ICS 35.100.70 CCS L79 中 华 人 民 共 和 国 通 信 行 业 标 准YD YD/T XXXX—202X 域名解析系统安全扩展协议总体运行技术 要求框架 The overall of technical specifications for operations of DNS security extensions （报批稿） 202×-××-××发布 202×-××-××实施 中华人民共和国工业和信息化部 发布YD/T XXXX—XXXX I目 次 前 言 ............................................................................... II 1 范围 .................................................................................. 1 2 规范性引用文件 ........................................................................ 1 3 术语和定义 ............................................................................ 1 4 缩略语 ................................................................................ 2 5 概述 .................................................................................. 2 5.1 顶级域名权威解析系统 .............................................................. 2 5.2 二级及以下权威域名解析系统 ........................................................ 2 5.3 递归域名解析系统 .................................................................. 2 5.4 域名安全扩展协议服务体系 .......................................................... 2 6 域名解析系统安全扩展协议总体运行技术要求 .............................................. 4 YD/T XXXX—XXXX II前 言 本文件是“域名系统安全扩展协议运行技术规范体系 ”系列标准之一 。该系列标准的结构和名称如下 ： a) 《域名解析系统安全扩展协议总体运行技术要求框架》 b) 《顶级域名解析系统安全扩展协议运行技术要求》 c) 《权威域名解析系统安全扩展协议运行技术要求》 d) 《递归域名服务系统安全扩展协议运行技术要求》 本文件按照 GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国互联网络信息中心。 本文件主要起草人： 张跃冬、曾宇、冷峰、徐艳飞、赵琦。 YD/T XXXX—XXXX 1域名解析系统安全扩展协议总体运行技术要求框架 1　范围 本文件定义了域名解析系统部署实施域名安全扩展协议中使用的基本概念 、术语，以及工作原理等 ， 规定了域名解析系统部署实施域名安全扩展协议的总体运行技术要求。 本文件适用于域名解析系统部署实施域名安全扩展性协议。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 YD/T 2135-2010 域名系统运行总体技术要求 YD/T 2136-2010 域名系统授权体系技术要求 YD/T XXXX-XXXX 顶级域名解析系统安全扩展协议运行技术要求 YD/T XXXX-XXXX 权威域名解析系统安全扩展协议运行技术要求 YD/T XXXX-XXXX 递归域名服务系统安全扩展协议运行技术要求 3　术语和定义 YD/T 2135-2010 、YD/T 2136-2010 界定的术语和定义适用于本文件。 3.1 区签名密钥 zone signing key，ZSK 域名解析系统部署实施 DNSSEC 协议过程中 ，采用非对称加密算法生成的密钥 ，用来对区文件中的 资源记录集进行数字签名。 3.2 密钥签名密钥 key signing key，KSK 域名解析系统部署实施 DNSSEC 协议过程中 ，采用非对称加密算法生成的密钥 ，用来对区文件中的 DNSKEY 资源记录集进行数字签名。 3.3 域名密钥记录集 domain name system key，DNSKEY 存储在权威域名服务器维护的区中的 DNSKEY 记录，由ZSK和KSK两种密钥的公钥部分组成 ，用于 DNS数据的验证。 3.4 信任锚 trust anchor 配置在解析器或递归域名服务器上的 KSK公钥部分或信任源的 KSK公钥部分 。默认情况下 ，信任锚 特指域名体系中根区的 KSK公钥部分。 3.5 授权签名者 delegation signer，DS 授权签名记录中存储了 DNSKEY 的散列值、密钥标签、加密算法等信息，是通过对 KSK公钥做哈 希算法生成的字符串，用于构建一个父子域名系统之间的 DNSSEC 信任链。 3.6 信任链 trust chain 域名体系中 ，子域通过向父域提交授权签名记录而建立的一种委托信任机制 ，实现公钥的分发与认 证，使得父域可以对子域的公钥进行认证，保护解析请求者本地 DNS获得正确的公钥。 YD/T XXXX—XXXX 23.7 签名记录 resource record signature ，RRSIG 用于存储利用私钥对资源记录集进行数字签名所产生的资源记录。 4　缩略语 下列缩略语适用于本文件。 DLV：域名系统安全旁路认证（ DNSSEC Lookaside Validation ） DNS：域名系统（ Domain Name System） DNSSEC ：域名系统安全扩展（ DNS Security Extension ） EDNS：域名系统扩展机制（ Extension Mechanisms for DNS） NTP：网络时间协议（ Network Time Protocol） RRSIG：资源记录签名（ Resource Record Signer） TCP：传输控制协议（ Transmission Control Protocol） TTL：生存时间（ Time to Live） UDP：用户数据报协议（ User Datagram Protocol） 5　概述 本文件中的域名解析系统包括域名权威解析系统和域名递归解析系统 。其中，域名权威解析系统又 包括根域名解析系统、顶级域名权威解析系统、二级及以下权威域名解析系统。 5.1　顶级域名权威解析系统 顶级域名权威解析系统主要是由通过加载并运行维护了某个或多个顶级域名对应的区的权威服务 器组成，其保存和维护着所拥有权威的区的原始域名资源记录信息 。顶级域名权威解析系统主要是面向 递归域名服务器提供 DNS权威应答服务。 5.2　二级及以下权威域名解析系统 二级及以下权威域名解析系统主要由通过加载并运行维护了某个或多个二级及以下域名对应的区 的权威服务器组成 ，其保存和维护着所拥有权威的区的原始域名资源记录信息 。二级及以下权威域名解 析系统主要是面向递归域名服务器提供 DNS权威应答服务。 5.3　递归域名解析系统 递归域名解析系统主要是由一台或多台递归域名服务器组成。递归域名服务器接受用户端发送的 DNS查询请求，然后依次通过向各级权威域名解析系统发出查询请求，在获得用户需要的查询结果后 ， 将结果返回给用户端的解析器。 为提高域名查询效率 ，递归域名服务器将权威域名服务器返回的各种资源记录进行缓存 ，从而减少 重复查询的次数，缩短查询时延。 本标准规定仅分别针对顶级域名权威解析系统 、二级及以下权威域名解析系统 ，以及递归域名解析 系统部署实施 DNSSEC 协议定义相应运行技术要求。 5.4　域名安全扩展协议服务体系 5.4.1　域名安全扩展协议 DNSSEC 协议是一个针对 DNS协议的安全扩展 ，它通过给 DNS的应答消息添加基于非对称加密算法 的数字签名来保证数据未经篡改且来源正确 ，再通过域名体