BR102012010250A2 - Assinatura de linha de entrada de dussec - Google Patents

Assinatura de linha de entrada de dussec Download PDF

Info

Publication number
BR102012010250A2
BR102012010250A2 BR102012010250-1A BR102012010250A BR102012010250A2 BR 102012010250 A2 BR102012010250 A2 BR 102012010250A2 BR 102012010250 A BR102012010250 A BR 102012010250A BR 102012010250 A2 BR102012010250 A2 BR 102012010250A2
Authority
BR
Brazil
Prior art keywords
dnssec
domain
dns
command
registration
Prior art date
Application number
BR102012010250-1A
Other languages
English (en)
Inventor
David Smith
James Gould
Tarik Essawi
Srikanth Veeramachani
David Blacka
Original Assignee
Verisign Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Verisign Inc filed Critical Verisign Inc
Publication of BR102012010250A2 publication Critical patent/BR102012010250A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

ASSINATURA DE LINHA DE ENTRADA DE DNSSEC Sistemas e métodos de realização de uma assinatura de DNSSEC em incrementos em uma escada rolante são descritos, nos quais as operações de assinatura digital podem ser realizadas como parte de uma transação única incluindo operações de adicionar, atualizar e/ou apagar DNS e similares. Os métodos de exemplo podem incluir o recebimento de um comando de domínio a partir de um requisitante, o comando de domínio incluindo um identificador do domínio. O comando de domínio recebido pode ser executado com respeito aos dados armazenados pela entidade de registro para o domínio. Como parte de uma transação individual incluindo a execução do comando de domínio, a entidade de registro também pode assinar itens de registro de DNSSEC para o domínio usando uma chave privada de um servidor de autoridade. Após os itens de registro de DNSSEC terem sido assinados, a entidade de registro pode publicar em incrementos os itens de registro de DNSSEC assinados para um servidor em separado. Os métodos de exemplo também podem incluir operações "laterais" nas quais, por exemplo, as operações de adicionar, atualizar e/ou apagar podem ser executadas nos dados armazenados em um banco de dados de entidade de registro e reportados para um requisitante, antes da aplicação de assinaturas digitais aos dados de DNSSEC. Após reportar que as instruções foram executadas, a entidade de registro pode gerar uma assinatura digital com base nas mudanças de adicionar, atualizar e/ou apagar, e conferir confiança à assinatura digital para um banco de dados de resolução de entidade de registro.

Description

ASSINATURA DE LINHA DE ENTRADA DE DNSSEC
ANTECEDENTES DA INVENÇÃO O sistema de nome de domínio (DNS) é a parte da infraestrutura de Internet que traduz nomes de domínio legíveis por seres humanos nos números de Protocolo de Internet (IP) necessários para o estabelecimento de comunicações de TCP/IP pela Internet. Isto é, o DNS permite que os usuários se refiram aos sítios da web e outros recursos usando nomes de domínio mais fáceis de lembrar, tais como www. en. example. com ao invés dos endereços de IP numéricos, tal como "123.4.56.78", os quais são endereços legíveis por máquina usados para comunicação com computadores na Internet. Cada nome de domínio é constituído por uma série de strings de caracteres (rótulos) separados por pontos. O rótulo mais à direita em um nome de domínio é conhecido como o "domínio de nível de topo" (TLD). Os exemplos de TLDs bem conhecidos são ".com", ".net", ".org", etc. Cada TLD suporta domínios de segundo nível, listados imediatamente à esquerda do TLD, por exemplo, "example" em www.example.com. Cada domínio de segundo nível pode suportar vários domínios de terceiro nível imediatamente à esquerda do domínio de segundo nível, por exemplo, "en" em www.en.example.com. Pode haver domínios de nível adicional da mesma forma. Por exemplo, um domínio com níveis de domínio adicionais poderia ser www.Iandscape.photos.example.com.
Deve ser notado que um endereço de IP único, por exemplo, um atribuído a um servidor único, pode suportar numerosos nomes de domínio. Isto é, diferentes nomes de
3 0 domínio podem ser resolvidos para o mesmo servidor, que então pode determinar que conteúdo prover com base no nome de domínio requisitado e/ou em uma informação não de domínio adicional. Isto é referido, às vezes, como uma hospedagem virtual.
Uma informação não de domínio adicional pode ser
incluída em uma estrutura de identificador de recurso uniforme ("URI") que inclui o nome de domínio. Por exemplo, uma parte de "caminho" é uma seqüência de segmentos separados por uma barra à direita ("/"). Esta informação 10 pode ser incluída imediatamente à direita do nome de domínio, tal como "blog" em www.example.com/blog/today.htm, e pode ser usada por um servidor ou outro dispositivo de recebimento para a identificação e a entrega de um conteúdo específico ou a rodada de um código em particular. Outros 15 exemplos de informação não de domínio podem incluir consultas e fragmentos, cujas especificidades são entendidas por aqueles de conhecimento comum na técnica e não são discutidos em detalhes aqui. Combinações desta informação podem ser incluídas em hiperlinks de página da
2 0 web que fazem um usuário navegar para uma outra seção da
mesma página ou para uma outra página da web.
Assim, conforme pode ser visto nos vários exemplos providos acima, e conforme apreciado por aqueles de conhecimento na técnica, um domínio, tal como um domínio de 25 segundo nível "example.com", pode conter uma variedade de informação acessível pela internet diferente com diferentes endereços e outros meios de identificação.
