DNSSEC原理及实践.pdf

  1. 1、本文档共23页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
DNSSEC原理及实践

1DNSSEC原理及实践 中国互联网络信息中心技术部 2009年4月 2009年CNNIC注册服务机构技术交流会—— 中国信息社会重要的基础设施建设者、运行者和管理者 2一、DNSSEC概念与原理 二、DNSSEC部署实施过程 三、DLV旁路认证 四、面临的挑战及参考资料 目 录 中国信息社会重要的基础设施建设者、运行者和管理者 3DNSSEC概念与原理 DNSSEC应用背景  DNS是Internet基础协议中至关重要的一个;  DNS设计时没有考虑安全问题;  互联网的迅速发展,安全性很重要。 辅DNS服务器 主DNS服务器 本地DNS 服务器 解析器数据 篡改 数据 篡改 数据 篡改 数据 篡改 中国信息社会重要的基础设施建设者、运行者和管理者 4DNSSEC(DNS Security Extension)通过为DNS中的数据添加数 字签名信息,使得客户端在得到应答消息后可以通过检查此签名信 息来判断应答数据是否权威和真实,从而为DNS数据提供数据来源 验证和数据完整性检验,可以防止针对DNS的相关攻击。 DNSSEC功能: 为DNS数据提供来源验证 为数据提供完整性性验证 为查询提供否定存在验证 DNSSEC概念与原理  即为否定应答消息提供验证,确认授权服务器上不存在所 查询的资源记录) 中国信息社会重要的基础设施建设者、运行者和管理者 5DNSSEC引入新的资源记录 DNSSEC概念与原理  DNSKEY,用于存储验证DNS数据的公钥  RRSIG,用于存储DNS资源记录的签名信息  NSEC,存储和对应的所有者相邻的下一个资源记录;主要用于否定存在验证。  DS(Delegation Signer,授权签名者),用于DNSKEY验证过程,存储密钥标 签,加密算法和对应的DNSKEY的摘要信息。 中国信息社会重要的基础设施建设者、运行者和管理者 6解析器 本地递归 服务器 根域名服务器 .CN域名服务器 域名服务器 1 2 3 4 5 6 7 9 8 A A ? Go to .CN SERVER A ? Go to EXAMPLE.CN SERVER A ? Answer is : 28 28 解析器 本地递归 服务器 key-3995 根域名服务器 .CN域名服务器 域名服务器 1 2 3 5 4 6 7 9 8 TA .CN DS 记录 返回-DS 在什么地方 TA 返回.CN- DS在什么地方 DS记录 返回根的KEY-3995 28 DNS解析过程 DNSSEC认证解析过程 DNSSEC概念与原理 中国信息社会重要的基础设施建设者、运行者和管理者 7DNSSEC部署过程 DNSSEC的部署需要以下步骤 1、生成公/私密钥对 2、ZONE FILE的签署 3、DNS服务器配置 4、DNSSEC验证 (以BIND软件、域名举例说明) 中国信息社会重要的基础设施建设者、运行者和管理者 8dnssec- keygen -a RSASHA1 -b 1024 -n ZONE zonename DNSSEC部署过程—密钥对生成  DNSSEC标准中指定使用非对称密钥来生成和验证签名;  参数a表示使用的加密算法(三种算法:DSA/RSA/椭圆曲线DSA)  参数b用来制定密钥长度; 密钥长度需要考虑到密钥的可靠性和性能, 以及如何根据需要在两者之间取得平衡。  参数n指定密钥类型(ZONE/HOST)  “zonename”密钥的名字(密钥的所有者) .private私有密钥.key公有密钥 中国信息社会重要的基础设施建设者、运行者和管理者 9DNSSEC部署过程—密钥对生成  根据DNSSEC部署经验,至少需要两种类型密钥才能地对 DNSSEC 域区进行安全的管理  ZSK(Zone-Signing Key)和KSK( Key-Signing Key) 1、区签名密钥(ZSK)——用于签名域区内的数据 2、密钥签名密钥(KSK)——用于签名ZSK并创建区的“安全入口点” dnssec- keygen -a RSASHA1 -b 1024 -n ZONE – f KSK zonename 中国信息社会重要的基础设施建设者、运行者和管理者 10 DNSSEC部署过程—文件签署 dnssec- signzone -o zonename –f result.file [-N INCREMENT] [-k KSKfile] [-t] zonefile [ZSKfile]  签名工具BIND自带  参数o指定所有域区文件起始  -N INCREMENT序列号自增  参数-K指定KSK文件名称  “zonefile”被签名的zone文件  ZSKfile

文档评论(0)

l215322 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档