本页使用了标题或全文手工转换

域名系统安全扩展

维基百科,自由的百科全书
跳到导航 跳到搜索

域名系统安全扩展(英語:Domain Name System Security Extensions,縮寫為DNSSEC)是Internet工程任务组 (IETF)的对确保由域名系统 (DNS)中提供的关于互联网协议 (IP)网络使用特定类型的信息规格套件。它是对DNS提供给DNS客户端(解析器)的DNS数据来源进行认证,并验证不存在性和校验数据完整性验证,但不提供或机密性和可用性[1]

概述[编辑]

域名系統(DNS)的原始設計不包含任何安全細節;相反的,它被設計成一個可擴增的分散式系統(Distributed system)。域名系統安全擴展(DNSSEC)嘗試在其中添加安全性,同時仍保持向後兼容性。 RFC 3833記錄了DNS的一些已知威脅以及DNSSEC如何應對這些威脅。

DNSSEC旨在保護應用程式(以及服務這些應用程式的緩存解析器)免受偽造或不當操縱的DNS數據所造成的影響(例如域名服务器缓存污染的數據)。來自DNSSEC保護區的所有答案都經過數位簽章。通過檢驗數位簽章,DNS解析器可以核查信息是否與區域所有者發布的信息相同(未修改和完整),並確係實際負責的DNS服務器所提供。雖然保護IP地址的正確性是許多用戶關注DNSSEC的直接課題,DNSSEC還可以保護DNS中發布的其他任何數據:包括文本記錄(TXT)和郵件交換記錄(MX),並可用於引導發布參照存儲在DNS中的加密證書的其他安全系統:例如證書記錄(CERT記錄,RFC 4398),SSH指紋(SSHFP,RFC 4255),IPSec公鑰(IPSECKEY,RFC 4025)和TLS信任錨英语Trust anchor(TLSA,RFC 6698)。

DNSSEC 新增的资源记录[编辑]

新增三种资源记录类型:RRSIG (Resource Record Signature)、DNSKEY (DNS Public Key)、DS (Delegation Signer)详细内容如下


RRSIG (Resource Record Signature)资源记录签名

资源记录签名[编辑]

该记录用于存放我们当前域名每一条记录的 DNSSEC 签名

格式[编辑]

记录类型

  • 算法类型
  • 标签 (泛解析中原先 RRSIG 记录的名称)
  • 原 TTL 大小
  • 签名失效时间
  • 签名签署时间
  • Key 标签 (一个简短的数值,用来迅速判断应该用那个 DNSKEY 记录来验证)
  • 签名名称 (用于验证该签名的 DNSKEY 名称)
  • 加密签名

DNSKEY (DNS Public Key)DNS公钥[编辑]

该记录用于存放用于检查 DNSSEC 签名的公钥

格式[编辑]

  • 标识符 (Zone Key (DNSSEC密钥集) 以及 Secure Entry Point (KSK和简单密钥集))
  • 协议 (固定值3 向下兼容)
  • 算法类型
  • 公钥内容

DS (Delegation Signer)[编辑]

该记录用于存放 DNSSEC 公钥的散列值

格式[编辑]

  • Key 标签 (一个简短的数值,用来迅速判断应该用那个 DNSKEY 记录来验证)
  • 算法类型 (参考附录「算法类型列表」)
  • 摘要类型 (创建摘要值的加密散列算法)(参考附录「摘要类型列表」)
  • Digest: A cryptographic hash value of the referenced DNSKEY-record.(摘要:引用的DNSKEY记录的加密哈希值)[2]


部署[编辑]

2010年7月18日,根域名服務器(root-servers.net)已经完成DNSSEC签名[3]

目前已部署在.com.net.org.int.edu.mil.gov等頂級域,以及部分国家和地区顶级域(ccTLD[4]

参见[编辑]

外部链接[编辑]

  1. ^ DNSSEC安全技術簡介. [2013-08-15]. (原始内容存档于2012-12-20). 
  2. ^ 域名系统安全扩展. [2019-08-10] (中文(简体)‎). 
  3. ^ available from IANA
  4. ^ DNSSEC部署情形參見維基英文版List_of_Internet_top-level_domains(此英文條目對應之中文版本無此內容)

组织和网站[编辑]

标准文档[编辑]

  • RFC 2535 Domain Name System Security Extensions
  • RFC 3833 A Threat Analysis of the Domain Name System
  • RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
  • RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4398 Storing Certificates in the Domain Name System (DNS)
  • RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
  • RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
  • RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
  • RFC 6781 DNSSEC Operational Practices, Version 2

其他文档[编辑]