《信息安全技术安全域名系统实施指南(GB-T 33562-2017).docx》由会员分享,可在线阅读,更多相关《信息安全技术安全域名系统实施指南(GB-T 33562-2017).docx(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS35.040L 80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 安全域名系统实施指南Information security technology - Secure Domain name system deploymentguide点击此处添加与国际标准一致性程度的标识(本稿完成日期:XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言II引言III1 范围12 规范性引用文件13 术语和定义14 缩略语45 DNS安全技术指南45.1 概述45.2 权威域名系统安全指南55.3 递归域名系统安全指南55.4 DNS事
2、务安全指南65.5 DNS数据安全指南86 DNS查询/响应安全指南(DNSSEC规范)96.1 DNSSEC机制和操作96.2 公私密钥对的生成96.3 私钥的安全存储106.4 公钥的发布和建立信任锚106.5 区签名和区重签名106.6 密钥轮转106.7 创建信任链和签名验证11附录 A(资料性附录)具体BIND配置命令12参考文献14前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:山东省标准化研究院、中国互联网络信息中心、天津卓朗科技发展有限公司、青岛以太科技股份有限公司、深圳市信息安全测评
3、中心、深圳市坪山新区信息化管理办公室、常州富国信息技术有限公司、辽宁省信息安全与软件测评认证中心、青岛大学、青岛科技大学、互联网域名系统北京市工程研究中心。本标准主要起草人:王曙光、王庆升、公伟、隗玉凯、姚健康、刘杰、林明贵、王伟、武刚、唐增来、邱建中、黎文辉、陶毅国、陈多思、丁锋、于佳、程相国、刘国柱、马迪。引言随着网络攻击技术的发展及DNS漏洞的频繁出现,攻击者已经大大缩短了劫持DNS查找过程的任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作。若要在长期内消除此漏洞,唯一的解决方案是以端到端的形式部署DNSSEC协议,即从根区到最终域名的查找过程中每一步都部署DNSSE
4、C。目前,作为DNSSEC信任链的根服务器都已经部署DNSSEC服务。与此同时,随着业界对DNSSEC的努力推动,各顶级域名管理机构陆续开始部署DNSSEC服务,但在顶级域名之下的二级权威域及递归域名对DNSSEC支持相对较低。虽然国内重点权威域名服务器和主要递归域名服务器对DNSSEC支持只有0.9%和2.2%,但它们对DNSSEC支持相比以前有了较大改善。本标准可以为域名系统DNSSEC部署过程提供权威域名系统安全指南、递归域名系统安全指南、DNS事务安全指南和DNS数据安全指南等DNS安全技术指南,为DNSSEC部署到各级域名系统提供技术支撑和实践指导。IIIGB/T XXXXXXXXX
5、信息安全技术域名系统(DNS)安全部署指南1 范围本标准规定了域名系统安全扩展协议(DNSSEC)部署过程中权威域名系统安全、递归域名系统安全、DNS事务安全、DNS数据安全等DNS安全技术指南。本标准适用于运行域名系统的组织内域名系统安全管理人员。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 5271.8-2001信息技术词汇第8部分:安全(ISO/IEC 2382-8:1998,IDT)GB/T 5271.9-2001信息技术词汇第9部分:数据通信(IS
6、O/IEC 2382-9:1995,EQV)GB/T 25069-2010 信息安全技术术语GB/T AAAAA-BBBB 信息安全技术 公共域名服务系统安全技术要求YD/T 2137-2010 域名系统递归服务器运行技术要求YD/T 2138-2010 域名系统权威服务器运行技术要求YD/T 2140-2010 域名服务安全框架技术要求YD/T 2586-2013 域名服务系统安全扩展(DNSSEC)协议和实现要求3 术语和定义GB/T 5271.8-2001、GB/T 5271.9-2001、GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1域名系统domain n
