YD/T 2907-2015
基本信息
标准号: YD/T 2907-2015
中文名称:基于域名系统(DNS)的网站可信标识,服务应用技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2907-2015.Technical specification for applications of website trusted identity service based on domain name system (DNS).
1范围
YD/T 2907规定了支持基于域名系统(DNS) 的网站可信标识的所有互联网应用,对网站可信标识的查询、解析、验证和展现等方面的技术要求。
YD/T 2907适用于对基于域名系统(DNS)的网站可信标识服务进行查询、解析、验证和展现等操作的互联网应用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2135- 2010域名系统运行总体技术要求
YD/T 2143- 2010基于国际多语种域名体系的中文域名的编码处理技术要求
基于域名系统(DNS)的网站可信标识服务技术规范
IETF RFC 1035 域名一执行和规范
IETF RFC 4033 DNSSEC的介绍和需求
IETF RFC 4034 资源记录支持DNSSEC的扩展
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
网站可信 Website Trusted
网站所属的主体身份信息由标识权威机构进行了核对和验证,是真实可信的。
3.1.2
网站可信标识 Website Trusted ldentity
由网站申请,由标识权威机构对网站身份进行验证,根据本标准产生的具有唯一性、防止假冒以及可鉴别性的网站身份数据对象,简称标识。
1范围
YD/T 2907规定了支持基于域名系统(DNS) 的网站可信标识的所有互联网应用,对网站可信标识的查询、解析、验证和展现等方面的技术要求。
YD/T 2907适用于对基于域名系统(DNS)的网站可信标识服务进行查询、解析、验证和展现等操作的互联网应用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2135- 2010域名系统运行总体技术要求
YD/T 2143- 2010基于国际多语种域名体系的中文域名的编码处理技术要求
基于域名系统(DNS)的网站可信标识服务技术规范
IETF RFC 1035 域名一执行和规范
IETF RFC 4033 DNSSEC的介绍和需求
IETF RFC 4034 资源记录支持DNSSEC的扩展
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
网站可信 Website Trusted
网站所属的主体身份信息由标识权威机构进行了核对和验证,是真实可信的。
3.1.2
网站可信标识 Website Trusted ldentity
由网站申请,由标识权威机构对网站身份进行验证,根据本标准产生的具有唯一性、防止假冒以及可鉴别性的网站身份数据对象,简称标识。
标准图片预览
标准内容
ICS35.100.05
中华人民共和国通信行业标准
YD/T2907-2015
基于域名系统(DNS)的网站可信标识服务应用技术要求
Technical specification for applications of website trusted identityservicebasedondomainnamesystem(DNs)2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部发布前
1范围·
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语·
4网站可信标识描述
概述·
4.2网站可信标识的逻辑结构
5网站可信标识的使用
概述·
技术架构·
5.3网站可信标识的使用流程·
6网站可信标识的查询…·
6.1查询条件·
6.2WTI缓存+
7网站可信标识的数据解析…
概述·
重组·
8网站可信标识的验证:
8.1概述··
8.2真实性、完整性验证**
8.3有效性验证.·
8.4一致性验证
9网站可信标识的展现
附录A(资料性附录)
参考文献
可信应用的网站可信标识展现样式YD/T2907-2015
YD/T2907-2015
本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位:互联网域名系统北京市工程研究中心有限公司、北龙中网(北京)科技有限责任公司、中国电信集团公司。
