【YD通讯标准】 基于域名系统(DNS)的网站可信标识服务技术规范

ICS33.100.70
中华人民共和国通信行业标准
YD/T2841-2015
基于域名系统（DNS）的网站
可信标识服务技术规范
Technical specificationof websitetrusted identity servicebased ondomainnamesystem(DNs)
2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前
范围·
2规范性引用文件：
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语·
4网站可信标识技术框架.
4.1技术框架
4.2网站标识鉴别展现流程…
5标识权威机构-
5.1标识权威机构系统组成-
5.2网站信息验证基本要求
6网站可信标识对象
6.1概述
6.2网站可信标识的逻辑组成
7网站可信标识的生命周期-
生命周期状态
7.2标识申请
标识生成
标识发布·
标识使用
标识过期-
标识废除
7.8标识延期
7.9标识更改
8网站可信标识的验证.*
8.2网站可信标识验证：
9数据格式与接口
网站可信标识的数据格式·
9.2网站可信标识的接口…
10网站可信标识的安全性
YD/T2841-2015
YD/T2841-2015
数字签名方式·
DNSSEC方式·
参考文献·
HiiKAoNiKAca
本标准出中国通信标准化协会提出并归口。YD/T2841-2015
本标准起草单位：互联网域名系统北京市工程研究中心有限公司、北龙中网（北京）科技有限责任公司。
本标准主要起草人：高
5宁、卢文哲、马
迪、毛伟。
iiiKAoNiKAca
YD/T2841-2015
在互联网高速发展的同时，安全问题对互联网行业的威胁也越来越大，网络诚信问题日渐突出。钓鱼网站、挂马网站、改网站、仿冒知名品牌等，给网民和网站带来了极大的利益损失，网民对网络的安全感在降低。因此，如何保证网站诚信，构建安全可信互联网环境，有效抵制钓鱼、假冒网站，已经成为国家信息系统安全建设急需解决的重要问题。本标准提出了一个基于域名系统（DNS）的网站可信标识服务的技术规范，将各子系统应遵循的技术标准进行说明，在网民访问互联网的重要入口，采用更符合中国网民上网习惯的展示方式，让网民能够方便、快捷地识别网站的身份，以开放合作的格局建立更安全更全面的网站认证体系和管理体系，以推动我国互联网由可用到可信的转变，推动我国互联网信任体系的建立。IV
iiKAoi KAca
YD/T2841-2015
基于域名系统（DNS）的网站可信标识服务技术规范1范围
本标准规定了基于域名系统（DNS）技术的网站可信标识服务的技术体系框架和规范，包括网站可信标识的申请、发布、验证以及展现等技术要求。本标准适用于基于域名系统（DNS）技术的网站可信标识服务。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2135-2010
YD/T2140-2010
YD/T2143-2010
IETFRFC1035
IETFRFC4033
IETFRFC4034
域名系统运行总体技术要求
域名服务安全框架技术要求
基于国际多语种域名体系的中文域名的编码处理技术要求域名一执行和规范（DomainNames-ImplementationandSpecification）DNSSEC的介绍和需求（DNSSecurityIntroductionandRequirements）资源记录支持DNSSEC的扩展（ResourceRecordsfortheDNSSecurityExtensions）3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
网站可信WebsiteTrusted
网站所属的主体的身份信息，由标识权威机构进行了核对和验证，是真实可信的。3.1.2
网站可信标识WebsiteTrustedldentity由网站申请，由标识权威机构对网站身份进行验证，根据本标准产生的具有唯一性、防止假冒以及可鉴别性的网站身份数据对象，简称标识。3.1.3
