关于互联网方面论文范文集,与我国网站可信认证的实现路径相关论文下载

本论文是一篇关于互联网方面论文下载,关于我国网站可信认证的实现路径相关毕业论文格式模板范文。免费优秀的关于互联网及数据库及信息安全方面论文范文资料,适合互联网论文写作的大学硕士及本科毕业论文开题报告范文和学术职称论文参考文献下载。

【摘 要】近年来,我国钓鱼网站、网络欺诈等网络安全事件层出不穷,扰乱了网络秩序,挫伤了网络用户的信心,严重阻碍网络经济的健康有序发展.本文介绍了网站可信认证相关的概念,分析了国内外网站可信认证的发展概况,针对我国当前网站可信认证所面临的问题,提出了适合我国现阶段发展情况的网站可信认证实现路径.

【关 键 词】网站可信认证；信息安全；服务器证书；措施建议

【中图分类号】O242；F830.9【文献标识码】A

1引言

当前,互联网安全形势的日益严峻,钓鱼网站、网络欺诈等网络安全事件呈现爆发式增长.据国家互联网应急中心（CNCERT）监测,2013年1-4月份,我国境内被篡改网站数量为35558个,被植入后门的网站数量为31523个,针对境内网站的仿冒页面有12580个.截止到2013年4月份,中国反钓鱼网站联盟累计认定并处理钓鱼网站108415个.在这种形势下,鉴别和防范网络钓鱼,有效应对网络欺诈,已经迫在眉睫.

实际上,应对作为应对钓鱼网站、网络欺诈等安全问题的重要手段,包含服务证书方式在内的网站可信认证服务已经受到广泛关注.国际上服务器证书的应用已经非常广泛,全球500强企业、各大银行和电子商务网站大都使用了服务器证书,2012年4月份的统计数据显示,国际第三方服务器证书数量已经超过200万张,该数据还在不断上升.而我国在服务器证书方面发展比较落后,采用怎样的网站可信认证实现路径,是当前首要解决的问题.

写互联网论文的注意事项
播放:35072次 评论:7908人

2网站可信认证概述

从本质上看,网站可信认证是一种以网站的身份真实性、可靠性和安全性等为审查对象,以评价这些内容是否符合有关准则与规范为目标而进行的鉴证服务.由于对认证信息存储、保护、展示等采取的方式不同,网站可信认证可以有多种实现模式,但大都涉及网站主体、认证机构、互联网终端厂商和审计机构四类角色.下面对当前网站可信认证主要涉及的技术、产品和角色等进行介绍.

2.1相关技术

公钥基础设施公钥基础设施（PKI）是集机构、系统（硬件和软件）、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施.

安全套接层（SSL）协议安全套接层（SSL）协议是美国网景公司（NetScape）于1994年提出的一个关注互联网信息安全的信息加密传输协议,其目的是为客户端（浏览器）到服务器端之间的信息传输构建一个加密通道,此协议是与操作系统和Web服务器无关.网景公司在SSL协议中采用了通用的PKI加密技术.

2.2产品类型

服务器证书（ServerCertificates）,又称SSL证书,是组成Web服务器的SSL安全功能的唯一的数字标识.通过相互信任的第三方组织获得,为用户提供验证Web站点身份的手段,并建立安全的HTTP连接.

增强验证服务器证书（ExtendedValidationSSLCertificate）,也称作EV证书,是目前最新最可信的SSL证书.EVSSL标准由CA/Browser论坛制定,是一个全球统一的标准,要求所有证书颁发机构严格遵守此标准来颁发EVSSL证书.该标准意在解决目前各个数字证书颁发机构颁发SSL证书身份验证标准不统一的问题.

2.3参与角色

网站主体主要指政府、企业等主办的各类网站,需要依据认证机构的要求提交证明网站主体身份和属性的证明材料,并接受认证机构的审核.

认证机构经授权或审计的第三方独立机构,负责处理各网站主体的申请,审核网站主体的各类信息,对经过审核的网站发放认证信息凭证或采用特定技术手段保存相关信息,并保证相关信息的安全性和保密性.

互联网终端厂商经授权的浏览器、即时通讯工具等互联网终端厂商,负责根据认证机构发放的认证信息凭证或认证机构提供的认证信息查验方式验证网站信息,并在终端上展示出来.

