DNSSEC全解析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DNS EC ) S
不管译 出来 的 h s 数 和计算 出 ah
图 3D S N 的主要安全漏洞
2 国 育 络28 2中 教 网 0 。7
维普资讯
个以上的从服务器 。 这些从服务器 负责检验 主服务器 的数据更新 , 如果 检测到有一个数据更新 ,从 服务 器就传送域的数据 ,也就是
图1 N D S查 询 原 理 图
坏 D S服务器 , We 客户机却 识别 N 而 b
不 出错误 数据 。这 样就带 来很大 的麻 烦 ,因为 D S 常被用作 默认 的认 证 N 经 系统 。 例 如 ,当一个 用户在浏 览器 上点 击 一家报 纸的 网站 时 ,他期 望看 到的 网页是那家报纸 的。 但是 , N 协议并 D S 不 包含任何 可 以证 明该 网页正确 的机 制 ,即该 网页确实是 他期望 的那家报
其他关于主机的信息。 这些数据库驻 留
在D S N 服务器 中, N 服务器和Itnt DS ne e r 或 Itn t n ae互连 。 r 简单地说 , N 就是为 D S 需要定位指定服务器的网络应用提供一 个名称到地址的 目录服务 。例如 ,用户
立 了 D SE N S C丁作组 ,日的是在 现有 的 协议上增添 附加 的 D S E N S C部分 , 而 从 解 决 DN S缺乏安 全性 的问题 。伯克利
据是完整的。
图 2D S E 查询原理 图 N SC
为 了解决这 一问题 ,IT E F正在着
手在D S N 协议 里加入安全扩展协议 , 也
就 是 所 谓 的 域 名 系 统 的 安 全 协 议
( o i me S se EC rt , D ma n Na y t m S u iy
( u1Q aie 0 anN m ,F D ,每 个 F D F 1 u li D I i a e Q N) v fd n Q N是 陆一 的 。在 得很 容易。而能够 同时拥有一个 以上域备 份的能力 可以冗余 分配 树 中 , 由根 到 叶 给 出 主 机 名 查 询 结 果 ,以便 于 找 到 属 于 这 台主 机 负载 ,使数据非 常可靠 。
维普资讯
DN E S C全 解 析 S
■文 / 陆俊秀
D S N 是一个层次化的数据库 , 它包 括一系列记录 , 描述 了名称 、『 地址 和 P
南 于 D S协 议 的 局 限 ,IT N E F已 成
来的 h s 数是 否匹配 ,对于密码签名这种 ah
协议 的例 子中 ,应答信 息 中不仅包
含 了 验证 信 息 所 需 的 签 名 和关 键 字 ,
而且包含 了原始 的询 问。这就是所 谓的 “ 事务处 理和请求认证 ” :这种
方式 向询 问者 保证所得 到的应答确
实是针对其原始问题的 。
纸 的网 页。还会有一 种更危 险的情况
出现 , 某些组织为 了达到某 种 目的 , 把 毫无 防范 的用户引导 到一个对 该报纸 进行批 评 、或 者蓄意篡 改该报纸 内容 甚至 以诽谤 的方 式对事 件进行错 误报
Itre域 名 保 护 协 议 ( ekly nent nent B ree [tre N m amo ,B N a eD e n I D) 82中包 含 了一 . 些 D SE N S C的 功 能 。
认证 方式 都是绝对正确 的 ,因为公 钥仅仅
用 于解密合法 的 hs 数 ,所以只有拥有私 ah 钥 的拥有者可 以加密这些信息 。 因此 , 于 对 任何 系统 ,开 发保 护私钥的公钥技术是至 关重要的 。 N s c D s E 工作 组定 义的R C2 4 F 5 1
DN S C的 目标 就是为在 DN SE S
内部的信息 同时提供权 限认 证和信
