1、乎 ICS 33.040.40 L 78 YD 中华人民共和国通信行业标准YD厅2586-2013域名服务系统安全扩展CONSSEC)协议和实现要求Security extensions of DNS and implementation requirement 2013-07-22发布2013-10-01实施中华人民共和国工业和信息化部发布目次前言1 范围2 规范性引用文件. 3 术语、定义和缩略语.4 域名系统安全扩展(DNSSEC). . . . 5 DNSSEC新增的资源记录类型. . 6 DNSSEC对DNS协议的修改.7 DNSSEC的部署实施要求YD厅2586-2013附录A(资
2、料性附录)DNSSEC原理举例说明m附录B(资料性附录)DNSSEC国际部署情况. . 附录C(资料性附录)DNSSEC实例. 附录D(资料性附录密钥标签字段计算方法. . . . . . . . . .21 参考文献. YD厅2586-2013前本标准按照GB厅1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位z工业和信息化部电信研究院、中国互联网络信息中心、国家计算机网络应急技术处理协调中心.本标准主要起草人z陈湘、田慧蓉、姚健康、沈烁。H YD厅2586-2013域名服务系统安全扩展CDNSSEC)协议和实现要求t 范围本标准针对域名服务系统安全扩展的功
3、能、协议和工作原理进行了详细的规定,并提出了DNSSEC部署实施的要求。本标准适用于域名服务系统的安全扩展。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本包括所有的修改单适用于本文件。四厅2140-2010域名服务系统安全框架技术要求3 术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本文件。3.1.1 区签名密钥Zone Signing Key 对权威域数据进行DNSSEC签名或验证的密钥对。通常,相对于密钥签名密钥,区签名密钥比较短,具有较短的有效期,但是具有较高的签名效率。3.1.2
4、密钥签名密钥Key Signing Key 对区签名密钥对中的公钥进行数字签名或验证的密钥对。通常,相对于区签名密钥,密钥签名密钥比较长,具有较长的生存期,但签名效率较低。3.1.3 DNS公钥(DNSKEY)DNS Public Key DNS阻Y资源记录存储的是权威域的公钥。权威域使用私钥对DNS资源记录集进行数字签名,并且将公钥保存在DNSKEY资源记录中,用于稍后对数字签名的验证。3.1 .4 资源记录签名(RRSIG)Resource Rerd Signature RRSIG资源记录存储的是DNS资源记录集的数字签名。3.1.5 授权签名者(DS)Delegation Signer
5、DS资源记录存储了DNSKEY资源记录的散列值,用于建立解析服务器验证DNS应答报文时所需的信任链,它可以验证与之对应的DNSKEY资源记录。3.1.6 YD.汀2586-2013信任锚TrustAnchor 一个预先配置的DNSKEY资源记录或者DNSKEY资源记录的散列值(DS资源记录。一个支持DNSSEC的解析服务器可以使用这个公钥或者散列值作为信任链的起始点。此外,解析服务器应该通过DNS协议之外的安全可信的方法获得信任锚的初始值。3.1.7 信任链Authenti臼tionChain 一个由DNSKEY和DS资源记录交替组成的序列,DNS阻Y用于验证包含DS的资源记录集签名,使得DS
6、得到验证。DS包含了另一个DNSKEY的散列值,新的DNS阻Y如果与DS的散列值匹配,也可以得到验证。这个新的DNSKEY反过来又可以验证另一个DS,这样延续下去直到获得需要验证的DNS数据签名的公钥为止。3.1.8 支持DNSSEC的权威域名服务器Security-Awa陪NameServer 一个具有权威域名服务器功能的实体,井能够支持本标准定义的域名服务系统安全扩展(DNSSEC)。一个支持DNSSEC的权威域名服务器可以接受DNS查询报文,发送DNS应答报文,支持本标准定义的DNSSEC资源记录类型,支持DNS扩展机制等。3.1.9 支持DNSSEC的递归域名服务器Se时ty-Awar
7、eRecursive Name Server 具有递归功能的支持DNSSEC的权威域名服务器,既可以充当权威域名服务器,又可以充当解析服务器。3.1.10 支持DNSSEC的解析服务器Security-Aware Resolver 一个具有DNS解析服务器功能的实体,并能够支持本标准定义的域名服务系统安全扩展(DNSSEC)。一个支持DNSSEC的解析服务器可以接受DNS查询报文,发送DNS应答报文,支持本标准定义的DNSSEC资源记录类型,支持DNS矿展机制等。3.2 缩略语2 下列缩略语适用于本文件。AD Authenticated Data CD DNS DNSSEC DNSKEY DO
8、 DS EDNSO 凶e制鸣Dmbhd; Domain Name Sysm DNS Security Extension DNS Public Key DNSSECOK 、 Delegation Si伊erExtension Mechanisms岛rDNSESRC,; 1h阳明trqJ阳olS例如KSK Key Signing Key NSEC NextSecure I, tl 己验证数据关闭检查域名服务系统域名服务系统安全扩展. DNS公钥域名服务系统安全扩展开启授权签名者iPNS扩展机制因特网悔议安全密钥签名密钥下-个安全记录院、YD厅2586-2013NSEC3 RRSIG SOA TS
9、IG ZSK Next Secure version 3 Resource Record Signature Start Of Authority Transaction Signatures I Zone Signing Key 4 域名系统安全扩展(DNSSEC)下一个安全记录第三版资源记录签名初始授权机构事务签名区签名密钥域名系统安全扩展(DNSSEC)可以提供DNS数据源鉴别和完整性保护,以及DNS数据的否定存在验证机制。本章的重点是DNSSEC的原理、提供的安全服务和它的局限性。引入DNSSEC需要改变现有的DNS协议。DNSSEC增加了4种新的资源记录类型,它们是资源记录签名(RR
10、SIG)、DNS公钥(DNS阻y)、授权签名者(DS)和下一个安全记录(NSEC)。但是根据IETFRFC5155 16) &侃FFFF;m阳mac&侃FFFF;21 YD厅2586-2013参考文献1. IETF盯C4033 DNSSEC的介绍和需求2. IETF RFC 4034 资源记录支持DNSSEC的扩展3. IETF盯C4035支持DNSSEC的协议修改4. IETF RFC 5155 散列的DNSSEC否定存在验证22 的FON1的NKO中华人民共和国通信行业标准域名服务系统安全扩展(ONSSEC)协议和实现要求YD厅2586-2013* 人民邮电出版社出版发行北京市丰台区成寿寺路口号邮电出版大厦邮政编码:1064 宝隆元(北京)印刷技术有限公司印刷版权所有不得翻即2013年12月第1版2013年12月北京第1次印刷* 开本:880 x 1230 1/16 印张:1.75 字数:46千字15115 329 定价:20元本书拥有印辑质量问题,请与本社联系电话I(010)81055492
