T11/AII 003-2023 工业互联网标识解析 递归节点技术要求

　　工 业 互 联 网 产 业 联 盟 标 准

　　A II/003-2023

　　工业互联网标识解析 递归节点技术要求

　　Ident ificat ion and resolut ion system for the Industr ial Internet—Technical requ irements

　　for Recurs ive Node

　　工业互联网产业联盟

　　(2023 年 9 月发布)

　　T11/AII 003-2023

　　前 言

　　本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件起草单位：中国信息通信研究院、北京泰尔英福网络科技有限责任公司、江苏中天互联科技有限公司、广东鑫兴科技有限公司、江苏徐工信息技术股份有限公司、中国联合网络通信有限公司、中国电信集团有限公司、中移(上海)信息通信有限公司、北京工商大学、重庆忽米网络科技有限公司、苏州协同创新智能制造装备有限公司、中国信息通信科技集团有限公司、联通(江苏)产业互联网有限公司。

　　本文件主要起草人：池程、谢滨、刘澍、 田娟、童晋、朱斯语、邵小景、尹子航、韩盈盈、刘阳、金键、李海花、罗松、谢家贵、曾西平、时宗胜、区景安、徐清华、贾雪琴、杨震、陈宇、许继平、杨帆、袁雪腾、李龙、蒋剑、汪毅、 肖渝、狄航、乐识非、周世军、陈东进。

　　工业互联网标识解析 递归节点技术要求

　　1 范围

　　本文件规定了工业互联网标识解析递归节点的总体架构、功能要求、对接要求、性能要求、安全要求和运行监测要求。

　　本文件适用于工业互联网标识解析递归节点的建设、运营和使用。

　　2 术语和定义

　　下列术语和定义适用于本文件。

　　2.1

　　标识解析国家顶级节点 National-Level node of identification and resolution

　　是指面向一个国家或地区提供顶级标识解析服务，以及标识备案、标识认证等管理服务的公共节点。

　　2.2

　　标识解析二级节点 Secondary-Level node of identification and resolution是指面向特定行业或者多个行业提供标识服务的公共节点。

　　2.3

　　标识解析递归节点 Recursive node of identification and resolution是指面向客户端提供标识解析入口服务的公共节点。

　　3 缩略语

　　下列缩略语适用于本文件。

　　HTTP：超文本传输协议(HyperText Transfer Protocol)

　　HTTPS：超文本传输安全协议(Hyper Text Transfer Protocol over SecureSocket Layer)

　　4 工业互联网标识解析递归节点架构

　　4.1 总体框架

　　工业互联网标识解析递归节点应具备递归缓存查询与管理、递归解析、应急处理等能力，总体架构包括递归解析、解析缓存、业务管理、安全控制、递归管理五类功能模块，总体架构见图1。

　　图 1 递归节点总体架构

　　4.2 解析流程

　　标识解析服务的查询触发，可以是来自企业信息系统、工业互联网平台、工业互联网APP、中间件等多种不同形式，当收到客户端的标识解析请求时，递归节点会首先查看本地缓存是否有查询结果，如

　　果没有，则会通过标识解析服务器返回的应答路径查询，递归查询的第一跳应当指向国家顶级节点，国家顶级节点返回二级节点解析地址，递归节点向二级节点发起解析请求，二级节点返回企业节点的解析

　　地址，递归节点向企业节点发起解析请求，企业节点返回标识服务地址，然后由递归节点返回至客户端，

　　直至最终查询到标识所关联的地址或者信息，将其返回给客户端，并将请求结果进行缓存。

　　图 2 递归解析流程

　　5 工业互联网标识解析递归节点功能要求

　　5.1 递归解析

　　当递归解析服务器没有查询信息缓存时，递归解析服务器向权威解析服务器进行迭代查询，其解析第一跳指向国家顶级节点，依次查询直到得到用户请求标识对应记录为止。递归解析应具备以下能力：

　　l 支持递归服务器与缓存设备实现物理分离的能力。(序号)

　　l 支持根据标识资源记录类型进行特定查询。

　　l 支持URP、DNS等解析协议。

　　l 支持配置最大递归次数和最大递归并发数。

　　5.2 解析缓存

　　递归解析服务器应当存储迭代解析过程数据并进行数据管理，减少标识解析服务器迭代解析频次，提高查询效率。支持缓存数据管理，包括过期缓存清理、缓存文件导入导出、缓存智能更新以及缓存数据自检。

　　5.3 业务管理

　　递归解析服务器应当支持解析缓存、访问控制、强制解析、用户鉴权、业务节点等相关配置管理。

　　5.4 安全控制

　　递归节点的安全策略包括接入认证、应急处理、流量控制和节点检查。其中，

　　接入认证：保证解析数据可信、用户解析行为可信、递归节点服务能力可信。DNS协议应支持DNSSEC; URP协议应支持签名验证，同时支持消息凭据，保证解析数据真实可信且没有被篡改的。

　　应急处理：递归解析节点应提供应急处理服务，以减少网络中断或者业务中断影响标识解析服务连续性及响应时间。

　　流量控制：支持流量限速，可针对源IP地址、标识指定经验阈值。

　　节点检查：支持定时向顶级节点、二级节点和企业节点发起查询请求，通过获取响应，提前检查各节点接口是否正常运行。

　　5.5 递归管理

　　递归节点的递归管控包括强制解析、一键关停。其中，

　　强制解析：

　　1) 标识强制解析配置的应答结果中，宜配置 TTL 、Index 、TYPE 等解析结果;

　　2) 应支持强制解析功能，默认功能为关闭;

　　3) 应支持分别统计 Ipv4/Ipv6 标识强制解析策略命中数量;

　　4) 应支持输出强制解析日志;

　　5) 应支持添加、修改、删除、导出、导入、查询强制解析策略。

　　一键关停：

　　1) 应支持递归节点运行过程中的功能关闭功能;

　　2) 宜支持远程关闭递归节点关闭。

　　6 工业互联网标识解析递归节点性能要求

　　递归节点应具备高可用性、可扩展性、可维护性、安全性等基本能力，以负载均衡的形式部署多台服务器，保证递归节点整体可用性应达到99.99%，解析成功率应不低于99%。

　　核心性能要求包括：

　　l 单台标识递归解析服务器应至少支持URP协议、DNS协议、Handle协议等解析协议中的一种，基于UDP协议可达到至少20万QPS，基于TCP协议可达到至少1.5万QPS，基于HTTP协议可达到至少1万QPS。

　　l 系统在正常业务环境和流量模型下，解析成功率不得低于99%。

　　l 应支持7*24h不间断运行能力，服务可用性需达到99.99%。

　　l 标识解析的缓存响应时间在10ms之内。

　　l 支持IPv4/IPv6双栈网络层协议，支持TCP、UDP、HTTP/HTTPS等传输层协议和应用层协议。

　　放在功能要求里：

　　l 支持负载、插件、异地节点等扩展解析处理能力。

　　l 支持应急恢复、数据库同步和数据备份等系统级安全策略。

　　l 支持身份认证、访问控制，解析业务安全等应用级安全策略。

　　l 支持日志管理及日志审计能力。

　　7 工业互联网标识解析递归节点对接要求

　　递归节点与企业节点通信应支持VAA、DID、GS1、Handle、OID、Ecode等常见标识体系对应的解析协议中的至少一种。