信息技术 开放系统互连 对象标识符解析系统 征求意见稿

1GB/T35299—××××信息技术开放系统互连对象标识符解析系统本文件规定了对象标识符解析系统的建设要求，主要包括：a)对象标识符解析系统的系统组成和整体架构；b)基于DNS的解析机制以及把与OID节点相关的各种应用定义信息插入到DNS域文件的方法；c)对象标识符解析系统客户端的操作要求。本文件适用于指导各应用领域对象标识符解析系统的开发工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T13000—2010信息技术通用多八位编码字符集（UCS）（ISO/IEC10646:2003,IDT）GB/T16263.4—2015信息技术抽象语法记法一（ASN.1）编码规则第4部分：XML编码规则（XERISO/IEC8825-4:2008，IDT）GB/T17969.1—2015信息技术开放系统互连OSI登记机构的操作规程第1部分：一般规程（ISO/IEC9834-1:2008，NEQ）GB/T35300—2017信息技术开放系统互连用于对象标识符解析系统运营机构的规程IETFRFC1034-1987Domainnames-ConceptsandfacilitiesIETFRFC1035-1987Domainnames-ImplementationandspecificationIETFRFC2915-2000TheNamingAuthorityPointer(NAPTR)DNSResourceRecordIETFRFC3403-2002DynamicDelegationDiscoverySystem(DDDS)IETFRFC3454-2002PreparationofInternationalizedStringsIETFRFC3490-2003InternationalizingDomainNamesinApplication(IDNA)IETFRFC3492-2003Punycode:ABootstringEncodingofUnicodeforInternationalizedDomainNamesinApplication(IDNA)IETFRFC4033-2005DNSSecurityIntroductionandRequirementIETFRFC5155-2008DNSSecurity(DNSSEC)HashedAuthenticatedDenialofExistence3术语和定义GB/T17969.1界定的以及下列术语和定义适用于本文件。3.1特定应用OID解析过程application-specificOIDresolutionprocess由应用执行的、依据通用OID解析过程所返回的信息来查询特定应用信息的过程。3.22GB/T35299—××××OID-IRI规范格式canonicalform(ofanOID-IRI)只能使用整数值的Unicodelabel的格式。3.3授权名称delegationname(DNAME)用于为域名及其所有子域创建别名的DNS资源记录。3.4DNS客户端DNSclient作为DNS的一个组成部分，通常执行向DNS解析服务器发送解析请求的行为。3.5DNS授权DNSdelegation在给定域的顶级名称下方的DNS名称空间中创建单独区域的过程。3.6DNS映射名DNS-mappedname转换一个OID-IRI值为完全合格域名（FQDN）所得的结果。），3.7DNS名称服务器DNSnameserver(NS)提供某一个域的权威名称服务器的DNS资源记录。3.8DNS资源记录DNSresourcerecordDNS区文件的一个组成部分。3.9DNS区文件DNSzonefile描述DNS部分内容的文本文件。3.103GB/T35299—××××完全合格域名fullyqualifieddomainnameDNS查询操作中所使用的名称。3.11通用OID解析过程generalOIDresolutionprocessORS客户端从DNS（记录在区文件中）获取任一指定OID关联信息并将其返回给应用程序的解析过程。3.12本地缓存localcache基于本地配置、在本地同步和托管ORS区域的DNS缓存服务器。3.13本地解析localresolution使用本地缓存的ORS解析。3.14NAPTR资源记录NAPTRresourcerecord用于存储应用所使用的DNS查找检索规则的DNS记录。3.15对象标识符objectidentifier用于无歧义地标识对象的全局唯一值，又名为客体标识符。[来源：GB/T16262.1—2006，定义3.6.47，有修改]3.16OID解析过程OIDresolutionprocess提供与一个OID节点相关联信息的过程。3.17OID解析系统OIDresolutionsystem实现本文件所规定的OID解析过程的系统。3.18运营机构规程operationalagency运营机构所需要的行为规范。3.19ORS客户端ORSclient4GB/T35299—××××连接一个应用和一个DNS客户端的实体。3.20ORS域ORS域。3.21ORS根ORSroot托管在ORS域的OID解析系统。3.22ORS根运营机构ORSrootoperationalagency管理ORS根以及下属节点子域DNS服务器的组织机构。3.23ORS服务ORSservice用于标识ORS服务的字符串（在NAPTR资源记录中使用）。3.24ORS支持的OID节点ORS-supportOIDnode为OID节点中的一类节点。标识该类OID节点的所有OID-IRI值所对应的DNS映射名存储于DNS中，并且具备本文件所规定（包括对于所有ORS服务的强制性要求）必须配置的所有DNS区文件（见附录B）。3.25ORS区ORSzoneDNS区的一部分，包含一个或多个OID节点的权威信息。3.26父OID节点parentOIDnode紧接在OID节点之上的OID节点，朝向国际对象标识符树的根。