【YD通讯标准】 基于 IPv6 的下一代互联网 DNSSEC 数据包安全技术要求

ICS35.110www.bzxz.net
中华人民共和国通信行业标准
YD/T2835-2015
基于IPv6的下一代互联网DNSSEC数据包安全技术要求
Security technical requirements for DNSSEC data packageoftheIPv6basednextgenerationinternet2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前
规范性引用文件·
3术语、定义和缩略语·
3.1术语和定义·
3.2缩略语
5DNSSEC工作机制简介
5.1DNSSEC资源记录概述
5.2DNSSEC工作流程概述
6DNSSEC数据包面临的传输问题·6.1问题陈述·
6.2DNSSEC数据包的长度问题
6.3DNSSEC数据包传输协议的选择问题6.4防火墙问题·
7技术要求..
7.1支持DNSSEC的解析器
7.2支持DNSSEC的权威域名服务器7.3支持DNSSEC的递归域名服务器7.4防火墙
YD/T2835-2015
YD/T2835-2015
本标准是“基于IPv6的下一代互联网域名安全管理”系列标准之一。该系列标准预计包括如下部分：1）基于IPv6的下一代互联网DNSSEC数据包安全技术要求2）基于IPv6的下一代互联网DNSSEC数据包安全检测要求3）基于IPv6的下-代互联网域名服务配置安全技术要求4）基于IPv6的下一代互联网域名服务配置安全检测要求5）基于IPv6的下-一代互联网中文域名注册和实现安全技术要求6）基于IPv6的下一代互联网中文域名注册和实现安全检测要求本标准按照GB/T1.1-2009给出的规则起草。请注意：本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国科学院计算机网络信息中心（中国互联网络信息中心）、国家计算机网络应急技术处理协调中心。
本标准主要起草人：沈
烁、邓光青、姚健康、孔宁、舒敏、李海灵。iiiKAoNiKAca
YD/T2835-2015
随着基于IPv6的下一代互联网的不断发展，域名系统作为当前互联网的重要基础设施也将成为维护下一代互联网安全稳定的重要一环。随着DNSSEC技术在DNS根区的部署，DNSSEC越来越普及。DNSSEC在增强域名系统安全性的同时也对域名系统的各个环节提出了新的要求。与传统DNS数据包相比，DNSSEC数据包明显增大，而且DNSSEC数据包的传输协议不仅包括UDP，还包括TCP，如果DNSSEC数据包在传输过程中的某一环节（包括权威服务器、递归服务器、解析器及防火墙等）不能支持DNSSEC的包长规定及传输协议，将造成DNSSEC数据包传输失败，由此将造成DNSSEC功能失效，进而损害域名系统的安全性，并最终将严重影响下一代互联网的安全稳定运行。因此，制定DNSSEC数据包相关的安全检测技术标准显得尤为重要。
目前国内外尚无任何针对基于IPv6的下一代互联网DNSSEC数据包安全的标准。本标准的提出从技术层面上提供了基于IPv6的下一代互联网DNSSEC数据包安全检测的客观标准和执行方法。HiiKANiKAca
YD/T2835-2015
基于IPV6的下一代互联网DNSSEC数据包安全技术要求1范围
本标准规定了域名服务DNSSEC数据包的安全技术要求。本标准适用于互联网相关的域名服务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2135-2010域名系统运行总体技术要求IETFRFC4033
DNSSEC的介绍和需求
IETFRFC4034
IETFRFC4035
资源记录支持DNSSEC的协议扩展支持DNSSEC的协议修改
3术语、定义和缩略语
3.1术语和定义
YD/T2135-2010界定的以及下列术语和定义适用于本文件。3.1.1
DNS安全扩展DNSSecurityExtension（DNSSEC）一套为传统DNS系统增加源认证及数据完整性安全功能的扩展机制，具体由IETFRFC4033、RFC4034及RFC4035规定，该机制增加了4种新的资源记录，并对传统DNS系统的某些方面（例如UDP数据包的长度）进行了修改。传统DNS系统需进行协议升级才能支持DNS安全扩展，3.1.2
