YD T 3927-2021 互联网新通用顶级域名服务支持DNSSEC的域名注册协议技术要求.pdf

资源描述

1、ICS35.020 L07 YD 中华人民共和国通信行业标准 XX/T XXXXXXXXX 互联网新通用顶级域名服务支持 DNSSEC 的域名注册协议技术要求 Domain name system (DNS) security extensions mapping for the extensible provisioning protocol (EPP) 点击此处添加与国际标准一致性程度的标识（报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施中华人民共和国工业和信息化部发布 XX/T XXXXXXXXX I 目次前言

2、 .II 引言 .III 1 范围 .1 2 规范性引用文件 .1 3 术语和定义 .1 4 DS 数据接口和密钥数据接口 .2 4.1 DS 数据接口 .2 4.2 密钥数据接口 .3 5 EPP 命令映射 .3 5.1 EPP 查询命令 .3 5.2 EPP 转换命令 .4 6 形式化语法 .6 7 关于国际化域名 .9 8 安全考量 .9 附录 A（资料性附录）例子 .11 参考文献 .24 XX/T XXXXXXXXX II 引言自 2012年 ICANN开放通用顶级域名以来，全球的域名服务进入了崭新的历史阶段，新的商业模式、业务规范和支撑技术应运而生。考虑到今后会有越来越

3、多的机构成为新通用顶级域名注册局和相关服务的提供者，该系列标准的制定有利于指导相关企业部署和运行域名服务，促进行业的健康发展。相关标准的制定将有利于形成中国的最佳实践。结合中国的互联网治理环境（例如工信部针对域名行业的备案要求），本系列标准的制定也将有利于在域名范畴支撑互联网应用的可信可管可控。 XX/T XXXXXXXXX III 前言本标准是“互联网新通用顶级域名服务技术要求 ”系列标准之一。该系列标准的结构和名称如下：互联网新通用顶级域名服务总体技术要求互联网新通用顶级域名服务支持 DNSSEC 的域名注册协议技术要求互联网新通用顶级域名服务域名

4、注册协议启动期技术要求互联网新通用顶级域名服务域名注册协议赎回期技术要求互联网新通用顶级域名服务域名商标保护服务（ TMCH）流程和接口技术要求互联网新通用顶级域名服务区文件存取技术要求互联网新通用顶级域名服务注册局业务数据托管技术要求互联网新通用顶级域名服务注册局运行月报规范技术要求互联网新通用顶级域名服务批量数据存取技术要求本标准遵循 GB/T 1.1-2009的规则编写。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：互联网域名系统北京市工程研究中心有限公司、中国互联网

5、络信息中心、北龙中网（北京）科技有限责任公司、中国信息通信研究院本标准主要起草人：马迪、周琳琳、王伟、邵晴、司昊林、孔宁、刘阳、高雷、卢文哲 XX/T XXXXXXXXX 1 互联网新通用顶级域名服务支持 DNSSEC 的域名注册协议技术要求 1 范围本标准规范了支持 DNSSEC 的域名注册可扩展供应协议，用以发布 DNSSEC 授权信息。本标准适用于搭建同时符合 ICANN技术规范和工信部域名管理办法的新通用顶级域名系统。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（

6、包括所有的修改单）适用于本文件。 YD/T 2420-2012 域名注册协议域名供应技术要求 YD/T 2643-2013 域名注册协议可扩展供应协议技术要求 IETF RFC 4034 支持 DNSSEC的域名资源记录 IETF RFC 5910 支持 DNSSEC的域名注册协议 3 术语和定义下列术语和定义适用于本文件 3.1 域名注册局 Registry 也称作“域名注册管理机构”，是指承担顶级域名系统的运行、维护和管理工作的机构。 3.2 域名注册商 Registrar 也称作“域名注册服务机构”，是指受理域名注册申请，直接完成域名在国内域名数据库中注册、直接或间接完成域名在国外

7、顶级域名数据库中注册的机构。 3.3 授权签名信息 Delegation Signer Information 授权签名（ DS）信息由 DNS 服务器发布，以表明子区域被数字签名，并且父区域会将该 DS 信息所指示的密钥，识别为子区域的有效区域密钥。注： DS 资源记录（ RR）包含四个字段：密钥标签（ keyTag）字段，密钥算法 (alg)编号的八位字节，标识摘要算法 (digestType)的八位字节和摘要 (digest)字段。 3.4 XX/T XXXXXXXXX 2 最长签名存活期 Maximum Signature Lifetime 最长签名存活期（ maxSigLi

