本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 常用案例
AWS 付款密碼編譯支援許多典型的付款密碼編譯操作。下列主題可做為如何將這些操作用於典型常見使用案例的指南。如需所有命令的清單,請檢閱 AWS 付款密碼編譯 API。
**Topics**
+ [發行者和發行者處理器](use-cases-issuers.md)
+ [取得和付款引導程式](use-cases-acquirers.md)
# 發行者和發行者處理器
發行者使用案例通常由幾個部分組成。本節依 函數組織 (例如使用接腳)。在生產系統中,金鑰通常範圍限定於指定的卡片儲存貯體,並在儲存貯體設定期間建立,而不是內嵌,如下所示。
**Topics**
+ [一般函數](use-cases-issuers.generalfunctions.md)
+ [網路特定函數](use-cases-issuers.networkfunctions.md)
# 一般函數
**Topics**
+ [產生隨機接腳和相關聯的 PVV,然後驗證值](use-cases-issuers.generalfunctions.pvv.md)
+ [產生或驗證指定卡片的 CVV](use-cases-issuers.generalfunctions.cvv.md)
+ [產生或驗證特定卡片的 CVV2](use-cases-issuers.generalfunctions.cvv2.md)
+ [產生或驗證特定卡片的 iCVV](use-cases-issuers.generalfunctions.icvv.md)
+ [驗證 EMV ARQC 並產生 ARPC](use-cases-issuers.generalfunctions.arqc.md)
+ [產生和驗證 EMV MAC](use-cases-issuers.generalfunctions.emvmac.md)
+ [針對 PIN 變更產生 EMV MAC](use-cases-issuers.generalfunctions.emvpinchange.md)
# 產生隨機接腳和相關聯的 PVV,然後驗證值
**Topics**
+ [建立 key(s)](#use-cases-issuers.generalfunctions.pvv.setup)
+ [產生隨機 PIN 碼、產生 PVV 並傳回加密的 PIN 碼和 PVV](#use-cases-issuers.generalfunctions.pvv.generate)
+ [使用 PVV 方法驗證加密的 PIN](#use-cases-issuers.generalfunctions.pvv.verify)
## 建立 key(s)
為了產生隨機接腳和 [PVV](terminology.md#terms.pvv),您需要兩個金鑰:用於產生 PVV 的[接腳驗證金鑰 (PVK)](terminology.md#terms.pvk),以及用於加密接腳的[接腳加密金鑰](terminology.md#terms.pek)。接腳本身會在服務內安全地隨機產生,且與任一金鑰的密碼編譯無關。
PGK 必須是以 PVV 演算法本身為基礎的演算法 TDES\$12KEY 金鑰。PEK 可以是 TDES\$12KEY、TDES\$13KEY 或 AES\$1128。在這種情況下,由於 PEK 旨在供系統內部使用,因此 AES\$1128 是不錯的選擇。如果 PEK 用於與其他系統 (例如,卡網路、收單機構、ATMs) 交換,或作為遷移的一部分進行移動,則基於相容性原因,TDES\$12KEY 可能是更適當的選擇。
### 建立 PEK
```
$ aws payment-cryptography create-key \
--exportable
--key-attributes KeyAlgorithm=AES_128,KeyUsage=TR31_P0_PIN_ENCRYPTION_KEY,\
KeyClass=SYMMETRIC_KEY,\
KeyModesOfUse='{Encrypt=true,Decrypt=true,Wrap=true,Unwrap=true}' --tags='[{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
"KeyAttributes": {
"KeyUsage": "TR31_P0_PIN_ENCRYPTION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "AES_128",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "7CC9E2",
"KeyCheckValueAlgorithm": "CMAC",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt*。在下一個步驟中,您需要用到。
### 建立 PVK
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_V2_VISA_PIN_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyAttributes": {
"KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "51A200",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza*。在下一個步驟中,您需要用到。
## 產生隨機 PIN 碼、產生 PVV 並傳回加密的 PIN 碼和 PVV
**Example**
在此範例中,我們將產生新的 (隨機) 4 位數接腳,其中輸出將是加密的 `PIN block`(PinData.PinBlock) 和 `PVV`(pinData.VerificationValue). 金鑰輸入為 `PAN`、 `Pin Verification Key`(也稱為 PIN 產生金鑰)、 `Pin Encryption Key`和 [PIN 區塊](terminology.md#terms.pinblock)格式。
此命令要求金鑰類型為 `TR31_V2_VISA_PIN_VERIFICATION_KEY`。
```
$ aws payment-cryptography-data generate-pin-data --generation-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2 --encryption-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt --primary-account-number 171234567890123 --pin-block-format ISO_FORMAT_0 --generation-attributes VisaPin={PinVerificationKeyIndex=1}
```
```
{
"GenerationKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2",
"GenerationKeyCheckValue": "7F2363",
"EncryptionKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
"EncryptionKeyCheckValue": "7CC9E2",
"EncryptedPinBlock": "AC17DC148BDA645E",
"PinData": {
"VerificationValue": "5507"
}
}
```
## 使用 PVV 方法驗證加密的 PIN
**Example**
在此範例中,我們將驗證指定 PAN 的 PIN。PIN 通常由持卡人或使用者在驗證的交易時間提供,並與檔案上的值進行比較 (持卡人的輸入會以終端機或其他上游提供者的加密值提供)。為了驗證此輸入,也會在執行時間提供下列值 - 加密的接腳、用來加密輸入接腳的金鑰 (通常稱為 [IWK](terminology.md#terms.iwk)),`PAN`以及要驗證的值 ( `PVV`或 `PIN offset`)。
如果 AWS 付款密碼編譯能夠驗證 PIN,則會傳回 http/200。如果未驗證 PIN 碼,則會傳回 http/400。
```
$ aws payment-cryptography-data verify-pin-data --verification-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2 --encryption-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt --primary-account-number 171234567890123 --pin-block-format ISO_FORMAT_0 --verification-attributes VisaPin="{PinVerificationKeyIndex=1,VerificationValue=5507}" --encrypted-pin-block AC17DC148BDA645E
```
```
{
"VerificationKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/37y2tsl45p5zjbh2",
"VerificationKeyCheckValue": "7F2363",
"EncryptionKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
"EncryptionKeyCheckValue": "7CC9E2",
}
```
# 產生或驗證指定卡片的 CVV
[CVV](terminology.md#terms.cvv) 或 CVV1 是傳統上內嵌在卡片磁性條紋中的值。它與 CVV2 不同 (持卡人可見並用於線上購買)。
第一步是建立金鑰。在本教學課程中,您會建立 [CVK](terminology.md#terms.cvk) 雙長度 3DES (2KEY TDES) 金鑰。
**注意**
CVV、CVV2 和 iCVV 全都使用類似的演算法,但會改變輸入資料。所有 都使用相同的金鑰類型 TR31\$1C0\$1CARD\$1VERIFICATION\$1KEY,但建議針對每個用途使用不同的金鑰。這些可以使用別名和/或標籤來區分,如以下範例所示。
## 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVV"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "DE89F9",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr*。在下一個步驟中,您需要用到。
## 產生 CVV
**Example**
在此範例中,我們將為指定的 PAN 產生 [CVV](terminology.md#terms.cvv),其輸入為 `PAN`,服務碼 (如 ISO/IEC 7813 所定義) 為 121,卡片過期日期。
