域名服務(wù)系統(tǒng)安全擴展（DNSSEC）協(xié)議測試方法

域名服務(wù)系統(tǒng)安全擴展(DNSSEC)協(xié)議測試方法本文件針對域名服務(wù)系統(tǒng)安全擴展的協(xié)議測試進(jìn)行了詳細(xì)的規(guī)定，并提出了測試的要求。本文件適用于域名服務(wù)系統(tǒng)的安全擴展協(xié)議測試。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T33562-2017信息安全技術(shù)安全域名系統(tǒng)實施指南YD/T2140-2010域名服務(wù)安全框架技術(shù)要求YD/T2586-2013域名服務(wù)系統(tǒng)安全擴展(DNSSEC)協(xié)議和實現(xiàn)要求YD/T3008-2016域名服務(wù)安全狀態(tài)檢測要求IETFRFC5155散列的DNSSEC否定存在驗證(DNSSecurityONSSEC)HashedofExistence)IETFRFC8624DNSSEC算法實現(xiàn)需求與使用指南(AlgorithmImplementationUsageGuidanceforDNSSE3術(shù)語和定義YD/T2586-2013、YD/T3008-2016、GB/T33562-2017界定的以及下列術(shù)語和定義適用于本文件。域名系統(tǒng)domainnamesystem一種將域名映射為某些預(yù)定義類型資源記錄(resourcerecord)的分布式互聯(lián)網(wǎng)服務(wù)系統(tǒng)，網(wǎng)絡(luò)中域名服務(wù)器問通過相互協(xié)作，實現(xiàn)將域名最終解析到相應(yīng)的資源記錄資源記錄resourcerecord在域名系統(tǒng)中用于存儲與域名相關(guān)的屬性信息，簡稱RR。每個域名對應(yīng)的記錄可能為空或者多條。域名的資源記錄由名字(name)、類型(type)、種類(class)、生存時間(tt1),記錄數(shù)據(jù)長度(rdlength)、記錄數(shù)據(jù)(rdata)等字段組成。域名服務(wù)器mameserver用于存儲域名和資源記錄及其他相關(guān)信息并負(fù)責(zé)處理用戶的查詢請求的服務(wù)器23DNSKEY資源記錄存儲的是權(quán)威域的公朝。權(quán)威域使用私鑰對DNS資源記錄集進(jìn)行數(shù)字簽名，并且將公鑰保存在DNSKEY資源記錄中，用于稍后對數(shù)字簽名的驗證。資源記錄簽名(RRSIG)resourcereoordsignaturoRRSIG資源記錄存儲的是DNS資源記錄集的數(shù)字簽名。授權(quán)簽名者(DS)delegationsignerDS資源記錄存儲了DNSKEY資源記錄的散列值。用于建立解析器驗證DNS應(yīng)答報文時所需的信任鏈。它可以驗證與之對應(yīng)的DNSKEY資源記錄。信任錨trustanchor一個預(yù)先配置的DNSKEY資源記錄或者DNSKEY資源記錄的散列值(DS資源記錄)。一個支持DNSSEC的解析器可以使用這個公鑰或者散列值作為信任鏈的起始點。此外，解析器應(yīng)該通過DNS協(xié)議之外的安全可信的方法獲得信任錨的初始值一個由DNSKEY和DS資源記錄交替組成的序列，DNSKEY用于驗證包含DS的資源記錄集簽名，使得DS得到驗證。DS包含了另一個DNSKEY的散列值，新的DNSKEY如果與DS的散列值匹配，也可以得到驗證。這個新的DNSKEY反過來又可以驗證另一個Ds,這樣延續(xù)下去直到獲得需要驗證的DNS數(shù)據(jù)簽名的公鑰為止。下列縮略語適用于本文件。己驗證數(shù)據(jù)關(guān)閉檢查CheckingDisabled域名服務(wù)系統(tǒng)域名服務(wù)系統(tǒng)安全擴展域名服務(wù)系統(tǒng)安全擴展開啟授權(quán)簽名者DNS擴展機制密鑰簽名密鑰下一個安全記錄NSEC3下一個安全記錄第三版4RRSIG資源記錄簽名ResourceRecordSignatureS0A初始授權(quán)機構(gòu)StartOfAuthorityZSK區(qū)簽名密鑰ZoneSigningKey5域名系統(tǒng)安全擴展(DNSSEO)域名系統(tǒng)安全擴展(DNSSEC)可以提供DNS數(shù)據(jù)源鑒別和完整性保護(hù)，以及DNS數(shù)據(jù)的否定存在驗證機制。