转换 PIN 数据

在此示例中，我们将使用 DUKPT 将 AES ISO 4 PIN 块中的 PIN 转换为使用 ISO 0 PIN 块的 PEK TD ES 加密。这种情况很常见，即支付终端对ISO 4中的密码进行加密，如果下一个连接还不支持AES，则可以将其转换回TDES进行下游处理。

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" --outgoing-translation-attributes=IsoFormat0='{PrimaryAccountNumber=171234567890123}' --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt  --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/4pmyquwjs3yj4vwe --incoming-translation-attributes IsoFormat4="{PrimaryAccountNumber=171234567890123}" --incoming-dukpt-attributes KeySerialNumber="FFFF9876543210E00008"  
            

    {
            "PinBlock": "1F4209C670E49F83E75CC72E81B787D9",
            "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt",
            "KeyCheckValue": "7CC9E2"
        }
                

在此示例中，我们将使用一个 PEK（PIN 加密密钥）加密的 PIN 转换为另一个 PEK。这通常用于在使用不同加密密钥的不同系统或合作伙伴之间路由交易，同时通过在整个过程中保持 PIN 加密来保持 PCI PIN 合规性。在本示例中，两个密钥都使用 TDES 3KEY 加密，但有多种选项可供选择，包括 AES ISO-4 到 TDES ISO-0、DUKPT 到 PEK 或 PEK。 AS2805

$ aws payment-cryptography-data translate-pin-data --encrypted-pin-block "AC17DC148BDA645E" \
    --incoming-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --incoming-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/ivi5ksfsuplneuyt \
    --outgoing-translation-attributes IsoFormat0='{PrimaryAccountNumber=171234567890123}' \
    --outgoing-key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh

{
    "PinBlock": "E8F2A6C4D1B93E7F",
    "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/alsuwfxug3pgy6xh",
    "KeyCheckValue": "9A325B"
}

现在，输出 PIN 块已在第二个 PEK 下进行加密，可以安全地传输到保存相应密钥的下游系统。