域名服务系统安全扩展（DNSSEC）协议测试方法.pdfVIP

域名服务系统安全扩展（DNSSEC）协议测试方法

1范围

本文件针对域名服务系统安全扩展的协议测试进行了详细的规定，并提出了测试的要求。

本文件适用于域名服务系统的安全扩展协议测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T33562-2017信息安全技术安全域名系统实施指南

YD/T2140-2010域名服务安全框架技术要求

YD/T2586-2013域名服务系统安全扩展(DNSSEC)协议和实现要求

YD/T3008-2016域名服务安全状态检测要求

IETFRFC5155散列的DNSSEC否定存在验证（DNSSecurity(DNSSEC)HashedAuthenticatedDenial

ofExistence）

IETFRFC8624DNSSEC算法实现需求与使用指南（AlgorithmImplementationRequirementsand

UsageGuidanceforDNSSEC）

3术语和定义

YD/T2586-2013、YD/T3008-2016、GB/T33562-2017界定的以及下列术语和定义适用于本文件。

3.1

域名系统domainnamesystem

一种将域名映射为某些预定义类型资源记录（resourcerecord）的分布式互联网服务系统,网络中

域名服务器间通过相互协作,实现将域名最终解析到相应的资源记录。

3.2

资源记录resourcerecord

在域名系统中用于存储与域名相关的属性信息，简称RR。每个域名对应的记录可能为空或者多条。

域名的资源记录由名字(name)、类型(type)、种类(class)、生存时间(ttl)、记录数据长度(rdlength)、

记录数据(rdata)等字段组成。

3.3

域名服务器nameserver

用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求的服务器。

1

3.4

支持DNSSEC的权威域名服务器security-awareauthoritativedomainnameserver

一个具有权威域名服务器功能的实体，并能够支持本标准定义的域名服务系统安全扩展(DNSSEC)。

一个支持DNSSEC的权威域名服务器可以接受DNS查询报文，发送DNS应答报文，支持本标准定义的DNSSEC

资源记录类型，支持DNS扩展机制等。

3.5

支持DNSSEC的递归域名服务器security-awarerecursivedomainnameserver

具有递归功能的支持DNSSEC的权威域名服务器，既可以充当权威域名服务器，又可以充当解析器。

3.6

解析器resolver

向域名服务器发送域名解析请求,并且从域名服务器返回的响应消息中提取所需信息的程序。解析

器软件通常集成到操作系统内核或者应用软件中。

3.7

区zone

域名系统名字空间中面向管理的基本单元。

3.8

区文件zonefile

某个区内的域名和资源记录及相关的权威起始信息（startofauthority，SOA）按照一定的格式

进行组合,从而构成存储这些信息的文件。其中,权威起始信息包含了区的管理员电子邮件地址（mail

address）、序列号（serial）、更新周期(refresh)、重试周期(retry)和过期时间（expire）等信息。

3.9

DNS查询/响应DNSquery/response

解析器与缓存域名服务器之间进行资源记录的查找与响应的过程。

3.10

区签名密钥（ZSK）zonesigningkey

对权威域数据进行DNSSEC签名或验证的密钥对。通常，相对于密钥签名密钥，区签名密钥比较短，

具有较短的有效期，但是具有较高的签名效率。

3.11

密钥签名密钥（KSK）keysigningkey

对区签名密钥对中的公钥进行数字签名或验证的密钥对。通常，相对于区签名密钥，密钥