0 registro real de nomes de domínio é realizado por companhias referidas como distribuidores de reserva de
3 0 registro de nome de domínio ("distribuidores de reserva de registro"). Os distribuidores de reserva de registro registram nomes de domínio junto a entidades de registro. Por exemplo, um usuário final submete a um distribuidor de reserva de registro um nome de domínio para registro e provê um endereço de IP para o qual o nome de domínio deve ser resolvido. 0 distribuidor de reserva de registro se comunica com a entidade de registro para criar um item de registro de banco de dados de registro que pode ser usado para a resolução do nome de domínio para o endereço de IP provido pelo usuário final e indica a identidade do distribuidor de reserva de registro através do qual o nome de domínio foi registrado. Exceto pela expiração do registo de nome de domínio na entidade de registro, tipicamente, apenas o distribuidor de reserva de registro designado no item de registro de nome de domínio pode modificar ou apagar uma informação de banco de dados de entidade de registro sobre um nome de domínio. Um usuário final pode comutar distribuidores de reserva de registro ao seguir certos procedimentos de transferência de domínio. Os distribuidores de reserva de registro também podem atuar como um provedor de hospedagem, ou o usuário final pode ter o domínio hospedado por um sistema de hospedagem de domínio de terceiros em separado.
Um arquivo de zona é um arquivo de texto que descreve uma porção do DNS denominada uma zona de DNS. Um arquivo de zona é organizado na forma de itens de registro de recurso (RR) e contém uma informação que define mapeamentos entre nomes de domínio e endereços de IP e outros recursos. 0 formato de arquivos de zona é definido por um padrão, com 3 0 cada linha tipicamente definindo um único item de registro de recurso. Uma linha começa com um nome de domínio, mas, caso deixada em branco, vai por padrão para o nome de domínio definido previamente. Seguindo-se ao nome de domínio está o tempo de vida (TTL) , a classe (a qual quase sempre é "IN" para "internet" e raramente incluída), o tipo de item de registro de recurso (A, MX, SOA, etc.), seguido pelos dados específicos de tipo, tal como um endereço de IPv4 para itens de registro A. Comentários podem ser incluídos pelo uso de um ponto e vírgula, e linhas podem ser continuadas pelo uso de parênteses. Também há diretivas de arquivo que são marcadas com uma palavra chave começando com um símbolo de cifrão.
O DNS distribui a responsabilidade de atribuição de nomes de domínio e o mapeamento daqueles nomes para endereços de IP pela designação de servidores de nome de autoridade para cada domínio. Os servidores de nome de autoridade são atribuídos para serem responsáveis por seus domínios em particular, e, por sua vez, podem atribuir outros servidores de nome de autoridade para seus subdomínios. Este mecanismo geralmente ajuda a evitar a necessidade de um único registro central ser continuamente consultado e atualizado. 0 processo de resolução de DNS permite que os usuários sejam dirigidos a um domínio desejado por um processo de consulta reverso, por meio do que o usuário introduz o domínio desejado, e o DNS retorna números de IP apropriados. Durante o processo de resolução de DNS, uma requisição para um dado nome de domínio é roteada a partir de um resolvedor (por exemplo, um resolvedor stub) para um servidor apropriado (por exemplo, 3 0 um resolvedor recursivo) para a recuperação do endereço de IP. Para melhoria da eficiência, redução do tráfego de DNS através da Internet e aumento da performance em aplicativos de usuário final, o DNS suporta servidores de cache de DNS que armazenam resultados de consulta de DNS por um período de tempo determinado pelo tempo de vida (TTL) do item de registro de nome de domínio em questão. Tipicamente, esses armazenamentos em cache de servidores de DNS7 também denominados caches de DNS, também implementam o algoritmo recursivo necessário para a resolução de um dado nome começando com a raiz de DNS, através dos servidores de nome de autoridade do domínio consultado. Os provedores de serviços de Internet (ISPs) tipicamente proveem servidores de DNS recursivos e de armazenamento em cache para seus consumidores. Além disso, roteadores de rede doméstica podem implementar caches de DNS e proxies para melhoria da eficiência na rede local.
Embora a natureza distribuída do DNS proveja vantagens significativas em termos da eficiência do sistema geral, ela também torna o sistema vulnerável a certos tipos de
2 0 maus funcionamentos e/ou ataques em vários nós no sistema.
Um problema em particular que pode ocorrer é referido como um envenenamento de cache de DNS. O envenenamento de cache de DNS ocorre quando dados são introduzidos em um banco de dados de cache de servidor de nome de DNS que não se originou das fontes de DNS de autoridade. Isto pode resultar de ataques deliberados em um servidor de nome, ou pode ser um resultado não pretendido, por exemplo, de um cache de DNS mal configurado ou um projeto de software inadequado de aplicativos de DNS. Assim, um envenenamento
3 0 de cache de DNS pode resultar em (1) requisições de resolução falhando, tal como quando uma informação de endereço de IP não acurada ou mal configurada é provida, ou (2) uma requisição de resolução de usuário requisitante sendo dirigida para um sítio malicioso que imita o domínio genuíno e é usado para se obter de forma ilícita uma informação, tais como senhas de conta, ou para a distribuição de conteúdo malicioso, tais como vermes ou vírus de computador, que são entregues para o usuário requisitante.
As extensões de segurança de sistema de nome de
domínio (DNSSEC) são um conjunto de especificações da força tarefa de engenharia da internet (IETF) para garantia de certos tipos de informação providos pelo DNS conforme usado em redes de IP. O DNSSEC provê a assinatura de arquivos de
zona prontos para DNS, garantindo uma autenticação de origem e integridade de dados para dados de DNS, bem como uma negação autenticada de existência. Em geral, as respostas providas no DNSSEC são digitalmente assinadas e, pela checagem da assinatura digital, um resolvedor de DNS é
2 0 capaz de checar se a informação corresponde à informação no
servidor de DNS de autoridade. O DNSSEC usa uma criptografia de chave pública para a informação sobre o servidor de DNS de autoridade. O item de registro DNSKEY é autenticado através de uma cadeia de confiança, começando
com um conjunto de chaves públicas verificadas para a zona de raiz de DNS, a qual é uma parte independente de confiança.