DNSSEC協(xié)議要求符合YD/T2586-2013和GB/T33562-2017的要求。DNSSEC過程包含域名服務(wù)器操作和解析器操作。實施DNSSEC的域名服務(wù)器應(yīng)支持TCP53端口的查詢請求。本章的重點是DNSSEC的基本原DNSSEC增加了4種新的資源記錄類型，它們是資源記錄簽名(RRSIG)、DNS公鑰(DNSKEY)、授權(quán)簽名者(DS)和下一個安全記錄(NSEC)。但已經(jīng)被證明是不安全的，攻擊者可以通過NSEC獲得權(quán)威域中存在的所有域名記錄。因此，本標(biāo)準(zhǔn)將使用下一個安全記錄第三版(NSEC3)。此外，DNSSEC在報文頭增加了2個標(biāo)志位——CD標(biāo)志位和AD標(biāo)志位。為了支持增加了DNSSEC資源記錄而變得更長的DNS報文，DNSSEC需要DNS擴展機制(EDNS0)的支持。最后，DNSSEC還需要使用報文頭的DO標(biāo)志位，使得支持DNSSEC的解析器能夠在其請求中指明它希望接收到DNSSEC機制包括兩個主要過程簽名和驗證。簽名過程主要是支持DNSSEC的域名服務(wù)器利用私鑰對資源記錄進(jìn)行數(shù)字簽名，數(shù)字簽名及其相關(guān)信息保存在一個RRSIG中、驗證過程是支持DNSSEC的解析器利用得到的域名服務(wù)器的公鑰，驗證資源記錄的簽名。支持DNSSEC的解析器通過以下兩種方式獲得域名服務(wù)器的公鑰；一是通過預(yù)先配置在解析器中的信任錨，二是通過正常的DNS解析方式。在第二種方式中公鑰被保存在DNSKEY中為保證獲得公鑰的真實性，該公鑰還需要由一個經(jīng)過認(rèn)證的、預(yù)先配置的密鑰簽名，即密鑰簽名密鑰(KSK)。因此，支持NSSEC的解析器為了驗證簽名，需要形成一個從域名服務(wù)器公鑰到密鑰簽名密鑰的信任鏈。同時，解析器至少需要配置一個信任錨。如果配置的信任錨是區(qū)簽名密鑰(ZSK),那么解析器就可以鑒別域名服務(wù)器數(shù)據(jù)的真實性和完整性如果配置的信任錨是密鑰簽名密鑰(KSK),那么解析器就可以驗證域名服務(wù)器公鑰的真實性和完整性。6.1域名服務(wù)器6.1.1區(qū)簽名密鑰對生成測試編號：6.1.1-ZSK-gene1、使用非對稱密鑰算法生成區(qū)簽名密鑰對密鑰算法、密鑰長度和密鑰更新有效期符合的要求，符合IETFRFC8624《DNSSEC算法實現(xiàn)需求與使用指南》,符合我國密碼管理的相關(guān)規(guī)定。(例如：算法為RSA/SHA-1,密鑰長度1024bit.)測試編號：6.1.2-KSK-gene測試步臆；如；算法為RSA/SHA-1,密鑰長度2048bit。)1)與區(qū)簽名密鑰(ZSK)相對應(yīng)的私鑰單獨保存在域名服務(wù)器上，訪問有權(quán)限控制，通3)與區(qū)簽名密鑰(ZSK)相對應(yīng)的私鑰單獨保存在域名服務(wù)器上，訪問無權(quán)限控制，提1、指定簽名密鑰和簽名有效期，執(zhí)行區(qū)簽名操作。測試編號：6.1.6-zone-res測試步驟；1、觸發(fā)簽名到期條件。1)完成區(qū)重簽名操作，包括：刪除所有現(xiàn)有的簽名記錄，重新排序區(qū)文件，重新測試編號：6.1.7-zone-res測試編號：6.1.8-scheduled-ZSK-ro2、查看公鑰發(fā)布時間。2)區(qū)簽名密鑰(ZSK)新密鑰發(fā)布后，DNSSEC功能無法正常使用，不通過。3)區(qū)簽名密鑰(ZSK)新舊密鑰無重疊6.1.9KSK常規(guī)密鑰輪轉(zhuǎn)測試編號：6.1.9-scheduled-KSK-ro測試步腹；2、采用雙重簽名方法。用新密鑰簽名密鑰(KSK)和用新密鑰簽名密鑰(KSK)對密鑰集簽名。1)密鑰簽名密鑰(KSK)輪轉(zhuǎn)后，DNSSEC功能可正常使用，通過。2)密鑰簽名密鑰(KSK)輪轉(zhuǎn)后，DNSSEC功能無法正常使用，不通過。測試編號：6.1.10-emergency-ZSK-ro1、模擬區(qū)中密鑰泄漏或者私鑰丟失時等緊急事件發(fā)生，調(diào)用接口觸發(fā)或者手動觸發(fā)緊急密鑰輪1)區(qū)簽名密鑰(ZSK)輪轉(zhuǎn)到新密鑰，同時初始化密鑰簽名密鑰(KSK),通過。