本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 產業術語
<a name="terminology"></a>

**Topics**
+ [常見金鑰類型](#key-types)
+ [其他術語](#other-terms)

## 常見金鑰類型
<a name="key-types"></a>

AWS 付款密碼編譯金鑰  
 AWS 付款密碼編譯金鑰存在於單一 中 AWS 區域。它由儲存在 AWS 付款密碼編譯服務中的金鑰中繼資料和材料組成。金鑰可從外部來源匯入為 TR-31 金鑰區塊，或由 AWS 付款密碼編譯服務產生。

**AWK**  
收單機構工作金鑰 (AWK) 是通常用來在收單機構/收單機構處理器與網路 （例如 Visa 或 Mastercard) 之間交換資料的金鑰。過去，AWK 會利用 3DES 進行加密，並以 TR31\_P0\_PIN\_ENCRYPTION\_KEY 表示。

**BDK**  
基礎衍生金鑰 (BDK) 是用於衍生後續金鑰的工作金鑰，通常用於 PCI PIN 和 PCI P2PE DUKPT 程序。它表示為 *TR31\_B0\_BASE\_DERIVATION\_KEY*。

**CMK**  
卡片主金鑰 (CMK) 是一或多個卡片特定的金鑰 （通常衍生自[發行者主金鑰](#terms.imk)、*PAN* 和 *PSN*)，通常是 *3DES* 金鑰。這些金鑰會在個人化期間存放在 EMV Chip 上。CMKs 的範例包括 AC、SMI 和 SMC 金鑰。

**CMK-AC**  
應用程式加密法 (AC) 金鑰做為 EMV 交易的一部分來產生交易加密法，是一種[卡片主金鑰](#terms.cmk)。

**CMK-SMI**  
安全訊息完整性 (SMI) 金鑰會做為 EMV 的一部分使用，以驗證使用 MAC 傳送至卡片的承載完整性，例如 PIN 更新指令碼。這是[卡片主金鑰](#terms.cmk)的類型。

**CMK-SMC**  
安全訊息機密性 (SMC) 金鑰是做為 EMV 的一部分，用來加密傳送至卡片的資料，例如 PIN 更新。這是[卡片主金鑰](#terms.cmk)的類型。

**CVK**  
卡片驗證金鑰 (CVK) 是一種金鑰，用於使用定義的演算法產生 CVV、CVV2 和類似值，以及驗證輸入。它表示為 *TR31\_C0\_CARD\_VERIFICATION\_KEY*。

**IMK**  
發行者主金鑰 (IMK) 是做為 EMV 晶片卡個人化的一部分使用的主金鑰。一般而言，會有 3 個 IMKs - AC （加密圖）、SMI （完整性/簽章的指令碼主金鑰） 和 SMC （機密性/加密的指令碼主金鑰） 金鑰各一個。

**IK**  
初始金鑰 (IK) 是 DUKPT 程序中使用的第一個金鑰，衍生自基本衍生金鑰 ([BDK](#terms.bdk))。此金鑰不會處理任何交易，但會用來衍生未來將用於交易的金鑰。用於建立 IK 的衍生方法在 X9.24-1：2017 中定義。使用 TDES BDK 時，X9.24-1：2009 是適用的標準，而 IK 會取代為初始接腳加密金鑰 (IPEK)。

**IPEK**  
初始 PIN 加密金鑰 (IPEK) 是 DUKPT 程序中使用的初始金鑰，衍生自基本衍生金鑰 ([BDK](#terms.bdk))。此金鑰不會處理任何交易，但會用來衍生未來將用於交易的金鑰。IPEK 是一種誤判，因為此金鑰也可以用來衍生資料加密和 mac 金鑰。用於建立 IPEK 的衍生方法在 X9.24-1：2009 中定義。使用 AES BDK 時，X9.24-1：2017 是適用的標準，並以初始金鑰 ([IK](#terms.initialkey)) 取代 IPEK。

**IWK**  
發行者工作金鑰 (IWK) 是一種金鑰，通常用於在發行者/發行者處理器與網路 （例如 Visa 或 Mastercard) 之間交換資料。傳統上，IWK 會利用 3DES 進行加密，並以 *TR31\_P0\_PIN\_ENCRYPTION\_KEY* 表示。

**KBPK**  
金鑰區塊加密金鑰 (KBPK) 是一種對稱金鑰，用於保護金鑰區塊，進而包裝/加密其他金鑰。KBPK 類似於 [KEK](#terms.kek)，但 KEK 會直接保護金鑰材料，而在 TR-31 和類似結構描述中，KBPK 只會間接保護工作金鑰。使用 時[`TR-31`](#terms.tr31)，*TR31\_K1\_KEY\_BLOCK\_PROTECTION\_KEY* 是正確的金鑰類型，但 TR31\_K0\_KEY\_ENCRYPTION\_KEY 可互換支援用於歷史用途。