息完整性 ( 参看附陶 ) N S C通 。D S E
过 密码 可 以实 现 这 些 目标 。 附 图 显 示 的 是 一 对 DN S询 问 和 应 答 过 程 的 示 例 ,一 个 没 有 采 用 DN S 协 议 , 另 一 个 采 用 了 SEC D SE 协议 。 意 , NSC 注 在采 用 D S E NSC
所 谓的域传递 。 D S N 采用层次化结构 ,使得主机名可以惟一化 。D S的结构 N 每个域都 有一个序 列号 ,当主服务器上的域数据更新时 ,就 为 反 向树 结 构 ,由树 叶走 向树 根 就可 以 形 成一 个 全 资 格域 名 要调 整这个序列号 。这种调整使得 在服务器上检测 到数据更新变
道 的 We 务 器 上 。 b服
DN S C主要 依靠公钥 技术对 SE
于包 含在 D S巾的信息创建密码签 N 名。密码签名 通过 汁算 出一 个密码 h s数来提供 D S ah N 中数据 的完整性 , 并将 该h s ah数封装进行保护 。 / 私 公 钥对 中的私钥用来封装 h s ,然 ah数 后可 以用公钥把 h s ah数译 来。如 果这个译 出的 h s 值 匹配接收者刚 ah 刚计算出来的 hs 树 ,那 么表 明数 ah
中解 释 了这 个 问 题 。
每发送一个电子 邮件或者访 问一个We b
网页,都必须有一个 D S 。 N 名 问题在于 用户无法 知道 D S N 应答 的来 源是否正 确或者是 否包含 正确 的 数据 。只要稍 微学 习一 下 ,甚 至一个 十 几岁 的黑客都 可 以用错 误数据 来破
的I P地址 。对于反映射也有类似的树存在 ,在树 中检索查询 I P
地 址 的 目的 是 为 了 找 到 属 于 这 个 I 地 址 的 主机 名或 者 F D P Q N。
D S N 高效率 的设计 同时也带来 了负面影响 ,那 就是众多的安 全性漏洞 。例 如 ,当一个远程 系统连接 了一个 应用程序后 ,该 应
不管译 出来 的 h s 数 和计算 出 ah
图 3D S N 的主要安全漏洞
2 国 育 络28 2中 教 网 0 。7
维普资讯
个以上的从服务器 。 这些从服务器 负责检验 主服务器 的数据更新 , 如果 检测到有一个数据更新 ,从 服务 器就传送域的数据 ,也就是
图1 N D S查 询 原 理 图
坏 D S服务器 , We 客户机却 识别 N 而 b
不 出错误 数据 。这 样就带 来很大 的麻 烦 ,因为 D S 常被用作 默认 的认 证 N 经 系统 。 例 如 ,当一个 用户在浏 览器 上点 击 一家报 纸的 网站 时 ,他期 望看 到的 网页是那家报纸 的。 但是 , N 协议并 D S 不 包含任何 可 以证 明该 网页正确 的机 制 ,即该 网页确实是 他期望 的那家报
其他关于主机的信息。 这些数据库驻 留
在D S N 服务器 中, N 服务器和Itnt DS ne e r 或 Itn t n ae互连 。 r 简单地说 , N 就是为 D S 需要定位指定服务器的网络应用提供一 个名称到地址的 目录服务 。例如 ,用户
立 了 D SE N S C丁作组 ,日的是在 现有 的 协议上增添 附加 的 D S E N S C部分 , 而 从 解 决 DN S缺乏安 全性 的问题 。伯克利
据是完整的。
图 2D S E 查询原理 图 N SC
为 了解决这 一问题 ,IT E F正在着
手在D S N 协议 里加入安全扩展协议 , 也
就 是 所 谓 的 域 名 系 统 的 安 全 协 议
( o i me S se EC rt , D ma n Na y t m S u iy
