图一显示的就是一条域名系统(DNS)主机资源记录信息以及它的数字签名。当采用域名系统安全协议(DNSSEC)的解析器收到了包含该信息的域名解析查询时,它可以利用单笔资源记录中的信息(包括关键标识和指定签名的部分)以及发送人的公钥来对签名进行验证。 图一 我们首先要确保的是采用域名系统安全协议(DNSSEC)的域名系统(DNS)建立了一条信任链。通过信任定位点,解析器使用“定位点钥”对域名进行验证。信任定位点是所有信任链的基础。 公共密钥(信任定位点)是用来验证数字签名以及相关数据的。此外,公共密钥对具有权威性的信任定位点包含信息的类型进行了限制。 依赖方通过对使用公钥的信任定位点包含的数字签名进行核查来判断数字签名的对象是否属于有效的范围中,并通过信任定位点所包含的数据实施相应的限制措施。(Wikipedia.org) 在理想的环境下,域名系统(DNS)的信任定位点来自互联网根域名服务器。然而,在这里面也存在问题。 域名系统安全协议(DNSSEC)面临的挑战 如果要对域名系统安全协议(DNSSEC)进行全球部署的话,面临来自两个方面的挑战。第一类是来自技术和安全领域的问题,包括(Wikipedia.org和互联网系统协会): ·域名系统安全协议(DNSSEC)报告中存在的问题是NSEC的资源记录信息没有签名区域。它容许对区域中的内容进行查看和搜索。不过在新一代的NSEC3中这一问题有望获得解决。 · 怎样才能对信任定位点的过渡实行有效处理的方法还没有确定。 ·早期版本的域名系统安全协议(DNSSEC)存在缺陷。这会影响到大家部署域名系统安全协议(DNSSEC)的信心,也会带来对可能出现更糟糕问题的疑虑。 ·域名系统安全协议(DNSSEC)将会导致域名系统(DNS)请求的增加和响应数的扩大。硬件设备和带宽将不得不进行相应的升级和扩容。 · 域名系统安全协议(DNSSEC)比标准域名系统(DNS)对时间更为敏感。因此,系统时钟必须相当准确。
责任编辑:米尊 |