7、ame system一种将域名映射为某些预定义类型资源记录(resource record)的分布式互联网服务系统,网络中域名服务器间通过相互协作,实现将域名最终解析到相应的资源记录。3.2名字空间name space一种节点与资源集合相对应的树状结构(如图1所示)。图1域名系统服务体系3.3域名domain name域名系统名字空间中,从当前节点到根节点的路径上所有节点标记的点分顺序连接的字符串,如图1对应的域名“”。3.4域 domain域名系统名字空间中的一个子集,也就是树形结构名字空间中的一棵子树。这个子树根节点的域名就是该域的名字。3.5顶级域 top level domain指域名
8、系统名字空间中根节点下最顶层的域。顶级域分为国家及地区代码顶级域(country code Top Level Domain, ccTLD)和通用类别顶级域(generic Top Level Domain, gTLD)两种不同类型。如图1中 “cn”为中国顶级域,“com”、“net”均为通用类别顶级域。3.6资源记录 resource record指在域名系统中用于存储与域名相关的属性信息,简称RR。每个域名对应的记录可能为空或者多条。域名的资源记录由名字(name)、类型(type)、种类(class)、生存时间(ttl)、记录数据长度(rdlength)、记录数据(rdata)等字段组
9、成。3.7域名服务器 name server用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求的服务器。3.8区 zone域名系统名字空间中面向管理的基本单元。3.9权威域名服务器 authoritative domain name server指对于某个或者多个区具有可信数据功能的服务器,权威域名服务器保存着其所拥有区的原始域名资源记录信息。3.10区文件 zone file某个区内的域名和资源记录及相关的权威起始信息(start of authority,SOA)按照一定的格式进行组合,从而构成存储这些信息的文件。其中,权威起始信息包含了区的管理员电子邮件地址(mail addr
10、ess)、序列号(serial)、更新周期(refresh)、重试周期(retry)和过期时间(expire)等信息。3.11主域名服务器 master domain name server指被配置成区数据发布源的权威服务器。3.12辅域名服务器 slave domain name server指通过区传送协议来获取区数据的权威服务器。3.13DNS事务 dns transactionsDNS事务类型包含4部分:DNS查询/响应、区传送、动态更新、DNS通知报文。3.14DNS查询/响应 dns query/response解析器与缓存域名服务器之间进行资源记录的查找与响应的过程。3.15区传
11、送 zone transfer将区的资源记录内容从主服务器向辅服务器传送的过程,用于实现主、辅服务期间的数据同步。3.16动态更新 dynamic updates实施现有域添加或删除个别的资源记录、为现有域删除一套特定的资源记录、删除现有域、新增一个域的一个操作。3.17DNS通知报文 dns notify当主DNS服务器的区文件发生变化时,主DNS服务器通知辅DNS服务器数据变化的手段。3.18递归域名服务器 recursive domain name server指负责接受用户(解析器)的解析请求,并通过查询本地缓存或者执行从根域名服务器到被查询域名所属权威服务器的递归查询过程,获得解析结
