可信標識對象獲取及驗證

當可信應用需要對網站進行驗證時，首先從網站根目錄下獲取網站的可信標識對象文件（http://網站域名/ site_trust_id.txt），然后從文件中提取可信標識對象進行不少于以下步驟的驗證：

a) 判斷可信標識對象是否為合法的網站可信標識對象，即解析可信標識對象的數據內容是否符合9.1章節所定義的數據格式；

b) 判斷可信標識對象是否為信任的標識權威機構簽發，即解析可信標識對象中的標識權威機構名稱是否與可信應用信任的標識權威機構名稱匹配；

c) 判斷可信標識對象數據是否被篡改，即使用信任的標識權威機構公鑰解密可信標識對象簽名域，得出簽名摘要值，對可信標識信息域進行摘要運算，將兩個摘要值進行比較，摘要值相同，則可信標識對象未被篡改，摘要值不同，表明可信標識對象被篡改；

d) 驗證可信標識對象有效期，即解析可信標識對象的起始有效期和終止有效期，與當前的時間對比，務必使當前時間處于起始有效期與終止有效期之間；

e) 驗證可信標識對象是否已經被撤銷。驗證可信標識對象是否已經被撤銷的方法有兩種:

1) 事先或實時獲取標識撤銷列表并解析，檢查當前可信標識對象的序列號是否在標識的撤銷列表中,如果存在，表明當前可信標識對象被撤銷，如果不存在，表明可信標識對象未被撤銷。標識撤銷列表的數據格式在9.2章節中描述，發布及獲取方式在9.3.2章節中描述；

2) 采用標識狀態查詢方式實時獲取可信標識對象的狀態，判斷可信標識對象有效還是撤銷。標識狀態查詢協議在在9.4章節中描述；

f) 驗證可信標識中的信息是否與訪問的網站信息匹配。驗證信息包括但不限于域名、IP地址。

以上步驟中任何一個步驟驗證失敗，都認為驗證失敗。