本标准主要起草人:高
宁、卢文哲、马迪、毛伟、沈军。I
YD/T2907-2015
在互联网高速发展的背后,安全问题对互联网行业的威胁越来越大,网络诚信问题日渐突出,钓鱼网站、挂马网站、篡改网站、仿冒知名品牌等,给网民和网站带来了极大的利益损失,网民整体对网络的安全感在降低。可见中国互联网发展欣欣向荣,但对互联网公信力的质疑已经成为互联网发展的纤脚石。因此,如何保证网站诚信,构建安全可信的互联网环境,有效抵制钓鱼、假冒网站已经成为国家信息系统安全建设急需解决的重要问题。本标准是《基于域名系统(DNS)的网站可信标识服务技术规范》的配套标准,通过本标准,进一步明确和规范化网站可信标识的应用过程,统一验证流程和展现形式,规定了如何在浏览器,搜索引擎,即时通讯软件等互联网的重要入口,采用更符合中国网民上网习惯的展示方式,避免不同应用在标准使用过程中的功能或流程差异可能导致的功能性问题,让网民方便、快捷地识别网站的身份,以开放合作的格局建立更安全更全面的网站认证体系和管理体系,促进网站可信验证服务规范有序发展,从而推动国家互联网由可用到可信的转变,推动国家互联网信任体系的建立。YD/T2907-2015
基于域名系统(DNS)的网站可信标识服务应用技术要求1范围
本标准规定了支持基于域名系统(DNS)的网站可信标识的所有互联网应用,对网站可信标识的查询、解析、验证和展现等方面的技术要求。本标准适用于对基于域名系统(DNS)的网站可信标识服务进行查询、解析、验证和展现等操作的互联网应用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2135-2010
YD/T2143-2010
IETFRFC1035
IETFRFC4033
IETFRFC4034
3术语、定义和缩略语
3.1术语和定义
域名系统运行总体技术要求
基于国际多语种域名体系的中文域名的编码处理技术要求基于域名系统(DNS)的网站可信标识服务技术规范域名—执行和规范
DNSSEC的介绍和需求
资源记录支持DNSSEC的扩展
下列术语和定义适用于本文件。3.1.1
网站可信WebsiteTrusted
网站所属的主体身份信息由标识权威机构进行了核对和验证,是真实可信的。3.1.2
网站可信标识WebsiteTrustedldentity由网站申请,由标识权威机构对网站身份进行验证,根据本标准产生的具有唯一性、防止假冒以及可鉴别性的网站身份数据对象,简称标识。3.1.3
标识权威机构IdentityAuthority负责网站可信标识整个生命周期管理的、用户信任的权威机构。3.1.4
域名DomainName
YD/T2907-2015
在域名系统名字空间中,由当前节点到根节点的路径上所有节点标记的点顺序连接组成的名字。域名的范围包含由数字、英文字母及连接符(“_”)等ASCI编码组成的英文域名,以及由非ASCI编码的字符组成的国际化域名(IDN)两大范畴,比如“中国”,“.网络”,“公司”等。3.1.5
域名系统DomainNameSystem
-种将域名映射为某些预定义类型资源记录(ResourceRecord)的分布式互联网服务系统,网络中域名解析系统间通过相互协作,实现将域名最终解析到相应的资源记录,简称DNS。域名系统由名字空间和资源记录、域名解析系统、解析器三部分共同组成。域名系统的名字空间是一个分层次的(Hierarchical)树状结构,在资源记录中存储了包含IP地址等与域名相关的多种信息,通过不同层次上域名解析系统的协作实现对域名属性信息的分布式检索。3.1.6
资源记录ResourceRecord
在域名系统中用于存储与域名相关的属性信息,简称RR。每个域名对应的记录可能为空或者多条。域名的资源记录由名字(Name)、类型(Type)、种类(Class)、生存时间(TTL)、记录数据长度(Rdlength)、记录数据(Rdata)等字段组成。3.1.7
域名TXT记录DomainNameTXTRecord域名资源记录的一种,该资源记录的类型为TXT,用于记录和域名相关任意文本类型数据,简称TXT记录。
域名系统安全扩展DNsSecurityExtensions域名系统的一套安全扩展,提供DNS客户端验证DNS数据的真实性和完整性,简称DNSSEC。3.1.9
可信应用TrustedApplication
支持网站可信标识的应用,包括浏览器、搜索引擎、即时通讯应用等。3.1.10
数字证书DigitalCertificate
由证书管理机构数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
3.2缩略语
下列缩略语适用于本文件。
DNSSEC
