- 您的位置:
- 标准下载网 >>
- 标准分类 >>
- 通信行业标准(YD) >>
- YD/T 2839-2015 基于 IPv6 的下一代互联网中文域名注册和实现安全技术要求
【YD通讯标准】 基于 IPv6 的下一代互联网中文域名注册和实现安全技术要求
本网站 发布时间:
2024-09-09 12:48:00
- YD/T2839-2015
- 现行
标准号:
YD/T 2839-2015
标准名称:
基于 IPv6 的下一代互联网中文域名注册和实现安全技术要求
标准类别:
通信行业标准(YD)
标准状态:
现行出版语种:
简体中文下载格式:
.zip .pdf下载大小:
4.99 MB
标准简介/下载点击下载
标准简介:
YD/T 2839-2015.Security technical requirements for chinese domain name registration and implementation of the IPv6 based next generation network.
1范围
YD/T 2839规定了在互联网体系。上使用中文域名的总体技术要求,包括使用中文域名的解析机制、变体生成机制及利用EPP协议注册等相应的规范。
YD/T 2839适用于基于IPv6的下一代互联网支持中文域名的应用或者服务。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2142-2010基于国际多语种域名体系的中文域名总体技术要求
YD/T 2143-2010基于国际多语种域名体系的中文域名的编码处理技术要求
YD/T 2438-2012基于国际多语种域名体系的中文域名注册字表要求
ISO/IEC 10646-1: 2000信息技术一通用多重八位组编码字符集
IETF RFC 791互联网协议
IETF RFC 1034域名的概念与应用
IETF RFC 2874域名协议扩展支持IPv6地址聚合和重编码
IETF RFC 3492一种适用于国际化域名应用的对统一码的编码方法: Punycode
IETF RFC 3569基于源地址的多播概要
IETF RFC 4291 IPv6地址架构
3术语、定义和缩略语
3.1 缩略语
下列缩略语适用于本文件。
CDL Chinese Domain Label 中文域名字段
CDN Chinese Domain Name 中文域名
标准内容部分标准内容:
ICS35.110
中华人民共和国通信行业标准
YD/T2839-2015
基于IPv6的下一代互联网中文域名注册和实现安全技术要求
Securitytechnical requirements forchinese domain name registrationandimplementationoftheIPv6basednextgenerationnetwork2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件·
3术语、定义和缩略语
缩略语·
3.2术语和定义
中文域名解析机制
4.2应用中的登录和显示·
域名生成机制·
5.1中文字符变体
5.2注册管理·
域名注册协议…
6.1基于EPP的域名注册协议·
主机对象·
6.3EPP命令...
6.4EPP命令
6.5EPP命令
附录A(资料性附录)命令参考用例·目
YD/T2839-2015
YD/T2839-2015
本标准是“基于IPv6的下一代互联网域名安全管理”系列标准之一。该系列标准的结构和预计名称如下:
1)基于IPv6的下一代互联网DNSSEC数据包安全技术要求2)基于IPv6的下一代互联网DNSSEC数据包安全检测要求3)基于IPv6的下代互联网域名服务配置安全技术要求4)基于IPv6的下一代互联网域名服务配置安全检测要求5)基于IPv6的下一代互联网中文域名注册和实现安全技术要求6)基于IPv6的下一代互联网中文域名注册和实现安全检测要求本标准按照GB/T1.1-2009给出的规则起草。请注意:本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国科学院计算机网络信息中心(中国互联网络信息中心)、国家计算机网络应急技术处理协调中心。
本标准主要起草人:姚健康、邓光青、孔宁、沈烁、李海灵、邹潇湘。I
iiiKAoNiKAca
YD/T2839-2015
随着下一代互联网的不断发展,域名服务作为当前互联网重要的基础设施也将成为影响下一代互联网安全稳定的重要因素。随着中文顶级域的入根,中文域名越来越普及,针对中文域名的安全配置问题也不断出现,因此非常有必要建立一套完整的中文域名注册和实现安全的技术要求,以指导各域名运维单位及国家主管部门对中文域名注册和实现进行全面、有效的检测和客观的量化评估,从而保证中文域名系统健康、稳定地发展
目前国内外尚无任何针对下一代互联网中文域名注册和实现安全的标准。本标准的提出从操作层面上提供了下一代互联网中文域名注册和实现安全的客观标准和执行方法。II
HiiKAoNiKAca
YD/T2839-2015
基于IPv6的下一代互联网中文域名注册和实现安全技术要求1范围
本标准规定了在互联网体系上使用中文域名的总体技术要求,包括使用中文域名的解析机制、变体生成机制及利用EPP协议注册等相应的规范。本标准适用于基于IPv6的下一代互联网支持中文域名的应用或者服务。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2142-2010
YD/T2143-2010
YD/T2438-2012
ISO/IEC10646-1:2000
IETFRFC791
