Протоколы Internet




SET и другие системы осуществления платежей - часть 30


/p>

Верификация цепочки сертификатов требует, чтобы последовательно проверялся каждый сертификат, и контролировалось его соответствие выпустившему его центру. Например, держатель карты должен проверить сертификаты продавца, центра сертификации продавца, центра сертификации платежной системы (Brand CA), и корневого центра Root CA. Процесс верификации включает в себя следующие компоненты:

  • Контроль сертификатов X.509
  • Контроль сертификатов SET
  • Обработку CRL (Certificate Revocation List)
  • Обработку BrandCRLIdentifier (BCI)
  • На практике предполагается, что процесс верификации будет остановлен на уровне, который был успешно пройден ранее. Все приложения SET помимо самих сертификатов контролируют их дату пригодности. Процедура верификации представлена в таблице 4.6.2.6.

    Таблица 4.6.2.6

    . Верификация сертификатов

    Шаг

    Действие

    1

    Верифицировать каждый сертификат в цепи согласно правилам X.509

    2

    Проверить то, что расширения KeyUsage, CertificatePolicies, PriviteKeyUsage и AuthorityKeyIdentifier находятся в согласии c Х.509.

    3

    Если получено новое значение BCI:

    а. Проверить его подпись, используя сертификат CRL центра сертификации платежной системы

    б. Проверить, что BrandName в BCI соответствует тому, что проверено в цепочке сертификации

    в. Проверить, что дата NotAfter меньше текущей даты

    г. Проверить SequenceNum. Если оно больше чем SequenceNum из кэша BCI запомнить BCI и проверить, что все CRL, содержащиеся в BCI находятся в кэше CRL. Запомнить любой CRL, который пока нет в кэше

    4

    Провести верификацию для каждого нового полученного CRL,

    5

    Проверить каждый сертификат

    4.6.2.1.1. Оттиски (Thumbprints)

    Оттиски определяются путем вычисления хэш функции SHA-1, следуя кодировке DER ASN.1 структур:

  • UnsignedCertificate
  • UnsignedCertificateRevocationList
  • UnsignedBrandCRLIdentifier
  • Оттиск является тем же самым хэшем, который используется для подписи, верификации, CRL или BCI. Оттиски посылаются в сообщениях-запросах SET и могут игнорироваться получателем. Отправитель не обязан посылать все оттиски для всех сертификатов, CRL и BCI, имеющимся в его кэше, а только те, которые имеют отношение к конкретной паре сообщений запрос/отклик. Например, программа продавца не обязана посылать оттиски для всех держателей карт или всем платежным системам. Процедура отправки оттиска представлена в таблице 4.6.2.7.




    Содержание  Назад  Вперед