《信息安全技术 网站可信标识技术指南》编制说明

一、任务来源

《信息技术安全技术网站可信标识技术指南》是全国信息安全标准化技

术委员会2011年下达的信息安全国家标准制定项目，在中国电子技术标准化研

究院指导下,由上海凭安网络科技有限公司（原牵头单位为上海格尔软件股份有

限公司）主要负责起草,奇虎360，金山网络，腾讯科技，百度在线,北京天威诚

信，上海CA，河南CA，CFCA，北京CA,中国信息安全认证中心，无线网络安全

技术国家工程实验室，北龙中网，四川大学计算机学院网络与可信计算研究所等

单位共同参与了该标准的起草工作。

二、编制原则

本标准编制过程中，考虑到该标准在整个网站可信认证体系中的定位，是

一个基础性、技术性的标准，网站可信标识是基于第三方认证的网站可信认证体

系技术核心组件,各方都需要根据此标准进行交互,同时基于第三方认证的网站

可信认证体系也致力于通过自主算法打造具有我国特色的认证框架,因此制定此

标准考虑以下需求:

•安全性:可信标识必须唯一性，不可复制与伪造,不依赖于其它方式具有

自身可验证。

•互操作性：可信标识是认证体系各方操作组件，必须是开放的体系，并

且数据格式都要详细定义。

•扩展性：可信标识承载了已知的认证信息，也将承载未知的信息，因此

必须具备内容和格式的扩展性。

•可实施性：可信标识对于认证体系的各方都具备简单、易用等特点。

基于以上需求，本标准制定时遵循以下原则：

•采用的可靠的安全体系（PKI）

•遵循国家密码相关政策（SM2）

•充分参考已有的标准规范（ASN.1，X509，LDAP）

•支持网站部署模式的多样性

三、主要工作过程

1.2011年3月申请标准。上海格尔软件根据前期的工作实践，提出向标准

的申请，编写了标准的基本内容；

2.2011年4-11月试点。上海格尔软件与奇虎360进行产品调试，验证了

基于可信标识的网站认证体系的可行性；

3.2011年12月标准工作任务正式下达，上海格尔与多家互联网厂商、认

证机构以及第三方的技术支持部门成立了标准编制组，召开该标准编制

启动工作会议。会上，对标准编制的组织形式及任务分工进行了安排；

4.2012年2月第一次会议。《网站可信标识技术指南》标准组正式成立，

并通过了标准编制组章程，明确了标准制定目标、工作流程和工作计划，

对可信框架，采用的技术以及可信内容的含义基本达成一致。根据讨论

的分工对标准进行修改。

5.2012年3月第二次会议。针对修改的标准进行了讨论，对网站可信的框

架进行了进一步探讨，包括网站身份认证范围，可信标识与多种认证之

间的关系，可信标识的载体问题（提出了一种利用DNStxt记录来存储

和获取标识的方法），客户端的分类，客户端对标识的展现等问题。根据

讨论的分工对标准进行修改。

6.2012年6月第三次会议。对标准内容进行讨论，网站可信标识的框架和

逻辑组成基本确认，标识采用独占模式，基本字段内容以及扩展性。下

一步计划是数据格式的详细定义，关于认证标识的浏览器、搜索引擎以

及即时消息等展示由互联网厂商根据自己产品提出方案。

7.2012年7月，标准进展通过了专家的中期审查。

8.2012年8月，第四次会议。针对标准的数据格式定义以及展现形式进行

讨论，同时讨论了网站标识DNS的方案相关问题。下一步计划是开展试

点工作，验证标准中的相关流程。

9.2013年3月,第五次会议。针对标准中标识采用的算法约定进行了个规

范（采用SM2算法），标识的管理流程环节进行了讨论和规范。

10.2013年6月，第六次会议。针对标准的文本格式进行规范和统一，标准

组成员对文件标识和使用DNS方式的认证方式进行了投票，最终采用文

件标识方式。

11.2013年7月，根据项目组各个成员的意见对标准进行修订，形成草案。

过程中共收集成员组书面意见91条（不包含会议中提出和解决的意见）。

12.2014年7月，WG4工作组内部专家审议，提出建议十余条。

13.2015年3月，WG4工作组专家审查，通过审查，形成征求意见稿。

四、标准的主要内容

本标准定义了一种基于我国自主密码算法的网站可信标识的体系框架，并

对网站可信对象、可信标识对象管理、可信标识对象获取与验证、数据格式与接

口等内容进行了规范，旨在推动基于国家自主密码算法的互联网信任体系的建

立。网站可信标识以自主密码技术为基础，采用符合中国网民上网习惯的展示方

式，以开放和可扩展的方式建立全新的网站认证体系和管理体系。

本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。

本标准主要框架如下：

前言

引言

1范围

2规范性引用文件

3术语和定义

4缩略语

5网站可信标识体系框架

6网站可信标识对象

6.1概述

6.2可信标识对象逻辑组成

7可信标识对象管理

7.1可信标识对象管理状态图

7.2可信标识申请

7.3可信标识生成

7.4可信标识发放

7.5可信标识部署

7.6可信标识更改

7.7可信标识过期

7.8可信标识撤销

7.9可信标识发布

7.10可信标识延期

8可信标识对象获取及验证

9数据格式与接口

9.1可信标识对象数据格式

9.2标识撤销列表数据格式

9.3信息发布

9.4标识状态实时查询

附录A（资料性附录）标识示例

参考文献

五、与相关法律法规及国家有关规定、国内相关标准的关系

本标准提出了一个基于我国自主密码算法的网站可信标识的体系框架，规

定了各子系统应遵循的技术标准，旨在推动基于国家自主算法的互联网信任体系

的建立。本标准对于可信标识的管理系统、可信标识验证工具等系统的开发、实

现和测评具有十分重要的参考意义。本标准引用了GM/T0003-2012《SM2椭圆曲

线公钥密码算法》以及GM/T0003-2012《SM3密码杂凑算法》。网站可信标识以

自主密码技术为基础，符合《中华人民共和国电子签名法》相关规范，是电子签

名的典型应用。