可信網站認證項目實踐

梁振華

（上海憑安征信服務有限公司，上海 200335）

1 引言

近年來，隨著中國網民規模的增長及網絡購物的普及，網民的日常生活已與互聯網緊密結合在一起。而層出不窮的釣魚及詐騙網站，使網民利益嚴重受損。傳統的網站認證方案存在種種不足，急需有可靠的解決方案。

2 項目背景

近年來，隨著互聯網的迅速普及和互聯網經濟的快速發展，網絡失信行為也呈日益高發態勢，其中尤以仿冒釣魚網站危害為甚。據中國電子商務協會統計，保守估算每年因釣魚或詐騙網站給網民造成的損失超過308億元，網民損失慘重，企業品牌受損，嚴重威脅著互聯網經濟的持續增長和廣大網民的信心，社會運轉所需的信任成本大大增加。解決網絡誠信問題、實現網站實名已成為影響國計民生的重要課題。網站認證可以有效確認網站主辦者身份、核驗開辦資質、檢驗網站安全和經營誠信水平，可以成為落實網站實名制、推進網絡誠信建設的有效手段。

針對網絡失信亂象，早期也有企業、組織提供網站認證服務，主張為誠信企業貼上可信的標簽，讓用戶遠離詐騙，凈化網絡環境。主要方式為網站底部貼認證標識，如圖1所示。

這種方式主要存在問題：

首先，標識為站長自行張貼，使得證書展示的認證信息安全性無法保障；

其次，底部貼標極易被仿冒，網民很容易因為虛假標識而誤信了假冒網站，造成了更大的損失；

此外，底部貼標的形式過于“低調”，很少有用戶會看到網站的底部，容易被忽略，完全喪失了可信展示的功能。對于如何展示網站的真實身份，早期行業中還采用了互聯網軟件白名單等方式，由于存在用戶覆蓋度低、展示效果不明顯等缺陷，使得這一問題沒有得到很好的解決，業界急需能夠跨平臺、跨終端的網站認證技術體系與標準。

圖1 網站底部貼標的認證方式

3 項目技術原理

為解決網站認證的問題，我們提出借鑒國外CA/Browser Forum 機制建立國內的網站認證技術標準，在工信部相關領導協調指導下，2011年12月，認證聯盟組織13家機構作為起草單位，共同制定網站認證國家標準——《網站可信標識技術指南》并提交全國信息安全標準化技術委員會審批。2012年1月，信安標委正式立項并成立《網站可信標識技術指南》標準工作組，工作組包括憑安科技、奇虎360、百度、華為、天威誠信、北龍中網等多家互聯網企業和專家學者，并將《網站可信標識技術指南》研制工作列為信安標委2012-2013年度工作重點。

圖2 項目的體系框架

3.1 項目體系框架

本項目的體系框架由網站、標識權威機構（I A）以及可信應用三部分組成，關系如圖2所示。

a) 標識權威機構： 指具備鑒證網站真實信息能力，能夠簽發網站可信標識的機構。標識權威機構對網站進行認證，根據認證的信息為網站簽發可信標識，同時對可信標識進行管理。

b) 網站：指待認證實體，網絡服務提供者，可信標識的持有者,需要向標識權威機構申請可信標識、部署可信標識。

c) 可信應用：指支持網站可信標識的應用，包括但不限于瀏覽器、搜索引擎、即時通訊軟件等。可信應用可以對網站部署的可信標識進行驗證，并向終端用戶展示可信標識的信息。

3.2 可信標識的使用流程

認證及可信標識的使用流程。

a) 網站到標識權威機構提交相關的身份信息和資料，申請可信標識。

b) 標識權威機構對網站信息和資料審核后，使用標識權威機構私鑰對審核的信息進行簽名，將用戶資料、網站信息以及簽名合成網站特有可信標識對象，發放給網站并公開發布。

c) 網站在網絡服務器的根目錄中部署可信標識。

d) 標識權威機構對外公開發布自身的數字證書（包含公鑰信息）以及簽發的可信標識信息，可信應用應正確獲取并安裝標識權威機構的數字證書信息。

e) 需要驗證網站的認證信息時，可信應用從網站的根目錄獲取網站可信標識，使用安裝的標識權威機構數字證書驗證可信標識對象有效性，核對網站信息與可信標識中信息是否匹配。

f) 可信標識驗證通過后，可信應用將可信標識中的內容向終端用戶展示。

網站認證國家技術規范的設立，目的在于基于國家自主算法的密碼體系，統一網站認證體系架構、操作管理流程、數據格式以及展示方式，建立開放的網站認證體系和管理體系，實現網站身份多方位的認證及展示，實現各地網站的統一管理和互信互通。