3.27资源记录集resourcerecordset(RRset)GB/T35299—××××一组具有相同标签、类和类型，但具有不同数据的资源记录。3.28辅根服务器（从属）secondaryserver(slave)使用区传输来检索区的权威服务器。3.29上级OID节点superiorOIDnode位于国际对象标识符树根部的OID节点（包括其父OID）之上的任何OID节点。3.30服务类型字段servicefield为NAPTR资源记录的组成部分，表示解析服务类型。4缩略语下列缩略语适用于本文件。AD:认证数据（AuthenticatedData）ASN.1:抽象语法记法一（AbstractSyntaxNotationOne）AXFR:域名系统域传输协议（DNSzonetransferprotocol）CD:禁用检测(CheckingDisabled)CINF:子节点信息（ChildInformation）CNAME:域名系统规范名称（DNSCanonicalName）COID:规范化对象标识符（CanonicalOID）DNAME:域名系统授权名称（DNSDelegationName）DNS:域名系统（DomainNameSystem）DNSSEC:域名系统安全扩展（DomainNameSystemSecurityExtensions）DO:域名系统安全正常(DNSSecurityOK)FQDN:完全合格域名（FullQualifiedDomainName）HTTP:超文本传输协议（HyperTextTransferProtocol）IRI:国际化资源标识符（InternationalizedResourceIdentifier）ISP:互联网服务提供商（InternetServiceProvider）LINF:定位符信息（LocatorInformation）METADATA:元数据（Metadata）MINF:模块信息（ModuleInformation）NAPTR:命名权威机构指针（NamingAuthorityPointer）NFKC:规范化形式KC（NormalizationFormKC）6GB/T35299—××××NS:域名系统名称服务器（DNSNameServer）OID:对象标识符（ObjectIdentifier）OID-IRI:对象标识符国际资源标识符（OIDInternationalizedResourceIdentifier）OINF:对象信息（ObjectInformation）ORS:对象标识符解析系统（OIDResolutionSystem）RCODE:域名系统返回代码（DNSReturnCode）RINF:注册信息（RegistrationInformation）RRset:资源记录集（ResourceRecordset）sFTP:安全文件传输协议（secureFileTransferProtocol）SOA:权威机构开始（StartOfAuthority）TINF:基于标记的多媒体访问信息（Tag-basedmultimediaaccessInformation）UINF:统一资源标识符信息（URIInformation）UNICODE:统一码（Unicode）URI:统一资源标识符（UniformResourceIdentifier）URL:统一资源定位器（UniformResourceLocator）XML:可扩展置标语言（ExteileMarkuplanguage）XSD:可扩展置标语言模式定义（XMLSchemasDefinition）5ORS综述5.1概述在ORS中，OID树被映射为DNS中的一棵域名树，OID节点信息则保存在DNS中该OID所对应域名的资源记录中。ORS根据输入的OID，在DNS系统中检索相应的资源记录，获得对象解析信息。为获得与OID节点相关的解析信息，实现多样化的应用，本文件规范了OID命名体系（使用OID-IRI值）到DNS命名体系的映射，把任意标识OID节点的OID-IRI值映射至一个域名（我国管辖的域名为156.2.1.和156.16.2.，把OID树映射为DNS树的一部分（见IETFRFC1035把OID树的根映射为156.2.1.和156.16.2.（见7.3）。156.2.1.和156.16.2.域的所有DNS域文件都对应着ORS支持的OID节点，都须遵循本文件，但不是所有从OID-IRI映射的DNS域名都存在DNS中。通过采用为OID树节点进行任意OID-IRI值标识的方法，ORS支持的OID节点信息被插入到DNS域文件中。OID节点拥有者规定OID树节点的信息，并依据ORS服务（见附录B），决定合理的DNS域文件配置。不在本文件规定范围内的ORS服务须另行规定。应用（见5.2）通过使用连接至DNS客户端的本地ORS客户端（见第7章）检索OID树节点的信息。ORS客户端输入OID-IRI值和ORS服务类型，返回相应的OID节点信息（基于DNS域文件配置，特别是NAPTR资源记录）。每一个资源记录都由被请求ORS服务类型的一个或者多个信息共同组成。ORS运营机构规程在GB/T35300—2017中进行规定。5.2ORS系统组成ORS由应用、ORS客户端、DNS服务器、ORS应用网关、具体应用服务器等功能实体构成，如图1所示。7GB/T35299—××××图1ORS基本组成图ORS的功能实体介绍如下：a)应用应用作为ORS中发起OID解析请求的功能实体，应实现某种应用功能的同时，兼具OID查询、OID信息检索功能。应用向ORS客户端发出通用OID解析请求，并从ORS客户端获得解析结果。应用与ORS客户端之间的接口可以根据实现的需要采用HTTP协议或者内部接口。应用向ORS应用网关发出应用OID解析请求，并从ORS应用网关获得解析结果，应用与ORS应用网关之间的接口采用HTTP协议或其它接口方式。b)ORS客户端ORS客户端应负责处理来自应用的ORS解析请求，实现OID通用解析处理。