12、果并返回给用户的域名服务器。3.19解析器 resolver指向域名服务器发送域名解析请求,并且从域名服务器返回的响应消息中提取所需信息的程序。解析器软件通常集成到操作系统内核或者应用软件中。3.20区签名密钥 zone signing key对权威域数据进行DNSSEC签名或验证的密钥对。3.21密钥签名密钥 key signing key对区签名密钥对中的公钥进行数字签名或验证的密钥对。3.22DNS公钥(DNSKEY)DNS public key存储权威域的公钥的资源记录。权威域使用私钥对DNS资源记录进行数字签名,并且将公钥保存在DNSKEY资源记录中,用于稍后对数字签名的验证。3.2
13、3资源记录签名(RRSIG) resource record signature存储DNS资源记录集的数字签名的资源记录。3.24授权签名者(DS) delegation signer存储DNSKEY资源记录散列值的资源记录。 DS资源记录用于建立解析服务器验证DNS应答报文时所需的信任链,它可以验证与之对应的DNSKEY资源记录。3.25信任锚 trust anchor一个预先配置的DNSKEY资源记录或者DNSKEY资源记录的散列值(ds资源记录),可以作为信任链的起始点。3.26信任链 authentication chain一个由DNSKEY和DS资源记录交替组成的序列。 4 缩略语下
14、列缩略语适用于本文件。ACL Access Control List 访问控制列表BIND Berkeley Internet Name Domain 伯克利互联网域名软件DNS Domain Name System 域名系统DNSKEY Domain Name System Key 域名系统密钥DNSSEC Domain Name System Security Extensions DNS安全扩展DS Delegation Signer 授权签名者EDNS0 Extension Mechanisms for DNS 使用DNS的扩展名机制HMAC Hash-based Message Au
15、thentication Code 散列消息认证码KSK Key Signing key 密钥签名密钥NSEC3 Next Secure version 3 下一个安全记录第三版NTP Network Time Protocol 网络时间协议RR Resource Record 资源记录RRset The set of Resource Record 资源记录集RRSIG Resource Record Signature 资源记录签名SOA Start Of Authority 起始授权TSIG Transaction Signatures 事务签名TTL Time To Live 生存时间
16、TCP Transmission Control Protocol 传输控制协议ZSK Zone Signing Key 区签名密钥5 DNS安全技术指南5.1 概述本标准中DNS安全指南主要是进行DNSSEC部署过程中权威域名系统安全指南、递归域名系统安全指南、DNS事务安全指南和DNS数据安全指南。本标准中权威域名系统包括权威域名的服务器、软件,递归域名服务系统包括递归域名的服务器、软件和客户端。本标准主要用于使用BIND1) BIND是使用最广泛的域名服务软件,目前BIND有两个版本在同时发展:BIND 8.x 和 BIND 9.x。 DNS域名软件的环境,部分具体BIND配置命令清单参
17、见附录A。5.2 权威域名系统安全指南5.2.1 权威域名服务器安全指南宜对权威域名服务器进行安全检测,并对服务器操作系统进行安全加固。宜保证权威域名服务器:a) 符合GB/T AAAAA-BBBB 5.1的要求;b) 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序;c) 操作系统已通过安全方式安装最新的操作系统补丁;d) 已安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;e) 不提供其他服务,仅配置用来响应递归域名服务器DNS流量;f) 配置拒绝递归服务,降低遭受DOS攻击的风险;g) 配置时间服务器,通过NTP进行时间同步;h) 仅提供具有权威信息的区域名解析;i)
