CN102629923B - 基于域名系统技术的网站可信标识安装及识别方法 - Google Patents
基于域名系统技术的网站可信标识安装及识别方法 Download PDFInfo
- Publication number
- CN102629923B CN102629923B CN201210080187.1A CN201210080187A CN102629923B CN 102629923 B CN102629923 B CN 102629923B CN 201210080187 A CN201210080187 A CN 201210080187A CN 102629923 B CN102629923 B CN 102629923B
- Authority
- CN
- China
- Prior art keywords
- website
- domain name
- credible
- trusted identities
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开基于域名系统技术的网站可信标识安装及识别方法,安装包括:网站管理设备将需要进行可信标识安装的网站信息和企业基本信息交给第三方网站验证机构进行可信验证;如可信验证通过,将生成的具有签名的可信标识文件给网站管理设备;网站管理设备将被验证域名的主机名部分使用散列算法转码方式生成被验证域名的可信查询域名,并由第三方网站验证机构将可信标识文件的压缩分组,将可信标识文件转换成至少1个文本字符串,添加到可信查询域名的记录中。本发明能够解决现有网站可信标识的安装问题以及无法识别DNS劫持等安全识别问题,且提供一种更加简单、更安全、更易于辨识、有更好兼容性的方法。
Description
技术领域
本发明涉及网络浏览器技术领域,尤其涉及一种基于DNS(Domain NameSystem,域名系统)技术的网站可信标识安装及识别方法。
背景技术
根据互联网发展研究报告,从2009年下半年开始电子商务快速发展。数据显示2010年上半年的网络购物用户增长了4千万,用户数增长得非常快,表现出电子商务市场的巨大潜力。但是与电子商务蓬勃发展相对应的是广大网民对网络交易信任度不高,网络钓鱼网络欺诈等诚信问题越来越严重。《2009年中国网民网络信息安全状况调查报告》显示,2009年有超过九成网民遇到过网络钓鱼,在遭遇过网络钓鱼事件的网民中,4500万网民蒙受了经济损失,占网民总数11.9%。网络钓鱼给网民造成的损失已达76亿元。针对电子商务用户的调查发现,网民对网站信息的不信任使进入实质性的交易环节的用户只有最初的1%,这对电子商务发展来讲是一个非常重要的瓶颈。
为了避免上述事件的发生,一些公司推出了不同的信息验证系统,通过向使用者展示网站相关企业的工商信息、域名信息等,帮助用户识别网站或相关企业的真伪。国外主要是verisign发布的verisign trust seal,国内类似的有可信网站验证、itrust、信用网站认证等。
网站验证服务在验证网站身份和可信性后,通常需要给网站增加可信标识,来标记网站可信认证情况。这就涉及到网站可信标识的安装和标记。目前网站可信标识主要有3种安装方法,第一种、页面图标安装方法;第二种、信息文件安装方法;第三种、服务器证书安装方法。
1、对于第一种页面图标安装方法来说:
该方案的缺点是客户端每次刷新可信标识时,都需要到服务器端动态获取代码和标识,需要额外的网络连接,会影响可信标识在被验证网站页面的打开速度。对有一定页面打开速度要求的网站和非常严格安全性要求的网站,可能限制这种额外的访问行为。另外因为服务器端的压力是所有安装可信标识网站访问量的总和,所以该方案对服务器端压力非常大。
2、对于第二种信息文件安装方法来说:
是一个基于PKI(Public Key Infrastructure,公钥基础设施)体系的可信标识安装方案。该方案原理是:
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名
1)通过验证机构的数字证书私钥对被验证网站的基本信息:网址、IP地址、网站名称、企业信息等进行签名;
2)将被验证网站的基本信息、签名信息共同保存在一个文件中,上传到被验证网站根目录特定位置。
3)客户端在访问被验证网站时,到网站根目录特定位置获取签名文件。利用客户端内置的公钥对签名信息进行校验,如果通过签名校验,证明网站信息文件是真实的,则浏览器解析网站信息文件中包含的网站基本信息。
4)客户端根据网站基本信息中的网址、IP地址和访问站点的网址、IP地址进行比对,如果信息匹配,则在客户端地址栏显示网站可信标识。否则不会显示。
