ICS 35.100.70 CCS L79 中 华 人 民 共 和 国 通 信 行 业 标 准YD YD/T XXXX—202X 递归域名服务系统安全扩展协议运行技术 要求 Technical specifications of domain name system security extensions for recursive server （报批稿） 202×-××-××发布 202×-××-××实施 中华人民共和国工业和信息化部 发布YD/T XXXX—XXXX I目 次 前 言 ............................................................................... II 1 范围 .................................................................................. 1 2 规范性引用文件 ........................................................................ 1 3 术语和定义 ............................................................................ 1 4 缩略语 ................................................................................ 1 5 递归域名服务系统部署实施域名安全扩展协议技术要求 ...................................... 2 5.1 协议要求 .......................................................................... 2 5.2 加密算法要求 ...................................................................... 2 5.3 功能要求 .......................................................................... 3 5.4 性能要求 .......................................................................... 3 6 递归域名服务系统部署实施域名安全扩展协议运行管理要求 .................................. 3 6.1 解析正确性监测 .................................................................... 3 6.2 密钥更新监测 ...................................................................... 3 YD/T XXXX—XXXX II前 言 本文件是 “域名系统安全扩展协议运行技术规范体系 ”系列标准之一。该系列标准的结构和名称如下 ： a) 《域名解析系统安全扩展协议总体运行技术要求框架》 b) 《顶级域名解析系统安全扩展协议运行技术要求》 c) 《权威域名解析系统安全扩展协议运行技术要求》 d) 《递归域名服务系统安全扩展协议运行技术要求》 本文件按照 GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国互联网络信息中心。 本文件主要起草人： 赵琦、冷峰、张跃冬、曾宇、徐艳飞。 YD/T XXXX—XXXX 1递归域名服务系统安全扩展协议运行技术要求 1　范围 本文件规定了递归域名服务系统在实施支持域名安全扩展协议时的技术要求以及递归域名服务器 运行管理的要求。 本文件适用于递归域名服务系统部署实施域名安全扩展协议。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 YD/T 2135-2010 域名系统运行总体技术要求 YD/T 2137-2010 域名系统递归服务器运行技术要求 YD/T XXXX-XXXX 域名解析系统安全扩展协议总体运行技术要求框架 IETF RFC 1034 域名系统 ——概念和基础设施（ Domain names - concepts and facilities） IETF RFC 1035 域名系统的实现和详述（ Domain names - implementation and specification ） IETF RFC 403 DNSSEC 的介绍和需求（ DNS Security Introduction and Requirements ） IETF RFC 4034 资源记录支持 DNSSEC 的扩展（ Resource Records for the DNS Security Extensions ） IETF RFC 4035 支持 DNSSEC 的协议修改（ Protocol Modifications for the DNS Security Extensions ） IETF RFC 4431 DNSSEC 中的 DLV记录（ The DNSSEC Lookaside Validation (DLV) DNS Resource Record） IETF RFC 4641 DNSSEC 部署实践（ DNSSEC Operational Practices） IETF RFC 5074 域名安全旁路认证（ DNSSEC Lookaside Validation (DLV)） IETF RFC 5155 DNSSEC 散列的否定存在身份验证（ DNS Security (DNSSEC) Hashed Authenticated Denial of Existence ） 3　术语和定义 YD/T 2137-2010 、YD/T 2135-2010 和YD/T XXXX-XXXX 《域名解析系统安全扩展协议总体运行技 术要求框架》界定的术语和定义适用于本文件。 4　缩略语 下列缩略语适用于本文件。 DLV：域名系统安全旁路认证（ DNSSEC Lookaside Validation ） DNS：域名系统（ Domain Name System） DNSSEC ：域名系统安全扩展（ DNS Security Extension ） DS：授权签名者（ Delegation Signer） DSA：数字签名算法（ Digital Signature Algorithm ） EDNS：域名系统扩展机制（ Extension Mechanisms for DNS） KSK：密钥签署密钥（ Key Signing Key） MD5：信息 -摘要算法 5（Message-Digest Algorithm 5） NTP：网络时间协议（ Network Time Protocol） YD/T XXXX—XXXX 2RRSIG：资源记录签名（ Resource Record Signer） SHA：安全哈希算法（ Secure Hash Algorithm ） TCP：传输控制协议（ Transmission Control Protocol） TTL：生存时间（ Time to Live） UDP：用户数据报协议（ User Datagram Protocol） ZSK：区域签署密钥（ Zone Signing Key） 5　递归域名服务系统部署实施域名安全扩展协议技术要求 5.1　协议要求 在协议支持方面 ，递归域名服务器除符合 YD/T 2137-2010 《域名系统递归服务器运行技术要求 》的 规定外，还应支持表 1列出的协议。 表1　递归域名服务器接口协议要求 协议名称 标准文档 DNS协议 IETF RFC 1034、IETF RFC 1035 EDNS协议 IETF RFC 2761 DNSSEC 协议 IETF RFC 4033、IETF RFC 4034、IETF RFC 4035 DLV协议 IETF RFC 4431、IETF RFC 5074 5.2　加密算法要求 递归域名服务器在开启 DNSSEC 验证的功能下，需要对查询的 DNS数