在 Apple Pay 中使用什么密钥生成 ARQC?
What key is used to generate an ARQC in Apple Pay?
在EMV协议中,IMK(ac)用于生成会话密钥,会话密钥用于生成ARQC。 IMK(ac)为芯片和发卡主机独享
据我了解,发卡机构不会与卡品牌共享这些密钥(即 Visa 无法验证您的 ARQC,只有 "The Bank of Peoria" 的发卡机构可以)。
当发生EMV Apple Pay交易时phone生成ARQC,它使用的是哪个IMK(ac)密钥?估计不可能来自原始卡的 IMK(ac),因此发卡机构无法验证 ARQC。
如果使用的是 Apple IMK(ac),那么这是否意味着 Apple 正在验证 ARQC?
如果是这种情况,让 Apple 有机会验证 ARQC 的交易流程是什么?
[为清晰起见进行了编辑]
加密将始终使用从 IMKac 派生的会话密钥来生成密码。但是,IMK 不必与您的物理卡使用的相同(您可以使用不同的 CVN 作为主机来管理它)。
支付方案(Visa、MasterCard 等)将提供相同的密钥,他们将在交易期间验证密码并向您发送验证结果。
钱包 CVN 不同。如果您作为发卡机构主机想要验证密码,那么您应该拥有用于 CVN 的 IMKac,并且您的 HSM 应该支持 CVN。理想情况下,您可以根据验证结果代码(Visa 为 44,MC 为 48 SE71)来决定是否可以批准。
如果您有更多来自 Apple 的文档可以分享,我很乐意浏览这些文档:-)。
像 Apple/Google Pay 这样的移动钱包不使用卡的 PAN,因此它们不需要提供与卡生成的相同的 ARQC。
相反,他们使用 网络令牌 ,然后通过该方案将其映射回 PAN。
交易前
- 令牌请求者(例如 Apple)将其 IMKac 发送到 令牌服务提供商 (例如签证)作为入职的一部分
- Device(即个人 phone)配备了 Token,可以映射回 PAN 令牌服务提供商 作为将卡添加到 Apple Pay 的一部分
交易中
- 设备:
- 生成一个 ARQC,它包含在交易中
- 将其 Token 发送到 PAN 要去的地方
- 令牌请求者:
- 将Token换成发行人可以识别的PAN
- 使用令牌请求者的 IMKac 验证 ARQC,并将验证结果转发给发行者
在EMV协议中,IMK(ac)用于生成会话密钥,会话密钥用于生成ARQC。 IMK(ac)为芯片和发卡主机独享
据我了解,发卡机构不会与卡品牌共享这些密钥(即 Visa 无法验证您的 ARQC,只有 "The Bank of Peoria" 的发卡机构可以)。
当发生EMV Apple Pay交易时phone生成ARQC,它使用的是哪个IMK(ac)密钥?估计不可能来自原始卡的 IMK(ac),因此发卡机构无法验证 ARQC。
如果使用的是 Apple IMK(ac),那么这是否意味着 Apple 正在验证 ARQC?
如果是这种情况,让 Apple 有机会验证 ARQC 的交易流程是什么?
[为清晰起见进行了编辑]
加密将始终使用从 IMKac 派生的会话密钥来生成密码。但是,IMK 不必与您的物理卡使用的相同(您可以使用不同的 CVN 作为主机来管理它)。 支付方案(Visa、MasterCard 等)将提供相同的密钥,他们将在交易期间验证密码并向您发送验证结果。
钱包 CVN 不同。如果您作为发卡机构主机想要验证密码,那么您应该拥有用于 CVN 的 IMKac,并且您的 HSM 应该支持 CVN。理想情况下,您可以根据验证结果代码(Visa 为 44,MC 为 48 SE71)来决定是否可以批准。
如果您有更多来自 Apple 的文档可以分享,我很乐意浏览这些文档:-)。
像 Apple/Google Pay 这样的移动钱包不使用卡的 PAN,因此它们不需要提供与卡生成的相同的 ARQC。
相反,他们使用 网络令牌 ,然后通过该方案将其映射回 PAN。
交易前
- 令牌请求者(例如 Apple)将其 IMKac 发送到 令牌服务提供商 (例如签证)作为入职的一部分
- Device(即个人 phone)配备了 Token,可以映射回 PAN 令牌服务提供商 作为将卡添加到 Apple Pay 的一部分
交易中
- 设备:
- 生成一个 ARQC,它包含在交易中
- 将其 Token 发送到 PAN 要去的地方
- 令牌请求者:
- 将Token换成发行人可以识别的PAN
- 使用令牌请求者的 IMKac 验证 ARQC,并将验证结果转发给发行者