DNSSEC的安全机制研究及部署

摘要

DNS协议是Internet基础架构中一个非常成功也是至关重要的一个组成部分。它为Internet上每个主机提供名称到IP地址的映射；由于Internet上主机数量庞大且更新频繁，DNS的数据库必须是分布式存储。由于缓存功能的使用，使得这个遍布全球的体系的性能也很可观。但同样由于缓存功能，使得DNS体系面临众多的安全威胁。目前针对DNS的攻击在数量和严重性上都不断上升，已经严重影响了Internet的正常运行。针对这种情况，IETF下的DNSEXT工作组专注于为现有的DNS体系加入安全扩展集,即DNS Security Extension。DNSSEC通过为DNS中的数据添加数字签名信息，使得客户端在得到应答消息后可以通过检查此签名信息来判断应答数据是否权威和真实，从而为DNS数据提供数据来源验证和数据完整性检验,可以防止针对DNS的Cache poisoning 和 Spoofing攻击。 本文介绍了DNS的工作机制以及所面临的安全威胁；重点论述DNSSEC安全机制以及DNSSEC的部署。同样出于安全方面的考虑，DNSSEC中的密钥需要定期更新。论文的研究重点在于，在DNSSEC部署后的密钥管理中，如何通过对密钥算法和长度、域区数据的更新频率、签名方式以及密钥更新的工具的选择来简化密钥的管理过程。 同时，由于引入更多的资源记录和查询/应答流程的变更，DNSSEC相较DNS也变得更复杂。本文简单论述了DNSSEC中的一些不利因素。