我国网站可信认证的实现路径研究

【 摘 要 】 近年来，我国钓鱼网站、网络欺诈等网络安全事件层出不穷，扰乱了网络秩序，挫伤了网络用户的信心，严重阻碍网络经济的健康有序发展。本文介绍了网站可信认证相关的概念，分析了国内外网站可信认证的发展概况，针对我国当前网站可信认证所面临的问题，提出了适合我国现阶段发展情况的网站可信认证实现路径。

【 关键词 】 网站可信认证；信息安全；服务器证书；措施建议

【 中图分类号 】 O242； F830.9 【 文献标识码 】 A

1 引言

当前，互联网安全形势的日益严峻，钓鱼网站、网络欺诈等网络安全事件呈现爆发式增长。据国家互联网应急中心（CNCERT）监测，2013年1-4月份，我国境内被篡改网站数量为35558个，被植入后门的网站数量为31523个，针对境内网站的仿冒页面有12580个。截止到2013年4月份，中国反钓鱼网站联盟累计认定并处理钓鱼网站108415个。在这种形势下，鉴别和防范网络钓鱼，有效应对网络欺诈，已经迫在眉睫。

实际上，应对作为应对钓鱼网站、网络欺诈等安全问题的重要手段，包含服务证书方式在内的网站可信认证服务已经受到广泛关注。国际上服务器证书的应用已经非常广泛，全球500强企业、各大银行和电子商务网站大都使用了服务器证书，2012年4月份的统计数据显示，国际第三方服务器证书数量已经超过200万张，该数据还在不断上升。而我国在服务器证书方面发展比较落后，采用怎样的网站可信认证实现路径，是当前首要解决的问题。

2 网站可信认证概述

从本质上看，网站可信认证是一种以网站的身份真实性、可靠性和安全性等为审查对象，以评价这些内容是否符合有关准则与规范为目标而进行的鉴证服务。由于对认证信息存储、保护、展示等采取的方式不同，网站可信认证可以有多种实现模式，但大都涉及网站主体、认证机构、互联网终端厂商和审计机构四类角色。下面对当前网站可信认证主要涉及的技术、产品和角色等进行介绍。

2.1 相关技术

公钥基础设施 公钥基础设施（PKI）是集机构、系统（硬件和软件）、人员、程序、策略和协议为一体，利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。

安全套接层（SSL）协议 安全套接层（SSL）协议是美国网景公司（NetScape）于 1994年提出的一个关注互联网信息安全的信息加密传输协议，其目的是为客户端（浏览器）到服务器端之间的信息传输构建一个加密通道，此协议是与操作系统和Web服务器无关。网景公司在 SSL 协议中采用了通用的 PKI 加密技术。

2.2 产品类型

服务器证书（Server Certificates），又称SSL证书，是组成Web服务器的SSL安全功能的唯一的数字标识。通过相互信任的第三方组织获得，为用户提供验证Web站点身份的手段，并建立安全的HTTP连接。

增强验证服务器证书（Extended Validation SSL Certificate），也称作EV证书，是目前最新最可信的 SSL证书。EV SSL 标准由 CA/Browser 论坛制定，是一个全球统一的标准，要求所有证书颁发机构严格遵守此标准来颁发 EV SSL 证书。该标准意在解决目前各个数字证书颁发机构颁发SSL证书身份验证标准不统一的问题。

2.3 参与角色

网站主体 主要指政府、企业等主办的各类网站，需要依据认证机构的要求提交证明网站主体身份和属性的证明材料，并接受认证机构的审核。

认证机构 经授权或审计的第三方独立机构，负责处理各网站主体的申请，审核网站主体的各类信息，对经过审核的网站发放认证信息凭证或采用特定技术手段保存相关信息，并保证相关信息的安全性和保密性。

互联网终端厂商 经授权的浏览器、即时通讯工具等互联网终端厂商，负责根据认证机构发放的认证信息凭证或认证机构提供的认证信息查验方式验证网站信息，并在终端上展示出来。

