Интегрированные сети ISDN
         

Уникальный порядковый номер, приписываемый СА,



Таблица 4.6.2.32. Поля формата сертификата Х.509



Имя Ограничения на формат и значения Описание
Version (Версия) Целое Указывает на версию сертификата
SerialNumber Целое Уникальный порядковый номер, приписываемый СА, сформировавшим сертификат
Signature.AlgorithmIdentifier OID и тип Определяет алгоритм, используемый для генерации подписи сертификата
Issuer (эмитент) Имя Содержит уникальное имя (Distinguished Name) CA, выдавшего сертификат
Validity.notBefore Время UTC Специфицирует время, когда сертификат становится активным
Validity.notAfter Время UTC Специфицирует время, когда сертификат перестает действовать. Если это относится к сертификату владельца карты, то его время действия не может быть дольше пригодности карты.
Subject Имя Содержит уникальное имя объекта владельца ключа
SubjectPublicKeyInfo.algorithm. AlgorithmIdentifier OID и тип Специфицирует алгоритм, который может использоваться с этим ключом.
SubjectPublicKeyInfo. subjectPublicKey Строка битов Содержит общедоступный ключ, представленный в запросе сертификата
IssuerUniqueID В SET не используется
SubjectUniqueID   В SET не используется
Extensions.extnId Формат OID Содержит расширение OID, как это определено Х.509 или SET
Extensions.critical Булево: 0=ложно

1=истинно		Каждое описание расширения определяет то, какое значение должно принимать это поле
Extensions.extnValue   Информация расширения
Для определения позиций необходимы следующие идентификаторы объектов OID (указаны в скобках) в сертификатах SET:

  • countryName [2 5 4 6]


  • organizationName [2 5 4 10]


  • organizationUnitName [2 5 4 11]


  • commonName [2 5 4 3]


    • Ниже представлены формальные определения атрибутов (at), которые заключают в себе уникальные имена (Subject Distinguished Name) для каждого объекта SET, указанного в расширении типа сертификата (CertificateType).



    OID имен (ASN.1)

    id-at-    countryNameOBJECT IDENTIFIER ::= { id-at 6 }

    id-at-organizationNameOBJECT IDENTIFIER ::= { id-at 10 }



    id-at-organizationalUnitNameOBJECT IDENTIFIER ::= { id-at 11 }

    id-at- commonNameOBJECT IDENTIFIER ::= { id-at 3 }

    Владелец карты

    countryName=<Страна, где размещается финансовое учреждение, выпустившее карту>

    organizationName=<BrandID> (идентификатор платежной системы)

    organizationalUnitName=<Название финансового учреждения, выпустившее карту>

    organizationalUnitName=<Опционно - название карты>

    commonName=<Уникальный идентификатор владельца карты>

    Если в перечне появляется два атрибута organizationalUnitName, первый из них представляет название финансового учреждения, выпустившее карту.

    Продавец

    countryName=< Страна, где размещается банк продавца – Acquirer>

    organizationName=<BrandID>

    organizationalUnitName=<Название банка продавца>

    commonName=<Имя продавца, как написано в заявлении владельца карты>

    Расчетный центр

    countryName=<Страна, где размещается банк продавца – Acquirer>

    organizationName=<BrandID>

    organizationalUnitName=<Название банка продавца>

    commonName=<Уникальный идентификатор расчетного центра>

    Центр сертификации владельца карты

    countryName=<Страна, где размещается финансовое учреждение, выпустившее карту>

    organizationName=<BrandID>

    organizationalUnitName=<Описательное имя>

    commonName=<Опционный уникальный идентификатор>

    Центр сертификации продавца

    countryName=<Страна, где размещается банк продавца – Acquirer >

    organizationName=<BrandID>

    organizationalUnitName=<Описательное имя>

    commonName=<Опционный уникальный идентификатор>

    Центр сертификации расчетного центра

    countryName=<Страна, где размещается банк продавца – Acquirer >

    organizationName=<BrandID>

    organizationalUnitName=<Описательное имя>

    commonName=<Опционный уникальный идентификатор>

    Геополитический центр сертификации

    countryName=<Страна геополитической организации>

    organizationName=<BrandID>

    organizationalUnitName=<Описательное имя>



    commonName=<Опционный уникальный идентификатор>

    Центр сертификации платежной системы (Brand)

    countryName=<Страна, где размещен центр сертификации платежной системы>

    organizationName=<BrandID>

    organizationalUnitName=<Описательное имя>

    commonName=<Опционный уникальный идентификатор>

    Корневой центр сертификации

    countryName=<Страна, где размещен корневой центр сертификации – СА>

    organizationName=<Корневой центр SET>

    commonName=<Опционный – уникальный ID>

    Поля имен в имени субъекта сертификата определены в таблице ниже:

    Country 2 символа кода страны (ISO 3166)
    BrandID <Brand Name>:<Product>, где название продукта является опционным.
    Brand Name Платежная система карты, которая определяется разработчиками платежной системы.
    Product Type Опционное поле, которое определяет тип продукта в рамках заданной платежной системы.
    Описательное имя Это описательное имя объекта, ответственного за выпуск сертификата в рамках данного СА. Например:
  • Название финансовой организации

  • Название организации, выполняющей функцию СА

  • Название платежной системы

  • Имя объекта, ответственного за одобрение сертификатов
    		•
    Официальное название карты Это опционное поле содержит официальное название карты. Примерами могут служить, например: Frequent Flayer Program, Affinity Program и т.д.
    Название финансовой организации Имя финансовой организации, выпускающей расчетные карты
    Уникальный идентификатор владельца карты Уникальным идентификатором владельца карты в сертификате владельца является хэшированный номер его счета.
    Уникальный идентификатор расчетного центра Поле содержит BIN, за которым следует серийные номера банка продавца или расчетной системы. Поле форматировано как <BIN:SerialNumber>. Серийный номер позволяет однозначно идентифицировать каждый расчетный центр, ассоциированный с одним и тем же банком продавца (Acquirer). В пределах расчетной системы (Brand) может быть несколько сертификатов для одного BIN.
    <


    Уникальный ID владельца карты в сертификате представляет собой хэшированный номер его счета. PAN маскируется с использованием общего секретного ключа (PANSecret), который состоит из комбинации CardSecret владельца карты и Nonce-CCA сертификационного центра. Вычисление хэша производится с привлечением алгоритма HMAC-SHA1 (RFC-2105). Функция HMAC-SHA1 определяется в терминах ключа K и текста, который кэшируется следующим образом:
    Hash(KA
    opad|hash((KAipad)|text)),
    где A
    - оператор исключающее ИЛИ, а оператор | - обозначает объединение кодов. K, text, ipad и opad определяются в SET следующим образом:

    K Равно PANSecret и представляет собой 20-байтовую строку, полученную в результате операции исключающее ИЛИ, выполненной над DER-кодированными значениями CardSecret и Nonce-CCA.
    Text Представляет собой DER-кодированную копию исходного текста, содержащего PAN и CardExpiry.
    Text ::= SEQUENCE {
    pan PAN

    cardExpiry CardExpiry

    }

    PAN ::= NumberString (SIZE(1..19))

    CardExpiry ::= NumericString (SIZE(6)) --YYYMM

    Время истечения действия карты
    ipad 64 байта, содержащих код 0x36
    opad 64 байта, содержащих код 0x5C

    K дополняется нулями до 64 байт.
    Результат вычисления HMAC кодируется в представлении base64, после чего производится в поле сертификата commonName.

    Содержание раздела