ORS客户端接收到应用发送的用于请求OID对象信息的请求消息，消息中携带被请求对象的OID，然后ORS客户端向DNS服务器发出OID查询命令，获得OID相关信息并返回给应用。ORS客户端与DNS服务器之间采用DNS协议接口。c)DNS服务器DNS服务器应提供OID解析支持，应依据DNS（见IETFRFC1035）和DNS资源记录（见IETFRFC3403）技术规范，在DNS域文件的NAPTR记录中保存有OID的相关信息。d)ORS应用网关ORS应用网关应负责处理来自应用的ORS应用解析请求，实现OID应用解析处理。ORS应用网关接收到应用发送的OID对象信息请求消息；依据OID从具体应用服务器获取与OID相关联的对象信息；将获取的对象信息转换为应用请求的格式，返回应用。该功能实体还包括对应用解析请求的认证、应用请求的对象信息格式与应用服务器响应的对象信息格式的转换、对象信息的隐私保护等功能。ORS应用网关和应用服务器之间的应用接口协议不做明确规定，由ORS应用网关和应用服务器协商解e)具体应用服务器具体应用服务器应依据本文件规定，保存有OID相关联的对象信息。5.3ORS解析过程5.3.1解析过程描述OID解析过程通常包括两个过程：通用OID解析过程和特定-应用OID解析过程，如图2所示。通用OID解析过程使用DNS（见IETFRFC1034和1035）和DNS资源记录（见IETFRFC3403），通过应用和ORS客户端之间的交互，从DNS系统中获取应用所需的信息。通用OID解析过程通常返回一个文本的URL、一个规范化的OID-IRI、一个域名或者一个网络地址等，具体返回的内容与应用相关。本文件对通用解析返回信息的类型并未进行限制。8GB/T35299—××××特定-应用OID解析过程通常在通用解析过程后执行，即应用使用从通用解析过程中所获得的信息来获取最终应用所需要的信息。图2OID解析过程5.3.2通用OID解析过程中组件间的交互图3给出了通用OID解析过程组件的功能接口和语义交互。这些接口和交互的比特级编码是平台和软件相关的，不属于本文件的范畴。本文件对于硬件或者软件的实现以及独立模块的划分不作限制。9GB/T35299—××××图3通用OID解析系统的组件图通用解析系统涉及三个实体：应用、ORS客户端和DNS客户端（DNS客户端与DNS服务器之间的信息处理过程应符合IETFRFC1035和IETFREC3403）。系统操作步骤如下所示：a)步骤1：应用为获取OID的相关信息，向ORS客户端发出请求。此请求中包括标识该OID节点的OID-IRI值以及应用所需的ORS服务类型(见附录B)，并设置“安全标示位”，决定是否（在该技术可获得的前提下）。注1：应用需要信任ORS客户端和DNS客户端能够传输安全标示位，DNS服务器能够正确地实施IETFRF注2：GB/T35300—2017要求.运营机构提供IETFRFC4033和IETFRFC51b)步骤2：ORS客户端依据7.3规定，把OID-IRI值转换成相应的FQDN（DNS映射名），并依据7.2向DNS客户端发送一个查询请求以获取包含的请求ORS信息类型的NAPTR资源记录。如果安全标示位设置为1，则发送的DNS查询请求中DO参数应设置为1，CD参数应设置为0(见IETFRFC4033),否则，请求中不能包含DO与CD参数。c)步骤3：DNS客户端返回0个或者多个NAPTR资源记录，或者出错信息(被规定为非0的DNSRCODE—见IETFRFC1035)。d)步骤4：ORS客户端接收返回的信息，按照7.4节的规定，处理NAPTR资源记录，然后向应用返回0到多个带有优先级值的信息记录以及相应的DNSRCODE值（RCODE含义见表1）。如果安全标示位被设置为1（见5.3.2步骤b）,则返回AD标志位被设置为1的NAPTR资源记录，否则，返回所有的NAPTR资源记录。表1DNSRCODE值的说明0123表1(续)DNSRCODE值的说明GB/T35299—××××45以上给出的是系统操作过程正常情况下的步骤。除此之外，系统还需要考虑异常情况下的处理，包括在应用和ORS客户端之间、ORS客户端和DNS客户端之间设立应答超时机制，用以增强系统的健壮性。5.3.3特定-应用OID解析过程中组件间的交互特定-应用OID解析过程通常与实际应用相结合,具有多种实现方式。甚至对于某些ORS解析服务来说,特定-应用OID解析过程可以不存在。注：某些服务在通用解析过程中获得信息，因此无需执行应用解析过程，例如CO本文件规范了常见的特定-应用OID解析过程，通过组件之间的交互来执行，涉及到各组件间的功能接口和语义交互，见图4。图4应用解析系统的组件图特定-应用OID解析过程涉及三个组件：应用、ORS应用网关和应用服务器。应用和ORS网关之间采用HTTP协议，ORS应用网关和应用服务器之间协议由二者协商确定。实现该过程的步骤如下：a)应用处理通用OID解析返回的结果信息，并根据处理结果（比如，对应ORS网关的地址或链接）向ORS应用网关发送OID对象应用信息的请求消息。请求消息中携带OID以及服务等信息。在发送请求信息之前，应用与ORS应用网关之间应选择执行安全方面的策略。b)ORS应用网关接收到应用发送的请求消息后，通过双方定义的接口协议，从应用服务器获取对象信息，如果请求消息中携带有OID以及服务等信息，ORS应用网关必要时应提供请求消息的转换处理功能。c)应用服务器向ORS应用网关返回所查询的对象信息。d)ORS应用网关将对象信息转换为具体应用所需的格式后，将其发送给应用。以上给出的是系统操作过程正常情况下的步骤。除此之外，系统还需要考虑异常情况下的处理，包括在应用和ORS应用网关之间、ORS应用网关和应用服务器之间设立应答超时机制，以增强系统的健壮性。6我国域内的DNS域文件GB/T35299—××××6.1概述6.1.1OID节点的维护和管理应体现为域内的DNS域文件的维护和管理。注：本文件并未提供指导性的或者完整的DNS域文件使用规范，这不属于本文6.1.2我国所管辖的域为156.2.1.和156.16.2.域及其子域。