DNSSEC 让域名系统更安全
随着Kaminsky发现的DNS缓存漏洞攻击,DNSSEC逐渐开始受到关注,随后供应商们也开始部署修复补丁。美国联邦政府扩大了广泛使用DNSSEC的计划,现在所有联邦机构在2009年12月前必须使用DNSSEC。一名官员公开表示,最新的FISMA法规将要求联邦机构在明年内在其内网区域部署DNSSEC。Kaminksy表示支持DNSSEC,并在认真研读该标准的规则后认为该协议可以作为确保DNS安全的协议。
域名系统安全协议(DNSSEC)(域名系统安全协议(DNSSEC))是一整套安全规则,用来确保域名系统(DNS)内部信息的安全,并在提供权限认证功能的同时保证信息的完整。它同时使用非对称与对称式的加密模式对资源记录(RR)和区域传输模式分别进行了处理。为了确保解析器得到信息的真实性,域名系统安全协议(DNSSEC)提供了以下方面的功能:
• 域名系统(DNS)数据的原生认证
• 数据完整性检测
• 拒绝存在认证
通过一套新的资源记录(RR)类型设置这些功能被加入到现有的域名系统(DNS)框架中,包括了:
• 域名系统(DNS)密钥(DNSKEY)包含了位于一个安全区中用来对数据进行数字签名的公共密钥。
•下一代SECure(NSEC)显示了各区之间的间隔。它们将被使用在域名系统安全协议(DNSSEC)认为属于“拒绝存在认证”的网络地址上。
•单笔资源记录(RRSIG)包含了整个区域内所有的资源记录,DNSKEY和NSEC也被包括在内。对于区域内的资源记录设置来说,单笔资源记录具有权威性存在着对应的关系。
指定签名(DS)的资源记录包含了关键子区域的哈希值。它们将被用来为域名系统安全协议(DNSSEC)完整保护的核心建立信任链。
当采用域名系统安全协议(DNSSEC)的解析器收到了包含该信息的域名解析查询时,它可以利用单笔资源记录中的信息(包括关键标识和指定签名的部分)以及发送人的公钥来对签名进行验证。
DNSSEC可以帮助域名系统(DNS)在信息传输过程中实现公平和真实。一些国家顶级域名已经开始支持域名系统安全协议(DNSSEC),让国家区域内的信任成为了可能。这些渐进的步骤将有助于让域名系统(DNS)和互联网更安全。他们不应该被忽视。