IETFRFC1034
IETFRFC2874
IETFRFC3492
IETFRFC3569
IETFRFC4291
3术语、定义和缩略语
3.1缩略语
基于国际多语种域名体系的中文域名总体技术要求基于国际多语种域名体系的中文域名的编码处理技术要求基于国际多语种域名体系的中文域名注册字表要求信息技术—通用多重八位组编码字符集互联网协议
域名的概念与应用
域名协议扩展支持IPv6地址聚合和重编码一种适用于国际化域名应用的对统一码的编码方法:Punycode基于源地址的多播概要
IPv6地址架构
下列缩略语适用于本文件。
Chinese Domain Label
Chinese Domain Name
ChineseDomainNames in ApplicationsDomain Name System
ExtensibleProvisioningProtocolLetters Digits Hyphen
ExtensibleMarkupLanguage
3.2术语和定义
下列术语和定义适用于本文件。3.2.1
中文域名字段
中文域名
中文域名与应用
域名系统
可扩展供应协议
字母、数字、连接符
可扩展标记语言
字符数字连字符域名系统LetterDigitalHyphenDomainNameSystem(LDH-DNS)TiiKAoNiKAca
YD/T2839-2015
只允许使用26个英文字母,数字0到9以及连接符“_”作为字符的域名系统。本标准在后续的阐述中均将这种域名系统称为LDH-DNS系统。LDH是Letter、Digit和Hyphen三个英文单词的首字母简写。3.2.2
通用字符编码Unicode
根据其位置或码位来识别字符,给每个字符提供的唯一一个数字。比如说,U+4E96指的是在通用字符集中位于4E96处的字符。本标准的通用字符编码采用了ISO/IEC10646-1:2000规定的格式,通用字符编码的集合称为通用字符集。
分隔符Delimiter
LDH-DNS域名中的英文句点或中文域名中的中文句点。3.2.4
域名字段Label
域名中由分隔符隔开的几个部分。例如:对于一个完整的域名“cnnic.cn.”,“www”、“cnnic”、“cn”分别是三个域名字段。
中文域名字段ChineseDomainLabel含有中文字符的域名字段。
中文域名ChineseDomainName
含有中文域名字段的域名。
解析器Resolver
解析器负责接受应用程序的域名查询请求,最终由它来向域名服务器发送域名查询请求,并负责接受域名服务器的返回信息,再将结果发给应用程序,从而完成整个查询过程。3.2.8
中文域名与应用ChineseDomainNamesinApplications(CDNA)关于如何在应用程序以及某些应用环境中使用或者实现中文域名的协议,它允许使用某些LDH字符(以特殊的前缀开始)来表示非LDH字符:不改变现有的域名服务器、解析器或是协议单元:与下层协议无关,不需要改变现有的网络结构。3.2.9
微码转换算法Punycode
一种编码转换规则。运用这种规则可实现通用字符编码字符串和LDH字符串的相互转换。3.2.10
LDH编码前缀LDHPrefix
由两个LDH字符后跟着两个连字符(其中字母不区分大小写)来表示的前缀。用于中文域名的LDH编码前缀是“xn--”。
HiiKAoiKAca
DNS资源记录DNsResourceRecordYD/T2839-2015
用于描述DNSZONE信息的基本组成结构,包括资源记录所有者(OWner)、记录类型(TYPE)、协议类型(Class)、生存时间(TTL)、记录数据(RDATA)等,详见IETFRFC1034和IETFRFC1035。3.2.12
变体对照表LanguageVariantTable在域名注册和管理时用到的字符表。表的格式分为三栏,第一栏为有效字栏,第二栏为建议字栏,第三栏为变体字栏。变体对照表是域名注册和管理的基础。该表是生成建议域名和变体域名的算法基础。变体对照表也称异体对照表。
有效字ValidCodePoint
在变体对照表中,有效字位于第一栏的码位。这一栏中所有字符的集合构成了特定语言的有效字集合,这个集合用来检查用户注册域名的合法性,只有域名所有码位均属于这个集合,域名才被认为是合法的。
建议字PreferredVariant
在变体对照表中,建议字位于第二栏的码位。这一栏对应有效字栏。建议字表明了有效字在特定语言或者特定语言书写环境中的建议值,它构成的变体域名字段通常被注册在ZONE文件中。变体对照表中的建议字栏用来生成建议CDL。3.2.15
变体字CharacterVariant
在变体对照表中,变体字位于第三栏的码位。这一栏对应于有效字在特定语言或者特定语言书写环境中的变体。变体字与建议字不同,基于变体字的替换通常被保留而并未注册(激活)。变体对照表中的变体字栏用来生成变体CDL。
CDL包CDLPackage
在特定的ZONE内成功注册CDL时产生含有CDL的包。包内所有的CDL应被“保留”;除了包的持有者外,包内的所有CDL不能被任何人注册。这些被保留的CDL可能被激活写入一个ZONE文件中。CDL包同时也包括与注册过程相关语言的标识。初始CDL及其包内所有CDL构成了一个单一的原子单元3.2.17
域名对象DomainObject
在EPP协议里用到的由英文字符或中文字符组成的域名代号,并具有一系列属性。3.2.18
主机对象HostObject
在EPP里用到表示具体机器的名字,并具有一系列属性。3.2.19
查询命令Info
EPP里用来查询对象的详细信息的命令。3
HiiKAoi KAca
YD/T2839-2015
创建命令Create
EPP里用来创建对象的命令。
