《信息安全技術(shù) 安全域名系統(tǒng)實(shí)施指南》

ICS35.040

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)

安全域名系統(tǒng)實(shí)施指南

Informationsecuritytechnology—

Securedomainnamesystemdeploymentguide

（征求意見稿）

（在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

前言

本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。

本標(biāo)準(zhǔn)起草單位：

本標(biāo)準(zhǔn)主要起草人：

II

GB/TXXXXX—XXXX

信息技術(shù)安全技術(shù)安全域名系統(tǒng)實(shí)施指南

1范圍

本標(biāo)準(zhǔn)為組織實(shí)施一個(gè)安全的域名系統(tǒng)提供DNS主機(jī)環(huán)境安全、DNS事務(wù)安全、DNS數(shù)據(jù)安全和DNS

安全管理方面指南。本標(biāo)準(zhǔn)可作為組織內(nèi)部域名系統(tǒng)安全管理人員的指導(dǎo)。

本標(biāo)準(zhǔn)適用于使用BIND1DNS域名服務(wù)軟件的環(huán)境。在可能的情況下，本標(biāo)準(zhǔn)還可用于使用其他

DNS權(quán)威軟件包如NSD和MicrosoftWindowsServer域名服務(wù)軟件的環(huán)境。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T5271.8-2001信息技術(shù)詞匯第8部分：安全（ISO/IEC2382-8:1998，IDT）

GB/T5271.9-2001信息技術(shù)詞匯第9部分：數(shù)據(jù)通信（ISO/IEC2382-9:1995，EQV）

GB/T25069-2010信息安全技術(shù)術(shù)語

YD/T2586-2013域名服務(wù)系統(tǒng)安全擴(kuò)展(DNSSEC)協(xié)議和實(shí)現(xiàn)要求

3術(shù)語和定義

GB/T5271.8-2001、GB/T5271.9-2001、GB/T25069-2006-2010中界定的以及下列術(shù)語和定義適

用于本文件。

3.1

域名系統(tǒng)domainnamesystem

將域名映射為某些預(yù)定義類型資源記錄（ResourceRecord）的分布式互聯(lián)網(wǎng)服務(wù)系統(tǒng)，網(wǎng)絡(luò)中域

名服務(wù)器間通過相互協(xié)作，實(shí)現(xiàn)將域名（或者其他的查詢對(duì)象）最終解析到相應(yīng)的資源記錄。

[修改自YD/T2135-2010，定義3.1.1]

3.2

名字空間namespace

一種節(jié)點(diǎn)與資源集合相對(duì)應(yīng)的樹狀結(jié)構(gòu)（如圖1所示）。

[修改自YD/T2135-2010，定義3.1.2]

1Bind是使用最廣泛的DomainNameServer，原本bind的版本一直在4.8.x-4.9.x，后經(jīng)過功能大幅度改進(jìn)，并修復(fù)

漏洞發(fā)展到8.1.x?，F(xiàn)在bind有兩個(gè)版本在同時(shí)發(fā)展，bind8.x和bind9.x，最新版本是8.3.3和9.2.1。

1

GB/TXXXXX—XXXX

圖1域名系統(tǒng)名字空間示意圖

3.3

域名domainname

域名系統(tǒng)名字空間中，從當(dāng)前節(jié)點(diǎn)到根節(jié)點(diǎn)的路徑上所有節(jié)點(diǎn)標(biāo)記的點(diǎn)分順序連接的字符串。

[修改自YD/T2135-2010，定義3.1.3]

3.4

域domain

域名系統(tǒng)名字空間中的一個(gè)子集，也就是樹形結(jié)構(gòu)名字空間中的一棵子樹。

[修改自YD/T2135-2010，定義3.1.4]

3.5

頂級(jí)域topleveldomain

域名系統(tǒng)名字空間中根節(jié)點(diǎn)下最頂層的域。

[修改自YD/T2135-2010，定義3.1.5]

3.6

資源記錄resourcerecord

域名系統(tǒng)中用于存儲(chǔ)與域名相關(guān)的屬性信息，簡(jiǎn)稱RR。

[修改自YD/T2135-2010，定義3.1.6]

3.7

域名服務(wù)器nameserver

名字服務(wù)器

用于存儲(chǔ)域名和資源記錄及其他相關(guān)信息并負(fù)責(zé)處理用戶的查詢請(qǐng)求的服務(wù)器。

[修改自YD/T2135-2010，定義3.1.7]

3.8

區(qū)zone

域名系統(tǒng)名字空間中面向管理的基本單元。

2

GB/TXXXXX—XXXX

[修改自YD/T2135-2010，定義3.1.9]

3.9

權(quán)威服務(wù)器authoritativeserver

具有數(shù)據(jù)源功能的服務(wù)器。

[修改自YD/T2135-2010，定義3.1.10]

3.10

區(qū)文件zonefile

某個(gè)區(qū)內(nèi)的域名和資源記錄及相關(guān)的權(quán)威起始信息（StartofAuthority，SOA）按照一定的格式

進(jìn)行組合構(gòu)成的文件。

[修改自YD/T2135-2010，定義3.1.11]

3.11

主服務(wù)器masterserver

被配置成區(qū)數(shù)據(jù)發(fā)布源的權(quán)威服務(wù)器。

[修改自YD/T2135-2010，定義3.1.12]

3.12

輔服務(wù)器slaveserver

通過區(qū)傳送協(xié)議來獲取區(qū)數(shù)據(jù)的權(quán)威服務(wù)器。

[修改自YD/T2135-2010，定義3.1.13]

3.13

DNS事務(wù)dnstransactions

DNS事務(wù)類型包含4部分：DNS查詢和響應(yīng)、區(qū)傳送、動(dòng)態(tài)更新、DNS通報(bào)。

3.14

DNS查詢和響應(yīng)dnsquery/response

解析器與緩存域名服務(wù)器之間進(jìn)行資源記錄的查找與響應(yīng)的過程。

3.15

區(qū)傳送zonetransfer

將區(qū)的資源記錄內(nèi)容從主服務(wù)器向輔服務(wù)器傳送的過程，用于實(shí)現(xiàn)主、輔服務(wù)期間的數(shù)據(jù)同步。

[修改自YD/T2135-2010，定義3.1.14]

3.16

動(dòng)態(tài)更新dynamicupdates

實(shí)施現(xiàn)有域添加或刪除個(gè)別的資源記錄、為現(xiàn)有域刪除一套特定的資源記錄、刪除現(xiàn)有域、新增一

個(gè)域的一個(gè)操作。

3.17

DNS通知報(bào)文dnsnotify

3

GB/TXXXXX—XXXX

當(dāng)主DNS服務(wù)器的區(qū)文件發(fā)生變化時(shí)，主DNS服務(wù)器通知輔DNS服務(wù)器數(shù)據(jù)變化的手段。

3.18

遞歸服務(wù)器recursiveserver

本地域名服務(wù)器

緩存服務(wù)器

負(fù)責(zé)接受用戶端（解析器）發(fā)送的請(qǐng)求，然后通過向各級(jí)權(quán)威服務(wù)器發(fā)出查詢請(qǐng)求獲得用戶需要的

查詢結(jié)果，最后返回給用戶端的服務(wù)器。

[修改自YD/T2135-2010，定義3.1.15]

3.19

解析器resolver

向域名服務(wù)器發(fā)送域名解析請(qǐng)求，并且從域名服務(wù)器返回的響應(yīng)消息中提取所需信息的程序。

[修改自YD/T2135-2010，定義3.1.16]

3.20

區(qū)簽名密鑰zonesigningkey

對(duì)權(quán)威域數(shù)據(jù)進(jìn)行DNSSEC簽名或驗(yàn)證的密鑰對(duì)。

[修改自YD/T2586-2013，定義3.1.1]

3.21

密鑰簽名密鑰keysigningkey

對(duì)區(qū)簽名密鑰對(duì)中的公鑰進(jìn)行數(shù)字簽名或驗(yàn)證的密鑰對(duì)。

[修改YD/T2586-2013，定義3.1.2]

3.22

DNS公鑰（DNSKEY）DNSpublickey

存儲(chǔ)權(quán)威域的公鑰的資源記錄。

[修改自YD/T2586-2013，定義3.1.3]

