互联网域名国际化与安全技术导论

本书基于作者对互联网域名国际化与安全问题的研究和思考，以及参与亚太经济合作组织（APEC）国际化电子邮件地址技术部署项目的认识和经验，参考国内外技术资料编写而成。本书先回顾了互联网域名的发展历史，然后对IETF、ICANN和UASG等互联网国际组织做了简单的介绍，接着详细地介绍了国际化域名技术的应用基础和技术原理，最后重点分析了IDNA的表情符号、中文域名解析机制、国际化电子邮件地址技术、域名系统安全扩展技术，以及电子邮件安全技术与协议等。

姚健康，男，博士，毕业于新加坡国立大学，国际技术标准组织IETF工作组联合主席、中国通信标准化协会CCSA工作组副组长，现工作于中国互联网络信息中心，长期从事互联网域名国际化与安全技术的研究工作。

前 言
我国自1994年4月20日全功能接入国际互联网以来，已逾26年。26年来，政府、业界、网民共襄盛举、携手奋斗。经各方共同努力，互联网在我国得到迅猛发展和广泛应用，网民规模已超9亿，数量居全球第一，我国现已名副其实地成为世界网络大国，并正积极地向网络强国进发。发展好、运用好、治理好互联网，让互联网更好地造福人类，已成为人们的共识。未来，在进一步推动网络空间全球治理下，一定能够构建起一个更加健康有序、持续发展的网络空间命运共同体。
互联网建设与发展的初衷是互联互通、国际接轨。域名作为互联网最关键的基础资源之一，在推动互联网国际化的同时，我国科学家也在积极推动互联网域名的国际化进程，有关研究成果在多语种电子邮件地址、新通用顶级域名（NewG）等新兴互联网服务中均得到了切实体现和部署应用，有力推动了中文在互联网技术与应用领域的发展。
所谓国际化域名（IDN），也称为多语种域名，是指在域名字段里包含非ASCII字符的域名，如包含中文字符的为中文域名、包含日文字符的为日文域名等。在互联网发展初期，域名只能使用63个ASCII字符（“a～z”“A～Z”“0～9”“-”），如www.cnnic.cn。随着互联网在非英语国家的迅猛发展，20世纪90年代末，国际互联网界提出了采用本地语言或文字来表示的多语种域名或国际化域名的需求。2003年3月，互联网工程任务组（IETF）发布了与国际化域名有关的三个核心技术标准RFC 3490、RFC 3491和RFC 3492，奠定了国际化域名技术体系的基础。后经修订，正式发布了RFC 5890、RFC 5891、RFC 5892、RFC 5893和RFC 5894这5个国际化域名技术标准。
就建立在互联网域名系统上的最大应用之一的电子邮件系统而言，电子邮件地址（如[email protected]）通常包括两个部分：@左半部分是电子邮件的用户标识部分（本地部分），主要由电子邮件的相关技术标准来规范；@右半部分是电子邮件的域名部分，主要由互联网域名的相关技术标准来规范。国际化电子邮件地址技术基于IETF的RFC 6531和RFC 6532等技术标准。目前，微软、谷歌等公司以及各知名开源软件均已支持上述标准。本书部分作者积极参与了上述标准的制定，是RFC 6531的主要作者之一。随着非英语母语网民数量的增加，互联网域名及其最大应用之一的国际化电子邮件问题就显得越来越重要。就我国而言，有必要进一步研究好、应用好、推广好中文域名和中文电子邮件地址等技术，更好地宣传中国文化，讲好网上中国故事。
没有网络安全就没有国家安全，保证网络安全现已上升为我国的国家安全战略。域名是互联网最关键的基础资源之一，域名系统是互联网的“神经系统”，其安全事关整个互联网的安全与稳定。保证互联网域名的安全是整个网络安全和信息化工作中一项极其重要的内容，是互联网时代保证我国网络安全和国家安全的重要工作之一，我国为此花大气力开展了对互联网域名安全技术与系统的研究及建设。
本书作者长期从事互联网和信息技术、网络安全和信息化、互联网域名国际化和电子邮件系统等方面的技术研究、标准制定和应用推广等工作，根据自身对互联网域名国际化与安全问题的研究和思考，以及参与亚太经济合作组织（APEC）国际化电子邮件地址技术部署项目的认识和经验，编撰此书。本书主要参照了IETF IDN、EAI和DNS的核心RFC技术标准，与相关的RFC在内容和思路上基本保持一致，部分内容根据我国的实际情况有所调整。本书对互联网域名国际化、互联网域名系统与网络安全、国际化电子邮件地址技术与标准等相关知识和内容进行了全面、系统的介绍，可推动互联网域名国际化和中文域名及其安全技术在更多地区、更大领域得到推广应用。
本书共分9章：第1章回顾互联网及互联网域名的发展历史；第2章是对IETF、ICANN和UASG等互联网国际组织的简单介绍；第3章阐述国际化域名应用基础；第4章比较详细地介绍了国际化域名技术；第5章说明什么是IDNA的表情符号；第6章分析中文域名解析机制；第7章比较详细地介绍了国际化电子邮件地址技术；第8章介绍域名系统安全扩展技术；第9章阐述电子邮件安全技术与协议。
因作者水平和经验有限，书中错误之处在所难免，敬请读者指正。