更新命令Update
EPP里用来更新对象属性的命令。4中文域名解析机制
LDH-DNS是只能使用字母、数字和连接符组成的编码,而中文域名允许使用更大的字符集。CDNA采用问后兼容表小法,用于解决在域名中使用中文字特集的问题。本标准规定了以下两种操作,以便中文域名能够进行相关应用。
a)LDH字符转换操作也称A-label转换操作,应该用于将CDN发送给仅支持LDH字符的设备(比如解析器)之前,或是把CDN写入仅支持LDH字符的文件(比如DNSZONE文件)之前使用。b)通用字符编码转换操作也称U-label转换操作,通常用于向用户显示域名时使用,例如:将DNSZONE中取出的域名显示给用户。两种操作中,LDH学符转换操作可能会失败:如果对某个域名使用LDH字符转换操作失败,则此域名不应作为中文域名使用,相应的有一些错误处理。在进行两种操作前,域名的编码格式应是通用字符编码;如果域名使用其它编码方式,应先转换成通用字符编码(LDH码位也属于通用字符编码码位)。LDH学段包括国际化域名应用所使用的A-label形式以及某些其他限制形式,为了便于区分,国际化域名技术标准创建了LDH字段的两个新子集,分别叫作保留的LDH字段(R-LDH字段)以及非保留LDH字段(NR-LDH字段)。R-LDH字段具有这样的性质:它们在第三和第四个字符中包含“”,但是同时也符合LDH字段规则。
国际化域名中只能使用R-LDH字段的子集。那个子集包括以“xn--”作为前缀的字段分类,但是同时也符合LDH字段的规则要求。这个含有“xn--”作为前缀的字段被称为“XN--label”。XN--label中的“xn--”之后的字符有些是符合中文域名转码算法(见IETFRFC3492)的有效输出,有些是无效输出。作为有效中文域名转码输出的XN-label被称为“A-label”。因为LDH字段(以及任何确定的DNS字段)的长度不能大于63个八位字节,所以中文域名转码算法中XN-label的总长度不能大于63个ASCII字符。非保留LDH字段是有效的LDH字段,在第三和第四个位置是连字符“”带有前缀“xn--”的某些字符串不会变成中文域名转码算法的结果,或者会违反其他的国际化域名应用限制条件,因此不是有效的国际化域名应用字段。为了方便起见,将它们称为“假A-label”。不带前缀“xn--”的R-LDH字段分类内的字段也不是有效的国际化域名应用字段。为了允许和国际化域名应用类似的机制的未来使用,这些字段不应被使用,并且“不应该”和同样条件下的国际化域名应用字段混合
对于国际化域名应用系统来说,有效的字段类型包括A-label、U-label以及NR-LDH字段。国际化域名应用字段有两种类型:ASCII兼容编码一编码形式以及Unicode(本地字符)形式。这些都被相应地称为A-label和U-label。如图1所示,ASCI字段包含LDH字段和非LDH字段两类。4
HiiKAoNiKAca
AscII Label
LDHLabel(1)(4)
IDNReBervedLDHLabele
-)orR-LDH Labels
XN-labela
A-labela
\xn---(2)
Fake(3)
A-labeln
NON-LDH label
Underacore labels
e.g.r _tcp
Labels with leading
or trailing
hyphene .-abcd.
Labels with other
non-LDH ASCII chars
图1ASCII字段的分类
NON-RESERVED
LDH Labels
(NR-LDH
labels)
YD/T2839-2015
LDH字段由图1中的(1)和(4)字段组成,分别是国际化域名保留LDH字段(“??-\)或者R-LDH字段,以及非保留的LDH字段。XN-label包含A-label和假的A-label两类。A-label具有以下特点:
a)A-label包含ASCII字母(大小写)、数字和连字号。连字号不会出现在首尾的位置,不会超过63个八位字节:
“xn--”的字串应是中文域名转码算法的有效结果,并且应能够转变为有效的U-label形式:c)假A-label虽然具有前缀“xn--”,但是字段的其余部分不是中文域名转码算法的有效结果;d)非国际化域名的应用不能判别A-label。4.2应用中的登录和显示
支持CDNA的应用应可支持两种格式(LDH形式和非LDH形式)接收和显示中文域名。用户应可选择LDH域名的显示方式是LDH域名还是中文域名,缺省配置是后者。因为LDH形式的中文域名是难理解的,所以它应只显示给少部分真正需要的用户。域名在很多地方被存储和传送。使用域名的所有协议都可以处理LDH字符表示的所有域名,因此这些协议同样可以处理中文域名的LDH形式。对于国际化域名应用注册的输入,其注册过程可以接受以下三种形式中的任意一种输入:5
HiiKANi KAca
YD/T2839-2015
a)A-label和U-label作为一对。b)仅作为一个A-label。
c)仅作为一个U-label。
如果U-label和A-label的形式都是有效的,注册机构“必须”确保A-label的格式是小写,执行转换到U-label,并且执行U-label转换操作的步骤和测试,然后验证A-label与输入的字段是否是匹配的。此外,输入提供的U-label和A-label转换得到的字段,“必须”完全匹配。如果出于某种原因,匹配测试失败,应拒绝其注册。
如果只提供了A-label,没有U-label形式,注册机构“必须”验证从表面上看是有效的A-label,即它不违反任何Punycode转换算法(见IETFRFC3492)的规则,例如禁止尾随连字符-负号,所有字符是ASCII的要求等。