如需所有可用的參數,請參閱 API 參考指南中的 [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html)。
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr --primary-account-number=171234567890123 --generation-attributes CardVerificationValue1='{CardExpiryDate=1127,ServiceCode=121}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr",
"KeyCheckValue": "DE89F9",
"ValidationData": "801"
}
```
## 驗證 CVV
**Example**
在此範例中,我們將使用 [CVK](terminology.md#terms.cvv)`PAN`、、服務代碼 121、卡片過期日期和交易期間提供的 CVV 輸入來驗證指定 PAN 的 CVV。
如需所有可用的參數,請參閱 API 參考指南中的 [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html)。
CVV 不是使用者輸入的值 (例如 CVV2),但通常內嵌在磁條上。應考慮是否應一律在提供時驗證。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr --primary-account-number=171234567890123 --verification-attributes CardVerificationValue1='{CardExpiryDate=1127,ServiceCode=121} --validation-data 801
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/r52o3wbqxyf6qlqr",
"KeyCheckValue": "DE89F9",
"ValidationData": "801"
}
```
# 產生或驗證特定卡片的 CVV2
[CVV2](terminology.md#terms.cvv2) 是傳統上在卡片背面提供的值,用於線上購買。對於虛擬卡,它也可能顯示在應用程式或螢幕上。密碼編譯方式與 CVV1 相同,但具有不同的服務代碼值。
## 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVV2"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "AEA5CD",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu*。在下一個步驟中,您需要用到。
## 產生 CVV2
**Example**
在此範例中,我們將為輸入 `PAN`和卡片過期日期的指定 PAN 產生 [CVV2](terminology.md#terms.cvv2)。
如需所有可用的參數,請參閱 API 參考指南中的 [CardVerificationValue2](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue2.html)。
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu --primary-account-number=171234567890123 --generation-attributes CardVerificationValue2='{CardExpiryDate=1127}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu",
"KeyCheckValue": "AEA5CD",
"ValidationData": "321"
}
```
## 驗證 CVV2
**Example**
在此範例中,我們將使用 CVK 的輸入、`PAN`卡片過期日期和交易期間提供的 CVV 來驗證指定 PAN 的 CVV[CVV2](terminology.md#terms.cvv2)。
如需所有可用的參數,請參閱《 API 參考指南》中的 [CardVerificationValue2](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue2.html)。
CVV2 和其他輸入是使用者輸入的值。因此,這不一定是定期無法驗證問題的跡象。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu --primary-account-number=171234567890123 --verification-attributes CardVerificationValue2='{CardExpiryDate=1127} --validation-data 321
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/7f7g4spf3xcklhzu",
"KeyCheckValue": "AEA5CD",
"ValidationData": "801"
}
```
# 產生或驗證特定卡片的 iCVV
[iCVV ](terminology.md#terms.icvv)使用與 CVV/CVV2 相同的演算法,但 iCVV 內嵌在晶片卡中。其服務代碼為 999。
## 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"ICVV"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "1201FB",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3*。在下一個步驟中,您需要用到。
## 產生 iCVV
**Example**
在此範例中,我們將為指定的 PAN 產生 [iCVV,](terminology.md#terms.icvv)其輸入為 `PAN`、服務碼 (如 ISO/IEC 7813 所定義) 為 999 且卡片過期日期。
如需所有可用的參數,請參閱 API 參考指南中的 [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html)。
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3 --primary-account-number=171234567890123 --generation-attributes CardVerificationValue1='{CardExpiryDate=1127,ServiceCode=999}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3",
"KeyCheckValue": "1201FB",
"ValidationData": "532"
}
```
## 驗證 iCVV
**Example**
為了進行驗證,輸入為 CVK、`PAN`、999 的服務碼、卡片過期日期,以及交易期間提供的 iCVV 以進行驗證。
如需所有可用的參數,請參閱《 API 參考指南》中的 [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html)。
iCVV 不是使用者輸入的值 (如 CVV2),但通常內嵌在 EMV/晶片卡上。應考慮是否應一律在提供時驗證。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3 --primary-account-number=171234567890123 --verification-attributes CardVerificationValue1='{CardExpiryDate=1127,ServiceCode=999} --validation-data 532
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/c7dsi763r6s7lfp3",
"KeyCheckValue": "1201FB",
"ValidationData": "532"
}
```
# 驗證 EMV ARQC 並產生 ARPC
[ARQC](terminology.md#terms.arqc) (Authorization Request Cryptogram) 是由 EMV (晶片) 卡產生的密碼編譯,用於驗證交易詳細資訊以及授權卡的使用。它包含來自卡片、終端機和交易本身的資料。
在後端的驗證時間,相同的輸入會提供給 AWS 付款密碼編譯,密碼編譯會在內部重新建立,並與交易提供的值進行比較。就這個意義而言,它類似於 MAC。[EMV 4.4 Book 2](https://www.emvco.com/specifications/?post_id=80377) 定義此函數的三個層面:金鑰衍生方法 (稱為通用工作階段金鑰 - CSK),以產生一次性交易金鑰、最低承載和產生回應的方法 (ARPC)。
個別卡片方案可以指定要納入的其他交易欄位,或這些欄位出現的順序。其他 (通常已棄用) 方案特定的衍生方案也存在,並涵蓋在本文件的其他部分。
如需詳細資訊,請參閱 API 指南中的 [VerifyCardValidationData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyCardValidationData.html)。
## 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{DeriveKey=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVN18"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyAttributes": {
"KeyUsage": "TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": false,
"Sign": false,
"Verify": false,
"DeriveKey": true,
"NoRestrictions": false
}
},
"KeyCheckValue": "08D7B4",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk*。在下一個步驟中,您需要用到。
## 產生 ARQC
ARQC 僅由 EMV 卡產生。因此, AWS 付款密碼編譯沒有產生此類承載的設施。基於測試目的,許多程式庫可在線上使用,可產生適當的承載,以及各種方案通常提供的已知值。