标识权威机构IdentityAuthority负责网站可信标识整个生命周期管理的、用户信任的权威机构。3.1.4
域名DomainName
在域名系统名字空间中，从当前节点到根节点的路径上所有节点标记的由点顺序连接组成的名字。域名的范围包含由数字、英文字母及连接符（“_”）等ASCII编码组成的英文域名，以及由非ASCI编码的字符组成的国际化域名（IDN）两大范畴，比如中国，.网络，公司等。1
HiiKAoNiKAca
YD/T2841-2015
域名系统DomainNameSystem
一种将域名映射为某些预定义类型资源记录（ResourceRecord）的分布式互联网服务系统，网络中域名解析系统间通过相互协作，实现将域名最终解析到相应的资源记录，简称DNS。域名系统由名字空间和资源记录、域名解析系统、解析器三部分共同组成。域名系统的名字空间是一个分层次的（Hierarchical）树状结构，在资源记录中存储了包含IP地址等与域名相关的多种信息，通过不同层次上域名解析系统的协作实现对域名属性信息的分布式检索。3.1.6
资源记录ResourceRecord
在域名系统中用于存储与域名相关的属性信息，简称RR。每个域名对应的记录可能为空或者多条。域名的资源记录由名字（Name）、类型（Type）、种类（Class）、生存时间（TTL）、记录数据长度（Rdlength）、记录数据（Rdata）等字段组成。3.1.7
域名TXT记录DomainNameTXTRecord域名资源记录的一种，该资源记录的类型为TXT，用于记录和域名相关任意文本类型数据，简称TXT记录。
域名系统安全扩展DNSSecurityExtensions域名系统的一套安全扩展，提供DNS客户端验证DNS数据的真实性和完整性，简称DNSSEC。3.1.9
可信应用TrustedApplication
支持网站可信标识的应用，包括浏览器、搜索引擎、即时通讯软件等。3.2缩略语
下列缩略语适用于本文件。
DNSSEC
Domain Name System
DNS SecurityExtension
Hypertext Transfer Protocol
Identity Authority
DomainNameTXTRecord
Website Trusted Identity
4网站可信标识技术框架
4.1技术框架
域名系统
域名系统安全扩展
超文本传输协议
标识权威机构
域名TXT记录
网站可信标识
网站可信标识体系由网站、标识权威机构以及可信应用三部分组成，其关系如图1所示a）网站：指待认证实体，网络服务提供者，可信标识的所有者，需要向标识权威机构申请标识。b）可信应用：指支持网站可信标识的应用，包括浏览器、搜索引擎、即时通讯软件等。可信应用可以对网站的可信标识进行验证，并向网民展示标识的信息。c）标识权威机构：指具备验证网站真实信息能力，能够签发网站可信标识的机构。标识权威机构对2
TiikAoNiKAca
YD/T2841-2015
网站进行验证，为网站发放可信标识，同时对可信标识进行管理，并提供其验证的可信标识详细信息查询和网站详细验证信息查询。
标识权成机构
标识管理和发布
展查海、下
徐识展示
4.2网站标识鉴别展现流程
采用可信标识的使用流程如下：标认验证
图1网站可信标识系统技术框架
a）网站到标识权威机构提交资料和注册信息，申请网站可信标识；b）标识权威机构审核后，将被验证网站的验证数据按照本标准规定的格式生成网站可信标识；c）标识权威机构或网站将网站可信标识发布到其DNS的TXT记录上：d）可信应用需要获取网站的可信标识信息时，查询网站域名的DNSTXT记录，根据返回结果获得被验证网站的可信标识信息；
e）可信应用获取到网站标识后，根据所采用DNS查询的方法，使用数字签名验证或DNSSEC验证方式，确认网站可信标识的有效性，核对访问网站与标识中的网站信息是否匹配：f）可信应用对标识有效性验证通过后，将标识中的内容向网民展示，提示网民正在访问的网站身份信息：
g）网民可通过可信应用上展示的网站可信标识跳转至验证该网站的标识权威机构网站查看完整的验证信息。
5标识权威机构
5.1标识权威机构的系统组成
