书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３５２８７ — ２０１７ 信息安全技术 　 网站可信标识技术指南 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犌狌犻犱犲犾犻狀犲狊狅犳狋狉狌狊狋犲犱犻犱犲狀狋犻狋狔狋犲犮犺狀狅犾狅犵狔犳狅狉狑犲犫狊犻狋犲 ２０１７  １２  ２９ 发布 ２０１８  ０７  ０１ 实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 １ …………………………………………………………………………………………………… ５ 　 网站可信标识体系框架 ２ ………………………………………………………………………………… ６ 　 网站可信标识对象 ２ ……………………………………………………………………………………… 　 ６．１ 　 概述 ２ ………………………………………………………………………………………………… 　 ６．２ 　 可信标识对象逻辑组成 ３ …………………………………………………………………………… ７ 　 可信标识对象管理 ４ ……………………………………………………………………………………… 　 ７．１ 　 可信标识对象管理状态图 ４ ………………………………………………………………………… 　 ７．２ 　 可信标识申请 ５ ……………………………………………………………………………………… 　 ７．３ 　 可信标识生成 ５ ……………………………………………………………………………………… 　 ７．４ 　 可信标识发放 ５ ……………………………………………………………………………………… 　 ７．５ 　 可信标识部署 ５ ……………………………………………………………………………………… 　 ７．６ 　 可信标识更改 ５ ……………………………………………………………………………………… 　 ７．７ 　 可信标识过期 ５ ……………………………………………………………………………………… 　 ７．８ 　 可信标识撤销 ６ ……………………………………………………………………………………… 　 ７．９ 　 可信标识发布 ６ ……………………………………………………………………………………… 　 ７．１０ 　 可信标识延期 ６ ……………………………………………………………………………………… ８ 　 可信标识对象获取及验证 ６ ……………………………………………………………………………… ９ 　 数据格式与接口 ６ ………………………………………………………………………………………… 　 ９．１ 　 可信标识对象数据格式 ６ …………………………………………………………………………… 　 ９．２ 　 标识撤销列表数据格式 １２ …………………………………………………………………………… 　 ９．３ 　 信息发布 １６ …………………………………………………………………………………………… 　 ９．４ 　 标识状态实时查询 １７ ………………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 可信标识示例 １８ …………………………………………………………………… 参考文献 ２０ …………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３５２８７ — ２０１７ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准主要起草单位 ： 上海格尔软件股份有限公司 、 上海凭安网络科技有限公司 、 北京奇虎科技有限公司 、 腾讯科技 （ 北京 ） 有限公司 、 西安西电捷通无线网络通信股份有限公司 （ 无线网络安全技术国家工程实验室 ）、 北京天威诚信电子商务服务有限公司 、 上海市数字证书认证中心有限公司 、 中金金融认证中心有限公司 、 北京数字认证股份有限公司 、 北龙中网 （ 北京 ） 科技有限责任公司 、 上海交通大学 、 四川大学 、 北京金山安全软件有限公司 。 本标准主要起草人 ： 杨茂江 、 韩洪慧 、 任伟 、 石晓虹 、 叶枫 、 徐骥 、 黄振海 、 杜志强 、 胡亚楠 、 郝萱 、 崔久强 、 赵宇 、 付大鹏 、 高宁 、 范磊 、 陈兴蜀 、 王海舟 、 张志和 、 陶思男 。 