支持DNSSEC的权威域名服务器Security-AwareNameServer一个具有权威域名服务器功能的实体，并能够支持域名服务系统安全扩展（DNSSEC）。一个支持DNSSEC的权威域名服务器可以接受DNS查询报文，发送DNS应答报文，支持DNSSEC资源记录类型以及DNS扩展机制等。
支持DNSSEC的递归域名服务器Security-AwareRecursiveNameServer具有递归功能的支持DNSSEC的递归域名服务器，既可以充当权威域名服务器，又可以充当解析器。3.1.4
支持DNSSEC的解析器Security-AwareResolver一个具有DNS解析器功能的实体，并能够支持本标准定义的域名服务系统安全扩展（DNSSEC）。一个支持DNSSEC的解析器可以接收DNS查询报文，发送DNS应答报文，支持DNSSEC资源记录类型以及DNS扩展机制等。
iiiKAoNiKAca
YD/T2835-2015
伪资源记录OPTPseudo-RR
一种可被加入DNS请求或应答消息的扩展数据段的伪资源记录，这种伪资源记录与具体的DNS数据无关，但可用来协商某些与消息传输相关的参数。这种伪资源记录不能被缓存、转发以及添加到区文件中，而且每个DNS消息至多可包含一个伪资源记录。3.1.6
最大传输单元MaximumTransmissionUnit（MTU）一种通信协议的某一层上面所能通过的最大数据包大小（以字节为单位）。最大传输单元这个参数通常与通信接口有关（网络接口卡、串口等）。3.1.7
DNS公钥DNSPublicKey（DNSKEY）DNSKEY资源记录存储的是DNS区的公钥。DNS区使用私钥对DNS资源记录集进行数字签名，并且将公钥保存在DNSKEY资源记录中，用于稍后对数字签名的验证。3.1.8
授权签名者DelegationSigner（DS）DS资源记录存储了DNSKEY资源记录的散列值，用于建立解析服务器验证DNS应答报文时所需的信任链，它可以验证与之对应的DNSKEY资源记录。3.1.9
资源记录签名ResourceRecordSignature（RRslG）使用DNS密钥对DNS区文件中的各类资源记录进行数字签名后得到的结果，用于验证资源记录的真伪。
3.2缩略语
下列缩略语适用于本文件。
DNSSEC
4概述
Domain Name System
DNS Security
ExtensionMechanismsforDNS
Next Secure
Transport Control Protocol
UserDatagramProtocol
域名服务系统
域名服务系统安全扩展
DNS扩展机制
下一个安全记录
传输控制协议
用户数据报协议
域名系统DNSSEC的部署将对DNS报文的传输带来影响。一方面，DNSSEC部署之后，DNS报文的长度将增大并超过传统DNS报文512字节的长度上限。如果DNS系统各环节不相应地作出调整，就会导致DNS报文因超长而被截断，最终造成DNS报文不能被完整地传送给请求者。另一方面，DNSSEC部著之后，DNS报文的传输将不仅基于传统的UDP协议，还将基于TCP协议，因此，DNS系统各环节需增加对基于TCP协议传输DNS报文的支持。针对因DNSSEC部署而带来的上述问题，本标准的第S章首先概要介绍DNSSEC域名安全扩展协议，接着在第6章详细列出DNSSEC数据包所面临的传输问题，然后针对上述问题，第7章对DNS系统的各个环节，具体包括支持DNSSEC的解析器、支持DNSSEC的权威域名服务器、2
HiiKAoNiKAca
YD/T2835-2015
支持DNSSEC的递归域名服务器以及防火墙，制定相应的技术要求，以确保DNS系统能支持DNSSEC数据报文的正确传输。
5DNSSEC工作机制简介
5.1DNSSEC资源记录概述
