数字证书安全产品当前使用状况
目前使用的数字证书产品,基本是在作为安全产品使用。大部分只是用到了非对称算法,产生数字签名,验证签名,以保证原文信息不被篡改。
当前身份信任域问题
每个人在现实世界中,都有作为一个自然人的身份认可,例如:张三,在现实生活中大家都知道你是张三,承认你是张三的身份,只要你本人拿着“张三”的身份证,就可以去办理诸多服务。而在虚拟网络中却没有一个可以真正作为身份的象征。现在大部分网站采用的都是"userName"和"password"来标识一个用户。认为拥有当前用户名和密码的所有权,就能证明当前用户是你。而这种身份方式的流通性极差。在应用A下注册,这种身份可以得到承认,而到了应用B下,身份就无法识别了。需要重新注册,这就导致了你的身份只能在一个信任域里得到承认。
从不同角度上分析
从用户体验上来说,一个经常有互联网活动行为的自然人,就需要记得多个应用下的“用户名”和“密码”。体验十分繁琐。
从安全角度上来说,其实除了自己保管密码以外,运营商也在为你保存着。这就增加了“用户名”和“密码”泄露的风险,大部分人在不同的应用下为了方便,大都喜欢注册相同的“usrName”和“password”,这样一个网站信息泄露,就会产生连锁反映,使别的账户也不安全。例如最近的“信息泄露风波”。
从非CA运营商角度来说,信息安全大都不是运营商的主要业务。在投入上肯定少之又少自然也就能被理解了。
全域数字证书
全域数字证书架构:
在该架构下,顶级为工信部root根,颁发给各CA证书。各CA都可以给相同的自然人或企业颁发个人全域数字证书或企业全域数字证书。再下一级,各个运营商只要信任CA,并进行CRL或者OCSP校验,就可以验证证书的合法性,从而映射出该自然人,同时保证该自然人或企业的操作。
全域数字证书,首先要映射自然人或者企业。
个人全域数字证书
证书名称、L、ST、C,可以描述清楚是“谁”。加入IdType:identityNo(或officerNo);serialNumber:“身份证号”或“军官证号”。为了不泄露个人信息,“身份证号”和“军官证号”进行哈希。身份证和军官证可以作为自然人的证明凭证。这样就能将“数字证书”和现实身份证做关联绑定。由“数字证书”知道“身份证号”然后可以查到“自然人”,同时也可作为自然人的唯一ID被标识。这样就能很好的建立起一个信任链,完成网络身份和自然人的映射关系。
注明:oid:2.4.5.15目前还没有被注册,所以还无法被微软证书库支持,需要自己去解析OID。
企业全域数字证书:
一个合法企业,应该有工商营业执照号,和组织机构代码证号。加入IdType:businessNo(或orgCode);serialNumber:“工商营业执照号”(或“组织机构代码证号”),这里就不需要加密了,因为这些证件号本来就是公开的,并且可以在工商局查到。同时也可作为一家企业的唯一ID被标识
定制型CA
现在大部分CA公司的业务都是定制型CA,即给每一个项目定制一套CA系统。即使同一家CA公司在不同项目中的用户都无法做到相互流通可信。
使用全域数字证书这样映射之后,至少解决了一个CA域下,可以将不同应用的用户提供出去给别的应用,实现身份流通。如果所有的CA都支持这种标准,那么就可以实现“全域”身份体系。
解释:这里要做的不是“单点登录”,而是身份统一标识,使身份可以在不同应用下得到信任和统一。
有关实名认证
实名认证,有着现实的业务需求。很多人都担心自己的信息被泄露,所以不愿意实名认证。其实并不用那么担心,一个人从出生那一刻开始就已经被实名认证。首先是登记户口,进入公安数据系统(id5)。后来要上学申报学籍,进入教育数据库系统。再后来要工作发工资,办理银行卡,进入金融数据系统。所以实名认证并没那么可怕,并且早都被认证了。而国密对“CA”企业有着严格的要求,从物理安全上讲,要求CA机房建筑必须防火、防水、防震、防电磁辐射、防物理破坏和外人侵入等。而一些“CA”企业已经做到了“七层防护措施”。
关于信息安全转嫁问题
