Протоколы Internet


SET и другие системы осуществления платежей - часть 30


/p>

Верификация цепочки сертификатов требует, чтобы последовательно проверялся каждый сертификат, и контролировалось его соответствие выпустившему его центру. Например, держатель карты должен проверить сертификаты продавца, центра сертификации продавца, центра сертификации платежной системы (Brand CA), и корневого центра Root CA. Процесс верификации включает в себя следующие компоненты:

  • Контроль сертификатов X.509
  • Контроль сертификатов SET
  • Обработку CRL (Certificate Revocation List)
  • Обработку BrandCRLIdentifier (BCI)

На практике предполагается, что процесс верификации будет остановлен на уровне, который был успешно пройден ранее. Все приложения SET помимо самих сертификатов контролируют их дату пригодности. Процедура верификации представлена в таблице 4.6.2.6.

Таблица 4.6.2.6

. Верификация сертификатов

Шаг

Действие

1

Верифицировать каждый сертификат в цепи согласно правилам X.509

2

Проверить то, что расширения KeyUsage, CertificatePolicies, PriviteKeyUsage и AuthorityKeyIdentifier находятся в согласии c Х.509.

3

Если получено новое значение BCI:

а. Проверить его подпись, используя сертификат CRL центра сертификации платежной системы

б. Проверить, что BrandName в BCI соответствует тому, что проверено в цепочке сертификации

в. Проверить, что дата NotAfter меньше текущей даты

г. Проверить SequenceNum. Если оно больше чем SequenceNum из кэша BCI запомнить BCI и проверить, что все CRL, содержащиеся в BCI находятся в кэше CRL. Запомнить любой CRL, который пока нет в кэше

4

Провести верификацию для каждого нового полученного CRL,

5

Проверить каждый сертификат

4.6.2.1.1. Оттиски (Thumbprints)

Оттиски определяются путем вычисления хэш функции SHA-1, следуя кодировке DER ASN.1 структур:

  • UnsignedCertificate
  • UnsignedCertificateRevocationList
  • UnsignedBrandCRLIdentifier

Оттиск является тем же самым хэшем, который используется для подписи, верификации, CRL или BCI. Оттиски посылаются в сообщениях-запросах SET и могут игнорироваться получателем. Отправитель не обязан посылать все оттиски для всех сертификатов, CRL и BCI, имеющимся в его кэше, а только те, которые имеют отношение к конкретной паре сообщений запрос/отклик. Например, программа продавца не обязана посылать оттиски для всех держателей карт или всем платежным системам. Процедура отправки оттиска представлена в таблице 4.6.2.7.




Начало  Назад  Вперед



Книжный магазин