**KEK**  
金鑰加密金鑰 (KEK) 是用來加密其他金鑰的金鑰，用於傳輸或儲存。用於保護其他金鑰的金鑰通常根據[`TR-31`](#terms.tr31)標準具有 *TR31\_K0\_KEY\_ENCRYPTION\_KEY* 的 KeyUsage。

**PEK**  
PIN 加密金鑰 (PEK) 是一種用於加密 PINs的工作金鑰，用於在雙方之間進行儲存或傳輸。IWK 和 AWK 是 PIN 加密金鑰之特定用途的兩個範例。這些金鑰以 *TR31\_P0\_PIN\_ENCRYPTION\_KEY* 表示。

**PGK**  
PGK (Pin Generation Key) 是 [PIN 驗證金鑰](#terms.pvk)的另一個名稱。它實際上不會用來產生接腳 （預設為密碼編譯隨機數字），而是用來產生驗證值，例如 PVV。

**PRK**  
主要區域金鑰是已啟用複寫之指定付款密碼編譯金鑰的授權複寫來源。PRK 是多區域金鑰複寫組態中來源付款密碼編譯金鑰角色的參考。在付款密碼編譯金鑰上啟用複寫時，稱為該特定金鑰複寫組態的 PRK。

**PVK**  
PIN 驗證金鑰 (PVK) 是一種工作金鑰，用於產生 PVV 等 PIN 驗證值。兩種最常見的類型是用於產生 IBM3624*3624 位移值的 TR31\_V1\_IBM3624\_PIN\_VERIFICATION\_KEY*，以及用於 Visa/ABA 驗證值的 *TR31\_V2\_VISA\_PIN\_VERIFICATION\_KEY*。這也稱為 [PIN 產生金鑰](#terms.pgk)。

**RRK**  
複本區域金鑰是複寫的金鑰材料和中繼資料，可安全地從 PRK 複製到設定的複本 AWS 區域。RRK 是付款密碼編譯金鑰的唯讀複本。RRK 是特定金鑰在多區域金鑰複寫組態中扮演的角色參考。任何金鑰中繼資料變更，包括複寫設定都必須套用至 PRK。

## 其他術語
<a name="other-terms"></a>

**ARQC**  
授權請求密碼編譯 (ARQC) 是由 EMV 標準晶片卡 （或同等非接觸式實作） 在交易時間產生的密碼編譯。通常，ARQC 是由晶片卡產生，並轉送給發行者或其代理，以在交易時間進行驗證。

**CVV**  
卡片驗證值是傳統上內嵌在磁帶條紋上的靜態秘密值，用於驗證交易的真實性。此演算法也用於其他用途，例如 iCVV、CAVV、CVV2。對於其他使用案例，它可能不會以這種方式內嵌。

**CVV2**  
卡片驗證值 2 是傳統上列印在支付卡正面 （或背面） 的靜態秘密值，用於驗證卡片不存在付款的真實性 （例如電話或線上）。它使用與 CVV 相同的演算法，但服務代碼設定為 000。

**iCVV**  
iCVV 是CVV2-like 的值，但內嵌 EMV（晶片） 卡上的 track2 對等資料。此值使用服務代碼 999 計算，不同於 CVV1/CVV2，以防止使用遭竊的資訊來建立新的不同類型的付款登入資料。例如，如果取得晶片交易資料，則無法使用此資料產生磁條 (CVV1) 或線上購買 (CVV2)。  
它使用[CVK](#terms.cvk)金鑰

**杜克普**  
衍生的每個交易唯一金鑰 (DUKPT) 是一種金鑰管理標準，通常用於定義在實體 POS/POI 上使用一次性加密金鑰。過去，DUKPT 會利用 3DES 進行加密。DUKPT 的業界標準在 ANSI X9.24-3-2017 中定義。

**ECC**  
ECC （橢圓曲線密碼編譯） 是一種公有金鑰密碼編譯系統，使用橢圓曲線的數學來建立加密金鑰。ECC 提供與 RSA 等傳統方法相同的安全層級，但金鑰長度較短，以更有效率的方式提供同等的安全性。這與 RSA 不是實際解決方案 (RSA 金鑰長度 > 4096 位元） 的使用案例特別相關。 AWS 付款密碼編譯支援 [NIST](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 定義的曲線，可用於 ECDH 操作。