18、网络和地理位置分散:网络分散确保全部权威域名服务器不在单一路由或交换设备、单一子网或单一租用线路下;地理位置分散确保全部权威域名服务器不在同一地理位置,至少在外部部署一台备份服务器,即保证权威域名服务器有冗余配置。5.2.2 权威域名系统的软件安全指南保护权威域名系统的软件安全包含如下:a) 运行最新版本的权威域名系统软件对配置参数进行必要的变更,关注并定期检测版本的安全性,避免业已发现的漏洞造成域名劫持或域名更改等安全事件。配置拒绝版本应答功能,以防止泄露权威域名系统软件版本信息。b) 安装补丁关注软件运行版本的漏洞和补丁,并及时进行补丁安装和安全修复。c) 限制其他应用程序保证权威域名系统
19、的软件运行的平台中不包含除了必要的操作系统和网络支持软件以外的程序。d) 控制安装软件的主机设置软件运行于指定为权威域名服务器的主机中。5.3 递归域名系统安全指南5.3.1 递归域名服务器安全指南宜对递归域名服务器进行安全检测,并对服务器操作系统进行安全加固。宜保证递归域名服务器:a) 符合GB/T AAAAA-BBBB 5.2的要求;b) 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序;c) 操作系统已通过安全方式安装最新的操作系统补丁;d) 已安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;e) 不提供其他服务,仅配置用来响应DNS流量;f) 配置时间服务器,通过网
20、络时间协议进行时间同步;g) 仅为客户端提供域名查询解析服务;h) 增强对大数据包(超过512字节)的支持;i) 提高端口随机性,降低受到缓存中毒攻击的威胁。5.3.2 递归域名系统的软件安全指南保护递归域名系统的软件安全包含如下:a) 运行最新版本的递归域名系统软件对配置参数进行必要的变更,关注并定期检测版本的安全性,避免业已发现的漏洞造成域名劫持或域名更改等安全事件。配置拒绝版本应答功能,以防止泄漏递归域名系统软件版本信息。b) 安装补丁关注软件运行版本的漏洞和补丁,并及时进行补丁安装和安全修复。c) 以受限权限运行递归域名服务器软件以非特权用户的身份运行递归域名系统的解析软件,限制对目录
21、的访问,防止因文件损坏带来破坏性结果。d) 在运行环境中限制其他应用程序保证递归域名系统的软件运行的平台中不包含除了必要的操作系统和网络支持软件以外的程序。e) 控制安装软件的主机设置软件运行于指定为递归域名服务器的主机中。5.3.3 递归域名系统的客户端安全指南宜对递归域名系统的客户端操作系统进行安全加固。宜保证递归域名系统的客户端:a) 操作系统已安装最新的操作系统补丁;b) 运行在安全工具如防火墙防护范围内;c) 仅用于查询域名信息;d) 对服务器的访问权限受到控制;e) 软件是最新版本,且已安装补丁,进行安全修复。5.4 DNS事务安全指南5.4.1 概述DNS事务主要包括DNS查询/
22、响应、区传送、动态更新和DNS通知报文。DNS事务安全保护方法如表1所示。表1 DNS事务安全保护方法DNS事务安全目标安全规范DNS查询/响应a)数据源鉴别b)数据完整性验证DNSSEC规范区传送a)相互验证b)数据完整性验证TSIG规范动态更新a)相互验证b)数据完整性验证c)时间戳签名TSIG规范DNS通知报文a)通过增加工作量防止拒绝服务指定可以接收消息的主机TSIG规范5.4.2 DNS事务安全指南5.4.2.1 概述本节介绍DNS事务保护方法的最佳实践。内容如下:a) 通过IP地址限制保护DNS事务;b) 通过散列消息认证码保护DNS事务(即TSIG规范);c) 通过非对称数字签名
23、保护DNS事务(即DNSSEC规范,见第6章)。5.4.2.2 通过IP地址限制保护DNS事务5.4.2.2.1 概述部分DNS软件提供了访问控制声明,可通过声明中的IP地址或IP子网掩码(称为IP前缀)指定并识别参与DNS事务的主机,从而可通过创建可信主机列表保护DNS事务。5.4.2.2.2 限制DNS查询/响应ACLs是限制DNS事务的关键元素,它可以替代访问控制声明中的IP地址列表和IP前缀列表,通过定义并创建ACLs限制DNS查询/相应。在DNS查询/响应中,ACLs中包含的主机类别包括:a) DMZ主机;b) 所有允许发起区传送的辅域名服务器;c) 允许运行递归查询的内部主机。5.