该方案的缺点是无法解决动态IP或CDN情况,也无法动态改变网站的验证情况。大型网站基本都采用了CDN加速或在世界范围内有多个节点,IP地址是不固定的,将IP地址放在网站信息文件中,会导致CDN的网站无法通过客户端验证。第二个缺点是如果被验证网站因为挂马或其他原因被取缔,由于验证文件保存在网站根目录,所以客户端仍然会认为网站是可信的,会显示可信标识。
3、对于第三种服务器证书安装方法来说:
服务器证书是基于PKI体系,由国际公认的CA机构在确认了网站身份后签发的数字证书。该证书文件需要装载网站web服务器的应用服务器中,并在应用服务器中进行配置。
其缺点是:1)服务器证书中验证的内容比较简单,不能增加企业信息、工商信息等自定义内容。2)服务器证书在现阶段还不能解决虚拟主机网站安装的问题。国内大部分中小企业网站都是使用虚机提供对外服务的,所以应用性不好。3)服务器证书无法在使用CDN加速的大中型网站使用。因为CDN服务的原理和服务器证书的安全性要求,决定了CDN无法提供https的加速服务。4)使用服务器证书对仅有网站身份验证需求,没有数据传输加密需求的网站来说,增加额外的传输加密功能会给服务器带来很大的负载,增加网站运营成本。5)服务器证书按照有一定的技术门槛,对于普通企业网站管理员安装过程比较复杂,需要配置web服务器,安装过程中对web服务有一定影响。
发明内容
本发明所要解决的技术问题是提供一种基于DNS技术的网站可信标识安装及识别方法,以解决现有网站可信标识的安装问题以及无法识别DNS劫持等安全识别问题。
为解决上述技术问题,本发明提供了一种基于域名系统技术的网站可信标识安装及识别方法,其特征在于,包括:
网站管理设备将需要进行可信标识安装的网站信息和企业基本信息交给第三方网站验证机构进行可信验证;
如可信验证通过,所述第三方网站验证机构将生成的具有签名的可信标识文件给所述网站管理设备;
所述网站管理设备将被验证域名的主机名部分使用散列算法转码方式生成被验证域名的可信查询域名,并由所述第三方网站验证机构将所述可信标识文件的压缩分组,将所述可信标识文件转换成至少1个文本字符串,添加到所述可信查询域名的记录中;
客户端设备访问网站时,所述客户端设备向域名系统的域名服务器查询可信查询域名的记录中是否含有生成的被访问网站的域名的可信查询域名,如有将查询到的所有记录,按照可信标识文件转码相反的过程,将可信标识文件内容还原,对还原后的可信标识文件做验证,如验证通过则所述客户端设备显示该网站可信验证标识。
进一步地,其中,所述第三方网站验证机构提供所述可信标识文件的转码工具或由被验证域名的网站将所述可信标识文件的压缩分组。
进一步地,其中,还包括:
当所述第三方网站验证机构将被验证域名的主机名部分使用散列算法转码方式生成被验证域名的可信查询域名后,将所述生成的被验证域名的可信查询域名添加到所述第三方网站验证机构提供的公共查询域名中,然后由所述第三方网站验证机构提供所述可信标识文件的转码工具或由被验证域名的网站将所述可信标识文件的压缩分组,将所述可信标识文件转换成至少1个文本字符串,添加到所述可信查询域名的记录中。
进一步地,其中,所述散列算法转码方式为消息摘要算法或安全哈希算法的散列算法转码方式。
进一步地,其中,所述记录为域名系统的txt记录。
进一步地,其中,所述可信标识文件包括:
网站域名;站点名称;网站所属机构或所属企业名称;网站在其企业中所属部门;网站所在的市、省、国;网站所属机构的组织机构代码证号或所属企业的执照号;所属机构或企业的类别;所属机构或企业所在的市、省、国;第三方网站验证机构登记的可信编码;验证级别;网站安全状态;第三方网站验证机构信息;可信标识的状态在线查询地址;IP地址校验开关;标记客户端设备是否进行IP地址校验;DNSSEC校验开关;和/或标记客户端设备是否进行DNSSEC校验。
进一步地,其中,所述可信标识文件还包括:
网站图标、网站IP地址列表、和/或DNSSEC校验使用的DNS服务器地址列表。
进一步地,其中,所述网站域名还包括:单域名、多域名,通配符域名和/或中文域名。
进一步地,其中,所述第三方网站验证机构信息中还包括有第三方网站验证机构详细信息验证地址。
进一步地,其中,还包括:
当网站信息变化或证书到期前以及该被访问网站的IP地址变化时,所述网站管理设备需要到所述第三方网站验证机构更新验证资料,进行重新验证。在通过验证后,所述第三方网站验证机构会给所述网站管理设备重新签发新的可信标识文件,然后网站管理设备将新的可信标识文件更新到该被访问网站的域名系统的记录中,同时所述第三方网站验证机构也将新的可信标识文件更新到其公共查询域名中。