DomainNameSystem
DNS SecurityExtension
Hypertext Transfer Protocol
IdentityAuthority
Instant Messenger
Domain Name TXT Record
域名系统
域名系统安全扩展
超文本传输协议
标识权威机构
即时通讯应用
域名TXT记录
Website Trusted Identity
4网站可信标识描述
4.1概述
网站可信标识
YD/T2907-2015
网站可信标识是由网站申请,由标识权威机构发布的。标识权威机构要对被验证网站身份进行一系列验证,然后根据《基于域名系统(DNS)的网站可信标识服务技术规范》规定的数据格式,生成网站可信标识。
网站可信标识具有唯一性、防止假冒以及可鉴别性的特点。可信应用可以通过获得网站的可信标识,并从可信标识中获得网站身份数据。4.2网站可信标识的逻辑结构
根据《基于域名系统(DNS)的网站可信标识服务技术规范》,WTI是通过域名系统DNS的TXT记录发布、保存和提供查询服务的。WTI中包括标识信息头、标识信息域和标识签名域三部分。其中标识信息头用来标记该TXT记录是网站可信标识数据。标识信息域中则保存了网站可信验证的具体数据,信息集合包括可辨别的WTI序列号、网站域名、可选的网站IP地址,网站验证信息,验证级别、标识有效期,网站实体信息,标识机构信息等。WTI序列号是一串数字或文本申,每个IA发布的WTI序列号是唯一的,可以通过WTI序列号查询一个网站可信标识。标识有效期是一个时间区间,表示在这个时间区间里,由IA维护该WTI的状态信息。标识签名域为可选,用来对标识进行验证,确保标识真实性。当使用数字证书签名方式确保WTI数据真实性时,需要用标识权威机构的数字证书私钥,使用国家密码许可的签名算法,对标识信息域的数据进行签名生成的标识签名域数据。当使用DNSSEC方式确保WTI数据真实性时,则不需要标识签名域或可不对签名数据进行验证。
标识权威机构公钥的发布采用现有域名证书方式,由标识权威机构向可信应用厂商提交预埋申请,可信应用对标识权威机构进行审核,信任该标识权威机构验证的网站,则将该标识权威机构公钥预埋在可信应用中,用于对该标识权威机构发布的可信标识的验证。5网站可信标识的使用
5.1概述
可信应用使用网站可信标识来确定网站身份,并在应用上对互联网用户进行提醒,提高网民对访问的网站所属实体的了解,识别假冒和钓鱼网站,从而避免网民在上网时被诈骗和钓鱼,减少经济损失。可信应用应根据本标准的要求,在应用中开发相关的功能,使用WTI。在使用WTI时,主要经过查询、数据解析、验证、展现共4个步骤。5.2技术架构
可信应用在使用WTI时可采用以下技术架构,如图1所示。WT功能模块
WT缓存模块
图1可信应用WTI技术架构wwW.bzxz.Net
WTIDNS服务
YD/T2907-2015
a)WTI功能模块:指实现WTI使用的功能模块,通常集成在可信应用中。b)WTI缓存:指缓存WTI数据的模块。WTI缓存模块不是必须的,可以根据具体应用情况和使用情况进行选择。由于每次查询标识权威机构的WTIDNS服务,有一定的网络开销,为了提高查询效率和用户体验,可信应用一般会对查询的WTI数据进行缓存。当查询相同网址的WTI数据时,就可以从缓存模块中直接获取数据。WTI缓存模块的位置一般有两种情况:本地缓存和服务端缓存。有本地客户端的应用,通常使用本地缓存,而其他Web应用通常使用服务端缓存。也可以同时在本地和服务端都设置缓存。
c)WTIDNS服务:指包含有WTI数据的DNS服务。标识权威机构应提供包含该机构验证网址信息的WTIDNS服务。网站也可以通过在网站域名DNS记录中增加包含WTI数据的TXT记录提供WTIDNS服务。
5.3网站可信标识的使用流程
可信应用在使用WTI时的使用流程如图2所示。WTI功能模块
数据解析
WTI缓存模块
更新缓存
图2可信应用WTI使用流程
WTIDNS服务
a)当可信应用要查询某网站的WTI数据时,WTI功能模块向WTI缓存模块发起查询。如果缓存中有该网站的WTI数据,则直接返回,否则将继续向WTIDNS服务查询。b)WTIDNS服务根据网站域名,将WTI数据返回给WTI缓存模块。c)WTI缓存模块更新缓存后,将查询到的WTI数据返回给WTI功能模块。d)WTI功能模块对查询的结果进行数据解析。e)WTI功能模块对解析后的数据进行验证,确认数据有效性和真实性。YD/T2907-2015
f)WTI功能模块根据验证结果和解析后的网站验证数据,在可信应用上展现网站可信标识。6网站可信标识的查询
6.1查询条件