## 驗證 ARQC
**Example**
如果 AWS 付款密碼編譯能夠驗證 ARQC,則會傳回 http/200。驗證 ARQC 之後,可以選擇提供 ARPC (回應) 並包含在回應中。
```
$ aws payment-cryptography-data verify-auth-request-cryptogram --auth-request-cryptogram 61EDCC708B4C97B4 --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk --major-key-derivation-mode EMV_OPTION_A --transaction-data 00000000170000000000000008400080008000084016051700000000093800000B1F2201030000000000000000000000000000000000000000000000000000008000000000000000 --session-key-derivation-attributes='{"EmvCommon":{"ApplicationTransactionCounter":"000B", "PanSequenceNumber":"01","PrimaryAccountNumber":"9137631040001422"}}' --auth-response-attributes='{"ArpcMethod2":{"CardStatusUpdate":"12345678"}}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4",
"AuthResponseValue":"2263AC85"
}
```
# 產生和驗證 EMV MAC
EMV MAC 是 MAC,使用 EMV 衍生金鑰的輸入,然後對產生的資料執行 ISO9797-3 (零售) MAC。EMV MAC 通常用於將命令傳送至 EMV 卡,例如解除封鎖指令碼。
**注意**
AWS 付款密碼編譯不會驗證指令碼的內容。如需要包含的特定命令詳細資訊,請參閱您的方案或卡片手冊。
如需詳細資訊,請參閱 API 指南中的 [MacAlgorithmEmv](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_MacAlgorithmEmv.html)。
**Topics**
+ [建立金鑰](#use-cases-issuers.generalfunctions.emvmac.setup)
+ [產生 EMV MAC](#use-cases-issuers.generalfunctions.emvmac.generate)
## 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E2_EMV_MKEY_INTEGRITY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{DeriveKey=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVN18"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyAttributes": {
"KeyUsage": "TR31_E2_EMV_MKEY_INTEGRITY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": false,
"Sign": false,
"Verify": false,
"DeriveKey": true,
"NoRestrictions": false
}
},
"KeyCheckValue": "08D7B4",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk*。在下一個步驟中,您需要用到。
## 產生 EMV MAC
典型的流程是後端程序會產生 EMV 指令碼 (例如卡片解除封鎖),使用此命令簽署它 (衍生特定卡片的一次性金鑰),然後傳回 MAC。然後,命令 \$1 MAC 會傳送至要套用的卡片。將命令傳送至卡片超出 AWS 付款密碼編譯的範圍。
**注意**
此命令適用於未傳送加密資料 (例如 PIN) 的命令。EMV Encrypt 可以與此命令結合,在呼叫此命令之前將加密的資料附加到發行者指令碼
訊息資料
訊息資料包含 APDU 標頭和命令。雖然這可能因實作而有所不同,但此範例是 unblock (84 24 00 00 08) 的 APDU 標頭,後面接著 ATC (0007),然後是先前交易的 ARQC (999E57FD0F47CACE)。服務不會驗證此欄位的內容。
工作階段金鑰衍生模式
此欄位定義工作階段金鑰的產生方式。EMV\$1COMMON\$1SESSION\$1KEY 通常用於新實作,而 EMV2000 \$1 AMEX \$1 MASTERCARD\$1SESSION\$1KEY \$1 VISA 也可以使用。
MajorKeyDerivationMode
EMV 定義模式 A、B 或 C。模式 A 是最常見的,而 AWS 付款密碼編譯目前支援模式 A 或模式 B。
PAN
帳戶號碼,通常可在晶片欄位 5A 或 ISO8583 欄位 2 中使用,但也可以從卡片系統擷取。
PSN
卡片序號。如果未使用,請輸入 00。
SessionKeyDerivationValue
這是每個工作階段衍生資料的 。它可以是欄位 9F26 的最後一個 ARQC(ApplicationCryptogram),也可以是 9F36 的最後一個 ATC,具體取決於衍生方案。
填補
填補會自動套用,並使用 ISO/IEC 9797-1 填補方法 2。
**Example**
```
$ aws payment-cryptography-data generate-mac --message-data 84240000080007999E57FD0F47CACE --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk --message-data 8424000008999E57FD0F47CACE0007 --generation-attributes EmvMac="{MajorKeyDerivationMode=EMV_OPTION_A,PanSequenceNumber='00',PrimaryAccountNumber='2235521304123282',SessionKeyDerivationMode=EMV_COMMON_SESSION_KEY,SessionKeyDerivationValue={ApplicationCryptogram='999E57FD0F47CACE'}}"
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4",
"Mac":"5652EEDF83EA0D84"
}
```
# 針對 PIN 變更產生 EMV MAC
EMV PIN 變更結合了兩個操作:為發行者指令碼產生 MAC,以及為 EMV 晶片卡上的離線 PIN 變更加密新的 PIN。只有在 PIN 碼存放在晶片卡上的某些國家/地區 (歐洲國家/地區通用),才需要此命令。當持卡人需要變更其 PIN 碼,且新的 PIN 碼必須與 MAC 一起安全地傳輸至卡片,以驗證命令的真實性時,通常會使用此功能。
**注意**
如果您只需要將命令傳送至卡片,但不需要變更 PIN 碼,請考慮改用 [ARPC CSU](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyAuthRequestCryptogram.html) 或[產生 EMV MAC](use-cases-issuers.generalfunctions.emvmac.md) 命令。
如需詳細資訊,請參閱 API 指南中的 [GenerateMacEmvPinChange](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMacEmvPinChange.html)。
## 針對 PIN 變更產生 EMV MAC 和加密 PIN
此操作需要兩個金鑰:用於產生 MAC 的 EMV 完整性金鑰 (KeyUsage: TR31\$1E2\$1EMV\$1MKEY\$1INTEGRITY),以及用於 PIN 加密的 EMV 機密性金鑰 (KeyUsage: TR31\$1E4\$1EMV\$1MKEY\$1CONFIDENTIALITY)。典型的流程是後端程序會產生 EMV PIN 變更指令碼,其中包含發行者指令碼的 MAC 和加密的新 PIN。然後,命令和加密的 PIN 會傳送到卡片以更新離線 PIN。將命令傳送至卡片超出 AWS 付款密碼編譯的範圍。
訊息資料
訊息資料包含發行者指令碼的 APDU 命令。服務不會驗證此欄位的內容。
新的加密 PIN 區塊
將傳送至卡片的新加密 PIN 區塊。這必須使用 PIN 加密金鑰做為加密值提供。
新的 PIN PEK 識別符
用來加密新 PIN 碼的金鑰,然後再傳遞至此 API。
安全傳訊完整性金鑰
用於產生 MAC 的 EMV 完整性金鑰 (KeyUsage: TR31\$1E2\$1EMV\$1MKEY\$1INTEGRITY)。
安全傳訊機密性金鑰
用於 PIN 加密的 EMV 機密性金鑰 (KeyUsage: TR31\$1E4\$1EMV\$1MKEY\$1CONFIDENTIALITY)。
MajorKeyDerivationMode
EMV 定義了模式 A、B 或 C。模式 A 是最常見的,而 AWS 付款密碼編譯目前支援模式 A 或模式 B。
Mode
加密模式,通常是用於 PIN 變更操作的 CBC。
PAN
帳戶號碼,通常可在晶片欄位 5A 或 ISO8583 欄位 2 中使用,但也可以從卡片系統擷取。
PanSequenceNumber
卡片序號。如果未使用,請輸入 00。
ApplicationCryptogram
這是每個工作階段衍生資料,通常是欄位 9F26 的最後一個 ARQC。
PinBlockLengthPosition
指定 PIN 區塊長度的編碼位置。通常設定為 NONE。如果您不確定,請檢查您的卡片方案規格。
PinBlockPaddingType
指定 PIN 區塊的填補類型。通常設定為 NO\$1PADDING。如果您不確定,請檢查您的卡片方案規格。
**Example**
```
$ aws payment-cryptography-data generate-mac-emv-pin-change \
--message-data 00A4040008A000000004101080D80500000001010A04000000000000 \
--new-encrypted-pin-block 67FB27C75580EFE7 \
