本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 初始金鑰 (KEK) 交換
<a name="as2805.kekexchange"></a>

 在 AS2805 中，每一端都有自己的 KEK。KEK(s) 是指每當傳送端需要保護/包裝金鑰並將其傳送至 node2 時，將使用的傳送端金鑰。KEK(r) 是由 opposite(node2) 端建立的金鑰。

**注意**  
這些術語是相對的 - 一端建立金鑰 （傳送端），另一端接收到金鑰。因此，指定 KEY1，它在節點 1 上稱為 KEK(s)，在節點 2 上稱為 KEK(r)。

 AS2805 的 KEK 始終是金鑰類型 = TR31\$1K0\$1KEY\$1ENCRYPTION\$1KEY，因為它們用於保護密碼編譯，而不是金鑰區塊。這對應至 AS2805 6.1 中定義的 TERMINAL\$1MAJOR\$1KEY\$1VARIANT\$100 

步驟：

**1.建立金鑰**  
使用 [CreateKey](create-keys.md) api 建立金鑰。您將建立 TR31\$1K0\$1KEY\$1ENCRYPTION\$1KEY 類型的金鑰

**2.決定與 node2 交換金鑰的方法**  
決定如何[與對手方交換 KEK](keys-export.md)。對於 AS2805，最常見的互通方法是 RSA Wrap。

**3.匯出 KEKs**  
根據上述選擇，您將會從 node2 收到公有金鑰憑證。您將使用該憑證執行匯出以保護金鑰 （如果使用 ECDH，則衍生金鑰）。

**4. 匯入 KEKr**  
根據上述選擇，您會將公有金鑰憑證傳送至 node2。您將使用該憑證執行匯入至 ，將節點 2 的 KEKr 載入服務。