可信服務(wù)器證書產(chǎn) 品 白 皮 書版本：V1.0 ,目錄1. 背景 ........................................... 11.1 概述

可信服務(wù)器證書

產(chǎn) 品 白 皮 書

版本：V1.0

目錄

1. 背景 ........................................... 1

1.1 概述 ..................................... 1

1.2 互聯(lián)網(wǎng)風(fēng)險：假冒網(wǎng)站 . ..................... 1

1.3 互聯(lián)網(wǎng)風(fēng)險－非法入侵 . ..................... 2

1.4 背景 ..................................... 2

2. 什么是可信服務(wù)器證書 ........................ 3

3. 可信服務(wù)器證書解決的問題 . ......................... 3

3.1防止網(wǎng)站被假冒（身份真實性） ............... 3

3.2解決非法入侵（數(shù)據(jù)完整性、保密性） ......... 4

4. 可信服務(wù)功能詳解 . ................................. 4

4.1數(shù)據(jù)加密傳輸安全 ........................... 4

4.2強身份驗證 ................................. 4

4.3可信服務(wù)器證書的防偽簽章 ................... 5

4.4每年進(jìn)行年檢 ............................... 6

4.5全面的安全解決方案 ......................... 6

5. 可信服務(wù)器證書優(yōu)勢 . ............................... 7

5.1提升網(wǎng)站用戶對網(wǎng)站的信任度 ................. 7

5.2提升被認(rèn)證企業(yè)的知名度 ..................... 7

5.3網(wǎng)站企業(yè)不必?fù)?dān)心國際環(huán)境對網(wǎng)站可信度的影響 . 76．可信服務(wù)器證書支持的瀏覽器 . ...................... 87．可信服務(wù)器證書應(yīng)用領(lǐng)域 . .......................... 8

可信服務(wù)器證書產(chǎn)品白皮書

1. 背景

1.1 概述

隨著Internet 技術(shù)的快速發(fā)展，基于互聯(lián)網(wǎng)的Web 應(yīng)用為全球被越來越多的公司和機構(gòu)所使用。很多企業(yè)在享受電子商務(wù)、在線辦公、電子郵箱等應(yīng)用系統(tǒng)帶來的快捷便利的同時，卻又被緊隨其后的假冒網(wǎng)站、信息竊取、信息泄露等安全問題所困擾。

1.2 互聯(lián)網(wǎng)風(fēng)險：假冒網(wǎng)站

假冒網(wǎng)站又稱釣魚網(wǎng)站，指不法分子利用各種手段，包括：利用仿冒真實網(wǎng)站的URL 地址、頁面內(nèi)容、修改域名指向、利用部分網(wǎng)站服務(wù)器的漏洞在站點上注入危險的HTMLJavaScript?tiveX代碼等方式，騙取用戶有價值的隱私信息如銀行信用卡賬號、密碼及其它有價值的用戶名、密碼等敏感信息。

假冒網(wǎng)站現(xiàn)在每年以較高速度在增長，僅2010年受到假冒問題困擾的知名網(wǎng)站就包括：商業(yè)銀行、網(wǎng)易、淘寶、騰訊及奧運會官方網(wǎng)站等，假冒網(wǎng)站的出現(xiàn)，嚴(yán)重影響了在線金融服務(wù)、電子商務(wù)的有序發(fā)展，危害公眾及網(wǎng)民的利益，影響公眾應(yīng)用互聯(lián)網(wǎng)的信心，對各單位企業(yè)造成不可估量的損失。

如下圖1：山寨版“淘寶”www.taoba0.com ；真正的淘寶網(wǎng)站應(yīng)該是

www.taobao.com ；o 和0的差別很難識別。

____________________________________________________________________________________________

第1頁

可信服務(wù)器證書產(chǎn)品白皮書

圖1

假冒網(wǎng)站帶來的損失不但是表面上看到的經(jīng)濟(jì)利益，也包括無形的資產(chǎn)和誠信的缺失。

流失大量有價值用戶；

降低有價值用戶的參與熱情

對網(wǎng)站自身的品牌帶來沖擊，造成負(fù)面影響；

影響真實品牌的誠信度；

1.3 互聯(lián)網(wǎng)風(fēng)險－非法入侵

非法入侵是指非法分子利用網(wǎng)絡(luò)竊聽、掛馬等手段，獲取用戶登錄系統(tǒng)的用戶名、密碼等信息，仿冒合法人員登錄系統(tǒng)進(jìn)行非法操作及獲取有價值的信息。此類事件一般會威脅政府類網(wǎng)站、郵箱系統(tǒng)等。如下圖2所示：

圖2

非法入侵行為同樣不能忽視，將威脅到重要信息安全性(政務(wù)相關(guān)信息、企業(yè)商務(wù)信息等) 。

1.4 背景

中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC ）作為中國信息社會重要的基礎(chǔ)設(shè)施建設(shè)者、運行者和管理者，也是國內(nèi)第一家通過國際WebTrust 審計的證書簽發(fā)機構(gòu)，也是唯一具有全球信任根證書的國內(nèi)組織，將擔(dān)負(fù)起網(wǎng)站安全可信的重要使命。