**ECDH**  
ECDH (Elliptic Curve Diffie-Hellman) 是一種金鑰協議協定，允許雙方建立共用秘密 （例如 [KEK](#terms.kek) 或 PEK)。在 ECDH 中，A 和 B 各自有自己的公有/私有金鑰對，並互相交換公有金鑰 （以 AWS 付款密碼編譯的憑證形式） 以及金鑰衍生中繼資料 （衍生方法、雜湊類型和共用資訊）。雙方將其私有金鑰乘以對方的公有金鑰，由於橢圓曲線屬性，雙方能夠衍生 （產生） 產生的金鑰。

**EMV**  
[EMV](https://www.emvco.com/) （最初是 Europay、Mastercard、 Visa) 是與付款利益相關者合作的技術機構，可建立可互通的付款標準和技術。其中一個範例標準是晶片/非接觸式卡及其互動的付款終端機，包括所使用的密碼編譯。EMV 金鑰衍生是指根據初始金鑰集 （例如 ) 為每個支付卡產生唯一金鑰的方法 [`IMK`](#terms.imk) 

**HSM**  
硬體安全模組 (HSM) 是一種實體裝置，可保護密碼編譯操作 （例如加密、解密和數位簽章），以及用於這些操作的基礎金鑰。

**KCAAS**  
Key Custodian As A Service (KCAAS) 提供各種與金鑰管理相關的服務。對於付款金鑰，它們通常可以將紙質金鑰元件轉換為 AWS 付款密碼編譯支援的電子形式，或將電子保護金鑰轉換為某些廠商可能需要的紙質元件。他們也可能為遺失會對持續操作造成負面影響的金鑰提供金鑰託管服務。KCAAS 廠商能夠協助客戶減輕在安全服務之外管理金鑰材料的操作負擔，例如以符合 PCI DSS、PCI PIN 和 PCI P2PE 標準的方式 AWS 付款密碼編譯。 AWS 付款密碼[實體金鑰交換](keys-physicalkeyexchange.md)提供內建的 KCAAS 功能，可將紙質金鑰元件轉換為電子格式。

**KCV**  
金鑰檢查值 (KCV) 是指各種主要檢查總和方法，用於彼此比較金鑰，而無法存取實際金鑰材料。KCV 也已用於完整性驗證 （特別是交換金鑰時），雖然此角色現在包含在金鑰區塊格式中，例如 [`TR-31`](#terms.tr31)。對於 TDES 金鑰，KCV 是透過加密 8 個位元組來計算，每個位元組的值為零，要檢查的金鑰並保留加密結果的 3 個最高順序位元組。對於 AES 金鑰，使用 CMAC 演算法計算 KCV，其中輸入資料為 16 個位元組零，並保留加密結果的 3 個最高順序位元組。

**KDH**  
金鑰分佈主機 (KDH) 是在 [TR-34](#terms.tr34) 等金鑰交換程序中傳送金鑰的裝置或系統。從 AWS 付款密碼編譯傳送金鑰時，會被視為 KDH。

**KIF**  
金鑰注入設施 (KIF) 是用於初始化付款終端機的安全設施，包括使用加密金鑰載入它們。

**KRD**  
金鑰接收裝置 (KRD) 是在 [TR-34](#terms.tr34) 等金鑰交換程序中接收金鑰的裝置。將金鑰傳送至 AWS 付款密碼編譯時，會被視為 KRD。

**KSN**  
金鑰序號 (KSN) 是做為 DUKPT 加密/解密輸入的值，用於為每個交易建立唯一的加密金鑰。KSN 通常包含 BDK 識別符、半唯一終端機 ID，以及在指定付款終端機上處理的每個轉換上遞增的交易計數器。根據 X9.24，對於 TDES，10 位元組 KSN 通常包含金鑰集 ID 的 24 位元、終端機 ID 的 19 位元，以及交易計數器的 21 位元，雖然金鑰集 ID 和終端機 ID 之間的界限不會影響 AWS 付款密碼編譯的函數。對於 AES，12 位元組 KSN 通常包含 32 位元的 BDK ID、32 位元的衍生識別符 (ID)，以及 32 位元的交易計數器。

**MPoC**  
 MPoC （商業硬體上的行動銷售點） 是一種 PCI 標準，可解決解決方案的安全要求，讓商家能夠使用智慧型手機或其他商用off-the-shelf(COTS) 行動裝置接受持卡人 PINs 碼或感應式付款。

**PAN**  
主要帳戶號碼 (PAN) 是帳戶的唯一識別符，例如信用卡或簽帳金融卡。長度通常為 13-19 位數。前 6-8 位數識別網路和發行銀行。

**PIN 區塊**  
在處理或傳輸期間包含 PIN 的資料區塊，以及其他資料元素。PIN 區塊格式會將 PIN 區塊的內容標準化，以及如何處理以擷取 PIN。大多數 PIN 區塊是由 PIN、PIN 長度組成，並且經常包含部分或全部 PAN. AWS Payment Cryptography 支援 ISO 9564-1 格式 0、1、3 和 4。AES 金鑰需要格式 4。驗證或翻譯 PINs 時，需要指定傳入或傳出資料的 PIN 區塊。