可信应用在查询网站可信标识时,查询条件应使用该网站完整的主机名,而不应使用网址或域名。如果根据域名查询,则查询范围会比较广,当遇到一个域名下有多个不同实体机构时,会导致查询结果不够精确。例如:网上商城类网站,不同的商家可能会使用该网上商城的不同子域名,如果仅根据域名查询,则查到的信息就只是该商城的实体信息,而不是具体商家的信息。因此,对于可信应用,应将网址数据去掉HTTP协议标识和网址路径后,用剩余的主机名进行查询,例如:
htp://abc.def.com/x/y/z/index.html,通过字符串处理后,应该使用abc.def.com进行查询。6.2WTI缓存
WTI缓存模块不是必须的,可信应用厂商可以根据具体应用情况和使用情况进行选择。浏览器和IM软件类应用,应采用本地缓存策略,以减少网络交互,提高用户体验,也可以同时在本地和服务端都设置缓存。搜索引擎类Web应用,应采用服务器端缓存策略,减少服务端到WTIDNS服务端的网络交互,提高效率。为保证WTI数据的及时性,缓存策略的缓存时间不应超过24小时。7网站可信标识的数据解析
7.1概述
由于WTI数据是通过域名系统DNS的TXT记录发布、保存和提供查询服务的,因此当获得查询返回的数据后,首先应根据标识信息头的数据格式来判断该TXT记录是否是网站可信标识数据。然后按照《基于域名系统(DNS)的网站可信标识服务技术规范》第9章的数据格式定义,对WTI数据进行解析将标识信息头、标识信息域和标识签名域三部分数据分别解析出来。标识信息头中定义了WTI数据的协议版本以及编码格式和分组信息,所以在解析时,要根据协议版本和编码,使用对应的解析器完成对数据的解析。7.2重组
当WTI的数据长度超过DNSTXT记录单条长度限制255字节时,标识数据将被分组。此时将会查询到多个TXT记录。因此在解析时,需要将分组数据按照顺序重组还原。具体步骤为:
a)根据WTI标识信息头中的总分组数确定数据分组数量。b)根据WTI标识信息头中的分组编号,确定当前数据在分组中的顺序。c)按照分组顺序,将数据串联,即可得到完整的标识信息域和标识签名域数据。d)然后按照WTI数据格式定义,将标识信息和签名数据解析出来。5
YD/T2907-2015
8网站可信标识的验证
8.1概述
可信应用应对WTI进行验证,确保获取的WTI是真实、有效的,然后再使用WTI包含的验证数据。如果无法通过验证,则WTI的数据是不可信的,不能将其中的信息展示给用户,避免产生误导。对WTI数据的验证过程,应该按照以下步骤进行:a)根据签名或DNSSEC,验证WTI的真实性、完整性。b)根据标识信息域的数据验证WTI的有效性。c)根据标识信息域的数据,验证WTI数据与查询的网站的一致性。8.2真实性、完整性验证
可信应用应根据标识签名域的签名算法和签名值,使用标识权威机构数字证书的公钥,对标识信息域的数据进行校验,确认该WTI是由标识权威机构签发,并且数据完整,未经过算改。如果标识权威机构提供的WTIDNS服务部署了DNSSEC,是通过DNSSEC机制来确保查询过程中的数据真实完整性的,则可信应用也可以利用DNSSEC协议来对DNS查询结果进行验证,那么可以不用标识签名域数据进行验证。
8.3有效性验证
可信应用应根据标识信息域中的数据,验证WTI是否有效。具体包括:一验证网站可信标识是否过期。根据WTI的有效期,判断当前时间是否在有效期区间内,确认该WTI是否有效。
一验证网站可信标识是否已经被废除。此项验证为可选,根据标识信息域中是否包含有标识权威机构提供的实时验证地址或者WTI吊销的列表地址,来验证WTI是否被废除。8.4一致性验证
可信应用应根据标识信息域中的数据与待查询网站的信息进行匹配,判断该WTI是否为所查询网站的数据。一致性验证包括但不限于域名及IP地址一致性验证。一验证WTI数据中的域名信息和待查询网站是否一致。一验证WTI数据中的IP信息和待查询网站是否一致。此项验证为可选,根据WTI数据中是否包括网站的IP地址,来验证待查询网站的IP是否一致。9网站可信标识的展现
可信应用当完成WTI的验证后,应在应用的明显位置展现一个标记,来表示该网站是通过了标识权威机构的网站身份验证,并展示WT中包含的验证数据,以此来提醒用户。该标记应该可以通过点击或鼠标悬停等事件,触发显示该网站验证的基本信息,包括在WTI验证数据中的网站名称、网站所有者名称、验证级别等。
除了可以显示WT中基本验证信息外,可信应用还应提供更详细的验证信息查询功能,当用户使用该功能时,可信应用可根据WTI的验证地址和WTI序列号,跳转到标识权威机构提供的Web查询系统查验该网站更详细的验证信息和验证证书不同类型的可信应用,可根据应用的特点和用户界面设计网站可信标识的展现标记,可参考附录A所示样式实现。
附录A
(资料性附录)