Para a implementação de DNSSEC, vários tipos de item de registro de DNS novos foram criados ou adaptados para
3 0 uso com DNSSEC, incluindo RRSIG, DNSKEY, DS, NSEC, NSEC3 e NSEC3 PARAM. Por exemplo, quando DNSSEC é usado, cada resposta de autoridade a uma consulta de DNS conterá um item de registro RRSIG DNSi além do tipo de item de registro que foi requisitado. 0 item de registro RRSIG é uma assinatura digital do conjunto de item de registro de recurso de DNS de resposta. A assinatura digital pode ser verificada pela localização da chave pública correta encontrada em um item de registro DNSKEY. 0 item de registro DS é usado na autenticação de DNSKEYs no procedimento de consulta usando a cadeia de confiança. Os itens de registro NSEC e NSEC3 são usados para a provisão da negação autenticada de respostas de existência para itens de registro de DNS que não existem.
As exigências de DNSSEC envolvem o uso de chaves diferentes, armazenadas nos itens de registro de DNSKEY e a partir de outras fontes, para a formação de âncoras de confiança. Por exemplo, há chaves de assinatura de chave (KSKs), as quais são usadas para assinatura de itens de registro DNSKEY, e chaves de assinatura de zona (ZSKs), as quais são usadas para a assinatura de outros itens de registro. Devido ao fato de ZSKs estarem sob o controle e o uso de uma zona de DNS específica, elas podem ser comutadas mais facilmente e mais freqüentemente. Como resultado, as ZSKs podem ser geralmente muito mais curtas (em termos de comprimento de byte) do que as KSKs, embora ainda ofereçam um nível aceitável de proteção.
Embora tenham sido desenvolvidos protocolos para o emprego de DNSSEC, incluindo o uso de KSKs e ZSKs, há numerosos aspectos de operação de domínios habilitados para 3 0 DNSSEC, nos níveis de distribuidor de reserva de registro e de entidade de registro, que não foram endereçados e/ou otimizados para uso em larga escala. Por exemplo, a capacidade de processar números grandes de assinaturas em períodos de tempo curtos é limitada à prática comum de assinar zonas inteiras com base em mudanças de zona. Assim sendo, há necessidades em progresso de melhoria adicional da funcionalidade e/ou da eficiência de operações relacionadas ao gerenciamento de DNSSEC e das funções de assinatura requerida para itens de registro de DNSSEC.
SUMÁRIO DA INVENÇÃO
As técnicas mais atuais de DNSSEC envolvem a assinatura "distribuída" de dados de DNSSEC, isto é, técnicas de assinatura que são distribuídas dentre vários usuários, provedores de DNS, etc. Atualmente, os usuários
desejando adotar DNSSEC têm as opções lógicas a seguir:
1. Construir sua própria solução de DNSSEC usando uma combinação de um software de terceiros e de fonte aberta juntamente com um conjunto de chaves de software ou chaves de hardware.
2 0 2. Usar um gerenciamento de chave de DNSSEC e uma
aparelhagem de assinatura, tal como Segure64 DNS Signer, BlueCat Networks, Xelerance DNSX Secure, Signer e Infoblox. Essas aparelhagens podem prover vários aspectos de gerenciamento de chave e assinatura de zona, mas requerem
que um hardware seja instalado no lado de cliente. Deve ser notado que as aparelhagens de gerenciamento de chave de DNSSEC e de assinatura requerem a instalação de um hardware no local de uso, requerem um gerenciamento mais à mão de material de chave e não suportam mais de um único usuário.
3 0 3. Usar uma solução de DNS Gerenciado que foi atualizada para suportar DNSSEC. Os provedores de DNS gerenciado incluem recursos de gerenciamento de zona e de publicação de zona. Uma habilitação de DNSSEC permite que um cliente "ative" o DNSSEC para uma zona de DNS gerenciada, mas requer que o usuário migre ou terceirize sua hospedagem de DNS para o provedor de DNS gerenciado.
Uma abordagem para uma entidade de registro de domínio para adicionar suporte para DNSSEC também seria aceitar a informação de Assinante de Delegação (DS) de DNSSEC, gerar uma zona não assinada e, então, assinar a zona inteira para publicação. Contudo, com a introdução de DNSSEC em registros vastos, tais como os registros .com e .net, ineficiências nas várias técnicas de assinatura distribuídas e outras para dados de DNSSEC, particularmente com respeito a zonas grandes, trazem o potencial para resolução de problemas incluindo atrasos e falhas de resolução. Esses problemas podem ter efeitos prejudiciais significativos sobre o comércio eletrônico e outros locais de tráfego alto. 0 presente assunto pode prover benefícios
2 0 na assinatura eficiente de zonas habilitadas para DNSSEC em
uma fonte de autoridade, tal como uma entidade de registro responsável pelo domínio, através de várias técnicas de assinatura em incremento. Por exemplo, quando de uma abordagem da perspectiva da entidade de registro, ou outra entidade que esteja ciente de ou seja alertada para mudanças em particular em dados de DNS, porções dos dados de DNS, os quais estão sujeitos a operações de adição, mudança e/ou apagamento, e similares, podem ser identificadas, assinadas e ter confiança conferida de forma
3 0 variada e reportados sem uma nova assinatura de uma zona inteira. Em modalidades, a operação de atualização de DNS e a assinatura dos itens de registro de DNS afetados podem ser realizadas como parte de uma transação única (por exemplo, uma unidade atômica, consistentes, isolada e durável de trabalho), cujos aspectos podem ser referidos aqui como "assinatura em linha".
Em modalidades, uma assinatura em linha de DNSSEC pode incluir a implementação da assinatura de DNSSEC em linha com o comando de domínio. Por exemplo, a entidade de registro responsável pode aceitar a informação de DS de DNSSEC e criar os itens de registro de DNSSEC assinados na mesma transação, e, após isso, pode publicar em incrementos a informação assinada para o DNS a partir de uma fonte de autoridade. Essa assinatura com autoridade pode prover benefícios em relação a outras técnicas de assinatura distribuídas, mas, em geral, também podem apresentar desafios na escalonabilidade, os quais são endereçados por aspectos adicionais do presente assunto. De acordo com os aspectos da invenção, um banco de dados de entidade de 2 0 registro pode atuar como a fonte de autoridade única para todos os itens de registro publicados em uma zona de DNSSEC através de uma assinatura em linha de DNSSEC.