--new-pin-pek-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
--pin-block-format ISO_FORMAT_0 \
--secure-messaging-confidentiality-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi \
--secure-messaging-integrity-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk \
--derivation-method-attributes 'EmvCommon={ApplicationCryptogram=1234567890123457,MajorKeyDerivationMode=EMV_OPTION_A,Mode=CBC,PanSequenceNumber=00,PinBlockLengthPosition=NONE,PinBlockPaddingType=NO_PADDING,PrimaryAccountNumber=171234567890123}'
```
```
{
"SecureMessagingIntegrityKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"SecureMessagingIntegrityKeyCheckValue": "08D7B4",
"SecureMessagingConfidentialityKeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/tqv5yij6wtxx64pi",
"SecureMessagingConfidentialityKeyCheckValue": "C1EB8F",
"Mac": "5652EEDF83EA0D84",
"EncryptedPinBlock": "F1A2B3C4D5E6F7A8"
}
```
# 網路特定函數
**Topics**
+ [Visa 特定函數](use-cases-issuers.networkfunctions.visa.md)
+ [Mastercard 特定函數](use-cases-issuers.networkfunctions.mastercard.md)
+ [American Express 特定函數](use-cases-issuers.networkfunctions.amex.md)
+ [JCB 特定函數](use-cases-issuers.networkfunctions.jcb.md)
# Visa 特定函數
**Topics**
+ [ARQC - CVN18/CVN22](#use-cases-issuers.networkfunctions.visa.cvn18)
+ [ARQC - CVN10](#use-cases-issuers.networkfunctions.visa.cvn10)
+ [3DS CAVV V7](#use-cases-issuers.networkfunctions.visa.cavv-v7)
+ [dCVV (動態卡驗證值) - CVN17](#use-cases-issuers.networkfunctions.visa.dcvv)
## ARQC - CVN18/CVN22
CVN18 和 CVN22 使用金鑰衍生的 [CSK 方法](use-cases-issuers.generalfunctions.arqc.md)。確切的交易資料在這兩種方法之間有所不同 - 如需建構交易資料欄位的詳細資訊,請參閱方案文件。
## ARQC - CVN10
CVN10 是一種較舊的 EMV 交易 Visa 方法,使用每個卡片金鑰衍生而非工作階段 (每個交易) 衍生,也使用不同的承載。如需承載內容的相關資訊,請聯絡 方案以取得詳細資訊。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{DeriveKey=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVN10"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyAttributes": {
"KeyUsage": "TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": false,
"Sign": false,
"Verify": false,
"DeriveKey": true,
"NoRestrictions": false
}
},
"KeyCheckValue": "08D7B4",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk*。在下一個步驟中,您需要用到。
### 驗證 ARQC
**Example**
在此範例中,我們將驗證使用 Visa CVN10 產生的 ARQC。
如果 AWS 付款密碼編譯能夠驗證 ARQC,則會傳回 http/200。如果未驗證 arqc,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-auth-request-cryptogram --auth-request-cryptogram D791093C8A921769 \
--key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk \
--major-key-derivation-mode EMV_OPTION_A \
--transaction-data 00000000170000000000000008400080008000084016051700000000093800000B03011203000000 \
--session-key-derivation-attributes='{"Visa":{"PanSequenceNumber":"01" \
,"PrimaryAccountNumber":"9137631040001422"}}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4"
}
```
## 3DS CAVV V7
對於 Visa Secure (3DS) 交易,發行者存取控制伺服器 (ACS) 會產生 CAVV (持卡人身分驗證值)。CAVV 是持卡人身分驗證發生的證據,對於每個身分驗證交易都是唯一的,並由授權訊息中的取得者提供。CAVV v7 會將交易的其他資料繫結至核准,包括商家名稱、購買金額和購買日期等元素。透過這種方式,它實際上是交易承載的密碼編譯雜湊。
CAVV V7 以密碼編譯方式使用 CVV 演算法,但輸入都已變更/重新使用。如需如何產生輸入以產生 CAVV V7 承載,請參閱適當的第三方/ Visa 文件。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CAVV-V7"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/dnaeyrjgdjjtw6dk",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "F3FB13",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
請注意`KeyArn`代表金鑰的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/dnaeyrjgdjjtw6dk*。在下一個步驟中,您需要用到。
### 產生 CAVV V7
**Example**
在此範例中,我們將為具有規格中指定輸入的特定交易產生 CAVV V7。請注意,對於此演算法,欄位可能會重複使用/重新使用,因此不應假設欄位標籤符合輸入。
如需所有可用的參數,請參閱 API 參考指南中的 [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html)。
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/dnaeyrjgdjjtw6dk --primary-account-number=171234567890123 --generation-attributes CardVerificationValue1='{CardExpiryDate=9431,ServiceCode=431}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/dnaeyrjgdjjtw6dk",
"KeyCheckValue": "F3FB13",
"ValidationData": "491"
}
```
### 驗證 CAVV V7
**Example**
對於驗證,輸入是 CVK、計算的輸入值和交易期間提供的 CAVV 以進行驗證。
如需所有可用的參數,請參閱 API 參考指南中的 [CardVerificationValue1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_CardVerificationValue1.html)。
CAVV 不是使用者輸入的值 (例如 CVV2),而是由發行者 ACS 計算。應考慮是否應一律在提供時驗證。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/dnaeyrjgdjjtw6dk --primary-account-number=171234567890123 --verification-attributes CardVerificationValue1='{CardExpiryDate=9431,ServiceCode=431} --validation-data 491
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/dnaeyrjgdjjtw6dk",
"KeyCheckValue": "F3FB13",
"ValidationData": "491"
}
```
## dCVV (動態卡驗證值) - CVN17
dCVV (動態卡驗證值) 是 Visa 特定的動態密碼編譯,用於非接觸式 EMV 交易。它稱為早期 EMV,並透過為每個交易產生唯一的驗證值來提供增強的安全性。dCVV 使用輸入,包括主要帳戶號碼 (PAN)、PAN 序號 (PSN)、應用程式交易計數器 (ATC)、不可預測號碼和追蹤資料。它在某些地方仍然使用,但大部分已被 CVN18 等其他演算法取代。
如需所有可用的參數,請參閱 API 參考指南中的 [DynamicCardVerificationValue](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DynamicCardVerificationValue.html)。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E4_EMV_MKEY_DYNAMIC_NUMBERS,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"DCVV"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/mw7dn3qxvkfh8ztc",
