ICS 35.100.70 CCS L79 中 华 人 民 共 和 国 通 信 行 业 标 准YD YD/T XXXX—202X 权威域名解析系统安全扩展协议运行技术 要求 The technical specifications of domain name system security extensions for authoritative server （报批稿） 202×-××-××发布 202×-××-××实施 中华人民共和国工业和信息化部 发布YD/T XXXX—XXXX I目 次 前 言 ............................................................................... II 1 范围 .................................................................................. 1 2 规范性引用文件 ........................................................................ 1 3 术语和定义 ............................................................................ 1 4 缩略语 ................................................................................ 1 5 权威域名解析系统部署实施域名安全扩展协议技术要求 ...................................... 2 5.1 协议支持和密码算法要求 ............................................................ 2 5.2 实施域名安全扩展协议技术要求 ...................................................... 3 YD/T XXXX—XXXX II前 言 本文件是 “域名系统安全扩展协议运行技术规范体系 ”系列标准之一。该系列标准的结构和名称如下 ： a) 《域名解析系统安全扩展协议总体运行技术要求框架》 b) 《顶级域名解析系统安全扩展协议运行技术要求》 c) 《权威域名解析系统安全扩展协议运行技术要求》 d) 《递归域名服务系统安全扩展协议运行技术要求》 本文件按照 GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国互联网络信息中心。 本文件主要起草人： 赵琦、张跃冬、曾宇、徐艳飞、冷峰。 YD/T XXXX—XXXX 1权威域名解析系统安全扩展协议运行技术要求 1　范围 本文件定义了权威域名解析系统部署实施域名安全扩展协议的技术要求和相关的运行管理要求。 本文件适用于权威域名解析系统部署实施域名安全扩展协议。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 YD/T 2135-2010 域名系统运行总体技术要求 YD/T 2138-2010 域名系统权威服务器运行技术要求 YD/T XXXX-XXXX 域名解析系统安全扩展协议总体运行技术要求框架 IETF RFC 1034 域名系统 ——概念和基础设施（ Domain names - concepts and facilities） IETF RFC 1035 域 名 系 统 的 实 现 和 详 述 （ Domain names - implementation and specification ） IETF RFC 4033 DNSSEC 的介绍和需求（ DNS Security Introduction and Requirements ） IETF RFC 4034 资源记录支持 DNSSEC 的扩展（ Resource Records for the DNS Security Extensions ） IETF RFC 4035 支持 DNSSEC 的协议修改（ Protocol Modifications for the DNS Security Extensions ） IETF RFC 4431 DNSSEC 中的 DLV记录（ The DNSSEC Lookaside Validation (DLV) DNS Resource Record） IETF RFC 5074 域名安全旁路认证（ DNSSEC Lookaside Validation (DLV)） IETF RFC 5155 DNSSEC 散列的否定存在身份验证（ DNS Security (DNSSEC) Hashed Authenticated Denial of Existence ） 3　术语和定义 YD/T 2135-2010 和YD/T XXXX-201X 《域名解析系统安全扩展协议总体运行技术要求》界定的以 及下列术语和定义适用于本文件。 3.1 权威域名管理机构 authoritative domain name authority 承担二级或以下级别域名系统的运行、维护和管理工作的机构。 4　缩略语 下列缩略语适用于本文件。 DLV：域名系统安全旁路认证（ DNSSEC Lookaside Validation ） DNS：域名系统（ Domain Name System） DNSSEC ：域名系统安全扩展（ DNS Security Extension ） DS：授权签名者（ Delegation Signer） DSA：数字签名算法（ Digital Signature Algorithm ） EDNS：域名系统扩展机制（ Extension Mechanisms for DNS） KSK：密钥签署密钥（ Key Signing Key） YD/T XXXX—XXXX 2MD5：信息 -摘要算法 5（Message-Digest Algorithm 5） NTP：网络时间协议（ Network Time Protocol） RRSIG：资源记录签名（ Resource Record Signer） SHA：安全哈希算法（ Secure Hash Algorithm ） TCP：传输控制协议（ Transmission Control Protocol） TTL：生存时间（ Time to Live） UDP：用户数据报协议（ User Datagram Protocol） ZSK：区域签署密钥（ Zone Signing Key） 5　权威域名解析系统部署实施域名安全扩展协议技术要求 5.1　协议支持和密码算法要求 5.1.1　协议支持 在协议支持方面 ，本文件中的权威域名解析系统除应符合 YD/T 2138-2010 《域名系统权威服务器运 行技术要求》的规定外，还应支持表 1所列协议。 表1　递归域名服务器接口协议要求 协议名称 标准文档 DNS协议 IETF RFC 1034、IETF RFC 1035 EDNS协议 IETF RFC 2761 DNSSEC 协议 IETF RFC 4033、IETF RFC 4034、IETF RFC 4035 DLV协议 IETF RFC 4431、IETF RFC 5074 NSEC3协议 IETF RFC 5155 5.1.2　密码算法 权威域名解析系统在实施 DNSSEC 协议时，需使用专用密钥对区数据进行签名 ，签名使用的密钥由 相应的密码算法生成 。为确保权威服务器 DNSSEC 协议部署工作的正常 ，至少应支持表 2中的密码算法 ： 表2　密码算法 算法名称 算法文档 RSA IETF RFC 3110、IETF RFC 2537 RSAMD5 IETF RFC 1321 DSA IETF RFC 2536、IETF RFC 6605 RSASHA1 IETF RFC 2841、IETF RFC 3174、IETF RFC 3110 NSEC3RSASHA1 IETF RFC 5155、IETF RFC 7129 NSEC3DSA IETF RFC 5155、IETF RFC 7129 RSA