DNSSEC技術(shù)在我國(guó)的發(fā)展及影響探討

王亮量

【摘 要】DNS是域名系統(tǒng)的簡(jiǎn)稱，其是互聯(lián)網(wǎng)上非常關(guān)鍵的基礎(chǔ)設(shè)施之一，對(duì)于人們應(yīng)用各種網(wǎng)絡(luò)都具有非常重要的作用，隨著其各項(xiàng)技術(shù)的發(fā)展，已經(jīng)逐漸發(fā)展成為全球最大也是最為成功的分布式數(shù)據(jù)庫(kù)系統(tǒng)，DNSSEC能夠提供一種通過軟件炎癥DNS數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中沒有被更改的方式，本文就主要對(duì)其工作原理、安全性能及在我國(guó)的發(fā)展進(jìn)行簡(jiǎn)單分析，并簡(jiǎn)單探討其對(duì)我國(guó)的影響。

【關(guān)鍵詞】DNSSEC技術(shù) 在我國(guó)的發(fā)展 影響探討

由于DNS系統(tǒng)自身存在一些軟件漏洞，導(dǎo)致其安全性能難以得到有效的保障，并且容易受到DDoS、緩存中毒、域名劫持等的攻擊，很容易導(dǎo)致出現(xiàn)部分或者網(wǎng)絡(luò)的癱瘓，DNSSEC技術(shù)對(duì)于提升域名系統(tǒng)的安全性能具有非常重要的作用，本文就主要對(duì)其在我國(guó)的發(fā)展趨勢(shì)及影響進(jìn)行簡(jiǎn)單分析探討。

1 DNSSEC技術(shù)簡(jiǎn)介及其所面臨的安全問題

1.1 DNSSEC概述

DNSSEC指的是DNS安全擴(kuò)展協(xié)議，其是由IETF所開發(fā)的，能夠提供一種通過軟件來(lái)驗(yàn)證DNS數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中沒有被更改的方式，關(guān)于DNSSEC技術(shù)的研究從上個(gè)世紀(jì)90年代就已經(jīng)開始，期間提出的應(yīng)用公鑰基礎(chǔ)設(shè)施在原有的DNS的基礎(chǔ)之上添加數(shù)字簽名的形式，對(duì)通過DNS體系內(nèi)部信息能夠同時(shí)提供權(quán)限認(rèn)證及信息完整性驗(yàn)證，這能夠很好的解決DNS的中存在的安全性問題，其主要功能表現(xiàn)為：（1）能夠提供否定存在的驗(yàn)證，為否定應(yīng)答報(bào)文提供驗(yàn)證信息；（2）能夠提供數(shù)據(jù)的完整性驗(yàn)證，所有數(shù)據(jù)在傳輸?shù)倪^程中沒有出現(xiàn)相關(guān)的更改；（3）能夠提供數(shù)據(jù)的來(lái)源驗(yàn)證，DNS數(shù)據(jù)都來(lái)自于正確的域名服務(wù)器。

1.2 DNSSEC技術(shù)的工作原理

應(yīng)用DNSSEC技術(shù)的DNS服務(wù)器首先基于公鑰加密系統(tǒng)產(chǎn)生一對(duì)密鑰，一個(gè)為公鑰一個(gè)為私鑰，其中公鑰是對(duì)外公布的，任何人都能夠使用，而私鑰則是由主服務(wù)器的管理機(jī)構(gòu)或者是管理員負(fù)責(zé)保管的，對(duì)外是嚴(yán)格保密的，DNS服務(wù)器在實(shí)際的工作過程中，其主要是應(yīng)用私鑰對(duì)返回給查詢方的記錄資源實(shí)施數(shù)字簽名，在此基礎(chǔ)上得到一個(gè)新的資源記錄，并能夠?qū)⒔?jīng)過簽名的資源記錄和沒有經(jīng)過簽名的資源記錄作為應(yīng)答報(bào)文一同發(fā)送至提出查詢請(qǐng)求的解析器或者客戶端，在資源記錄中還包括有數(shù)字簽名算法的代碼及公鑰，解析器或者客戶端在受到應(yīng)答報(bào)文之后，能夠應(yīng)用加密算法或者公鑰來(lái)對(duì)所收到的資源記錄進(jìn)行加密運(yùn)算，從而得到一個(gè)計(jì)算出來(lái)的新的資源記錄，并會(huì)將其與所收?qǐng)?bào)文中的新的資源記錄進(jìn)行對(duì)比，如果兩組相同，那么就通過了對(duì)簽名者的認(rèn)真，并驗(yàn)證了數(shù)據(jù)的完整性，也就是說(shuō)應(yīng)答報(bào)文中的資源記錄是真實(shí)的，如果二者不同，那么就說(shuō)明所受到的資源記錄是假的。

