之電子轉帳的標準。它由 Standards Australia
第 6 部分提供金鑰管理的指引host-to-host(node-to-node通訊和相關密碼編譯要求,而其他部分則涵蓋其他層面。此標準中的所有密碼編譯目前都以 TDES 為基礎。
注意
AS2805 目前可在 ap-southeast-2 區域中使用。它將在不久的將來推展到其他區域。
AS2805 與其他實作相比有許多差異,摘要如下。
- 金鑰保護
-
依賴金鑰變體而不是 TR-31/X9.143. AWS Payment Cryptography 中的 等金鑰區塊,將所有金鑰存放為內部的金鑰區塊,但允許使用 AS2805 定義的變體進行匯入、匯出和計算。
- 單向金鑰
-
AS2805 必須使用單向金鑰。如果兩個節點都需要產生訊息驗證碼 (MAC),它們會使用兩個金鑰。
- Pin 區塊
-
AS2805 為每個交易定義唯一 PIN 加密金鑰的金鑰衍生技術。這可以用來取代 DUKPT。相較於 DUKPT 使用交易計數器,AS2805 方案依賴交易資料 (追蹤數目和交易金額)。
- 金鑰交換驗證
-
定義程序來驗證 KEK,然後再開始交換工作金鑰,例如 PIN 金鑰。在其他方案中,KEK 不常交換,並使用 KCV 進行驗證。
AS2805 使用金鑰變體的概念,而不是金鑰區塊,以確保金鑰僅用於預期 (和唯一) 用途。以下是使用金鑰匯入、匯出或執行其他密碼編譯函數時, AWS 付款密碼編譯如何在變體和金鑰區塊之間映射。
| AS2805 金鑰類型 | AWS 付款密碼編譯金鑰類型 |
|---|---|
TERMINAL_MAJOR_KEY_VARIANT_00 |
TR31_K0_KEY_ENCRYPTION_KEY |
PIN_ENCRYPTION_KEY_VARIANT_28 |
TR31_P0_PIN_ENCRYPTION_KEY |
MESSAGE_AUTHENTICATION_KEY_VARIANT_24 |
TR31_M0_ISO_16609_MAC_KEY |
DATA_ENCRYPTION_KEY_VARIANT_22 |
TR31_D0_SYMMETRIC_DATA_ENCRYPTION_KEY |
VARIANT_MASK_82、VARIANT_MASK_82C0 |
KEK 驗證程序中可用的選項。這些金鑰類型是暫時性的,不會由 服務存放。 |
假設有兩個節點,節點 1 和節點 2,下列範例是從節點 1 的角度來看。 AWS 付款密碼編譯支援程序兩側的 APIs。