"KeyAttributes": {
"KeyUsage": "TR31_E4_EMV_MKEY_DYNAMIC_NUMBERS",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "A8E4D2",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2025-02-02T11:45:30.648000-08:00",
"UsageStartTimestamp": "2025-02-02T11:45:30.626000-08:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/mw7dn3qxvkfh8ztc*。在下一個步驟中,您需要用到。
### 產生 dCVV
**Example**
在此範例中,我們將為非接觸式 EMV 交易產生 dCVV。輸入包括 PAN、PAN 序號、應用程式交易計數器、不可預測的數字和追蹤資料。
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/mw7dn3qxvkfh8ztc \
--primary-account-number=5111112627662122 \
--generation-attributes DynamicCardVerificationValue='{ApplicationTransactionCounter=01,PanSequenceNumber=00,TrackData=12345,UnpredictableNumber=123}' \
--validation-data-length 5
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/mw7dn3qxvkfh8ztc",
"KeyCheckValue": "A8E4D2",
"ValidationData": "36667"
}
```
### 驗證 dCVV
**Example**
在此範例中,我們將驗證交易期間提供的 dCVV。必須提供用於產生 的相同輸入以進行驗證。
如果 AWS 付款密碼編譯能夠驗證,則會傳回 http/200。如果未驗證值,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/mw7dn3qxvkfh8ztc \
--primary-account-number=5111112627662122 \
--validation-data=36667 \
--verification-attributes DynamicCardVerificationValue='{ApplicationTransactionCounter=01,PanSequenceNumber=00,TrackData=12345,UnpredictableNumber=123}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/mw7dn3qxvkfh8ztc",
"KeyCheckValue": "A8E4D2"
}
```
# Mastercard 特定函數
**Topics**
+ [DCVC3](#use-cases-issuers.networkfunctions.mastercard.dcvc)
+ [ARQC - CVN14/CVN15](#use-cases-issuers.networkfunctions.mastercard.cvn14)
+ [ARQC - CVN12/CVN13](#use-cases-issuers.networkfunctions.mastercard.cvn12)
+ [3DS SPA2 AAV](#use-cases-issuers.networkfunctions.mastercard.spa2aav)
## DCVC3
DCVC3 會早於 EMV CSK 和 Mastercard CVN12 結構描述,並代表使用動態金鑰的另一種方法。它有時也會重新用於其他使用案例。在此配置中,輸入為 PAN、PSN、Track1/Track2 資料、無法預測的數字和交易計數器 (ATC)。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E4_EMV_MKEY_DYNAMIC_NUMBERS,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{DeriveKey=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"DCVC3"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/hrh6qgbi3sk4y3wq",
"KeyAttributes": {
"KeyUsage": "TR31_E4_EMV_MKEY_DYNAMIC_NUMBERS",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": false,
"Sign": false,
"Verify": false,
"DeriveKey": true,
"NoRestrictions": false
}
},
"KeyCheckValue": "08D7B4",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/hrh6qgbi3sk4y3wq*。在下一個步驟中,您需要用到。
### 產生 DCVC3
**Example**
雖然 DCVC3 通常是由晶片卡產生,但也可以手動產生,例如在此範例中
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk --primary-account-number=5413123456784808 --generation-attributes DynamicCardVerificationCode='{ApplicationTransactionCounter=0000,TrackData=5241060000000069D13052020000000000003F,PanSequenceNumber=00,UnpredictableNumber=00000000}''
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4",
"ValidationData": "865"
}
```
### 驗證 DCVC3
**Example**
在此範例中,我們將驗證 DCVC3。請注意,ATC 應做為十六進位號碼提供,例如,計數器 11 應表示為 000B。服務需要 3 位數 DCVC3,因此如果您已儲存 4 (或 5) 位數的值,只需截斷左側字元,直到您有 3 位數為止 (例如 15321 應該導致驗證資料值為 321)。
如果 AWS 付款密碼編譯能夠驗證,則會傳回 http/200。如果未驗證值,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk --primary-account-number=5413123456784808 --verification-attributes DynamicCardVerificationCode='{ApplicationTransactionCounter=000B,TrackData=5241060000000069D13052020000000000003F,PanSequenceNumber=00,UnpredictableNumber=00000001}' --validation-data 398
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4"
}
```
## ARQC - CVN14/CVN15
CVN14 和 CVN15 使用金鑰衍生的 [EMV CSK 方法](use-cases-issuers.generalfunctions.arqc.md)。確切的交易資料在這兩種方法之間有所不同 - 如需建構交易資料欄位的詳細資訊,請參閱方案文件。
## ARQC - CVN12/CVN13
CVN12 和 CVN13 是適用於 EMV 交易的較舊 Mastercard 特定方法,可將無法預測的數字納入每個交易衍生,也使用不同的承載。如需承載內容的相關資訊,請聯絡 機制。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{DeriveKey=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVN12"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyAttributes": {
"KeyUsage": "TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": false,
"Sign": false,
"Verify": false,
"DeriveKey": true,
"NoRestrictions": false
}
},
"KeyCheckValue": "08D7B4",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk*。在下一個步驟中,您需要用到。
### 驗證 ARQC
**Example**
在此範例中,我們將驗證使用 Mastercard CVN12 產生的 ARQC。
如果 AWS 付款密碼編譯能夠驗證 ARQC,則會傳回 http/200。如果未驗證 arqc,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-auth-request-cryptogram --auth-request-cryptogram 31BE5D49F14A5F01 \
--key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk \
--major-key-derivation-mode EMV_OPTION_A \
--transaction-data 00000000170000000000000008400080008000084016051700000000093800000B1F2201030000000000000000000000000000000000000000000000000000008000000000000000 \
