YD_T 2834-2015支持IPv6的域名系统(DNS)安全技术要求.pdf

ICS 33.060M 16YO中华人民共和国通信行业标准YD/T2834-2015支持IPv6的域名系统(DNS)安全技术要求DNS securitytechnical requirementsforIPv62015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T2834-2015中华人民共和国通信行业标准支持IPv6的域名系统(DNS)安全技术要求YD/T 283420159人民郎电出版社出版发行北京市丰台区皮寿寺路11号邮电出版大鼠邮政编码：100164北京康利胶印广印版权所有不得翻印*开本： 880×1230 1/162015年12月第1版印张 0.752015年12月北京第1次印联字数：18千字15115 + 709定价：10元本书如有印装质量问题，请与本社联系电话：(010 YD/T次范围·2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2维路语+支持IPv6的域名系统面临的主要安全威胁+5支持IPv6的域名系统安全技术要求5.1安全功能要求5.2安全部署要求5.3安全管理要求.附录A（规范性附录）支持IPv6的域名系统技术要求· YD/T本标准由中国标准化协会提出并归口。本标准起草单位：中国联合网络通信集团有限公司、中国电信集团公司、工业和信息化部电信研究院、中国互联网络信息中心。本标准主要起草人：夏俊杰、王晓藏、贾亦辰。II YD/T持IPv6的域名系统（DNS）安全技术要求1范围本标准规定了支持IPv6的域名系统运行的安全技术要求，包括安全功能要求、安全部署要求和安全管理要求，本标准适用于IPv6网络环境下的域名系统和IPv4与IPv6共存网络环境下的域名系统。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。YD/T共域名解析系统安全要求IETF RFC 3596DNS 扩展以支持IP版本 6(DNS Extensions to Support IP Version 6)IETF RFC 4033DNS安全介绍和要求(DNS Security Introduction and Requirements)IETF RFC 6147DNS64机制：网络地址转换从IPv6客户端向IPv4服务器的DNS扩展(DNSExtensions for Network Address Translation from IPv6Clients to IPv4 Servers.3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件。3.1.1减名DomainName域名系绕名字空间中，从当前节点到根节点的路径上所有节点标记的点分顺序连接，如中国通信标准化协会的域名为.3.1.2城Domain城名系统名字空间中的一个子集，也就是树形结构名字空间中的一棵子树。这个子树根节点的域名就是该域的名字，如3.1.3资源记录ResourceRecord在域名系统中用于存储与域名相关的属性信息，简称RR。每个域名对应的记录可能为空或者多条。域名的资源记录由名字(Name)、类型(Type)、种类(Class)、生存时间(TTL)、记录数据长度(Rdlength)、记录数据（Rdata）等字段组成。3.1.4名字服务器NameServer又称为域名服务器。用于存储域名和资源记录及其他相关信息并负责处理用户的查谢请求，名字服1 YD/T器包括权威服务器（AuthoriativeServer）和递归服务器(Recursive Server）两种。3.1.5权威服务器AuthoritativeServer信息。3.1.6递归服务器Recursive Server也被称为本地域名服务器和缓存服务器。它负责接受用户端发送的请求，然后通过向各级权威服务器发出查询请求获得用户需要的查询结果，最后返回给用户端的解析器。遵归服务器可以将权成服务器返回的各种记录进行锻存从而减少查询次数和提高查询效率，因而也被称为缓存服务器。3.1.7IPv6/IPv4网络地址翻译NAT64一种有状态的网络地址与协议转换技术，它一般只支持通过IPv6网络侧用户发起连接访间IPv4侧网络资源。但NAT64也支持通过手工配置静态映射关系，实现IPv4网络主动发起连接访间IPv6网络。3.1.8IPv6/IPv4域名解析服务器DNS64支持在过波阶段使用的DNS服务器，它配合NAT64工作，将DNS查询信息中的A记录（IPv4地3.2缩略语下列缩略语适用于本文件，AA Record指定域