YD_T 2140-2010域名服务系统安全框架技术要求.pdf

ICS 35.100.70L 79YD中华人民共和国通信行业标准YD/T 2140-2010域名服务安全框架技术要求Technical specifications of DNS security framework2010-12-29 发布2011-01-01 实施中华人民共和国工业和信息化部发布 YD/T 2140-2010目次前言·1范围·2　规范性引用文件·3术语、定义和缩略语·3.1　术语和定义3.2缩略语·4域名系统面临的主要安全威胁及其解决方案·5DNS 权威服务器事务签名（TSIG）的实施规范·5.1协议要求·5.2　实施规范6　DNS 权威服务器的 DNSSEC 实施规范·6.1协议要求6.2实施规范·7DLV 服务器的实施规范·7.1协议要求·7.2实施规范8　DNS 递归服务器的 DNSSEC 实施规范·8.1协议要求8.2实施规范 YD/T 2140-2010前言本标准是“域名系统运行技术规范体系”系列标准之一，该系列标准的结构和名称预计如下：1）《域名系统运行总体技术要求》2）·《域名系统权威服务器运行技术要求》3）《域名系统递归服务器运行技术要求》4）《域名服务安全框架技术要求》5）《IPv6网络域名服务技术要求》6）《域名系统授权体系技术要求》7）《公共域名解析系统安全标准》8）《域名系统安全防护技术要求》9）《域名系统安全防护检测要求》本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心、北龙中网（北京）科技有限责任公司。本标准主要起草人：金键、毛伟、李晓东、张跃冬、王伟、卢文哲。 YD/T 2140-2010域名服务安全框架技术要求1范围本标准针对域名系统在协议实施方面面临的主要安全威胁，制定此域名服务安全框架技术要求，具体包含DNS权威服务器事务签名（TSIG）的实施规范、DNS权威服务器和DNS递归服务器的DNSSEC实施规范以及DLV 的实施规范。本标准适用于构建或者运营权威及递归域名服务系统的国内各级单位。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。YD/T2052-2009域名系统安全防护技术要求YD/T2137-2010域名系统递归服务器运行技术要求YD/T2138-2010域名系统权威服务器运行技术要求IETF RFC 1305网络时间协议IETF RFC 2845TSIG协议IETF RFC 4033DNSSEC的介绍和需求IETF RFC 4034资源记录支持DNSSEC的扩展IETF RFC 4035支持DNSSEC的协议修改IETF RFC 4431DNSSEC中的DLV记录IETF RFC 5074域名安全旁路认证3术语、定义和缩略语3.1术语和定义下列术语和定义适合于本文件。3.1.1区签名密钥 zone signing key有效期，但是具有较高的签名效率。3.1.2密钥签名密钥　key signing key对权威域所有密钥对的公钥（DNSKEY资源记录集）进行DNSSEC签名或认证所使用的密钥对。通常，相对于ZSK，KSK比较长，具有较长的生存期，但签名效率较低。权威域只需要向上级权威域注册KSK生成的DS记录。3.1.3 YD/T 2140-2010信任锚trust anchor在进行DNSSEC认证过程中，递归服务器可以直接信任的某一权威域。3.2缩略语下列缩略语适用于本文件。DLVDNSSEC Lookaside Validation域名系统安全旁路认证DNSDomain Name System域名系统DNSSECDNS Security Extension域名系统安全扩展KSKKey Signing Key密钥签名密钥NTPNetwork Time Protocol网络时间协议TSIGTransaction Signature事务签名ZSKZone Signing Key区签名密钥4域名系统面临的主要安全威胁及其解决方案目前，域名系统在协议实施方面面临的安全威胁主要表现为数据完整性及可靠性，进一步划分的话，这种数据完整性及可靠性威胁又表现在两个环节：1）DNS权威服务器的主服务器和辅服务器之间的数据更新过程中的数据完整性及可靠性保证；2）DNS递归服务器在执行递归查询过程中，从权威服务器获取的查询结果的数据完整性及可靠性保证。针对以上两个环节的威胁，本域名服务安全框架技术要求在域名系统协议框架方面有两项扩展：通过TSIG来保证权威服务器之间的数据更新完整性及可靠性；通过DNSSEC来保证递归服务器从权威服务器获取数据的完整性及可靠性。5DNS权威服务器事务签名（TSIG）的实施规范5.1协议要求权威