YD_T 2908-2015基于域名系统(DNS)的IP安全协议(IPSec)认证密钥存储技术要求.pdf

ICS 35.100.05L 79YD中华人民共和国通信行业标准YD/T2908-2015基于域名系统(DNS)的IP安全协议认证密钥存储技术要求Technical requirementsforDNS-basedIPSeckeyingmaterial storage2015-10-14发布2016-01-01实施中华人民共和国工业和信息化部发布 YD/T考文献[1] IETF RFC 2065Domain Name System Security Extensions YD/T2908-2015中华人民共和国通信行业标准基于域名系统(DNS)的IP安全协议认证密钥存储技术要求YD/T民邮电出版社出版发行北京市丰台区成寿寺路11号郑电出版大道解改编码：100164北京康利胶印广印版权所有不得翻印开本；880×12301/162016年11月第1版印账：12016年11月北京第1次印别字数：20千字15115 · 885定价：15元本书如有印装质量问题，请与本社联系电话：(010 YD/T次前言：范围2规范性引用文件术语、定义和缩略语3.1术语和定义3.2缩略语…概述存储格式5.1RDATA结构5.2优先级·5.3网关类型5.4算法5.5网关?5.6公销.6星现格式安全考量.7.1资源记录安全性分析·7.2针对不安全的IPSECKEY资源记录的主动攻击附录A（资料性附录）IPSECKBY资源记录举例参考文献 YD/T本标准按照GB/T1.1-2009给出的规则起章，请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由中国遇信标准化协会提出并归口。本标准起草单位：互联网域名系统北京市工程研究中心有限公司、北龙中网（北京）科技有限贵任公司、中国科学院计算机网络信息中心（中国互联网络信息中心)。本标准主要起草人：马迪、钱炜烁、沈烁、邢志杰、卢文哲、毛伟。本标准主要参考IETFRFC4025，同时存在以下差异：将IETFRFC4025的例章节放到了资料性附录，为了方便读者理解，本标准5.3中对“线性编码域名”一调加以筒要说明。II YD/T于域名系统(DNS)的IP安全协议认证密钥存储技术要求1范围本标准规定了一种基于DNS的IPSec认证密钥及加密点信息存储方法，该方法可用于从DNS权威服务器获取IPSec目标系统的密钥信息和加密点信息，本标准规定了该资源记录的数据格式及其使用方法。本标准适用于部署有安全的DNS服务（通过DNSSEC或类似技术实现）的系统。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。IETF RFC 596关于Telnet许可的重考虑(Second Thoughts on Telnet Go-Ahead)IETF RFC 1035域名——实现与规范(DOMAINNAMES-IMPLEMENTATION AND SPECIFICATION)IETF RFC 2407 ISAKMP的IPSec解释域 (The Intermet IP Security Domain of Interpretation for ISAKMP)IETFRFC2536城名系统的DSA密钥和签名(DSAKEYsandSIGs intheDomainName System(DNS)）IETF RFC 3110域名系统的RSA/SHA-1签名与RSA密钥（RSA/SHA-1 SIGs and RSA KEYs in theDomain Name System (DNS))IBTF RFC3548Basc16、Base32-与Base64编码(The Base16, Base32, and Basc64 Data Encodings)3术语、定义和编略语3.1术语和定义下列术语和定义适用于本文件。3.1.1客户端Client用来建立连接用来发送请求的一个程序。3.1.2资源记录Resource Record每个域所包含的与之相关的资源3.2缩略语下列缩略语适用于本文件。DNSDomain Name System互联网域名系统IPInternet Protocol互联网协议IPSecInternet Protocol SecurityIP安全协议PTRPointer Record反向地址解析资源记录RSARSA AlgorithmRSA加密算法DSADigital Signature Algorithm数字签名算法1 YD/T 29082015