暗号化 PIN 検査 (CSNBPVR および CSNEPVR)
- IBM 3624 (IBM-PIN)
- IBM 3624 PIN オフセット (IBM-PINO)
- IBM German Bank Pool (GBP-PIN)
- VISA PIN 検証値 (VISA-PVV)
- VISA PIN 検証値 (VISAPVV4)
- Interbank PIN (INBK-PIN)
単一長鍵または倍長鍵の unique-key-par-transaction 鍵導出が、input_PIN_encrypting_key_identifier パラメーターで使用可能です。
暗号化 PIN ブロックから PIN を抽出するために、拡張 PIN セキュリティー・モードを使用できます。 このモードは、IBM 3621 または IBM 3624 の PIN ブロックに対して PIN 抽出方式を指定した場合にのみ適用されます。 これを行うには、「PTR Enhanced PIN Security」アクセス制御点をドメイン役割で有効にする必要があります。 このモードがアクティブ化されると、PIN の検査は 10 進数字に限定され、最小 4 の PIN 長が適用されます。 その他の PIN ブロック整合性検査は行われません。
AMODE(64) 呼び出しの呼び出し可能サービス名は CSNEPVR です。
形式
CALL CSNBPVR(
return_code,
reason_code,
exit_data_length,
exit_data,
input_PIN_encrypting_key_identifier,
PIN_verifying_key_identifier,
input_PIN_profile,
PAN_data,
encrypted_PIN_block,
rule_array_count,
rule_array,
PIN_check_length,
data_array)
パラメーター
- return_code
-
方向 タイプ 出力 整数 戻りコードは、呼び出し可能サービスの一般的な結果を示しています。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに戻りコードがリストされています。
- reason_code
-
方向 タイプ 出力 整数 理由コードは、アプリケーション・プログラムに返される、呼び出し可能サービスの結果を示しています。 戻りコードにはそれぞれ、特定の処理問題を示すさまざまな理由コードがあります。 ICSF および暗号化コプロセッサーの戻りコードおよび理由コードに理由コードがリストされています。
- exit_data_length
-
方向 タイプ 入出力 整数 インストール・システム出口に渡されるデータの長さ。 データは exit_data パラメーターで識別されます。
- exit_data
-
方向 タイプ 入出力 ストリング インストール・システム出口に渡されるデータ。
- input_PIN_encrypting_key_identifier
-
方向 タイプ 入出力 ストリング PIN ブロックを暗号化する PIN 暗号鍵 (IPINENC) を含む 64 バイトの鍵ラベルまたは内部鍵トークン。 キーワード UKPTIPIN または DUKPT-IP が rule_array で指定されている場合は、input_PIN_encrypting_key_identifier で、UKPT 使用ビットが有効になっている KEYGENKY の鍵トークンまたは鍵ラベルを指定する必要があります。
- PIN_verifying_key_identifier
-
方向 タイプ 入出力 ストリング PIN 検査 (PINVER) 鍵を識別する 64 バイトの鍵ラベルまたは内部鍵トークン。
- input_PIN_profile
-
方向 タイプ 入出力 文字ストリング フォーマット設定済み PIN ブロックを作成するため、またはフォーマット設定された PIN ブロックから PIN を抽出するために必要な情報を含む、3 つの 8 バイト文字エレメント。 PIN プロファイルは、PIN ブロックが呼び出し可能サービスによって暗号化されているか復号されているかに応じて、入力 PIN プロファイルまたは出力 PIN プロファイルのいずれかになります。 rule_array パラメーターで UKPTIPIN を指定する場合、input_PIN_profile は 48 バイト・フィールドに拡張され、現行鍵シリアル番号を含んでいなければなりません。 追加情報については、PIN プロファイルを参照してください。
rule_array パラメーターで DUKPT-IP を指定する場合、input_PIN_profile は 48 バイト・フィールドに拡張され、現行鍵シリアル番号を含んでいなければなりません。 追加情報については、PIN プロファイルを参照してください。