____________________________________________________________________________________________

第2頁

可信服務(wù)器證書產(chǎn)品白皮書

CNNIC 在互聯(lián)網(wǎng)安全可信領(lǐng)域推出了服務(wù)中國互聯(lián)網(wǎng)企業(yè)的服務(wù)器證書系列產(chǎn)品及服務(wù)，包含可信EV 服務(wù)器證書、可信服務(wù)器證書和可信快速域名證書。本文檔僅對可信服務(wù)器證書進(jìn)行敘述和說明。

2. 什么是可信服務(wù)器證書

可信服務(wù)器證書是由CNNIC 自主研發(fā)的一款服務(wù)器證書產(chǎn)品，是國內(nèi)第一款具有自主知識產(chǎn)權(quán)且已得到全球各個瀏覽器信任的產(chǎn)品。使用該產(chǎn)品可以保障用戶與網(wǎng)站間信息加密傳輸?shù)耐瑫r，更采取了國際強身份認(rèn)證的技術(shù)及理念，即在頁面出現(xiàn)防偽“鎖”的基礎(chǔ)上，免費提供一款能夠方便網(wǎng)民識別的簽章，以進(jìn)一步提升該可信服務(wù)器證書的身份易識別這一功能。

可信快速域名證書是服務(wù)器端啟用SSL 協(xié)議的有效數(shù)字標(biāo)識，其中包含詳細(xì)的身份驗證信息，如服務(wù)器內(nèi)容附屬的身份信息、頒發(fā)證書的組織并存儲在被稱為公開密鑰的唯一的身份驗證文件中。這就意味著在服務(wù)器端與瀏覽器客戶端建立起的HTTPS 連接是安全的。

3. 可信服務(wù)器證書解決的問題

3.1防止網(wǎng)站被假冒（身份真實性）

可信服務(wù)器證書通過以下方式防止網(wǎng)站被假冒的問題：

1、 由于網(wǎng)站采用HTTPS 方式訪問，假冒網(wǎng)站至少要購買服務(wù)器證書，因而增加了其造假成本；

2、 網(wǎng)頁提供安全鎖方式，增強用戶訪問信心，確保該網(wǎng)站已經(jīng)是通過信息驗證的，且用戶點開安全鎖將看到該網(wǎng)站的具體單位信息，將會清楚該網(wǎng)站是否為假冒；

3、 另外，可信服務(wù)器證書的特色就是在安裝服務(wù)器證書的頁面為用戶提供方便驗證網(wǎng)站真?zhèn)蔚目尚啪W(wǎng)絡(luò)安全標(biāo)識，并以一個圖標(biāo)的形式出現(xiàn)，用戶點擊這個圖標(biāo)將可以連接到中國互聯(lián)網(wǎng)絡(luò)信息中心驗證服務(wù)器上，用來進(jìn)一步證實該網(wǎng)站的真?zhèn)?，而該驗證頁面采用了時間戳、水印及防偽提醒等方式防止假冒； ____________________________________________________________________________________________

第3頁

可信服務(wù)器證書產(chǎn)品白皮書

3.2解決非法入侵（數(shù)據(jù)完整性、保密性）

“可信服務(wù)器證書”提供WEB 網(wǎng)站安全的HTTPS 訪問模式，通過SSL 數(shù)據(jù)鏈路加密功能，防止用戶客戶端到WEB 服務(wù)器進(jìn)行數(shù)據(jù)交換時，遭受木馬、病毒的侵襲造成信息泄漏等安全隱患。

4. 可信服務(wù)功能詳解

4.1數(shù)據(jù)加密傳輸安全

通過頂級信息加密強度(2048位非對稱密鑰) ，保護(hù)網(wǎng)站服務(wù)器與網(wǎng)站用戶之間的數(shù)據(jù)傳輸安全，如圖3所示。

圖3

4.2強身份驗證

通過中國互聯(lián)網(wǎng)絡(luò)信息中心對申請服務(wù)器證書企業(yè)的域名、經(jīng)辦人及主管人、申請單位之間的三重吻合性驗證，全方位保障企業(yè)網(wǎng)站真實性，增強網(wǎng)民對企業(yè)網(wǎng)站的信任度，并在服務(wù)器證書的“主題”項中明確體現(xiàn)服務(wù)器證書企業(yè)的真實身份，其中包括申請單位的名稱、部門、所在城市等，如圖4所示。

____________________________________________________________________________________________

第4頁

可信服務(wù)器證書產(chǎn)品白皮書

圖4

4.3可信服務(wù)器證書的防偽簽章

針對應(yīng)用可信服務(wù)器證書的網(wǎng)站，免費提供標(biāo)有“可信網(wǎng)絡(luò)”驗證服務(wù)的簽章，該簽章采用時間戳、水印、防盜鏈等多重先進(jìn)防偽技術(shù)，更加行之有效的讓網(wǎng)站用戶知道其登錄的網(wǎng)站是安全的、可信的，如圖5所示。

