使用 AWS Payment Cryptography 实现云端支付处理 - 加密密钥管理与 PIN 验证
解析 Payment Cryptography 的支付用加密密钥管理、PIN 块加密/解密及 PCI DSS 合规。
Payment Cryptography 概述
Payment Cryptography 是在云端提供符合 PCI PIN Security 和 PCI P2PE 的支付处理用加密密钥管理和加密操作的服务。传统上支付处理的加密需要本地 HSM(Thales payShield、Futurex 等),Payment Cryptography 可将其迁移到云端。PCI PIN Security 认证确保 PIN 处理的安全性,PCI P2PE 认证确保从终端到处理中心的端到端加密。服务的 HSM 运行在 FIPS 140-2 Level 3 认证的硬件上,密钥永远不会以明文形式离开 HSM。服务分为 Control Plane(密钥创建和管理)和 Data Plane(加密操作执行)两个 API,通过 IAM 策略授予最小权限,可以明确分离能创建密钥的角色和只能执行加密操作的角色。
支付加密操作
通过 Control Plane API 管理 AES-128/256、TDES、RSA-2048/4096 加密密钥的创建、导入和导出,通过 Data Plane API 执行加密操作。PIN Translation 是将收单方密钥加密的 PIN 块用发卡方密钥重新加密的操作,用于支付网络的交换处理。CVV 的生成和验证用于发卡和支付认证,通过卡号和有效期计算加密验证值。通过 TR-31 密钥块格式导入/导出密钥,可与其他 HSM 和支付网络进行密钥交换。MAC(消息认证码)的生成和验证用于交易数据的篡改检测,支持 ISO 9797-1 Algorithm 1 和 Algorithm 3。ARQC(授权请求密码)验证用于 EMV 芯片卡的认证处理,以加密方式实现卡片与发卡方之间的相互认证。
密钥管理与支付网络集成
Payment Cryptography 支持 BDK (Base Derivation Key)、IPEK (Initial PIN Encryption Key)、KEK (Key Encryption Key) 等支付特有的密钥类型。通过 TR-31 密钥块格式进行密钥的导入/导出,确保与现有支付基础设施的互操作性。DUKPT (Derived Unique Key Per Transaction) 为每笔交易派生唯一密钥,最大限度降低密钥泄露风险。Visa、Mastercard、American Express 支付网络要求的加密操作(PIN 块转换、MAC 生成/验证)可在云端执行。 关于 Payment Cryptography 的深入学习,技术书籍 (Amazon)也可供参考。
用例与导入模式
典型用例有三个。第一是发卡方的 PIN 验证处理:持卡人在 ATM 输入 PIN 后,通过 VerifyPinData API 将网络接收的 PIN 块与发卡时注册的 PIN 数据进行比对。第二是支付处理商的交换处理:调用 TranslatePinData API 将从收单方收到的 PIN 块转换为面向发卡方的格式,在国际品牌支付网络间路由交易。第三是发卡时的 CVV/CVC 生成:GenerateCardValidationData API 从卡号和有效期以加密方式生成验证值,确定印刷在卡片上的数值。导入模式方面,与现有本地 HSM 并行运行的渐进式迁移是常见做法。通过 TR-31 密钥块格式从现有 HSM 导出密钥并导入 Payment Cryptography,可以在不改变现有交易流程的情况下仅将后端加密基础设施迁移到云端。
与 CloudHSM 和 KMS 的比较
AWS 有三个加密密钥管理服务,用途各异。KMS 面向通用数据加密(S3 加密、EBS 卷加密、信封加密),不支持支付特有的操作(PIN Translation、DUKPT 密钥派生)。CloudHSM 在云端提供通用 HSM,但没有支付特有的命令集,需要自行实现库。Payment Cryptography 专门用于支付处理,提供 PCI PIN Security/P2PE 合规证明,并以 API 形式提供支付特有操作(TR-31 密钥块、DUKPT、PIN Translation、ARQC 验证)。CloudHSM 采用 FIPS 140-2 Level 3 专用租户 HSM,适合非支付用途(PKI、TLS 卸载、自定义加密协议)。Payment Cryptography 是多租户,但由于提供已认证的 PCI 合规环境,在支付用途中比 CloudHSM 更易引入。成本方面,CloudHSM 按小时收费(每 HSM 约 1.5 美元/小时)固定成本高,而 Payment Cryptography 按密钥数和操作数计费,少量使用时成本效率更优。
Payment Cryptography 的定价
Payment Cryptography 的费用由密钥管理(每密钥月约 1 美元)和加密操作(每万次操作约 0.85 美元)构成。与本地 HSM(硬件采购、数据中心部署、维护合同)相比,无需初始投资且按量计费,可根据交易量管理成本。PCI DSS 合规维护成本(年度审计、渗透测试)也因云迁移而降低。交易量少时密钥管理的固定费用成为主要成本因素。作为密钥生命周期管理实践,建议定期盘点并删除未使用的密钥以优化成本。
总结
Payment Cryptography 是在云端提供支付用加密密钥管理和加密操作的服务。在 PCI 合规环境中支持 DUKPT 和 TR-31 密钥块,执行 PIN 块转换和 MAC 生成/验证。无需采购、部署和维护本地 HSM,通过按量计费实现根据交易量的成本管理。Control Plane 与 Data Plane 分离的最小权限设计,以及通过 TR-31 格式实现与现有基础设施的渐进式迁移,是成功引入的关键。