Conforme descrito adicionalmente aqui, sistemas e métodos de realização de assinatura de DNSSEC em 2 5 incrementos em uma entidade de registro ou outra entidade que esteja ciente de ou seja alertada para as mudanças em particular de dados de DNS podem incluir a realização de operações de assinatura digital como parte de uma transação única incluindo operações de adição de DNS, atualização e/ou apagamento e similares. Os métodos de exemplo podem incluir o recebimento de um comando de domínio a partir de um requisitante, o comando de domínio incluindo um identificador de um domínio. 0 comando de domínio recebido pode ser executado com respeito a dados armazenados pela entidade de registro para o domínio. As mudanças de dados de DNSSEC também podem ser identificados com base no comando de domínio recebido. Como parte de uma transação individual incluindo a execução do comando de domínio, a entidade de registro também pode assinar itens de registro de DNSSEC para o domínio usando uma chave privada, por exemplo, uma chave privada de um servidor de autoridade. As modalidades podem incluir, a conferência de confiança à transação na entidade de registro. Conforme usado aqui, uma a conferência de confiança de transação pode ser entendida como uma operação que aplica todas as manipulações de dados no escopo da transação, e redireciona os resultados para o banco de dados. As modalidades podem incluir a propagação da transação de confiança conferida para a infraestrutura de DNS. Em modalidades, a entidade de registro pode
2 0 publicar, em incrementos, por exemplo, os itens de registro
de DNSSEC assinados para servidores separados.
De acordo com os aspectos da invenção, as modalidades podem incluir sistemas e métodos para a realização de assinatura de DNSSEC em uma entidade de registro incluindo um comando de domínio a partir de um requisitante. O comando de domínio pode incluir um identificador de um domínio e, por exemplo, pelo menos um de um comando de adicionar, modificar e/ou apagar o domínio. As modalidades podem incluir a execução do comando de domínio recebido com
3 0 respeito aos dados armazenados pela entidade de registro para o domínio. Como parte de uma transação individual incluindo a execução do comando de domínio, os itens de registro de DNSSEC para o domínio podem ser digitalmente assinados, por exemplo, usando-se uma chave privada de um servidor de autoridade. Os itens de registro de DNSSEC assinados podem ser publicados em incrementos para o servidor em separado, por exemplo, um servidor de DNS.
As modalidades podem incluir onde o comando de domínio inclui um ou mais elementos de assinante de delegação (DS) de DNSSEC. Em modalidades, o comando de domínio pode incluir um ou mais elementos de DNSKEY que geram um ou mais itens de registro de assinante de delegação (DS) de DNSSEC.
Em modalidades, o requisitante pode ser, por exemplo, um distribuidor de reserva de registro, um provedor de serviços de DNS ou um agente de registro. Em modalidades, o domínio pode ser um domínio de segundo nível ou mais alto sob um domínio de nível de topo da entidade de registro.
Em modalidades, o método pode ser realizado para domínios a partir de uma pluralidade de distribuidores de reserva de registro por um servidor de autoridade da entidade de registro. Em modalidades, a assinatura de itens de registro de DNS pode ser realizada para pelo menos dois domínios a partir de uma pluralidade de distribuidores de reserva de registro por um servidor de autoridade da entidade de registro.
Em modalidades, a assinatura de itens de registro de DNS pode ser realizada por uma pluralidade de servidores de assinatura para a entidade de registro.
As modalidades também podem incluir submeter mudanças 3 0 a cadeias de NSEC ou NSEC3 com base em pelo menos um dentre um comando de adicionar, atualizar, apagar.
De acordo com aspectos adicionais da invenção, as modalidades podem incluir sistemas e métodos para a realização de uma assinatura de DNSSEC em uma entidade de registro, incluindo o recebimento de um primeiro comando a partir de um requisitante para pelo menos um dentre adicionar, atualizar ou apagar um nome de domínio relacionado a DNSSEC a, em ou a partir da entidade de registro, e a execução de instruções a partir do primeiro comando para adicionar, atualizar e/ou apagar dados armazenados em um banco de dados de entidade de registro. Em modalidades, a execução do comando pode não incluir a aplicação de dados de assinatura digital. Em modalidades, a entidade de registro, ou outro serviço, pode reportar para o requisitante que as instruções foram executadas. Separadamente da execução das instruções a partir do primeiro comando, o que pode ser após o relatório de execução, uma assinatura digital pode ser gerada com base nas mudanças de adicionar, atualizar e/ou apagar, e a 2 0 assinatura digital pode ser submetida a um banco de dados de resolução de entidade de registro. As modalidades também podem incluir a publicação de mudanças não de DNSSEC e/ou mudanças de DNSSEC, com base no comando de domínio, para o DNS. Em modalidades, as mudanças não de DNSSEC e as
2 5 mudanças de DNSSEC podem ser publicadas pelo sistema de
forma assíncrona ao DNS.
De acordo com outros aspectos da invenção, as modalidades podem incluir sistemas e métodos para a realização de uma assinatura de DNSSEC em uma entidade de
3 0 registro incluindo o recebimento de um primeiro comando a partir de um requisitante para pelo menos um dentre adicionar, atualizar ou apagar um nome de domínio relacionado a DNSSEC a, em ou a partir da entidade de registro; a execução de instruções a partir do primeiro comando para adicionar, atualizar e/ou apagar dados armazenados em um banco de dados de entidade de registro, em que a execução não inclui a aplicação de dados de assinatura digital; a geração de uma entrada de banco de dados indicando mudanças de DNSSEC pendentes relacionadas
ao primeiro comando; geração de uma assinatura digital com base em mudanças de adicionar, atualizar e/ou apagar; e limpeza da entrada de banco de dados. As modalidades também podem incluir a publicação da entrada de banco de dados para o DNS.
