WZP身份溯源策略（World Zero Protection），宜分宜合、自主可控的實名認證體系-有解無憂

所謂宜分宜合是指，兩個網路是否互通，首先取決于他們的原根證書是否互認，更換與其他網路不互認的原根證書，就可以實作網路間的邏輯隔離（非嚴格隔離），而在網路間互認的前提下，也可對區域網路或特定站點實施更嚴格的認證要求，以實作部分隔離的效果，

強證鏈	第一層	原根證書原根證書間互認
	第二層	個人管理機構證書（擬推薦民政局持有）法人管理機構證書（擬推薦稅務局持有）電信運營機構證書（擬推薦電信運營商持有）域名管理機構證書（擬推薦電信局持有）匿名管理機構證書（至少提供2個公開證書，時效1年）頂級在線驗證中心證書（吊銷登記+在用備案）
	第三層	個人證書法人證書電信接入站證書域名證書（所有的商標自動獲得同名的域名）匿名證書（管理員申請或生成證書，或匯入公共證書）次級在線驗證中心證書（吊銷登記+常用備案+其他疊代）
	第四層	個人通訊設備證書法人通訊設備證書電信通訊設備證書（一個接入號可對應多個通訊設備）域名通訊設備證書（一個子域名可對應多個通訊設備）匿名通訊設備證書（無有效通訊設備證書時可申領）末級在線驗證中心證書（吊銷登記+其他疊代）（個人與法人證書無需設立獨立的末級在線驗證中心）（匿名證書的末級在線驗證中心通常由匿名接入點兼任）
弱證鏈	第五層	密鑰交換
弱證鏈	第六層	口令散列值（口令可含微變部分，根據格式或散列驗證）
限制	原根特權	除原根證書外，所有的自認證都無效除原根證書外，無上級的平級認證才都無效
	類別限制	除涉及原根證書與在線驗證中心證書外，上下級禁止跨類在線驗證中心證書沒有下級，以其為上級的是其驗證結果
	下級限制	其余證書逐級認證，禁止逆級認證、禁止跨級認證允許吊銷對下級的認證，但僅限在線時有效，離線時無效
	上級限制	除通訊設備外，各證書持有人只能有一個上級，以防沖突通訊設備證書的個人或法人證書上級只能有一個通訊設備證書的電信接入站或域名證書上級只能有一個通訊設備證書的匿名證書上級一次只啟用一個，其余備用
存盤	存盤策略	從本級上溯至原根證書全部存盤子級及以下視情存盤對方證書的存盤期視快取策略而定同一主體（公鑰）的多份證書按最新時間存盤私鑰必須自行在可控設備上生成私鑰必須采用微變口令保護存盤，妥善保管嚴謹通過網路傳輸私鑰（含受微變口令保護后的檔案）私鑰（含受微變口令保護后的檔案）僅可通過人工傳遞
查驗	查驗原則	任意轉發節點都可以介入身份認證，實施訪問控制通訊設備可通過遍歷的形式獲取對方的全部上級
使用	實名同源	允許通訊（有相同的上級或更高上級，但匿名系列除外）
	匿名同源	有限通訊（溯源至匿名證書即可，不允許接入實名網路）
	申請實名	通過原實名認證或代理服務器向管理機構申請新證書或續期
	申請匿名	申請匿名通訊設備證書（使用對照口令，并經管理員審核）
證書	宣告	如姓名、身份證號、公司名、稅號等備案資訊
	部分散列	只包括宣告中的部分資訊，比如隱藏身份證號、電話號碼等散列前可包括從零開始第一個使散列合規的合規調整數欄位
	宣告散列
	本級	級別、用途型別、長度
	本級公鑰
	以上重復	“本級”必須相同，可任意組重復，如不重復即為單簽名證書
	上級	級別、用途型別、長度
	上級公鑰
	有效期始
	有效期止
	自簽散列	從部分散列至有效期的散列，不包括宣告
	自簽名	單簽名證書使用單簽名，多簽名證書使用多重簽名
	認證散列	從部分散列至自簽名的散列，不包括宣告
	認證簽名
裁剪	單簽名	用于標準原根
	多簽名	用于過渡期原根
	單簽證書	用于普通證書
	多簽證書	用于等權證書或過渡期證書
	吊銷證書	用途型別為吊銷，無有效期止至自簽名部分
	在線驗證	部分散列為原自簽名，宣告散列為原認證簽名上級公鑰為在線驗證中心公鑰，無有效期止至自簽名部分
證期	本級證期	與前一證書或公鑰切換期與后一證書或公鑰切換期
	上級證期	上級證書期長≥本級證書期長×2
	下級證期	本級證書期長不足一半時不再簽發下級證書
	末級證期	簽發下級證書時，應及時切換至最新證書其他使用情況下，推薦在切換期中點附近切換最新證書

具體細節與選用的演算法有關，建議原根選用約256位（如251位）的密鑰，管理機構選用約192位（如191位）的密鑰，個體選用約128位（如127位）的密鑰，通訊設備選用約64位（如61位）的密鑰，

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/30928.html

標籤：其他

上一篇：基于GPS的授時服務器和頻率信號解決方案

下一篇：XXE驗證與利用流程