將DNSSEC技術(shù)應(yīng)用于DNS中，其每個(gè)區(qū)域都需要進(jìn)行雙重的密鑰，其中第一對(duì)的密鑰主要是用來(lái)對(duì)區(qū)域中的DNS資源記錄事實(shí)簽名，將其稱之為區(qū)簽名密鑰，第二對(duì)密鑰主要是用來(lái)對(duì)包含密鑰的資源記錄進(jìn)行簽名，將其稱之為密鑰簽名密鑰，在DNSSEC技術(shù)中，只有解析器對(duì)其所收到的公鑰信任，才能將其應(yīng)用于解密工作中，以便于對(duì)數(shù)據(jù)的完整性進(jìn)行驗(yàn)證，在解析器的解密工作中，先應(yīng)用密鑰簽名密鑰的公鑰來(lái)對(duì)包含密鑰的資源記錄實(shí)施驗(yàn)證，再應(yīng)用區(qū)域簽名密鑰公鑰來(lái)實(shí)施數(shù)據(jù)驗(yàn)證，所以密鑰簽名密鑰公式是DNSSEC的關(guān)鍵入口，如果解析器對(duì)其應(yīng)用的密鑰簽名密鑰充分的信任，那么就將該密鑰簽名密鑰稱作是解析器的信任錨，啟用DNSSEC的區(qū)會(huì)將其自身的密鑰簽名密鑰的公鑰交給其父區(qū)，由其父區(qū)應(yīng)用自身的區(qū)簽名密鑰對(duì)其實(shí)施簽名，另一方面，父區(qū)也可以將自身的密鑰簽名密鑰的私鑰交給自己的父區(qū)，由其應(yīng)用區(qū)簽名密鑰來(lái)實(shí)施簽名，將該過程中稱之為密鑰授權(quán)，一旦該過程向上達(dá)到信任錨的時(shí)候，就形成了信任鏈，如果一條信任鏈能夠一直通達(dá)到根區(qū)，就說(shuō)明這條鏈上的各級(jí)區(qū)域都是可以信任的，可以應(yīng)用根區(qū)的密鑰簽名密鑰對(duì)其實(shí)施簽名驗(yàn)證，以便于保證數(shù)據(jù)來(lái)源的可靠性及數(shù)據(jù)本身的完整性，在理想情形下，如果所有區(qū)域中都部署有DNSSEC，那么解析器工作過程中只需要保存作為信任錨根區(qū)的密鑰簽名密鑰的公鑰就可以實(shí)現(xiàn)依次的驗(yàn)證，從而保證其確實(shí)是從需要的DNS服務(wù)器中獲得了應(yīng)答報(bào)文。

1.3 DNSSEC技術(shù)的安全性分析

DNSSEC中應(yīng)用的公鑰基礎(chǔ)設(shè)施是基于非對(duì)稱密碼學(xué)來(lái)進(jìn)行設(shè)計(jì)的，其公鑰加密文件只能應(yīng)用私鑰來(lái)進(jìn)行解密，而私鑰加密文件只能應(yīng)用公鑰來(lái)進(jìn)行解密，私鑰與公鑰是成對(duì)產(chǎn)生的，具有非對(duì)稱密碼技術(shù)的特點(diǎn)，其安全性與公鑰基礎(chǔ)設(shè)施所用的密鑰安全性具有直接的關(guān)系，其密鑰的位數(shù)越長(zhǎng)，其安全強(qiáng)度越大，保密性越好。

