我国网站可信认证的实现路径研究.docVIP

我国网站可信认证的实现路径研究 　　【 摘 要 】 近年来，我国钓鱼网站、网络欺诈等网络安全事件层出不穷，扰乱了网络秩序，挫伤了网络用户的信心，严重阻碍网络经济的健康有序发展。本文介绍了网站可信认证相关的概念，分析了国内外网站可信认证的发展概况，针对我国当前网站可信认证所面临的问题，提出了适合我国现阶段发展情况的网站可信认证实现路径。 　　【 关键词 】 网站可信认证；信息安全；服务器证书；措施建议 　　【 中图分类号 】 O242； F830.9 【 文献标识码 】 A 　　1 引言 　　当前，互联网安全形势的日益严峻，钓鱼网站、网络欺诈等网络安全事件呈现爆发式增长。据国家互联网应急中心（CNCERT）监测，2013年1-4月份，我国境内被篡改网站数量为35558个，被植入后门的网站数量为31523个，针对境内网站的仿冒页面有12580个。截止到2013年4月份，中国反钓鱼网站联盟累计认定并处理钓鱼网站108415个。在这种形势下，鉴别和防范网络钓鱼，有效应对网络欺诈，已经迫在眉睫。 　　实际上，应对作为应对钓鱼网站、网络欺诈等安全问题的重要手段，包含服务证书方式在内的网站可信认证服务已经受到广泛关注。国际上服务器证书的应用已经非常广泛，全球500强企业、各大银行和电子商务网站大都使用了服务器证书，2012年4月份的统计数据显示，国际第三方服务器证书数量已经超过200万张，该数据还在不断上升。而我国在服务器证书方面发展比较落后，采用怎样的网站可信认证实现路径，是当前首要解决的问题。 　　2 网站可信认证概述 　　从本质上看，网站可信认证是一种以网站的身份真实性、可靠性和安全性等为审查对象，以评价这些内容是否符合有关准则与规范为目标而进行的鉴证服务。由于对认证信息存储、保护、展示等采取的方式不同，网站可信认证可以有多种实现模式，但大都涉及网站主体、认证机构、互联网终端厂商和审计机构四类角色。下面对当前网站可信认证主要涉及的技术、产品和角色等进行介绍。 　　2.1 相关技术 　　公钥基础设施 公钥基础设施（PKI）是集机构、系统（硬件和软件）、人员、程序、策略和协议为一体，利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。 　　安全套接层（SSL）协议 安全套接层（SSL）协议是美国网景公司（NetScape）于 1994年提出的一个关注互联网信息安全的信息加密传输协议，其目的是为客户端（浏览器）到服务器端之间的信息传输构建一个加密通道，此协议是与操作系统和Web服务器无关。网景公司在 SSL 协议中采用了通用的 PKI 加密技术。 　　2.2 产品类型 　　服务器证书（Server Certificates），又称SSL证书，是组成Web服务器的SSL安全功能的唯一的数字标识。通过相互信任的第三方组织获得，为用户提供验证Web站点身份的手段，并建立安全的HTTP连接。 　　增强验证服务器证书（Extended Validation SSL Certificate），也称作EV证书，是目前最新最可信的 SSL证书。EV SSL 标准由 CA/Browser 论坛制定，是一个全球统一的标准，要求所有证书颁发机构严格遵守此标准来颁发 EV SSL 证书。该标准意在解决目前各个数字证书颁发机构颁发SSL证书身份验证标准不统一的问题。 　　2.3 参与角色 　　网站主体 主要指政府、企业等主办的各类网站，需要依据认证机构的要求提交证明网站主体身份和属性的证明材料，并接受认证机构的审核。 　　认证机构 经授权或审计的第三方独立机构，负责处理各网站主体的申请，审核网站主体的各类信息，对经过审核的网站发放认证信息凭证或采用特定技术手段保存相关信息，并保证相关信息的安全性和保密性。 　　互联网终端厂商 经授权的浏览器、即时通讯工具等互联网终端厂商，负责根据认证机构发放的认证信息凭证或认证机构提供的认证信息查验方式验证网站信息，并在终端上展示出来。 　　审计机构 网站可信认证服务的规则制定者，负责相关标准的制定和维护，并依据标准对认证机构等其他参与方进行审计，对其物理设备、技术和服务能力做出要求。如WebTrust认证，是由全球两大著名注册会计师协会AICPA（美国注册会计师协会）和CICA（加拿大注册会计师协会）共同制定的安全审计标准，主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。 　　3 我国发展网站可信认证存在的问题 　　3.1 认证机构众多，缺乏公信力 　　网站可信认证服务已成为当前互联网安全服务的新热点。目前，多家第三方机构已经开展了不同形式的网站可信认证服务，包括由中国互联网络信息中心（CNNIC）和北龙中网联合发起的“