8、fe）是子区签名的可选项，表示由子区签名所提供的 DS信息进行父区签名后的过期秒数。该 maxSigLife值适用于 DS资源记录集的 RRSIG资源记录（ RR）。 4 DS 数据接口和密钥数据接口本标准描述了客户端可以创建、添加和删除域名的授权签名者（ DS）信息或密钥数据信息的操作场景。服务器可以支持两种不同形式的接口。第一个是“ DS 数据接口 ”，客户端负责创建 DS 信息，并且在执行添加和删除时需要传递 DS 信息，服务器需要传递 DS 信息响应；第二个是“密钥数据接口 ”，客户端负责在执行添加和删除时传递密钥数据信息。服务器负责传递密钥信息对进行

9、响应。服务器必须在单个命令或响应中支持其中一种形式的接口，其中和不得混用，除非是的子元素以用于服务器验证。服务器必须支持在 ,和元素中仅使用一种形式的接口，除非在过渡期服务器有可能同时支持这两种接口。例如，在过渡期，服务器可以支持每个域名的 DS 数据接口或者密钥数据接口，并允许客户端迁移到目标接口。客户端可以使用 true元素替换所使用的接口，以删除旧接口的所有数据，并通过使用（ DS 数据接口的和密钥数据接口的）来添加数据。如果服务器使用不受支持的接口接收到命令，服务器必须返回一个 2306 号的 EPP 错误结果代码。 4.1 DS 数据接口 D

10、S 数据接口依赖于使用元素来创建，添加，删除和进行响应。与 DS 信息相关的密钥数据可由客户端提供，但服务器没有必要一定使用这些密钥数据。服务器操作员也可以发出带外 DNS 查询以从注册域名的顶层检索密钥数据，用以评估接收到的 DS 信息。建议子域操作员在 DNS 树的区文件中保留密钥数据，以使得父区域管理员可以根据需要对数据进行验证。元素包含以下子元素： a）一个包含密钥标签值的元素，如 RFC 4034 的第 5.1.1 节所述，元素使用无符号短整型进行表示 W3C. REC-xmlschema-2-20010502。 b）一个包含 RFC 403

11、4 第 5.1.2 节中所描述的算法值的元素。 c）一个包含摘要类型值的元素，如 RFC 4034 中第 5.1.3 节所述。 XX/T XXXXXXXXX 3 d）一个包含摘要值的元素，如 RFC 4034 中第 5.1.4 节所述。使用十六进制编码中的二进制数进行表示 W3C. REC-xmlschema-2-20010502。 e）一个可选的元素，用于描述在服务器验证的 DS 哈希计算中用作输入的密钥数据。元素包含本协议第 4.2 节中定义的子元素。 4.2 密钥数据接口密钥数据接口依赖于使用元素进行创建，添加，删除和 domain:info响应

12、。 DS 信息不是由客户端提供的，而是由服务器生成的。用于 DS 生成的属性是基于服务器策略的，其中客户端和服务器之间只传递密钥数据。元素包含以下子元素： a）一个包含 RFC 4034 第 2.1.1 节中所描述的 flags 字段值的元素。 b）一个包含协议字段值的元素，如 RFC 4034 第 2.1.2 节所述。 c）一个包含 RFC 4034 第 2.1.3 节所述的算法编号字段值的元素。 d）一个包含编码公钥字段值的元素，如 RFC 4034 第 2.1.4 节中所述，元素表示为一个 base64Binary W3C. REC-xmlschema-2-2

13、0010502，其最小长度为 1。 5 EPP 命令映射 YD/T 2643-2013 规范了 EPP 语法和语义的详细描述。本标准规范的命令映射，专门用于通过 EPP 管理 DNSSEC 相关信息。 5.1 EPP 查询命令 EPP 提供三个命令来检索对象信息：以确定是否为一个服务器已知的对象，检索与对象关联的详细信息，检索对象转移的状态信息。 5.1.1 EPP命令此扩展不会向 YD/T 2420-2012 所规范的 EPP 或响应中添加任何元素。 5.1.2 EPP命令此扩展不会向 YD/T 2420-2012 所规范的 EPP命令中添加任何元素。但为的响应定义

14、了其他元素。 XX/T XXXXXXXXX 4 当一个命令被成功处理时， EPP元素必须包含 YD/T 2420-2012 中所规范的子元素。此外，如果域名对象具有与此扩展相关联且基于服务器策略的数据，则 EPP元素应该包含一个子元素，用于标识扩展的命名空间。元素包含以下子元素： a）一个可选的元素，用以表明子区签名的可选项，表示由子区签名所提供的 DS 信息进行父区签名后的过期秒数。 maxSigLife 在本标准第 3.1.4 节中有描述。 b）一个或多个元素或元素，但如本标准第 4 节所定义的，两者不能同时使用。元素描述客户端为域名提供的授权签名（