2 DNSSEC的部署進(jìn)程及發(fā)展趨勢(shì)

目前DNSSEC根區(qū)的部署已經(jīng)逐漸完成，信任錨已經(jīng)正式啟用，頂級(jí)域的部署進(jìn)程逐漸加快，域名服務(wù)機(jī)構(gòu)的技術(shù)門檻逐漸降低，這對(duì)于DNSSEC的部署具有一定的推動(dòng)作用，DNS所具有的DNSSEC信任機(jī)制及樹形結(jié)構(gòu)對(duì)于DNSSEC部署的加快具有一定的推動(dòng)作用，并且隨著根區(qū)及主要頂級(jí)域的DNSSEC部署完畢并投入運(yùn)行，自頂向下的推動(dòng)將使得越來(lái)越多的域名接受DNSSEC技術(shù)，隨著經(jīng)驗(yàn)的進(jìn)一步積累及相關(guān)技術(shù)的發(fā)展，其部署及運(yùn)行成本將會(huì)越來(lái)越低。

3 DNSSEC對(duì)我國(guó)的影響

DESSEC技術(shù)的應(yīng)用，為互聯(lián)網(wǎng)的運(yùn)行增加了一個(gè)新的安全手段，其對(duì)我國(guó)DNS安全性能的提升提供了新的技術(shù)與思路，DNS與DNSSEC并行為我國(guó)研究工作的開展提供了一定的時(shí)間，但是總體上來(lái)講，目前DNSSEC技術(shù)全球部署去的數(shù)量還不是很多，其實(shí)際的應(yīng)用效果還有待進(jìn)一步觀察與研究，而我國(guó)應(yīng)該為應(yīng)對(duì)其可能產(chǎn)生的影響做好準(zhǔn)備工作，積極加強(qiáng)技術(shù)的研究與相關(guān)標(biāo)準(zhǔn)的制定工作，積極開展各項(xiàng)應(yīng)用示范及試驗(yàn)，以便于積累更懂的管理經(jīng)驗(yàn)與運(yùn)營(yíng)經(jīng)驗(yàn)，并要積極參與到相關(guān)的國(guó)際合作中，擴(kuò)大我國(guó)的話語(yǔ)權(quán)，并要積極完善我國(guó)的域名注冊(cè)管理機(jī)制，保證國(guó)內(nèi)域名的解析安全。

4 結(jié)語(yǔ)

DNSSEC技術(shù)對(duì)于提升域名系統(tǒng)的安全性具有積極的作用，本文就主要對(duì)其在工作原理及在我國(guó)的發(fā)展進(jìn)行了簡(jiǎn)單分析，并簡(jiǎn)單探討了其對(duì)我國(guó)互聯(lián)網(wǎng)發(fā)展的影響，對(duì)于相關(guān)的研究工作具有一定的參考價(jià)值。

參考文獻(xiàn)：

[1]崔淑田，劉越.DNSSEC技術(shù)發(fā)展及影響分析[J].電信科學(xué)，2012（9）.

[2]朱剛.DNSSec技術(shù)發(fā)展及應(yīng)用展望[J].電信技術(shù)，2010（9）.

本課題得到國(guó)家科技支撐計(jì)劃項(xiàng)目（2012BAH16B00）國(guó)家自然科學(xué)基金青年科學(xué)基金項(xiàng)目（61003239，61102057），發(fā)改委IPv6升級(jí)改造項(xiàng)目，2012CNGI“下一帶互聯(lián)網(wǎng)標(biāo)準(zhǔn)體系建設(shè)”資助。endprint