DNSSEC技术发展及影响分析 DNSSEC Technology Development and Effect Analysis.pdfVIP

综述 DNSSEC技术发展及影响分析 崔淑田1。刘 越2 (1．中国人民大学经济学院北京100872：2．工业和信息化部电信研究院北京100191) 行分析．从全球角度介绍了DNSSEC的部署进程和发展趋势，分析了DNSSEC存在的问题和不足，并 针对我国提出了应对DNSSEC发展的策略建议。 美鲁词域名系统；域名系统安全扩展；安全保护；互联网治理 围拥有域名空间相应部分的完整信息。每个区必须指定一 1 DNS及其面临的安全问题 1．1 DNS简介 名解析，资源记录就保存在域名服务器的zone文件中。辅 name 助DNS服务器从具有该区授权的域名服务器(通常是主 域名系统(domainsystem，DNS)是互联网上最为 重要的关键基础设施之一。完成域名到IP地址的映射，具 DNS服务器)上获得所在区的数据，并通过定期查询主 有较高的查询和管理效率，方便人们使用各种网络应用…。 DNS服务器以保证所存储的区数据为最新版本。主服务器 DNS服务发展迅速．已经成为全球最大也是最为成功的 和辅助服务器统称为权威DNS服务器。 分布式数据库系统。 通过分层结构和分级授权机制，DNS分布地DNS采 域名体系采用反向树形结构，其顶层为根域名。在书 用客户机，服务器机制进行域名解析的查询和应答。域名 写域名时默认为省略；根域名之下为顶级域名．顶级域包 服务器作为服务器端，为客户端完成DNS分布式数据的 code 1evel 括国家和地区顶级域(countrytop domain． 存储和解析，包含各级权威服务器和缓存服务器。解析器 ccTLD)和通用顶级域(genericI叩leveldomain，911ID)；域位于客户端，负责执行解析请求，即接受来自客户端应用 名注册人可在顶级域下注册二级或二级以下的域名。将一 程序的DNS查询请求，向域名服务器发送查询请求．并负 条从叶到根的路径上的各级名称用“．”分隔连缀起来．就 责接收域名服务器的返回信息，将结果发给客户端的应用 构成一个独一无二的完整域名，这棵逆向树就称为域名空 程序。各级域名服务器和解析器构成了DNS的基础设施。 间，域名则是存放在被称为资源记录(resourcerecord，RR)1．2 DNS的安全问题 的数据结构中。 DNS协议是至关重要的互联网基础协议，已被广泛使 域名空间被分成若干个区(zone)，每个区按其管辖范用。但作为InIemeI的早期协议，DNS被设计为建立在互信 万方数据 】， 一i*”础≯iq％；， 电储科学i盏黪l鞭鬻麟粼 表1 DNS事务及其所面临的威胁、安全目标和IETF安全规范 模型基础之上的开放体系结构，缺乏适当的信息保护和认 2，2 DNSSEC的工作原理 证机制。由于DNS对于互联网的重要性以及自身的脆弱 采用DNSSEC机制的DNS服务器(一般是区内的主 性，针对DNS的攻击近年来呈现上升的趋势，其安全性不 服务器)首先基于公钥加密系统产生一对密钥，其中一个 容乐观。DNS面临的主要威胁、安全目标和相应的国际互 为公钥，另～个为私钥。公钥对外进行公开发布，任何人均 联网工程任务组(IETF)安全规范如表l所示川。 可获得并使用：私钥由主服务器的管理员或管理机构负责