[发明专利]基于域名系统技术的网站可信标识安装及识别方法

说明书

技术领域

本发明涉及网络浏览器技术领域，尤其涉及一种基于DNS(Domain NameSystem，域名系统)技术的网站可信标识安装及识别方法。

背景技术

根据互联网发展研究报告，从2009年下半年开始电子商务快速发展。数据显示2010年上半年的网络购物用户增长了4千万，用户数增长得非常快，表现出电子商务市场的巨大潜力。但是与电子商务蓬勃发展相对应的是广大网民对网络交易信任度不高，网络钓鱼网络欺诈等诚信问题越来越严重。《2009年中国网民网络信息安全状况调查报告》显示，2009年有超过九成网民遇到过网络钓鱼，在遭遇过网络钓鱼事件的网民中，4500万网民蒙受了经济损失，占网民总数11.9％。网络钓鱼给网民造成的损失已达76亿元。针对电子商务用户的调查发现，网民对网站信息的不信任使进入实质性的交易环节的用户只有最初的1％，这对电子商务发展来讲是一个非常重要的瓶颈。

为了避免上述事件的发生，一些公司推出了不同的信息验证系统，通过向使用者展示网站相关企业的工商信息、域名信息等，帮助用户识别网站或相关企业的真伪。国外主要是verisign发布的verisign trust seal，国内类似的有可信网站验证、itrust、信用网站认证等。

网站验证服务在验证网站身份和可信性后，通常需要给网站增加可信标识，来标记网站可信认证情况。这就涉及到网站可信标识的安装和标记。目前网站可信标识主要有3种安装方法，第一种、页面图标安装方法；第二种、信息文件安装方法；第三种、服务器证书安装方法。

1、对于第一种页面图标安装方法来说：

该方案的缺点是客户端每次刷新可信标识时，都需要到服务器端动态获取代码和标识，需要额外的网络连接，会影响可信标识在被验证网站页面的打开速度。对有一定页面打开速度要求的网站和非常严格安全性要求的网站，可能限制这种额外的访问行为。另外因为服务器端的压力是所有安装可信标识网站访问量的总和，所以该方案对服务器端压力非常大。

2、对于第二种信息文件安装方法来说：

是一个基于PKI(Public Key Infrastructure，公钥基础设施)体系的可信标识安装方案。该方案原理是：

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名

1)通过验证机构的数字证书私钥对被验证网站的基本信息：网址、IP地址、网站名称、企业信息等进行签名；

2)将被验证网站的基本信息、签名信息共同保存在一个文件中，上传到被验证网站根目录特定位置。

3)客户端在访问被验证网站时，到网站根目录特定位置获取签名文件。利用客户端内置的公钥对签名信息进行校验，如果通过签名校验，证明网站信息文件是真实的，则浏览器解析网站信息文件中包含的网站基本信息。

4)客户端根据网站基本信息中的网址、IP地址和访问站点的网址、IP地址进行比对，如果信息匹配，则在客户端地址栏显示网站可信标识。否则不会显示。

该方案的缺点是无法解决动态IP或CDN情况，也无法动态改变网站的验证情况。大型网站基本都采用了CDN加速或在世界范围内有多个节点，IP地址是不固定的，将IP地址放在网站信息文件中，会导致CDN的网站无法通过客户端验证。第二个缺点是如果被验证网站因为挂马或其他原因被取缔，由于验证文件保存在网站根目录，所以客户端仍然会认为网站是可信的，会显示可信标识。

3、对于第三种服务器证书安装方法来说：

服务器证书是基于PKI体系，由国际公认的CA机构在确认了网站身份后签发的数字证书。该证书文件需要装载网站web服务器的应用服务器中，并在应用服务器中进行配置。

其缺点是：1)服务器证书中验证的内容比较简单，不能增加企业信息、工商信息等自定义内容。2)服务器证书在现阶段还不能解决虚拟主机网站安装的问题。国内大部分中小企业网站都是使用虚机提供对外服务的，所以应用性不好。3)服务器证书无法在使用CDN加速的大中型网站使用。因为CDN服务的原理和服务器证书的安全性要求，决定了CDN无法提供https的加速服务。4)使用服务器证书对仅有网站身份验证需求，没有数据传输加密需求的网站来说，增加额外的传输加密功能会给服务器带来很大的负载，增加网站运营成本。5)服务器证书按照有一定的技术门槛，对于普通企业网站管理员安装过程比较复杂，需要配置web服务器，安装过程中对web服务有一定影响。

发明内容