可信应用的网站可信标识展现样式YD/T2907-2015
本附录描述了不同类型可信应用的网站可信标识展现样式,为可信应用设计标识展现提供参考。A.1浏览器
浏览器在展现网站可信标识时的参考样式如图A.1所示。浏览器可将标识显示在浏览器地址栏左侧或右侧。当鼠标点击或悬停在标识上时,冒泡显示网站可信标识的基本验证信息,并提供查询详细验证信息的链接。
http://test.cn
测览器地址栏
网站可信标识示例
显示网站可信标识的
基本验证信息
验证信息
a)网站可信标识在地址栏右侧
网站可信标识示例
http:/test.cn
显示网站可信标识的
基本验证信息
工蜂更支
b)网站可信标识在地址栏左侧
图A.1浏览器的网站可信标识展现样式A.2搜索引擎
测览器地址栏
搜索引擎在展现网站可信标识时的参考样式如图A.2所示。搜索引擎可根据搜索结果页面的布局,将标识显示在搜索结果后面或者搜索结果的网址之后。当鼠标点击或悬停在标识上时,冒泡显示网站可信标识的基本验证信息,并提供查询详细验证信息的链接。新闻
新闻中心首页
问中心工心
网站可信标识示例
显示网站可信标识
的基本验证信息
新闻,w管家,test.xxx/-11小时前-快照览携素结果
搜素引擎搜索框
同内,可限
a)网站可信标识在搜索结果标题之后新闻
新闻中心首页
搜索引擎携索框
间,,
新间test.rx/-11小时前-快照-预览@网站可信标识示例
都携素结果
显示网站可信标
识基本验证信息
b)网站可信标识在搜索结果网址之后图A.2浏览器的网站可信标识展现样式7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2907-2015
基于域名系统(DNS)的网站可信标识服务应用技术要求
Technical specification for applications of website trusted identityservicebasedondomainnamesystem(DNs)2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部发布前
1范围·
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语·
4网站可信标识描述
概述·
4.2网站可信标识的逻辑结构
5网站可信标识的使用
概述·
技术架构·
5.3网站可信标识的使用流程·
6网站可信标识的查询…·
6.1查询条件·
6.2WTI缓存+
7网站可信标识的数据解析…
概述·
重组·
8网站可信标识的验证:
8.1概述··
8.2真实性、完整性验证**
8.3有效性验证.·
8.4一致性验证
9网站可信标识的展现
附录A(资料性附录)
参考文献
可信应用的网站可信标识展现样式YD/T2907-2015
YD/T2907-2015
本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位:互联网域名系统北京市工程研究中心有限公司、北龙中网(北京)科技有限责任公司、中国电信集团公司。
本标准主要起草人:高
宁、卢文哲、马迪、毛伟、沈军。I
YD/T2907-2015
在互联网高速发展的背后,安全问题对互联网行业的威胁越来越大,网络诚信问题日渐突出,钓鱼网站、挂马网站、篡改网站、仿冒知名品牌等,给网民和网站带来了极大的利益损失,网民整体对网络的安全感在降低。可见中国互联网发展欣欣向荣,但对互联网公信力的质疑已经成为互联网发展的纤脚石。因此,如何保证网站诚信,构建安全可信的互联网环境,有效抵制钓鱼、假冒网站已经成为国家信息系统安全建设急需解决的重要问题。本标准是《基于域名系统(DNS)的网站可信标识服务技术规范》的配套标准,通过本标准,进一步明确和规范化网站可信标识的应用过程,统一验证流程和展现形式,规定了如何在浏览器,搜索引擎,即时通讯软件等互联网的重要入口,采用更符合中国网民上网习惯的展示方式,避免不同应用在标准使用过程中的功能或流程差异可能导致的功能性问题,让网民方便、快捷地识别网站的身份,以开放合作的格局建立更安全更全面的网站认证体系和管理体系,促进网站可信验证服务规范有序发展,从而推动国家互联网由可用到可信的转变,推动国家互联网信任体系的建立。YD/T2907-2015
基于域名系统(DNS)的网站可信标识服务应用技术要求1范围
本标准规定了支持基于域名系统(DNS)的网站可信标识的所有互联网应用,对网站可信标识的查询、解析、验证和展现等方面的技术要求。本标准适用于对基于域名系统(DNS)的网站可信标识服务进行查询、解析、验证和展现等操作的互联网应用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2135-2010