--session-key-derivation-attributes='{"MastercardSessionKey":{"ApplicationTransactionCounter":"000B","PanSequenceNumber":"01","PrimaryAccountNumber":"5413123456784808","UnpredictableNumber":"00000001"}}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4"
}
```
## 3DS SPA2 AAV
SPA2 AAV (帳戶身分驗證值) 用於 Mastercard 3DS 交易 (也稱為 Mastercard 密度檢查)。它為使用 HMAC 型 MAC 產生的電子商務交易提供密碼編譯身分驗證。使用交易特定資料和共用私密金鑰產生 AAV。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=HMAC_SHA256,KeyUsage=TR31_M7_HMAC_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"SPA2_AAV"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-west-2:111122223333:key/q5vjtshsg67cz5gn",
"KeyAttributes": {
"KeyUsage": "TR31_M7_HMAC_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "HMAC_SHA256",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "C661F9",
"KeyCheckValueAlgorithm": "HMAC",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-west-2:111122223333:key/q5vjtshsg67cz5gn*。在下一個步驟中,您需要用到。
### 產生 SPA2 AAV
**Example**
在此範例中,我們將使用 HMAC MAC 產生來產生 SPA2 AAV 的發行者身分驗證值 (IAV) 元件。訊息資料包含要驗證的交易特定資訊。訊息資料的格式應遵循 Mastercard 的 SPA2 規格,此範例未涵蓋此內容。
請檢閱 Mastercard 規格的格式,以將 IAV 插入 AAV 值。
```
$ aws payment-cryptography-data generate-mac --key-identifier arn:aws:payment-cryptography:us-west-2:111122223333:key/q5vjtshsg67cz5gn --message-data "2226400099919520FFFFd8b448be65694fe7b42f836bad396e9d" --generation-attributes Algorithm=HMAC --region us-west-2
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-west-2:111122223333:key/q5vjtshsg67cz5gn",
"KeyCheckValue": "C661F9",
"Mac": "6FB2405E9D8A4C1F7B173F73ADD1A6DC358531CAB0E9994FC5B62012ADDE91FC"
}
```
### 驗證 SPA2 AAV
**Example**
在此範例中,我們將驗證 SPA2 AAV。提供相同的訊息資料和 MAC 值以供驗證。
如果 AWS 付款密碼編譯能夠驗證 MAC,則會傳回 http/200。如果未驗證 MAC,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-mac --key-identifier arn:aws:payment-cryptography:us-west-2:111122223333:key/q5vjtshsg67cz5gn --message-data "2226400099919520FFFFd8b448be65694fe7b42f836bad396e9d" --mac "6FB2405E9D8A4C1F7B173F73ADD1A6DC358531CAB0E9994FC5B62012ADDE91FC" --verification-attributes Algorithm=HMAC --region us-west-2
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-west-2:111122223333:key/q5vjtshsg67cz5gn",
"KeyCheckValue": "C661F9"
}
```
# American Express 特定函數
**Topics**
+ [CSC1](#use-cases-issuers.networkfunctions.amex.csc)
+ [CSC2](#use-cases-issuers.networkfunctions.amex.csc2)
+ [iCSC](#use-cases-issuers.networkfunctions.amex.csc3)
+ [3DS AEVV](#use-cases-issuers.networkfunctions.amex.3dsaevv)
## CSC1
CSC 第 1 版也稱為 Classic CSC 演算法。服務可以提供 3、4 或 5 位數的號碼。
如需所有可用的參數,請參閱 API 參考指南中的 [AmexCardSecurityCodeVersion1](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_AmexCardSecurityCodeVersion1.html)。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CSC1"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/esh6hn7pxdtttzgq",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "8B5077",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/esh6hn7pxdttzgq*。在下一個步驟中,您需要用到。
### 產生 CSC1
**Example**
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/esh6hn7pxdtttzgq --primary-account-number=344131234567848 --generation-attributes AmexCardSecurityCodeVersion1='{CardExpiryDate=1224}' --validation-data-length 4
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/esh6hn7pxdtttzgq",
"KeyCheckValue": "8B5077",
"ValidationData": "3938"
}
```
### 驗證 CSC1
**Example**
在此範例中,我們將驗證 CSC1。
如果 AWS 付款密碼編譯能夠驗證,則會傳回 http/200。如果未驗證值,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/esh6hn7pxdtttzgq --primary-account-number=344131234567848 --verification-attributes AmexCardSecurityCodeVersion1='{CardExpiryDate=1224}'' --validation-data 3938
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/esh6hn7pxdtttzgq",
"KeyCheckValue": "8B5077"
}
```
## CSC2
CSC 第 2 版也稱為增強型 CSC 演算法。服務可以提供 3、4 或 5 位數的號碼。CSC2 的服務碼通常是 000。
如需所有可用的參數,請參閱 API 參考指南中的 [AmexCardSecurityCodeVersion2](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_AmexCardSecurityCodeVersion2.html)。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CSC2"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/erlm445qvunmvoda",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": true,
"Sign": false,
"Verify": true,
"DeriveKey": false,
"NoRestrictions": false
}
},
"KeyCheckValue": "BF1077",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2023-06-05T06:41:46.648000-07:00",
"UsageStartTimestamp": "2023-06-05T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/erlm445qvunmvoda*。在下一個步驟中,您需要用到。
### 產生 CSC2
在此範例中,我們將產生長度為 4 的 CSC2。CSC 可以產生長度為 3、4 或 5。對於 American Express,PANs應為 15 位數,並以 34 或 37 開頭。過期日期通常格式為 YYMM。服務代碼可能有所不同 - 檢閱您的手冊,但典型值為 000、201 或 702
**Example**
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/erlm445qvunmvoda --primary-account-number=344131234567848 --generation-attributes AmexCardSecurityCodeVersion2='{CardExpiryDate=2412,ServiceCode=000}' --validation-data-length 4
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/erlm445qvunmvoda",
