DNSSEC
域名系统安全扩展(DNSSEC, Domain Name System Security Extensions)是Internet工程任务组 (IETF)的对确保由域名系统 (DNS)中提供的关于互联网协议 (IP)网络使用特定类型的信息规格套件。它是对DNS提供的DNS客户端(解析器)的DNS数据来源,数据完整性验证,但不提供或机密性和认证的拒绝存在扩展集。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。
DNSSEC的发展起源
- 若要通过互联网联系他人,就必须在计算机中键入一个地址(以名称或数字表示)。该地址必须是唯一的,这样计算机才能确定彼此的位置。 ICANN 负责在全球范围内协调此类唯一标识符。如果没有这种协调,我们就不会拥有统一的全球互联网。 在键入名称时,必须首先由某个系统将该名称转换为数字,然后才能建立连接。该系统称为域名系统 (Domain Name System, DNS) ,它将类似于 www. icann. org 的名称转换为数字,这些数字称为互联网协议 (Internet Protocol, IP) 地址。 ICANN 对寻址系统进行协调,以确保所有地址都是唯一的。
- 最近,人们在 DNS 中发现了一些漏洞,攻击者可以利用这些漏洞劫持这一使用名称在互联网上搜寻某个人或某个站点的过程。这种攻击的目的是取得对会话的控制以实施某种操作,例如使用户进入劫持者自己设立的欺骗性网站,以便收集用户的帐户和密码。
- 由于这些漏洞的存在,人们越来越希望引入一种称为DNS安全扩展 (DNS Security Extensions, DNSSEC)的技术,以保护 互联网 的这一部分基础 设施 。
DNSSEC的优点
- 提高安全性 完全部署DNSSEC可以确保最终用户连接到与特定域名相对应的实际网站或其他服务。尽管这不会解决 互联网 的所有安全问题,但它确实保护了互联网的关键部分(即目录查找),从而对 SSL (https:) 等其他保护“会话”的技术进行了补充,并且为尚待开发的安全改进技术提供了平台。
- 实现跟区域文件管理
- ICANN 履行“IANA”职能 ,这是一家与美国商务部签有合同的国际非营利性公司。IANA表示互联网编号分配机构( Internet Assigned Numbers Authority ) 。 ICANN 接收和审查来自顶级域名(TLD) 运营商 ( 例如 ,“ com ”)的信息。
- 国家电讯管理中心 ( National Telecommunications and Information Administration, NTIA)对根区域的变更进行授权,这是美国商务部内部的一个政府机关。
- VeriSign 是一家总部设在美国的营利性公司,该公司与美国政府签订了合同,负责使用由ICANN 提供和验证且由美国商务部授权的变更信息对根区域进行编辑 , 并对包含有关到何处查找有关TLD( 例如 ,“ com ”) 的信息的根区域文件进行分发 ;
- 一组国际性根服务器运营商,这些运营商志愿运行和拥有遍布全球的200台以上的服务器,而这些服务器负责在整个互联网中分发来自根区域文件的根信息。按字母编号,根服务器的运营商为。
- 对进行密钥管理 根据此提案,ICANN 将保持密钥基础设施,但用于实际生成KSK的凭据将由外方持有。要使此过程在全球得到全面接受,这是一个很重要的因素。 ICANN 未就各实体在持有凭据时所应采用的具体解决方案提出建议,而是认为,像上述所有问题一样,此问题的解决应向公众征求意见,并由美国商务部作出决定。
DNSSEC部署范围
DNNSEC目前仅在.org域名和.gov(美国政府域名)以及一些ccTLD,如:.se(瑞典域名)。2010年7月18日,根服务(root-servers.net)已经完成DNSSEC签名。
相关条目
- 网络协议
- 域名
- OpenDNS
- 顶级域名
- DNS
请先 登录后发表评论 ~