3.23

資源記錄簽名（RRSIG）resourcerecordsignature

存儲(chǔ)DNS資源記錄集的數(shù)字簽名的資源記錄。

[修改自YD/T2586-2013，定義3.1.4]

3.24

授權(quán)簽名者（DS）delegationsigner

存儲(chǔ)DNSKEY資源記錄散列值的資源記錄。

[修改自YD/T2586-2013，定義3.1.5]

3.25

信任錨trustanchor

4

GB/TXXXXX—XXXX

一個(gè)預(yù)先配置的DNSKEY資源記錄或者DNSKEY資源記錄的散列值（DS資源記錄），可以作為信任鏈的

起始點(diǎn)。

[修改自YD/T2586-2013，定義3.1.6]

3.26

信任鏈authenticationchain

一個(gè)由DNSKEY和DS資源記錄交替組成的序列。

[修改自YD/T2586-2013，定義3.1.7]

4縮略語

下列縮略語適用于本標(biāo)準(zhǔn)。

ACLAccessControlList訪問控制列表

ccTLDCountryCodeTopLevelDomain國家代碼頂級(jí)域名

DNSDomainNameSystem域名系統(tǒng)

DNSKEYDomainNameSystemKey域名系統(tǒng)密鑰

DNSSECDomainNameSystemSecurityExtensionsDNS安全擴(kuò)展

DSDelegationSigner授權(quán)簽名者

FQDNFullyQualifiedDomainName完全合格域名

gTLDGenericTop-levelDomain通用頂級(jí)域名

HMACHash-basedMessageAuthenticationCode散列運(yùn)算消息認(rèn)證碼

IETFInternetEngineeringTaskForce互聯(lián)網(wǎng)工程任務(wù)組

KSKKeySigningkey密鑰簽名密鑰

MACMessageAuthenticationCode消息認(rèn)證碼

NSECNextSecure下一個(gè)安全記錄

NSEC3NextSecureversion3下一個(gè)安全記錄第三版

NTPNetworkTimeProtocol網(wǎng)絡(luò)時(shí)間協(xié)議

PKIPublicKeyInfrastructure公鑰基礎(chǔ)設(shè)施

RRResourceRecord資源記錄

RRSIGResourceRecordSignature資源記錄簽名

SOAStartOfAuthority起始授權(quán)機(jī)構(gòu)

TLDTopLevelDomain頂級(jí)域

TSIGTransactionSignatures事務(wù)簽名

TTLTimeToLive生存時(shí)間

ZSKZoneSigningKey區(qū)簽名密鑰

5

GB/TXXXXX—XXXX

BINDBerkeleyInternetNameDomain伯克利互聯(lián)網(wǎng)域名軟件

NSDNameServerDaemon域名服務(wù)進(jìn)程軟件

5DNS主機(jī)環(huán)境-威脅、安全目標(biāo)和保護(hù)方法

5.1主機(jī)平臺(tái)威脅

DNS主機(jī)平臺(tái)威脅主要包含如下：

a)操作系統(tǒng)、系統(tǒng)軟件或DNS主機(jī)上的其他應(yīng)用軟件可能遭受攻擊；

b)DNS主機(jī)的TCP/IP協(xié)議?？赡軙?huì)受到洪水包攻擊，造成通信中斷。對(duì)應(yīng)用層的攻擊為發(fā)送大量

偽造的DNS查詢，以壓倒權(quán)威或解析域名服務(wù)器；

c)在DNS服務(wù)器的網(wǎng)絡(luò)中，訪問局域網(wǎng)的惡意組織可進(jìn)行地址解析協(xié)議（ARP）欺騙攻擊，破壞DNS

信息流；

d)因病毒、蠕蟲或由缺乏文件級(jí)保護(hù)引起的未經(jīng)授權(quán)的更改，用于通信的平臺(tái)級(jí)配置文件被破壞，

導(dǎo)致DNS主機(jī)之間通信中斷；

e)因病毒、蠕蟲或由缺乏文件級(jí)保護(hù)引起的未經(jīng)授權(quán)的更改，DNS特定的配置文件、數(shù)據(jù)文件和

包含加密密鑰的文件被破壞，導(dǎo)致域名解析服務(wù)器不正常的運(yùn)作；

f)同一局域網(wǎng)的惡意主機(jī)作為DNS客戶端可攔截或改變DNS響應(yīng)。這將允許攻擊者將客戶端重定向

到不同的網(wǎng)站。

5.2DNS軟件威脅

DNS軟件威脅主要包含如下：

a)DNS軟件可能出現(xiàn)的漏洞如緩沖區(qū)溢出，導(dǎo)致拒絕服務(wù)；

b)DNS軟件沒有為配置文件、數(shù)據(jù)文件和包含簽名密鑰的文件提供足夠的存取控制能力，以防止

未經(jīng)授權(quán)的讀取和更新配置文件。

5.3由DNS數(shù)據(jù)內(nèi)容引起的威脅

由DNS數(shù)據(jù)內(nèi)容引起的威脅主要包含如下：

a)不完全授權(quán)；

b)區(qū)漂移和區(qū)打擊；

c)目標(biāo)攻擊信息。

5.4安全目標(biāo)

保護(hù)DNS主機(jī)平臺(tái)、DNS軟件和DNS數(shù)據(jù)的共同目標(biāo)是完整性和可用性。

5.5主機(jī)平臺(tái)保護(hù)方法

保護(hù)DNS主機(jī)平臺(tái)的方法如下：

6

GB/TXXXXX—XXXX

a)宜運(yùn)行一個(gè)安全的操作系統(tǒng)；

b)宜安全配置/部署操作系統(tǒng)。

5.6DNS軟件保護(hù)方法

保護(hù)DNS軟件的最佳實(shí)踐如下：

a)應(yīng)運(yùn)行最新版本的域名服務(wù)器軟件，或安裝適當(dāng)補(bǔ)丁的早期版本；

b)應(yīng)以受限權(quán)限運(yùn)行域名服務(wù)器軟件；

c)應(yīng)隔離域名服務(wù)器軟件；

d)應(yīng)為每個(gè)功能建立一個(gè)專用的域名服務(wù)器實(shí)例；

e)應(yīng)刪除非指定主機(jī)的域名服務(wù)器軟件；

f)應(yīng)創(chuàng)建一個(gè)拓?fù)浜偷赜蚍稚⒌臋?quán)威域名服務(wù)器以容錯(cuò)；

g)應(yīng)通過在同一物理域名服務(wù)器的兩個(gè)不同區(qū)文件或通過為不同的客戶端隔離域名服務(wù)器以限

制IT資源信息暴露。

5.7DNS數(shù)據(jù)內(nèi)容管理-保護(hù)方法

通過分析安全暗示的內(nèi)容，制定檢驗(yàn)此類內(nèi)容存在的完整限制，應(yīng)驗(yàn)證區(qū)文件數(shù)據(jù)以滿足限制來完

成區(qū)文件中不良內(nèi)容的管理。

6DNS事務(wù)-威脅、安全目標(biāo)和保護(hù)方法

6.1DNS查詢/響應(yīng)威脅和保護(hù)方法

DNS域名解析查詢和響應(yīng)通常涉及單一、無簽名和無加密的UDP數(shù)據(jù)包。DNS查詢/響應(yīng)威脅主要包

含如下：

a)偽造或虛假的響應(yīng)；

b)來自響應(yīng)的一些資源記錄的刪除；

c)應(yīng)用于區(qū)文件中通配符資源記錄的不正確的擴(kuò)展規(guī)則；

保護(hù)方法是應(yīng)通過數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性驗(yàn)證以確保查詢/響應(yīng)安全。

6.2區(qū)傳送威脅和保護(hù)方法

區(qū)傳送在多個(gè)服務(wù)器中復(fù)制區(qū)文件以提供容錯(cuò)度，該容錯(cuò)度在DNS服務(wù)中由組織提供。區(qū)傳送威脅