与现有技术相比,本发明所述的一种基于DNS技术的网站可信标识安装及识别方法,能够解决现有网站可信标识的安装问题以及无法识别DNS劫持等安全识别问题,且提供一种更加简单、更安全、更易于辨识、有更好兼容性的方法。
附图说明
图1为本发明实施例所述的一种基于DNS技术的网站可信标识安装及识别方法的步骤流程图。
图2为本发明实施例所述的一种基于DNS技术的网站可信标识安装及识别方法中步骤2011至步骤2014的具体执行流程图。
图3为本发明实施例所述的一种基于DNS技术的网站可信标识安装及识别方法中步骤2011至步骤2014的另一种具体执行流程图。
图4为本发明实施例所述的一种基于DNS技术的网站可信标识安装及识别方法中步骤2013中步骤E)和F)的具体执行流程图。
图5为本发明实施例所述的一种基于DNS技术的网站可信标识安装及识别方法执行时各装置之间的结构框图。
具体实施方式
以下结合附图对本发明作进一步详细说明,但不作为对本发明的限定。
如图1所示,为本发明实施例所述的一种基于DNS技术的网站可信标识安装及识别方法,包括:
步骤101,网站管理设备将需要进行可信标识安装的网站信息和企业基本信息交给第三方网站验证机构,进行网站的可信验证,通过可信验证后进行下一步。
步骤102,如可信验证通过,所述第三方网站验证机构直接生成具有签名的所述可信标识文件给所述网站管理设备。
其中,所述可信标识文件,包括:网站域名(包括单域名、多域名,通配符域名或中文域名等);站点名称;网站所属机构或所属企业名称;网站在其企业中所属部门;网站所在的市、省、国;网站所属机构的组织机构代码证号或所属企业的执照号;所属机构或企业的类别;所属机构或企业所在的市、省、国;第三方网站验证机构登记的可信编码;验证级别;网站安全状态,第三方网站验证机构信息(其中包括Verify Point(第三方网站验证机构详细信息验证地址));可信标识的状态在线查询地址;IP地址校验开关,标记客户端设备是否进行IP地址校验;DNSSEC(Domain Name System Security Extensions,DNS安全扩展)校验开关,标记客户端是否进行DNSSEC校验。
进一步还可以包括:网站图标(可选),用户可自定义在客户端可信标识上展示的网站缩略图标;网站IP地址列表(可选),如果用户网站为静态IP,可将当IP地址校验开关打开,并添加信任的IP地址列表,其目的是确保网站不被DNS劫持;DNSSEC校验使用的DNS服务器地址列表(可选),如果网站为CDN加速或动态IP配置,无法使用静态IP做DNS劫持校验,并且网站配置了DNSSEC,则可打开DNSSEC校验开关,并设置DNSSEC校验使用的DNS服务器地址列表。
步骤103,所述网站管理设备将被验证域名的主机名部分使用散列算法转码方式生成被验证域名的可信查询域名,并由所述第三方网站验证机构提供所述可信标识文件的转码工具或由被验证域名的网站将所述可信标识文件的压缩分组(也可以由用户通过第三方网站验证机构的公开文档自行转码分组),将所述可信标识文件转换成1至多个文本字符串,添加到所述可信查询域名的txt记录中。
举例:比如网站域名是www.abc.cn。第三方验证机构签发的可信标识文件,按照固定字节限度,压缩转码为0,1,2三个或多个文本字符串。另外需要将www转码为b35977a00ebd8086。原域名的其可信查询域名就是b35977a00ebd8086.abc.cn。
进一步举例:如上面例子中网站需要在其域名DNS记录中,将0,1,2三段文本字符串添加到b35977a00ebd8086.abc.cn的txt记录中。类似如下格式:
b35977a00ebd8086.abc.cn.599INTXT″8j VpMzzJGJsUcOhng......HRgIt6KaFRfZhfdfs″
b35977a00ebd8086.abc.cn.599INTXT″KygwtrVSgRqrEGws01......aneQNqUy5OH6gg″
b35977a00ebd8086.abc.cn.599INTXT″PYMz+ZOowMry0SNq......Uy5OH6ggfTX1QT″
其中,步骤103的另一种执行方式具体是:当所述第三方网站验证机构将被验证域名的主机名部分使用散列算法转码方式生成被验证域名的可信查询域名后,将所述生成的被验证域名的可信查询域名添加到所述第三方网站验证机构提供的公共查询域名中,然后由所述第三方网站验证机构提供所述可信标识文件的转码工具或由被验证域名的网站将所述可信标识文件的压缩分组(也可以由用户通过第三方网站验证机构的公开文档自行转码分组),将所述可信标识文件转换成1至多个文本字符串,添加到所述可信查询域名的txt记录中。