2)區(qū)簽名密鑰(ZSK)未輪轉(zhuǎn)到新密鑰或密鑰測試編號：6.1.11-emergency-KSK-ro1、通過事件觸發(fā)或者手動觸發(fā)針對子域子區(qū)的密鑰簽名密鑰(KSK)緊急1)父區(qū)獲取子區(qū)新的密鑰簽名密鑰(KSK)后，DNSSEC功能可正常使用，通過。2)父區(qū)獲取子區(qū)新的密鑰簽名密鑰(KSK)后，DNSSEC功能無法正常使用，不通過。1、向域名服務(wù)器發(fā)起帶EDNS0擴展的查詢，查看是1)支持EDNS0查詢，可以返回相關(guān)記錄，通過。2)不支持EDNS0查詢，不通過。1、向域名服務(wù)器53端口發(fā)送TCP查詢。1)開放53端口TCP查詢，可以返回相關(guān)記錄，通過。測試編號：6.1.14-DNSSEC-re1、接收DNSSEC查詢請求，查看是否能夠返回DNSSEC記錄。1)支持DNSSEC查詢，可以返回DNSSEC相關(guān)的解析記錄，通過。1、區(qū)簽名時生成NSEC記錄。2、向被測試的域名服務(wù)器發(fā)起某個域名或某個資源記錄類型不存在的查詢請求。1)能夠正確返回包含NSEC記錄的應(yīng)答測試編號：6.1.16-NSEC3-re2、向被測試的域名服務(wù)器發(fā)起某個域名或某個資源記錄類型不存在的查詢請求。1)能夠正確返回包含NSEC3記錄的應(yīng)答報文，通過。2)無法正確返回包含NSEC3記錄的應(yīng)答報文，不通測試編號：6.2.1-trust-anchor-configu1、配置根區(qū)的區(qū)簽名密鑰(ZSK)為信任錨，1)支持根區(qū)和父區(qū)的區(qū)簽名密鑰(ZSK)和密鑰簽名密鑰(KSK)配置成信2)不支持根區(qū)配置區(qū)簽名密鑰(ZSK)或者3)不支持父區(qū)配置區(qū)簽名密鑰(ZSK)或測試編號；6.2.2-root-DNSKEY-trust-測試項目：以根域的DNSKEY公鑰為信任鐳1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送一個域名的DNSSEC查詢。2)未能根據(jù)GB/T33562-2017規(guī)定的流程完成簽名驗證，不通過。測試編號：6.2.3-parent-DNSKEY-trust-1、配置父域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送一個域名的DNSSEC查詢。2)未能根據(jù)GB/T33562-2017規(guī)定的流程完成簽名驗證，不通過。測試編號：6.2.4-signature-validation-r2)對接收到的RRSIG記錄，不支持區(qū)分YD/T2586-2013規(guī)定的四種結(jié)果，不通過。測試編號：6.2.5-signature-validation-alg1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送DNSSEC查詢。2、RSASHA1-NSEC3-SHA1:3、RSASHA256;4、RSASHA512),通過。測試編號：6.2.6-delegation-validation-alg1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送DNSSEC查詢。1、SHA-1:2、SHA-256),通過。測試編號：6.2.7-DNSSEC-query-vali1、向域名服務(wù)器發(fā)起DNSSBC查詢，查看是否能夠返回DNSSEC記錄。1)支持DNSSEC查詢，可以有效支持域名記錄安全1、向域名服務(wù)器發(fā)起某個域名或某個資源記錄類型不存在的查詢請求。2、檢查收到的DNSSEC應(yīng)答中是否包含NSEC資源記錄及驗證情況。1)能夠接收包含NSEC資源記錄的應(yīng)答報文，并對應(yīng)答報文中NSEC資源記錄進(jìn)行1、向域名服務(wù)器發(fā)起某個域名或某個資源記錄類型不存在的查詢請求。2)無法接收包含NSEC3資源記錄的應(yīng)答報文，不通3)無法對應(yīng)答報文中NSEC3記錄進(jìn)行驗證，不通過。2)區(qū)簽名