为了方便我国使用，OID注册中心还申请了“”作为国内OID解析的顶级域名，具体使用要求请参见附录K。6.1.3一个OID节点可以被ORS支持，也可以不被ORS所支持。6.1.4如果OID节点被ORS所支持，则DNS域文件必须配置有该OID节点所有的DNS映射名，以便进行信息检索。如果OID节点的所有者决定自行管理ORS支持的DNS区，则OID节点的DNS映射名称既能在其父OID节点的区域中列出，也在其自己的区中列出（参见6.2.5关于ORS中区授权的要求）。注：DNS旨在允许在名称层次结构和要创建的DNS权限结构之间进行划分。层次结构DNS机名称层次结构相同。更扁平化的DNS/ORS机构结构将使OID解析6.1.5如果OID节点不被ORS所支持，则包含标识此OID节点的OID-IRI值的任何ORS请求将返回值为3的DNSRCODE（没有此域名），表明该OID节点的相关信息无法通过ORS客户端获得。该OID节点的父节点可以被ORS所支持，也可以不被ORS所支持，但该OID节点的子节点肯定不被ORS所支持。6.1.6如果OID节点被ORS所支持，则该节点的任何DNS映射名都能够进行查询并获得NAPTR信息，且该节点的父节点必定被ORS支持。子节点可以被ORS支持，也可以不被ORS支持。6.1.7我国运营机构管理和维护与OID树的OID节点相关联的DNS域文件。这些OID节点在6.2节中进行规定。国家的运营机构详细信息参见附录A。6.1.8如果某个OID节点的子OID节点需要被ORS支持，则我国运营机构应首先支持该OID节点，并为其子OID节点增加一个NS资源记录。任何需要被ORS支持的子OID节点应按照6.2的规范要求，进行DNS域文件管理。6.1.9如果OID节点不被我国运营机构支持，但本身被ORS支持，则该OID节点应与每一个子OID节点共同协商决定该子OID节点是否可以被ORS支持，并且需要遵守6.2的规定。6.1.10使用DNAME/CNAME资源记录（依据6.2规定），能够保证对于使用任何OID-IRI值的ORS请求，最终只访问一个DNS域文件来获取NAPTR资源记录。6.1.11父节点不支持ORS的任何OID节点仍可在支持ORS的其中之一上级节点的帮助下实施ORS。图J.2给出了一个例子。为避免在ORS中发布虚假信息，下级OID节点应提供相应OID的所有权证明。上级节点负责决定什么样的证明是可以接受的。所有权证明应包括下级OID节点的完整路径注册信息(RINF)。注：父节点不支持ORS的节点与其支持ORS的上级节点之间应达成协议。协议的性6.1.12为了增强ORS根的高可用性，ORS根运营机构可以实现辅根服务器。6.2我国.域的DNS域文件要求与限制6.2.1这些要求和限制适用于我国运营机构（以及156.2.1.和156.16.2.域的所有DNS域文件）。GB/T35299—××××6.2.2在156.2.1.和156.16.2.域中，除了DNS映射名之外，不应配置有其它名称。6.2.3156.2.1.和156.16.2.域内的所有DNS域文件（依据6.3的规定，进行DNAME/CNAME资源记录的合理使用应支持指向ORS支持OID节点弧的DNS请求。该弧可以使用任意的Unicodelabel。6.2.4156.2.1.和156.16.2.域文件中所有的服务类型字段（servicefield）为“ORS+”的NAPTR资源记录，必须遵从本文件的规定。6.2.5对于授权要求，如果OID节点的所有者决定自行管理ORS支持的DNS区域，则需要DNS委托，并且应通过在该OID节点的父区域中添加NS资源记录来设置。如果该OID节点的父节点不管理其DNS映射名称，则在能为该OID节点设置授权的上级节点区域中进行DNS授权。注：在OID节点支持ORS之前，双方应达成协议。协议的性6.3ORS服务的DNS资源记录使用6.3.1DNAME/CNAME资源记录的使用如果一个OID节点被ORS支持，针对每一个标识该OID节点的非整数值Unicodelabel，该节点的父节点的域文件应提供和所规定的DNAME/CNAME资源记录。此条款目的在于，那些通过长弧连接的节点能够形成父—子对。此外，针对每一个支持的ORS服务类型，任何ORS支持节点的域文件都应包含一个NAPTR记录（见6.3.2）。DNAME/CNAME资源记录应以下列为前提：a)依据IETFRFC3490中的4.1节所转换的指向子节点弧的Unicodelabel,包括使用Unicode5.2的附录15所规定的兼容性分解以及后续的规范组成（NFKC）的Punycode编码（见IETFRFC3492）和大小写转换（见IETFRFC3454）；b)该父节点OID-IRI规范格式所生成的FQDN。DNAME/CNAME资源记录应包括子节点的FQDN。该FQDN由子节点规范的OID-IRI映射得到。6.3.2NAPTR资源记录的使用ORS的DNS域名要求支持ORS的每一个NAPTR资源记录以FQDN为开头，并且FQDN以“ors-dummy”开头，作为ORS域名与其它域名的区别（见附录J）。NAPTR资源记录应存放于DNS域文件中。这些域文件可以通过所支持OID节点的OID-IRI规范格式中所获得的DNS映射名进行访问。DNS域文件也可以通过正确使用DNAME/CNAME资源记录，从指向该节点的Unicodelabel所获得的其它名字来访问。DNS映射名和DNS通配映射名GB/T35299—××××DNS映射名是一个OID-IRI在ORS中的FQDN。DNS映射名由服务标识、域名化倒序OID以及OID解析系统DNS根等构成。服务标识即“ors-dummy”,域名化倒序OID即OID顺序倒转的形式，OID解析系统DNS根即“”。7.3.1节给出了将OID-IRI转换为FQDN的方法。ORS还可采用DNS通配映射名，通过配置一条NAPTR资源记录，实现对批量OID节点的服务配置。DNS通配映射名包括通用符、域名化倒序OID以及OID解析系统DNS根等。其中通用符为字符“*”，其它与DNS映射名相同。