举例:比如我们用来查验可信信息的公共域名是trust.cn,网站域名是www.abc.cn。生成的可信标识文件,按照固定字节限度,压缩转码为0,1,2三个文本字符串。将www.abc.cn转码为b39d883133c0dbfc。原域名的其可信查询域名就是b39d883133c0dbfc.trust.cn。然后将上面文本串添加到b39d883133c0dbfc.trust.cn的txt记录中。客户端设备在访问www.abc.cn后,将www.abc.cn转码后的可信查询域名为b39d883133c0dbfc.trust.cn,查询对应的txt记录,并把记录还原为可信描述文本,并根据指定格式解析,判断是否通过可信验证和验证是否有效。
其中,上述步骤103中所述散列算法转码方式在本实施例中主要采用md5(Message Digest Algorithm,消息摘要算法)或sha1(Secure Hash Algorithm,安全哈希算法)等散列算法转码方式。
其中,md5为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护;Sha1为适用于数字签名标准(Digital Signature Standard DSS)里面定义的数字签名算法(Digital Signature Algorithm DSA)。
本发明实施例通过上面三个步骤即可完成网站可信标识的安装过程。
上述安装不需要在网站上上传任何文件,只需网站在其DNS中增加设置即可,安装更加简单方便。
下面描述客户端设备的浏览器(本实施例采用的是客户端的浏览器,当然还可以采用其它类型比如搜索引擎等,结果也并不是只可以在浏览器展示,还可以在搜索结果展示)对网站可信标识的识别和验证过程:
步骤201,客户端设备的浏览器访问网站时,所述客户端设备向DNS域名服务器查询可信查询域名的txt记录中是否含有生成的被访问网站的域名的可信查询域名,如有将查询到的所有txt记录,按照可信标识文件转码相反的过程,将可信标识文件内容还原,对还原后的可信标识文件做验证,如验证通过则所述客户端设备显示该网站可信验证标识。
具体地,步骤201包括如下步骤(如图2和3所示):
步骤2011,客户端设备的浏览器访问网站时,所述客户端设备DNS解析后,增加一个额外的DNS查询操作,将被访问网站的域名的主机名部分使用散列算法转码,生成被访问网站的域名的可信查询域名。
其中,所述散列算法转码方式在本实施例中主要采用md5或sha1等散列算法转码方式。
举例:www.abc.cn客户端将www转码后的可信查询域名为b35977a00ebd8086.abc.cn。直接查询第三方机构的查询域名为b39d883133c0dbfc.trust.cn。客户端可根据策略优先查询网站域名的dns记录,或者优先查询第三方机构提供的记录。
步骤2012,客户端设备向DNS域名服务器查询所述可信查询域名的txt记录中是否含有生成的被访问网站的域名的可信查询域名,如果未查询到任何结果,表明该被访问网站尚未通过可信网站验证或还未在其DNS中安装可信标识,客户端设备不会显示可信标识;如果查询到,则进行下一步。
步骤2013,客户端设备将查询到的所有txt记录,按照上面所述可信标识文件转码相反的过程,将所述可信标识文件内容还原,对还原后的所述可信标识文件做验证。
进一步地,步骤2013对还原后的所述可信标识文件做验证具体步骤包括:
A.客户端设备使用所述第三方网站验证机构证书的公钥,校验该可信标识文件的签名,如果签名校验通过,则证明所述可信标识文件确实是第三方验证机构签发的,客户端设备信赖该可信标识文件;否则签名校验不通过,客户端设备停止校验;(注意:对应步骤103的另一种执行方式中,步骤A可以省略,如图3所示)。
B.客户端设备根据所述可信标识文件中的有效期,检查该可信标识文件是否有效,如当前时间在所述有效期内,则表明该所述可信标识文件有效;否则验证不通过,客户端设备停止校验;
其中,所述有效期是一个时间段,包括起始日期和过期日期。当前时间必须在这个时间段之间,才表明该标识文件有效。
C.客户端设备检查所述可信标识文件和当前被访问网站的域名是否一致。根据所述可信标识文件中的网站域名和当前被访问网站的域名做比对,如果所述可信标识文件的域名和访问域名一致,则通过校验;否则验证失败,停止后续校验。比如:当前访问的网站是www.xyz.cn,但标识文件中记录的是www.abc.cn,那么就说明标识和网站不一致,验证失败。
D.通过有效期检查后,客户端设备根据所述可信标识文件中的可信标识状态在线查询地址,检查该可信标识是否被吊销;当被访问网站因某种原因被吊销了可信标识后,客户端设备在校验此步骤时,将不会通过校验。该步骤确保了可信标识的权威性和有效性。
(如图4所示)
