暗号化 PIN 検査 (CSNBPVR および CSNEPVR)

CALL CSNBPVR(
             return_code,
             reason_code,
             exit_data_length,
             exit_data,
             input_PIN_encrypting_key_identifier,
             PIN_verifying_key_identifier,
             input_PIN_profile,
             PAN_data,
             encrypted_PIN_block,
             rule_array_count,
             rule_array,
             PIN_check_length,
             data_array) 

return_code

方向	タイプ
出力	整数

戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに戻りコードがリストされています。

reason_code

方向	タイプ
出力	整数

理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードがあります。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに理由コードがリストされています。

exit_data_length

方向	タイプ
入出力	整数

インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。

exit_data

方向	タイプ
入出力	ストリング

インストール・システム出口に渡されるデータ。

input_PIN_encrypting_key_identifier

方向	タイプ
入出力	ストリング

PIN ブロックを暗号化する PIN 暗号鍵 (IPINENC) を含む 64 バイトの鍵ラベルまたは内部鍵トークン。 キーワード UKPTIPIN または DUKPT-IP が rule_array で指定されている場合は、input_PIN_encrypting_key_identifier で、UKPT 使用ビットが有効になっている KEYGENKY の鍵トークンまたは鍵ラベルを指定する必要があります。

PIN_verifying_key_identifier

方向	タイプ
入出力	ストリング

PIN 検査 (PINVER) 鍵を識別する 64 バイトの鍵ラベルまたは内部鍵トークン。

input_PIN_profile

方向	タイプ
入出力	文字ストリング

フォーマット設定済み PIN ブロックを作成するため、またはフォーマット設定された PIN ブロックから PIN を抽出するために必要な情報を含む、3 つの 8 バイト文字エレメント。 PIN プロファイルは、PIN ブロックが呼び出し可能サービスによって暗号化されているか復号されているかに応じて、入力 PIN プロファイルまたは出力 PIN プロファイルのいずれかになります。 rule_array パラメーターで UKPTIPIN を指定する場合、input_PIN_profile は 48 バイト・フィールドに拡張され、現行鍵シリアル番号を含んでいなければなりません。 追加情報については、PIN プロファイルを参照してください。

rule_array パラメーターで DUKPT-IP を指定する場合、input_PIN_profile は 48 バイト・フィールドに拡張され、現行鍵シリアル番号を含んでいなければなりません。 追加情報については、PIN プロファイルを参照してください。

暗号化 PIN 検査呼び出し可能サービス内の 3624 または 3621 PIN ブロックから PIN を抽出するには、埋め込み数字が必要です。

PAN_data

方向	タイプ
入力	文字ストリング

個人アカウント番号 (PAN) は、ISO-0 および VISA-4 にのみ必要です。 その他の場合、このパラメーターは無視されます。 12 桁のアカウント・データを文字フォーマットで指定します。