主要包含如下：

a)拒絕服務(wù)；

b)區(qū)傳送響應(yīng)信息可能被篡改。

保護(hù)方法是應(yīng)通過驗(yàn)證簽名記錄和來自DNSSEC簽名區(qū)的資源記錄，以確保在區(qū)傳送消息中對(duì)DNS

數(shù)據(jù)的保護(hù)。

6.3動(dòng)態(tài)更新威脅和保護(hù)方法

7

GB/TXXXXX—XXXX

動(dòng)態(tài)更新包含DNS客戶端在權(quán)威域名服務(wù)器中實(shí)時(shí)改變區(qū)數(shù)據(jù)。動(dòng)態(tài)更新威脅主要包含如下：

a)未授權(quán)的更新；

b)動(dòng)態(tài)更新請(qǐng)求數(shù)據(jù)被篡改；

c)重復(fù)攻擊。

保護(hù)方法是應(yīng)通過相互驗(yàn)證、數(shù)據(jù)完整性驗(yàn)證以及時(shí)間戳簽名，以確保動(dòng)態(tài)更新安全。

6.4DNS通知報(bào)文威脅和保護(hù)方法

DNS通知報(bào)文是由主域名服務(wù)器發(fā)給輔域名服務(wù)器的消息，引起輔域名服務(wù)器啟動(dòng)更新操作并當(dāng)區(qū)

更新發(fā)生時(shí)，執(zhí)行區(qū)傳送。

DNS通知報(bào)文威脅主要來自偽造的通知報(bào)文。

保護(hù)方法是應(yīng)需配置輔助域名服務(wù)器以接收僅來自主域名服務(wù)器的DNS通知報(bào)文。

7DNS主機(jī)環(huán)境安全指南

7.1概述

DNS主機(jī)環(huán)境的安全配置可按照如下三類進(jìn)行區(qū)分：

a)DNS主機(jī)平臺(tái)安全；

b)DNS軟件安全；

c)區(qū)文件的內(nèi)容管理。

本標(biāo)準(zhǔn)主要用于使用BINDDNS域名服務(wù)軟件的環(huán)境。在可能的情況下，本標(biāo)準(zhǔn)還可用于使用其他

DNS權(quán)威軟件包如NSD和MicrosoftWindowsServer域名服務(wù)軟件的環(huán)境。部分具體BIND配置命令清

單見附錄A。

7.2DNS主機(jī)平臺(tái)安全

運(yùn)行域名服務(wù)器軟件的平臺(tái)主機(jī)的操作系統(tǒng)應(yīng)進(jìn)行安全加固。許多DNS平臺(tái)運(yùn)行于UNIX或Windows

平臺(tái)。應(yīng)保證：

a)已安裝最新的操作系統(tǒng)補(bǔ)?。?/p>

b)運(yùn)行域名服務(wù)器軟件的主機(jī)不應(yīng)提供其他服務(wù)，僅配置用來響應(yīng)DNS流量。

7.3DNS軟件安全

保護(hù)DNS軟件的方法應(yīng)包含如下：

a)版本選擇；

b)補(bǔ)丁安裝；

c)使用受限特權(quán)運(yùn)行；

d)在運(yùn)行環(huán)境中限制其他應(yīng)用程序；

e)為每個(gè)功能提供實(shí)例；

8

GB/TXXXXX—XXXX

f)控制安裝軟件的主機(jī)設(shè)置；

g)網(wǎng)絡(luò)位置選擇；

h)通過邏輯或物理的區(qū)文件數(shù)據(jù)隔離或?yàn)椴煌目蛻舳祟愋瓦\(yùn)行兩個(gè)域名服務(wù)器軟件實(shí)例，以限

制信息泄漏。

7.3.1運(yùn)行最新版本的域名服務(wù)軟件

當(dāng)安裝最新版域名服務(wù)器軟件后，管理員應(yīng)對(duì)配置參數(shù)進(jìn)行必要的變更，以獲得新安全特征。

不管運(yùn)行新版本或較早版本，管理員均應(yīng)關(guān)注組織運(yùn)行環(huán)境中版本的漏洞、檢測(cè)、安全修復(fù)和補(bǔ)丁。

7.3.2關(guān)閉版本查詢

域名服務(wù)器應(yīng)配置拒絕版本信息查詢功能，以防止系統(tǒng)中運(yùn)行域名服務(wù)器軟件版本信息的發(fā)布。

7.3.3用受限特權(quán)運(yùn)行域名服務(wù)軟件

應(yīng)以非特權(quán)用戶的身份運(yùn)行服務(wù)器軟件，限制因文件損壞帶來破壞性結(jié)果的目錄訪問。

7.3.4隔離域名服務(wù)軟件

應(yīng)保證DNS軟件運(yùn)行的平臺(tái)中不包含除了必要的操作系統(tǒng)和網(wǎng)絡(luò)支持軟件以外的程序。因資源限制

很難實(shí)現(xiàn)時(shí)，應(yīng)限制在同一平臺(tái)上運(yùn)行服務(wù)的數(shù)目。

7.3.5區(qū)分域名服務(wù)器功能

一個(gè)域名服務(wù)器實(shí)例可被配置為一個(gè)權(quán)威域名服務(wù)器、一個(gè)解析域名服務(wù)器或同時(shí)配置。解析域名

服務(wù)器應(yīng)運(yùn)行與權(quán)威域名服務(wù)器不同的安全策略，域名服務(wù)器實(shí)例應(yīng)配置為權(quán)威域名服務(wù)器或解析域名

服務(wù)器。

權(quán)威域名服務(wù)器僅提供具有權(quán)威信息的區(qū)域名解析。安全策略應(yīng)關(guān)閉權(quán)威域名服務(wù)器的遞歸功能，

以防止權(quán)威域名服務(wù)器發(fā)送查詢到其他域名服務(wù)器，從而使用響應(yīng)信息構(gòu)建緩沖。禁用此項(xiàng)功能，可消

除對(duì)權(quán)威服務(wù)緩沖中毒威脅，同時(shí)防止反射式DDoS攻擊。

解析域名服務(wù)器僅為內(nèi)部客戶端提供解析服務(wù)，解析域名服務(wù)器的保護(hù)措施應(yīng)通過域名服務(wù)器軟件

配置文件中的各種配置選項(xiàng)，以限制其與指定客戶端交互類型來確保。

7.3.6從非指派主機(jī)中刪除域名服務(wù)軟件

DNS軟件不應(yīng)運(yùn)行于未指派為域名服務(wù)器的主機(jī)中，應(yīng)在未作為域名服務(wù)器的主機(jī)中刪除DNS軟件。

7.3.7權(quán)威域名服務(wù)器網(wǎng)絡(luò)和地域分散

企業(yè)權(quán)威域名服務(wù)器應(yīng)網(wǎng)絡(luò)和地理位置分散，基于網(wǎng)絡(luò)的分散應(yīng)確保全部域名服務(wù)器不在單一路由

或交換設(shè)備、單一子網(wǎng)或單一租用線路下。地理分散應(yīng)確保全部域名服務(wù)器不在同一地理位置，至少應(yīng)

在外部部署一臺(tái)備份服務(wù)器。

使用一臺(tái)隱藏的主機(jī)時(shí)，隱藏的主權(quán)威服務(wù)器應(yīng)僅接受來自輔助區(qū)域名服務(wù)器設(shè)置的區(qū)傳送要求，

9

GB/TXXXXX—XXXX

并且拒絕其他的DNS查詢。該隱藏主機(jī)的IP地址不應(yīng)出現(xiàn)在區(qū)數(shù)據(jù)庫設(shè)置的域名服務(wù)器中。

7.3.8通過區(qū)文件的分割限制信息發(fā)布

應(yīng)用DNS分割，宜存在兩個(gè)最小的物理文件或視圖。其中一個(gè)在防火墻內(nèi)部專門為主機(jī)提供域名解

析，它同時(shí)可包含防火墻外部主機(jī)的RRsets。另一個(gè)文件為防火墻外部或DMZ區(qū)的主機(jī)提供域名解析，

不包括防火墻內(nèi)部主機(jī)。

7.3.9通過不同客戶端的獨(dú)立域名服務(wù)器限制信息發(fā)布

針對(duì)不同類型的客戶端，組織應(yīng)使用兩種不同權(quán)威域名服務(wù)器設(shè)置，一種設(shè)置稱為外部域名服務(wù)器，

放置于DMZ區(qū)域，對(duì)外部客戶端可用，服務(wù)于公共服務(wù)主機(jī)相關(guān)RRs。另一種設(shè)置稱為內(nèi)部域名服務(wù)器，

