域名系统安全协议(DNSSEC)(域名系统安全协议(DNSSEC))是一整套安全规则,用来确保域名系统(DNS)内部信息的安全,并在提供权限认证功能的同时保证信息的完整。它同时使用非对称与对称式的加密模式对资源记录(RR)和区域传输模式分别进行了处理。为了确保解析器得到信息的真实性,域名系统安全协议(DNSSEC)提供了以下方面的功能(来自Wikipedia.org网站):
· 域名系统(DNS)数据的原生认证
· 数据完整性检测
· 拒绝存在认证
通过一套新的资源记录(RR)类型设置这些功能被加入到现有的域名系统(DNS)框架中,包括了(来自nominet.org.uk网站):
· 域名系统(DNS)密钥(DNSKEY)包含了位于一个安全区中用来对数据进行数字签名的公共密钥。
· 下一代SECure(NSEC) 显示了各区之间的间隔。它们将被使用在域名系统安全协议(DNSSEC)认为属于“拒绝存在认证”的网络地址上。
· 单笔资源记录(RRSIG)包含了整个区域内所有的资源记录,DNSKEY和NSEC也被包括在内。对于区域内的资源记录设置来说,单笔资源记录具有权威性存在着对应的关系。(资源记录设置,包含了所有相同名称、类型和时间的资源记录,同一个资源记录里所有的设置采用的数字签名是相同的)
l 指定签名(DS)的资源记录包含了关键子区域的哈希值。它们将被用来为域名系统安全协议(DNSSEC)完整保护的核心建立信任链。
图一显示的就是一条域名系统(DNS)主机资源记录信息以及它的数字签名。当采用域名系统安全协议(DNSSEC)的解析器收到了包含该信息的域名解析查询时,它可以利用单笔资源记录中的信息(包括关键标识和指定签名的部分)以及发送人的公钥来对签名进行验证。
图一
我们首先要确保的是采用域名系统安全协议(DNSSEC)的域名系统(DNS)建立了一条信任链。通过信任定位点,解析器使用“定位点钥”对域名进行验证。信任定位点是所有信任链的基础。
公共密钥(信任定位点)是用来验证数字签名以及相关数据的。此外,公共密钥对具有权威性的信任定位点包含信息的类型进行了限制。
依赖方通过对使用公钥的信任定位点包含的数字签名进行核查来判断数字签名的对象是否属于有效的范围中,并通过信任定位点所包含的数据实施相应的限制措施。(Wikipedia.org)
在理想的环境下,域名系统(DNS)的信任定位点来自互联网根域名服务器。然而,在这里面也存在问题。
. TAG: DNSSEC