ISO-0 の場合、チェック・ディジットを除き、PAN の右端 12 桁を使用します。

VISA-4 の場合、チェック・ディジットを除き、PAN の左端 12 桁を使用します。

encrypted_PIN_block

方向	タイプ
入力	ストリング

検査する PIN を含む 8 バイトの暗号化 PIN ブロック。

rule_array_count

方向	タイプ
入力	整数

rule_array パラメーターで指定された処理規則数。 値は 1、2、3 のいずれかです。

rule_array

方向	タイプ
入力	文字ストリング

PIN 検査アルゴリズムの処理規則。

表 1. 暗号化 PIN 検査のキーワード

キーワード	意味
アルゴリズム値 (必須)
GBP-PIN	IBM German Bank Pool PIN。 顧客が入力した PIN を検査し、金融機関鍵を使用してその PIN を金融機関生成 PIN と比較します。
IBM-PIN	IBM 3624 PIN。 金融機関割り当ての PIN です。 PIN オフセットの計算は行いません。
IBM-PINO	IBM 3624 PIN オフセット。 顧客選択 PIN であり、PIN オフセットを計算します。
INBK-PIN	Interbank PIN 検査アルゴリズム。
VISA-PVV	VISA PIN 検査規則。
VISAPVV4	VISA PIN 検査規則。 長さが 4 桁の場合は、VISA-PVV の通常処理が行われます。 長さが 4 桁を超えている場合、サービスは失敗します。
PIN ブロック・フォーマットおよび PIN 抽出方式 (オプション)	追加情報と、PIN ブロック・フォーマットおよび PIN 抽出方式キーワードのリストについては、PIN ブロック・フォーマットおよび PIN 抽出方式キーワードを参照してください。 注: PIN 抽出方式が指定されていない場合、表 1にリストされる最初の PIN ブロック・フォーマットがデフォルトになります。
DUKPT 規則 (オプションで 1 つのみ指定可能)
UKPTIPIN	input_PIN_encrypting_key_identifier は単一長鍵として導出されます。 input_PIN_encrypting_key_identifier は、UKPT 使用ビットが有効になっている KEYGENKY 鍵でなければなりません。 input_PIN_profile は 48 バイトで、鍵シリアル番号が含まれていなければなりません。
DUKPT-IP	input_PIN_encrypting_key_identifier は DUKPT アルゴリズムを使用して導出されます。 input_PIN_encrypting_key_identifier は、DUKPT 使用ビットが有効になっている KEYGENKY 鍵でなければなりません。 input_PIN_profile は 48 バイトで、鍵シリアル番号が含まれていなければなりません。

PIN_check_length

方向	タイプ
入力	整数

IBM-PIN 処理規則または IBM-PINO 処理規則のみの PIN 検査長。 その他の場合は無視されます。 検査する PIN の右端の桁数 (4 から 16) を指定します。

data_array

方向	タイプ
入力	ストリング

対応する rule_array パラメーターで必要な 3 つの 16 バイト・エレメント。 データ配列は、処理規則によって異なる仕様を持つ 3 つの 16 バイトのフィールドから構成されます。 処理規則が 1 つまたは 2 つの 16 バイト・フィールドのみを必要とする場合、残りのデータ配列は呼び出し可能サービスによって無視されます。 表 2 に配列エレメントを示します。

表 2. 暗号化 PIN 検査呼び出し可能サービスの配列エレメント

配列エレメント	説明
Decimalization_table	IBM および GBP 専用の 10 進法化テーブル。 0 から 9 の 16 桁の 10 進数字。 注: 「ANSI X9.8 PIN - Use stored decimalization tables only」アクセス制御点がドメイン役割内で有効になっている場合、このテーブルは、コプロセッサー内のアクティブ 10 進法化テーブルのいずれかに一致している必要があります。
PIN_offset	IBM-PINO のオフセット・データ。 左寄せで、右側にスペース文字が埋め込まれた、1 文字から 12 文字の 0 から 9 の数字です。 PIN オフセット長は PIN_check_length パラメーターで指定されます。 IBM-PIN および GBP-PIN の場合、このフィールドは無視されます。
trans_sec_parm	VISA の場合、16 バイト・フィールドの左端の 12 桁のみが使用されます。 これらは、個人アカウント番号 (PAN) の右端 11 桁と、1 桁の鍵インデックスから構成されます。 残りの 4 文字は無視されます。 Interbank の場合のみ、16 バイトすべてが使用されます。 これらは、PAN の右端 11 桁、定数 X'6'、1 桁の鍵インデックス、および PIN 検証データの 3 つの数字から構成されます。
RPVV	VISA-PVV の場合のみ、左寄せされた、参照される PVV (4 バイト)。 フィールドの他の部分は無視されます。
Validation_data	16 バイトまで埋め込まれた IBM および GBP 用の検証データ。 左寄せで、右側にスペース文字が埋め込まれた、1 文字から 16 文字の 16 進数アカウント・データです。

表 3 に、処理規則 (rule_array パラメーター) に必要なデータ配列エレメントを示します。 数字は、配列内での処理規則の位置を指しています。

表 3. 処理規則に必要な配列エレメント

処理規則	IBM-PIN	IBM-PINO	GBP-PIN	VISA-PVV	INBK-PIN
Decimalization_table	1	1	1
Validation_data	2	2	2
PIN_offset	3	3	3
Trans_sec_parm				1	1
RPVV				2

呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS か PKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。

下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。

「トランザクション単位の固有鍵」規則配列キーワードのいずれかが指定されている場合は、「UKPT - PIN Verify, PIN Translate」アクセス制御点が有効になっていなければなりません。

「ANSI X9.8 PIN - Use stored decimalization tables only」アクセス制御点がドメイン役割内で有効になっている場合は、すべての 10 進法化テーブルが、コプロセッサー内のアクティブ 10 進法化テーブルのいずれかに一致している必要があります。

下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。

PIN のフォーマットおよびアルゴリズムに、より詳細な PIN アルゴリズムの説明があります。