24、4.2.2.3 限制区传送在区传送事务中,权威域名服务器(特别是主域名服务器)对访问控制声明进行配置,指定参与区传送的主机列表。其中,来自主域名服务器的区传送仅限于辅域名服务器,在辅助域名服务器中区传送被完全禁用,访问控制声明的地址匹配列表值由辅域名服务器和隐藏辅域名服务器的IP地址组成。5.4.2.2.4 限制动态更新在动态更新事务中,通过如下声明限制动态更新。允许更新:基于IP地址和TSIG规范限制动态更新,基于IP地址限制动态更新通过创建IP地址匹配列表进行,基于TSIG限制动态更新见5.4.2.3.3。5.4.2.2.5 限制DNS通知报文主辅域名服务器间启动区传送后,通过DNS通知报
25、文告知辅助域名服务器区文件数据的变更。针对dns通知报文事务,在区声明中增加允许接收通知报文子声明,同时在子声明中将接收报文服务器的IP地址作为参数。其中,辅域名服务器默认仅接收来自主域名服务器的通知报文,当希望接收除主域名服务器之外的服务器发送的通知报文时,应在区声明中增加允许接收通知报文子声明,并在子声明中指定接收的服务的IP地址。5.4.2.3 通过散列消息认证码保护DNS事务(TSIG规范)5.4.2.3.1 概述通过散列消息认证码(HMAC)保护DNS事务即TSIG规范主要通过验证消息来源和完整性来保护DNS事务:首先将DNS消息发送方生成的HASH值放置到TSIG记录中;然后进行验
26、证流程,即接收者通过密钥,生成接收DNS消息的HASH值,并与接收到的HASH值进行比较。通过HMAC使用共享密钥保护DNS事务并不是可扩展的解决方案,TSIG规范仅在区传送事务和动态更新事务中广泛应用。为保证TSIG正常工作,实施TSIG规范的域名服务系统必须配置时间服务器,通过NTP进行时间同步。DNS使用TSIG需如下操作:a) 生成所需长度的密钥;为每一对主辅域名服务器生成单独的TSIG密钥,此密钥被用于确保区传送、动态更新等事务安全。TSIG密钥算法、密钥长度、密钥生成相关要求符合YD/T 2140-2010的要求。b) 密钥文件访问及传递;每一个TSIG密钥有一个独立的密钥文件,对
27、密钥文件访问受到限制;密钥文件需安全传递到与生成密钥的域名服务器进行通信的域名服务器;c) 密钥确定及使用在进行通信的域名服务器的配置文件中确定生成的密钥,用于请求信息和事务信息的签名以保证通信安全。在确定密钥后,通知域名服务器在全部事务中使用密钥。5.4.2.3.2 使用TSIG保护区传送区传送事务中通信服务器双方(主域名服务器和辅域名服务器)使用生成的TSIG密钥。配置主域名服务器仅接收与区传送请求一起的、来自辅域名服务器的区传送请求。5.4.2.3.3 使用TSIG保护动态更新设定基于TSIG动态更新限制,仅对拥有TSIG密钥的主机允许接收动态更新请求,同时,先使用DNS公钥对动态更新消
28、息进行验证,后再处理动态更新请求。5.5 DNS数据安全指南5.5.1 概述DNS数据安全指南包括:a) 权威域名服务器数据安全符合YD/T 2138-2010的要求;b) 递归域名服务器数据安全符合YD/T 2137-2010 的要求;c) DNS数据内容备份符合GB/T AAAAA-BBBB 5.4的要求。d) 借助于工具对区文件内容进行验证,保证部署过程中数据内容安全;e) 最小化DNS信息泄露:针对DNSSEC仅提供源验证和数据完整性保护,不提供保密性保护,通过DNS数据内容控制的如下措施保护DNS信息泄露:1) SOA资源记录参数值的选择;2) 避免资源记录类型中信息泄露;3) 使用
29、RRSIG有效期最小化密钥泄露。5.5.2 SOA资源记录参数值的选择SOA资源记录中的数据值可以规范主域名服务器和辅域名服务器之间的通信,应保证SOA资源记录中数据值的正确性。设置:a)区SOA资源记录的刷新值,其小于RRSIG有效期;b)区SOA 资源记录的重试值,其小于刷新值;c)区过期时间。5.5.3 避免资源记录类型中的信息泄露避免使用对攻击者有利的主机信息记录、响应者记录、位置记录或者其他可能泄露信息的记录的类型。在将资源记录添加到区文件前,检查记录中可能出现的信息泄露。5.5.4 使用RRSIG有效期最小化密钥泄露设置DNSKEY资源记录集的RRSIG的有效期。对于一个拥有授权的