15、 DS）数据。元素描述客户端为域名提供的密钥数据。本标准第 4.1 节描述了元素的子元素。本标准第 4.2 节中介绍了元素的子元素。 5.1.3 EPP命令此扩展不会向 YD/T 2420-2012 所规范的 EPP命令或响应中添加任何元素。 5.2 EPP 转换命令 EPP 提供了五个命令来修改对象：创建一个对象实例，删除一个对象实例，延长对象的有效期，来管理对象的授权变更，用来更改对象的相关信息。 5.2.1 EPP命令此扩展为 YD/T 2420-2012 所规范的 EPP命令定义了附加元素。没有为 EPP 响应定义其他元素。 EPP命令提供了允许客

16、户端创建域名对象的转换操作。在 YD/T 2420-2012 中规范的 EPP 命令元素之外，如果客户端希望将此扩展中定义的数据与域名对象相关联，则命令必须包含一个元素，并且元素必须包含标识扩展命名空间的子元素。元素包含以下子元素： a）一个可选的元素，用以表明子区签名的可选项，表示由子区签名所提供的 DS 信息进行父区签名后的过期秒数。 maxSigLife 在本标准第 3.14 节中有描述。如果服务器不支持元素，则必须返回 2102 错误。 b）零个或多个元素或元素，但如本标准第 4 节所定义的，两者不能同时使用。元素的子元素在本标准第 4.1

17、节中描述。元素的子元素在本标准第 4.2 节中描述。 XX/T XXXXXXXXX 5 5.2.2 EPP命令该扩展不会向 YD/T 2420-2012 所规范的 EPP命令或响应中添加任何元素。 5.2.3 EPP命令该扩展不会向 YD/T 2420-2012 规范的 EPP命令或响应中添加任何元素。 5.2.4 EPP命令该扩展不会向 YD/T 2420-2012 规范的 EPP命令或响应中添加任何元素。 5.2.5 EPP命令此扩展定义了 YD/T 2420-2012 规范的 EPP命令的附加元素。没有为 EPP响应定义其他元素。 EPP命令提

18、供了一种转换操作，允许客户端修改域名对象的属性。除了在 EPP 域名映射中描述的 EPP 命令元素，如果客户端要使用此扩展中定义的数据更新域名对象 ,则命令必须包含一个元素，并且元素必须包含标识扩展命名空间的子元素。元素包含一个元素，用于添加到一个授权安全信息，一个元素用来删除一个授权的安全信息，或者一个元素来更改现有的安全信息。必须至少提供一个，或元素。和元素的顺序很重要，服务器必须在添加新元素之前首先删除现有元素。元素还包含一个可选的 “urgent”属性，客户端可以使用该属性来要求服务器操作员以高优先级完成并实现更新请求。此属性接受布尔值；默

19、认值为布尔值 false。 “高优先级”是相对于使用带外机制确定的标准服务器运营商策略。如果“ urgent”属性值为布尔值 true 但服务器不支持该请求，则服务器务必返回 2102 号的 EPP 错误结果代码。服务器必须返回一个 2306 号的 EPP 错误结果代码，如果服务器支持“ urgent”属性（“ urgent”属性值为布尔值 true），但服务器并不能以高优先级完成该紧急更新。元素包含以下子元素： a）一个包含元素或一个或多个或元素的可选元素，用于从授权中删除安全数据。 b）元素用于删除所有的 DS 和密钥数据，当其布尔值为 true。如果

20、布尔值为 false 则什么也不做。删除所有 DS 信息可以删除父级别将安全性授予子区域的能力。 XX/T XXXXXXXXX 6 c）元素是 DS 数据接口的一部分，用于唯一地定义要删除的 DS 记录，通过使用所有四个元素 - ，，和来保证他们是唯一的。 d）元素是密钥数据接口的一部分，用于唯一定义要删除的密钥数据，通过使用所有四个元素 - ，，和 - 需要保证他们是唯一的。可以为每个密钥创建多个 DS 记录，因此删除密钥可能会删除多个 DS 记录。 e）用于向现有集添加安全信息的可选元素。元素必须包含一个或多个或元素。本标准第 4.1 节