YD/T2143-2010
IETFRFC1035
IETFRFC4033
IETFRFC4034
3术语、定义和缩略语
3.1术语和定义
域名系统运行总体技术要求
基于国际多语种域名体系的中文域名的编码处理技术要求基于域名系统(DNS)的网站可信标识服务技术规范域名—执行和规范
DNSSEC的介绍和需求
资源记录支持DNSSEC的扩展
下列术语和定义适用于本文件。3.1.1
网站可信WebsiteTrusted
网站所属的主体身份信息由标识权威机构进行了核对和验证,是真实可信的。3.1.2
网站可信标识WebsiteTrustedldentity由网站申请,由标识权威机构对网站身份进行验证,根据本标准产生的具有唯一性、防止假冒以及可鉴别性的网站身份数据对象,简称标识。3.1.3
标识权威机构IdentityAuthority负责网站可信标识整个生命周期管理的、用户信任的权威机构。3.1.4
域名DomainName
YD/T2907-2015
在域名系统名字空间中,由当前节点到根节点的路径上所有节点标记的点顺序连接组成的名字。域名的范围包含由数字、英文字母及连接符(“_”)等ASCI编码组成的英文域名,以及由非ASCI编码的字符组成的国际化域名(IDN)两大范畴,比如“中国”,“.网络”,“公司”等。3.1.5
域名系统DomainNameSystem
-种将域名映射为某些预定义类型资源记录(ResourceRecord)的分布式互联网服务系统,网络中域名解析系统间通过相互协作,实现将域名最终解析到相应的资源记录,简称DNS。域名系统由名字空间和资源记录、域名解析系统、解析器三部分共同组成。域名系统的名字空间是一个分层次的(Hierarchical)树状结构,在资源记录中存储了包含IP地址等与域名相关的多种信息,通过不同层次上域名解析系统的协作实现对域名属性信息的分布式检索。3.1.6
资源记录ResourceRecord
在域名系统中用于存储与域名相关的属性信息,简称RR。每个域名对应的记录可能为空或者多条。域名的资源记录由名字(Name)、类型(Type)、种类(Class)、生存时间(TTL)、记录数据长度(Rdlength)、记录数据(Rdata)等字段组成。3.1.7
域名TXT记录DomainNameTXTRecord域名资源记录的一种,该资源记录的类型为TXT,用于记录和域名相关任意文本类型数据,简称TXT记录。
域名系统安全扩展DNsSecurityExtensions域名系统的一套安全扩展,提供DNS客户端验证DNS数据的真实性和完整性,简称DNSSEC。3.1.9
可信应用TrustedApplication
支持网站可信标识的应用,包括浏览器、搜索引擎、即时通讯应用等。3.1.10
数字证书DigitalCertificate
由证书管理机构数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
3.2缩略语
下列缩略语适用于本文件。
DNSSEC
DomainNameSystem
DNS SecurityExtension
Hypertext Transfer Protocol
IdentityAuthority
Instant Messenger
Domain Name TXT Record
域名系统
域名系统安全扩展
超文本传输协议
标识权威机构
即时通讯应用
域名TXT记录
Website Trusted Identity
4网站可信标识描述
4.1概述
网站可信标识
YD/T2907-2015
网站可信标识是由网站申请,由标识权威机构发布的。标识权威机构要对被验证网站身份进行一系列验证,然后根据《基于域名系统(DNS)的网站可信标识服务技术规范》规定的数据格式,生成网站可信标识。
网站可信标识具有唯一性、防止假冒以及可鉴别性的特点。可信应用可以通过获得网站的可信标识,并从可信标识中获得网站身份数据。4.2网站可信标识的逻辑结构
根据《基于域名系统(DNS)的网站可信标识服务技术规范》,WTI是通过域名系统DNS的TXT记录发布、保存和提供查询服务的。WTI中包括标识信息头、标识信息域和标识签名域三部分。其中标识信息头用来标记该TXT记录是网站可信标识数据。标识信息域中则保存了网站可信验证的具体数据,信息集合包括可辨别的WTI序列号、网站域名、可选的网站IP地址,网站验证信息,验证级别、标识有效期,网站实体信息,标识机构信息等。WTI序列号是一串数字或文本申,每个IA发布的WTI序列号是唯一的,可以通过WTI序列号查询一个网站可信标识。标识有效期是一个时间区间,表示在这个时间区间里,由IA维护该WTI的状态信息。标识签名域为可选,用来对标识进行验证,确保标识真实性。当使用数字证书签名方式确保WTI数据真实性时,需要用标识权威机构的数字证书私钥,使用国家密码许可的签名算法,对标识信息域的数据进行签名生成的标识签名域数据。当使用DNSSEC方式确保WTI数据真实性时,则不需要标识签名域或可不对签名数据进行验证。