30、子域,设置涉及DS资源记录的RRSIG的有效期以保护公钥信息。根据内容管理为区内容选择一个签名有效期。根据以上有效期,为整个区选择一个有效签名并设定有效期,以降低密钥泄露导致的损失。6 DNS查询/响应安全指南(DNSSEC规范)6.1 DNSSEC机制和操作DNSSEC机制包括两个主要过程:签名和验证。签名过程主要是支持DNSSEC的域名服务器利用私钥对资源记录进行数字签名,数字签名及其相关信息保存在一个RRSIG中;验证过程是支持DNSSEC的解析服务器利用得到的域名服务器的公钥,验证资源记录的签名。支持DNSSEC的解析服务器通过以下两种方式获得域名服务器的公钥:一是通过预先配置在解析服
31、务器中的信任锚,二是通过正常的DNS解析方式。在第二种方式中,公钥被保存在DNSKEY中,为保证获得公钥的真实性,该公钥还需要由一个经过认证的、预先配置的密钥签名,即密钥签名密钥(KSK)。因此,支持DNSSEC的解析服务器为了验证签名,需要形成一个从域名服务器公钥到密钥签名密钥的信任链,同时,解析服务器至少需要配置一个信任锚。如果配置的信任锚是区签名密钥(ZSK),那么解析服务器就可以鉴别域名服务器数据的真实性和完整性;如果配置的信任锚是密钥签名密钥(KSK),那么解析服务器就可以验证域名服务器公钥的真实性和完整性。DNSSEC协议要求符合YD/T 2586-2013的要求。DNSSEC过程
32、包含域名服务器操作和解析器操作。实施DNSSEC的域名服务器应支持EDNS0扩展,并支持TCP53端口的查询请求。域名服务器操作如下:a) 密钥的生成;b) 私钥的安全存储;c) 公钥的发布;d) 区签名;e) 密钥轮转(变换密钥);f) 区重签名。解析器操作如下:a) 配置信任锚;b) 创建信任链和签名验证。6.2 公私密钥对的生成DNSSEC采用非对称密钥进行数字签名的生成和验证。对密钥集(DNSKEY RRSet)签名采用密钥签名密钥(KSK),对资源记录集签名采用区签名密钥(ZSK)。生成KSK和ZSK密钥对的参数如下:a)密钥算法:符合YD/T 2140-2010的要求,符合我国密码
33、管理的相关规定。 b)密钥长度:考虑密钥安全性与执行效率,对KSK加强密钥安全性,对ZSK加强执行效率,同时符合YD/T 2140-2010的要求。c)有效期:设置密钥更新的周期,符合YD/T 2140-2010的要求。6.3 私钥的安全存储当域名服务器不支持动态更新时,ZSK和KSK相对应的私钥离线保存;支持动态更新时,与ZSK相对应的私钥单独保存在域名服务器上,并具有适当的保护措施,此时使用KSK作为权威域名服务器的信任锚。6.4 公钥的发布和建立信任锚域名服务器通过DNS以外的方式如网站或电子邮件项解析器安全地传输公钥,解析器通过此公钥验证获得资源记录的真实性和完整性。在得到域名服务器的
34、公钥之后,解析器首先需要验证该公钥的真实性,建立起对公钥的信任。后解析器可将被信任的公钥(或公钥的散列值)作为信任链的起点即信任锚,来构建一个信任链。我国境内的域名服务器,应配置我国的DNSSEC信任源为信任锚点,配置并及时更新该信任锚点的公钥(KSK)。6.5 区签名和区重签名6.5.1 区签名当签名区文件时,主要采取以下操作:a) 将区文件按照域名规范的顺序进行排序;b) 为区中的每个所有者名称生成一个NSEC3记录;c) 使用KSK以离线方式为DNSKEY资源记录集生成签名,然后将DNSKEY资源记录集与其RRSIG 资源记录一起,加载到主域名服务器;d) 使用ZSK为域区中的所有记录集
35、生成签名。6.5.2 区重签名在以下情况下,区文件应重签名:a) 签名已经到期或即将到期;b) 区文件的内容已经改变;c) 签名密钥已经泄露或者计划更换。区数据重签名有两种策略:a) 完全重签名。删除所有现有的签名记录,重新排序区文件,重新生成所有的NSEC3资源记录,最后生成新的签名记录;b) 增量式重签名。区文件内容的变化自上次生成签名以后变化较小,通常在动态更新后使用增量式重签名。6.6 密钥轮转6.6.1 常规密钥轮转密钥在使用一段时间之后易被破解,应定期轮转ZSK和KSK,并设置新旧密钥重叠期。KSK更新频率应小于ZSK。ZSK轮转采用预发布方法,此时,安全区在密钥轮转之前的至少一个
