DNSSEC技术在我国的发展及影响探讨
2014-10-30王亮量
王亮量
【摘 要】DNS是域名系统的简称,其是互联网上非常关键的基础设施之一,对于人们应用各种网络都具有非常重要的作用,随着其各项技术的发展,已经逐渐发展成为全球最大也是最为成功的分布式数据库系统,DNSSEC能够提供一种通过软件炎症DNS数据在互联网传输过程中没有被更改的方式,本文就主要对其工作原理、安全性能及在我国的发展进行简单分析,并简单探讨其对我国的影响。
【关键词】DNSSEC技术 在我国的发展 影响探讨
由于DNS系统自身存在一些软件漏洞,导致其安全性能难以得到有效的保障,并且容易受到DDoS、缓存中毒、域名劫持等的攻击,很容易导致出现部分或者网络的瘫痪,DNSSEC技术对于提升域名系统的安全性能具有非常重要的作用,本文就主要对其在我国的发展趋势及影响进行简单分析探讨。
1 DNSSEC技术简介及其所面临的安全问题
1.1 DNSSEC概述
DNSSEC指的是DNS安全扩展协议,其是由IETF所开发的,能够提供一种通过软件来验证DNS数据在互联网传输过程中没有被更改的方式,关于DNSSEC技术的研究从上个世纪90年代就已经开始,期间提出的应用公钥基础设施在原有的DNS的基础之上添加数字签名的形式,对通过DNS体系内部信息能够同时提供权限认证及信息完整性验证,这能够很好的解决DNS的中存在的安全性问题,其主要功能表现为:(1)能够提供否定存在的验证,为否定应答报文提供验证信息;(2)能够提供数据的完整性验证,所有数据在传输的过程中没有出现相关的更改;(3)能够提供数据的来源验证,DNS数据都来自于正确的域名服务器。
1.2 DNSSEC技术的工作原理
应用DNSSEC技术的DNS服务器首先基于公钥加密系统产生一对密钥,一个为公钥一个为私钥,其中公钥是对外公布的,任何人都能够使用,而私钥则是由主服务器的管理机构或者是管理员负责保管的,对外是严格保密的,DNS服务器在实际的工作过程中,其主要是应用私钥对返回给查询方的记录资源实施数字签名,在此基础上得到一个新的资源记录,并能够将经过签名的资源记录和没有经过签名的资源记录作为应答报文一同发送至提出查询请求的解析器或者客户端,在资源记录中还包括有数字签名算法的代码及公钥,解析器或者客户端在受到应答报文之后,能够应用加密算法或者公钥来对所收到的资源记录进行加密运算,从而得到一个计算出来的新的资源记录,并会将其与所收报文中的新的资源记录进行对比,如果两组相同,那么就通过了对签名者的认真,并验证了数据的完整性,也就是说应答报文中的资源记录是真实的,如果二者不同,那么就说明所受到的资源记录是假的。
将DNSSEC技术应用于DNS中,其每个区域都需要进行双重的密钥,其中第一对的密钥主要是用来对区域中的DNS资源记录事实签名,将其称之为区签名密钥,第二对密钥主要是用来对包含密钥的资源记录进行签名,将其称之为密钥签名密钥,在DNSSEC技术中,只有解析器对其所收到的公钥信任,才能将其应用于解密工作中,以便于对数据的完整性进行验证,在解析器的解密工作中,先应用密钥签名密钥的公钥来对包含密钥的资源记录实施验证,再应用区域签名密钥公钥来实施数据验证,所以密钥签名密钥公式是DNSSEC的关键入口,如果解析器对其应用的密钥签名密钥充分的信任,那么就将该密钥签名密钥称作是解析器的信任锚,启用DNSSEC的区会将其自身的密钥签名密钥的公钥交给其父区,由其父区应用自身的区签名密钥对其实施签名,另一方面,父区也可以将自身的密钥签名密钥的私钥交给自己的父区,由其应用区签名密钥来实施签名,将该过程中称之为密钥授权,一旦该过程向上达到信任锚的时候,就形成了信任链,如果一条信任链能够一直通达到根区,就说明这条链上的各级区域都是可以信任的,可以应用根区的密钥签名密钥对其实施签名验证,以便于保证数据来源的可靠性及数据本身的完整性,在理想情形下,如果所有区域中都部署有DNSSEC,那么解析器工作过程中只需要保存作为信任锚根区的密钥签名密钥的公钥就可以实现依次的验证,从而保证其确实是从需要的DNS服务器中获得了应答报文。
1.3 DNSSEC技术的安全性分析
DNSSEC中应用的公钥基础设施是基于非对称密码学来进行设计的,其公钥加密文件只能应用私钥来进行解密,而私钥加密文件只能应用公钥来进行解密,私钥与公钥是成对产生的,具有非对称密码技术的特点,其安全性与公钥基础设施所用的密钥安全性具有直接的关系,其密钥的位数越长,其安全强度越大,保密性越好。
2 DNSSEC的部署进程及发展趋势
目前DNSSEC根区的部署已经逐渐完成,信任锚已经正式启用,顶级域的部署进程逐渐加快,域名服务机构的技术门槛逐渐降低,这对于DNSSEC的部署具有一定的推动作用,DNS所具有的DNSSEC信任机制及树形结构对于DNSSEC部署的加快具有一定的推动作用,并且随着根区及主要顶级域的DNSSEC部署完毕并投入运行,自顶向下的推动将使得越来越多的域名接受DNSSEC技术,随着经验的进一步积累及相关技术的发展,其部署及运行成本将会越来越低。
3 DNSSEC对我国的影响
DESSEC技术的应用,为互联网的运行增加了一个新的安全手段,其对我国DNS安全性能的提升提供了新的技术与思路,DNS与DNSSEC并行为我国研究工作的开展提供了一定的时间,但是总体上来讲,目前DNSSEC技术全球部署去的数量还不是很多,其实际的应用效果还有待进一步观察与研究,而我国应该为应对其可能产生的影响做好准备工作,积极加强技术的研究与相关标准的制定工作,积极开展各项应用示范及试验,以便于积累更懂的管理经验与运营经验,并要积极参与到相关的国际合作中,扩大我国的话语权,并要积极完善我国的域名注册管理机制,保证国内域名的解析安全。
4 结语
DNSSEC技术对于提升域名系统的安全性具有积极的作用,本文就主要对其在工作原理及在我国的发展进行了简单分析,并简单探讨了其对我国互联网发展的影响,对于相关的研究工作具有一定的参考价值。
参考文献:
[1]崔淑田,刘越.DNSSEC技术发展及影响分析[J].电信科学,2012(9).
[2]朱刚.DNSSec技术发展及应用展望[J].电信技术,2010(9).
本课题得到国家科技支撑计划项目(2012BAH16B00)国家自然科学基金青年科学基金项目(61003239,61102057),发改委IPv6升级改造项目,2012CNGI“下一带互联网标准体系建设”资助。endprint