【YD通讯标准】 域名服务安全框架技术要求

ICS 35.100.70
中华人民共和国通信行业标准
YD/T 2140-2010
域名服务安全框架技术要求
Technical specifications of DNS security framework2010-12-29 发布
2011-01-01实施
中华人民共和国工业和信息化部发布前言-
1范围-
2规范性引用文件·
3术语、定义和缩略语·
3.1术语和定义
3.2缠略语
4域名系统面临的土要安全威胁及其解决方案5DNS权威服务器事务签名（TSIG）的实施规范5.1协议要求
5.2实施规范，
6DNS权威服务器的DNSSEC实施规范6.1协议要求.
6.2实施规范·
了DLV服务器的实施规范·
7.1协议要求·
7.2实施规范
8DNS递归服务器的DNSSEC实施规范·8.1协议要求
8.2实施规范
HTYKANIKa-
YD/T 2140-2010
YD/T 2140-2010
本标准是“域名系统运行技术规范体系”系列标雅之一，该系列标准的结构和名称预计如下：“域名系统运行总体技术要求》1）
《域名系统权威服务器运行技术要求》2）
《城名系统递归服务器运行技术要求》《域名服务安全框架技术要求》4）
《Pv6网络域名服务技术要求》
《域名系统授权体系技术要求》6)
《公共域名解析系统安全标准》7
《域名系统安全防护技术要求》《域名系统安全防护检测要求》9)
本标准由中国通信标推化协会提出并归口。本标准起草单位：中国互联网络信息中心、北龙中网（北京）科技有限责任公司。本标准士要起草人：金键、毛伟、李晓东、张跃冬、十、伟、卢文哲。Ⅱ
1范围
域名服务安全框架技术要求
YD/T 2140-2010
本标准针对域名系统在协议实施方面面临的主要安全威胁，制定此域名服务安全框架技术要求，具体包含DNS权威服务器事务签名（TSIG）的实施规范、DNS权威服务器和DNS递归服务器的DNSSEC实施规范以及DLV的实施规范。
本标准适用于构建或者运营权威及递归域名服务系统的国内各级单位2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仪注日期的版本适用于本文件。凡是不注白期的引用文件，其最新版本（包括所有的修改单）适用于本标推。YD/T2052-2009域名系统安全防护技术要求YD/T2137-2010域名系统递归服务器运行技术要求YD/T2138-2010域名系统权威服务器运行技术要求IETF RFC 1305
IETF RFC2845
IETF RFC 4033
IETF RFC 4034
IETFRFC4035
IETF RFC 4431
IETF RFC 5074
网络时间协议
TSIG协议
DNSSEC的介绍和需求
资源记录支持DNSSEC的扩展
支持DNSSEC的协议修改
DNSSEC中的DLV记录
域名安全旁路认证
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适合于本文件。3.1.1
区签名密销zonesigningkey
对区文件进行DNSSEC签名或认证所使用的密钥对。通常，相对于KSK，ZSK比较短，具有较短的有效期，但是具有较高的签名效率。3.1.2
密钥签名密钥key signingkey
对权威域所有密钥对的公钥（DNSKEY资源记录集）进行DNSSEC签名或认证所使用的密钥对。通常，相对于ZSK，KSK比较长，具有较长的生存期，但签名效率较低。权威域只裙要向上级权威域注册KSK生成的DS记录。
HTYKANIKa-
YD/T 2140-2010
信任锚trust anchor
在进行DNSSEC认证过程中，递归服务器可以直接信任的某一权威域。3,2缩略语
下列缩略语适用于本文件。
DNSSEC
DNSSEC Laokaside Validation
Domain Name System
DNS Security Extension
Key Signing Key
Network Time Protocol
Tranisaction Signature
Zone Signing Key
4域名系统面临的主要安全减胁及其解决方案域名系统安全旁路认证此内容来自标准下载网
域名系统
域名系统安全扩展
密钥签名密钥
网络时间协议
事务签名
区签名密销
H前，域名系统在协议实施方面面临的安全威胁主要表现为数据完整性及可靠性，进一步划分的话，这种数据完整性及可靠性威胁又表现在两个环节：1）DNS权威服务器的主服务器和辅服务器之问的数据更新过程中的数据完整性及可靠性保证；2）DNS递归服务器在执行递归查询过程中，从权威服务器获取的查询结果的数据完整性及可靠性保证。
针对以上两个环节的威胁，本域名服务安全框架技术要求在域名系统协议框架方面有两项扩展：通过TSIG来保证权威服务器之间的数据更新完整性及可靠性；通过DNSSEC来保证递归服务器从权威服务器获取数据的完整性及可靠性。5DNS权威服务器事务签名（TSIG）的实施规范5.1协设要求
权威服务器在实施TSIG过程中，应符合正ETF相关标准，除了YD/T2138-2010《域名系统权威服务器运行技术要求》中所规定的协议之外，还要符合TSIG相关协议标准，具体见表1。表1域名服务系统接口协议要求
协议名称
TSIG协议
IETF RFC2845
标准文档
