YD_T 2141-2010基于无线应用协议（WAP）的无线域名系统技术要求.pdf

ICS 33.030M 21人中华人民共和国通信行业标准YD/T 2141-2010基于无线应用协议（WAP）的无线域名系统技术要求Technical requirement for wireless profiled domain name system inWAP2010-12-29 发布2011-01-01 实施中华人民共和国工业和信息化部发布 YD/T 2141-2010目次前言·1范围·2规范性引用文件3术语、定义和缩略语·3.1术语和定义…3.2缩略语·4概述5W-DNS 的总体框架结构?5.1W-DNS 的普通功能性框架6　W-DNS提供 DNS 服务·W-DNS 提供和 IETF 协议保持一致的解析器77.1解析器7.2全W一DNS 解析器7.3IPv6 W-DNS 解析器·8W-DNS 的特性·8.1基于终端的解析器8.2W-DNS 允许的查询模式。8.3W-DNS 客户应用禁止发送多播和广播查询8.4W-DNS 应能够缓存DNS 行为响应9W-DNS 技术实现要求·9.1要求说明9.2主机要求9.3在封闭服务域中限制接入要求9.4优化 TTL属性要求·9.5　安全要求附录A（规范性附录）静态一致性要求参考文献 YD/T 2141-2010钥相关实体的类型，或表明没有与实体相关的密钥。数据来源认证和完整性在DNS 中，认证是由与资源记录相关的装置提供的，以密码的形式生成数字签名的。一般的，会有一个单一私钥来认证整个区域，但是不同的算法、签名人等可能会有多个密钥。如果安全性可知的解析器可靠地得到了区域的一个公钥，那么它就可以认证从这个区域读取的数据，就是说它已经被授权了。对于区域的私钥而言，最安全的实现方法是保证它始终是脱机的，而且周期性的把区域内所有记录全部重新标注。然而，在许多情况下 DNS的私钥都是需要在线的，如动态更新。数据来源认证密钥是与区域相关的，而不是与存放着数据备份的服务器相关。这意味着，如果秘钥保持脱机，即使副服务器，甚至是区域的主服务器被破坏都不会必然影响解析器的可信度，这个解析器决定了数据是否是真实的。解析器得到一个区域的一个公钥的方式从DNS处读取，或者静态地配置这个公钥。为了能可靠地从DNS 处读取公钥，公钥本身必须有解析器信任的钥匙的标志。解析器必须用至少一个公钥来配置，这个公钥把一个区域作为一个起始点来认证。如果DNS树中相关区域是安全的而且其已标示密钥是可理解的，那么从这个起始点开始，可以安全的读取这些区域的公钥。添加数据来源认证和完整性，除了添加密钥分配时必须的签名资源类型和密钥资源类型之外，不必改变“on-the-wireDNS 协议，数据不存在的认证也需要下个资源记录。如果他们能够提供对额外的资源类型的支持，这个服务可以由现存的解析器和缓存服务器来实现。惟一例外的情况是，当一个安全区域内的统一的域名提名来源于个安全性不可知的服务器时，那么它将不能被认证。如果在重新找到签名认证的信息时，签名是单独被找回和核实的，那么服务器将会有更多的操作，安全性可知的服务器通过发送必要的签名来减轻这种影响。DNS 事务和请求认证的方法。如果头比特被一个坏服务器设置错误了，那么就无法使用数据来源认证服务。但是即便如此，仍然可以提供请求认证。请求认证意味着解析器能够保证，至少可以从它所要询问的服务器得到信息，并且这些信息是对其询问的回答。例如，在传输过程中没有被欺骗的报文。用户可以通过在把服务器的应答和解析器的查询请求也可以通过在结尾包含特殊的 SIG资源记录，使得自已被认证。在旧的DNS服务器中，认证请求不提供任何功能，而且携带有一个非空额外信息段的请求会产生错误回复，甚至会被许多服务器忽略。为了传输安全性，私钥属于回复的一部分，而不与区域相关。请求认证可能与主机或其他组成请求的事物相关联，或者与其他私钥相关联。具体与谁相关联是由要建立的请求权限决定的。为了用于认证，相应的公钥正常情况下会在 DNS 中存放和找回。放在软件或一个直接与网络相连的硬件上。9.5.4安全缺陷说明额外的安全一定有缺陷。鉴权的数据通常在一段时间后“过期”，并且交换信息的成员（客户和服8 YD/T 2141-2010务器）必须维持他们的安全关系。TSIG（Transaction Signatures），参见IETFRFC2845，通过使用“共享的密钥避免了公共密钥的性能影响。因为 TSIG 包含了安装在请求端和服务端的密钥，这个密钥的存在表明其他端知道 TSIG，并且很可能也安装了同样的密钥。另外，TSIG 用了相对运算量不太大的钥匙散列认证代码。因此，如果相应的请求被授权，用TSIG授权请求和响应是很正常的，但是共享密钥的安全分发仍然是问题。 YD/T 2141-2010附录A（规范性附录）静态致性要求A.1概