互聯網域名國際化與安全技術導論

本書基於作者對互聯網域名國際化與安全問題的研究和思考，以及參與亞太經濟合作組織（APEC）國際化電子郵件地址技術部署項目的認識和經驗，參考國內外技術資料編寫而成。本書先回顧了互聯網域名的發展歷史，然後對IETF、ICANN和UASG等互聯網國際組織做了簡單的介紹，接著詳細地介紹了國際化域名技術的應用基礎和技術原理，最後重點分析了IDNA的表情符號、中文域名解析機制、國際化電子郵件地址技術、域名系統安全擴展技術，以及電子郵件安全技術與協議等。

姚健康，男，博士，畢業於新加坡國立大學，國際技術標準組織IETF工作組聯合主席、中國通信標準化協會CCSA工作組副組長，現工作於中國互聯網絡信息中心，長期從事互聯網域名國際化與安全技術的研究工作。

目 錄
第1章　互聯網域名發展歷史 1
1．1 互聯網域名的出現 1
1．2 從ASCII字符到Unicode字符 3
1．3 Unicode字符發展歷史 3
1．4 互聯網協議中的Unicode字符集 5

第2章　IETF、ICANN和UASG簡介 6
2．1 IETF簡介 6
2．1．1 IETF的組織機構與主要職責 6
2．1．2 IETF與其他互聯網組織的關係 7
2．1．3 IETF的研究領域 9
2．2 ICANN簡介 11
2．2．1 ICANN的由來 11
2．2．2 ICANN的組織機構 11
2．2．3 ICANN的職責 13
2．3 UASG簡介 14

第3章　國際化域名應用基礎 16
3．1 國際化域名應用簡介 16
3．1．1 國際化域名應用的發展背景 16
3．1．2 國際化域名應用的適用性與功能性 17
3．1．3 國際化域名應用的易懂性和可預測性 18
3．2 IDNA2008對域名註冊和域名查詢的處理 18
3．3 國際化域名中的字符及註冊政策 18
3．3．1 Unicode字符的類型 19
3．3．2 域名註冊政策 21
3．3．3 分層限制條件 21
3．4 與應用程序有關的問題 21
3．4．1 顯示和網絡順序 21
3．4．2 應用程序的登錄和顯示 22
3．4．3 語言期待：合體字、連體字和交替字符形式 23
3．4．4 大小寫映射和相關問題 24
3．4．5 從右到左的字符 24
3．5 IDN和健壯規則 24
3．6 域名處理查詢的前端和用戶界面 25
3．7 IDNA2003和Unicode版本的同步化 26
3．7．1 設計標準 26
3．7．2 字符解釋的變更 27
3．7．3 消除字符映射表 29
3．7．4 域名前綴變化的問題 29
3．7．5 Stringprep變更和兼容性 30
3．7．6 標誌符號問題 30
3．7．7 未分配碼位的字符 31
3．8 基於國際化的考慮 31

第4章 國際化域名技術詳解 33
4．1 國際化域名簡介 33
4．2 IDNA的技術框架 34
4．2．1 IDNA2008 34
4．2．2 字符和DNS術語 34
4．2．3 IDN術語 35
4．2．4 IDNA中的安全考慮 39
4．3 IDNA協議 42
4．3．1 IDNA的要求和應用 42
4．3．2 IDN的註冊 43
4．3．3 IDN的查詢 45
4．4 雙向字符 47
4．4．1 雙向（Bidi）字符的背景和歷史 47
4．4．2 Bidi規則的條件 48
4．4．3 Bidi規則的要求 49
4．5 與RFC 3454有關的問題 49
4．5．1 迪維希語 49
4．5．2 依地語 50
4．5．3 帶有數字的域名 51
4．5．4 問題的解決建議 51
4．5．5 解決問題過程中的其他事宜 51
4．5．6 兼容性考慮 52

第5章 IDNA的表情符號 53
5．1 表情符號的安全風險 53
5．2 ICANN SSAC關於表情符號的建議 53
5．3 ICANN董事會的決議及理由 55
5．3．1 決議 55
5．3．2 理由 55

第6章 中文域名解析機制 57
6．1 中文域名應用 57
6．2 中文域名的註冊和顯示 57
6．3 中文域名的生成機制 58
6．4 國際化域名註冊方法 59
6．4．1 RFC 3743中的國際化域名註冊機制 59
6．4．2 一種新型的國際化域名註冊方法 60
6．5 中文域名註冊字表 64
6．6 中文域名檢測機制 65
6．7 Punycode編碼 66
6．7．1 Bootstring算法的基本特點 66
6．7．2 Bootstring算法的主要技術 66
6．8 中文域名註冊和用戶解析系統 72
6．8．1 中文域名註冊模塊 73
6．8．2 中文域名激活模塊 74
6．8．3 中文域名去活模塊 75
6．8．4 中文域名解析模塊 76
6．8．5 中文域名安全配置算法模塊 76
6．9 中文域名等效實現方案 76
6．9．1 中文域名等效需求 76
6．9．2 記錄配置法 76
6．9．3 碼表轉換法 77
6．9．4 域名系統安全擴展方面的考慮 79
6．9．5 兩種方法的優缺點比較 80