( u1Q aie 0 anN m ,F D ,每 个 F D F 1 u li D I i a e Q N) v fd n Q N是 陆一 的 。在 得很 容易。而能够 同时拥有一个 以上域备 份的能力 可以冗余 分配 树 中 , 由根 到 叶 给 出 主 机 名 查 询 结 果 ,以便 于 找 到 属 于 这 台主 机 负载 ,使数据非 常可靠 。
维普资讯
DN E S C全 解 析 S
■文 / 陆俊秀
D S N 是一个层次化的数据库 , 它包 括一系列记录 , 描述 了名称 、『 地址 和 P
南 于 D S协 议 的 局 限 ,IT N E F已 成
来的 h s 数是 否匹配 ,对于密码签名这种 ah
协议 的例 子中 ,应答信 息 中不仅包
含 了 验证 信 息 所 需 的 签 名 和关 键 字 ,
而且包含 了原始 的询 问。这就是所 谓的 “ 事务处 理和请求认证 ” :这种
方式 向询 问者 保证所得 到的应答确
实是针对其原始问题的 。
纸 的网 页。还会有一 种更危 险的情况
出现 , 某些组织为 了达到某 种 目的 , 把 毫无 防范 的用户引导 到一个对 该报纸 进行批 评 、或 者蓄意篡 改该报纸 内容 甚至 以诽谤 的方 式对事 件进行错 误报
Itre域 名 保 护 协 议 ( ekly nent nent B ree [tre N m amo ,B N a eD e n I D) 82中包 含 了一 . 些 D SE N S C的 功 能 。
认证 方式 都是绝对正确 的 ,因为公 钥仅仅
用 于解密合法 的 hs 数 ,所以只有拥有私 ah 钥 的拥有者可 以加密这些信息 。 因此 , 于 对 任何 系统 ,开 发保 护私钥的公钥技术是至 关重要的 。 N s c D s E 工作 组定 义的R C2 4 F 5 1
DN S C的 目标 就是为在 DN SE S
内部的信息 同时提供权 限认 证和信
息完整性 ( 参看附陶 ) N S C通 。D S E
过 密码 可 以实 现 这 些 目标 。 附 图 显 示 的 是 一 对 DN S询 问 和 应 答 过 程 的 示 例 ,一 个 没 有 采 用 DN S 协 议 , 另 一 个 采 用 了 SEC D SE 协议 。 意 , NSC 注 在采 用 D S E NSC
所 谓的域传递 。 D S N 采用层次化结构 ,使得主机名可以惟一化 。D S的结构 N 每个域都 有一个序 列号 ,当主服务器上的域数据更新时 ,就 为 反 向树 结 构 ,由树 叶走 向树 根 就可 以 形 成一 个 全 资 格域 名 要调 整这个序列号 。这种调整使得 在服务器上检测 到数据更新变
道 的 We 务 器 上 。 b服
DN S C主要 依靠公钥 技术对 SE
于包 含在 D S巾的信息创建密码签 N 名。密码签名 通过 汁算 出一 个密码 h s数来提供 D S ah N 中数据 的完整性 , 并将 该h s ah数封装进行保护 。 / 私 公 钥对 中的私钥用来封装 h s ,然 ah数 后可 以用公钥把 h s ah数译 来。如 果这个译 出的 h s 值 匹配接收者刚 ah 刚计算出来的 hs 树 ,那 么表 明数 ah
中解 释 了这 个 问 题 。
每发送一个电子 邮件或者访 问一个We b
网页,都必须有一个 D S 。 N 名 问题在于 用户无法 知道 D S N 应答 的来 源是否正 确或者是 否包含 正确 的 数据 。只要稍 微学 习一 下 ,甚 至一个 十 几岁 的黑客都 可 以用错 误数据 来破
的I P地址 。对于反映射也有类似的树存在 ,在树 中检索查询 I P
地 址 的 目的 是 为 了 找 到 属 于 这 个 I 地 址 的 主机 名或 者 F D P Q N。
D S N 高效率 的设计 同时也带来 了负面影响 ,那 就是众多的安 全性漏洞 。例 如 ,当一个远程 系统连接 了一个 应用程序后 ,该 应