标识权威机构公钥的发布采用现有域名证书方式,由标识权威机构向可信应用厂商提交预埋申请,可信应用对标识权威机构进行审核,信任该标识权威机构验证的网站,则将该标识权威机构公钥预埋在可信应用中,用于对该标识权威机构发布的可信标识的验证。5网站可信标识的使用
5.1概述
可信应用使用网站可信标识来确定网站身份,并在应用上对互联网用户进行提醒,提高网民对访问的网站所属实体的了解,识别假冒和钓鱼网站,从而避免网民在上网时被诈骗和钓鱼,减少经济损失。可信应用应根据本标准的要求,在应用中开发相关的功能,使用WTI。在使用WTI时,主要经过查询、数据解析、验证、展现共4个步骤。5.2技术架构
可信应用在使用WTI时可采用以下技术架构,如图1所示。WT功能模块
WT缓存模块
图1可信应用WTI技术架构wwW.bzxz.Net
WTIDNS服务
YD/T2907-2015
a)WTI功能模块:指实现WTI使用的功能模块,通常集成在可信应用中。b)WTI缓存:指缓存WTI数据的模块。WTI缓存模块不是必须的,可以根据具体应用情况和使用情况进行选择。由于每次查询标识权威机构的WTIDNS服务,有一定的网络开销,为了提高查询效率和用户体验,可信应用一般会对查询的WTI数据进行缓存。当查询相同网址的WTI数据时,就可以从缓存模块中直接获取数据。WTI缓存模块的位置一般有两种情况:本地缓存和服务端缓存。有本地客户端的应用,通常使用本地缓存,而其他Web应用通常使用服务端缓存。也可以同时在本地和服务端都设置缓存。
c)WTIDNS服务:指包含有WTI数据的DNS服务。标识权威机构应提供包含该机构验证网址信息的WTIDNS服务。网站也可以通过在网站域名DNS记录中增加包含WTI数据的TXT记录提供WTIDNS服务。
5.3网站可信标识的使用流程
可信应用在使用WTI时的使用流程如图2所示。WTI功能模块
数据解析
WTI缓存模块
更新缓存
图2可信应用WTI使用流程
WTIDNS服务
a)当可信应用要查询某网站的WTI数据时,WTI功能模块向WTI缓存模块发起查询。如果缓存中有该网站的WTI数据,则直接返回,否则将继续向WTIDNS服务查询。b)WTIDNS服务根据网站域名,将WTI数据返回给WTI缓存模块。c)WTI缓存模块更新缓存后,将查询到的WTI数据返回给WTI功能模块。d)WTI功能模块对查询的结果进行数据解析。e)WTI功能模块对解析后的数据进行验证,确认数据有效性和真实性。YD/T2907-2015
f)WTI功能模块根据验证结果和解析后的网站验证数据,在可信应用上展现网站可信标识。6网站可信标识的查询
6.1查询条件
可信应用在查询网站可信标识时,查询条件应使用该网站完整的主机名,而不应使用网址或域名。如果根据域名查询,则查询范围会比较广,当遇到一个域名下有多个不同实体机构时,会导致查询结果不够精确。例如:网上商城类网站,不同的商家可能会使用该网上商城的不同子域名,如果仅根据域名查询,则查到的信息就只是该商城的实体信息,而不是具体商家的信息。因此,对于可信应用,应将网址数据去掉HTTP协议标识和网址路径后,用剩余的主机名进行查询,例如:
htp://abc.def.com/x/y/z/index.html,通过字符串处理后,应该使用abc.def.com进行查询。6.2WTI缓存
WTI缓存模块不是必须的,可信应用厂商可以根据具体应用情况和使用情况进行选择。浏览器和IM软件类应用,应采用本地缓存策略,以减少网络交互,提高用户体验,也可以同时在本地和服务端都设置缓存。搜索引擎类Web应用,应采用服务器端缓存策略,减少服务端到WTIDNS服务端的网络交互,提高效率。为保证WTI数据的及时性,缓存策略的缓存时间不应超过24小时。7网站可信标识的数据解析
7.1概述
由于WTI数据是通过域名系统DNS的TXT记录发布、保存和提供查询服务的,因此当获得查询返回的数据后,首先应根据标识信息头的数据格式来判断该TXT记录是否是网站可信标识数据。然后按照《基于域名系统(DNS)的网站可信标识服务技术规范》第9章的数据格式定义,对WTI数据进行解析将标识信息头、标识信息域和标识签名域三部分数据分别解析出来。标识信息头中定义了WTI数据的协议版本以及编码格式和分组信息,所以在解析时,要根据协议版本和编码,使用对应的解析器完成对数据的解析。7.2重组