"KeyCheckValue": "BF1077",
"ValidationData": "3982"
}
```
### 驗證 CSC2
**Example**
在此範例中,我們將驗證 CSC2。
如果 AWS 付款密碼編譯能夠驗證,則會傳回 http/200。如果未驗證值,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/erlm445qvunmvoda --primary-account-number=344131234567848 --verification-attributes AmexCardSecurityCodeVersion2='{CardExpiryDate=2412,ServiceCode=000}' --validation-data 3982
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/erlm445qvunmvoda",
"KeyCheckValue": "BF1077"
}
```
## iCSC
iCSC 也稱為靜態 CSC 演算法,並使用 CSC 第 2 版計算。服務可以提供 3、4 或 5 位數的號碼。
使用服務代碼 999 計算聯絡卡的 iCSC。使用服務代碼 702 計算非接觸式卡的 iCSC。
如需所有可用的參數,請參閱 API 參考指南中的 [AmexCardSecurityCodeVersion2](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_AmexCardSecurityCodeVersion2.html)。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CSC1"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-1:111122223333:key/7vrybrbvjcvwtunv",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY"
"KeyAlgorithm": "TDES_2KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyModesOfUse": {
"Decrypt": false,
"DeriveKey": false,
"Encrypt": false,
"Generate": true,
"NoRestrictions": false,
"Sign": false,
"Unwrap": false,
"Verify": true,
"Wrap": false
},
},
"KeyCheckValue": "7121C7",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"CreateTimestamp": "2025-01-29T09:19:21.209000-05:00",
"UsageStartTimestamp": "2025-01-29T09:19:21.192000-05:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-1:111122223333:key/7vrybrbvjcvwtunv*。在下一個步驟中,您需要用到。
### 產生 iCSC
在此範例中,我們將為使用服務代碼 702 的感應式卡片產生長度為 4 的 iCSC。CSC 可以產生長度為 3、4 或 5。對於 American Express,PANs應為 15 位數,並以 34 或 37 開頭。
**Example**
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-1:111122223333:key/7vrybrbvjcvwtunv --primary-account-number=344131234567848 --generation-attributes AmexCardSecurityCodeVersion2='{CardExpiryDate=1224,ServiceCode=702}' --validation-data-length 4
```
```
{
"KeyArn": arn:aws:payment-cryptography:us-east-1:111122223333:key/7vrybrbvjcvwtunv,
"KeyCheckValue": 7121C7,
"ValidationData": "2365"
}
```
### 驗證 iCSC
**Example**
在此範例中,我們將驗證 iCSC。
如果 AWS 付款密碼編譯能夠驗證,則會傳回 http/200。如果未驗證值,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-1:111122223333:key/7vrybrbvjcvwtunv --primary-account-number=344131234567848 --verification-attributes AmexCardSecurityCodeVersion2='{CardExpiryDate=1224,ServiceCode=702}' --validation-data 2365
```
```
{
"KeyArn": arn:aws:payment-cryptography:us-east-1:111122223333:key/7vrybrbvjcvwtunv,
"KeyCheckValue": 7121C7
}
```
## 3DS AEVV
3DS AEVV (3D 安全帳戶驗證值) 用於 American Express 3-D安全身分驗證。它使用與 CSC2 相同的演算法,但具有不同的輸入參數。過期日期欄位應填入無法預測的 (隨機) 號碼,且服務代碼包含 AEVV 身分驗證結果代碼 (1 位數) 加上第二要素驗證代碼 (2 位數)。輸出長度應為 3 位數。
如需所有可用的參數,請參閱 API 參考指南中的 [AmexCardSecurityCodeVersion2](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_AmexCardSecurityCodeVersion2.html)。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFICATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Generate=true,Verify=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"3DS_AEVV"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kw8djn5qxvfh3ztm",
"KeyAttributes": {
"KeyUsage": "TR31_C0_CARD_VERIFICATION_KEY"
"KeyAlgorithm": "TDES_2KEY",
"KeyClass": "SYMMETRIC_KEY",
"KeyModesOfUse": {
"Decrypt": false,
"DeriveKey": false,
"Encrypt": false,
"Generate": true,
"NoRestrictions": false,
"Sign": false,
"Unwrap": false,
"Verify": true,
"Wrap": false
},
},
"KeyCheckValue": "8F3A21",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"KeyState": "CREATE_COMPLETE",
"CreateTimestamp": "2025-02-02T10:30:15.209000-05:00",
"UsageStartTimestamp": "2025-02-02T10:30:15.192000-05:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/kw8djn5qxvfh3ztm*。在下一個步驟中,您需要用到。
### 產生 3DS AEVV
在此範例中,我們將產生長度為 3 的 3DS AEVV。過期日期欄位包含無法預測的 (隨機) 號碼 (例如 1234),而服務代碼包含 AEVV 身分驗證結果代碼 (1 位數) 加上第二要素驗證代碼 (2 位數),例如 543,其中 5 是身分驗證結果代碼,43 是第二要素驗證代碼。對於 American Express,PANs應為 15 位數,並以 34 或 37 開頭。
**Example**
```
$ aws payment-cryptography-data generate-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kw8djn5qxvfh3ztm --primary-account-number=344131234567848 --generation-attributes AmexCardSecurityCodeVersion2='{CardExpiryDate=1234,ServiceCode=543}' --validation-data-length 3
```
```
{
"KeyArn": arn:aws:payment-cryptography:us-east-2:111122223333:key/kw8djn5qxvfh3ztm,
"KeyCheckValue": 8F3A21,
"ValidationData": "921"
}
```
### 驗證 3DS AEVV
**Example**
在此範例中,我們將驗證 3DS AEVV。
如果 AWS 付款密碼編譯能夠驗證,則會傳回 http/200。如果未驗證值,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-card-validation-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kw8djn5qxvfh3ztm --primary-account-number=344131234567848 --verification-attributes AmexCardSecurityCodeVersion2='{CardExpiryDate=1234,ServiceCode=543}' --validation-data 921
```
```
{
"KeyArn": arn:aws:payment-cryptography:us-east-2:111122223333:key/kw8djn5qxvfh3ztm,
"KeyCheckValue": 8F3A21
}
```