**POI**  
互動點 (POI) 也經常匿名與銷售點 (POS) 搭配使用，是持卡人用來呈現其付款憑證的硬體裝置。POI 的範例是商家位置中的實體終端機。如需經認證的 PCI PTS POI 終端機清單，請參閱 [PCI 網站](https://www.pcisecuritystandards.org/)。

**PSN**  
PAN 序號 (PSN) 是用來區分以相同 [PAN](#terms.pan) 發行之多張卡片的數值。

**公有金鑰**  <a name="terms.publickey"></a>
使用非對稱密碼 (RSA、ECC) 時，公有金鑰是公有私有金鑰對的公有元件。公有金鑰可以共用並分配至需要為公有-私有金鑰對擁有者加密資料的實體。對於數位簽章操作，公有金鑰用於驗證簽章。

**私有金鑰**  <a name="terms.privatekey"></a>
使用非對稱密碼 (RSA、ECC) 時，私有金鑰是公有/私有金鑰對的私有元件。私有金鑰用於解密資料或建立數位簽章。與對稱 AWS 付款密碼編譯金鑰類似，私有金鑰是由 HSMs 安全建立。它們只會解密到 HSM 的揮發性記憶體，而且只會在處理密碼編譯請求所需的時間內。

**PVV**  
PIN 驗證值 (PVV) 是一種密碼編譯輸出，可用於驗證 PIN，而不儲存實際的 PIN。雖然這是一般術語，但在 AWS 付款密碼編譯中，PVV 是指 Visa 或 ABA PVV 方法。此 PVV 是一個四位數號碼，其輸入為卡號、平移序號、平移本身和 PIN 驗證金鑰。在驗證階段， AWS 付款密碼編譯會使用交易資料在內部重新建立 PVV，並再次比較 AWS 付款密碼編譯客戶儲存的值。透過這種方式，它在概念上類似於密碼編譯雜湊或 MAC。

**RSA 包裝/取消包裝**  
RSA 包裝使用非對稱金鑰來包裝對稱金鑰 （例如 TDES 金鑰） 以傳輸到另一個系統。只有具有相符私有金鑰的系統可以解密承載並載入對稱金鑰。相反地，RDA 取消包裝會安全地解密使用 RSA 加密的金鑰，然後將金鑰載入 AWS 付款密碼編譯。RSA wrap 是交換金鑰的低階方法，不會以金鑰區塊格式傳輸金鑰，也不會利用傳送方的承載簽署。替代控制項應視為確定提供，且金鑰屬性不會變更。  
 TR-34 也會在內部使用 RSA，但為個別格式，且無法互通。

**TR-31**  
TR-31 （正式定義為 ANSI X9 TR 31) 是一種金鑰區塊格式，由美國國家標準研究所 (ANSI) 定義，以支援在與金鑰資料本身相同的資料結構中定義金鑰屬性。TR-31 金鑰區塊格式定義一組繫結至金鑰的金鑰屬性，以便它們一起保存。 AWS 付款密碼編譯會盡可能使用 TR-31 標準化詞彙，以確保適當的金鑰分離和金鑰用途。TR-31 已由 [ANSI X9.143-2022 取代。](https://webstore.ansi.org/standards/ascx9/ansix91432022)

**TR-34**  
TR-34 是 ANSI X9.24-2 的實作，描述使用非對稱技術 （例如 RSA) 安全地分發對稱金鑰 （例如 3DES 和 AES) 的通訊協定。 AWS 付款密碼編譯使用 TR-34 方法來允許安全匯入和匯出金鑰。

**X9.143**  
X9.143 是美國國家標準協會 (ANSI) 定義的金鑰區塊格式，可支援保護相同資料結構中的金鑰和金鑰屬性。金鑰區塊格式會定義一組繫結至金鑰的金鑰屬性，以便它們一起保存。 AWS 付款密碼編譯會盡可能使用 X9.143 標準化詞彙，以確保適當的金鑰分離和金鑰用途。X9.143 取代了較早的 [TR-31](#terms.tr31) 提案，雖然在大多數情況下，它們是向後和向前相容的，而且這些術語通常可互換使用。