全域数字证书详介

全域数字证书概论： 
    线下有身份证做作为公民的身份标识，线上可以推行一种网络身份证。目前比较安全可行的数字证书安全产品，以非对称加密算法为基础。一个私钥加密，一个公钥解密。有效的提高了安全性。使用数字证书作为载体，可以对内容进行一些设计。描述清楚一个人的身份。 　　 
    全域数字证书，是通过数字证书载体，将网络虚拟身份与现实中的自然人实现映射。

 

全域数字证书架构图解：



     在该架构下，顶级为工信部root根，颁发给个CA证书。各CA都可以给相同的自然人或企业颁发个人全域数字证书或企业全域数字证书。再下一级，各个运营商只要信任CA，并进行CRL或者OCSP校验，就可以验证证书的合法性，从而映射出该自然人，同时保证该自然人或企业的操作。

个人全域数字证书：



     证书名称、L、ST、C，可以描述清楚是“谁”。加入IdType：identityNo（或officerNo）；serialNumber：“身份证号”或“军官证号”。为了不泄露个人信息，“身份证号”和“军官证号”进行哈希。身份证和军官证可以作为自然人的证明凭证。这样就能将“数字证书”和现实身份证做关联绑定。由“数字证书”知道“身份证号”然后可以查到“自然人”。这样就能很好的建立起一个信任链，完成网络身份和自然人的映射关系。


企业全域数字证书：


     一个合法企业，应该有工商营业执照号，和组织机构代码证号。加入IdType：businessNo（或orgCode）；serialNumber：“工商营业执照号”（或“组织机构代码证号”），这里就不需要加密了，因为这些证件号本来就是公开的，并且可以在工商局查到。 　　通过以上两种全域数字证书，就很容易的将网络身份和自然人及企业完成映射。


全域数字证书的好处：
      现在的数字证书，从一定意义上说都是局域数字证书，主要原因是一个企业应用对应着一个CA，该CA无法将所颁发的数字证书提供给别的应用使用，主要因为只有当前应用下用户只能在当前应用做到可信。如果能够保证网络虚拟身份和自然人的对应关系，就可以将该用户提供到别的应用下使用。自然就起到了全域的作用。

　　全域数字证书，就是将网络虚拟身份映射到自然人。使用这样的全域数字证书，可以很清楚的知道谁什么时间做了什么事情。同时可以将密码安全问题转嫁到用户个人。由用户自己保护好自己的“身份”，承担一定的法律责任和义务。

 

对互联网行业影响：
　　这种全域数字证书可以被推行，CA公司很可能作为一种基础服务，真正扮演着互联网用户安全的角色。既然是全域，那就应该由一个或多个CA根，然后将每个CA根所发放的证书可以提供给任何一个企业使用。CA行业相处承认这种标准，就能有效的加强证书在不同域下的应用性。而国家只需要去监管这些CA根，就可以做到对数字签名的监督作用。 

      同时，各个运营商也可以更专注于自己的业务。将互联网信息安全风险转嫁到CA运营商承担。

 

特别声明：本人只在ITEYE和CSDN发布原创，该文章以CC-by-sa  3.0协议授权，该文字只要在“署名”、“相同方式”共享的条件下就可以供任何人使用。

可以把操作说的再具体一点，比如身份认证，用户注册等。。。

这只是我所说的理论，下一步，我会继续发帖，及更新我的博客。关于“全域数字证书”的应用问题，我会继续更新，请继续关注我的博客。谢谢