DK PAN 変換 (CSNBDPT および CSNEDPT)

DK PAN 変換呼び出し可能サービスを使用して、PIN は同じであるが、PAN が異なる暗号化 PIN ブロックを作成します。アカウント・データは変更される可能性がありますが、PIN は変更されません。このサービスは特に、新規の暗号化 PIN ブロックと、その暗号化 PIN ブロックに対する MAC を作成します。作成された MAC は、許可ノードで PAN の変更を受け入れるために使用されます。

このサービスを使用して、以下の作業を実行できます。

許可ノードで使用される変更済み PAN を使用して PBF-1 フォーマットの暗号化 PIN ブロックを生成し、PIN 参照値を作成します。
検証のために暗号化 PIN ブロックに対する CMAC を生成します。

AMODE(64) 呼び出しの呼び出し可能サービス名は CSNEDPT です。

形式

CALL CSNBDPT(
             return_code,
             reason_code,
             exit_data_length,
             exit_data,
             rule_array_count,
             rule_array,
             card_p_data_length,
             card_p_data,
             card_t_data_length,
             card_t_data,
             new_PAN_data_length,
             new_PAN_data,
             new_card_p_data_length,
             new_card_p_data,
             PIN_reference_value_length,
             PIN_reference_value,
             PRW_random_number_length,
             PRW_random_number,
             current_encrypted_PIN_block_length,
             current_encrypted_PIN_block,
             current_PIN_block_MAC_length,
             current_PIN_block_MAC,
             PRW_key_identifier_length,
             PRW_key_identifier,
             IPIN_encryption_key_identifier_length,
             IPIN_encryption_key_identifier,
             IEPB_MAC_key_identifier_length,
             IEPB_MAC_key_identifier,
             OPIN_encryption_key_identifier_length,
             OPIN_encryption_key_identifier,
             OEPB_MAC_key_identifier_length,
             OEPB_MAC_key_identifier,
             new_encrypted_PIN_block_length,
             new_encrypted_PIN_block,
             new_PIN_block_MAC_length,
             new_PIN_block_MAC)

パラメーター

return_code

方向	タイプ
出力	整数

戻りコードは、呼び出し可能サービスの一般的な結果を示しています。

reason_code

方向	タイプ
出力	整数

理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードが割り当てられています。

exit_data_length

方向	タイプ
入出力	整数

インストール・システム出口に渡されるデータの長さ。データは exit_data パラメーターで識別されます。

exit_data

方向	タイプ
入出力	ストリング

このデータはインストール出口に渡されます。

rule_array_count

方向	タイプ
入力	整数

rule_array パラメーターで指定するキーワードの数。値は 0 でなければなりません。

rule_array

方向	タイプ
入力	ストリング

制御情報を呼び出し可能サービスに提供するキーワード。キーワードは、連続するストレージ内になければならず、各キーワードはその 8 バイト位置で左寄せされ、右側にブランクが埋め込まれている必要があります。このサービスにはキーワードはありません。