# JCB 特定函數
**Topics**
+ [ARQC - CVN04](#use-cases-issuers.networkfunctions.jcb.cvn04)
+ [ARQC - CVN01](#use-cases-issuers.networkfunctions.jcb.cvn01)
## ARQC - CVN04
JCB CVN04 會使用金鑰衍生的 [CSK 方法](use-cases-issuers.generalfunctions.arqc.md)。如需建構交易資料欄位的詳細資訊,請參閱方案文件。
## ARQC - CVN01
CVN01 是一種較舊的 EMV 交易 JCB 方法,使用每個卡片金鑰衍生而非工作階段 (每個交易) 衍生,也使用不同的承載。Visa 也會使用此訊息,因此元素名稱具有該名稱,即使它也用於 JCB。如需承載內容的相關資訊,請聯絡方案文件。
### 建立金鑰
```
$ aws payment-cryptography create-key --exportable --key-attributes KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{DeriveKey=true}' --tags='[{"Key":"KEY_PURPOSE","Value":"CVN10"},{"Key":"CARD_BIN","Value":"12345678"}]'
```
回應會回傳請求參數,包括後續呼叫的 ARN 以及金鑰檢查值 (KCV)。
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyAttributes": {
"KeyUsage": "TR31_E0_EMV_MKEY_APP_CRYPTOGRAMS",
"KeyClass": "SYMMETRIC_KEY",
"KeyAlgorithm": "TDES_2KEY",
"KeyModesOfUse": {
"Encrypt": false,
"Decrypt": false,
"Wrap": false,
"Unwrap": false,
"Generate": false,
"Sign": false,
"Verify": false,
"DeriveKey": true,
"NoRestrictions": false
}
},
"KeyCheckValue": "08D7B4",
"KeyCheckValueAlgorithm": "ANSI_X9_24",
"Enabled": true,
"Exportable": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"CreateTimestamp": "2024-03-07T06:41:46.648000-07:00",
"UsageStartTimestamp": "2024-03-07T06:41:46.626000-07:00"
}
}
```
請記下代表金鑰`KeyArn`的 ,例如 *arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk*。在下一個步驟中,您需要用到。
### 驗證 ARQC
**Example**
在此範例中,我們將驗證使用 JCB CVN01 產生的 ARQC。這使用與 Visa 方法相同的選項,因此參數的名稱。
如果 AWS 付款密碼編譯能夠驗證 ARQC,則會傳回 http/200。如果未驗證 arqc,則會傳回 http/400 回應。
```
$ aws payment-cryptography-data verify-auth-request-cryptogram --auth-request-cryptogram D791093C8A921769 \
--key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk \
--major-key-derivation-mode EMV_OPTION_A \
--transaction-data 00000000170000000000000008400080008000084016051700000000093800000B03011203000000 \
--session-key-derivation-attributes='{"Visa":{"PanSequenceNumber":"01" \
,"PrimaryAccountNumber":"9137631040001422"}}'
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/pw3s6nl62t5ushfk",
"KeyCheckValue": "08D7B4"
}
```
# 取得和付款引導程式
收單機構、PSPs和 Payment Facilators 通常具有與發行者不同的一組密碼編譯要求。常用案例包括:
**資料解密**
資料 (特別是平移資料) 可能由付款終端機加密,且需要由後端解密。[Decrypt Data](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) 和 Encrypt Data 支援各種方法,包括 TDES、AES 和 DUKPT 衍生技術。 AWS 付款密碼編譯服務本身也符合 PCI P2PE 規範,並已註冊為 PCI P2PE 解密元件。
**TranslatePin**
為了維持 PCI PIN 合規,擷取系統在安全裝置上輸入後,不應讓持卡人接腳保持清晰。因此,若要將接腳從終端機傳遞到下游系統 (例如付款網路或發行者),需要使用與付款終端機使用的金鑰不同的金鑰來重新加密。[使用 servicebbb 安全地將加密的 PIN 從一個金鑰轉換為另一個金鑰,即可](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_TranslatePinData.html)完成轉換 Pin。使用此命令,您可以在 TDES、AES 和 DUKPT 衍生等各種方案之間轉換接腳,以及 ISO-0, ISO-3 和 ISO-4 等接腳區塊格式。
**VerifyMac**
來自付款終端機的資料可能是 MAC,以確保資料未在傳輸中修改。[驗證 Mac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_VerifyMac.html) 和 GenerateMac 是否支援各種技術,包括 TDES、AES 和 DUKPT 衍生技術,可與 ISO-9797-1 演算法 1、ISO-9797-1 演算法 3 (零售 MAC) 和 CMAC 技術搭配使用。
**Topics**
+ [使用動態金鑰](use-cases-acquirers-dynamickeys.md)
# 使用動態金鑰
動態金鑰允許一次性或有限使用金鑰用於密碼編譯操作,例如 `[EncryptData](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_EncryptData.html)`。當金鑰材料頻繁輪換 (例如在每個卡片交易上),並且想要避免將金鑰材料匯入服務時,可以使用此流程。短期金鑰可用作 [softPOS/Mpoc](terminology.md#terms.mpoc) 或其他解決方案的一部分。
**注意**
這可用於代替使用 AWS 付款密碼編譯的典型流程,其中密碼編譯金鑰是建立或匯入服務,而金鑰是使用金鑰別名或金鑰 arn 指定。
下列操作支援動態金鑰:
+ EncryptData
+ DecryptData
+ ReEncryptData
+ TranslatePin
## 解密資料
下列範例顯示搭配解密命令使用動態金鑰。在此情況下,金鑰識別符是保護解密金鑰的包裝金鑰 (KEK) (以 TR-31 格式在包裝金鑰參數中提供)。包裝金鑰應為 D0 的關鍵用途,以搭配解密命令以及 B 或 D 的使用模式使用。
**Example**
```
$ aws payment-cryptography-data decrypt-data --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza --cipher-text 1234123412341234123412341234123A --decryption-attributes 'Symmetric={Mode=CBC,InitializationVector=1234123412341234}' --wrapped-key WrappedKeyMaterial={"Tr31KeyBlock"="D0112D0TN00E0000B05A6E82D7FC68B95C84306634B0000DA4701BE9BCA318B3A30A400B059FD4A8DE19924A9D3EE459F24FDE680F8E4A40"}
```
```
{
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyCheckValue": "0A3674",
"PlainText": "2E138A746A0032023BEF5B85BA5060BA"
}
```
## 翻譯 PIN 碼
下列範例顯示使用動態金鑰和轉譯接腳命令,將動態金鑰轉譯為半靜態取得器工作金鑰 (AWK)。在這種情況下,傳入金鑰識別符是包裝金鑰 (KEK),用於保護 TR-31 格式提供的動態 PIN 加密金鑰 (PEK)。包裝金鑰應該是 的金鑰用途,`P0`以及 B 或 D 的使用模式。傳出金鑰識別符是 類型的金鑰`TR31_P0_PIN_ENCRYPTION_KEY`和 Encrypt=true、Wrap=true 的使用模式
**Example**
```
$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "C7005A4C0FA23E02" --incoming-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --incoming-key-identifier alias/PARTNER1_KEK --outgoing-key-identifier alias/ACQUIRER_AWK_PEK --outgoing-translation-attributes IsoFormat0="{PrimaryAccountNumber=171234567890123}" --incoming-wrapped-key WrappedKeyMaterial={"Tr31KeyBlock"="D0112P0TB00S0000EB5D8E63076313162B04245C8CE351C956EA4A16CC32EB3FB61DE3FC75C751734B773F5B645943A854C65740738B8304"}
```
```
{
"PinBlock": "2E66192BDA390C6F",
"KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ov6icy4ryas4zcza",
"KeyCheckValue": "0A3674"
}
```