审计机构网站可信认证服务的规则制定者,负责相关标准的制定和维护,并依据标准对认证机构等其他参与方进行审计,对其物理设备、技术和服务能力做出要求.如WebTrust认证,是由全球两大著名注册会计师协会AICPA（美国注册会计师协会）和CICA（加拿大注册会计师协会）共同制定的安全审计标准,主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证.

3我国发展网站可信认证存在的问题

3.1认证机构众多,缺乏公信力

网站可信认证服务已成为当前互联网安全服务的新热点.目前,多家第三方机构已经开展了不同形式的网站可信认证服务,包括由中国互联网络信息中心（CNNIC）和北龙中网联合发起的“可信网站”验证服务、中国互联网信用评价中心推出“网站信用证”服务和中国电子商务协会数字服务中心开展的“诚信网站”认证服务.除第三方机构外,搜索引擎、浏览器等互联网终端厂商也推出了自己的网站可信认证服务,例如百度联盟认证体系、360可信网站认证等.

众多认证机构的参与,加速了网站可信认证服务的全面推广,但多样化的认证服务和个性化的网站可信标识,也使得网站所有者和网民无所适从,难以选择适合自己需要的、可信的网站认证服务.调查显示,在已实施网站可信验证的网站中,10%左右的网站实施了两种（含两种）以上的网站可信认证服务.重复认证不仅造成资源浪费,而且导致具有公信力的网站可信标识缺失,影响了社会公众对网站可信认证服务的信心,制约着网站可信认证服务的进一步推广.

3.2认证效率低下,缺乏互通性

目前,我国政府部门依据职责建立起了各领域信息基础数据库,例如公民身份信息数库、企业工商信息数据库、网站备案信息数据库、域名注册信息数据库等.在开放性的互联网环境下,这些数据库成为网站主体信息、属性信息的可靠来源,是网站可信认证的基础和信任源.然而,由于各政府部门的分别建设和分散管理,这些基础数据库不仅互通性差,不同基础数据库的数据难以做到整合互通和资源共享,而且开放度低,各部门独立开展信息真实性查询和验证,缺乏交互审核和比对服务,难以做到业务中立.随着网站可信认证服务的不断推广和深入,认证网站数量和认证内容将急剧增加.仅依靠现有基础数据库开展网站可信认证服务,网站整体信息真实性需要逐步的完成、部分信息需要重复验证和交叉印证,导致认证效率难以提升,无法满足网站可信认证服务进一步发展的需要.

3.3认证市场混乱,缺乏规范性

经过大量的业务实践,各网站可信认证机构根据自身业务特点、参照国际运营惯例,从认证信息的收集、整合到认证凭证、认证标识的生成、发放和显示,逐步形成了各具特色的服务流程和技术规范.遍布全国的30万已认证网站和以及新浪、腾讯等知名网站的成功应用案例已经初步证明了相关流程和规范的有效性.

然而,网站可信认证的国家标准体系仍亟待建立.由于缺乏相关国家标准,网站和网民难以对形式多样的网站可信认证服务进行比较和选择、审计机构难以对认证机构的服务和技术水平做出正确判断、监管部门难以及时发现网站可信认证工作中的服务和技术风险,导致网站可信认证服务市场长期处于无序、自发的状态,严重制约着网站可信认证服务的进一步推广.

3.4国际合作不足,缺乏通用性

在服务器证书方面,我国一直发展比较落后,市场规模较小.国内电子认证机构整体竞争力与国际大企业有较大差距.国际服务器证书市场基本由赛门铁克、GoDaddy和Comodo三家企业垄断,其中赛门铁克市场份额最大.这几家企业均通过了WebTrust的审计,并且是CA/Browser论坛的成员单位.赛门铁克以Equifax、Thawte、VeriSign等几个品牌同时提供服务器证书服务,整体份额超过40%.

相比之下,国内电子认证机构目前证书数量较少,并且由于费用高昂、过程繁琐等原因,只有少数几家机构通过了WebTrust审计,国内机构签发的大部分服务器证书因此未取得浏览器的信任,用户在使用时会提示不受信任信息.由于缺乏技术支撑,我国没有自主的浏览器内核产品,国内一些浏览器厂商主要依靠开源内核,在构建自主技术体系方面缺乏能力.同时,国内认证机构和浏览器厂商均没有加入国际相关行业组织,在整个服务器证书和网站可信认证领域没有话语权.

4我国网站可信认证实现路径

由于我国当前服务器证书行业受多方钳制,短期内无法发展到国际水平,因此,我国应