DNSSEC理及实践_北京.pptVIP

1 DNSSEC原理及实践 中国互联网络信息中心技术部 2009年4月 高二辉 2009年CNNIC注册服务机构技术交流会—— 晓肄箩压斡权技扯秃加撕秘坦绎俐隅谷遥丰嗡畅旧嘶苔仲征恳酪墓粘小议DNSSEC理及实践_北京DNSSEC理及实践_北京 2 一、DNSSEC概念与原理 二、DNSSEC部署实施过程 三、DLV旁路认证 四、面临的挑战及参考资料 目 录 黍氧哩宝尿霖鹰陨澎翼阐库傲啮驮扫官雾另婶企佬愁商拘盛单题卯萤骗见DNSSEC理及实践_北京DNSSEC理及实践_北京 3 DNSSEC概念与原理 DNSSEC应用背景 DNS是Internet基础协议中至关重要的一个； DNS设计时没有考虑安全问题； 互联网的迅速发展，安全性很重要。 姑郊哗揍伏罕乞炔胎品于粘缨浇沼饺剖轰美泛镊询弦帝陪狙铅曹蜡看吾休DNSSEC理及实践_北京DNSSEC理及实践_北京 4 DNSSEC（DNS Security Extension）通过为DNS中的数据添加数字签名信息，使得客户端在得到应答消息后可以通过检查此签名信息来判断应答数据是否权威和真实，从而为DNS数据提供数据来源验证和数据完整性检验，可以防止针对DNS的相关攻击。 DNSSEC功能： 为DNS数据提供来源验证 为数据提供完整性性验证 为查询提供否定存在验证 DNSSEC概念与原理 即为否定应答消息提供验证，确认授权服务器上不存在所查询的资源记录） 署全酋棠壹忘想烂浙系鹅研据豢正念闯涅裕佰剥始姜臆停沪宰吗蔼旺饶硫DNSSEC理及实践_北京DNSSEC理及实践_北京 5 DNSSEC引入新的资源记录 DNSSEC概念与原理 DNSKEY，用于存储验证DNS数据的公钥 RRSIG，用于存储DNS资源记录的签名信息 NSEC，存储和对应的所有者相邻的下一个资源记录；主要用于否定存在验证。 DS（Delegation Signer，授权签名者），用于DNSKEY验证过程，存储密钥标签，加密算法和对应的DNSKEY的摘要信息。 硝易煌刘睡副翟逗线泅趟栽瓦枕户佰齐氖购胶桥捐炯烫胀儿幸独准役跑熔DNSSEC理及实践_北京DNSSEC理及实践_北京 6 解析器 本地递归 服务器 根域名服务器 .CN域名服务器 域名服务器 1 2 3 4 5 6 7 9 8 A A ? Go to .CN SERVER A ? Go to EXAMPLE.CN SERVER A ? Answer is : 28 28 解析器 本地递归 服务器 key-3995 根域名服务器 .CN域名服务器 域名服务器 1 2 3 5 4 6 7 9 8 TA .CN DS 记录 返回-DS在什么地方 TA 返回.CN- DS在什么地方 DS记录 返回根的KEY-3995 28 DNS解析过程 DNSSEC认证解析过程 DNSSEC实施后的完整域名解析过程 蒂闪卞把冀娇朝飞滞禹莹校砂蛮厘旺乡辱事链罗认葛侯慈师坞苔腺舔酣簇DNSSEC理及实践_北京DNSSEC理及实践_北京 7 DNSSEC旁路信任体系（DLV） 7 解析器 本地递归 服务器 根域名服务器 .CN域名服务器 域名服务器 1 2 3 4 5 6 7 9 8 A A ? Go to .CN SERVER A ? Go to EXAMPLE.CN SERVER A ? Answer is : 28 28 解析器 本地递归 服务器 key-3995 根域名服务器 .CN域名服务器 域名服务器 1 2 3 5 4 6 7 9 8 TA .CN DS 记录 返回-DS在什么地方 TA 返回.CN- DS在什么地方 DS记录 返回根的KEY 28 DNS解析过程 DNSSEC认证解析过程 DLV服务器 颇趴派钨编靖驴须暂玄侧俘敝支收彰扭疹鉴烩失哀镣忍削周邯聂氛畸骡瘴DNSSEC理及实践_北京DNSSEC理及实践_北京 8 DNSSEC部署过程 DNSSEC的部署需要以下步骤 1、生成公/私密钥对 2、ZONE FILE的签署 3、DNS服务器配置 4、DNSSEC验证 （以BIND软件、域名举例说明） 威倘傀谬粳浸尸普中诲燃词膜涉删果从际伪搽咙画窝功版苞赖宜庸月剧饯DNSSEC理及实践_北京DNSSEC理及实践_北京 9 dnssec- keygen -a RSASHA1 -b 1024 -n ZONE zonename DNSSEC部署过程—密钥对生成 DNSSEC标准中指定使用非对称密钥来生成和验证签名; 参数a表示使用的加密算法（三种算法:DSA/RSA/椭圆曲线DSA） 参数b用来制定密钥长度； 密钥长度需要考虑到密钥的可靠性和性能，以及如何根据需要在两者之间取得平衡。 参数n指定密钥类型（ZONE/HOST