在DNSSEC系统中，每个资源记录集都会被添加一个数字签名，且签名信息将和相应的资源记录一起发送给请求端，请求端通过验证应答报文中的签名信息即可判断接收到的信息是否安全。DNSSEC为了实现上述数字签名及其验证功能，引入了4个新的资源记录类型a）DNSKEY：用于存储验证DNS数据的公钥：b）RRSIG：用于存储DNS资源记录集的签名信息：c）NSEC：存储和对应的所有者相邻的下：+个资源记录，主要用于否定存在验证；d）DS：用于验证DNSKEY资源记录，其主要存储密钥标签，加密算法和对应的DNSKEY的摘要信息。通过引入上述4种新的资源记录，DNSSEC协议具体实现了下述三方面功能：a）为DNS数据提供来源验证，即保证数据来自正确的名称服务器。b）为数据提供完整性验证，即保证数据在传输的过程中没有任何的更改。c）否定存在验证，即对否定应答报文提供验证信息，确认授权名称服务器上不存在所查询的资源记录。5.2DNSSEC工作流程概述
下面以解析WWW.CNNIC.CN为例，简单介绍DNSSEC的基本工作流程（详见图1），具体如下a）客户端向本地递归服务器发起WWW.CNNIC.CN域名查询请求：b）本地递归服务器查询本地所缓存的域名；c）如果在本地找不到相应的资源记录，本地递归服务器则向根域名服务器发起.CN域名查询请求；d）根域名服务器返回关于.CN域的DS资源记录及其对应的RRSIG资源记录，.CN域的A资源记录及其对应的RRSIG资源记录，以及存储有.CN域密钥的DNSKEY资源记录及其对应的RRSIG资源记录；e）本地递归服务器基于根域名服务器的公钥以及.CN域的DS资源记录来检验.CN域DNSKEY资源记录的合法性，校验通过后，使用.CN域DNSKEY资源记录中的密钥验证A资源记录的完整性，同时把获得的.CN域服务器公钥保存下来；
f）本地递归服务器向.CN域权威服务器发起CNNIC.CN域名查询请求；g）.CN域权威服务器返回关于CNNIC.CN域的DS资源记录及其对应的RRSIG资源记录，CNNIC.CN域的A资源记录及其对应的RRSIG资源记录，以及存储了CNNIC.CN域密钥的DNSKEY资源记录及其对应的RRSIG资源记录：
h）本地递归服务器用.CN域的公钥以及关于CNNIC.CN域的DS资源记录来检验CNNIC.CN域DNSKEY资源记录的合法性，检验通过后，再根据CNNIC.CN域的DNSKEY资源记录来检查CNNIC.CN域的A资源记录的完整性，同时把获得的CNNIC.CN域密钥保存下来：i）本地递归服务器向CNNIC.CN域权威服务器发起WWW.CNNIC.CN域名查询请求：j）CNNIC.CN域权威服务器返回WWW.CNNIC.CN的A资源记录及其对应的RRSIG资源记录：k）本地递归服务器用CNNIC.CN域公钥校验WWW.CNNIC.CN的A资源记录的完整性，校验通过后，获得WWW.CNNIC.CN域名对应IP地址：1）本地递归服务器向客户端发回查询结果。3
HiiKAoNiKAca
YD/T2835-2015
客户端
（本地缓存
2.查询本
地缓存
1.请求解析
WWW.CNNIC.CN
12.返回
查询结果
3.发送.CN域查询请求
4.返回与.CN域相关的
DS、A及RRSIG资源记录
★/5.8.1
「校验数据
人完整性，
递归服务器
6.发送CNNIC.CN域查询请求
7.返回与CMNIC.CN域相关的
DS、A及RRSIG资源记录
9.请求WWW.CNNIC.CN的IP地址
10.返国WWW.CNNIC.CN
的A及RRSIG资源记录
图1DNSSEC域名解析流程
6DNSSEC数据包面临的传输问题
6.1问题陈述
根服务器
.CN权
威服务器
权威服务器
为防范域名劫持，缓存中毒等各类针对DNS系统的安全攻击事件，基于数字签名技术的DNS系统安全扩展协议DNSSEC被广泛部署，以确保DNS这一重要互联网基础设施运行安全。但DNSSEC的部署改变了DNS报文的长度特征，并进而带来诸多传输问题。首先是DNSSEC数据包的长度问题。传统DNS报文的长度要小于512学节，而DNSSEC数据包因为嵌入了大量数据签名信息而导致长度大于512字节，如不对传统DNS系统进行技术升级，将导致DNSSEC报文因为超长而被截断，最终造成DNSSEC数据包的传输失败。其次是DNSSEC数据包的传输协议选择问题。DNSSEC数据包长度较长，如基于UDP协议来进行传输，在链路质量欠佳时易导致反复重传，从而降低传输效率，如不升级传统DNS系统，将不仅增大DNS解析时延，还会加大DNS服务器解析压力，最终导致DNS系统性能下降并进而影响互联网应用的正常运行。6.2DNSSEC数据包的长度问题