放置于防火墻以內(nèi)，對(duì)內(nèi)部客戶端可用。兩種架構(gòu)選擇的目的是保護(hù)內(nèi)部主機(jī)IP地址不被外部知道。

7.4區(qū)文件內(nèi)容管理

DNS區(qū)文件內(nèi)容管理的唯一的保護(hù)方法是使用區(qū)文件集成檢測(cè)器。集成檢測(cè)器對(duì)區(qū)文件的檢測(cè)依賴

于檢測(cè)器中數(shù)據(jù)庫的約束。部署過程中應(yīng)以正確的邏輯創(chuàng)建約束，這些邏輯描述的實(shí)際值不同于

RRTypes格式中關(guān)鍵字段的參數(shù)值。

8DNS事務(wù)安全指南

8.1概述

本章介紹應(yīng)用各種類型DNS事務(wù)的威脅、安全目標(biāo)和保護(hù)方法的步驟，同時(shí)包含應(yīng)用方法的最佳實(shí)

踐。內(nèi)容如下：

a)基于IP地址限制事務(wù)實(shí)體；

b)通過基于散列的消息認(rèn)證碼保護(hù)事務(wù)；

c)通過非對(duì)稱數(shù)字簽名保護(hù)事務(wù)（即DNSSEC詳述，見第9章）。

8.2基于IP地址限制事務(wù)實(shí)體

部分DNS域名服務(wù)器應(yīng)用程序，如BIND9.X提供訪問控制聲明，通過該聲明可以進(jìn)入指定DNS事

務(wù)處理的主機(jī)，通過聲明中的IP地址或IP子網(wǎng)掩碼（稱為IP前綴）可以識(shí)別主機(jī)。

包含IP地址和/或IP前綴的列表稱為地址匹配列表。地址匹配列表被用作BIND控制文件中各種訪

問控制聲明的控制語句。針對(duì)各種DNS事務(wù)有獨(dú)立的訪問控制聲明，訪問控制聲明的語法如表1所示：

表1DNS事務(wù)訪問控制語法

存取控制語句語法DNS事務(wù)

允許查詢｛address_match_list｝DNS查詢/響應(yīng)

允許遞歸｛address_match_list｝遞歸查詢

允許傳送｛address_match_list｝區(qū)傳送

10

GB/TXXXXX—XXXX

允許更新｛address_match_list｝動(dòng)態(tài)更新

允許更新發(fā)送｛address_match_list｝動(dòng)態(tài)更新

允許通知｛address_match_list｝DNS通知

黑洞｛address_match_list｝黑名單中的主機(jī)

8.2.1限制DNS查詢/響應(yīng)事務(wù)主體

訪問控制列表可用于替代控制聲明中的IP地址/IP前綴。

訪問控制聲明中地址匹配列表參數(shù)可包含的值如下：

a)IP地址或IP地址列表；

b)IP前綴或IP前綴列表；

c)訪問控制列表（ACLs）；

d)上述三項(xiàng)的組合。

ACLs的定義在DNS事務(wù)限制的配置中是關(guān)鍵元素，DNS管理員應(yīng)根據(jù)不同的DNS事務(wù)定義并創(chuàng)建

ACLs。

宜為每一個(gè)不同類型的DNS事務(wù)創(chuàng)建一個(gè)指定的可信主機(jī)列表。應(yīng)被包含到適當(dāng)?shù)腁CL中的主機(jī)角

色類別如下：

a)DMZ主機(jī)；

b)所有允許發(fā)起區(qū)傳送的輔助域名服務(wù)器；

c)允許運(yùn)行遞歸查詢的內(nèi)部主機(jī)。

除了IP地址、IP前綴或ACL，訪問控制聲明中的地址匹配列表參數(shù)應(yīng)設(shè)置如下特定值：

a)None：不匹配任何主機(jī)；

b)b）Any：匹配全部主機(jī)；

c)Localhost：匹配運(yùn)行域名服務(wù)的全部服務(wù)器IP地址；

d)Localnets：匹配運(yùn)行域名服務(wù)的全部服務(wù)器IP地址和子網(wǎng)掩碼。

密鑰可被應(yīng)用到ACL聲明中，這表示只有知道共享密鑰（或密鑰對(duì)）的主機(jī)才能夠進(jìn)行通訊。

限制遞歸查詢

a)通過服務(wù)器限制對(duì)內(nèi)部主機(jī)IP地址指定集合的所有可接受的查詢，設(shè)置該集合應(yīng)用于授權(quán)區(qū)，

這樣任何DNS客戶端可以在區(qū)內(nèi)獲得資源信息；

b)通過直接配置參數(shù)將遞歸查詢限制到指定的內(nèi)部客戶端IP地址集中；

c)通過定義視圖將不同的響應(yīng)（數(shù)據(jù)）提供給不同客戶端。

8.2.2限制區(qū)傳送事務(wù)實(shí)體

權(quán)威域名服務(wù)器應(yīng)使用允許傳遞的訪問控制子聲明進(jìn)行配置，指定可接受區(qū)傳送請(qǐng)求的主機(jī)列表。

來自主域名服務(wù)器的區(qū)傳送應(yīng)限于輔助域名服務(wù)器。在輔助域名服務(wù)器中區(qū)傳送應(yīng)被完全禁用。允許傳

11

GB/TXXXXX—XXXX

輸子聲明的地址匹配列表值應(yīng)由輔助域名服務(wù)器和隱藏輔助域名服務(wù)器的IP地址組成。

允許傳輸子聲明可在區(qū)聲明和參數(shù)聲明中使用。當(dāng)它在區(qū)聲明中使用時(shí)，可限制該區(qū)傳送；當(dāng)在參

數(shù)聲明中使用時(shí)，可限制域名服務(wù)器中所有區(qū)的區(qū)傳送。

8.2.3在NSD中限制區(qū)傳送

NSD有一套類似的工具限于區(qū)傳送僅選定一套輔助服務(wù)器。管理員應(yīng)學(xué)習(xí)和使用在NSD配置文件中

的可用選項(xiàng)。無法創(chuàng)建訪問控制列表（ACLs），但管理員可將區(qū)聲明中輔助服務(wù)器的獨(dú)立IP地址列在

NSD配置文件中。

在配置文件中，provide-xfr聲明用于nsd.conf文件的區(qū)聲明中，類似于一個(gè)聯(lián)合聲明和在BIND

配置文件中允許傳送的聲明。

zone:

#allowtransferfromsubnet

provide-xfr:/24

#preventtransferfromspecificIPaddressinblock

Provide-xfr:6BLOCKED

僅有一個(gè)地址應(yīng)出現(xiàn)在provide-xfr聲明中，但地址可以是一個(gè)完整的子網(wǎng)。provide-xfr聲明允

許傳送；所有其他的傳送請(qǐng)求默認(rèn)被拒絕。

8.2.4動(dòng)態(tài)更新事務(wù)實(shí)體限制

通過BIND中的兩個(gè)聲明可以啟動(dòng)或限制動(dòng)態(tài)更新，聲明如下：

a)允許更新；

b)更新策略（僅在BIND9版本中可用）。

這些聲明僅在區(qū)級(jí)而不是服務(wù)器級(jí)中設(shè)定，是區(qū)聲明中的子部分。允許更新子聲明啟用基于IP地

址和共享密鑰技術(shù)限定動(dòng)態(tài)更新的規(guī)則。

更新策略聲明僅啟用基于TSIG密鑰技術(shù)的動(dòng)態(tài)更新限制規(guī)則，在更細(xì)粒度層面啟用更新限制規(guī)則。

允許更新子聲明包含對(duì)區(qū)全部記錄訪問權(quán)限的更新。更新策略子聲明可用來限制一個(gè)或多個(gè)RRTypes

訪問權(quán)限的更新。

動(dòng)態(tài)更新請(qǐng)求通常由主機(jī)發(fā)起，例如為主機(jī)動(dòng)態(tài)分配IP地址的DHCP服務(wù)器。當(dāng)指派一個(gè)IP地址