当WTI的数据长度超过DNSTXT记录单条长度限制255字节时,标识数据将被分组。此时将会查询到多个TXT记录。因此在解析时,需要将分组数据按照顺序重组还原。具体步骤为:
a)根据WTI标识信息头中的总分组数确定数据分组数量。b)根据WTI标识信息头中的分组编号,确定当前数据在分组中的顺序。c)按照分组顺序,将数据串联,即可得到完整的标识信息域和标识签名域数据。d)然后按照WTI数据格式定义,将标识信息和签名数据解析出来。5
YD/T2907-2015
8网站可信标识的验证
8.1概述
可信应用应对WTI进行验证,确保获取的WTI是真实、有效的,然后再使用WTI包含的验证数据。如果无法通过验证,则WTI的数据是不可信的,不能将其中的信息展示给用户,避免产生误导。对WTI数据的验证过程,应该按照以下步骤进行:a)根据签名或DNSSEC,验证WTI的真实性、完整性。b)根据标识信息域的数据验证WTI的有效性。c)根据标识信息域的数据,验证WTI数据与查询的网站的一致性。8.2真实性、完整性验证
可信应用应根据标识签名域的签名算法和签名值,使用标识权威机构数字证书的公钥,对标识信息域的数据进行校验,确认该WTI是由标识权威机构签发,并且数据完整,未经过算改。如果标识权威机构提供的WTIDNS服务部署了DNSSEC,是通过DNSSEC机制来确保查询过程中的数据真实完整性的,则可信应用也可以利用DNSSEC协议来对DNS查询结果进行验证,那么可以不用标识签名域数据进行验证。
8.3有效性验证
可信应用应根据标识信息域中的数据,验证WTI是否有效。具体包括:一验证网站可信标识是否过期。根据WTI的有效期,判断当前时间是否在有效期区间内,确认该WTI是否有效。
一验证网站可信标识是否已经被废除。此项验证为可选,根据标识信息域中是否包含有标识权威机构提供的实时验证地址或者WTI吊销的列表地址,来验证WTI是否被废除。8.4一致性验证
可信应用应根据标识信息域中的数据与待查询网站的信息进行匹配,判断该WTI是否为所查询网站的数据。一致性验证包括但不限于域名及IP地址一致性验证。一验证WTI数据中的域名信息和待查询网站是否一致。一验证WTI数据中的IP信息和待查询网站是否一致。此项验证为可选,根据WTI数据中是否包括网站的IP地址,来验证待查询网站的IP是否一致。9网站可信标识的展现
可信应用当完成WTI的验证后,应在应用的明显位置展现一个标记,来表示该网站是通过了标识权威机构的网站身份验证,并展示WT中包含的验证数据,以此来提醒用户。该标记应该可以通过点击或鼠标悬停等事件,触发显示该网站验证的基本信息,包括在WTI验证数据中的网站名称、网站所有者名称、验证级别等。
除了可以显示WT中基本验证信息外,可信应用还应提供更详细的验证信息查询功能,当用户使用该功能时,可信应用可根据WTI的验证地址和WTI序列号,跳转到标识权威机构提供的Web查询系统查验该网站更详细的验证信息和验证证书不同类型的可信应用,可根据应用的特点和用户界面设计网站可信标识的展现标记,可参考附录A所示样式实现。
附录A
(资料性附录)
可信应用的网站可信标识展现样式YD/T2907-2015
本附录描述了不同类型可信应用的网站可信标识展现样式,为可信应用设计标识展现提供参考。A.1浏览器
浏览器在展现网站可信标识时的参考样式如图A.1所示。浏览器可将标识显示在浏览器地址栏左侧或右侧。当鼠标点击或悬停在标识上时,冒泡显示网站可信标识的基本验证信息,并提供查询详细验证信息的链接。
http://test.cn
测览器地址栏
网站可信标识示例
显示网站可信标识的
基本验证信息
验证信息
a)网站可信标识在地址栏右侧
网站可信标识示例
http:/test.cn
显示网站可信标识的
基本验证信息
工蜂更支
b)网站可信标识在地址栏左侧
图A.1浏览器的网站可信标识展现样式A.2搜索引擎
测览器地址栏
搜索引擎在展现网站可信标识时的参考样式如图A.2所示。搜索引擎可根据搜索结果页面的布局,将标识显示在搜索结果后面或者搜索结果的网址之后。当鼠标点击或悬停在标识上时,冒泡显示网站可信标识的基本验证信息,并提供查询详细验证信息的链接。新闻
新闻中心首页
问中心工心
网站可信标识示例
显示网站可信标识
的基本验证信息
新闻,w管家,test.xxx/-11小时前-快照览携素结果
搜素引擎搜索框
同内,可限
a)网站可信标识在搜索结果标题之后新闻
新闻中心首页
搜索引擎携索框
间,,
新间test.rx/-11小时前-快照-预览@网站可信标识示例
都携素结果
显示网站可信标
识基本验证信息
b)网站可信标识在搜索结果网址之后图A.2浏览器的网站可信标识展现样式7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。