21、描述了元素的子元素。本标准第 4.2 节中介绍了元素的子元素。 f）一个包含需要更改的安全信息的可选元素。元素包含以下子元素： g）一个可选的元素，子区签名的可选项，表示由子区签名所提供的 DS 信息进行父区签名后的过期秒数。 maxSigLife 在本标准第 3.1.4 节中有描述。如果服务器不支持元素，则必须返回 2102 错误。 6 形式化语法 EPP 对象映射以 XML 模式表示法指定。这里呈现的形式语法是适用于 EPP XML 实例的自动验证对象映射的完整表示。 BEGIN 和 END 标签并不是该模式的一部分；它们用来对 URL 注册目标

22、的开始和结束进行注释。 BEGIN Extensible Provisioning Protocol v1.0 domain name extension schema for provisioning DNS security (DNSSEC) extensions. XX/T XXXXXXXXX 7 XX/T XXXXXXXXX 8 !- Child elements of the element. - XX/T XXXXXXXXX 9 !- Child elements of the command. - !- Child elements supporting the element

23、. - END 7 关于国际化域名 EPP 使用 XML 表示。 XML 提供了对使用 unicode 字符集（以及它的包括 UTF-8 在内的更紧凑达形式）编码的信息的自然支持。符合规范的 XML 处理器可以同时识别 UTF-8 和 UTF-16。尽管 XML 提供了识别和使用其他字符编码的方法（通过使用声明中的“ encoding”属性），仍然推荐使用 UTF-8。 XX/T XXXXXXXXX 10 A A 附录 A （资料性附录）例子 A.1 示例，使用 secDNS-1.1 SD 数据接口进行创建： 12345 3 1 49FD46E6C4B45C55D

24、4AC A.2 示例，使用带有可选密钥数据的 secDNS-1.1 SD 数据接口进行创建： 12345 3 1 49FD46E6C4B45C55D4AC 257 3 1 AQPJ/4Q= A.3 示例，使用 secDNS-1.1 密钥数据接口进行创建 257 3 1 AQPJ/4Q= XX/T XXXXXXXXX 11 A.4 示例，使用 DS 数据接口对安全授权进行响应： S: S: S: S: S: Command completed successfully S: S: S: S: S: EXAMPLE1-REP S: S: jd1234 S: sh8013 S: sh8013

25、 S: S: S: S: S: S: S: ClientX S: ClientY S: 1999-04-03T22:00:00.0Z S: ClientX S: 1999-12-03T09:00:00.0Z S: 2005-04-03T22:00:00.0Z S: 2000-04-08T09:00:00.0Z S: S: 2fooBAR S: S: S: S: S: secDNS:infData A.5 XX/T XXXXXXXXX 12 示例，使用带有可选密钥数据的 DS 数据接口对安全授权进行响应： S: S: S: S: S: Command completed successful

26、ly S: S: S: S: S: EXAMPLE1-REP S: S: jd1234 S: sh8013 S: sh8013 S: S: S: S: S: S: S: ClientX S: ClientY S: 1999-04-03T22:00:00.0Z S: ClientX S: 1999-12-03T09:00:00.0Z S: 2005-04-03T22:00:00.0Z S: 2000-04-08T09:00:00.0Z S: S: 2fooBAR S: S: S: S: S: S: 604800 S: S: 12345 S: 3 XX/T XXXXXXXXX 13 S: 1 S:

27、 49FD46E6C4B45C55D4AC S: S: 257 S: 3 S: 1 S: AQPJ/4Q= S: S: S: S: S: S: ABC-12345 S: 54322-XYZ S: S: S: A.6 示例，使用密钥信息接口对安全授权进行响应： S: S: S: S: S: Command completed successfully S: S: S: S: S: EXAMPLE1-REP S: S: jd1234 S: sh8013 S: sh8013 S: S: S: S: S: XX/T XXXXXXXXX 14 S: S: ClientX S: ClientY S: 1

28、999-04-03T22:00:00.0Z S: ClientX S: 1999-12-03T09:00:00.0Z S: 2005-04-03T22:00:00.0Z S: 2000-04-08T09:00:00.0Z S: S: 2fooBAR S: S: S: S: S: S: S: 257 S: 3 S: 1 S: AQPJ/4Q= S: S: S: S: S: ABC-12345 S: 54322-XYZ S: S: S: 如果由于任何原因无法处理命令，则必须返回 EPP 错误响应。 A.7 示例，命令使用 DS 数据接口进行安全授权： C: C: C: C: C: XX/T

