ICS 35.020 L07 YD 中华人民共和国 通信行业标准 XX/T XXXXX —XXXX 互联网新通用顶级域名服务 支持DNSSEC 的域名注册协议技术要求 Domain name system (DNS) security extensions mapping for the extensible provisioning protocol (EPP) 点击此处添加与国际标准一致性程度的标识 （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 XX/T XXXXX—XXXX I目  次 前言 .................................................................................. II 引言 ................................................................................. III 1　范围 ................................................................................ 1 2　规范性引用文件 ...................................................................... 1 3　术语和定义 .......................................................................... 1 4　DS数据接口和密钥数据接口 ........................................................... 2 4.1　DS数据接口 ..................................................................... 2 4.2　密钥数据接口 .................................................................... 3 5　EPP命令映射 ........................................................................ 3 5.1　EPP查询命令 .................................................................... 3 5.2　EPP转换命令 .................................................................... 4 6　形式化语法 .......................................................................... 6 7　关于国际化域名 ...................................................................... 9 8　安全考量 ............................................................................ 9 附录A（资料性附录） 　例子 ............................................................ 11 参考文献 .............................................................................. 24 XX/T XXXXX—XXXX II引  言 自2012年ICANN开放通用顶级域名以来，全球的域名服务进入了崭新的历史阶段，新的商业模式、 业务规范和支撑技术应运而生 。考虑到今后会有越来越多的机构成为新通用顶级域名注册局和相关服务 的提供者 ，该系列标准的制定有利于指导相关企业部署和运行域名服务 ，促进行业的健康发展 。相关标 准的制定将有利于形成中国的最佳实践 。结合中国的互联网治理环境 （例如工信部针对域名行业的备案 要求），本系列标准的制定也将有利于在域名范畴支撑互联网应用的可信可管可控。 XX/T XXXXX—XXXX III前 言 本标准是“互联网新通用顶级域名服务技术要求 ”系列标准之一。该系列标准的结构和名称如下 ： 《互联网新通用顶级域名服务 总体技术要求》 《互联网新通用顶级域名服务 支持DNSSEC的域名注册协议技术要求》 《互联网新通用顶级域名服务 域名注册协议启动期技术要求》 《互联网新通用顶级域名服务 域名注册协议赎回期技术要求》 《互联网新通用顶级域名服务 域名商标保护服务（ TMCH）流程和接口技术要求》 《互联网新通用顶级域名服务 区文件存取技术要求》 《互联网新通用顶级域名服务 注册局业务数据托管技术要求》 《互联网新通用顶级域名服务 注册局运行月报规范技术要求》 《互联网新通用顶级域名服务 批量数据存取技术要求》 本标准遵循 GB/T 1.1-2009 的规则编写。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位 ：互联网域名系统北京市工程研究中心有限公司、中国互联网络信息中心、北龙中 网（北京）科技有限责任公司、中国信息通信研究院 本标准主要起草人：马迪、周琳琳、王伟、邵晴、司昊林、孔宁、刘阳、高雷、卢文哲XX/T XXXXX—XXXX 1互联网新通用顶级域名服务 支持DNSSEC的域名注册协议技术要求 1　范围 本标准规范了支持 DNSSEC的域名注册可扩展供应协议， 用以发布 DNSSEC授权信息。 本标准适用于搭建同时符合 ICANN技术规范和工信部域名管理办法的新通用顶级域名系统。 2　规范性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用文件 ，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 YD/T 2420-2012 域名注册协议域名供应技术要求 YD/T 2643-2013 域名注册协议可扩展供应协议技术要求 IETF RFC 4034 支持DNSSEC的域名资源记录 IETF RFC 5910 支持DNSSEC的域名注册协议 3　术语和定义 下列术语和定义适用于本文件 3.1　 域名注册局 Registry 也称作“域名注册管理机构”，是指承担顶级域名系统的运行、维护和管理工作的机构。 3.2　 域名注册商 Registrar 也称作“域名注册服务机构”，是指受理域名注册申请，直接完成域名在国内域名数据库中注册 、 直接或间接完成域名在国外顶级域名数据库中注册的机构。 3.3　 授权签名信息 Delegation Signer Information 授权签名（ DS）信息由DNS服务器发布，以表明子区域被数字签名，并且父区域会将 该DS信息所 指示的密钥，识别为子区域的有效区域密钥。 注：DS资源记录（ RR）包含四个字段：密钥标签（ keyTag）字段，密钥算法 (alg)编号的八位字节，标识摘要算法 (digestType) 的八位字节和摘要 (digest) 字段。 3.4　 XX/T XXXXX—XXXX 2最长签名存活期 Maximum Signature Lifetime 最长签名存活期 （maxSigLife ）是子区签名的可选项 ，表示由子区签名所提供的 DS信息进行父区签 名后的过期秒数。该 maxSigLife 值适用于 DS资源记录集的 RRSIG资源记录（ RR）。 4　DS数据接口和密钥数据接口 本标准描述了客户端可以创建 、添加和删除域名的授权签名者 （DS）信息或密钥数据信息的操作场 景。服务器可以支持两种不同形式的接口。第一个是“ DS数据接口 ”，客户端负责创建 DS信息，并且 在执行添加和删除时需要传递 DS信息，服务器需要传递 DS信息<domain:info> 响应；第二个是“密钥 数据接口 ”，客户端负责在执行添加和删除时传递密钥数据信息。服务器负责传递密钥信息对 <domain:info> 进行响应。 服务器必须在单个命令或响应中支持其中一种形式的接口，其中 <secDNS:dsData> 和 <secDNS:keyData> 不得混用，除非 <secDNS:keyData> 是<secDNS:dsData> 的子元素以用于服务器验证。 服务器必须支持在 <secDNS:create>,<secDNS:update>, 和<secDNS:infData> 元素中仅使用一种形式的 接口，除非在过渡期服务器有可能同时支持这两种接口 。例如，在过渡期 ，服务器可以支持每个域名的 DS数据接口或者密钥数据接口，并允许客户端迁