此外，为了保证TSIG的正确工作，实施TSIG的域名服务器设备必须配置时间服务器，通过网络时间协议（NTP，IEIFRFC1305）进行时间同步。5.2实施规范
13TSIG密销算法规范：
考患到效率、普及性、专利权等方面的因素，推荐使用hmac-md5算法。2）TSIG密钥长度规范：
TSIG密钥长度应不低于128bit。3）TSIG密钥生成及管理规范；
TSIG密钥应定期更新，有效期不长于12个月。2
6DNS权威服务器的DNSSEC实施规范6.1协设要求
YD/T 2140-2010
权威服务器在实施DNSSEC过程中，必须符合IETF相关标准，除了YD/T2138-2010《域名系统权威服务器运行技术要求》中所规定的协议之外，还包括：1）支持DNS安全协议扩展（DNSSEC），并能进行签名认证：2）支持DNSSEC旁路认证（DLV）；具体的协议见表2。
表2域名服务系统接口协议要求
协议名称
DNSSEC协设
6.2实施规范
标滩文档
IETF RFC4033、IEIF RFC4034、1EIF RFC4035IETF RFC443I、IETF RFC5074
1）DNSSEC密钥生成管理规范：
所有密钳都必须在一台单独且离线的密钥生成服务器上生成，该服务器应位于一间具有门禁系统的安全服务器机房。该房间的门禁严格受控，并且记录进出。密钥生成所需的随机数以及密钥生成运算均由密钥生成服务器所连接的硬件加密机完成。权威域的管理者应采用区签名密钥（ZSK）和密钊签名密钥（KSK）分离的管理策略。KSK生成后，需要储存在硬件加密机卡中，其私钥无法被取山。KSK的私钊部分用于对DNSKEY资源记录集的签名操作直接在硬件加密机/卡内完成，以保证KSK的私钥部分无法被直接读出。2）DNSSEC密钊算法规范；
考虑到效率、普及性、专利权等方面的因素，推荐使用RSA/SHA-256算法3）DNSSEC密钙长度规范：
ZSK长度不小于1024bit，KSK长度不小于2048bit。4）资源记录签名（RRSIG）有效期：资源记录签名的有效期应控制在20~60天的时间段内，新旧签名的重叠期控制在10~20犬。5）密钥更新周期：
KSK的有效期为[2~24个月，新旧密钥重登期控制在1~2个月；ZSK有效期为1~3个月，新旧密钥重叠期控制在5~10天。
若密钥发生泄露，应立即进行紧急更新，已泄露密钥按照重叠期规范进行保留。6）DS （Delegation Signer）记录授权;二级域以下的各级权威服务器，应向其父域提交DS记录，以实现DNSSEC信任授权，7）DNSSEC信任链实施规范；
二级域以下的各级权威服务器，通过其父域的信任授权来构建信任链；中国自行管理的顶级域（.CN、中国等）向我国白己的DLV服务器提交DLV记录来构建信任链。8）其他方面的协议配置规范：
实施DNSSEC的权威和递归服务器，应支持EDNSO扩展，并支持TCP53端口的查询请求。3
HTYKANIKa-
YD/T 2140-2010
7DLV服务器的实施规范
7.1协设要求
DLV服务器是一种特殊的实施了DNSSEC的权威服务器，运行的协议要求与实施DNSSEC的权威服务器相同，具体可参见6.1。
7.2实施规范
DLV服务器以下几个方面的规范引用6.2中权威服务器相关实施规范：I）DNSSEC密钥生成管理规范：
2）DNSSEC密钥算法规范；
3）DNSSEC密钊长度规范；
4）资源记录签名（RRSIG）有效期；5）密钥更新周期；
6）其他方面的协议配置规范：
7）DNSSEC信在链实施规范。
DLV服务器实施中需要额外定义的规范包括：1)DLV（DNSSECLookaside Validation）记录授权：我国自行管理的各项级域，应向我国的DLV服务器提交DLV记录，以实现DNSSEC信在授权。2）其他顶级域信任：
我国负贵管理的DLV服务器，需要为所有已实施DNSSEC的顶级域实现DNSSEC信任授权，并保证信任授权信息的及时更新。
3）服务器建设：
为保证国内域名系统DNSSEC的顺利实施，在DLV服务器建设上应保证唯一性，服务器建设方应通过设置多点镜像等方法来保证唯一服务器的100%可用性。8DNS递归服务器的DNSSEC实施规范8.1协议要求
递归服务器在实施DNSSEC过程中，必须符合IETF相关标准，除了YD/T2137-20[0《域名系统递归服务器运行技术要求》中所规定的协议之外，还包括：I）支持DNS安全协议扩展（DNSSEC），并能进行签名认证：2）支持DNSSEC旁路认证（DLV）：具体的协议见表3。
表3域名服务系统接口协议要求
协议名称
DNSSEC协议
8.2实施规范
1）服务器基本配置规范：
标准文档
IETF RFC 4033. IETF RFC 4034. IETF RPC 4035IETF RFC 4431、 IETF RFC 5074斐持DNSSEC的递归域名服务器，在支持表3协议的基础上，设置DNSSEC验证功能，支持6.2所列算法。
2）DNS递虹服务器的DNSSEC信任锚配置实施规范YD/T2140-2010
中华人民共和国境内的递归域名服务器，应配置中国国家DNSSEC信任源为信任锚点，配置并及时更新该信任锚点的公钥（KSK）。3）其他方面的协议配置规范：
实施DNSSFC的权威服务器，应支持EDNSO协议扩展，并支持TCP53端口的查询请求。YKANiKa
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。