Recursos adicionais, vantagens e modalidades da
invenção podem ser estabelecidos ou evidentes a partir de uma consideração da descrição detalhada a seguir, dos desenhos e das reivindicações. Mais ainda, é para ser entendido que o sumário precedente da invenção e a
2 0 descrição detalhada a seguir são exemplos e pretendidos
para a provisão de uma explicação sem limitação do escopo da invenção reivindicada. A descrição detalhada e os exemplos específicos, contudo, indicam apenas modalidades preferidas da invenção. Várias mudanças e modificações no
espírito e no escopo da invenção tornar-se-ão evidentes para aqueles versados na técnica a partir desta descrição detalhada.
BREVE DESCRIÇÃO DOS DESENHOS Os desenhos a seguir, os quais são incluídos para a
3 0 provisão de um entendimento adicional da invenção, são incorporados na e constituem uma parte deste relatório descritivo, ilustram modalidades da invenção e, em conjunto com a descrição detalhada servem para explicação dos princípios da invenção. Nenhuma tentativa é feita de mostrar detalhes estruturais da invenção em maiores detalhes do que podem ser necessários para um entendimento fundamental da invenção, e várias formas pelas quais pode ser praticada. Nos desenhos:
a figura 1 descreve relações de um arranjo de assinatura em linha de entrada de acordo com os aspectos da invenção.
A figura 2 descreve um fluxo de processo de exemplo para dados de DNSSEC de assinatura de acordo com primeiros aspectos da invenção. A figura 3 descreve detalhes adicionais de um sistema
de assinatura de habilitação de DNSSEC de acordo com aspectos da invenção.
A figura 4 descreve ainda outros detalhes de um sistema de assinatura de habilitação de DNSSEC de acordo com aspectos da invenção.
A figura 5 descreve as relações de um arranjo de assinatura de banco de dados de resolução de fluxo normal de acordo com aspectos adicionais da invenção.
A figura 6 descreve um fluxo de processo de exemplo para um processo de assinatura de banco de dados de resolução de fluxo normal de acordo com outros aspectos da invenção.
A figura 7 descreve relações de um arranjo de assinatura de banco de dados lateral de acordo com aspectos 3 0 adicionais da invenção. A figura 8 descreve um fluxo de processo de exemplo para um processo de assinatura de banco de dados lateral de acordo com aspectos adicionais da invenção.
A figura 9 descreve uma arquitetura de rede de computador de exemplo, conforme pode ser usado em modalidades da invenção.
DESCRIÇÃO DETALHADA DA INVENÇÃO É entendido que a invenção não está limitada à metodologia em particular, a protocolos, etc. descritos aqui, já que estes podem variar, conforme o técnico versado reconhecerá. Também é para ser entendido que a terminologia usada aqui é para fins de descrição de modalidades em particular apenas, e não é pretendida para limitação do escopo da invenção. Também é para ser notado que, conforme usado aqui e nas reivindicações em apenso, as formas singulares "um", "uma" e "o(a)" incluem a referência plural, a menos que o contexto claramente dite de outra forma. Assim, por exemplo, uma referência a "um servidor" é uma referência a um ou mais servidores e equivalentes dos mesmos conhecidos por aqueles versados na técnica.
A menos que definido de outra forma, todos os termos técnicos usados aqui têm os mesmos significados que comumente entendido por alguém de conhecimento na técnica à qual a invenção se refere. As modalidades da invenção e os vários recursos e detalhes vantajosos da mesma são explicados mais plenamente com referência às modalidades e aos exemplos não limitantes que são descritos e/ou ilustrados nos desenhos associados e detalhados na descrição a seguir. Deve ser notado que os recursos 3 0 ilustrados nos desenhos não estão necessariamente desenhados em escala, e recursos de uma modalidade podem ser empregados com outras modalidades, conforme o técnico versado reconheceria, mesmo se não declarado explicitamente aqui. As descrições de componentes bem conhecidos e técnicas de processamento podem ser omitidas, de modo a não obscurecer desnecessariamente as modalidades da invenção. Os exemplos usados aqui são pretendidos meramente para facilitarem o entendimento de formas pelas quais a invenção pode ser praticada e para se permitir adicionalmente que aqueles versados na técnica pratiquem as modalidades da invenção. Assim sendo, os exemplos e as modalidades aqui não devem ser construídas como limitando o escopo da invenção, o qual é definido unicamente pelas reivindicações em apenso e pela lei aplicável. Mais ainda, é notado que números de referência iguais referenciam partes similares por todas as várias vistas dos desenhos.
Conforme usado aqui, a menos que limitado de outra forma, um distribuidor de reserva de registro pode ser entendido como qualquer entidade ou organização que
2 0 interaja com uma entidade de registro de nome de domínio e
permita que os agentes de registro criem e atualizem recursos de nome de domínio.
Conforme usado aqui, a menos que limitado de outra forma, um agente de registro pode ser entendido como sendo qualquer pessoa ou organização que interaja com um distribuidor de reserva de registro para a criação e a atualização de um recurso de nome de domínio.
Conforme usado aqui, a menos que limitado de outra forma, um provedor de hospedagem de DNS pode ser entendido
3 0 como sendo qualquer entidade ou organização que hospede conteúdo em seus servidores em nome de um agente de registro, provendo um aprovisionamento de DNS e capacidades de resolução para aquele conteúdo (por exemplo, atribui endereços de IP e opera servidores de nome capazes de resolverem nomes de domínio para aqueles endereços de IP que ele gerencia).
Conforme usado aqui, a menos que limitado de outra forma, um banco de dados deve ser entendido amplamente como incluindo, por exemplo, vários aplicativos de armazenamento eletrônico formatados para armazenarem e acessarem uma informação discreta e/ou relacionada para uso por sistemas de computador, por exemplo, sistemas de arquivo locais e/ou distribuídos, arquivos de dados, depósitos de dados, bancos de dados estruturados, bancos de dados relacionais, bancos de dados locais e/ou distribuídos, bancos de dados híbridos, estruturas de dados discretas e/ou esquemas em bancos de dados, etc.