到一個(gè)新的主機(jī)，需將FQDN-to-IP地址表和address-to-FQDN地址表信息存儲(chǔ)到區(qū)內(nèi)主權(quán)威域名服務(wù)

器中，該信息的創(chuàng)建通過動(dòng)態(tài)更新實(shí)現(xiàn)。

8.2.5限制BINDDNS通告事務(wù)實(shí)體

在服務(wù)器間啟動(dòng)區(qū)傳送，宜通過消息告知輔助域名服務(wù)器區(qū)文件數(shù)據(jù)的變更。此項(xiàng)配置將允許更新

快速傳輸?shù)捷o助域名服務(wù)器，DNS管理員應(yīng)保持通告可用。DNS管理員需為特定區(qū)域關(guān)閉此功能時(shí)，應(yīng)

在該區(qū)的區(qū)聲明中使用通告子聲明。

12

GB/TXXXXX—XXXX

區(qū)管理員需將DNSNOTIFY消息發(fā)送到附加的服務(wù)器時(shí)，“also-notify”子聲明應(yīng)被增加到區(qū)聲明

中，同時(shí)應(yīng)指定附加服務(wù)器的IP地址作為參數(shù)值。

DNSNOTIFY消息的接收方，即輔助域名服務(wù)器，默認(rèn)僅允許來自主域名服務(wù)器的通告消息。輔助

域名服務(wù)器希望接受額外服務(wù)器的通告消息時(shí)，應(yīng)在區(qū)聲明中增加“allow-notify”子聲明，服務(wù)器的

IP地址應(yīng)在該子聲明中指定。

8.2.6限制NSDDNS通告事務(wù)實(shí)體

管理員可使用兩項(xiàng)聲明來傳輸DNSNOTIFY消息或者限制監(jiān)聽DNSNOTIFY消息到一個(gè)特定的IP地

址。

配置NSD以傳輸DNSNOTIFY消息到特定的IP地址和特定的TSIGkey，或者沒有TSIG可用的情況

下，選擇NOKEY。在NSD配置文件中的聲明塊被添加到區(qū)中，如下：

Zone:

Notify:0NOKEY

在區(qū)中的一個(gè)輔助服務(wù)器配置聲明：聲明IP地址接受DNSNOTIFY消息的塊，如下：

zone:

allow-notify:3NOKEY

8.3基于散列消息認(rèn)證碼的事務(wù)保護(hù)

利用散列消息認(rèn)證碼驗(yàn)證消息來源和完整性的流程由TSIG的DNS規(guī)則指定。

通過HMAC使用共享密鑰進(jìn)行事務(wù)保護(hù)并不是可擴(kuò)展的解決方案，TSIG規(guī)范僅在區(qū)傳送和動(dòng)態(tài)更新

事務(wù)中廣泛應(yīng)用。這些DNS事務(wù)在相同管理域中的服務(wù)器間或在前期建立的交互域中的服務(wù)器間。

通過DNS消息發(fā)送方生成的MAC或散列值被放置于追加到DNS消息中稱作TSIGrecord的新RR中。

TSIG記錄，除了生成的散列值外，包含內(nèi)容如下：

a)散列算法的名稱；

b)密鑰名稱；

c)生成散列的時(shí)間（時(shí)間戳）；

d)“Fudgefactor”。

為了避免攻擊者捕獲包含MAC的數(shù)據(jù)包進(jìn)行延遲發(fā)送，接收者應(yīng)讀取MAC生成時(shí)間和當(dāng)前時(shí)間，通

過fudgefactor計(jì)算，驗(yàn)證MAC是否在允許有效時(shí)間內(nèi)生成。

Fudgefactor字段指定MAC生成時(shí)間后的持續(xù)時(shí)間，通過對(duì)MAC生成時(shí)間進(jìn)行“Fudgefactor”

計(jì)算獲得MAC生成方和驗(yàn)證方主機(jī)的允許時(shí)間偏差。

驗(yàn)證過程包括接收者找到匹配密鑰，生成所接收DNS消息的散列值，與接收到的散列值進(jìn)行比較。

在此過程中，接收的域名服務(wù)器執(zhí)行以下驗(yàn)證：

a）消息驗(yàn)證來自一個(gè)授權(quán)來源；

b）消息傳遞過程中未被修改。

13

GB/TXXXXX—XXXX

建立使用TSIG來啟用DNS事務(wù)的環(huán)境，需如下操作：

a)處理DNS事務(wù)的域名服務(wù)器系統(tǒng)時(shí)鐘必須同步；

b)應(yīng)具有密鑰生成程序生成所需長度的密鑰，密鑰文件應(yīng)在參與事務(wù)處理的兩個(gè)服務(wù)器間安全傳

輸；

c)密鑰信息應(yīng)通過適當(dāng)?shù)穆暶髟谂渲梦募兄付ā?/p>

8.3.1密鑰生成

通過驗(yàn)證消息啟用區(qū)傳送，應(yīng)為每一對(duì)域名服務(wù)器生成密鑰。密鑰同樣被用于確保其他事務(wù)安全，

如動(dòng)態(tài)更新、DNS查詢和響應(yīng)。DNSSEC通過多種密鑰生成程序生成64位編碼的二進(jìn)制密鑰字符串。BIND

9.X中生成密鑰的程序是dnssec-keygen。

當(dāng)程序生成密鑰對(duì)時(shí)，擴(kuò)展名key文件包含公鑰字符串，擴(kuò)展名private的文件包含私鑰。

8.3.2在傳送域名服務(wù)器中定義密鑰

通過dnssec-keygen程序生成的密鑰需在兩個(gè)傳送服務(wù)器的named.conf配置文件中定義。

8.3.3確定在NSD配置文件中的密鑰

在NSD中，聲明一個(gè)非常類似于8.3.2的TSIG密鑰，包括一些小的語法變化。

8.3.4通知域名服務(wù)器在全部事務(wù)中使用密鑰

通知服務(wù)器在全部事務(wù)中使用密鑰的命令如下：

server{

keys{.;

};

相同的聲明可作為acl聲明的條目，如下：

aclkey_acl{

.;

};

8.3.5密鑰文件創(chuàng)建和密鑰配置流程

TSIG密鑰長度最小應(yīng)為112位。

應(yīng)為每一對(duì)通信主機(jī)生成單獨(dú)的TSIG密鑰。

當(dāng)密鑰字符串復(fù)制到域名服務(wù)器的密鑰文件之后，通過dnssec-keygen程序生成的兩個(gè)文件應(yīng)僅可

被服務(wù)器管理員賬戶訪問，或者刪除，文件的副本應(yīng)被銷毀。

密鑰文件應(yīng)在網(wǎng)絡(luò)中安全傳遞到與生成密鑰的域名服務(wù)器進(jìn)行通信的域名服務(wù)器。

配置文件中定義TSIG密鑰的聲明不應(yīng)直接包含密鑰字符串。密鑰字符串應(yīng)在獨(dú)立的密鑰文件中定

義，通過在配置文件的密鑰聲明中包含地址進(jìn)行引用。每一個(gè)TSIG密鑰應(yīng)有一個(gè)獨(dú)立的密鑰文件。

14

GB/TXXXXX—XXXX

密鑰文件應(yīng)被域名服務(wù)器運(yùn)行的軟件賬戶管理。授權(quán)位應(yīng)被設(shè)置，這樣密鑰文件可被運(yùn)行域名服務(wù)

器軟件的賬戶讀取或修改。

在一對(duì)服務(wù)器間用于簽名消息的TSIG密鑰應(yīng)在進(jìn)行通信的兩個(gè)服務(wù)器聲明中指定。應(yīng)確保請(qǐng)求信

息和特定事務(wù)的事務(wù)信息被簽名以保證安全。

在區(qū)中共享一個(gè)私鑰的通信雙方服務(wù)器的每一個(gè)配置文件中，雙方通信所使用的密鑰名稱應(yīng)被指

定。

8.3.6使用TSIG的安全區(qū)傳送

區(qū)傳送事務(wù)中的服務(wù)器通信雙方應(yīng)被引導(dǎo)使用通過密鑰聲明定義的密鑰。通信雙方通常包括主域名

服務(wù)器和輔助域名服務(wù)器。主域名服務(wù)器被配置僅接收與區(qū)傳送請(qǐng)求消息一起的，來自使用命名密鑰發(fā)