在使用DNS通配映射名的场景下，父OID节点为OID树及其OID子树提供的服务进行DNS配置，形成以DNS通配映射名作为开头的NAPTR资源记录，并存储在父节点的DNS域文件中。“*..1.”和“*.56.2.1.”则都是表示该OID树或者其子树的DNS通配映射名。NAPTR资源记录格式NAPTR资源记录主要由DNS映射名、服务类型及授权表达式构成，NAPTR资源记录以DNS映射名作为开头，其余主要内容应依据如下所示：a)“顺序”字段应设置为0；b)“优先值”字段应是非负整数；c)“标志位”字段应设置为“U”；d)“服务类型”字段应设置为“ORS+XXXX”，其中XXXX是附录B—附录J所定义的ORS服务类型；e)“授权表达式”字段中具体给出了服务的相关信息，包括正则表达式和替换表达式两部分,在解析过程中，由正则表达式和OID解析的输入共同确定分组，并根据分组结果对替换表达式进行替换操作，从而获得最终的服务配置信息。一种是固定信息内容的“授权表达式”字段设置方式，其字符串是“！^.*$!information!”。其中正则表达式是“^.*$”，表示取OID解析输入的全部信息，替换表达式是“Information”，它包含的信息是固定的，没有变量，不需要替换。对于这种固定信息内容的授权表达式，其最终获得的服务信息就是information。下面是一个支持OID-IRI规范格式查询的NAPTR记录，其中替换表达式中所包含的信息就是“/2/27”，也就是说表2固定信息内容的“授权表达式”NAPTR字段设置列表0U"!^.*$!/2/27!".另一种为可变信息内容的“授权表达式”字段设置方式，其字符串是“！regex!replacex!”。其中regex是一个正则表达式，可以根据该表达式对输入OID的FQDN进行分组，而replacex则是替换表达式，其中包含有通配变量。当ORS客户端对返回的NAPTR结果进行处理时，需要根据分组的结果对replacex中的变量进行替换，从而形成最终的服务信息并返回给应用。“/oGB/T35299—××××进行通配查找，得到$1=“.1.”，代入替换表达式replacex中，得到最终的服务信息为“/oid/oinfo-.1.表3固定信息内容的“授权表达式”NAPTR字段设置列表0U/oid/oinfo-$1.xml!.NAPTR资源记录正则表达式的语法要求，应符合RFC2915的要求。NAPTR资源记录应用的其它示例在附录K给出。6.4安全性考虑6.4.1本文件极力推荐DNS域文件管理者对NAPTR资源记录进行签名，但并不要求必须如此。我国ORS根运营机构应依据IETFRFC4033和IETFRFC5155的规定提供安全性支持。6.4.2在应用所发送的请求把安全标志位设置为1的情况下（见5.3.2），如果任何一个NAPTR资源记录都没被签名（或者数字证书链未被接受），则DNS客户端将返回一个错误代码（并且没有任何NAPTR资源记录会被返回至ORS客户端），没有信息会被返回至应用。7ORS客户端操作7.1功能接口ORS客户端应依据5.3.2步骤1-步骤4的规定，提供面向应用和DNS客户端的功能接口。ORS客户端与应用之间的接口采用HTTP协议或者内部接口，ORS客户端与DNS服务器之间采用DNS协议。7.2请求处理7.2.1ORS客户端应依据7.3的规定将解析请求中输入的OID-IRI值转换为FQDN。7.2.2ORS客户端应发送包含有FQDN的请求至DNS客户端，请求返回和该FQDN相关的NAPTR资源记录。7.3OID-IRI值到FQDN的转换7.3.1规范格式的OID-IRI应依据以下过程转换为FQDN：a)将OID-IRI规范格式以数字序列的格式写出，每部分前面添加“/”；b)把第一个斜杠（“/”）移走；c)用点（“.”）代替斜杠（“/”d)以点“.”为小节，进行顺序翻转；e)以点“.”为小节，在前面增加“ors-dummy”；f)以点“.”为小节，在数字序列后面添加字符串“”。针对一个规范格式的OID-IRI，转换过程示例如下：经过a)步骤处理后，得到/1/2/156/27；经过b)步骤处理后，得到1/2/156/27；经过c)步骤处理后，得到；；后，得到ors-dummy.；经过f)步骤处理后，GB/T35299—××××7.3.2一般格式的OID-IRI应依据以下过程转换为FQDN:a)将OID-IRI以Unicodelabel序列格式写出，每部分前面添加“/”；b)把第一个斜杠（“/”）移走；c)用点（“.”）代替斜杠（“/”d)以点“.”为小节，进行顺序翻转；e)以点“.”为小节，在前面增加“ors-dummy”；f)以点“.”为小节，在后面添加字符串“”；g)根据IETFRFC34904.1节的规定，对FQDN进行转换。iso.member-body.China.tag-based；；经过d)步骤处理后，得到tag-based.China.mors-dummy.tag-based.China.member-body.iso.oi7.4DNS查询结果处理7.4.1如果DNSRCODE返回值非0，则ORS客户端将出错信息和RCODE值一起返回至应用。7.4.2如果RCODE返回值为0，则ORS客户端应执行以下步骤：a)步骤1：挑选标志位（Flag）字段为”u”的NAPTR资源记录；b)步骤2：如果步骤1有信息返回，则从其中选择服务类型(Servicefield)为“ORS+XXXX”的资源记录，其中XXXX为应用所要查询的ORS服务类型；c)步骤3：如果存在服务类型（Service）字段为“ORS+XXXX”的资源记录，则ORS客户端应对这些资源记录进行如下处理：步骤1.提取资源资源记录中的“授权表达式”字段中的信息，根据授权表达式以及查询请求输入的DNS映射名来获得服务的配置信息。如果授权表达式中给出的是固定信息内容（即授权表达式形如“！^.*$!information!”则提取位于"!^.*$!"和"!"之间的子串infromation，做为服务的配置信息；如果授权表达式中给出的是可变信息内容（即授权表达式形如“！