YD-T 4331-2023域名系统安全扩展（DNSSEC）验证流程技术要求.pdf

[CS35.240

CCSL79YD

中华人民共和国通信行业标准

YD/T4331—2023

域名系统安全扩展（DNSSEC）验证流程

技术要求

D1NSSECvalidationprocesstechnicalreuirements

2023-07-28发布2023-11-01实施

中华人民共和国工业和信息化部发布

YD/T4331—2023

目次

前言II

1范围1

2规范性引用文件1

3术语和定义1

4缩略语3

5DNS系统查询逻辑概述3

6DNSSEC签名及验证原理概述5

6.1DNSSEC签名流程概要6

6.2DNSSEC验证流程概要6

7DNSSEC验证面临的问题7

7.1问题陈述7

7.2DNSSEC验证效率问题7

7.3DNSSEC验证兼容性问题7

8DNSSEC验证流程技术耍求8

8.1递归服务器无缓存情形的技术要求8

8.2递归服务器有缓存情形的技术要求II

附录A（资料性）DNSSEC实例15

I

YD/T4331—2023

刖百

本文件按照GB/TLI—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件山中国通信标准化协会提出并归口。

本文件起草单位：中国互联网络信息中心。

本文件主要起草人：赵琦、冷峰、张跃冬。

II

YD/T4331—2023

域名系统安全扩展（DNSSEC）验证流程技术要求

1范围

木文件针对域名服务系统安全扩展（DNSSEC）部署实施后递归域名服务器验证DNSSEC签名的

流程。

木文件适用于域名服务系统中递归服务器。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件,

仅该日期对应的版本适用于本文件；不注日期的引用文件，其坡新版本（包括所有的修改单）适用于本

文件。

YD/T2140—2010域名服务系统安全框架技术要求

3术语和定义

下列术语和定义适用于本文件。

3.1

域名服务系统安全扩展DMSsecurityextension

一套为传统DNS系统增加源认证及数据完整性安全功能的扩展机制，该机制增加了4种新的资源

记录并对传统DNS系统的某些方面进行了修改，传统DNS系统需要进行协议升级才能支持DNSSECo

3.2

区签名密钥zonesigningkey

对权威域数据进行DNSSEC签名或验证的密明对。通常，相对于密钥签名密钥，区签名密钥较短，

具有较短的有效期，但是具有较高的签名效率。

3.3

密钥签名密钥keysigningkey

对区签名密钥对中的公钥进行数字签名或验证的密钥对。通常，相对于区签名密钥，密钥签名密钥

较长，具有较长