送MACs的輔助域名服務(wù)器的區(qū)傳送請(qǐng)求。

在主域名服務(wù)器的區(qū)傳送請(qǐng)求中，輔助域名服務(wù)器被設(shè)置使用密鑰NS1-NS2.。

在NSD中，沒有使用TSIG密鑰時(shí)，區(qū)選項(xiàng)“provide-xfer”用來表明IP地址可要求服務(wù)器上的區(qū)

進(jìn)行區(qū)傳送。

8.3.7使用TSIG或SIG（0）的安全動(dòng)態(tài)更新

基于TSIG的動(dòng)態(tài)更新限制可在BIND8.2中設(shè)定，后續(xù)版本通過區(qū)聲明中的allow-update子聲明

實(shí)現(xiàn)。

字符串定義的是TSIG密鑰。配置聲明實(shí)例的應(yīng)用是擁有名為

密鑰的主機(jī)可允許主權(quán)威域名服務(wù)器中區(qū)文件的動(dòng)態(tài)更新請(qǐng)求。

使用SIG（0）驗(yàn)證動(dòng)態(tài)更新消息，所使用的密鑰首先應(yīng)具有存儲(chǔ)在DNS的公鑰，這樣驗(yàn)證的客戶

端可以獲取該密鑰，作為進(jìn)行訪問控制之前的步驟。在此之后，更新的域名服務(wù)器應(yīng)獲得密鑰并處理動(dòng)

態(tài)更新請(qǐng)求。

8.3.8使用TSIG密鑰配置動(dòng)態(tài)更新轉(zhuǎn)發(fā)限制

BIND9.1.0及其后續(xù)版本允許輔助域名服務(wù)器接受動(dòng)態(tài)更新請(qǐng)求，并轉(zhuǎn)發(fā)到主權(quán)威域名服務(wù)器。

為避免對(duì)轉(zhuǎn)發(fā)更新請(qǐng)求的輔助域名服務(wù)器主機(jī)未進(jìn)行限制，BIND啟用一個(gè)新的具有動(dòng)態(tài)更新轉(zhuǎn)發(fā)特征

的allow-update-forward子聲明。

8.3.9使用TSIG/SIG（0）密鑰細(xì)粒度動(dòng)態(tài)更新

Allow-update子聲明依據(jù)動(dòng)態(tài)更新發(fā)起者設(shè)定動(dòng)態(tài)更新限制，使用域/子域域名和RR類型關(guān)系進(jìn)

行動(dòng)態(tài)更新訪問限制，BIND9和后續(xù)版本在區(qū)聲明中提供update-policy子聲明。update-policy子

聲明使用TSIG密鑰進(jìn)行限制。

9安全的DNS查詢/響應(yīng)指南

9.1在BIND與NSD中配置DNSSEC

15

GB/TXXXXX—XXXX

應(yīng)配置域名服務(wù)器來運(yùn)行DNSSEC進(jìn)程，該域名服務(wù)器用于部署DNSSEC簽名區(qū)或查詢區(qū)。DNSSEC

實(shí)施規(guī)范應(yīng)按照YD/T2586-2013執(zhí)行。

在BIND中，通過添加命令行到指定配置文件的選項(xiàng)中。

options{

dnssec-enableyes;

};

在NSD中，該選項(xiàng)不是必需的。

9.2DNSSEC機(jī)制和操作

DNSSEC機(jī)制包括兩個(gè)主要過程：簽名和驗(yàn)證。簽名過程的首要任務(wù)是生成與區(qū)文件中的每個(gè)RR相

關(guān)聯(lián)的數(shù)字簽名，數(shù)字簽名及其相關(guān)信息被封裝在一個(gè)RRTypeRRSIG的特殊RR中，權(quán)威域名服務(wù)器利

用自己的私鑰對(duì)RR進(jìn)行簽名。

在解析服務(wù)器用公鑰驗(yàn)證與區(qū)中的RRsets相關(guān)簽名之前，必須建立對(duì)該公鑰的信任。在DNSSEC

中，解析服務(wù)器運(yùn)行一個(gè)名為創(chuàng)建信任鏈的子進(jìn)程來達(dá)到這一要求，利用權(quán)威服務(wù)器的公鑰對(duì)收到的應(yīng)

答信息進(jìn)行驗(yàn)證。

DNSSEC進(jìn)程包含域名服務(wù)器操作和解析器操作。

域名服務(wù)器操作如下：

a)公/私密鑰對(duì)的生成；

b)私鑰的安全存儲(chǔ)；

c)公鑰的發(fā)布；

d)區(qū)簽名；

e)密鑰更新（密鑰的更改）；

f)區(qū)重簽名。

解析器操作如下：

a)配置信任錨；

b)創(chuàng)建信任鏈和簽名驗(yàn)證。

9.3公私密鑰對(duì)的生成

DNSSEC應(yīng)采用非對(duì)稱密鑰進(jìn)行數(shù)字簽名的生成和驗(yàn)證，推薦使用兩種不同類型的密鑰，一種是密

鑰簽名密鑰（KSK），用于對(duì)區(qū)文件中的密鑰集（DNSKEYRRSet）進(jìn)行簽名；另一種是區(qū)簽名密鑰（ZSK），

用于對(duì)區(qū)中的所有RRSets進(jìn)行簽名。

KSK和ZSK密鑰對(duì)生成的決策參數(shù)如下：

a）數(shù)字簽名算法；

數(shù)字簽名算法應(yīng)基于推薦標(biāo)準(zhǔn)算法，宜使用RSA非對(duì)稱算法和SHA-1消息摘要算法；對(duì)于頂級(jí)域名

服務(wù)器，還應(yīng)支持非對(duì)稱算法SM2算法（256bits）和消息摘要算法SM3。

16

GB/TXXXXX—XXXX

b）密鑰長度；

密鑰長度的選擇應(yīng)為密鑰安全性與執(zhí)行效率的最佳平衡點(diǎn)，對(duì)KSK應(yīng)加強(qiáng)密鑰安全性，對(duì)ZSK應(yīng)著

重加強(qiáng)效率。

c）加密周期。

加密周期長短取決于密鑰暴露的風(fēng)險(xiǎn)大小，對(duì)KSK密碼周期建議是1-2a，對(duì)ZSK密碼周期建議是

1-3個(gè)月。

9.4私鑰的安全存儲(chǔ)

當(dāng)域名服務(wù)器不支持動(dòng)態(tài)更新時(shí)，ZSK和KSK相對(duì)應(yīng)的私鑰應(yīng)保存在物理上安全、無網(wǎng)絡(luò)訪問的機(jī)

器上。支持動(dòng)態(tài)更新時(shí)，與ZSK相對(duì)應(yīng)的私鑰應(yīng)單獨(dú)保存在域名服務(wù)器上，并且應(yīng)具有適當(dāng)?shù)谋Ｗo(hù)措施。

9.5公鑰的發(fā)布和建立信任錨

DNSSEC-aware解析器要驗(yàn)證一個(gè)特定區(qū)的區(qū)數(shù)據(jù)，它首先應(yīng)知道并信任該區(qū)或其任一父節(jié)點(diǎn)的公

鑰。信任點(diǎn)應(yīng)從該區(qū)到其父節(jié)點(diǎn)、父節(jié)點(diǎn)的父節(jié)點(diǎn)直到根區(qū)的節(jié)點(diǎn)中，靠近根區(qū)的安全的節(jié)點(diǎn)開始。

無論信任鏈的開始節(jié)點(diǎn)在哪里，DNSSEC-aware解析器相關(guān)聯(lián)的域名服務(wù)器需知道開始節(jié)點(diǎn)的公鑰。

在DNS中沒有用于公鑰認(rèn)證的第三方的方式，公鑰需通過其他程序進(jìn)行分發(fā)。

DNSSEC-aware解析器的信任錨列表中的條目決定了來自一個(gè)區(qū)的簽名后的應(yīng)答是否安全。解析器

收到一個(gè)區(qū)發(fā)送來的應(yīng)答，在執(zhí)行簽名驗(yàn)證之前，應(yīng)首先對(duì)該區(qū)的公鑰建立信任。必須通過信任列表中

