DNSSEC原理及实践.pdf

1DNSSEC原理及实践 中国互联网络信息中心技术部 2009年4月 2009年CNNIC注册服务机构技术交流会—— 中国信息社会重要的基础设施建设者、运行者和管理者 2一、DNSSEC概念与原理 二、DNSSEC部署实施过程 三、DLV旁路认证 四、面临的挑战及参考资料 目 录 中国信息社会重要的基础设施建设者、运行者和管理者 3DNSSEC概念与原理 DNSSEC应用背景
DNS是Internet基础协议中至关重要的一个；
DNS设计时没有考虑安全问题；
互联网的迅速发展，安全性很重要。 辅DNS服务器 主DNS服务器 本地DNS 服务器 解析器数据 篡改 数据 篡改 数据 篡改 数据 篡改 中国信息社会重要的基础设施建设者、运行者和管理者 4DNSSEC（DNS Security Extension）通过为DNS中的数据添加数 字签名信息，使得客户端在得到应答消息后可以通过检查此签名信 息来判断应答数据是否权威和真实，从而为DNS数据提供数据来源 验证和数据完整性检验，可以防止针对DNS的相关攻击。 DNSSEC功能：
为DNS数据提供来源验证
为数据提供完整性性验证
为查询提供否定存在验证 DNSSEC概念与原理  即为否定应答消息提供验证，确认授权服务器上不存在所 查询的资源记录） 中国信息社会重要的基础设施建设者、运行者和管理者 5DNSSEC引入新的资源记录 DNSSEC概念与原理  DNSKEY，用于存储验证DNS数据的公钥  RRSIG，用于存储DNS资源记录的签名信息  NSEC，存储和对应的所有者相邻的下一个资源记录；主要用于否定存在验证。  DS（Delegation Signer，授权签名者），用于DNSKEY验证过程，存储密钥标 签，加密算法和对应的DNSKEY的摘要信息。 中国信息社会重要的基础设施建设者、运行者和管理者 6解析器 本地递归 服务器 根域名服务器 .CN域名服务器 域名服务器 1 2 3 4 5 6 7 9 8 A A ? Go to .CN SERVER A ? Go to EXAMPLE.CN SERVER A ? Answer is : 28 28 解析器 本地递归 服务器 key-3995 根域名服务器 .CN域名服务器 域名服务器 1 2 3 5 4 6 7 9 8 TA .CN DS 记录 返回-DS 在什么地方 TA 返回.CN- DS在什么地方 DS记录 返回根的KEY-3995 28 DNS解析过程 DNSSEC认证解析过程 DNSSEC概念与原理 中国信息社会重要的基础设施建设者、运行者和管理者 7DNSSEC部署过程 DNSSEC的部署需要以下步骤 1、生成公/私密钥对 2、ZONE FILE的签署 3、DNS服务器配置 4、DNSSEC验证 （以BIND软件、域名举例说明） 中国信息社会重要的基础设施建设者、运行者和管理者 8dnssec- keygen -a RSASHA1 -b 1024 -n ZONE zonename DNSSEC部署过程—密钥对生成
DNSSEC标准中指定使用非对称密钥来生成和验证签名;
参数a表示使用的加密算法（三种算法:DSA/RSA/椭圆曲线DSA）
参数b用来制定密钥长度； 密钥长度需要考虑到密钥的可靠性和性能， 以及如何根据需要在两者之间取得平衡。
参数n指定密钥类型（ZONE/HOST）
“zonename”密钥的名字（密钥的所有者） .private私有密钥.key公有密钥 中国信息社会重要的基础设施建设者、运行者和管理者 9DNSSEC部署过程—密钥对生成
根据DNSSEC部署经验，至少需要两种类型密钥才能地对 DNSSEC 域区进行安全的管理
ZSK（Zone-Signing Key）和KSK（ Key-Signing Key） 1、区签名密钥（ZSK）——用于签名域区内的数据 2、密钥签名密钥（KSK）——用于签名ZSK并创建区的“安全入口点” dnssec- keygen -a RSASHA1 -b 1024 -n ZONE – f KSK zonename 中国信息社会重要的基础设施建设者、运行者和管理者 10 DNSSEC部署过程—文件签署 dnssec- signzone -o zonename –f result.file [-N INCREMENT] [-k KSKfile] [-t] zonefile [ZSKfile]
签名工具BIND自带
参数o指定所有域区文件起始
-N INCREMENT序列号自增
参数-K指定KSK文件名称
“zonefile”被签名的zone文件
ZSKfile