作　者　
2020年5月

目 录
第1章　互联网域名发展历史 1
1．1 互联网域名的出现 1
1．2 从ASCII字符到Unicode字符 3
1．3 Unicode字符发展历史 3
1．4 互联网协议中的Unicode字符集 5
第2章　IETF、ICANN和UASG简介 6
2．1 IETF简介 6
2．1．1 IETF的组织机构与主要职责 6
2．1．2 IETF与其他互联网组织的关系 7
2．1．3 IETF的研究领域 9
2．2 ICANN简介 11
2．2．1 ICANN的由来 11
2．2．2 ICANN的组织机构 11
2．2．3 ICANN的职责 13
2．3 UASG简介 14
第3章　国际化域名应用基础 16
3．1 国际化域名应用简介 16
3．1．1 国际化域名应用的发展背景 16
3．1．2 国际化域名应用的适用性与功能性 17
3．1．3 国际化域名应用的易懂性和可预测性 18
3．2 IDNA2008对域名注册和域名查询的处理 18
3．3 国际化域名中的字符及注册政策 18
3．3．1 Unicode字符的类型 19
3．3．2 域名注册政策 21
3．3．3 分层限制条件 21
3．4 与应用程序有关的问题 21
3．4．1 显示和网络顺序 21
3．4．2 应用程序的登录和显示 22
3．4．3 语言期待：合体字、连体字和交替字符形式 23
3．4．4 大小写映射和相关问题 24
3．4．5 从右到左的字符 24
3．5 IDN和健壮规则 24
3．6 域名处理查询的前端和用户界面 25
3．7 IDNA2003和Unicode版本的同步化 26
3．7．1 设计标准 26
3．7．2 字符解释的变更 27
3．7．3 消除字符映射表 29
3．7．4 域名前缀变化的问题 29
3．7．5 Stringprep变更和兼容性 30
3．7．6 标志符号问题 30
3．7．7 未分配码位的字符 31
3．8 基于国际化的考虑 31
第4章 国际化域名技术详解 33
4．1 国际化域名简介 33
4．2 IDNA的技术框架 34
4．2．1 IDNA2008 34
4．2．2 字符和DNS术语 34
4．2．3 IDN术语 35
4．2．4 IDNA中的安全考虑 39
4．3 IDNA协议 42
4．3．1 IDNA的要求和应用 42
4．3．2 IDN的注册 43
4．3．3 IDN的查询 45
4．4 双向字符 47
4．4．1 双向（Bidi）字符的背景和历史 47
4．4．2 Bidi规则的条件 48
4．4．3 Bidi规则的要求 49
4．5 与RFC 3454有关的问题 49
4．5．1 迪维希语 49
4．5．2 依地语 50
4．5．3 带有数字的域名 51
4．5．4 问题的解决建议 51
4．5．5 解决问题过程中的其他事宜 51
4．5．6 兼容性考虑 52
第5章 IDNA的表情符号 53
5．1 表情符号的安全风险 53
5．2 ICANN SSAC关于表情符号的建议 53
5．3 ICANN董事会的决议及理由 55
5．3．1 决议 55
5．3．2 理由 55
第6章 中文域名解析机制 57
6．1 中文域名应用 57
6．2 中文域名的注册和显示 57
6．3 中文域名的生成机制 58
6．4 国际化域名注册方法 59
6．4．1 RFC 3743中的国际化域名注册机制 59
6．4．2 一种新型的国际化域名注册方法 60
6．5 中文域名注册字表 64
6．6 中文域名检测机制 65
6．7 Punycode编码 66
6．7．1 Bootstring算法的基本特点 66
6．7．2 Bootstring算法的主要技术 66
6．8 中文域名注册和用户解析系统 72
6．8．1 中文域名注册模块 73
6．8．2 中文域名激活模块 74
6．8．3 中文域名去活模块 75
6．8．4 中文域名解析模块 76
6．8．5 中文域名安全配置算法模块 76
6．9 中文域名等效实现方案 76
6．9．1 中文域名等效需求 76
6．9．2 记录配置法 76
6．9．3 码表转换法 77
6．9．4 域名系统安全扩展方面的考虑 79
6．9．5 两种方法的优缺点比较 80
第7章 国际化电子邮件地址技术 81
