在本文中,我们将了解域名系统安全协议(DNSSEC)是怎样为域名系统(DNS)带来更高程度安全性的,以及为什么还没有在全球范围内对域名系统安全协议(DNSSEC)进行部署呢? 在前面的文章中,我曾经对域名系统(DNS)的工作原理以及关键网络/互联网服务中存在的固有安全漏洞进行过详细的分析说明。在本文中,我们将了解域名系统安全协议(DNSSEC)是怎样为域名系统(DNS)带来更高程度安全性的,以及为什么还没有在全球范围内对域名系统安全协议(DNSSEC)进行部署呢?在这之前,你可以做什么事情以便提高域名系统(DNS)在信息传输过程中的安全性呢? 虽然域名系统安全协议(DNSSEC)支持个人名称解析和区域传输模式,但在本文的介绍中我将侧重于前者。 域名系统安全协议(DNSSEC)的概况 域名系统安全协议(DNSSEC)(域名系统安全协议(DNSSEC))是一整套安全规则,用来确保域名系统(DNS)内部信息的安全,并在提供权限认证功能的同时保证信息的完整。它同时使用非对称与对称式的加密模式对资源记录(RR)和区域传输模式分别进行了处理。为了确保解析器得到信息的真实性,域名系统安全协议(DNSSEC)提供了以下方面的功能(来自Wikipedia.org网站): · 域名系统(DNS)数据的原生认证 · 数据完整性检测 · 拒绝存在认证 通过一套新的资源记录(RR)类型设置这些功能被加入到现有的域名系统(DNS)框架中,包括了(来自nominet.org.uk网站): · 域名系统(DNS)密钥(DNSKEY)包含了位于一个安全区中用来对数据进行数字签名的公共密钥。 ·下一代SECure(NSEC)显示了各区之间的间隔。它们将被使用在域名系统安全协议(DNSSEC)认为属于“拒绝存在认证”的网络地址上。 ·单笔资源记录(RRSIG)包含了整个区域内所有的资源记录,DNSKEY和NSEC也被包括在内。对于区域内的资源记录设置来说,单笔资源记录具有权威性存在着对应的关系。(资源记录设置,包含了所有相同名称、类型和时间的资源记录,同一个资源记录里所有的设置采用的数字签名是相同的) 指定签名(DS)的资源记录包含了关键子区域的哈希值。它们将被用来为域名系统安全协议(DNSSEC)完整保护的核心建立信任链。
责任编辑:米尊 |