E.如果所述可信标识文件中设置了IP地址校验,则客户端设备需要校验当前访问网站服务器的IP地址是否在文件设置的IP地址列表段中,否则校验不通过。
F.如果所述可信标识文件中设置了DNSSEC校验,而且客户端设备在当前访问和查询上述可信查询域名的txt记录时没有使用DNSSEC查询,则需要补充做DNSSEC校验,向设定的支持DNSSEC的域名服务器做DNSSEC域名txt记录查询。
如果没有设定特定的DNSSEC域名服务器,则使用客户端设备默认的或系统默认的域名服务器查询可信标识txt记录。
如果客户端设备查询的结果不符合DNSSEC结果,则提示DNSSEC查询失败,建议配置DNSSEC。
如果DNSSEC返回的txt记录结果和上述查询返回的txt记录结果不一致,则客户端设备提示:域名可能被劫持,存在安全风险。
如果DNSSEC返回的txt记录结果一致,则通过DNSSEC校验。
步骤2014,当客户端设备在上述各步骤都通过校验后,则在客户端设备明显位置显示该被访问网站可信验证标识,并提示当前访问的网站是可信网站。
对于步骤2014来说,用户可通过点击或鼠标悬停等事件,触发客户端设备来显示该网站详细的基本信息,包括在可信标识文件中定义的:网站域名、站点名称、网站所属机构或所属企业名称、验证级别、第三方网站验证机构等信息。另外,客户端设备还可以同时提供更详细信息点击查询功能,当网民点击该功能时,客户端设备根据所述可信标识文件中的Verify Point地址和该网站可信编码,跳转到第三方网站验证机构详细信息验证系统地址查验该网站更详细的信息。
下面描述所述客户端设备对网站可信标识的更新过程。
步骤301,当网站信息变化或证书到期前以及该被访问网站的IP地址变化时,网站管理设备需要到第三方网站验证机构更新网站验证资料,进行重新验证。在通过验证后,第三方网站验证机构会给网站管理设备重新签发新的可信标识文件,然后网站管理设备将新的可信标识文件更新到该被访问网站的DNS的txt记录中,同时所述第三方网站验证机构也将新的可信标识文件更新到其公共查询域名的txt记录中。
使用本方案可以达到以下效果:
首先,本发明的方案利用DNS体系,将可信标识安装和识别与DNS域名解析过程结合起来,并利用DNSSEC、dnscurve或tsig等技术实现了对防DNS劫持、标识防伪、防盗等多种安全性需求。
其次,本发明的方案使用可信标识文件的签名方式,来解决被访问网站可信标识安装和客户端识别问题,是基于PKI体系的加密验证方式,具有很强的安全性,这确保了网站的信息文件不可被复制和篡改,满足方案安全性需求。
第三,防复制方面,客户端设备在对网站信息文件进行真实性校验之后,再根据网站域名、IP等信息进行二次校验,达到防复制验证的功能。
第四,在防DNS劫持方面,本发明的方案提供了较大的灵活性,网站管理设备可以根据自己网站的安全性要求,选择是否增加IP地址校验或DNSSEC校验两种方式。对使用了CDN加速的网站,由于其IP地址动态变化,无法使用IP地址校验方式,可以在DNS上配置DNSSEC,并在网站信息文件中增加DNSSEC验证,客户端设备在验证DNS信息时会使用DNSSEC方式进行DNS查询,防止客户端被DNS劫持。对政府类网站,使用了静态固定IP地址,则直接在网站信息文件中增加IP信息校验会更加容易和方便。
总之,本发明实施简单,安装方便,没有任何网络技术基础的用户,也可以轻松完成标识的安装和更换。尤其是这种方式可以支持各种客户端设备,比如浏览器、手机浏览器、搜索引擎、聊天工具等,都可以通过现有DNS记录简单实现,客户端设备在识别时也非常容易实现。做到了安全性强、安装简单、可辨识性高、兼容广泛等要求。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种基于域名系统技术的网站可信标识安装及识别方法,其特征在于,包括:
网站管理设备将需要进行可信标识安装的网站信息和企业基本信息交给第三方网站验证机构进行可信验证;
如可信验证通过,所述第三方网站验证机构将生成的具有签名的可信标识文件给所述网站管理设备;
所述网站管理设备将被验证域名的主机名部分使用散列算法转码方式生成被验证域名的可信查询域名,并由所述第三方网站验证机构将所述可信标识文件的压缩分组,将所述可信标识文件转换成至少1个文本字符串,添加到所述可信查询域名的记录中;
客户端设备访问网站时,所述客户端设备向域名系统的域名服务器查询可信查询域名的记录中是否含有生成的被访问网站的域名的可信查询域名,如有将查询到的所有记录,按照可信标识文件转码相反的过程,将可信标识文件内容还原,对还原后的可信标识文件做验证,如验证通过则所述客户端设备显示该网站可信验证标识。