标识权威机构的系统组成如图2所示。标识查询系统
标识发布系统
标识管理系统
图2标识权威机构的系统组成
注册验证系统
注册验证系统：负责对网站实体进行验证，包括对网站拥有的域名、IP地址、网站所有者实体身份以及其他相关资料的关联和确认。标识管理系统：负责标识生成、更新以及废除等生命周期的管理。标识发布系统：负责标识信息对外发布，包括将网站可信标识发放给网站或发布到标识权威机构的标识查询系统上。
TiiKAoiKAca
YD/T2841-2015
标识查询系统：使用DNS方式，负责对可信应用提供本标识权威机构可信标识信息的查询。5.2网站信息验证基本要求
标识权威机构在对网站发放可信标识前，应对网站的以下信息进行获取并验证。企业法人网站：
组织机构代码证；
企业营业执照：
一网站域名所有权证明：
网站负责人身份证件及联系信息：网站ICP备案信息。
非企业法人网站：
组织机构代码证：
一事业单位法人证书；
网站域名所有权证明：
一网站负责人身份证件及联系信息：网站ICP备案信息。
个人网站：
-网站域名所有权证明：
网站负责人身份证件及联系信息：网站ICP备案信息。
6网站可信标识对象
6.1概述
网站可信标识对象应具有不可伪造的特性。标识权威机构通过信息集合来生成网站可信标识对象。信息集合包括可辨别的WTI序列号、网站域名、可选的网站IP地址、网站验证信息、验证级别、标识有效期等。WTI序列号是一串数字或文本串，每个LA发布的WTI序列号应唯一。标识有效期是一个时间区间，在这个时间区间里，IA必须保证维护该WTI的状态信息，也就是发布，更新，撤销WTI的状态信息，并更新标识查询系统6.2网站可信标识的逻辑组成
网站可信标识的逻辑组成见表1。表1网站可信标识的逻辑组成
标识信息头
标识信息域bZxz.net
标识签名域（可选）
wtiHeader
wtiData
wtiSignature
标识信息头：标识信息的开始，包括标识的起始符、标识编码的版本号、编码格式，分组信息等。一标识信息域：是网站可信标识的具体数据，包含网站实体信息、标识机构信息等，也是待签名的数据，具体内容见表2。
一标识签名域：描述标识签名的算法及对标识信息域的签名信息，具体内容见表3。4
HiiKAoNiKAca
YD/T2841-2015
其中标识签名域为可选。当使用数字证书签名方式确保WTI数据真实性时，需要用标识权威机构的数字证书私钥，使用国家密码许可的签名算法，对标识信息域的数据进行签名生成标识签名域数据，并将标识签名域附加在标识信息域后。当使用DNSSEC方式确保WTI数据真实性时，则不需要标识签名域。标识信息域的组成见表2。
表2标识信息域的组成
WTI序列号（wtiSerialNo）
网站域名（websiteDomain）
验证级别(level)
网站名称（websiteName）
网站所有者名称（websiteOwner）网站IP地址（websiteipAddress）标识签名域的数据组成见表3。
签名算法（signatureAlgorithm）签名值（signatureValue）
7网站可信标识的生命周期
7.1生命周期状态
网站可信标识的序列号
网站域名序列，验证时只有验证网站的域名在当前域名序列中才能验证通过。*.abc.com表示abc.com的所有子域名认证级别，用于区分网站验证级别网站的全称
网站所有者的实体名称，如企业名称可选，网站p地址序列，验证时只有验证网站的ip地址在序列中才能验证通过。ip可以用点分十进制表示，也可以用CIDR表示一个网段表3标识签名域的组成
描述签名使用的算法，应使用国家密码许可的算法签名值
网站可信标识的生命周期状态及流转关系如图3所示。标识生成
标识延期
标识申请
标识史改
标识废除
标识发布
标识使用
标识过期
图3标识对象生命周期
7.2标识申请
标识申请是网站向标识权威机构提交标识申请，提交相关证明材料，标识权威机构对其审核确认的过程。
网站提出的标识申请包括网站信息、标识级别等。5
YD/T2841-2015
网站提供的证明材料包括网站域名、可选的网站IP地址、网站所有者证明材料和其他资质证明材料等。
标识权威机构对网站提交的申请和证明材料进行核对和审核，确认有效性后完成标识申请。7.3标识生成