De acordo com aspectos da presente invenção, sistemas e métodos para suporte de uma transferência de patrocínio de domínio com transferência de hospedagem de DNS pode incluir, por exemplo, uma transferência de domínio entre distribuidores de reserva de registro, o que pode ser referido como uma "transferência de patrocínio de domínio", e uma transferência em hospedagem de DNS, o que pode ser referido como uma "transferência de hospedagem de DNS". No caso de transferências de domínio, ambas as transferências tipicamente podem ser incluídas, porque muitos distribuidores de reserva de registro são provedores de hospedagem de DNSi e os distribuidores de reserva de 3 0 registro freqüentemente tiram vantagem da hospedagem de DNS provida por seus distribuidores de reserva de registro. 0 exemplo a seguir mostra as etapas envolvidas em uma transferência de patrocínio de domínio entre distribuidores de reserva de registro que inclui uma transferência de hospedagem de DNS entre aqueles mesmos distribuidores de reserva de registro.
As modalidades da invenção podem prover várias técnicas de assinatura em linha que permitem que provedores de DNSSEC de larga escala, tais como entidades de registro, processem grandes números de mudanças de DNS, incluindo dados de assinatura de DNSSEC, de uma maneira eficiente e coerente.
Visão Geral de Assinatura de Zona
Conforme descrito acima, o DNSSEC foi projetado para lidar com envenenamento de cache e um conjunto de outras vulnerabilidades de DNS, tais como ataques ataque man-in- the middle (o atacante se interpõe entre as duas partes que se comunicam, observando e interceptando suas mensagens) e modificação não autorizada de servidores de autoridade. Seu principal objetivo é prover uma autenticação de origem e proteção de integridade para dados de DNS. A infraestrutura de chave pública (PKI) pode ser usada como um meio de distribuição de chave pública. 0 DNSSEC provê um mecanismo de verificação para dados de DNS e não é um mecanismo de encriptação. Ele permite que um resolvedor ciente de segurança verifique que os dados de zona que foram recebidos são assinados pelo administrador da zona que mantém a chave privada.
0 Item de Registro de Recurso de DNSKEY 3 0 Uma zona pode ter um ou mais pares de chave, cada uma dos quais incluindo uma chave privada e uma chave pública. As chaves privadas podem ser armazenadas de forma segura em um banco de dados de nome de domínio e usadas para a assinatura de dados de zona. As chaves públicas podem ser armazenadas no banco de dados e também podem armazenadas nos dados de zona assinados como itens de registro de recurso de DNSKEY. As chaves públicas são usadas para a verificação de dados de zona. Os itens de registro de DNSKEY tipicamente têm os elementos de dados a seguir: Indicadores tipo de flag: "Zone Key (chave de zona)" e
"Secure Entry Point" (ponto de entrada seguro)
Protocolo: valor fixo de 3 (para compatibilidade para
trás)
Algoritmo: o algoritmo criptográfico de chave pública Chave pública: dados de chave pública.
Um item de registro de recurso de DNSKEY ("RR") pode ser uma chave de assinatura de zona (ZSK) ou uma chave de assinatura de chave (KSK). As chaves de assinatura de chave (KSKs) terão um indicador tipo de flag SEP regulado de modo 2 0 que possa ser distinguido das ZSKs no RRset de DNSKEY. As chaves de assinatura de chave (KSKs) são usadas para assinatura de outros itens de registro de recurso de DNSKEY e são usadas para a construção de uma cadeia de autoridade para os dados que precisarem ser validados.
2 5 0 Item de Registro de Recurso de RRSIG
0 item de registro de recurso de RRSIG mantém a assinatura de DNSSEC de um conjunto de item de registro de imagem RRset (um ou mais itens de registro de DNS com os mesmos nome, classe e tipo). Os resolvedores habilitados
3 0 para DNSSEC podem verificar a assinatura com uma chave pública armazenada em um item de registro de DNSKEY. Os itens de registro de RRSIG têm os elementos de dados a seguir:
Tipo coberto: tipo de item de registro de DNS que esta assinatura cobre.
Algoritmo: algoritmo criptográfico usado para a criação da assinatura.
Rótulos: número de rótulos no nome de item de registro de RRSIG original (usado para validação de coringas).
TTL original: valor de TTL do conjunto de item de
registro coberto.
Expiração de assinatura: quando a assinatura expira.
Começo da assinatura: quando a assinatura foi criada.
Tag de chave: um valor numérico curto o qual pode
ajudar a identificar rapidamente o item de registro de DNSKEY o qual pode ser usado para a validação desta assinatura.
Nome do assinante: nome do item de registro de DNSKEY o qual pode ser usado para a validação desta assinatura.
2 0 Assinatura: assinatura criptográfica.
Os RRs de DNSKEY são assinados pelas respectivas chaves de assinatura de chave. Outros conjuntos de RR são assinados apenas pelas chaves de assinatura de zona.
0 Item de Registro de Recurso de NSEC
0 item de registro de recurso de NSEC lista duas
coisas separadas: o próximo nome de proprietário (na ordenação canônica da zona) que contém dados de autoridade ou um RRset de NS de ponto de delegação, e o conjunto de tipos de RR presentes no nome de proprietário de RR de NSEC
3 0 [RFC 3 845] . 0 conjunto completo de RRs de NSEC em uma zona indica quais RRsets de autoridade existem em uma zona e também formam uma cadeia de nomes de proprietário de autoridade na zona. Estes itens de registro podem ser usados por resolvedores para verificarem a não existência de um nome de item de registro e tipo como parte de uma validação de DNSSEC. Os itens de registro de NSEC têm os elementos de dados a seguir:
Próximo nome de domínio: o próximo nome de item de registro na zona (ordem de classificação de DNSSEC). Tipos de item de registro: os tipos de item de
registro de DNS que existem para o nome deste item de registro de NSEC.