2.如权利要求1所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,进一步为:所述第三方网站验证机构提供所述可信标识文件的转码工具或由被验证域名的网站将所述可信标识文件的压缩分组。
3.如权利要求2所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,还包括:
当所述第三方网站验证机构将被验证域名的主机名部分使用散列算法转码方式生成被验证域名的可信查询域名后,将所述生成的被验证域名的可信查询域名添加到所述第三方网站验证机构提供的公共查询域名中,然后由所述第三方网站验证机构提供所述可信标识文件的转码工具或由被验证域名的网站将所述可信标识文件的压缩分组,将所述可信标识文件转换成至少1个文本字符串,添加到所述可信查询域名的记录中。
4.如权利要求3所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,所述散列算法转码方式为消息摘要算法或安全哈希算法的散列算法转码方式。
5.如权利要求4所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,所述记录为域名系统的txt记录。
6.如权利要求1所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,所述可信标识文件包括:网站域名;站点名称;网站所属机构或所属企业名称;网站在其企业中所属部门;网站所在的市、省、国;网站所属机构的组织机构代码证号或所属企业的执照号;所属机构或企业的类别;所属机构或企业所在的市、省、国;第三方网站验证机构登记的可信编码;验证级别;网站安全状态;第三方网站验证机构信息;可信标识的状态在线查询地址;IP地址校验开关;标记客户端设备是否进行IP地址校验;DNSSEC校验开关;和/或标记客户端设备是否进行DNSSEC校验。
7.如权利要求6所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,所述可信标识文件还包括:
网站图标、网站IP地址列表、和/或DNSSEC校验使用的DNS服务器地址列表。
8.如权利要求6所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,所述网站域名还包括:单域名、多域名,通配符域名和/或中文域名。
9.如权利要求6所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,所述第三方网站验证机构信息中还包括有第三方网站验证机构详细信息验证地址。
10.如权利要求1至9中任一所述的基于域名系统技术的网站可信标识安装及识别方法,其特征在于,还包括:
当网站信息变化或证书到期前以及该被访问网站的IP地址变化时,所述网站管理设备需要到所述第三方网站验证机构更新验证资料,进行重新验证;在通过验证后,所述第三方网站验证机构会给所述网站管理设备重新签发新的可信标识文件,然后网站管理设备将新的可信标识文件更新到该被访问网站的域名系统的记录中,同时所述第三方网站验证机构也将新的可信标识文件更新到其公共查询域名中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210080187.1A CN102629923B (zh) | 2012-03-23 | 2012-03-23 | 基于域名系统技术的网站可信标识安装及识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210080187.1A CN102629923B (zh) | 2012-03-23 | 2012-03-23 | 基于域名系统技术的网站可信标识安装及识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102629923A CN102629923A (zh) | 2012-08-08 |
| CN102629923B true CN102629923B (zh) | 2015-01-21 |
Family
ID=46588082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210080187.1A Active CN102629923B (zh) | 2012-03-23 | 2012-03-23 | 基于域名系统技术的网站可信标识安装及识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102629923B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105991604A (zh) * | 2015-02-27 | 2016-10-05 | 中兴通讯股份有限公司 | 一种防止域名劫持的方法及装置 |