7．1 国际化电子邮件地址技术的发展背景 81
7．1．1 国际化电子邮件地址标准的制定 81
7．1．2 中文域名和中文电子邮件地址标准的制定 82
7．2 中文电子邮件地址的总体技术要求 84
7．2．1 协议概述 84
7．2．2 SMTP扩展支持中文电子邮件地址 84
7．2．3 邮件头支持中文电子邮件地址 85
7．2．4 兼容现有ASCII格式的电子邮件系统 86
7．2．5 POP扩展支持中文电子邮件地址 86
7．2．6 IMAP扩展支持中文电子邮件地址 86
7．2．7 电子邮件客户端扩展支持中文电子邮件地址 86
7．3 中文电子邮件地址的SMTP扩展技术要求 87
7．3．1 SMTP概述 87
7．3．2 SMTP扩展的总体要求 87
7．3．3 中文电子邮件地址的SMTP扩展框架 88
7．3．4 SMTPUTF8扩展 88
7．3．5 中文电子邮件地址语法扩展 89
7．3．6 MAIL命令的参数和响应码 91
7．3．7 中文电子邮件正文部分和SMTP扩展 91
7．3．8 附加SMTP扩展的变化和说明 92
7．3．9 中文电子邮件地址的注册和使用 94
7．4 中文电子邮件邮件头的格式扩展技术要求 94
7．4．1 电子邮件协议概述 94
7．4．2 邮件头格式扩展技术的总体要求 95
7．4．3 UTF8的语法规范 95
7．4．4 MIME邮件头的变化 96
7．4．5 RFC 2822的扩展语法 96
7．4．6 新增的message/global类型简介 97
7．4．7 邮件头格式扩展技术的安全考虑 98
7．5 中文电子邮件地址的POP扩展技术要求 98
7．5．1 POP扩展技术的总体要求 98
7．5．2 LANG能力 99
7．5．3 UTF8能力 100
7．5．4 本地UTF8邮箱 101
7．6 中文电子邮件地址的IMAP扩展技术要求 102
7．6．1 IMAP扩展技术的总体要求 102
7．6．2 “UTF8=ACCEPT”能力 102
7．6．3 “UTF8=APPEND”能力 102
7．6．4 LOGIN命令 103
7．6．5 “UTF8=ONLY”能力 103
7．6．6 与传统IMAP客户端的交互 103
第8章 域名系统安全扩展技术 104
8．1 域名系统安全技术的发展背景 104
8．2 域名系统面临的安全威胁 105
8．2．1 域名系统安全技术的发展需求 105
8．2．2 域名系统面临的已知威胁 106
8．3 DNSSEC的基本原理 110
8．3．1 DNSSEC协议 110
8．3．2 DNSKEY 111
8．3．3 RRSIG 112
8．3．4 NSEC3 113
8．3．5 DS 114
8．3．6 DNSSEC协议的缺陷 115
8．4 支持DNSSEC协议的必要条件 116
8．4．1 DNSSEC协议的基本要求 116
8．4．2 DNS响应报文增大的原因 116
8．4．3 DNSSEC协议的变更 118
8．5 实现DNSSEC协议的必要条件 118
8．6 DNSSEC协议保障DNS动态更新的机制 120
8．7 DNSSEC协议的部署情况 121
8．7．1 DNSSEC协议在顶级域的部署情况 121
8．7．2 DNSSEC协议在二级域的部署情况 121
第9章 电子邮件安全技术与协议 126
9．1 电子邮件安全的背景 126
9．2 电子邮件安全技术 127
9．2．1 垃圾电子邮件的拦截 127
9．2．2 病毒附件的拦截 127
9．2．3 防钓鱼预警机制 127
9．2．4 电子邮件账户的安全 129
9．2．5 密码安全控制 130
9．2．6 异地登录电子邮件的提醒 131
9．2．7 电子邮件传输的加密 131
9．2．8 密级邮件 131
9．2．9 电子邮件的存储加密 132
9．2．10 电子邮件的审核 132
9．2．11 电子邮件的安全协议 133
9．3 电子邮件系统等保三级建设指引 134
9．3．1 电子邮件系统的安全等级 134
9．3．2 安全等级保护的基本要求及安全措施 134
附录A 等保三级信息系统整体安全加固建议 140
附录B 缩略语 144
附录C 常用术语 145
参考文献 149