圖

5

____________________________________________________________________________________________

第5頁

可信服務(wù)器證書產(chǎn)品白皮書

4.4每年進(jìn)行年檢

CNNIC 充分采取對網(wǎng)民負(fù)責(zé)的態(tài)度，每年定期對可信服務(wù)器證書進(jìn)行年檢，該年檢將不需要可信服務(wù)器證書申請單位提供任何信息，而是直接通過第三方核實企業(yè)是否年檢、是否有變更或變化等。如果有變化時將會提醒用戶進(jìn)行證書的變更等操作，以保證提供給網(wǎng)民看到的信息一定是真實的，同時也使申請可信服務(wù)器證書的網(wǎng)站擁有更完善的可信服務(wù)。

4.5全面的安全解決方案

每天一次的木馬及病毒掃描功能，將在驗證頁面中體現(xiàn)出當(dāng)前的木馬掃描狀況，如果發(fā)現(xiàn)木馬或病毒，將會以郵件或短信的方式發(fā)送到管理者的郵箱或手機上，用戶此時可以登錄病毒掃描結(jié)果的平臺，查看具體的病毒所在頁面，從而降低網(wǎng)站被入侵的風(fēng)險，如圖6所示。

圖6

____________________________________________________________________________________________

第6頁

可信服務(wù)器證書產(chǎn)品白皮書

5. 可信服務(wù)器證書優(yōu)勢

5.1提升網(wǎng)站用戶對網(wǎng)站的信任度

簽章可信：可信服務(wù)器證書的特有防偽簽章，讓網(wǎng)站用戶能夠清晰的意識到該網(wǎng)站是可信的，簽章點開后的驗證信息顯示該網(wǎng)站身份已驗證和數(shù)據(jù)傳輸已加密的字樣將讓用戶更加放心。同時，地址欄的安全鎖等更讓用戶感受到網(wǎng)站是可信的。

網(wǎng)站安全可信：在驗證頁面上明確體現(xiàn)出該網(wǎng)站在某年某月某日的監(jiān)測中是否發(fā)現(xiàn)木馬，網(wǎng)站的安全性強化了網(wǎng)站用戶對網(wǎng)站的信任度；

5.2提升被認(rèn)證企業(yè)的知名度

權(quán)威機構(gòu)認(rèn)證：網(wǎng)站的可信服務(wù)器證書是經(jīng)中國互聯(lián)網(wǎng)絡(luò)信息中心認(rèn)證的，公眾對權(quán)威機構(gòu)的發(fā)布內(nèi)容是信任的。

在CNNIC 官方網(wǎng)站可以查詢該網(wǎng)站：該認(rèn)證結(jié)果可以在國家網(wǎng)絡(luò)目錄數(shù)據(jù)庫收錄信息中查詢到。

5.3網(wǎng)站企業(yè)不必?fù)?dān)心國際環(huán)境對網(wǎng)站可信度的影響

根證書全球信任的明顯優(yōu)勢：可信服務(wù)器證書是由獲得全球瀏覽器信任的

CNNIC ROOT這一根逐級進(jìn)行簽發(fā)的，因此，該證書得到了全球各個瀏覽器的信任。

國際認(rèn)可的安全技術(shù)：根據(jù)國際機構(gòu)2009年通報表示2048位的數(shù)據(jù)加密強度才是當(dāng)前能夠保證通信安全的加密位數(shù)，當(dāng)前CNNIC 即為2048位加密強度。 ____________________________________________________________________________________________

第7頁

可信服務(wù)器證書產(chǎn)品白皮書

不受國際大環(huán)境影響：CNNIC 服務(wù)器證書運維系統(tǒng)就在國內(nèi)，本地化的運維服務(wù)將保證可信服務(wù)器證書服務(wù)的穩(wěn)定性、持續(xù)性，更不會受國際環(huán)境變換的影響。

6．可信服務(wù)器證書支持的瀏覽器

Windows IE；Firefox ；世界之窗；遨游；Netscape Navigator；Google Chrome；Opera 等；

但對于主流的瀏覽器，以及間接啟用主流瀏覽器關(guān)于證書內(nèi)核的瀏覽器均

已經(jīng)預(yù)埋完畢，其中關(guān)于主流瀏覽器信任的版本如下：

IE 瀏覽器，IE7.0及以上版本

safari 瀏覽器：Mac OS X v10.5.8及以上版本。

Firefox 瀏覽器：V3.6及以上版本。

Opera 瀏覽器：V9.5及以上版本。

7．可信服務(wù)器證書應(yīng)用領(lǐng)域

在線支付、交易類系統(tǒng)

電子商務(wù)網(wǎng)站

電子郵箱

互聯(lián)網(wǎng)辦公系統(tǒng)

政務(wù)網(wǎng)站

游戲、娛樂、社會型網(wǎng)站等眾多有安全登錄及信息安全傳輸需要的網(wǎng)站。 ____________________________________________________________________________________________

第8頁