暗号化 PIN 検査呼び出し可能サービス内の 3624 または 3621 PIN ブロックから PIN を抽出するには、埋め込み数字が必要です。
- PAN_data
-
方向 タイプ 入力 文字ストリング 個人アカウント番号 (PAN) は、ISO-0 および VISA-4 にのみ必要です。 その他の場合、このパラメーターは無視されます。 12 桁のアカウント・データを文字フォーマットで指定します。
ISO-0 の場合、チェック・ディジットを除き、PAN の右端 12 桁を使用します。
VISA-4 の場合、チェック・ディジットを除き、PAN の左端 12 桁を使用します。
- encrypted_PIN_block
-
方向 タイプ 入力 ストリング 検査する PIN を含む 8 バイトの暗号化 PIN ブロック。
- rule_array_count
-
方向 タイプ 入力 整数 rule_array パラメーターで指定された処理規則数。 値は 1、2、3 のいずれかです。
- rule_array
-
方向 タイプ 入力 文字ストリング PIN 検査アルゴリズムの処理規則。
表 1. 暗号化 PIN 検査のキーワード キーワード 意味 アルゴリズム値 (必須) GBP-PIN IBM German Bank Pool PIN。 顧客が入力した PIN を検査し、金融機関鍵を使用してその PIN を金融機関生成 PIN と比較します。 IBM-PIN IBM 3624 PIN。 金融機関割り当ての PIN です。 PIN オフセットの計算は行いません。 IBM-PINO IBM 3624 PIN オフセット。 顧客選択 PIN であり、PIN オフセットを計算します。 INBK-PIN Interbank PIN 検査アルゴリズム。 VISA-PVV VISA PIN 検査規則。 VISAPVV4 VISA PIN 検査規則。 長さが 4 桁の場合は、VISA-PVV の通常処理が行われます。 長さが 4 桁を超えている場合、サービスは失敗します。 PIN ブロック・フォーマットおよび PIN 抽出方式 (オプション) 追加情報と、PIN ブロック・フォーマットおよび PIN 抽出方式キーワードのリストについては、PIN ブロック・フォーマットおよび PIN 抽出方式キーワードを参照してください。 注: PIN 抽出方式が指定されていない場合、表 1にリストされる最初の PIN ブロック・フォーマットがデフォルトになります。DUKPT 規則 (オプションで 1 つのみ指定可能) UKPTIPIN input_PIN_encrypting_key_identifier は単一長鍵として導出されます。 input_PIN_encrypting_key_identifier は、UKPT 使用ビットが有効になっている KEYGENKY 鍵でなければなりません。 input_PIN_profile は 48 バイトで、鍵シリアル番号が含まれていなければなりません。 DUKPT-IP input_PIN_encrypting_key_identifier は DUKPT アルゴリズムを使用して導出されます。 input_PIN_encrypting_key_identifier は、DUKPT 使用ビットが有効になっている KEYGENKY 鍵でなければなりません。 input_PIN_profile は 48 バイトで、鍵シリアル番号が含まれていなければなりません。 - PIN_check_length
-
方向 タイプ 入力 整数 IBM-PIN 処理規則または IBM-PINO 処理規則のみの PIN 検査長。 その他の場合は無視されます。 検査する PIN の右端の桁数 (4 から 16) を指定します。
- data_array
-
方向 タイプ 入力 ストリング 対応する rule_array パラメーターで必要な 3 つの 16 バイト・エレメント。 データ配列は、処理規則によって異なる仕様を持つ 3 つの 16 バイトのフィールドから構成されます。 処理規則が 1 つまたは 2 つの 16 バイト・フィールドのみを必要とする場合、残りのデータ配列は呼び出し可能サービスによって無視されます。 表 2 に配列エレメントを示します。