对于不能直接表示成LDH形式的中文域名字段,DNS服务器应使用LDH字符转换操作产生的LDH形式。DNS服务器处理的所有中文域名应使用只包含LDH字符的LDH形式。如果不希望让用户看见LDH形式的中文域名,则所有涉及到中文域名信息显示的不支持CDNA的应用应升级。5域名生成机制
5.1中文字符变体
在中文域名中要用到中文字符。中文字符存在着“变体”,也称“异体”(比如同一个字可能有5种表示方式),这样可能导致某些中文字符被认为是同一个字符,但在计算机使用的字符集中,同一个概念上的字符却通过几个不同的码位来识别。外形相同的字符,或者是有相同或相似语义却被分配了不同码位的字符有可能使用户产生混淆。中文域名标准也会影响到一些互联网协议及其应用,增加了技术管理与服务方面的复杂性,在中文域名部署时有必要提高警惕来防止混淆与欺诈行为。5.2注册管理
5.2.1CDL的注册
5.2.2.1CDL包
在特定的ZONE中成功注册一个CDL后,ZONE应会创建一个CDL包,包的内容有:a)被注册的CDL;
b)与CDL绑定的中文语言:
c)绑定的中文变体对照表的版本:d)被保留的CDL;
e)被加入到DNSZONE文件中被激活的CDL。5.2.2.2注册CDL的步骤
注册CDL的步骤见YD/T2142-2010。5.2.2CDL与CDL包的删除与转移
在传统的域名管理中,每一个域名字段应独立于该ZONE的其他字段。域名字段的注册、删除和转移都与其它域名字段无关。根据本标准的规定,CDL包应被视为一个独立的原子单元,同一个包内的所有CDL应属于一个单独的域名持有者,每一个CDL都应和CDL包中所有被激活的或被保留的CDL绑定一起操作,同时册除或者同时转移。在特定ZONE中,一个CDL包被删除后,应可被再次注册。一个CDL包的删除并不会改变该ZONE6
中任何其它的CDL包。
5.2.3CDL变体的激活与去活bzxZ.net
YD/T2839-2015
因为CDL包中既有已激活的CDL,也有未激活的CDL,所以应了解变体CDL的激活和去活过程关于变体域名的激活和去活流程见YD/T2142-2010。5.2.4中文变体对照表的变更处理中文变体对照表应按照YD/T2438-2012中规定的字表。中文变体对照表处在不断的变化之中,这些变化不一定是向后兼容的。更新中文变体对照表可能会产生不同的建议字集合和变体字集合。为了维护CDL包的原子性,当中文变体对照表被更改后,采用原来的中文变体对照表创建的CDL包应不会被更新或受到影响。
6域名注册协议
6.1基于EPP的域名注册协议
EPP是一个有状态的XML协议,它能够被部署在多层传输协议上。在底层安全协议的保护下,客户端交换标识、授权和选择信息,然后约束与一系列客户发起的命令一一响应交换。所有的EPP响应具有原子性(没有局部成功和局部失败),也因此具有幂等性(重复执行一个命令与成功执行一次对系统状态具有同样的效果)。
EPP提供了4个基本的服务元素:服务发现、命令、响应和一个扩展框架。EPP中命令分为三类:会话管理命令、查询命令、对象变换命令。其中会话管理命令主要是建立、结束客户端和服务器之间的持续会话连接:查询命令用于完成只读对象的信息检索操作:数据更改命令用于完成可读可写对象的管理操作。服务器以从客户端收到命令的顺序来处理命令。尽管一个立即的确认收到的响应和命令的处理是由服务器产生的,但是协议包括一些特性,这些特性允许在请求动作实际完成之前,对转换命令进行离线审查。在这种情况下,从服务器发来的响应应清楚的告知命令已经被接收到和处理,但是请求动作被挂起。相应的对象状态应清楚的显示这个挂起动作的处理。同样,当这个操作的离线处理完成时,服务器应告知客户。
EPP使用XML命名空间提供一个可扩展的对象管理框架,并且标识解析和修正XML实例的框架。这些名字空间和框架定义是用来标识基础协议框架和管理对象框架的。6.2主机对象
作为域名授权的名字服务器,可以被具体指定为指向存在的主机对象或者作为规定一个主机的域属性。服务器操作符应使用名字服务器的规范形式。所有EPP连接时,有一个服务器唯一的标识符来标识。联系标识符是一个字符串,这个字符串有规定的最小长度、规定的最大长度和特定的格式。连接标识符使用“clIDType”客户标识符语法,用于域名代理的名字服务器主机可以被具体指定为一个存在的主机对象或者一个规定主机的域对象。
名字服务器是在一个元素中具体说明的。这个元素应包括一个或者更多的元素,或者一个或者更多的元素。一个元素包含个已知名字服务器主机对象的完全符合条件的名字。一个元素包含如下子元素,一一个元素:包含完全符合的主机名。7
YD/T2839-2015
一零个或者更多可选的元素:包含主机相关的IP地址。每个元素可以包括个“ip”属性,这个“ip”属性用来标识IP地址的格式。属性值“v4”用于指示IPv4地址格式,属性值“v6”用于指示IPv6地址格式。如果“ip”属性没有具体说明,如果注册环境在下一代互联网里,那么缺省值为“v6”。
IPv4地址的语法应遵循IETFRFC791,IPv6地址的语法应遵循IETFRFC4291。在区文件里发布IPv6地址信息的实际考虑在IETFRFC2874和IETFRFC3569里有详细说明。一个服务器可以拒绝IANA还没有公开分配使用的IP地址。
6.3EPP命令
EPP命令用于检索域对象的相关信息。除了标准的EPP命令元素,命令应包括一个元素,用来标识命名空间。包括如下子元素:具体例子请参见附录A.1。