regex!replacex!”），则由授权表达式中的正则表达式和查询请求输入的DNS映射名来确定分组，并将分组结果与替换表达式进行替换操作，从而得到最终的服务配置信息。步骤2.提取“优先值”字段中的信息。d)步骤4：将步骤3的结果（如果有的话）连同值为0的Rcode返回至应用。7.5安全性考虑ORS客户端除了从ORS请求中复制安全标志位到DNS请求，并无其他安全要求。7.6本地性能考虑7.6.1由于缺乏相邻的ORS服务器和低效的本地缓存，ORS客户端可能会遇到较长的响应时间。7.6.2为了在响应时间方面提高ORS性能，ORS客户端可以在本地提供ORS信息，并提供解析OID时经常使用的ORS区域的私有副本。GB/T35299—××××注：在这种情况下，ORS客户端有责任保持ORS区域的私有副本为最新7.6.3ORS相关NAPTR记录的可选本地缓存由ORS客户端定期发送的正常查询完成，无需与服务器端协7.6.4DNS运营商可以使用正常的DNS功能保留特定ORS区域的本地副本。注2：区域传输或在线区域文件服务对于OR8ORS服务规范的要求8.1NAPTR信息规范8.1.1一个ORS服务需要规定应用所对应的NAPTR资源记录中授权表达式（regExp）字段的值。8.1.2ORS服务应对特定-应用解析（如果有）进行规范，当DNS查询结果返回给承担该ORS服务或者将使用查询结果的应用时，规定的应用解析将被执行。8.2ORS应用处理建议8.2.1一般原则应用在处理RCODE值为0（如果有）的返回信息时，应推荐特定-应用过程尝试处理最高优先值的信息，（如果失败），则处理下一个最高优先值的信息（如果有）。8.2.2安全数据处理应用并未提供任何安全性数据（例如，一个签名或者数字证书链）。它只是在请求中设置了安全标志位，然后信任ORS客户端和DNS能够返回可信的数据。GB/T35299—××××（资料性）国家.运营机构联系信息2007年，OID注册中心（国家运营机构）设立于中国电子技术标准化研究院，负责全球唯一标识符OID中国分支1.2.156（ISO.member.china）和2.16.156（ISO-ITU.member.china）的注册、156.16.2.的运营维护和管理。运营机构的信息如表A.1所示。我国其他运营机构的联系信息可通过联系OID注册中心获取。表A.1注册运营机构的信息列表GB/T35299—××××（规范性）ORS服务类型ORS解析服务类型如表B.1所示。表B.1所分配ORS的服务类型Tag-basedmultimediaCybersecurityinforURIGB/T35299—××××COIDORS服务规范C.1支持ORS的OID节点的所有域文件应包含一条ORS服务类型为COID的NAPTR资源记录（见6.3.2），并且此资源记录中信息表达式（regExp）字段中包含了OID节点的OID-IRI规范格式的DNS映射名（见7.3）。C.2如果支持此ORS服务的应用接收到（来自于发送至ORS客户端的请求）一个非0的RCODE值，则应尝试报告ORS系统发生错误，但报告的方式并未被标准化。C.3该ORS服务并不需要或者规定特定-应用的ORS解析过程，OID-IRI规范格式从通用OID解析过程中就可获得。C.4包含OID-IRI规范化格式的NAPTR资源记录示例在K.2中给出。GB/T35299—××××CINFORS服务规范D.1一般原则D.1.1ORS支持的OID节点的所有DNS域文件应包含一条ORS服务类型为CINF的NAPTR资源记录（见6.3.2）。该资源记录的信息表达式（regExp）包含有子节点信息文件（以“.xml”为扩展名）的URL。该子节点信息文件依据D.2提供了OID的子节点信息。D.1.2对于发送至ORS客户端（针对应用认为ORS支持的OID节点）的请求，如果一个支持此ORS服务的应用接受到了非0的RCODE值，则应尝试着去报告错误，但报告的方式并未被标准化。注：如果OID节点不被ORS支持，则经常导致出错(RCODE值为3)。错误也有可能源自不正统临时或者永久的错误、不正确的ORS客户端使用、不正确的OID-IRI映射以及D.1.3如果返回的RCODE值为0,则特定-应用ORS解析过程应接入由通用ORS解析过程所返回地址的XML文件，以获得发送至ORS客户端的OID-IRI所标识节点的子节点信息。注：如果给定位置的XML文件不符合D.2的要求，则应用应尝试去报告错误，但D.2CINFXML文件D.2.1CINFXML文件应遵从D.2.3指定ASN.1模块的Extended-xer编码（见GB/TBBBBB-20XX）。域的语义都包含在模块规范里作为注释，并且被规范化。可从/ITU-T/recommendations/fl.aspx?lang=4获得。如果发现被授权XML的两个规范之D.2.2OID父节点未经子节点同意，不应提供该OID子节点<ChildDetails>要素。注：子节点信息XML文件规范中有一些隐私选项。一个父节点可选择使用<Childinformation><nodis</Childinformation>，来表明无子节点信息。如果父节点就公开子节点信选择不公开非公开子节点的数量）达成协议，则父节点可以列出公D.2.3ASN.1模块（ASN.1注释域的语义为）："/ORS/modules/cinf/version1"noDisclosureNULL/*NodisclosedChildrenSdisclosedChildChGB/T35299—××××otherChildrenINTEGERunicodeLabelsUnicodeLaGLOBAL-DEFAULTSMODIFIED-ENCOGB/T35299—××××RINFORS服务规范E.1一般原则E.1.1ORS支持的OID节点的所有DNS域文件应包含一条ORS服务类型为RINF的NAPTR资源记录（见6.3.2并且该资源记录的信息表达式（regExp）包含有注册信息文件（以“.xml”为扩展名）的URL。