0 Item de Registro de Recurso de NSEC3
0 item de registro de recurso (RR) de NSEC3 provê uma negação autenticada de existência para conjuntos de item de registro de recurso de DNS. Os RRs de NSEC3 têm a mesma funcionalidade que o RR de NSEC, exceto pelo fato de NSEC3 usar nomes de item de registro de prova criptográfica para se evitar a enumeração de nomes de item de registro em uma zona. Um item de registro de NSEC3 se liga ao próximo nome de item de registro na zona (na ordem de classificação de nome de prova) e lista os tipos de item de registro que existem para o nome coberto pelo valor de prova no primeiro rótulo do próprio nome de item de registro de NSEC3. Estes itens de registro podem ser usados por resolvedores para verificarem a não existência de um nome de item de registro e tipo como parte de uma validação de DNSSEC. Os itens de registro de NSEC3 têm os elementos de dados a seguir:
Algoritmo de prova: o algoritmo de prova criptográfico 3 0 usado. Indicadores tipo de flag: "Opt-out" (indica se delegações são assinadas ou não).
Iterações: quantas vezes o algoritmo de prova é aplicado.
Salt: valor salt para o cálculo de prova.
Próximo nome de proprietário de prova: o nome do próximo item de registro na zona (em uma ordem de classificação de nome de prova).
Tipos de item de registro: os tipos de item de registro que existem para o nome coberto pelo valor de prova no primeiro rótulo do próprio nome de item de registro de NSEC3.
Os aspectos de um arranjo de assinatura em linha de exemplo são mostrados na figura 1. Conforme mostrado na figura 1, um requisitante 100, tal como, por exemplo, um agente de registro, um distribuidor de reserva de registro ou um provedor de DNS, pode se comunicar com um sistema de aprovisionamento de entidade de registro 110. O requisitante 100 pode comunicar comandos relacionados a um
2 0 domínio existente ou novo. Por exemplo, o requisitante 100
pode comunicar comandos para mudança de dados de DNS gerenciados pela entidade de registro, tais como dados de DNS para um domínio sob um TLD (por exemplo, .com) gerenciado pela entidade de registro. 0 sistema de aprovisionamento de entidade de registro 110 pode processar o comando de domínio a partir do requisitante 100 de várias formas, incluindo, por exemplo, executando comandos de mudança, por exemplo, comandos de adicionar, modificar ou apagar, identificando mudanças de dados de DNSSEC,
3 0 identificando chaves apropriadas, aplicando assinaturas digitais, redirecionamento de mudanças de DNS e DNSSEC para um banco de dados de entidade de registro 120, etc.
Em modalidades, os dados providos pelo sistema de aprovisionamento de entidade de registro 110 para o banco de dados de entidade de registro 120 podem incluir uma informação de DNS para o domínio e dados de DNSSEC assinados. Em modalidades, as mudanças de DNS e as mudanças de DNSSEC podem ser executadas em uma única transação. Uma vez que a informação de DNS para o domínio e os dados de DNSSEC assinados tenha sido redirecionada para o banco de dados de entidade de registro 120, a transação pode receber a confiança. Após a transação receber a confiança, a informação de DNS para o domínio e os dados de DNSSEC assinados pode ser propagada para a nuvem de DNS mais ampla 14 0 incluindo outros servidores de autoridade, servidores de DNS recursivos, etc.
Outros detalhes de serviço de assinatura de DNSSEC de exemplo são mostrados nas figuras 2 e 3. Deve ser notado que, embora as configurações de serviço de assinatura
2 0 mostradas nas figura 1 a 3 possam ser usadas em aspectos de
prática da presente invenção, as técnicas de assinatura em linha descritas aqui podem encontrar aplicabilidade com vários serviços diferentes de assinatura com várias outras configurações. Conforme mostrado na figura 2, uma entidade de registro, ou outro provedor de serviços de DNSSEC pode incluir qualquer número de servidores de assinatura 342, 346. Por exemplo, uma pluralidade de servidores de assinatura pode estar incluindo o sistema de aprovisionamento 110 mostrado na figura 1. Os servidores de
3 0 assinatura 342, 34 6 podem incluir módulos de segurança de hardware (HSMs) 344, 348, respectivamente, e/ou um software, o que pode incluir a funcionalidade de assinatura digital real incluindo chaves de assinatura digital apropriadas. Os servidores de assinatura 342, 346 podem se comunicar e, por exemplo, trocar dados de DNS assinados e não assinados, com vários aplicativos, serviços e ferramentas 310, 320 e 330. Cada componente de CAS 310, serviços comerciais de plug-in de NCC 320 e lote/ferramenta 33 0 terá conectividade com o servidor de assinatura (preferencialmente com um conjunto desses servidores). Os servidores de assinatura 342, 346 podem redirecionar os dados de DNS assinados para um banco de dados 350. Os detalhes adicionais de um fluxo de dados de exemplo dentre os aplicativos, servidores de assinatura, HSMs e bancos de dados são mostrados na figura 3.
Conforme mostrado na figura 3, o cliente 510 pode representar, por exemplo, um serviço de interface externa do sistema de aprovisionamento 110 mostrado na figura 1, o que pode ser configurado para a identificação de dados de 2 0 DNSSEC que precisem ser assinados pelo servidor de assinatura 512. Os dados de DNSSEC a serem assinados podem ser analisados gramaticalmente ou identificados de outra forma com base em um comando de domínio, e providos para o servidor de assinatura 512, conforme mostrado pelo enlace 541. Uma informação, tais como bytes, tipo de chave (ZSK, KSK) e TLD, pode ser incluída. 0 servidor de assinatura 512 pode identificar a informação de chave apropriada e/ou HSM a partir da transmissão 541, e passar os dados não assinados para o HSM apropriado 514, mostrado pelo enlace 542. Isto pode incluir um comando de assinatura, por exemplo, com os bytes, alias de chave e algoritmo de assinatura.