的記錄建立起一個(gè)信任鏈的方式建立信任，應(yīng)答才是安全的。

9.6區(qū)簽名

當(dāng)簽名區(qū)文件時(shí)，應(yīng)采取以下操作：

a)將區(qū)文件按照域名規(guī)范的順序進(jìn)行排序；

b)為區(qū)中的每個(gè)所有者名稱生成一個(gè)NSEC記錄；

c)使用KSK為DNSKEY記錄集生成簽名。使用KSK生成的簽名應(yīng)以離線方式，利用離線存儲(chǔ)的KSK

私鑰或者安全、受保護(hù)的模塊；然后DNSKEYRRSet與其RRSIGRR一起，被加載到主權(quán)威域名

服務(wù)器；

d)使用ZSK為域區(qū)中的所有記錄集生成簽名。

9.7信任鏈和簽名驗(yàn)證的建立

父區(qū)通過子區(qū)公鑰的散列值的數(shù)字簽名保證其子區(qū)的真實(shí)性。該散列值存儲(chǔ)在DSRR中，父區(qū)必須

是一個(gè)簽名區(qū)。

根據(jù)信任鏈的缺失或存在，一個(gè)簽名區(qū)可以是如下一種類型：

a）安全島（自簽名區(qū)）；

b）鏈?zhǔn)桨踩珔^(qū)。

對(duì)一個(gè)獨(dú)立安全區(qū)的數(shù)字簽名服務(wù)器保護(hù)的區(qū)數(shù)據(jù)包括以下基本任務(wù)：

17

GB/TXXXXX—XXXX

a）公鑰/私鑰對(duì)的產(chǎn)生；

b）私鑰的安全存儲(chǔ)；

c）在區(qū)文件中，DNSKEYRR分發(fā)公鑰；

d）區(qū)數(shù)據(jù)（區(qū)簽名）的數(shù)字簽名的生成。

區(qū)安全鏈中的附加任務(wù)如下：

a)由一個(gè)安全區(qū)安全傳輸KSK給它的父區(qū)。完成這種帶外傳輸可以不涉及任何域名系統(tǒng)處理；

b)父區(qū)把子區(qū)的KSK存儲(chǔ)在一個(gè)特殊的密鑰集目錄中，為這個(gè)密鑰產(chǎn)生一個(gè)散列值，將這個(gè)散列

值存儲(chǔ)在DSRR中。父區(qū)為這個(gè)DSRR產(chǎn)生數(shù)字簽名（RRSIGRR），將它包含到其他授權(quán)信息

中。

簽名響應(yīng)需要驗(yàn)證的區(qū)（例如，目標(biāo)區(qū)）是信任鏈的葉節(jié)點(diǎn)。這個(gè)操作的先決條件是對(duì)區(qū)的ZSK

建立信任。通過以下操作，對(duì)一個(gè)區(qū)的ZSK建立信任：

a）父區(qū)的授權(quán)推薦；

b）子區(qū)KSK的授權(quán)。

在鏈?zhǔn)桨踩珔^(qū)的情況下父區(qū)的授權(quán)信息包括如下內(nèi)容：

a）子區(qū)的NSRRs：這些NS記錄的授權(quán)來源是子區(qū)，提供的NSRRs是暗示或推薦；

b）相關(guān)RRs：它們提供NSRRs（簡(jiǎn)稱名字服務(wù)器的IP地址）中的特定服務(wù)器位置；

c）DSRR：它提供子區(qū)中KSK或者ZSK的散列值；

d）RRSIGRR：它包括DSRR（DSRR的簽名）。

9.8域名系統(tǒng)查詢/響應(yīng)的附加保護(hù)措施

域名系統(tǒng)查詢/響應(yīng)處理的DNSSEC保護(hù)規(guī)范包括下列通信：

a）域名系統(tǒng)從遠(yuǎn)程權(quán)威域名服務(wù)器到局部解析域名服務(wù)器的響應(yīng)；

b）域名系統(tǒng)從遠(yuǎn)程緩存域名服務(wù)器到局部解析域名服務(wù)器的響應(yīng)。

域名系統(tǒng)響應(yīng)信息的保護(hù)必須擴(kuò)展到存根解析器以及解析的域名服務(wù)器路徑,路徑的保護(hù)方法是由

存根解析器的性質(zhì)和網(wǎng)絡(luò)設(shè)置決定的。

為了有完整的端到端的域名系統(tǒng)請(qǐng)求/響應(yīng)保護(hù)，存根解析器類型的最低要求是應(yīng)有執(zhí)行原始授權(quán)

和響應(yīng)數(shù)據(jù)完整性的能力。non-DNSSEC-aware存根解析器和DNSSEC-aware非驗(yàn)證的存根解析器應(yīng)有這

種能力。non-DNSSEC-aware存根解析器可以利用此標(biāo)記位為提示，找到解析域名服務(wù)器是否能夠成功

確認(rèn)在響應(yīng)的回復(fù)和授權(quán)部分所有數(shù)據(jù)的簽名。DNSSEC-aware非驗(yàn)證的存根解析器可以利用這個(gè)可信

路徑來檢查它接收的響應(yīng)信息的頭信息中AD位的設(shè)置。（與前面的non-DNSSEC-aware存根解析器和

DNSSEC-aware非驗(yàn)證存根解析器相對(duì)應(yīng)。）

9.9DNSSEC-aware區(qū)的動(dòng)態(tài)更新

第6.3節(jié)列出了一個(gè)區(qū)文件在動(dòng)態(tài)更新過程中的各種邏輯操作。四種邏輯操作可被看作兩種基本的

操作即：RR的增加和RR的刪除。更新RR是增加和刪除兩個(gè)基本操作的組合。在非安全區(qū)的區(qū)文件中

18

GB/TXXXXX—XXXX

增加和刪除RR不會(huì)對(duì)其他RRs有額外的操作。然而，在安全區(qū)中有個(gè)NSECRR（和一個(gè)相應(yīng)的RRSIGRR）

來覆蓋域名空間中的缺口。

在區(qū)中，每個(gè)唯一的所有者名稱有一個(gè)NSECRR。這個(gè)NSECRR指向在規(guī)范順序中的下一個(gè)所有者

名稱。在規(guī)范順序中的NSECRR的最后一個(gè)所有者指向區(qū)的頂端域名。所以，在一個(gè)區(qū)中，NSECRRs

在概念上形成一個(gè)循環(huán)的鏈接鏈表遍歷唯一的區(qū)名稱。

10通過DNS數(shù)據(jù)內(nèi)容管理最小化信息泄漏指南

10.1選擇SOARR中的參數(shù)值

SOA資源記錄中的數(shù)據(jù)值可以規(guī)范主服務(wù)器和輔服務(wù)器之間的通信，應(yīng)保證SOA資源記錄中數(shù)據(jù)值

的正確性。具體值為：

區(qū)SOARR的刷新值應(yīng)參考可預(yù)見的刷新頻率。區(qū)簽名時(shí)，刷新值應(yīng)小于RRSIG的有效期。

區(qū)SOARR的重試值應(yīng)是刷新值的1/10。

區(qū)SOARR的終止值應(yīng)是2—4周。

最小TTL的值應(yīng)在30min到5d之間。

10.2RRType中的信息泄漏

DNS管理員應(yīng)注意對(duì)攻擊者有利的HINFO、RP、LOC或者其他可能泄露信息的RR類型，以及使用分

離式DNS時(shí)區(qū)的外部試圖。除了支持操作策略，應(yīng)盡量避免使用這些RR類型。

DNS管理員在將TXT資源記錄添加到區(qū)文件之前，應(yīng)檢查記錄中可能出現(xiàn)的信息泄漏數(shù)據(jù)。

10.3使用RRSIG有效期最小化密鑰泄漏

涉及一個(gè)區(qū)的DNSKEY資源記錄集的RRSIG的有效期范圍應(yīng)是2d到1周。對(duì)于一個(gè)擁有授權(quán)的子域，

涉及DS資源記錄的RRSIG的有效期范圍應(yīng)是幾d到1周。DNSSEC管理員可根據(jù)內(nèi)容管理和DNSSEC工

具為區(qū)的全部?jī)?nèi)容選擇一個(gè)簽名有效期。

DNS管理員應(yīng)選擇一個(gè)單一的對(duì)整個(gè)區(qū)有效的簽名。同時(shí)，當(dāng)密鑰泄漏或需緊急更新時(shí)，DNS管理

