YD_T 2937-2015扩展消息与表示协议 (XMPP) 地址格式.pdf

ICS 33.100.70L 79YO中华人民共和国通信行业标准YD/T2937-2015扩展消息与表示协议（XMPP）地址格式Extensiblemessagingandpresenceprotocol(XMPP)Addressformat2015-07-14发布2015-10-01实施中华人民共和国工业和信息化部发布 YD/T2937-2015模伤地址发生在当实体提供合法的身份验证凭据和从帐户发送XML节时。此帐户的JID与人类用户使用的另一个JID相同，比如，一些客户端的地址“juliet@”（本地部分的第三个字符是‘1）以乎和juliet@（小写字母的“L’）相同，视觉检测容易失误。这种现象有时也被称为“typejacking”，模仿地址更为复杂的例子可能涉及使用相似的扩展控丁文：一个块的Unicode代码点，比如来自Cherokee块的字符+13DA U+13A2 U+13B5 U+13AC U+13A2 U+13AC U+13D2代替看起来相似的US-ASCII字符STPETER。在一些模仿地址的例子中，普通用户不太可能区分真JID和假JID之间的区别，（事实上，没有哪种编程方法能充分判定假JID和真JID：一些通信文档中，Cherokee字符组成的JID可能是真JID，而US-ASCII字符组成的JID可能像假JID。）固为JIDs可包含几乎所有的正确编码的Unicode代码点，它可以比较客易在XMPP系统中模仿一些JIDs，模仿增址的可能性引入安全漏洞也固扰着万维网，具体现象称之为网络钓鱼。出现这种间题是因为Unicode和ISO/EC10646有许多看起来相似的指令系统（即所谓的“混淆的字符”或“混淆”），在许多情况下，XMPP用户可能执行视觉匹配，如在和通信另一方进行JID比较时。因为没有大量的上下文字符，XMPP用户不可能绘制外观类似字符。以STRINGPREP和STRINGPREP为基础的技术（如Nameprep、Nodeprep和Resourceprep）不能映射外观类似的字符，也不能禁止某些字符，因为它们着起来和其他的一样。因此，XMPP的本地和资源部分可能包含混滑的字符，生产的JIDs模仿其他的JIDs，从面导致如下的安全漏润：，一个本地部分可以作为XMPP实体地址的一部分，一个常见的用法是作为一个即时消息的用户名，另一种是作为一个多用户聊天室的名称，以及作为许多其他种类的实体可使用部分地址的本地部分。这类服务的安全性可能会大大降低，因为国际上存在不同的本地部分的解释。比如，用户进入一个单独的国际化的本地部分，可以访间其他用户的账户信息，或用户可以进入一个隐藏的或以其他方式限制的即天室或服务。。一-个资源部分可以作为XMPP实体地址的一部分，一个常见的用法是作为用户的连接资源的即时消息名，另一个是作为多用户聊天室的用户昵称，以及作为许多其他种类的实体可使用部分地址的资源部分。这类服务的安全性可能会大大降低，因为国际上存在不同的资源部分的解释，例如，存在两个或两个以上混滑的资源，可以在同一时间侵犯同一限制的累户（造成使用完整的JIDs的XMPP应用程序的授权不一致），或用户可以发送消息给某一个人，而不是多用户聊天室中预期的接收者。尽管在Unicode安全性事项中的混滑字符的识别和处理有些具体的建议，但是确实目前没有全面的技术方案解决混淆字符的问题。模仿的JIDs包含来自脚本字符，或特定的用户使用的通常脚本，或语言使用者的群体的字符，这是不容易克服的（如前面所述的简单typejacking攻击，typejacking攻击依赖于字符“1”和“L”间表达的相似性》，然而，模仿地址包含来自超过一个脚本字符，或由一个特定的用户使用的通常脚本，或语言使用者群体的字符，可以通过在XMPP服务上的实行恰当的注册策略和在XMPP客户端软件上实现表达策略，从而在一定程度上减轻模仿地址的可能性。因此，可考虑以下策略，a）因为一个XMPP服务允许XMPP用户账户的注姆（本地部分）所扮演的角色类似注册表DNS域名，所以这样的服务应该建立有关的字符块和脾本的策略，它被允许在服务的本地部分中。这样的策略很有可能被使用在写注册账户名中的语言和脚本通告，准确地说，是减少混淆，服务可能会禁止XMPP本地部分的多个脚本字符注册，并限制来自极少数的脚本字符的注册.这种策略也适用于XMPP服务，此XMPP服务允许XMPP资源部分的暂时或水久性注册，如资源绑定或连接基于XMPP聊天室。对于在域名注册方5 YD/T的相关注意事项，请参考[IDNA-PROTO]的4.3节和[IDNA-RATIONALE]的3.2节。注意：强制约束的方法超出了本标准讨论的范围。b）由于每一个XMPP客户端的人类用户可能有首选语言（或者，