《信息安全技術 網站可信標識技術指南》編制說明

一、任務來源

《信息技術安全技術網站可信標識技術指南》是全國信息安全標準化技

術委員會2011年下達的信息安全國家標準制定項目，在中國電子技術標準化研

究院指導下,由上海憑安網絡科技有限公司（原牽頭單位為上海格爾軟件股份有

限公司）主要負責起草,奇虎360，金山網絡，騰訊科技，百度在線,北京天威誠

信，上海CA，河南CA，CFCA，北京CA,中國信息安全認證中心，無線網絡安全

技術國家工程實驗室，北龍中網，四川大學計算機學院網絡與可信計算研究所等

單位共同參與了該標準的起草工作。

二、編制原則

本標準編制過程中，考慮到該標準在整個網站可信認證體系中的定位，是

一個基礎性、技術性的標準，網站可信標識是基于第三方認證的網站可信認證體

系技術核心組件,各方都需要根據此標準進行交互,同時基于第三方認證的網站

可信認證體系也致力于通過自主算法打造具有我國特色的認證框架,因此制定此

標準考慮以下需求:

?安全性:可信標識必須唯一性，不可復制與偽造,不依賴于其它方式具有

自身可驗證。

?互操作性：可信標識是認證體系各方操作組件，必須是開放的體系，并

且數據格式都要詳細定義。

?擴展性：可信標識承載了已知的認證信息，也將承載未知的信息，因此

必須具備內容和格式的擴展性。

?可實施性：可信標識對于認證體系的各方都具備簡單、易用等特點。

基于以上需求，本標準制定時遵循以下原則：

?采用的可靠的安全體系（PKI）

?遵循國家密碼相關政策（SM2）

?充分參考已有的標準規(guī)范（ASN.1，X509，LDAP）

?支持網站部署模式的多樣性

三、主要工作過程

1.2011年3月申請標準。上海格爾軟件根據前期的工作實踐，提出向標準

的申請，編寫了標準的基本內容；

2.2011年4-11月試點。上海格爾軟件與奇虎360進行產品調試，驗證了

基于可信標識的網站認證體系的可行性；

3.2011年12月標準工作任務正式下達，上海格爾與多家互聯網廠商、認

證機構以及第三方的技術支持部門成立了標準編制組，召開該標準編制

啟動工作會議。會上，對標準編制的組織形式及任務分工進行了安排；

4.2012年2月第一次會議?！毒W站可信標識技術指南》標準組正式成立，

并通過了標準編制組章程，明確了標準制定目標、工作流程和工作計劃，

對可信框架，采用的技術以及可信內容的含義基本達成一致。根據討論

的分工對標準進行修改。

5.2012年3月第二次會議。針對修改的標準進行了討論，對網站可信的框

架進行了進一步探討，包括網站身份認證范圍，可信標識與多種認證之

間的關系，可信標識的載體問題（提出了一種利用DNStxt記錄來存儲

和獲取標識的方法），客戶端的分類，客戶端對標識的展現等問題。根據

討論的分工對標準進行修改。

6.2012年6月第三次會議。對標準內容進行討論，網站可信標識的框架和

邏輯組成基本確認，標識采用獨占模式，基本字段內容以及擴展性。下

一步計劃是數據格式的詳細定義，關于認證標識的瀏覽器、搜索引擎以

及即時消息等展示由互聯網廠商根據自己產品提出方案。

7.2012年7月，標準進展通過了專家的中期審查。

8.2012年8月，第四次會議。針對標準的數據格式定義以及展現形式進行

討論，同時討論了網站標識DNS的方案相關問題。下一步計劃是開展試

點工作，驗證標準中的相關流程。

9.2013年3月,第五次會議。針對標準中標識采用的算法約定進行了個規(guī)

范（采用SM2算法），標識的管理流程環(huán)節(jié)進行了討論和規(guī)范。

10.2013年6月，第六次會議。針對標準的文本格式進行規(guī)范和統一，標準

組成員對文件標識和使用DNS方式的認證方式進行了投票，最終采用文

件標識方式。

11.2013年7月，根據項目組各個成員的意見對標準進行修訂，形成草案。

過程中共收集成員組書面意見91條（不包含會議中提出和解決的意見）。

12.2014年7月，WG4工作組內部專家審議，提出建議十余條。

13.2015年3月，WG4工作組專家審查，通過審查，形成征求意見稿。

四、標準的主要內容

本標準定義了一種基于我國自主密碼算法的網站可信標識的體系框架，并

對網站可信對象、可信標識對象管理、可信標識對象獲取與驗證、數據格式與接

口等內容進行了規(guī)范，旨在推動基于國家自主密碼算法的互聯網信任體系的建

立。網站可信標識以自主密碼技術為基礎，采用符合中國網民上網習慣的展示方

式，以開放和可擴展的方式建立全新的網站認證體系和管理體系。

本標準適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機構、非贏利組織）。

本標準主要框架如下：

前言

引言

1范圍

2規(guī)范性引用文件

3術語和定義

4縮略語

5網站可信標識體系框架

6網站可信標識對象

6.1概述

6.2可信標識對象邏輯組成

7可信標識對象管理

7.1可信標識對象管理狀態(tài)圖

7.2可信標識申請

7.3可信標識生成

7.4可信標識發(fā)放

7.5可信標識部署

7.6可信標識更改

7.7可信標識過期

7.8可信標識撤銷

7.9可信標識發(fā)布

7.10可信標識延期

8可信標識對象獲取及驗證

9數據格式與接口

9.1可信標識對象數據格式

9.2標識撤銷列表數據格式

9.3信息發(fā)布

9.4標識狀態(tài)實時查詢

附錄A（資料性附錄）標識示例

參考文獻

五、與相關法律法規(guī)及國家有關規(guī)定、國內相關標準的關系

本標準提出了一個基于我國自主密碼算法的網站可信標識的體系框架，規(guī)

定了各子系統應遵循的技術標準，旨在推動基于國家自主算法的互聯網信任體系

的建立。本標準對于可信標識的管理系統、可信標識驗證工具等系統的開發(fā)、實

現和測評具有十分重要的參考意義。本標準引用了GM/T0003-2012《SM2橢圓曲

線公鑰密碼算法》以及GM/T0003-2012《SM3密碼雜湊算法》。網站可信標識以

自主密碼技術為基礎，符合《中華人民共和國電子簽名法》相關規(guī)范，是電子簽

名的典型應用。