YD_T 2586-2013域名服务系统安全扩展（DNSSec）协议和实现要求.pdf

ICS 33.040.40L 78YD中华人民共和国通信行业标准YD/T2586-2013域名服务系统安全扩展（DNSSEC）协议和实现要求SecurityextensionsofDNSand implementationrequirement2013-07-22发布2013-10-01实施中华人民共和国工业和信息化部发布 YD/T算的次数减2223301368901Hash Alg.7lagsIterationsSaltSaltNext Hanhed Owner Name-+-+-++-+-+-+-+-+.Type Bit Maps图3NSEC3的报文格式·Salt长度字段Salt长度字段的值是Salt字段长度的十进制值，范围是0~255。●Salt字段Salt字段用于计算域名的散列值。·散列值长度字段散列值长度字段的值是下一个域名散列值字段长度的八进制值，范国是1~255。·下一个域名散列值字段下一个域名散列值字指明权成域内的域名按照其散列值排序之后，下一个域名的散列值。●类型位图字段类型位图字段指明NSEC3资源记录所有者拥有的全部资源记录类型。5.4DS资源记录DS资源记录存储了DNSKEY资源记录的散列值，用于建立解析服务器验证DNS应容报文时所需的信任链，它可以验证与之对应的DNSKEY资源记录，DS资源记录不像DNSKEY存储在资源记录所有者所在的权成域中，而是存储在上一级权威域中。DS资源记录的类型值是“43”DS资源记录没有特殊的生命周期要求。DS资源记录的报文格式如图4所示，包括16比特的密钥标签字段（KeyTag）、8比特的算法字段（Algorithm）、8比特的散列类型字段（DigestType）和散列值字段（Digest)。56E5901Eey AnyDigeat TypeDigest图4DS的报文格式密钥标签字段DS资源记录的密钥标签字段应和对应的RRSIG资源记录的密钥标签字段一致。 YD/T2586-2013·算法字段算法字段和DS对应的DNSKEY资源记录的算法字段一致，表明签名所使用的算法种类。·散列类型字段散列类型字段指明采用何种算法生成DNSKEY的散列值。·散列值字段散列值字段存储DNSKEY的散列值。6DNSSEC对DNS协议的修改6.1DNSSEC对DNS报文的修改由于新增的DNSSEC资源记录增加了DNS应答报文的长度，所以支持DNSSEC的权成域名服务器和解析服务器应支持EDNS0，即DNS报文长度应最小支持1220字节，建议支持4000字节的报文，此外，DNSSEC在报文头中增加了三个标志位：（1）DO（DNSSECOK)：支持DNSSEC的解析服务器在它的DNS查询报文中，应把DO标志位（2）AD（AuthenticatedData）：AD是已验证数据标志，如果解析服务器验证了DNSSEC应答报文中的数字签名，则置AD位为“1”，否则为“0。这个标志位一般用于自己不做验证的解析服务器和它所信任的递归域名服务器之间，用户计算机上的解析服务器不验证数字签名，递归服务器给它一个AD标惠为“1”的响应，它就接受验证结果。但是，这种场最应保证它们之间的遭信链路安全，必要时需使用IPSEC和TSIG，服务器之间，解析服务器在发送请求时把CD位置“1，递归域名服务器就不再进行数字签名的验证面把归查询结果直接交给解析服务器，由解析服务器验证签名的合法性。6.2对DNS权威域名服务器的修改支持DNSSEC的权威城名服务器应在给解析服务器的应答报文中包含适当的DNSSEC资源记录(RRSIG、DNSKEY、DS和NSEC)，解析服务器通过查询报文中的DO标志位告知权成城名服务器自的权成城名服务器应支持EDNSO。报文中发送。支持DNSSEC的权成域名服务器在发送DNSKEY、DS、NSEC资源记录时应同时发送相应的RRSIG资源记录。DNSSEC资源记录应采用Base64编码方式。DNSSEC没有改变DNS的报文传输协议。6.3对DNS解析服务器的修改支持DNSSEC的解析服务器应支持必要的加解密功能，以保证至少可以对使用某一种签名算法的数学签名进行认证。00 YD/T持DNSSEC的解析服务器对它所接收到的RRSIG资源记录，应能够区分以下四种结果：（1）安全的（secure)：解析服务器能够建立到达资源记录签名者的信任链，并且可以验证数字签名的结果是正确的。(2）不安全的（insecure)：解析服务器收到了一个资源记录和它的签名，但是它无法建立到达签名1者的信任链，因而无法验证。(3）伪造的（bogus)：解析服务器有一个到资源记录签名者的信任链，但是签名验证是错的。可能是因为受到攻击了，也可能是管理员配置错误。（4）不确定（indete