DNSSEC 让域名系统更安全

2009年 10月 20日 阅读量: 293

   近期发生了好多关于网络负面的事:数家服务器运营商被黑,“.se”区域整个网络瘫痪,DNS被爆出惊天漏洞……最近终于有了意见有意义的事了,域名系统安全协议取得实质性进展,据说这个域名系统安全协议(DNSSEC)已经花了15年的时间在酝酿,但不管怎样总算是取得了一些进展,而且还是实质性的。.gov和.org顶级域名已经开始采用域名系统安全协议,同时也获得了部分商业方面的支持。

  随着Kaminsky发现的DNS缓存漏洞攻击,DNSSEC逐渐开始受到关注,随后供应商们也开始部署修复补丁。美国联邦政府扩大了广泛使用DNSSEC的计划,现在所有联邦机构在2009年12月前必须使用DNSSEC。一名官员公开表示,最新的FISMA法规将要求联邦机构在明年内在其内网区域部署DNSSEC。Kaminksy表示支持DNSSEC,并在认真研读该标准的规则后认为该协议可以作为确保DNS安全的协议。

  域名系统安全协议(DNSSEC)(域名系统安全协议(DNSSEC))是一整套安全规则,用来确保域名系统(DNS)内部信息的安全,并在提供权限认证功能的同时保证信息的完整。它同时使用非对称与对称式的加密模式对资源记录(RR)和区域传输模式分别进行了处理。为了确保解析器得到信息的真实性,域名系统安全协议(DNSSEC)提供了以下方面的功能:

  • 域名系统(DNS)数据的原生认证

  • 数据完整性检测

  • 拒绝存在认证

  通过一套新的资源记录(RR)类型设置这些功能被加入到现有的域名系统(DNS)框架中,包括了:

  • 域名系统(DNS)密钥(DNSKEY)包含了位于一个安全区中用来对数据进行数字签名的公共密钥。

  •下一代SECure(NSEC)显示了各区之间的间隔。它们将被使用在域名系统安全协议(DNSSEC)认为属于“拒绝存在认证”的网络地址上。

  •单笔资源记录(RRSIG)包含了整个区域内所有的资源记录,DNSKEY和NSEC也被包括在内。对于区域内的资源记录设置来说,单笔资源记录具有权威性存在着对应的关系。

  指定签名(DS)的资源记录包含了关键子区域的哈希值。它们将被用来为域名系统安全协议(DNSSEC)完整保护的核心建立信任链。

  当采用域名系统安全协议(DNSSEC)的解析器收到了包含该信息的域名解析查询时,它可以利用单笔资源记录中的信息(包括关键标识和指定签名的部分)以及发送人的公钥来对签名进行验证。

  DNSSEC可以帮助域名系统(DNS)在信息传输过程中实现公平和真实。一些国家顶级域名已经开始支持域名系统安全协议(DNSSEC),让国家区域内的信任成为了可能。这些渐进的步骤将有助于让域名系统(DNS)和互联网更安全。他们不应该被忽视。