Ⅲ 犌犅 ／ 犜 ３５２８７ — ２０１７ 引 　　 言 　　 随着互联网快速发展 ， 信息化已经深入社会的各个领域 ， 并且发挥愈来愈重要的作用 ， 同时安全问题对互联网行业的威胁也越来越大 ， 其中假冒和钓鱼网站的危害尤为严重 ， 如何保证网站身份真实性 ， 有效抵制假冒 、 钓鱼网站已经成为国家信息系统安全建设急需解决的重要问题 。 本标准定义了一种基于我国自主密码算法 、 可以承载网站真实信息的可信标识体系框架 ， 并对可信标识对象 、 可信标识对象管理 、 可信标识对象获取与验证 、 数据格式与接口等内容进行了规范 ， 旨在推动基于国家自主密码算法的互联网信任体系的建立 。 网站可信标识以自主密码技术为基础 ， 以开放和可扩展的方式建立全新的网站认证体系和管理体系 。 Ⅳ 犌犅 ／ 犜 ３５２８７ — ２０１７ 信息安全技术 　 网站可信标识技术指南 １ 　 范围 本标准规定了用于识别网站真实信息的可信标识体系框架 ， 并对可信标识对象 、 可信标识对象管理 、 可信标识对象获取与验证 、 数据格式与接口等内容进行了规范 。 本标准适用于可信标识的管理系统 、 可信标识验证工具等系统的开发 、 实现和测评 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１６２６２ （ 所有部分 ） 　 信息技术 　 抽象语法记法一 （ ＡＳＮ．１ ） ＧＢ ／ Ｔ１６２６４．８ — ２００５ 　 信息技术 　 开放系统互连 　 目录 　 第 ８ 部分 ： 公钥和属性证书框架 ＧＢ１７８５９ — １９９９ 　 计算机信息系统 　 安全保护等级划分准则 ＧＢ ／ Ｔ１８３３６ （ 所有部分 ） 　 信息技术 　 安全技术 　 信息技术安全评估准则 ＧＢ ／ Ｔ１９７１３ — ２００５ 　 信息技术 　 安全技术 　 公钥基础设施 　 在线证书状态协议 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＭ ／ Ｔ０００３ （ 所有部分 ） 　 ＳＭ２ 椭圆曲线公钥密码算法 ＧＭ ／ Ｔ０００４ — ２０１２ 　 ＳＭ３ 密码杂凑算法 ＲＦＣ１７７７ 　 ＬＤＡＰ 轻量级目录访问协议 （ Ｌｉｇｈｔｗｅｉｇｈｔｄｉｒｅｃｔｏｒｙａｃｃｅｓｓｐｒｏｔｏｃｏｌ ） ３ 　 术语和定义 ＧＢ１７８５９ — １９９９ 、 ＧＢ ／ Ｔ１８３３６ 和 ＧＢ ／ Ｔ２５０６９ — ２０１０ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 网站可信标识 　 狑犲犫狊犻狋犲狋狉狌狊狋犲犱犻犱犲狀狋犻狋狔 具有唯一性 、 防伪造及可鉴别 ， 用于描述网站真实信息的一段数据 ， 简称可信标识 。 ３ ． ２ 　 标识权威机构 　 犻犱犲狀狋犻狋狔犪狌狋犺狅狉犻狋狔 负责网站可信标识整个生命周期 （ 注册申请 、 签发 、 发布 、 撤销等 ） 管理的机构 。 ３ ． ３ 　 可信应用 　 狋狉狌狊狋犲犱犪狆狆犾犻犮犪狋犻狅狀 支持网站可信标识验证及展示的应用 ， 包括浏览器 、 搜索引擎 、 即时通讯软件等 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＩＡ ： 标识权威机构 （ ＩｄｅｎｔｉｔｙＡｕｔｈｏｒｉｔｙ ） ＩＲＬ ： 标识撤销列表 （ ＩｄｅｎｔｉｔｙＲｅｖｏｃａｔｉｏｎＬｉｓｔ ） ＨＴＴＰ ： 超文本传输协议 （ ＨｙｐｅｒｔｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） １ 犌犅 ／ 犜 ３５２８７ — ２０１７ ５ 　 网站可信标识体系框架 网站可信标识体系框架由网站 、 标识权威机构 （ ＩＡ ） 以及可信应用三部分组成 ， 其关系如图 １ 所示 。 图 １ 　 网站可信标识体系框架 网站可信标识体系框架包括 ： ａ ） 　 标识权威机构 （ ＩＡ ）： 指具备鉴证网站真实信息能力 ， 能够签发网站可信标识的机构 。 标识权威机构对网站进行认证 ， 根据认证的信息为网站签发可信标识 ， 同时对可信标识进行管理 。 ｂ ） 网站 ： 指待认证实体 ， 网络服务提供者 ， 可信标识的持有者 ， 需要向标识权威机构申请可信标识 、 部署可信标识 。 ｃ ） 可信应用 ： 指支持网站可信标识的应用 ， 包括但不限于浏览器 、 搜索引擎 、 即时通