card_p_data_length

方向	タイプ
入力	整数

card_p_data パラメーターの長さ (バイト) を指定します。値は 2 から 256 の範囲でなければなりません。

card_p_data

方向	タイプ
入力	ストリング

カード発行者によって決定される時不変カード・データ (CDp)。これは、1 つのアカウントの複数のカードを区別するために使用されます。

card_t_data_length

方向	タイプ
入力	整数

card_t_data パラメーターの長さ (バイト) を指定します。値は 2 から 256 の範囲でなければなりません。

card_t_data

方向	タイプ
入力	ストリング

カード発行者によって決定される時間依存カード・データ。このデータと、アカウント番号および card_p_data により、個人カードが指定されます。

new_PAN_data_length

方向	タイプ
入力	整数

new_PAN_data パラメーターの長さ (バイト) を指定します。この値は 10 から 19 の範囲でなければなりません。

new_PAN_data

方向	タイプ
入力	ストリング

PIN が関連付けられる、文字フォーマットでの新規個人アカウント番号。チェック・ディジットを含むアカウント番号全体が含まれている必要があります。

new_card_p_data_length

方向	タイプ
入力	整数

new_card_p_data パラメーターの長さ (バイト) を指定します。値は 2 から 256 の範囲でなければなりません。

new_card_p_data

方向	タイプ
入力	ストリング

カード発行者によって決定される時不変カード・データ (CDp)。これは、1 つのアカウントの複数のカードを区別するために使用されます。

PIN_reference_value_length

方向	タイプ
入力	整数

PIN_reference_value パラメーターの長さ (バイト) を指定します。この値は 16 でなければなりません。

PIN_reference_value

方向	タイプ
入力	ストリング

計算された値と比較するための 16 バイトの PIN 参照値。

PRW_random_number_length

方向	タイプ
入力	整数

PRW_random_number パラメーターの長さ (バイト) を指定します。値は 4 でなければなりません。

PRW_random_number

方向	タイプ
入力	ストリング

PIN 参照値に関連付けられた 4 バイトの乱数。

current_encrypted_PIN_block_length

方向	タイプ
入力	整数

current_encrypted_PIN_block パラメーターの長さ (バイト) を指定します。値は 32 でなければなりません。

current_encrypted_PIN_block

方向	タイプ
入力	ストリング

現在の PIN の 32 バイトの暗号化 PIN ブロック (PBF-1 フォーマット)。

current_PIN_block_MAC_length

方向	タイプ
入力	整数

current_PIN_block_MAC パラメーターの長さ (バイト) を指定します。値は 8 でなければなりません。

current_PIN_block_MAC

方向	タイプ
入力	ストリング

現在の暗号化 PIN ブロックおよび card_p_data の 8 バイトの MAC。

PRW_key_identifier_length

方向	タイプ
入力	整数

PRW_key_identifier パラメーターの長さ (バイト) を指定します。PRW_key_identifier にラベルが含まれている場合、長さは 64 でなければなりません。それ以外の場合、この値は、トークンの実際の長さと 725 の間でなければなりません。

PRW_key_identifier

方向	タイプ
入出力	ストリング

PRW 検証鍵の ID。この鍵 ID は、操作可能トークンであるか、または鍵ストレージ内の操作可能トークンの鍵ラベルです。この鍵の鍵アルゴリズムは AES でなければならず、鍵タイプは PINPRW でなければなりません。また、鍵用途フィールドには VERIFY、CMAC、および DKPINOP が指定されている必要があります。

指定されたトークンが旧マスター鍵で暗号化されていた場合、このトークンは現行マスター鍵で暗号化されて返されます。

IPIN_encryption_key_identifier_length

方向	タイプ
入力	整数

IPIN_encryption_key_identifier パラメーターの長さ (バイト) を指定します。IPIN_encryption_key_identifier にラベルが含まれている場合、長さは 64 でなければなりません。それ以外の場合、この値は、トークンの実際の長さと 725 の間でなければなりません。

IPIN_encryption_key_identifier

方向	タイプ
入出力	ストリング

現在の PIN を含む PIN ブロックを暗号化解除するための鍵の ID。この鍵 ID は、操作可能トークンであるか、または鍵ストレージ内の操作可能トークンの鍵ラベルです。この鍵の鍵アルゴリズムは AES でなければならず、鍵タイプは PINPROT でなければなりません。また、鍵用途フィールドには DECRYPT、CBC、および DKPINOP が指定されている必要があります。

指定されたトークンが旧マスター鍵で暗号化されていた場合、このトークンは現行マスター鍵で暗号化されて返されます。

IEPB_MAC_key_identifier_length

方向	タイプ
入力	整数

IEPB_MAC_key_identifier パラメーターの長さ (バイト) を指定します。IEPB_MAC_key_identifier にラベルが含まれている場合、値は 64 でなければなりません。それ以外の場合、この値は、トークンの実際の長さと 725 の間でなければなりません。