当一个命令被成功执行后,EPP元素中应包含一个子元素,这个子元素用来标识对象命名空间。元素包含如下子元素一一个元素:包含所有符合条件的主机对象名。一一个元素:包含创建对象时,赋给对象的库对象标识符。一0个或者更多可选的元素:包含域名当前的状态规定。一0个或者更多的元素:包含主机相关联的IP地址。个元素:包含客户端的标识。一个可选的元素:包含生成主机对象的标识。一个元素:包含主机对象生成时的日期和时间。一一个可选的元素:包含最后更新主机对象的客户端的标识符。对于这个元素,如果主机对象从来没有修改过,就一定不能出现。一一个元素:包含最新的主机对象更改的日期和时间。这个元素禁止用于从来没有执行过转换命令的主机对象。
一一个元素:包含最后一次成功执行主机对象transfer命令的日期和时间。这个元素禁止用于从来没有执行过转换命令的主机对象。注意主机一定不能直接传送。主机对象应在主机的上级域传送时私下里传送。当传送一个域对象时,易受传送影响的主机对象最后列在响应报文中,这个响应是在EPP域对象执行命令之后返回的。
具体例子参见附录A.1和A.2。
如果命令由于某种原因而不能执行,应返回一个EPP错误响应。6.4EPPEPP命令提供了一种允许客户端创建主机对象的转换操作。除了标准的EPP命令元素,命令应包含一个元素,用于标识域名空间。元素包含如下子元素:一一个元素:包含完全符合条件的创建主机对象名。一0个或者更多元素:包含与主机的IP地址。每个元素可以包含一一个“ip”属性以说明IP地址格式。属性值“v4”被用作标识IPv4地址格式,而属性值“v6”8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2839-2015
基于IPv6的下一代互联网中文域名注册和实现安全技术要求
Securitytechnical requirements forchinese domain name registrationandimplementationoftheIPv6basednextgenerationnetwork2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件·
3术语、定义和缩略语
缩略语·
3.2术语和定义
中文域名解析机制
4.2应用中的登录和显示·
域名生成机制·
5.1中文字符变体
5.2注册管理·
域名注册协议…
6.1基于EPP的域名注册协议·
主机对象·
6.3EPP
6.4EPP
6.5EPP
附录A(资料性附录)命令参考用例·目
YD/T2839-2015
YD/T2839-2015
本标准是“基于IPv6的下一代互联网域名安全管理”系列标准之一。该系列标准的结构和预计名称如下:
1)基于IPv6的下一代互联网DNSSEC数据包安全技术要求2)基于IPv6的下一代互联网DNSSEC数据包安全检测要求3)基于IPv6的下代互联网域名服务配置安全技术要求4)基于IPv6的下一代互联网域名服务配置安全检测要求5)基于IPv6的下一代互联网中文域名注册和实现安全技术要求6)基于IPv6的下一代互联网中文域名注册和实现安全检测要求本标准按照GB/T1.1-2009给出的规则起草。请注意:本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国科学院计算机网络信息中心(中国互联网络信息中心)、国家计算机网络应急技术处理协调中心。
本标准主要起草人:姚健康、邓光青、孔宁、沈烁、李海灵、邹潇湘。I
iiiKAoNiKAca
YD/T2839-2015
随着下一代互联网的不断发展,域名服务作为当前互联网重要的基础设施也将成为影响下一代互联网安全稳定的重要因素。随着中文顶级域的入根,中文域名越来越普及,针对中文域名的安全配置问题也不断出现,因此非常有必要建立一套完整的中文域名注册和实现安全的技术要求,以指导各域名运维单位及国家主管部门对中文域名注册和实现进行全面、有效的检测和客观的量化评估,从而保证中文域名系统健康、稳定地发展
目前国内外尚无任何针对下一代互联网中文域名注册和实现安全的标准。本标准的提出从操作层面上提供了下一代互联网中文域名注册和实现安全的客观标准和执行方法。II
HiiKAoNiKAca
YD/T2839-2015
基于IPv6的下一代互联网中文域名注册和实现安全技术要求1范围
本标准规定了在互联网体系上使用中文域名的总体技术要求,包括使用中文域名的解析机制、变体生成机制及利用EPP协议注册等相应的规范。本标准适用于基于IPv6的下一代互联网支持中文域名的应用或者服务。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2142-2010
YD/T2143-2010
YD/T2438-2012
ISO/IEC10646-1:2000
IETFRFC791
IETFRFC1034
IETFRFC2874
IETFRFC3492
IETFRFC3569
IETFRFC4291
3术语、定义和缩略语
3.1缩略语
基于国际多语种域名体系的中文域名总体技术要求基于国际多语种域名体系的中文域名的编码处理技术要求基于国际多语种域名体系的中文域名注册字表要求信息技术—通用多重八位组编码字符集互联网协议
域名的概念与应用
域名协议扩展支持IPv6地址聚合和重编码一种适用于国际化域名应用的对统一码的编码方法:Punycode基于源地址的多播概要
IPv6地址架构
下列缩略语适用于本文件。
Chinese Domain Label
Chinese Domain Name
ChineseDomainNames in ApplicationsDomain Name System
ExtensibleProvisioningProtocolLetters Digits Hyphen
ExtensibleMarkupLanguage
3.2术语和定义
下列术语和定义适用于本文件。3.2.1
中文域名字段
中文域名