第7章 國際化電子郵件地址技術 81
7．1 國際化電子郵件地址技術的發展背景 81
7．1．1 國際化電子郵件地址標準的製定 81
7．1．2 中文域名和中文電子郵件地址標準的製定 82
7．2 中文電子郵件地址的總體技術要求 84
7．2．1 協議概述 84
7．2．2 SMTP擴展支持中文電子郵件地址 84
7．2．3 郵件頭支持中文電子郵件地址 85
7．2．4 兼容現有ASCII格式的電子郵件系統 86
7．2．5 POP擴展支持中文電子郵件地址 86
7．2．6 IMAP擴展支持中文電子郵件地址 86
7．2．7 電子郵件客戶端擴展支持中文電子郵件地址 86
7．3 中文電子郵件地址的SMTP擴展技術要求 87
7．3．1 SMTP概述 87
7．3．2 SMTP擴展的總體要求 87
7．3．3 中文電子郵件地址的SMTP擴展框架 88
7．3．4 SMTPUTF8擴展 88
7．3．5 中文電子郵件地址語法擴展 89
7．3．6 MAIL命令的參數和響應碼 91
7．3．7 中文電子郵件正文部分和SMTP擴展 91
7．3．8 附加SMTP擴展的變化和說明 92
7．3．9 中文電子郵件地址的註冊和使用 94
7．4 中文電子郵件郵件頭的格式擴展技術要求 94
7．4．1 電子郵件協議概述 94
7．4．2 郵件頭格式擴展技術的總體要求 95
7．4．3 UTF8的語法規範 95
7．4．4 MIME郵件頭的變化 96
7．4．5 RFC 2822的擴展語法 96
7．4．6 新增的message/global類型簡介 97
7．4．7 郵件頭格式擴展技術的安全考慮 98
7．5 中文電子郵件地址的POP擴展技術要求 98
7．5．1 POP擴展技術的總體要求 98
7．5．2 LANG能力 99
7．5．3 UTF8能力 100
7．5．4 本地UTF8郵箱 101
7．6 中文電子郵件地址的IMAP擴展技術要求 102
7．6．1 IMAP擴展技術的總體要求 102
7．6．2 “UTF8=ACCEPT”能力 102
7．6．3 “UTF8=APPEND”能力 102
7．6．4 LOGIN命令 103
7．6．5 “UTF8=ONLY”能力 103
7．6．6 與傳統IMAP客戶端的交互 103

第8章 域名系統安全擴展技術 104
8．1 域名系統安全技術的發展背景 104
8．2 域名系統面臨的安全威脅 105
8．2．1 域名系統安全技術的發展需求 105
8．2．2 域名系統面臨的已知威脅 106
8．3 DNSSEC的基本原理 110
8．3．1 DNSSEC協議 110
8．3．2 DNSKEY 111
8．3．3 RRSIG 112
8．3．4 NSEC3 113
8．3．5 DS 114
8．3．6 DNSSEC協議的缺陷 115
8．4 支持DNSSEC協議的必要條件 116
8．4．1 DNSSEC協議的基本要求 116
8．4．2 DNS響應報文增大的原因 116
8．4．3 DNSSEC協議的變更 118
8．5 實現DNSSEC協議的必要條件 118
8．6 DNSSEC協議保障DNS動態更新的機制 120
8．7 DNSSEC協議的部署情況 121
8．7．1 DNSSEC協議在頂級域的部署情況 121
8．7．2 DNSSEC協議在二級域的部署情況 121

第9章 電子郵件安全技術與協議 126
9．1 電子郵件安全的背景 126
9．2 電子郵件安全技術 127
9．2．1 垃圾電子郵件的攔截 127
9．2．2 病毒附件的攔截 127
9．2．3 防釣魚預警機制 127
9．2．4 電子郵件賬戶的安全 129
9．2．5 密碼安全控制 130
9．2．6 異地登錄電子郵件的提醒 131
9．2．7 電子郵件傳輸的加密 131
9．2．8 密級郵件 131
9．2．9 電子郵件的存儲加密 132
9．2．10 電子郵件的審核 132
9．2．11 電子郵件的安全協議 133
9．3 電子郵件系統等保三級建設指引 134
9．3．1 電子郵件系統的安全等級 134
9．3．2 安全等級保護的基本要求及安全措施 134

附錄A 等保三級信息系統整體安全加固建議 140
附錄B 縮略語 144
附錄C 常用術語 145
參考文獻 149