| CN105846996B (zh) * | 2016-03-17 | 2019-03-12 | 上海携程商务有限公司 | 服务器证书的自动部署系统及方法 |
| CN107018144A (zh) * | 2017-05-05 | 2017-08-04 | 四川长虹电器股份有限公司 | 一种短地址安全校验系统及方法 |
| CN109005142B (zh) * | 2017-06-06 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 网站安全检测方法、装置、系统、计算机设备和存储介质 |
| CN109040333B (zh) * | 2018-07-10 | 2021-12-07 | 北京秦淮数据有限公司 | 一种域名备案管理系统 |
| CN111355694B (zh) * | 2018-12-24 | 2022-06-07 | 卓望数码技术(深圳)有限公司 | 一种网络数据校验方法、装置及系统 |
| CN111726322B (zh) * | 2019-03-19 | 2023-07-07 | 国家计算机网络与信息安全管理中心 | 一种文件篡改劫持的检测方法、装置及存储介质 |
| CN111147251A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 动态签发证书的方法及装置 |
| CN111314379B (zh) * | 2020-03-20 | 2022-07-08 | 深圳市腾讯计算机系统有限公司 | 被攻击域名识别方法、装置、计算机设备和存储介质 |
| CN111597522A (zh) * | 2020-05-21 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 一种网站归属人认证的方法、系统、设备及可读存储介质 |
| CN114357161A (zh) * | 2021-12-22 | 2022-04-15 | 哈尔滨工业大学(威海) | 基于证书链构建和域名文本特征的赌博域名识别方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006299A (zh) * | 2010-11-29 | 2011-04-06 | 西安交通大学 | 一种面向可信互联网的基于实体标识的身份认证方法及系统 |
| CN102110132A (zh) * | 2010-12-08 | 2011-06-29 | 北京星网锐捷网络技术有限公司 | 统一资源定位符匹配查找方法、装置和网络侧设备 |
| CN102355469A (zh) * | 2011-10-31 | 2012-02-15 | 北龙中网(北京)科技有限责任公司 | 在浏览器地址栏展示网站是否为可信验证的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6986047B2 (en) * | 2001-05-10 | 2006-01-10 | International Business Machines Corporation | Method and apparatus for serving content from a semi-trusted server |
-
2012
- 2012-03-23 CN CN201210080187.1A patent/CN102629923B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006299A (zh) * | 2010-11-29 | 2011-04-06 | 西安交通大学 | 一种面向可信互联网的基于实体标识的身份认证方法及系统 |
| CN102110132A (zh) * | 2010-12-08 | 2011-06-29 | 北京星网锐捷网络技术有限公司 | 统一资源定位符匹配查找方法、装置和网络侧设备 |
| CN102355469A (zh) * | 2011-10-31 | 2012-02-15 | 北龙中网(北京)科技有限责任公司 | 在浏览器地址栏展示网站是否为可信验证的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102629923A (zh) | 2012-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102629923B (zh) | 基于域名系统技术的网站可信标识安装及识别方法 | |