36、TTL时间段内预发布公钥。KSK轮转采用双重签名方法,首先生成一个新的KSK,用新KSK和旧KSK同时对区密钥集签名,通过验证方式联系新的KSK,在完成授权更新后,删除旧KSK,重新用新KSK对密钥集签名。6.6.2 紧急密钥轮转当区中密钥泄露或者私钥丢失时,应执行紧急密钥轮转和重签名。当发生ZSK泄露时,执行紧急ZSK轮转,立即轮转到新密钥,同时初始化KSK轮转。针对子域子区的紧急KSK轮转,父区应有紧急联络方式对子域子区可用,同时父区也应有获取子区新KSK的安全方式。6.7 创建信任链和签名验证创建信任链,以一个或多个开始就被信任的公钥(或公钥的散列值)作为信任链的起点即信任锚,从而信任链
37、中的上一个节点为下一个节点的公钥散列值进行数字签名,保证信任链中的每一个公钥都是真实的。各域区可通过父域的新人授权来构建信任链,则信任链从父域开始,依此往前,如果根域也是安全的,则信任链可从根域开始;若父域不安全,通过子区的KSK授权,则信任链从子区开始。对RRSIG的验证通过获得域名服务器的公钥,验证RRSIG的真实性和完整性,对DNSKEY公钥的验证,从上一级域名服务器查询DS资源记录,获得公钥的散列值,从而验证公钥的真实性。13附录 A(资料性附录)具体BIND配置命令A.1 概述本附录给出了部分具体BIND配置命令清单。A.2 BIND配置命令A.2.1 关闭版本查询可以使用BIND配
38、置文件(/etc/named.conf)如下命令,配置BIND拒绝此类型查询。options version none;A.2.2 创建ACL通过使用BIND 9.x中的ACL声明创建访问控制列表,语法如下:acl acl-list-name address_match_list ;A.2.3 替代IP地址/IP前缀列表实例“internal_hosts”替代参数设置和区声明中的IP地址/IP前缀列表的实例如下:options allow-query internal_hosts; ; ;zone “.” tpe master; file “”;allow-query internal_hos
39、ts; ; ;A.2.4 ACL创建命令实例三个辅助域名服务器IP地址的ACL创建命令“valid_secondary_NS”如下:acl “valid_secondary_NS” 224.10.229.5; 224.10.235.6; 239.10.245.25; ;A.2.5 创建地址匹配列表使用允许更新创建地址匹配列表,实例如下:acl “DU_Allowed_List” 192.249.12.21; ;ACL DU_Allowed_list(包括主机IP地址允许发送区内容更新的动态更新请求)用于区声明的允许更新子声明中,实例如下:zone “” type master; file “”
40、; allow-update “DU_Allowed_List”; ; ;A.2.6 安全区传送配置实例通过区声明中的allow-transfer子声明完成配置。实例如下:zone “” type master; file “”; allow-transfer key ns1-.; ; ;A.2.7 动态更新实例一旦输入密钥声明,后续子声明可以追加到区声明中,以使用私密密钥进行动态更新:zone “” type master; file “”; allow-update key dhcp-.; ; ;参考文献1 YD/T 2052-2009域名系统安全防护技术要求2 YD/T 2135-2010域名系统运行总体技术要求3 IETF RFC 1305 网络时间协议NTP4 IETF RFC 2845 TSIG协议5 IETF RFC 4033 DNSSEC的介绍和需求6 IETF RFC 4034 资源记录支持DNSSEC的扩展7 IETF RFC 4035 支持DNSSEC的协议修改8 NIST Special Publication 800-81r1Secure Domain Name System (DNS) Deployment Guide9中国域名服务安全状况与态势EB/OL.2014. _