表 2. 暗号化 PIN 検査呼び出し可能サービスの配列エレメント 配列エレメント 説明 Decimalization_table IBM および GBP 専用の 10 進法化テーブル。 0 から 9 の 16 桁の 10 進数字。 注: 「ANSI X9.8 PIN - Use stored decimalization tables only」アクセス制御点がドメイン役割内で有効になっている場合、このテーブルは、コプロセッサー内のアクティブ 10 進法化テーブルのいずれかに一致している必要があります。PIN_offset IBM-PINO のオフセット・データ。 左寄せで、右側にスペース文字が埋め込まれた、1 文字から 12 文字の 0 から 9 の数字です。 PIN オフセット長は PIN_check_length パラメーターで指定されます。 IBM-PIN および GBP-PIN の場合、このフィールドは無視されます。 trans_sec_parm VISA の場合、16 バイト・フィールドの左端の 12 桁のみが使用されます。 これらは、個人アカウント番号 (PAN) の右端 11 桁と、1 桁の鍵インデックスから構成されます。 残りの 4 文字は無視されます。 Interbank の場合のみ、16 バイトすべてが使用されます。 これらは、PAN の右端 11 桁、定数 X'6'、1 桁の鍵インデックス、および PIN 検証データの 3 つの数字から構成されます。
RPVV VISA-PVV の場合のみ、左寄せされた、参照される PVV (4 バイト)。 フィールドの他の部分は無視されます。 Validation_data 16 バイトまで埋め込まれた IBM および GBP 用の検証データ。 左寄せで、右側にスペース文字が埋め込まれた、1 文字から 16 文字の 16 進数アカウント・データです。 表 3 に、処理規則 (rule_array パラメーター) に必要なデータ配列エレメントを示します。 数字は、配列内での処理規則の位置を指しています。表 3. 処理規則に必要な配列エレメント 処理規則 IBM-PIN IBM-PINO GBP-PIN VISA-PVV INBK-PIN Decimalization_table 1 1 1 Validation_data 2 2 2 PIN_offset 3 3 3 Trans_sec_parm 1 1 RPVV 2
使用上の注意
呼び出し側がこの呼び出し可能サービス、鍵ラベル、または CKDS か PKDS に保管された内部セキュア鍵トークンの使用を許可されているかを検査するために、SAF が呼び出される場合があります。
アクセス制御点
下表に、このサービスの機能を制御するドメイン役割内のアクセス制御点を示します。
処理規則 | アクセス制御点 |
---|---|
IBM-PIN |
Encrypted PIN Verify - 3624 |
GBP-PIN |
Encrypted PIN Verify - GBP |
VISA-PVV | Encrypted PIN Verify - VISA PVV |
INBK-PIN | Encrypted PIN Verify - Interbank |
「トランザクション単位の固有鍵」規則配列キーワードのいずれかが指定されている場合は、「UKPT - PIN Verify, PIN Translate」アクセス制御点が有効になっていなければなりません。
「ANSI X9.8 PIN - Use stored decimalization tables only」アクセス制御点がドメイン役割内で有効になっている場合は、すべての 10 進法化テーブルが、コプロセッサー内のアクティブ 10 進法化テーブルのいずれかに一致している必要があります。
必須ハードウェア
下表に、各サーバー・タイプに必要な暗号化ハードウェアを示し、この呼び出し可能サービスの制約事項について説明します。
サーバー | 必須暗号化ハードウェア | 制約事項 |
---|---|---|
IBM eServer zSeries 990 |
PCI X 暗号化コプロセッサー Crypto Express2 コプロセッサー |
ISO-3 PIN ブロック・フォーマットはサポートされていません。 |
IBM System z9 EC |
Crypto Express2 コプロセッサー | ISO-3 PIN ブロック・フォーマットには、2007 年 11 月以降のライセンス内部コード (LIC) が必要です。 |
IBM System z10 EC |
Crypto Express2 コプロセッサー Crypto Express3 コプロセッサー |
ISO-3 PIN ブロック・フォーマットには、2007 年 11 月以降のライセンス内部コード (LIC) が必要です。 |
IBM zEnterprise 196 |
Crypto Express3 コプロセッサー | |
IBM zEnterprise EC12 |
Crypto Express3 コプロセッサー Crypto Express4 CCA コプロセッサー |
|
IBM z13 |
Crypto Express5 CCA コプロセッサー |
関連情報
PIN のフォーマットおよびアルゴリズムに、より詳細な PIN アルゴリズムの説明があります。