标识生成是标识权威机构根据网站提出的标识申请，生成网站可信标识对象的过程。标识权威机构将接照本标准中规定的数据格式，生成网站可信标识。7.4标识发布
标识发布是标识权威机构将网站可信标识对象对外公开，使网站可信标识对象可以被网站和可信应用使用。本标准中网站可信标识部署在网站域名DNS的TXT记录中。7.5标识使用
标识使用是标识权威机构将网站可信标识发布后，标识被网站和可信应用使用的阶段，在此阶段内，标识处于正常使用状态。标识在标识使用周期后，可能进入到标识延期、标识更改、标识过期、标识废除几个周期。
7.6标识过期
标识过期是指网站可信标识有效期过期后标识失效的阶段。标识过期后，标识自动失效，不能通过可信应用的验证，标识不能正常使用。标识过期后，应该重新进行标识申请。7.7标识废除
标识废除是标识权威机构将特定标识标记作废的过程，当出现网站实体内容更换（如域名、网站所有者发生变化）情况时，网站应向标识权威机构提出标识废除。网站向标识权威机构提出标识废除时需提供原标识的原始凭证。当出现以下情况之一时，标识权威机构可以主动废除网站标识：一标识权威机构核实网站信息已与网站可信标识不符：网站违反国家相关法令。
7.8标识延期
当标识有效期结束，而网站需继续使用标识时，标识权威机构进入标识生成流程，采用原有网站信息更换标识唯一ID后重新生成标识，发放给网站继续使用。7.9标识更改
当网站实体内容发生更改，如域名、IP或者网站所有者发生变化，则需要对原有标识进行更改。标识的更改首先进入标识废除流程，然后重新进入标识申请流程。8网站可信标识的验证
8.1概述
以下两种情况下可信应用应对网站标识进行验证：一可信应用直接访问网站。这种方式是客户端（如浏览器等）直接访问网站显示网站内容。一可信应用显示网站链接。这种方式是客户端（如搜索引擎、即时通信工具等）不直接访问网站而仅仅显示网站的链接地址。
8.2网站可信标识验证
当可信应用需要对网站进行验证时，首先要获取网站可信标识，并对获取的网站可信标识进行验证。6
针对网站可信标识的验证应包含以下步骤：a）判断对象是否为标识权威机构签发的。YD/T2841-2015
b）当使用数字签名方式验证WTI真实性时，使用标识权威机构数字证书的公钥验证WTI中的签名是否有效，判断WTI是否真实有效。当使用DNSSEC方式验证WTI真实性时，要根据DNSSEC的验证方法验证DNS查询结果的真实性。c）验证网站可信标识是否过期。d）验证网站可信标识是否已经被废除。e）验证标识中的网站信息是否与访问的网站信息匹配，验证信息包括但不限于域名、IP地址等。9数据格式与接口
9.1网站可信标识的数据格式
9.1.1综述
本标准采用DNSTXT记录保存网站可信标识数据。根据DNS协议的特点和TXT记录数据要求，对网站可信标识中的各项信息进行编码，组成特定的网站可信标识数据结构。9.1.2网站可信标识的数据结构
网站可信标识数据在DNSTXT记录中是一串文本字符串。根据6.2的说明，网站可信标识包括标识信息头、标识信息域和可选的标识签名域三部分。网站可信标识数据结构的ASN.1描述如下：WTI:-SEQUENCE{
wtiHeader
wtiData
wtiSignature
9.1.2.1标识信息头
WTIHeader,
WTIData，
WTISignatureOPTIONAL
标识信息头是网站可信标识信息的开始，包括标识的起始符、标识编码的版本号、编码格式、分组信息等。标识信息头采用字符串明文编码，需要用半角英文字符“「和半角英文字符“！标记括起数据按表4定义顺序排列，各个字段值之间采用半角英文字符“；”分割。标识信息头具体的数据格式要求和说明见表4。表4标识信息头的数据格式
格式标识
版本号
编码格式
取值范围
1.00~9.99
0~9a~z
长度（字节）
网站可信标识的标识，用来标识该TXT是否为网站可信标识标识当前记录采用的数据格式版本标识当前txt数据使用的编码方式，目前设定的编码格式为：O:gbk
1:utf8
默认使用gbk编码
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。