在DNSSEC部署前 确保安全还需做什么

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　域名系统安全协议(DNSSEC)可以为域名系统(DNS)带来更高程度的安全性，但为什么还没有在全球范围内对域名系统安全协议(DNSSEC)进行部署呢?在这之前，你可以做什么事情以便提高域名系统(DNS)在信息传输过程中的安全性呢?
--------------------------------------------------------------------------------------------

　　在前面的文章中，我曾经对域名系统(DNS)的工作原理以及关键网络/互联网服务中存在的固有安全漏洞进行过详细的分析说明。在本文中，我们将了解域名系统安全协议(DNSSEC)是怎样为域名系统(DNS)带来更高程度安全性的，以及为什么还没有在全球范围内对域名系统安全协议(DNSSEC)进行部署呢?在这之前，你可以做什么事情以便提高域名系统(DNS)在信息传输过程中的安全性呢?

　　虽然域名系统安全协议(DNSSEC)支持个人名称解析和区域传输模式，但在本文的介绍中我将侧重于前者。

　　域名系统安全协议(DNSSEC)的概况

　　域名系统安全协议(DNSSEC)(域名系统安全协议(DNSSEC))是一整套安全规则，用来确保域名系统(DNS)内部信息的安全，并在提供权限认证功能的同时保证信息的完整。它同时使用非对称与对称式的加密模式对资源记录(RR)和区域传输模式分别进行了处理。为了确保解析器得到信息的真实性，域名系统安全协议(DNSSEC)提供了以下方面的功能(来自Wikipedia.org网站)：

　　· 域名系统(DNS)数据的原生认证

　　· 数据完整性检测

　　· 拒绝存在认证

　　通过一套新的资源记录(RR)类型设置这些功能被加入到现有的域名系统(DNS)框架中，包括了(来自nominet.org.uk网站)：

　　· 域名系统(DNS)密钥(DNSKEY)包含了位于一个安全区中用来对数据进行数字签名的公共密钥。

　　· 下一代SECure(NSEC) 显示了各区之间的间隔。它们将被使用在域名系统安全协议(DNSSEC)认为属于“拒绝存在认证”的网络地址上。

　　· 单笔资源记录(RRSIG)包含了整个区域内所有的资源记录，DNSKEY和NSEC也被包括在内。对于区域内的资源记录设置来说，单笔资源记录具有权威性存在着对应的关系。(资源记录设置，包含了所有相同名称、类型和时间的资源记录，同一个资源记录里所有的设置采用的数字签名是相同的)

　　l 指定签名(DS)的资源记录包含了关键子区域的哈希值。它们将被用来为域名系统安全协议(DNSSEC)完整保护的核心建立信任链。

　　图一显示的就是一条域名系统(DNS)主机资源记录信息以及它的数字签名。当采用域名系统安全协议(DNSSEC)的解析器收到了包含该信息的域名解析查询时，它可以利用单笔资源记录中的信息(包括关键标识和指定签名的部分)以及发送人的公钥来对签名进行验证。

图一

　　我们首先要确保的是采用域名系统安全协议(DNSSEC)的域名系统(DNS)建立了一条信任链。通过信任定位点，解析器使用“定位点钥”对域名进行验证。信任定位点是所有信任链的基础。

　　公共密钥(信任定位点)是用来验证数字签名以及相关数据的。此外，公共密钥对具有权威性的信任定位点包含信息的类型进行了限制。

　　依赖方通过对使用公钥的信任定位点包含的数字签名进行核查来判断数字签名的对象是否属于有效的范围中，并通过信任定位点所包含的数据实施相应的限制措施。(Wikipedia.org)

　　在理想的环境下，域名系统(DNS)的信任定位点来自互联网根域名服务器。然而，在这里面也存在问题。

　　域名系统安全协议(DNSSEC)面临的挑战

　　如果要对域名系统安全协议(DNSSEC)进行全球部署的话，面临来自两个方面的挑战。第一类是来自技术和安全领域的问题，包括(Wikipedia.org和互联网系统协会)：

　　· 域名系统安全协议(DNSSEC)报告中存在的问题是NSEC的资源记录信息没有签名区域。它容许对区域中的内容进行查看和搜索。不过在新一代的NSEC3中这一问题有望获得解决。

　　· 怎样才能对信任定位点的过渡实行有效处理的方法还没有确定。

　　· 早期版本的域名系统安全协议(DNSSEC)存在缺陷。这会影响到大家部署域名系统安全协议(DNSSEC)的信心，也会带来对可能出现更糟糕问题的疑虑。

　　· 域名系统安全协议(DNSSEC)将会导致域名系统(DNS)请求的增加和响应数的扩大。硬件设备和带宽将不得不进行相应的升级和扩容。

　　· 域名系统安全协议(DNSSEC)比标准域名系统(DNS)对时间更为敏感。因此，系统时钟必须相当准确。

　　尽管这五个方面的问题都属于很重要，但和第二类在政治姿态和不信任度方面面临的挑战相比，就是小儿科了。它包括了：

　　· 美国政府希望控制根域名服务器信任定位点的密钥。而其他国家对于美国对互联网的过分控制是相当关注的。对于很多国家来说，互联网由任何一个国家集中控制都是不可能被接受的。

　　· 目前尚不清楚互联网域名与地址管理机构对.ca之类由各国自行管理的顶级国家域名将采取什么样的处理办法。

　　· 一些国家的政府厌恶加密措施。它们是否会试图禁止域名系统安全协议(DNSSEC)支持加密密钥分配?

　　某些安全和互联网领域的专业人士利用这些面临的挑战作为理由，拒绝域名系统安全协议(DNSSEC)的部署。这一假设的前提是，它不能被全球接受。但是，全球接受对于让域名系统(DNS)变得更可靠来说不是必须的前提。

　　隔离的信任

　　即使没有开始在全球范围内实施，域名系统安全协议(DNSSEC)也可以通过逐步实施改善域名系统(DNS)传输信息的安全性。如图二所示。

图二

　　代替了来自根域名服务器的信任定位点，这是采用了域名系统安全协议(DNSSEC)的英国域名系统(DNS)。它可以被当作是受到某种限制的公司内部网域与子网域来看看待。在其它级别的域名系统(DNS)采用域名系统安全协议(DNSSEC)之前，这些岛屿之间可以通过交换密钥轻松地建立如图三所示的信任关系。

图三

　　请注意，在这个例子中，.com顶级域名没有提供一个信任关系的根源。但是，这不能阻止.com域下所有的域之间建立信任定位点。

　　结论

　　对于域名系统(DNS)来说域名系统安全协议(DNSSEC)并不是灵丹妙药，它也不能对数据进行加密。它只能对资源记录进行标注。然而，它可以帮助域名系统(DNS)在信息传输过程中实现公平和真实。克服面临的挑战，让全球都接受可能需要几年的时间。但是，一些国家顶级域名已经开始支持域名系统安全协议(DNSSEC)，让国家区域内的信任成为了可能。这些渐进的步骤将有助于让域名系统(DNS)和互联网更安全。他们不应该被忽视。