| CN102611707B (zh) | 一种网站可信标识安装及识别方法 | |
| US10516662B2 (en) | System and method for authenticating the legitimacy of a request for a resource by a user | |
| US11165579B2 (en) | Decentralized data authentication | |
| JP5867875B2 (ja) | 署名検証プログラム | |
| US8086842B2 (en) | Peer-to-peer contact exchange | |
| WO2017053211A1 (en) | Secure domain name resolution in computer networks | |
| CN105162602A (zh) | 一种可信网络身份管理和验证系统和方法 | |
| CN106790296B (zh) | 域名记录验证方法及装置 | |
| Wang et al. | A large-scale and longitudinal measurement study of {DKIM} deployment | |
| CN111241549A (zh) | 一种异构标识体系下的可信解析方法 | |
| CN102255894A (zh) | 网站信息验证方法、系统及解析服务器 | |
| CN107566393A (zh) | 一种基于受信任证书的动态权限验证系统及方法 | |
| GB2456742A (en) | Determining trust levels for data sources | |
| CN111651745B (zh) | 基于密码设备的应用授权签名方法 | |
| CN104394166B (zh) | 一种云环境下面向移动终端的证书防伪认证系统及方法 | |
| Tehrani et al. | The missing piece: On namespace management in NDN and how DNSSEC might help | |
| US7827399B1 (en) | Certificate processing | |
| Syverson et al. | Attacks on onion discovery and remedies via self-authenticating traditional addresses | |
| CN110289969B (zh) | 一种采用加密签名和加速解析防止dns被劫持的方法 | |
| Jakobsson et al. | Server-side detection of malware infection | |
| Mantoro et al. | An implementation on Domain Name System security extensions framework for the support of IPv6 environment | |
| Gallersdörfer et al. | Mirroring public key infrastructures to blockchains for on-chain authentication | |
| WO2023157191A1 (ja) | 通信システム、ゲートウェイ装置、端末装置及びプログラム | |
| Liu et al. | Design of Personal Terminal DNS Agent |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Lu Wenzhe Inventor after: Gao Ning Inventor after: Cui Fudong Inventor before: Gao Ning Inventor before: Cui Fudong Inventor before: Lu Wenzhe |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: GAO NING CUI FUDONG LU WENZHE TO: LU WENZHE GAO NING CUI FUDONG |