ICS 35.240 CCS L79 中 华 人 民 共 和 国 通 信 行 业 标 准YD YD/T XXXX—202X 域名系统安全扩展（DNSSEC）验证流程 技术要求 DNSSEC validation process technical requirements （报批稿） 202×-××-××发布 202×-××-××实施 中华人民共和国工业和信息化部 发布YD/T XXXX—XXXX I目 次 前 言 ............................................................................... II 1 范围 .................................................................................. 1 2 规范性引用文件 ........................................................................ 1 3 术语和定义 ............................................................................ 1 4 缩略语 ................................................................................ 2 5 DNS系统查询逻辑概述 .................................................................. 2 6 DNSSEC签名及验证原理概述 ............................................................. 5 6.1 DNSSEC签名流程概要 ............................................................... 5 6.2 DNSSEC验证流程概要 ............................................................... 5 7 DNSSEC验证面临的问题 ................................................................. 6 7.1 问题陈述 .......................................................................... 6 7.2 DNSSEC验证效率问题 ............................................................... 6 7.3 DNSSEC验证兼容性问题 ............................................................. 6 8 DNSSEC验证流程技术要求 ............................................................... 6 8.1 递归服务器无缓存情形的技术要求 .................................................... 6 8.2 递归服务器有缓存情形的技术要求 .................................................... 9 附录A（资料性） DNSSEC 实例 ........................................................... 13 YD/T XXXX—XXXX II前 言 本文件按照 GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国互联网络信息中心。 本文件主要起草人： 赵琦、冷峰、张跃冬。 YD/T XXXX—XXXX 1域名系统安全扩展（ DNSSEC ）验证流程技术要求 1　范围 本文件针对域名服务系统安全扩展（ DNSSEC ）部署实施后递归域名服务器验证 DNSSEC 签名的流 程。 本文件适用于域名服务系统中递归服务器。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文 件，仅该日期对应的版本适用于本文件； 不注日期的引用文件， 其最新版本（包括所有的修改单） 适 用于本文件。 YD/T 2140-2010 域名服务系统安全框架技术要求 3　术语和定义 下列术语和定义适用于本文件。 3.1 域名服务系统安全扩展 DNS security extension 一套为传统 DNS系统增加源认证及数据完整性安全功能的扩展机制 ，该机制增加了四种新的资源记 录并对传统 DNS系统的某些方面进行了修改，传统 DNS系统需进行协议升级才能支持 DNSSEC 。 3.2 区签名密钥 zone signing key 对权威域数据进行 DNSSEC 签名或验证的密钥对。通常，相对于密钥签名密钥，区签名密钥较短 ， 具有较短的有效期，但是具有较高的签名效率。 3.3 密钥签名密钥 key signing key 对区签名密钥对中的公钥进行数字签名或验证的密钥对 。通常，相对于区签名密钥 ，密钥签名密钥 较长，具有较长的有效期，但是签名效率较低。 3.4 DNS公钥资源记录 DNS public key resource record（DNSKEY RR） DNSKEY 资源记录存储的是权威域的公钥。权威域使用私钥对 DNS资源记录集进行数字签名，并 且将公钥保存在 DNSKEY 资源记录中，用于对数字签名的验证。 3.5 资源记录签名 resource record signature 存储 DNS资源记录集的数字签名，用于验证 DNS资源记录集的完整性及来源正确性。 3.6 授权签名者 delegation signer 存储 DNSKEY 资源记录的散列值，用于建立解析服务器验证 DNS应答报文时所需的信任链，可以 验证与之对应的 DNSKEY 资源记录。 3.7 信任锚 trust anchor 预先配置的 DNSKEY 资源记录或者 DNSKEY 资源记录的散列值。支持 DNSSEC 的解析器可以使用 DNSKEY 资源记录或者散列值作为信任链的起始点。 YD/T XXXX—XXXX 23.8 信任链 authentication chain 由DNSKEY 和DS资源记录交替组成的序列 ，DNSKEY 用于验证包含 DS的资源记录集签名 。DS包含 了另一个 DNSKEY 的散列值，如果重新计算此 DNSKEY 的散列值与 DS记录匹配，则此 DNSKEY 得到验 证。这个新的 DNSKEY 反过来又可以验证另一个 DS。如此延续，最终可验证至期望验证的 DNS资源记 录。 3.9 支持 DNSSEC 的权威域名服务器 security-aware name server 具有权威功能的、支持 DNSSEC 的权威域名服务器。 3.10 支持 DNSSEC 的递归域名服务器 security-aware recursive name server 具有递归功能的、支持 DNSSEC 的递归域名服务器。 3.11 支持 DNSSEC 的解析器 security-aware resolver 具有解析器功能的、支持 DNSSEC 的功能实体。 3.12 远程服务器错误 servfail 在查询过程中所有可能发生的错误导致递归服务器未得到正确的查询结果。 3.13 伪造记录 bogus 递归服务器配置了信任锚 ，收到资源记录和签名 ，但是未通过签名验证 ，则查询结果记录为 bogus。 可能的原因包括签名丢失，签名数据过期，签名算法不支持等。 3.14 不安全的记录 insecure 递归服务器配置了信任锚 ，收到资源记录和签名 ，但部分子域未实施 DNSSEC ，则查询结果记录为 insecure，导致无法完全验证。 3.15 安全的记录 secure 递归服务器配置了信任锚 ，建立了资源记录的信任链 ，并可完成 DNSSEC 验证，则查询结果记录为 secure。 4　缩略语 下列缩略语适用于本文件。 AD：已验证的数据（ Authenticated Data） CD：关闭 DNSSEC 检查（ Checking Disabled） DNS：域名服务系统（ Domain Name System） DNSSEC ：域名服务系统安全扩展（ DNS Security） DO：开启