3.3 可信標識對象的組成內容

可信標識對象的組成如表1所示。其中，標識信息域的組成如表2所示。

表1 可信標識對象的組成內容

3.4 可信標識對象的管理

可信標識對象的管理狀態關系如圖3所示。(1) 可信標識申請

可信標識申請是網站向標識權威機構提交相關證明材料，標識權威機構對提交的申請和證明材料進行有效性核對和審核的過程。

(2) 可信標識生成

可信標識生成是標識權威機構根據審核確認的網站信息，生成網站可信標識對象的過程。標識權威機構將網站實體信息以及自身信息合并后，使用S M 2 算法私鑰對信息簽名，產生可信標識對象，然后對可信標識對象進行Base64編碼后以文本文件存儲。標識權威機構的SM2私鑰是簽發可信標識的關鍵，應遵循國家密碼主管機構對密鑰的相關規定進行安全存儲和使用。

(3) 可信標識發放

可信標識發放是標識權威機構將網站可信標識文件發送給網站的過程。發送方式可采用在線下載、郵件傳輸、離線存儲設備拷貝等方式。

(4) 可信標識部署

可信標識的部署是網站收到可信標識文件后，按照約定部署到網站的過程，具體方式是以約定文件名稱（如site_trust_id.txt）部署在網站的根目錄下，可信應用可以通過HTTP方式從網站根目錄下獲取可信標識（http：//網站域名/ site_trust_id.txt）。

(5) 可信標識更改

由于網站實體內容的更改，如域名、IP或者網站所有者發生變化，則需要對原有可信標識進行更改。可信標識的更改首先進入可信標識撤銷流程，然后重新進入可信標識申請流程。

(6) 可信標識過期

表2 標識信息域的組成內容

網站可信標識對象中的終止有效期早于當前時間時，可信標識處于過期狀態，網站需要通過重新進入可信標識申請流程才能獲取新的網站可信標識。

(7) 可信標識撤銷

可信標識撤銷是標識權威機構將特定可信標識列入標識撤銷列表的過程，標識撤銷列表包含標識權威機構的簽名信息。

當出現網站實體內容更換（如域名、IP地址或者網站所有者發生變化）情況時，網站應向標識權威機構提出可信標識撤銷。

標識權威機構也可以主動撤銷網站可信標識。

(8) 可信標識發布

標識權威機構應及時對外發布可信標識信息以及標識撤銷列表信息，可信應用可以根據發布的信息驗證可信標識的有效性。

(9) 可信標識延期

當可信標識有效期結束，網站需繼續使用可信標識時，標識權威機構采用原有網站信息后重新生成可信標識，發放給網站繼續使用。

(10)可信標識對象獲取及驗證

當可信應用需要對網站進行驗證時，首先從網站根目錄下獲取網站的可信標識對象文件（http：//網站域名/ site_trust_id.txt），然后從文件中提取可信標識對象進行不少于以下步驟的驗證。

a) 判斷可信標識對象是否為合法的網站可信標識對象，即解析可信標識對象的數據內容是否符合所定義的數據格式。

b) 判斷可信標識對象是否為信任的標識權威機構簽發，即解析可信標識對象中的標識權威機構名稱是否與可信應用信任的標識權威機構名稱匹配。

c) 判斷可信標識對象數據是否被篡改，即使用信任的標識權威機構公鑰解密可信標識對象簽名域，得出簽名摘要值，對可信標識信息域進行摘要運算，將兩個摘要值進行比較，摘要值相同，則可信標識對象未被篡改，摘要值不同，表明可信標識對象被篡改。

d) 驗證可信標識對象有效期，即解析可信標識對象的起始有效期和終止有效期，與當前的時間對比，務必使當前時間處于起始有效期與終止有效期之間。

e) 驗證可信標識對象是否已經被撤銷。驗證可信標識對象是否已經被撤銷的方法有兩種。

①事先或實時獲取標識撤銷列表并解析，檢查當前可信標識對象的序列號是否在標識的撤銷列表中,如果存在，表明當前可信標識對象被撤銷，如果不存在，表明可信標識對象未被撤銷。