中文域名与应用
域名系统
可扩展供应协议
字母、数字、连接符
可扩展标记语言
字符数字连字符域名系统LetterDigitalHyphenDomainNameSystem(LDH-DNS)TiiKAoNiKAca
YD/T2839-2015
只允许使用26个英文字母,数字0到9以及连接符“_”作为字符的域名系统。本标准在后续的阐述中均将这种域名系统称为LDH-DNS系统。LDH是Letter、Digit和Hyphen三个英文单词的首字母简写。3.2.2
通用字符编码Unicode
根据其位置或码位来识别字符,给每个字符提供的唯一一个数字。比如说,U+4E96指的是在通用字符集中位于4E96处的字符。本标准的通用字符编码采用了ISO/IEC10646-1:2000规定的格式,通用字符编码的集合称为通用字符集。
分隔符Delimiter
LDH-DNS域名中的英文句点或中文域名中的中文句点。3.2.4
域名字段Label
域名中由分隔符隔开的几个部分。例如:对于一个完整的域名“cnnic.cn.”,“www”、“cnnic”、“cn”分别是三个域名字段。
中文域名字段ChineseDomainLabel含有中文字符的域名字段。
中文域名ChineseDomainName
含有中文域名字段的域名。
解析器Resolver
解析器负责接受应用程序的域名查询请求,最终由它来向域名服务器发送域名查询请求,并负责接受域名服务器的返回信息,再将结果发给应用程序,从而完成整个查询过程。3.2.8
中文域名与应用ChineseDomainNamesinApplications(CDNA)关于如何在应用程序以及某些应用环境中使用或者实现中文域名的协议,它允许使用某些LDH字符(以特殊的前缀开始)来表示非LDH字符:不改变现有的域名服务器、解析器或是协议单元:与下层协议无关,不需要改变现有的网络结构。3.2.9
微码转换算法Punycode
一种编码转换规则。运用这种规则可实现通用字符编码字符串和LDH字符串的相互转换。3.2.10
LDH编码前缀LDHPrefix
由两个LDH字符后跟着两个连字符(其中字母不区分大小写)来表示的前缀。用于中文域名的LDH编码前缀是“xn--”。
HiiKAoiKAca
DNS资源记录DNsResourceRecordYD/T2839-2015
用于描述DNSZONE信息的基本组成结构,包括资源记录所有者(OWner)、记录类型(TYPE)、协议类型(Class)、生存时间(TTL)、记录数据(RDATA)等,详见IETFRFC1034和IETFRFC1035。3.2.12
变体对照表LanguageVariantTable在域名注册和管理时用到的字符表。表的格式分为三栏,第一栏为有效字栏,第二栏为建议字栏,第三栏为变体字栏。变体对照表是域名注册和管理的基础。该表是生成建议域名和变体域名的算法基础。变体对照表也称异体对照表。
有效字ValidCodePoint
在变体对照表中,有效字位于第一栏的码位。这一栏中所有字符的集合构成了特定语言的有效字集合,这个集合用来检查用户注册域名的合法性,只有域名所有码位均属于这个集合,域名才被认为是合法的。
建议字PreferredVariant
在变体对照表中,建议字位于第二栏的码位。这一栏对应有效字栏。建议字表明了有效字在特定语言或者特定语言书写环境中的建议值,它构成的变体域名字段通常被注册在ZONE文件中。变体对照表中的建议字栏用来生成建议CDL。3.2.15
变体字CharacterVariant
在变体对照表中,变体字位于第三栏的码位。这一栏对应于有效字在特定语言或者特定语言书写环境中的变体。变体字与建议字不同,基于变体字的替换通常被保留而并未注册(激活)。变体对照表中的变体字栏用来生成变体CDL。
CDL包CDLPackage
在特定的ZONE内成功注册CDL时产生含有CDL的包。包内所有的CDL应被“保留”;除了包的持有者外,包内的所有CDL不能被任何人注册。这些被保留的CDL可能被激活写入一个ZONE文件中。CDL包同时也包括与注册过程相关语言的标识。初始CDL及其包内所有CDL构成了一个单一的原子单元3.2.17
域名对象DomainObject
在EPP协议里用到的由英文字符或中文字符组成的域名代号,并具有一系列属性。3.2.18
主机对象HostObject
在EPP里用到表示具体机器的名字,并具有一系列属性。3.2.19
查询命令Info
EPP里用来查询对象的详细信息的命令。3
HiiKAoi KAca
YD/T2839-2015
创建命令Create
EPP里用来创建对象的命令。
更新命令Update
EPP里用来更新对象属性的命令。4中文域名解析机制
LDH-DNS是只能使用字母、数字和连接符组成的编码,而中文域名允许使用更大的字符集。CDNA采用问后兼容表小法,用于解决在域名中使用中文字特集的问题。本标准规定了以下两种操作,以便中文域名能够进行相关应用。
a)LDH字符转换操作也称A-label转换操作,应该用于将CDN发送给仅支持LDH字符的设备(比如解析器)之前,或是把CDN写入仅支持LDH字符的文件(比如DNSZONE文件)之前使用。b)通用字符编码转换操作也称U-label转换操作,通常用于向用户显示域名时使用,例如:将DNSZONE中取出的域名显示给用户。两种操作中,LDH学符转换操作可能会失败:如果对某个域名使用LDH字符转换操作失败,则此域名不应作为中文域名使用,相应的有一些错误处理。在进行两种操作前,域名的编码格式应是通用字符编码;如果域名使用其它编码方式,应先转换成通用字符编码(LDH码位也属于通用字符编码码位)。LDH学段包括国际化域名应用所使用的A-label形式以及某些其他限制形式,为了便于区分,国际化域名技术标准创建了LDH字段的两个新子集,分别叫作保留的LDH字段(R-LDH字段)以及非保留LDH字段(NR-LDH字段)。R-LDH字段具有这样的性质:它们在第三和第四个字符中包含“”,但是同时也符合LDH字段规则。