DNSSEC通过为每一个DNS资源记录集增加公钥签名来保障DNS资源记录的安全性。这些数字签名的大小范围处于80字节800字节之间，其中大部分数字签名的长度处于80字节~200字节这个范围内。由于需要在应客报文中增加数字签名，这导致DNS应答报文的长度大幅增大。而传统DNS报文的长度一般小于512字节，这导致DNS系统中很多权威服务器、递归服务器及解析器在收到长度大于512字节的DNS报文后会将其丢弃，从而造成DNS报文传输失败。DNS服务器丢弃DNS报文的现象其至会导致DNS解析器反复发起DNS查询请求而加大DNS服务器自身的解析压力，从而影响DNS服务器自身的正常运行，甚至造成分布式拒绝服务攻击。为保持DNS系统以及依赖DNS系统的其它互联网应用的正常运行，切需要对DNS系统的各个环节进行技术规范，以应对由于DNSSEC部署而带来的DNS报文长度增大问题，最终实现DNS系统的平稳过渡。
6.3DNSSEC数据包传输协议的选择问题4
HiiKANiKAca
YD/T2835-2015
传统DNS报文的长度小于512字节，一般选用UDP作为传输协议即可。但DNSSEC部署之后，DNS报文的长度显著增大，一旦网络传输环境欠佳，如果依然采用UDP协议来传输长DNS报文，就极易导致因UDP数据包丢失而造成DNS报文反复重传。这不仅将大幅延长DNS解析时延，还会增大DNS服务器的解析压力，浪费有限的DNS服务器带宽，最终影响DNS系统的安全运行。因此，DNSSEC部署之后，应对DNS系统的各环节，具体包括DNS权威服务器、递归服务器以及解析器，进行新的技术规范，以保证DNSSEC报文能得到及时、正确的传输。6.4防火墙问题
防火墙可能存在的问题：
1）不支持以TCP协议传输DNS数据包。传统上，使用UDP协议来传输DNS请求而使用TCP协议来传送DNS区文件。但如果使用UDP协议不能成功传输DNS请求，则TCP协议将被用来传输DNS请求。在部署了DNSSEC之后，初始请求很可能会在传输路径的某个节点被阻塞。2）包长问题。防火墙可能不支持EDNSO或者虽支持EDNSO但需手动配置。7技术要求
7.1支持DNSSEC的解析器
支持DNSSEC的解析器应支持长度为1220字节的消息，建议支持长度为4000字节的消息，且应使用伪资源记录中的“发端UDP负载大小”域来宣告该解析器所希望的消息大小。支持DNSSEC的解析器的IP层应能处理分片后的IPv4以及IPv6UDP数据包。对于某些持续性的错误（如域重签名失败、时钟偏移等），解析器的反复查询不仅不能解决验证失败的问题，反而会带来大量的查询流量。为此，支持DNSSEC的解析器应在满足一定限制的前提下缓存非法签名相关数据。为避免缓存暂时性验证失败数据，支持DNSSEC的解析器只有在请求重发次数超过一个给定的阐值后才缓存该验证失败签名数据。支持DNSSEC的解析器既应支持以UDP协议又应支持以TCP协议传输DNS消息。
7.2支持DNSSEC的权威域名服务器支持DNSSEC的权威域名服务器应支持EDNSO消息长度扩展，即应支持长度为1220字节的消息，建议支持长度为4000字节的消息。IPv6数据包的分片是在源端完成的，支持DNSSEC的权威域名服务器应确保其IPv6MTU为最小值，除非链路的MTU是已知的。支持DNSSEC的权威域名服务器应既支持以UDP协议又支持以TCP协议传输DNS消息。7.3支持DNSSEC的递归域名服务器支持DNSSEC的递归域名服务器同时扮演者支持DNSSEC的解析器和支持DNSSEC的权威域名服务器两种角色。支持DNSSEC的递归域名服务器的解析器侧需满足上述7.1节所列要求：支持DNSSEC的递归域名服务器的域名服务器侧需满足上述7.2节所列要求。7.4防火墙
防火墙除应支持以UDP协议传输DNS数据包之外，还应支持以TCP协议传输DNS数据包。防护墙应支持EDNSO，即充许传输长度大于512字节的DNS数据包。n
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。