員應(yīng)選擇一個(gè)能夠最大限度地減少風(fēng)險(xiǎn)的簽名有效期。

10.4散列認(rèn)證否定存在

NSEC3資源記錄包含下一個(gè)名稱、資源記錄類型位圖以及迭代和鹽值。迭代和鹽值兩個(gè)值應(yīng)定期更

改以維持區(qū)列舉的保護(hù)。

一個(gè)區(qū)使用NSEC3資源記錄簽名，當(dāng)區(qū)完全重簽名時(shí)，鹽值應(yīng)改變。鹽值應(yīng)是隨機(jī)的，且長度應(yīng)

足夠短，宜選擇1到15個(gè)字節(jié)，以防止FQDN對(duì)于DNS協(xié)議而言太長。

一個(gè)區(qū)使用NSEC3資源記錄簽名，迭代值的選取應(yīng)根據(jù)提供給客戶和攻擊者可用的計(jì)算能力。該

值應(yīng)每年進(jìn)行審查，并且當(dāng)評(píng)估條件的變化時(shí)增加。使用SHA-1時(shí)，初始值應(yīng)在1—200次之間；使用

SHA-256時(shí)應(yīng)在1—100次之間。

19

GB/TXXXXX—XXXX

11DNS安全管理操作指南

11.1組織密鑰管理實(shí)踐

DNS是一個(gè)企業(yè)基礎(chǔ)設(shè)施的重要組成部分，處理密鑰管理的DNSSEC操作應(yīng)符合由企業(yè)保持的覆蓋

其他數(shù)據(jù)認(rèn)證密鑰的策略。

11.2計(jì)劃的密鑰更新（密鑰的生命周期）

密鑰在使用一段時(shí)間之后易被破解，必須改變ZSK和KSK。

KSK更新頻率應(yīng)小于ZSK。KSK應(yīng)每1-2y更新一次，ZSK應(yīng)每1-3月更新一次。

11.2.1局部獨(dú)立安全區(qū)的密鑰更新

在新密鑰用來簽名之前，DNS管理員需公開這個(gè)密鑰作為區(qū)文件的一個(gè)DNSKEYRR。

預(yù)先公開公鑰的安全區(qū)應(yīng)在密鑰更新之前的至少一個(gè)TTL時(shí)間段內(nèi)執(zhí)行。

在刪除舊公鑰后，區(qū)應(yīng)基于區(qū)文件中剩余密鑰生成一個(gè)新簽名。

11.2.2信任鏈連接安全區(qū)的密鑰更新

一個(gè)全局的安全區(qū)使用兩種密鑰集：ZSK和KSK。

11.2.3鏈?zhǔn)桨踩珔^(qū)的ZSK密鑰更新

在全局可信區(qū)涉及ZSK更新的操作與在局部安全區(qū)ZSK更新的操作沒有差異。

11.2.4鏈?zhǔn)桨踩珔^(qū)的KSK密鑰更新（手動(dòng)無撤銷位）

KSK是為安全區(qū)的安全父域提供信任的密鑰，當(dāng)一個(gè)區(qū)改變它的KSK時(shí)，KSK更新的區(qū)應(yīng)：

a）生成一個(gè)新的KSK，并添加到區(qū)密鑰集中；

b）用新KSK和舊KSK對(duì)區(qū)密鑰集簽名；

c）使用父域可以驗(yàn)證的方式聯(lián)系新KSK及其父域；

d）父域必須生成新的包含新KSK散列值的DSRR，然后對(duì)最新生成的DSRR簽名。

11.2.5鏈?zhǔn)桨踩珔^(qū)中的KSK密鑰更新（使用撤銷位）

KSK更新過程如下所述：

a)管理員添加新的KSK，但是不用它生成簽名；

b)等待一個(gè)預(yù)計(jì)算時(shí)間，宜為30d；

c)在即將傳出的KSK處設(shè)置撤銷位，并用KSK密鑰簽署DNSKEYRRset。授權(quán)父域用新的KSK散

列值添加一個(gè)新的DS；

d)等待一個(gè)預(yù)計(jì)算時(shí)間，宜為30d；

e)刪除舊KSK，僅使用新KSK重簽名。聯(lián)系授權(quán)父域刪除舊KSK相應(yīng)的DSRR。

11.3緊急密鑰更新

20

GB/TXXXXX—XXXX

當(dāng)區(qū)中密鑰泄漏或者私鑰丟失時(shí)，應(yīng)執(zhí)行緊急密鑰更新和重簽名。

11.3.1緊急ZSK更新

目前使用的ZSK已經(jīng)泄漏時(shí)，區(qū)管理員應(yīng)立刻更新到新密鑰。

新ZSK已經(jīng)泄漏時(shí)，在區(qū)密鑰集中應(yīng)立即替換它。

一旦ZSK泄漏，區(qū)管理員應(yīng)盡快初始化KSK更新。

11.3.2緊急KSK更新

執(zhí)行一個(gè)緊急KSK更新時(shí)，DNS管理員應(yīng)有緊急聯(lián)絡(luò)信息，以供上一層父域區(qū)使用。

在緊急子域子區(qū)KSK更新時(shí)，父域區(qū)必須具有一個(gè)緊急聯(lián)絡(luò)方式，可用于它的授權(quán)子域子區(qū)，也應(yīng)

有一個(gè)獲取子區(qū)新KSK的安全方式。

應(yīng)將泄露期縮短到最少，使區(qū)管理員可以盡可能短地保留有效期間簽名。

11.4重簽名區(qū)

在以下情況下，區(qū)文件應(yīng)重簽名。

a）簽名已經(jīng)到期或即將到期；

b）區(qū)文件的內(nèi)容已經(jīng)改變；

c）一個(gè)簽名密鑰已經(jīng)泄露或者計(jì)劃更換。

有兩種策略可以重簽名區(qū)數(shù)據(jù)：

a)完全重簽名。刪除所有現(xiàn)有的簽名記錄，重新排序區(qū)文件，重新生成所有的NSECRRs，最后

生成新的簽名記錄；

b)增量式重簽名。當(dāng)區(qū)文件內(nèi)容的變化自上次生成簽名以后已經(jīng)最小化時(shí)，通常在動(dòng)態(tài)更新后的

情況下使用增量式重簽名。

11.5DNSSEC算法的遷移

當(dāng)轉(zhuǎn)換到一個(gè)新的DNSSEC算法時(shí)不宜在轉(zhuǎn)換的同時(shí)進(jìn)行其他密鑰維護(hù)操作。管理員選擇在擴(kuò)展時(shí)

間周期內(nèi)使用兩個(gè)簽名算法來操作時(shí)，宜錯(cuò)開密鑰維護(hù)操作。

當(dāng)轉(zhuǎn)換完成后，驗(yàn)證器無法驗(yàn)證由未知算法生成的RRSIGs時(shí)，區(qū)變得可證不安全，不理解新算法

的終端用戶驗(yàn)證器應(yīng)采取行動(dòng)。

11.5.1使用多重簽名算法的密鑰更新特別注意事項(xiàng)

區(qū)管理員必須保持兩個(gè)不同的密鑰生存期，即在發(fā)行當(dāng)前ZSK的同時(shí)提前發(fā)行下一個(gè)ZSK。一個(gè)

區(qū)的密鑰集中將有三個(gè)DNSKEYRRS：一個(gè)激活的KSK，一個(gè)激活的ZSK，以及一個(gè)提前發(fā)行的ZSK。

宜錯(cuò)開密鑰更新以減少在區(qū)中預(yù)發(fā)行的密鑰數(shù)量。

11.6DNSSEC在分割區(qū)的部署

11.6.1理想解決辦法：內(nèi)部授權(quán)

21

GB/TXXXXX—XXXX

部署水平分割的域名系統(tǒng)或者重新設(shè)計(jì)一個(gè)企業(yè)域名系統(tǒng)宜從主區(qū)選擇一個(gè)新的內(nèi)部唯一授權(quán)。