WZP身份溯源策略(World Zero Protection),宜分宜合、自主可控的实名认证体系
所谓宜分宜合是指,两个网络是否互通,首先取决于他们的原根证书是否互认。更换与其他网络不互认的原根证书,就可以实现网络间的逻辑隔离(非严格隔离)。而在网络间互认的前提下,也可对局部网络或特定站点实施更严格的认证要求,以实现部分隔离的效果。
强证链 | 第一层 | 原根证书 原根证书间互认 |
第二层 | 个人管理机构证书(拟推荐民政局持有) 法人管理机构证书(拟推荐税务局持有) 电信运营机构证书(拟推荐电信运营商持有) 域名管理机构证书(拟推荐电信局持有) 匿名管理机构证书(至少提供2个公开证书,时效1年) 顶级在线验证中心证书(吊销登记+在用备案) |
|
第三层 | 个人证书 法人证书 电信接入站证书 域名证书(所有的商标自动获得同名的域名) 匿名证书(管理员申请或生成证书,或导入公共证书) 次级在线验证中心证书(吊销登记+常用备案+其他叠代) |
|
第四层 | 个人通讯设备证书 法人通讯设备证书 电信通讯设备证书(一个接入号可对应多个通讯设备) 域名通讯设备证书(一个子域名可对应多个通讯设备) 匿名通讯设备证书(无有效通讯设备证书时可申领) 末级在线验证中心证书(吊销登记+其他叠代) (个人与法人证书无需设立独立的末级在线验证中心) (匿名证书的末级在线验证中心通常由匿名接入点兼任) |
|
弱证链 | 第五层 | 密钥交换 |
第六层 | 口令散列值(口令可含微变部分,根据格式或散列验证) | |
限制 | 原根特权 | 除原根证书外,所有的自认证都无效 除原根证书外,无上级的平级认证才都无效 |
类别限制 | 除涉及原根证书与在线验证中心证书外,上下级禁止跨类 在线验证中心证书没有下级,以其为上级的是其验证结果 |
|
下级限制 | 其余证书逐级认证,禁止逆级认证、禁止跨级认证 允许吊销对下级的认证,但仅限在线时有效,离线时无效 |
|
上级限制 | 除通讯设备外,各证书持有人只能有一个上级,以防冲突 通讯设备证书的个人或法人证书上级只能有一个 通讯设备证书的电信接入站或域名证书上级只能有一个 通讯设备证书的匿名证书上级一次只启用一个,其余备用 |
|
存储 | 存储策略 | 从本级上溯至原根证书全部存储 子级及以下视情存储 对方证书的存储期视缓存策略而定 同一主体(公钥)的多份证书按最新时间存储 私钥必须自行在可控设备上生成 私钥必须采用微变口令保护存储,妥善保管 严谨通过网络传输私钥(含受微变口令保护后的文件) 私钥(含受微变口令保护后的文件)仅可通过人工传递 |
查验 | 查验原则 | 任意转发节点都可以介入身份认证,实施访问控制 通讯设备可通过遍历的形式获取对方的全部上级 |
使用 | 实名同源 | 允许通讯(有相同的上级或更高上级,但匿名系列除外) |
匿名同源 | 有限通讯(溯源至匿名证书即可,不允许接入实名网络) | |
申请实名 | 通过原实名认证或代理服务器向管理机构申请新证书或续期 | |
申请匿名 | 申请匿名通讯设备证书(使用对照口令,并经管理员审核) | |
证书 | 声明 | 如姓名、身份证号、公司名、税号等备案信息 |
部分散列 | 只包括声明中的部分信息,比如隐藏身份证号、电话号码等 散列前可包括从零开始第一个使散列合规的合规调整数字段 |
|
声明散列 | ||
本级 | 级别、用途类型、长度 | |
本级公钥 | ||
以上重复 | “本级”必须相同,可任意组重复,如不重复即为单签名证书 | |
上级 | 级别、用途类型、长度 | |
上级公钥 | ||
有效期始 | ||
有效期止 | ||
自签散列 | 从部分散列至有效期的散列,不包括声明 | |
自签名 | 单签名证书使用单签名,多签名证书使用多重签名 | |
认证散列 | 从部分散列至自签名的散列,不包括声明 | |
认证签名 | ||
裁剪 | 单签名 | 用于标准原根 |
多签名 | 用于过渡期原根 | |
单签证书 | 用于普通证书 | |
多签证书 | 用于等权证书或过渡期证书 | |
吊销证书 | 用途类型为吊销,无有效期止至自签名部分 | |
在线验证 | 部分散列为原自签名,声明散列为原认证签名 上级公钥为在线验证中心公钥,无有效期止至自签名部分 |
|
证期 | 本级证期 | 与前一证书或公钥切换期 与后一证书或公钥切换期 |
上级证期 | 上级证书期长≥本级证书期长×2 | |
下级证期 | 本级证书期长不足一半时不再签发下级证书 | |
末级证期 | 签发下级证书时,应及时切换至最新证书 其他使用情况下,推荐在切换期中点附近切换最新证书 |
具体细节与选用的算法有关。建议原根选用约256位(如251位)的密钥,管理机构选用约192位(如191位)的密钥,个体选用约128位(如127位)的密钥,通讯设备选用约64位(如61位)的密钥。