国际化域名中只能使用R-LDH字段的子集。那个子集包括以“xn--”作为前缀的字段分类,但是同时也符合LDH字段的规则要求。这个含有“xn--”作为前缀的字段被称为“XN--label”。XN--label中的“xn--”之后的字符有些是符合中文域名转码算法(见IETFRFC3492)的有效输出,有些是无效输出。作为有效中文域名转码输出的XN-label被称为“A-label”。因为LDH字段(以及任何确定的DNS字段)的长度不能大于63个八位字节,所以中文域名转码算法中XN-label的总长度不能大于63个ASCII字符。非保留LDH字段是有效的LDH字段,在第三和第四个位置是连字符“”带有前缀“xn--”的某些字符串不会变成中文域名转码算法的结果,或者会违反其他的国际化域名应用限制条件,因此不是有效的国际化域名应用字段。为了方便起见,将它们称为“假A-label”。不带前缀“xn--”的R-LDH字段分类内的字段也不是有效的国际化域名应用字段。为了允许和国际化域名应用类似的机制的未来使用,这些字段不应被使用,并且“不应该”和同样条件下的国际化域名应用字段混合
对于国际化域名应用系统来说,有效的字段类型包括A-label、U-label以及NR-LDH字段。国际化域名应用字段有两种类型:ASCII兼容编码一编码形式以及Unicode(本地字符)形式。这些都被相应地称为A-label和U-label。如图1所示,ASCI字段包含LDH字段和非LDH字段两类。4
HiiKAoNiKAca
AscII Label
LDHLabel(1)(4)
IDNReBervedLDHLabele
-)orR-LDH Labels
XN-labela
A-labela
\xn---(2)
Fake(3)
A-labeln
NON-LDH label
Underacore labels
e.g.r _tcp
Labels with leading
or trailing
hyphene .-abcd.
Labels with other
non-LDH ASCII chars
图1ASCII字段的分类
NON-RESERVED
LDH Labels
(NR-LDH
labels)
YD/T2839-2015
LDH字段由图1中的(1)和(4)字段组成,分别是国际化域名保留LDH字段(“??-\)或者R-LDH字段,以及非保留的LDH字段。XN-label包含A-label和假的A-label两类。A-label具有以下特点:
a)A-label包含ASCII字母(大小写)、数字和连字号。连字号不会出现在首尾的位置,不会超过63个八位字节:
“xn--”的字串应是中文域名转码算法的有效结果,并且应能够转变为有效的U-label形式:c)假A-label虽然具有前缀“xn--”,但是字段的其余部分不是中文域名转码算法的有效结果;d)非国际化域名的应用不能判别A-label。4.2应用中的登录和显示
支持CDNA的应用应可支持两种格式(LDH形式和非LDH形式)接收和显示中文域名。用户应可选择LDH域名的显示方式是LDH域名还是中文域名,缺省配置是后者。因为LDH形式的中文域名是难理解的,所以它应只显示给少部分真正需要的用户。域名在很多地方被存储和传送。使用域名的所有协议都可以处理LDH字符表示的所有域名,因此这些协议同样可以处理中文域名的LDH形式。对于国际化域名应用注册的输入,其注册过程可以接受以下三种形式中的任意一种输入:5
HiiKANi KAca
YD/T2839-2015
a)A-label和U-label作为一对。b)仅作为一个A-label。
c)仅作为一个U-label。
如果U-label和A-label的形式都是有效的,注册机构“必须”确保A-label的格式是小写,执行转换到U-label,并且执行U-label转换操作的步骤和测试,然后验证A-label与输入的字段是否是匹配的。此外,输入提供的U-label和A-label转换得到的字段,“必须”完全匹配。如果出于某种原因,匹配测试失败,应拒绝其注册。
如果只提供了A-label,没有U-label形式,注册机构“必须”验证从表面上看是有效的A-label,即它不违反任何Punycode转换算法(见IETFRFC3492)的规则,例如禁止尾随连字符-负号,所有字符是ASCII的要求等。
对于不能直接表示成LDH形式的中文域名字段,DNS服务器应使用LDH字符转换操作产生的LDH形式。DNS服务器处理的所有中文域名应使用只包含LDH字符的LDH形式。如果不希望让用户看见LDH形式的中文域名,则所有涉及到中文域名信息显示的不支持CDNA的应用应升级。5域名生成机制
5.1中文字符变体
在中文域名中要用到中文字符。中文字符存在着“变体”,也称“异体”(比如同一个字可能有5种表示方式),这样可能导致某些中文字符被认为是同一个字符,但在计算机使用的字符集中,同一个概念上的字符却通过几个不同的码位来识别。外形相同的字符,或者是有相同或相似语义却被分配了不同码位的字符有可能使用户产生混淆。中文域名标准也会影响到一些互联网协议及其应用,增加了技术管理与服务方面的复杂性,在中文域名部署时有必要提高警惕来防止混淆与欺诈行为。5.2注册管理
5.2.1CDL的注册
5.2.2.1CDL包
在特定的ZONE中成功注册一个CDL后,ZONE应会创建一个CDL包,包的内容有:a)被注册的CDL;
b)与CDL绑定的中文语言:
c)绑定的中文变体对照表的版本:d)被保留的CDL;
e)被加入到DNSZONE文件中被激活的CDL。5.2.2.2注册CDL的步骤
注册CDL的步骤见YD/T2142-2010。5.2.2CDL与CDL包的删除与转移
在传统的域名管理中,每一个域名字段应独立于该ZONE的其他字段。域名字段的注册、删除和转移都与其它域名字段无关。根据本标准的规定,CDL包应被视为一个独立的原子单元,同一个包内的所有CDL应属于一个单独的域名持有者,每一个CDL都应和CDL包中所有被激活的或被保留的CDL绑定一起操作,同时册除或者同时转移。在特定ZONE中,一个CDL包被删除后,应可被再次注册。一个CDL包的删除并不会改变该ZONE6
中任何其它的CDL包。
5.2.3CDL变体的激活与去活bzxZ.net
YD/T2839-2015
因为CDL包中既有已激活的CDL,也有未激活的CDL,所以应了解变体CDL的激活和去活过程关于变体域名的激活和去活流程见YD/T2142-2010。5.2.4中文变体对照表的变更处理中文变体对照表应按照YD/T2438-2012中规定的字表。中文变体对照表处在不断的变化之中,这些变化不一定是向后兼容的。更新中文变体对照表可能会产生不同的建议字集合和变体字集合。为了维护CDL包的原子性,当中文变体对照表被更改后,采用原来的中文变体对照表创建的CDL包应不会被更新或受到影响。
6域名注册协议
6.1基于EPP的域名注册协议
EPP是一个有状态的XML协议,它能够被部署在多层传输协议上。在底层安全协议的保护下,客户端交换标识、授权和选择信息,然后约束与一系列客户发起的命令一一响应交换。所有的EPP响应具有原子性(没有局部成功和局部失败),也因此具有幂等性(重复执行一个命令与成功执行一次对系统状态具有同样的效果)。
EPP提供了4个基本的服务元素:服务发现、命令、响应和一个扩展框架。EPP中命令分为三类:会话管理命令、查询命令、对象变换命令。其中会话管理命令主要是建立、结束客户端和服务器之间的持续会话连接:查询命令用于完成只读对象的信息检索操作:数据更改命令用于完成可读可写对象的管理操作。服务器以从客户端收到命令的顺序来处理命令。尽管一个立即的确认收到的响应和命令的处理是由服务器产生的,但是协议包括一些特性,这些特性允许在请求动作实际完成之前,对转换命令进行离线审查。在这种情况下,从服务器发来的响应应清楚的告知命令已经被接收到和处理,但是请求动作被挂起。相应的对象状态应清楚的显示这个挂起动作的处理。同样,当这个操作的离线处理完成时,服务器应告知客户。
EPP使用XML命名空间提供一个可扩展的对象管理框架,并且标识解析和修正XML实例的框架。这些名字空间和框架定义是用来标识基础协议框架和管理对象框架的。6.2主机对象
作为域名授权的名字服务器,可以被具体指定为指向存在的主机对象或者作为规定一个主机的域属性。服务器操作符应使用名字服务器的规范形式。所有EPP连接时,有一个服务器唯一的标识符来标识。联系标识符是一个字符串,这个字符串有规定的最小长度、规定的最大长度和特定的格式。连接标识符使用“clIDType”客户标识符语法,用于域名代理的名字服务器主机可以被具体指定为一个存在的主机对象或者一个规定主机的域对象。
名字服务器是在一个
YD/T2839-2015
一零个或者更多可选的
IPv4地址的语法应遵循IETFRFC791,IPv6地址的语法应遵循IETFRFC4291。在区文件里发布IPv6地址信息的实际考虑在IETFRFC2874和IETFRFC3569里有详细说明。一个服务器可以拒绝IANA还没有公开分配使用的IP地址。
6.3EPP
EPP
当一个
一一个
具体例子参见附录A.1和A.2。
如果
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
标准图片预览 标准图片预览:
- 热门标准
- YD通讯标准标准计划
- YD/T1786-2008 移动多媒体广播业务业务保护技术要求
- YD/T1770-2008 接入网用室内外光缆
- YD/T1765-2008 通信安全防护名词术语
- YD/T1533.2-2006 固定网多媒体消息业务技术要求 第2部分:多媒体消息业务接口
- YD/T1460.4-2006 通信用气吹微型光缆及光纤单元 第4部分:微型光缆
- YD/T1785-2008 移动多媒体广播业务总体技术要求
- YD/T1790-2008 移动多媒体广播业务应用层接口技术要求
- YD/T1793-2008 2GHz 数字蜂窝移动通信网网络管理技术要求网元管理系统(EMS)功能
- YD/T1118.2-2001 光纤用二次被覆材料 第2部分:改性聚丙烯
- YD/T1460.5-2006 通信用气吹微型光缆及光纤单元 第5部分:高性能光纤单元
- YD/T1533.1-2006 固定网多媒体消息业务技术要求 第1部分:多媒体消息中心(MMSC)设备
- YD/T1368.2-2008 2GHz TD-SCDMA 数字蜂窝移动通信网终端设备测试方法 第2部分网络兼容性测试
- YD/T1787-2008 移动多媒体广播业务业务指南技术要求
- YD/T1488-2006 400/1800MHz SCDMA 无线接入系统:频率间隔为 500kHz 的系统测试方法
- YD/T1791-2008 移动多媒体广播业务交互应用技术要求
请牢记:“bzxz.net”即是“标准下载”四个汉字汉语拼音首字母与国际顶级域名“.net”的组合。 ©2009 标准下载网 www.bzxz.net 本站邮件:[email protected]
网站备案号:湘ICP备2023016450号-1
网站备案号:湘ICP备2023016450号-1