规范：4.3.1 IDENTIFIER ADMINISTRATOR: HS_ADMIN

对标识符记录或 DO-IRP 服务进行管理操作（如添加、删除、修改元素）只能由已认证且具备 足够权限的管理员执行。

“管理员”被定义为一个由标识符和该标识符记录内的元素索引表示的实体。这个标识符+索引指向的 元素必须包含用于身份验证挑战的公钥或密钥。

已认证的管理员是指能够证明其持有与管理员标识符索引所指的公钥匹配的私钥，或对应的密钥的实体。

管理员对某标识符记录的权限在该记录中的一个或多个 HS_ADMIN 元素里定义。每个 HS_ADMIN 元素 可定义一组拥有相同管理权限的管理员。拥有不同权限的多个管理员可以对应多个 HS_ADMIN 元素。 DO-IRP 服务器在执行任何管理请求前会使用 HS_ADMIN 元素对管理员进行认证。但作为实现选项，没有 HS_ADMIN 的标识符记录仍可由合格的 DO-IRP 服务器管理员修改。

HS_ADMIN 元素的 字段为 HS_ADMIN，其 字段包含以下条目（以二进制编码）：

规范： 16 位位掩码，定义 指定的管理员（或管理员集合）的管理权限；具体权限见下文。

规范：4.3.6 IDENTITY: HS_PUBKEY

HS_PUBKEY 元素存储公钥。可用作管理身份（在 HS_ADMIN 或 HS_VLIST 中引用以授权），或在 DO-IRP 认证中标识管理身份。引用格式为标识符与元素索引的组合，常写作 :。

元素的 以二进制编码公钥：首先是描述密钥类型的 UTF8 字符串；然后是 2 字节预留选项； 最后是若干带长度前缀的字节数组（数量取决于密钥类型），包含公钥本身。

规范：4.3.4 SERVICE IDENTIFIER: HS_SERV

任意 DO-IRP 服务都可由一个或多个 HS_SITE 元素描述。这些 HS_SITE 元素可以直接放在相应的前缀 标识符上，或通过在前缀记录中使用 HS_SERV 元素增加一层间接引用。HS_SERV 的值是一个服务标识符， 其记录包含定义 DO-IRP 服务的 HS_SITE 元素，从而可在独立记录中维护 HS_SITE。

使用服务标识符可在多个前缀间共享服务信息，也便于集中修改服务配置（如新增站点），而无需逐个 前缀修改。

虽不常见，但前缀标识符可同时包含多个 HS_SITE 和 HS_SERV 元素。这种情况下，该前缀的服务信息 应视为：前缀记录中的所有 HS_SITE 元素，与所有 HS_SERV 元素指向的服务信息的拼接。

使用服务标识符有若干注意事项：应避免多级服务标识符重定向（效率低下，虽不被视为错误）；应检测 服务标识符的循环引用或指向不存在标识符的 HS_SERV，并返回错误。

规范：4.3.5 SERVICE IDENTIFIER: HS_SERV.PREFIX

HS_SERV.PREFIX 对应 HS_SITE.PREFIX 的角色与 HS_SERV 对应 HS_SITE 类似。若前缀标识符包含 HS_SERV.PREFIX，其值为一个标识符，其记录通过一个或多个 HS_SITE.PREFIX（或递归的 HS_SERV.PREFIX） 描述客户端可用于解析原始前缀派生前缀的服务信息。

规范： 组成： [ ]

4 字节整数（三元组数量）+ 多个三元组，每个三元组描述一条服务接口。

规范： 包含：

规范：4.3.2 SERVICE SITE INFORMATION: HS_SITE

HS_SITE 提供 DO-IRP 服务信息，告知客户端如何联系服务，包括服务器地址、协议版本、公钥。 每个前缀标识符应在记录中包含一个或多个 HS_SITE 元素，称为该前缀的服务信息，指明可对基于 该前缀的标识符进行创建、更新、删除、解析的服务器位置。解析不存在的标识符时，本地 HS_SITE 所述服务会返回 “identifier not found”；解析不属于指定 LIS 的非法标识符也将得到同样响应。

服务信息由系统管理员维护，必须反映其管理的每个前缀的 DO-IRP 服务配置。通过 HS_SERV （服务标识符，见 4.3.4）可以增加一层间接引用，让多个前缀共享一组 HS_SITE。客户端依赖服务信息 定位负责的 DO-IRP 服务器以发送请求，并可用其验证服务器响应。

HS_SITE 元素的 为 HS_SITE， 由下列二进制字段组成：

规范： 2 字节值，标识 HS_SITE 元素 编码格式的版本号，用于向后兼容。

注意此版本号与请求/响应消息中使用的 DO-IRP 协议版本不同。

The set of possible permissions for an administrator. This is for generating consts, won't be used directly in .proto files.

This is for generating consts, won't be used directly in .proto files.