该注册信息文件依据E.2提供了OID的注册信息。E.1.2对于发送至ORS客户端（针对应用认为ORS支持的OID节点）的请求，如果一个支持此ORS服务的应用接受到了非0的RCODE值，则应尝试着去报告错误，但报告的方式并未被标准化。注：若OID节点不被ORS支持，则经常导致出错（RCODE值为3）。错误也有可能源自不正确的DNS系统临时或者永久的错误、不正确的ORS客户端使用、不正确的OID-IRI映射以及其它E.1.3如果返回的RCODE值为0,则特定-应用ORS解析过程应接入由通用ORS解析过程所返回地址的XML文件，以获得发送至ORS客户端的OID-IRI所标识节点的子节点信息。注：如果给定位置的XML文件不符合E.2的要求，则应用应尝试去报告错误，但报E.2RINFXML文件E.2.1RINFXML文件应遵循如E.2.5指定ASN.1模块的Extended-xer编码（见GB/TBBBBB-20XX）。域的语义都包含在模块规范里作为注释，并且被规范化。可从/ITU-T/recommendations/fl.aspx?lang=4获得。如果发现被授权XML的两个规范之E.2.2在注册信息XML文件的规范中有一些隐私选项。OID节点可以选择使用<RegistrationInformation><noDisclosure/></RegistrationInformation>，来表明无注册信息。E.2.3在没经过当前注册者的允许情况下，不应提供第一任注册者（firstRegistration）或者当前注册者（currentRegistration）的任何信息。E.2.4<RegistrantContactInformation>（若是现有的）应根据OID节点所决定的安全策略来进行加密。分布式加密参数的方法在本文件中未进行规范。E.2.5那些需要ASN.1注释域附加语义的ASN.1模块（符合GB/T17969.1-2015）如下所示："/ORS/modules/rinf/version1"IMPORTSALGORITHM,AlgorithmIdentifier{},authenticationFramewok(7)6};GB/T35299—××××noDisclosureNULLDescriptionHTMLStadditionalInformationHTMLStringOfirstRegistrationRegistrationDetailcurrentRegistrationRegistrationDetaregistrationDateTIME(SETTINGS"registrantRegistrantContactDeAlgorithmIdentifier{{SupportedAlgorithmOCTETSTRING(CONSTRA/*ShallcontaintheresultoftotheEXTENDER-XERencoding*/RegistrantCont/*SeeRec.ITU-TX.509ISO/IEC9594-8,postalAddressSEQUENCEOFUTF8StringOPTIGLOBAL-DEFAULTSMODIFIED-ENCOBASE64RegistrationDetails.registrant.enciphered-registrant.enciphGB/T35299—××××MINFORS服务规范F.1一些(不是全部)ORS支持的OID节点标识一个ASN.1或者XSD模块。如果OID节点没有标识ASN.1或者XSD模块，则没有针对此ORS服务的NAPTR资源记录，发送至ORS客户端的请求通常将返回一个RCODE值为0的结果，并且不包含任何信息。F.2标识ASN.1或者XSD模块ORS支持的OID节点的所有域文件应包含ORS服务类型为MINF的NAPTR资源记录（见6.3.2），并且该资源记录的信息表达式（regExp）包含一个文本文件（以“.asn”或“.xsd”为扩展名）的URL。该文本文件包含了模块规范。F.3针对发送至ORS客户端（针对应用认为ORS支持的OID节点），并且该OID节点用以标识一个ASN.1或者XSD模块）的请求，如果支持ORS服务的应用接收了一个非0的RCODE值（或者没有任何信息的0值），则应尝试着报告错误，但报告的方式并未被标准化。注：若OID节点不被ORS支持，则经常导致出错（RCODE值为3）。错误也有可能源自不正统临时或者永久的错误、不正确的ORS客户端使用、不正确的OID-IRI映射以及F.4如果返回的RCODE值为0，但没有返回信息，则OID-IRI没有标识一个ASN.1或者XSD规范（除非DNS系统被错误的配置）。否则，特定-应用ORS解析过程应访问由通用解析过程所返回地址的文件，以获得发送至ORS客户端的OID-IRI所标识模块（ASN.1或者XSD）规范信息。注：如果访问地址的文件并不是语法正确的ASN.1或者XSD文件，则应用应尝试着报告错GB/T35299—××××METADATAORS服务规范G.1一般原则G.1.1一些ORS支持的OID节点具有对象元数据描述信息。如果没有，则没有针对METADATAORS服务的NAPTR资源记录，发送至ORS客户端的请求通常返回一个RCODE值为0的结果，并且不包含任何信息。G.1.2支持此服务类型的OID节点，所有的DNS域文件中应包含一条ORS服务类型为METADATA的NAPTR资源记录，在此条记录中的信息表达式（regExp）字段中给出了元数据描述信息文件（以“.xml”为扩展名）的URL，在该文件中提供了OID节点对象的元数据描述，XML文档格式如G.2所示。G.1.3对于发送至ORS客户端（针对应用认为ORS支持的OID节点）的请求，如果支持ORS服务的应用接收了一个非0的RCODE值，则应尝试着报告错误，但报告的方式并未被标准化。注：若OID节点不被ORS支持，则经常导致出错（RCODE值为3）。