审计机构 网站可信认证服务的规则制定者，负责相关标准的制定和维护，并依据标准对认证机构等其他参与方进行审计，对其物理设备、技术和服务能力做出要求。如WebTrust认证，是由全球两大著名注册会计师协会AICPA（美国注册会计师协会）和CICA（加拿大注册会计师协会）共同制定的安全审计标准，主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。

3 我国发展网站可信认证存在的问题

3.1 认证机构众多，缺乏公信力

网站可信认证服务已成为当前互联网安全服务的新热点。目前，多家第三方机构已经开展了不同形式的网站可信认证服务，包括由中国互联网络信息中心（CNNIC）和北龙中网联合发起的“可信网站”验证服务、中国互联网信用评价中心推出“网站信用证”服务和中国电子商务协会数字服务中心开展的“诚信网站”认证服务。除第三方机构外，搜索引擎、浏览器等互联网终端厂商也推出了自己的网站可信认证服务，例如百度联盟认证体系、360可信网站认证等。

众多认证机构的参与，加速了网站可信认证服务的全面推广，但多样化的认证服务和个性化的网站可信标识，也使得网站所有者和网民无所适从，难以选择适合自己需要的、可信的网站认证服务。调查显示，在已实施网站可信验证的网站中，10%左右的网站实施了两种（含两种）以上的网站可信认证服务。重复认证不仅造成资源浪费，而且导致具有公信力的网站可信标识缺失，影响了社会公众对网站可信认证服务的信心，制约着网站可信认证服务的进一步推广。

3.2 认证效率低下，缺乏互通性

目前，我国政府部门依据职责建立起了各领域信息基础数据库，例如公民身份信息数库、企业工商信息数据库、网站备案信息数据库、域名注册信息数据库等。在开放性的互联网环境下，这些数据库成为网站主体信息、属性信息的可靠来源，是网站可信认证的基础和信任源。

然而，由于各政府部门的分别建设和分散管理，这些基础数据库不仅互通性差，不同基础数据库的数据难以做到整合互通和资源共享，而且开放度低，各部门独立开展信息真实性查询和验证，缺乏交互审核和比对服务，难以做到业务中立。随着网站可信认证服务的不断推广和深入，认证网站数量和认证内容将急剧增加。仅依靠现有基础数据库开展网站可信认证服务， 网站整体信息真实性需要逐步的完成、部分信息需要重复验证和交叉印证，导致认证效率难以提升，无法满足网站可信认证服务进一步发展的需要。

3.3 认证市场混乱，缺乏规范性

经过大量的业务实践，各网站可信认证机构根据自身业务特点、参照国际运营惯例，从认证信息的收集、整合到认证凭证、认证标识的生成、发放和显示，逐步形成了各具特色的服务流程和技术规范。遍布全国的30万已认证网站和以及新浪、腾讯等知名网站的成功应用案例已经初步证明了相关流程和规范的有效性。

然而，网站可信认证的国家标准体系仍亟待建立。由于缺乏相关国家标准，网站和网民难以对形式多样的网站可信认证服务进行比较和选择、审计机构难以对认证机构的服务和技术水平做出正确判断、监管部门难以及时发现网站可信认证工作中的服务和技术风险，导致网站可信认证服务市场长期处于无序、自发的状态，严重制约着网站可信认证服务的进一步推广。

3.4 国际合作不足，缺乏通用性

在服务器证书方面，我国一直发展比较落后，市场规模较小。国内电子认证机构整体竞争力与国际大企业有较大差距。国际服务器证书市场基本由赛门铁克、Go Daddy和Comodo三家企业垄断，其中赛门铁克市场份额最大。这几家企业均通过了WebTrust的审计，并且是CA/Browser论坛的成员单位。赛门铁克以Equifax、Thawte、VeriSign等几个品牌同时提供服务器证书服务，整体份额超过40%。

相比之下，国内电子认证机构目前证书数量较少，并且由于费用高昂、过程繁琐等原因，只有少数几家机构通过了WebTrust审计，国内机构签发的大部分服务器证书因此未取得浏览器的信任，用户在使用时会提示不受信任信息。由于缺乏技术支撑，我国没有自主的浏览器内核产品，国内一些浏览器厂商主要依靠开源内核，在构建自主技术体系方面缺乏能力。同时，国内认证机构和浏览器厂商均没有加入国际相关行业组织，在整个服务器证书和网站可信认证领域没有话语权。