IEPB_MAC_key_identifier

方向	タイプ
入出力	ストリング

インバウンド暗号化 PIN ブロックの MAC を検証するための鍵の ID。この鍵 ID は、操作可能トークンであるか、または鍵ストレージ内の操作可能トークンの鍵ラベルです。この鍵の鍵アルゴリズムは AES でなければならず、鍵タイプは MAC でなければなりません。また、鍵用途フィールドには CMAC、VERIFY、および DKPINOP が指定されている必要があります。

指定されたトークンが旧マスター鍵で暗号化されていた場合、このトークンは現行マスター鍵で暗号化されて返されます。

OPIN_encryption_key_identifier_length

方向	タイプ
入力	整数

OPIN_encryption_key_identifier パラメーターの長さ (バイト) を指定します。OPIN_encryption_key_identifier にラベルが含まれている場合、長さは 64 でなければなりません。それ以外の場合、この値は、トークンの実際の長さと 725 の間でなければなりません。

OPIN_encryption_key_identifier

方向	タイプ
入出力	ストリング

新規 PIN ブロックを暗号化するための鍵の ID。この鍵 ID は、操作可能トークンであるか、または鍵ストレージ内の操作可能トークンの鍵ラベルです。この鍵の鍵アルゴリズムは AES でなければならず、鍵タイプは PINPROT でなければなりません。また、鍵用途フィールドには ENCRYPT、CBC、および DKPINAD1 が指定されている必要があります。

指定されたトークンが旧マスター鍵で暗号化されていた場合、このトークンは現行マスター鍵で暗号化されて返されます。

OEPB_MAC_key_identifier_length

方向	タイプ
入力	整数

new_OEPB_MAC_key_identifier パラメーターの長さ (バイト) を指定します。new_OEPB_MAC_key_identifier にラベルが含まれている場合、長さは 64 でなければなりません。それ以外の場合、この値は、トークンの実際の長さと 725 の間でなければなりません。

OEPB_MAC_key_identifier

方向	タイプ
入出力	ストリング

新規暗号化 PIN ブロックの MAC を生成する鍵の ID。この鍵 ID は、操作可能トークンであるか、または鍵ストレージ内の操作可能トークンの鍵ラベルです。この鍵の鍵アルゴリズムは AES でなければならず、鍵タイプは MAC でなければなりません。また、鍵用途フィールドには CMAC、GENONLY、および DKPINAD1 が指定されている必要があります。

指定されたトークンが旧マスター鍵で暗号化されていた場合、このトークンは現行マスター鍵で暗号化されて返されます。

new_encrypted_PIN_block_length

方向	タイプ
入出力	整数

new_encrypted_PIN_block パラメーターの長さ (バイト) を指定します。値は少なくとも 32 でなければなりません。出力では、32 に設定されます。

new_encrypted_PIN_block

方向	タイプ
出力	ストリング

32 バイトの新規暗号化 PIN ブロック。

new_PIN_block_MAC_length

方向	タイプ
入出力	整数

new_PIN_block_MAC パラメーターの長さ (バイト) を指定します。値は少なくとも 8 でなければなりません。

new_PIN_block_MAC

方向	タイプ
出力	ストリング

新規暗号化 PIN ブロックの 8 バイトの MAC。

使用上の注意

呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。

アクセス制御点

ドメイン役割内の「DK PAN Translate」アクセス制御点がこのサービスの機能を制御します。

必須ハードウェア

下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。

表 1. DK PAN 変換の必須ハードウェア
サーバー	必須暗号化ハードウェア	制約事項
IBM eServer zSeries 990 IBM eServer zSeries 890		このサービスはサポートされていません。
IBM System z9 EC IBM System z9 BC		このサービスはサポートされていません。
IBM System z10 EC IBM System z10 BC		このサービスはサポートされていません。
IBM zEnterprise 196 IBM zEnterprise 114	Crypto Express3 コプロセッサー	DK AES PIN 鍵のサポートには、2013 年 11 月以降のライセンス内部コード (LIC) が必要です。
IBM zEnterprise EC12 IBM zEnterprise BC12	Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー	DK AES PIN 鍵のサポートには、2013 年 9 月以降のライセンス内部コード (LIC) が必要です。
IBM z13	Crypto Express5 CCA コプロセッサー