29、XXXXXXXXX 15 C: C: 2 C: C: C: C: C: jd1234 C: sh8013 C: sh8013 C: C: 2fooBAR C: C: C: C: C: C: 604800 C: C: 12345 C: 3 C: 1 C: 49FD46E6C4B45C55D4AC C: C: C: C: ABC-12345 C: C: A.8 示例，命令使用带有可选密钥数据的 DS 数据接口进行安全授权： C: C: C: C: C: C: C: 2 XX/T XXXXXXXXX 16 C: C: C: C: C: jd1234 C: sh8013 C: sh8013 C: C

30、: 2fooBAR C: C: C: C: C: C: 604800 C: C: 12345 C: 3 C: 1 C: 49FD46E6C4B45C55D4AC C: C: 257 C: 3 C: 1 C: AQPJ/4Q= C: C: C: C: C: ABC-12345 C: C: A.9 示例，命令使用密钥数据接口进行安全授权： C: C: C: C: XX/T XXXXXXXXX 17 C: C: C: 2 C: C: C: C: C: jd1234 C: sh8013 C: sh8013 C: C: 2fooBAR C: C: C: C: C: C: C: 257 C: 3 C:

31、1 C: AQPJ/4Q= C: C: C: C: ABC-12345 C: C: 当成功处理命令时， EPP给出的响应如 YD/T 2420-2012所述。 A.10 示例 ,命令使用 DS 数据接口添加和删除 DS 数据： C: C: C: C: C: XX/T XXXXXXXXX 18 C: C: C: C: C: C: C: C: 12345 C: 3 C: 1 C: 38EC35D5B3A34B33C99B C: C: C: C: C: 12346 C: 3 C: 1 C: 38EC35D5B3A34B44C39B C: C: C: C: C: ABC-12345 C: C: A.

32、11 示例 ,命令，更新 maxigLide： C: C: C: C: C: C: C: C: C: XX/T XXXXXXXXX 19 C: C: C: 605900 C: C: C: C: ABC-12345 C: C: A.12 示例 ,命令，使用关键数据接口添加和删除密钥数据，并设置 maxSigLife： C: C: C: C: C: C: C: C: C: C: C: C: C: 257 C: 3 C: 1 C: AQPJ/4QQQ C: C: C: C: C: 257 C: 3 C: 1 C: AQPJ/4Q= C: XX/T XXXXXXXXX 20 C: C: C: 60

33、5900 C: C: C: C: ABC-12345 C: C: A.13 示例，命令，使用 DS 数据接口删除带有的 DS 数据： C: C: C: C: C: C: C: C: C: C: C: C: C: 12346 C: 3 C: 1 C: 38EC35D5B3A34B44C39B C: C: C: C: C: ABC-12345 C: C: A.14 XX/T XXXXXXXXX 21 示例，命令，使用带有的删除所有的 DS 和密钥数据： C: C: C: C: C: C: C: C: C: C: C: C: true C: C: C: C: ABC-12345 C: C

34、: A.15 示例，紧急命令，使用 DS 数据接口替换所有 DS 数据： C: C: C: C: C: C: C: C: C: C: C: C: true C: XX/T XXXXXXXXX 22 C: C: C: 12346 C: 3 C: 1 C: 38EC35D5B3A34B44C39B C: C: C: C: C: ABC-12345 C: C: XX/T XXXXXXXXX 23 参考文献 RFC1034 Mockapetris, P., Domain names - concepts and facilities,STD 13, RFC 1034, November 19

35、87. RFC1035 Mockapetris, P., Domain names - implementation and specification, STD 13, RFC 1035, November 1987. RFC3688 Mealling, M., The IETF XML Registry, BCP 81, RFC 3688, January 2004. W3C.REC-xml-20001006 Maler, E., Sperberg-McQueen, C., Bray, T., and J. Paoli, Extensible Markup Language (XML) 1

36、.0 (Second Edition), World Wide Web Consortium FirstEdition REC-xml-20001006, October 2000, . W3C.REC-xmlschema-1-20010502 Beech, D., Thompson, H., Mendelsohn, N., and M. Maloney, XML Schema Part 1: Structures, World Wide Web Consortium FirstEdition REC-xmlschema-1-20010502, May 2001, . W3C.REC-xmlschema-2-20010502 Malhotra, A. and P. Biron, XML Schema Part 2: Datatypes, World Wide Web Consortium FirstEdition REC-xmlschema-2-20010502, May 2001, . _

展开阅读全文

YD T 3927-2021 互联网新通用顶级域名服务 支持DNSSEC的域名注册协议技术要求.pdf

YD T 3927-2021 互联网新通用顶级域名服务支持DNSSEC的域名注册协议技术要求.pdf