YD_T 2841-2015基于域名系统（DNS）的网站可信标识服务技术规范.pdf

ICS 33.100.70L 79YD中华人民共和国通信行业标准YD/T2841-2015基于域名系统（DNS）的网站可信标识服务技术规范Technical specification of websitetrusted identity service based ondomain name system (DNS)2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T中标识签名域为可选。当使用数字证书签名方式确保WTI数据真实性时，需要用标识权威机构的数字证书私销，使用国家密码许可的签名算法，对标识信息域的数据进行签名生成标识签名域数据，并将标识签名域附加在标识信息域后。当使用DNSSEC方式确保WTI数据真实性时，！则不需要标识签名域，标识信息域的组成见表2。表2标识信息域的组成名称说明WTI序列号（wtiSerialNo）网站可信标识的序列号网站域名（websiteDomain）网站域名序列，验证时只有验证网站的域名在当前域名序列中才能验证通过，*,表示的所有子域城名验证级别(level)认证级别，用于区分网站验证级别网站名称（websiteName）网站的全称网站所有者名称（websiteOwmer）网站所有者的实体名称，如企业名称网站 IP地址(website ip Address）可选，网站ip地址序列，验证时只有验证网站的ip地址在序列中才能验证通过，p可以用点分十进制表示，也可以用CIDR表示一个网段标识签名域的数据组成见表3。表3标识签名域的组成名称说明签名算法（signaturoAlgorithm）指述签名使用的算法，应使用国家害码许可的算法签名(signatureValue）签名值7网站可信标识的生命周期7.1生命周期状态网站可信标识的生命周期状态及流转关系如图3所示。标训生成标识发存标识延期标识使用标职申请标识更点标识过期标训废除图3标识对象生命周期7.2标识申请标识申请是网站向标识权威机构提交标识申请，提交相关证明材料，标权威机构对其审核确认的过程。网站提出的标识中请包括网站信息、标识级别等。5 YD/T站提供的证明材料包括网站域名、可选的网站IP地址、网站所有者证明材料和其他资质证明材料等，标识权威机构对网站提交的申请和证明材料进行核对和审核，确认有效性后完成标识申请。7.3标识生成标识生成是标识权威机构根据网站提出的标识申请，生成网站可信标识对象的过程。标识权威机构将按照本标准中规定的数据格式，生成网站可信标识。7.4标识发布标识发布是标识权成机构将网站可信标识对象对外公开，使网站可信标识对象可以被网站和可信应用使用。本标准中网站可信标识部署在网站域名DNS的TXT记录中。7.5标识使用标识使用是标识权威机构将网站可信标识发布后，标识被网站和可信应用使用的阶段，在此阶段内，标识处于正常使用状态。标识在标识使用周期后，可能进入到标识延期、标识更改、标识过期、标识度除几个周期。7.6标识过期标识过期是指网站可信标识有效期过期后标识失效的阶段。标识过期后，标识白动失效，不能通过可信应用的验证，标识不能正常使用，标识过期后，应该重新进行标识申请。7.7标识度除标识度除是标识权成机构将特定标识标记作废的过程。当出现网站实体内容更换（如域名、网站所有者发生变化）情况时，网站应向标识权威机构提出标识废除。网站向标识权威机构出标识废除时需提供原标识的原始凭证。当出现以下情况之一时，标识权威机构可以主动废除网站标识：标识权威机构核实网站信息已与网站可信标识不符：网站违反国家相关法令。7.8标识延期当标识有效期结束，而网站需继续使用标识时，标识权威机构进入标识生成流程，采用原有网站信息更换标识唯一ID后重新生成标识，发放给网站维续使用。7.9标识更改当网站实体内容发生更改，如域名、IP或者网站所有者发生变化，则需要对原有标识进行更改。标识的更改首先进入标识废除流程，然后重新进入标识申请流程。8网站可信标识的验证8.1概述以下满种情况下可信应用应对网站标识进行验证：可信应用直接访间网站，这种方式是客户端（如浏览器等）直接访间网站显示网站内容。一可信应用显示网站链接。这种方式是客户端（如有哪些信誉好的足球投注网站引擎、即时通信工具等）不直接访问网站，而仅仅显示网站的链接地址。8.2网站可信标识验证当可信应用需要对网站进行验证时，首先要获取网站可信标识，并对获取的网站可信标识进行验证。 YD/T对网站可信标识的验证应包含以下步骤：a）判断对象是否为标识权威机构签发的。b）当使用数字签名方式验证WTI真实性时，使用标识权威机构数字证书的公例验证WTI中的签名是否有效，判断WTI是否真实有效。当使用DNSSEC方式验证WTI真实性时，要根据D