我国已经出台了《电子签名法》。也就是说电子签名是受到法律保护的。但还有待于改进。从某种意义上来说,每个从事互联网活动的自然人,都应该对自己的行为负责,就像在现实世界中一样。“用户名”和“密码”存在服务端,让别人来承担自己个人身份信息的保管义务,从义务和逻辑上都是不合适的。应当由个人承担对“密钥”的保管义务和法律责任。使用全域数字证书就能很好的将这种义务与责任,由运营商转嫁到个人。同时将信任安全问题转嫁给CA。互联网发展到今天,已经越来越细,运营商应当将与自己耦合度低的业务,交由更专业的组织或企业来做。
最后,欢迎从事CA行业的人员,积极讨论,提出和完善“全域数字证书”更好的建议和意见。
参考文献:http://wenku.baidu.com/view/7996841db7360b4c2e3f6460.html
特别声明:本人只在ITEYE和CSDN发布原创,该文章以CC-by-sa 3.0协议授权,该文字只要在“署名”、“相同方式”共享的条件下就可以供任何人使用。
- 大小: 44.4 KB
- 大小: 36.5 KB
- 大小: 33.7 KB
分享到:
相关推荐
详解PELCO-D、PELCO-P协议中文资料,适用于软件编程.
linux常用命令详解--命令英文全称--log文件详解--重要借鉴.pdf
### 公钥私钥加密解密、数字证书与数字签名详解 #### 一、基础知识概述 在探讨公钥私钥加密解密、数字证书以及数字签名之前,我们需要先理解几个核心概念。 **1. 密钥对:** - 在非对称加密技术中,存在两种密钥...
Linux PowerPC详解--核心篇。对于了解PowerPC的细节还是很有好处的。
SIEMENS S7-1500PLC 实现 Modbus-RTU 通信配置步骤和程序编写详解 Modbus-RTU 通信是一种常见的工业通信协议,广泛应用于工业自动化领域。SIEMENS S7-1500PLC 是一种高性能的工业控制器,可以实现 Modbus-RTU 通信...
PE结构详解12-系统篇-第十二讲-解密系列
java环境变量详解---找不到或无法加载主类
内部类详解--Java
最新“强制执行公证”详解---债务纠纷常用定稿.pdf
食品GMP详解--经典.ppt
第2节: class文件及类加载详解-01第2节: class文件及类加载详解-01第2节: class文件及类加载详解-01第2节: class文件及类加载详解-01第2节: class文件及类加载详解-01第2节: class文件及类加载详解-01第2节: ...
**U-Boot详解** U-Boot,全称Micro Universal Boot Loader,是一款开源的嵌入式系统引导加载器,主要用于各种嵌入式设备和系统,包括单片机、SoC(System on Chip)以及嵌入式计算机系统。它在启动过程中执行初始化...
阿里技术详解图册-研发篇 阿里技术详解图册-研发篇 阿里技术详解图册-研发篇
### 数字证书详解 #### 一、数字证书概述 数字证书是互联网安全基础设施中的关键组成部分,主要用于验证在线实体的身份,并确保通信双方之间的信息安全传输。它基于公钥加密技术,通过第三方权威机构(CA,...
Tomcat与java web 开发技术详解-孙卫琴-第二版 这是271-540 Tomcat与java web 开发技术详解-孙卫琴-第二版 内容详细,清晰, javaweb必备
数学建模方法详解--三十四种常用算法.doc
### Linux中的`grep`命令参数及用法详解 `grep`是Linux系统中非常重要的文本搜索工具之一,它能够帮助用户高效地查找文件中的特定模式或字符串。`grep`不仅适用于简单的文本匹配,还能处理复杂的正则表达式,是进行...
社会统计学习题和问题详解--相关及回归分析实施报告.doc
java快速入门教程详解--快速下载地址0 这里和大家分享一个不错的快速JAVA入门教程的下载地址。