4 我国网站可信认证实现路径

由于我国当前服务器证书行业受多方钳制，短期内无法发展到国际水平，因此，我国应基于现有力量，开拓符合我国发展现状的网站可信认证实现路径。

4.1 依托电子认证服务业

网站可信认证业务与电子认证服务之间的关联性，电子认证服务机构在提供网站可信认证服务方面具有天然的优势。而且自《电子签名法》颁布以来，电子认证服务业规模不断扩大，迄今已批准32家，发放数字证书量超过1亿张，行业产值24.8亿，应用范围包括金融（网银、证券）、医疗（电子病历、远程医疗）、电子商务、电子政务（税务、工商、招投标）等各个领域，在国民经济和社会活动中承担越来越重要的保障和支撑作用，具备作为认证机构提供网站可信认证服务的能力。

4.2 联合国内互联网厂商

虽然我国各互联网终端厂商在技术实力还比不上微软、谷歌等具有国际垄断地位的厂商，但也具备了相当的技术实力和用户。如360、腾讯、百度等，在国内具有较高的市场占有率，通过与国内互联网厂商联合开展网站可信认证服务，可以充分利用其市场认可度，快速打造统一的网站可信认证品牌，整合国内认证市场。同时，基于国内相关厂商的技术能力，可以逐步形成技术升级，与国际标准对接。

4.3 建立完善的认证体系

在政府的指导下，发挥行业自律组织的作用，围绕网站可信标识的授权和使用，完善网站可信认证服务体系。建立以行业组织为审计机构，以电子认证机构为认证机构，以互联网厂商为终端厂商的认证体系，以PKI体系为技术基础，建立基于数字证书的网站可信认证服务实现机制。

在国产服务器证书不成熟的阶段，以专用数字证书为基础，建立基于数字签名的网站可信认证服务流程，并开展相关服务。在国产服务器证书可广泛应用时，积极扩展服务类型，将服务器证书纳入网站可信认证服务体系，并积极与国际接轨。以政府各类数据库的互联互通为基础，构建网站可信认证公共服务平台，推动实现认证资源和认证服务的开放共享，力争做到一次验证，全网通用，全面提升风络可信验证服务的效率。

4.4 采用市场化机制运营

依托行业组织成立第三方审计机构，充分借鉴Webtrust认证等国际安全审计标准，制定符合我国国情的网站可信认证审计标准。坚持政府引导、社会参与、市场化运作的原则，确立第三方认证服务机构的主体地位，以现有认证服务优势资源为依托，成立各方面参与的自律组织，汇聚行业力量，形成合力，通过多种形式的试点工作，打造具有公信力的网站可信标识，建立持续推进网站可信认证工作的长效机制。

5 结束语

面对日益泛滥的假冒网站、钓鱼网站，我国需要加强网站可信认证工作。本文介绍了网站可信认证的概况，分析了当前我国在推进网站可信认证工作中存在的问题，提出了适合我国现阶段发展状况的网站可信认证实现路径。

参考文献

[1] 荆继武，林锵，冯登国. PKI技术[M].北京：科学出版社，2008.

[2] Biddle R， Oorschot P.C.van， Patrick AS， Sobey J， Whalen T. Browser interfaces and extended validation SSL certificates： an empirical study[C]. In Proceedings of the 2009 ACM workshop on Cloud computing security. ACM. New York， USA. 2009.

[3] CA/Browser Forum. http：///.

[4] WebTrust. /.

[5] 邹伟强.浅谈网络购物中的网站认证机构[J]. 现代经济信息， 2012 第11期.

[6] 张春生.中国电子认证服务业发展蓝皮书[M].北京：中央文献出版社，2013.

作者简介：

王闯（1984-），男，博士，助理研究员，工业和信息化部赛迪智库信息安全研究所工作，主要从事计算机应用技术、电子认证、信息安全战略、信息安全产业等领域的研究工作。

吕尧（1984-），男，硕士，研究实习员，工业和信息化部赛迪智库信息安全研究所工作，主要从事信息安全研究。