错误也有可能源自不正确的DNS系统临时或者永久的错误、不正确的ORS客户端使用、不正确的OID-IRI映射以及其它G.1.4如果返回的RCODE值为0，而且没有返回信息，则OID-IRI所对应的OID节点不具有对象元数据描述信息（除非DNS系统被错误的配置）。否则，特定-应用ORS解析过程应访问由通用解析过程所返回地址的XML文件，以获得发送至ORS客户端的OID-IRI所标识的对象元数据描述信息。注：如果给定位置的XML文件不符合G.2的要求，则应用应尝试去报告错误，但报G.2METADATAXML文件G.2.1METADATAXML文件应遵循如G.2.3所示的ASN.1模块的Extended-xer编码（在GB/TBBBBB-20XX中定义）规范。G.2.2此服务应包括通用信息和应用相关的信息。通用信息与具体的对象无关，例如对象信息隐私保护指示、对象分类信息等。应用信息与具体应用相关，包括具体应用的关键属性信息等。G.2.3示例如下：{joint-iso-itu-tors(5"/ORS/modules/metadata/version1"generalInformationGeneralInformation,/*ObjectnotdetailInformationObjectInformation}/*ObGeneralInformation::=SEQUGB/T35299—××××ObjectInformation::=SGB/T35299—××××OINFORS服务规范H.1一些ORS支持的OID节点可具有该节点对象信息，如果没有，则没有针对OINFORS服务的NAPTR资源记录，发送至ORS客户端的请求通常返回一个RCODE值为0的结果，并且不包含任何信息。H.2对于支持该服务类型的OID节点来说，该节点的所有DNS域文件中应包含一条ORS服务类型为OINF的NAPTR资源记录，并且此资源记录中的信息表达式（regExp）字段中包含了一个XML文件（以“.xml”为扩展名）的URL。该XML文件中给出了OID节点的对象信息描述。H.3对于发送至ORS客户端（针对应用认为ORS支持的OID节点）的请求，如果支持ORS服务的应用接收了一个非0的RCODE值，则应尝试着报告错误，但报告方式并未被标准化。注：若OID节点不被ORS支持，则经常导致出错（RCODE值为3）。错误也有可能源自不正统临时或者永久的错误、不正确的ORS客户端使用、不正确的OID-IRI映射以及H.4如果返回的RCODE值为0，但没有返回信息，则OID-IRI没有标识一个.xml文件（除非DNS系统被错误的配置）。否则，特定-应用ORS解析过程应访问由通用解析过程所返回地址的文件，获得发送至ORS客户端的OID-IRI所标识.xml文件信息。注：如果访问地址的文件并不是语法正确的.xml文件，则应用应尝试着报告错误，但报本文件对于提供OINF服务的XML文件内容没有严格的限定，只要求在该文本文件中给出提供OINFORS服务的XML文件包含显示样式内容，便于对象信息直接在浏览器中展示。GB/T35299—××××各种服务类型用法说明I.1.1此服务的目的是让应用决定两个OID-IRI值是否对应同一个OID节点。I.1.2此服务需要所有ORS支持的OID节点包含有该OID节点的规范格式。此规范格式应依据OID节点的OID-IRI值，从ORS中获得。I.2CINF服务规范I.2.1此服务的目的是使得应用（比如机器人）递归地发现ORS支持OID节点的结构。I.2.2此服务需要有包含URL（通过ORS请求获得）的NAPTR资源记录，用以指向提供该OID节点的子节点信息的XML文件。XML文件可通过特定-应用解析过程（见附录D）进行检索。I.2.3附录D中提供了一系列的隐私措施来限制子节点信息的查询结果，只返回那些OID子节点允许查询的信息。父节点通常选择不公开子节点信息。I.3RINF服务规范I.3.1此服务的目的是记录OID分配的注册目的和使用用途，连同其他信息以及注册机构名称一并被记录。I.3.2此服务需要有包含URL（通过ORS请求获得）的NAPTR资源记录，用以指向提供该OID节点的注册信息的XML文件。XML文件可通过特定-应用解析过程（见附录E）进行检索。I.3.3此服务提供了不公开注册信息的方法，并可以按照OID节点的安全策略，为XML文件中给出的任何联系信息进行加密。I.4MINF服务规范I.4.1此服务目的是提供与OID节点（如果有）相关的ASN.1或者XSD模块的检索。I.4.2此服务需要有包含URL（通过ORS请求获得）的NAPTR资源记录，用以指向提供包含模块（见附录F）的一个.asn的文本文件或者.xsd的XML文件。I.4.3此服务没有隐私或者安全应用方面的要求，但如果DNSSEC（NSEC3）用于相关联的域文件，此应用能够设置安全标志位，并且保证返回正确的模块。I.5METADATA服务规范I.5.1此服务目的是为记录OID节点标识对象的数据格式信息。I.5.2此服务需要有包含URL（通过ORS请求获得）的NAPTR资源记录，用以指向提供该OID节点的METADATA信息的XML文件。XML文件可通过特定-应用解析过程（见附录G）进行检索。GB/T35299—××××I.5.3此服务应依据相应的隐私措施来限制METADATA信息的查询结果，只返回OID节点允许查询的信息。I.6OINF服务规范I.6.1此服务目的是为应用提供OID节点标识对象的对象信息。I.6.2此服务需要有包含URL（通过ORS请求获得）的NAPTR资源记录，用以指向提供该OID节点的对象信息的XML文件。XML文件可通过特定-应用解析过程（见附录H）进行检索。I.6.3此服务应依据相应的隐私措施来限制OINF信息的查询结果，只返回OID节点允许查询的信息。GB/T35299—××××ORS操作示例J.1ORS的DNS域文件示例J.1.1图J.1为一个支持ORS的DNS区文件配置示例。注：在此图中，用于URL，这只是简单地描述目的图J.1区文件配置示例J.1.2图J.2为一个区文件配置示例，以支持添加其父节点不受ORS支持的节点