② 采用標識狀態查詢方式實時獲取可信標識對象的狀態，判斷可信標識對象有效還是撤銷。

f) 驗證可信標識中的信息是否與訪問的網站信息匹配。驗證信息包括但不限于域名、I P地址。

以上步驟中任何一個步驟驗證失敗，都認為驗證失敗。

4 項目試點業務模式

依托網站認證國家標準，認證聯盟成立網站可信認證專業委員會，并在工信部信息安全協調司組織下開展網站可信認證服務試點，率先對公立醫院網站進行了可信認證。

試點開啟了基于權威第三方的開放認證體系，主要通過專業的第三方認證機構對網站的域名、主辦單位身份、經營資質、網站安全等信息進行核驗，利用PKI數字簽名技術等手段形成不可篡改的認證標識，并與互聯網終端廠商合作，在瀏覽器、搜索引擎等符合用戶使用習慣且顯而易見的地方標識出網站身份，方便網民識別區分真假網站，減少網民被釣魚的幾率，有效提高網民上網安全系數，如圖4和圖5所示。

圖3 可信標識對象的管理狀態

圖4 瀏覽器展示效果

5 項目經驗效果

經過試點運行，有新疆CA、網證通、深圳C A、山西C A 等認證機構申請加入作為認證服務機構，同時有奇虎360、傲游、2345、火狐作為互聯網廠商接入認證聯盟的結果展示，整個產業的規模與影響力都得到了穩步的提升。為保障網站可信認證業務的持續健康發展，2014年起，可信網站認證業務正式開始市場化商業運作。

五年以來，在工信部的大力指導下，在認證聯盟的有效組織協調下，網站可信認證業務取得了明顯的進展，主要表現在幾個方面。

（1）認證聯盟積極拓展了合作終端規模，目前認證聯盟網站認證標識已覆蓋I E 瀏覽器、360瀏覽器、傲游瀏覽器、2345瀏覽器、360搜索等互聯網平臺,網站認證信息每日展示超過50億次，覆蓋5億網民，初步達到“一處認證，處處展示”的效果。

（2）目前，已有30余萬家網站用戶提交了認證聯盟網站可信認證申請，已為阿里巴巴、京東商城、淘寶、新浪、百度、騰訊等10萬余家網站進行了實名網站認證，形成了認證聯盟網站可信認證的品牌效應，統計數據如圖6所示。

（3）積極拓展各類增值服務：開設網站品牌保護服務攔截、打擊假冒網站；開設放心保障計劃為誠信商家提供誠信展示平臺、保障網民網上購物安全；開設搜索官網直達助力誠信企業網絡營銷，為企業帶來更多幫助。

（4）在良莠不齊的網站認證服務市場中，認證聯盟秉持嚴格、嚴肅、穩健的審核標準通過了市場的考驗，得到廣大網站的認可。

（5）經過5年的精耕細作，認證聯盟已累計認證10萬多家網站，認證結果通過多終端覆蓋5億網民，每天展示量超過50億次。認證聯盟客觀、公立、可信的品牌形象得到億萬網民的認可。

圖5 搜索引擎展示效果

圖6 認證網站統計

6 結束語

本項目借助互聯網廠商的用戶終端優勢，通過創新的網站名片展示方式，將認證信息直接推送到廣大用戶，在網民使用360瀏覽器、IE瀏覽器、2345瀏覽器、傲游瀏覽器、360搜索、360安全衛士等產品上網過程中，直接展示相應網站的認證信息，有效提升網站可信形象，幫助網民辨別網站真偽，為網民輕松解決以上網安全問題，同時有效打擊了網站仿冒、網絡釣魚等行為，強力提升了廣大網民的上網安全水平。