0 servidor de assinatura 512 pode ser configurado para periodicamente checar junto ao banco de dados 52 0 quanto a dados de autoridade sobre qual alias de chave usar quando do envio de dados para o HSM 514. O HSM 514 pode ser carregado com muitas chaves por TLD no momento de inicialização (algumas podem ser ZKSs, algumas podem ser KSKs), e cada chave pode ser conhecida pelo HSM 514 por um alias, keyAlias. O cliente 510 pode ser configurado para contar ao servidor de assinatura 512 qual dos dois tipos de chave usar (ZSK ou KSK) e o TLD, e o servidor de assinatura 512 pode ser configurado para identificar o nome de alias de chave atual para aquele tipo de chave, quando ele se comunicar com o HSM para assinatura. 0 servidor de assinatura 512 também pode ser forçado a checar de novo junto ao banco de dados 520 quanto a aliases de chave atual. Este comando pode ser emitido, por exemplo, para o servidor de assinatura 512 através de uma interface de gerenciamento de JMX.
O HSM 514 assina os dados de DNSSEC com uma chave apropriada, e passa os dados assinados de volta para o servidor de assinatura 512, conforme mostrado pelo enlace 543. 0 servidor de assinatura pode passar os dados de DNSSEC assinados ou outros dados, tal como uma informação de redirecionamento de transação, de volta para o cliente 510, conforme mostrado pelo enlace 544.
Alguns exemplos de operações de comando de domínio relevantes que podem ser processadas de acordo com os 3 0 aspectos da invenção são descritos abaixo. Criar domínio com dados de DNSSEC.
Durante uma criação de domínio, onde o usuário passou adiante dados de DNSSEC (estes dados serão os 4 campos requeridos para cada item de registro de assinante de delegação [DS] submetido) , a entidade de registro pode tomar as decisões a seguir e executar as ações a seguir:
Gerar e armazenar uma assinatura digital para item(ns) de registro de DS.
Determinar se o domínio se qualifica para publicação na zona. Se assim for:
Criar seu item de registro de NSEC3. Assinar o item de registro de NSEC3.
Identificar sua posição apropriada na cadeia de NSEC3 (o que é análogo à lista ligada armazenada no banco de dados) e inserir o novo item de registro de NSEC3 com a menor mudança na cadeia. Isto pode envolver a identificação muito rapidamente dos enlaces na cadeia que devem mudar, o travamento do número mínimo deles (o qual é 1) e a realização da inserção e da religação para terminar com uma
2 0 cadeia de NSEC3 autêntica e coerente.
Atualizar o domínio com novos dados de DS.
Durante a atualização de domínio com novos dados de DS, o distribuidor de reserva de registro também pode incluir outras mudanças no domínio. Aquelas outras mudanças podem mudar o status de zona de domínio. Portanto, a entidade de registro pode:
Gerar e armazenar uma assinatura digital para item(ns) de registro de DS.
Determinar se o domínio se qualifica para publicação
3 0 na zona. Se o domínio não estivesse na zona e agora estivesse na zona:
Criar seu item de registro de NSEC3.
Assinar o item de registro de NSEC3.
Armazenar a assinatura digital para o item de
registro de NSEC3.
Identificar sua posição apropriada na cadeia de NSEC3 e inserir aquele novo item de registro de NSEC3 com o "bloqueio" mínimo em outras atualizações da cadeia. Isto pode envolver a identificação muito rapidamente dos enlaces na cadeia que devem mudar, o travamento do número mínimo deles, e a realização da inserção e da religação para terminar com uma cadeia de NSEC3 autêntica e coerente.
Se o domínio estivesse na zona e agora não devesse estar na zona:
Localizar o item de registro de domínio na cadeia
de NSEC3.
Remover o item de registro de NSEC com o "bloqueio" mínimo em outras atualizações para a cadeia. Isto pode envolver a identificação muito rapidamente dos enlaces na cadeia que devem mudar, travando o número mínimo deles, e a realização da remoção de item de registro e a religação para terminar com uma cadeia de NSEC3 autêntica e coerente.
Atualização de domínio com remoção de dados de DS.
Durante uma atualização de domínio com a remoção de dados de DS, o distribuidor de reserva de registro também pode incluir outras mudanças no domínio. Aquelas outras mudanças podem mudar o status de zona de domínio; por 3 0 exemplo, se o domínio não tiver nenhum item de registro de DS remanescente após a remoção, o domínio não mais se qualificará para a zona. Portanto, a entidade de registro pode:
Determinar se o domínio tem quaisquer itens de registro de DS remanescentes.
Caso não, a entidade de registro pode remover o domínio da cadeia de NSEC3 (veja abaixo para as etapas). A entidade de registro também pode remover a assinatura digital existente para dados de DS que estejam sendo removidos.
Se assim for, a entidade de registro pode gerar de novo a assinatura digital para os itens de registro de DS remanescentes. Determinar se o domínio se qualifica para publicação na zona e se já está na zona. Se o domínio não estivesse na zona e agora
estivesse na zona:
Criar seu item de registro de NSEC3. Assinar o item de registro de NSEC3. Armazenar a assinatura digital para o item de registro de NSEC3.
Identificar sua posição apropriada na cadeia de NSEC3 e inserir aquele novo item de registro de NSEC3 com o "bloqueio" mínimo em outras atualizações da cadeia. Isto pode envolver a identificação muito rapidamente dos enlaces na cadeia que devem mudar, o travamento do número mínimo deles, e a realização da inserção e da religação para terminar com uma cadeia de NSEC3 autêntica e coerente.
Se o domínio estivesse na zona e agora não devesse estar na zona:
3 0 Localizar o item de registro de domínio na cadeia de NSEC3.
Remover o item de registro de NSEC com o "bloqueio" minimo em outras atualizações para a cadeia. Isto pode envolver a identificação muito rapidamente dos enlaces na cadeia que devem mudar, travando o número mínimo deles, e a realização da remoção de item de registro e a religação para terminar com uma cadeia de NSEC3 autêntica e coerente.
Os aspectos dos processos acima são mostrados geralmente na figura 4, a qual descreve as etapas de assinatura em linha de exemplo, conforme descrito aqui. Deve ser notado que, a menos que especificamente descrito conforme ocorrendo antes, ou depois, de alguma outra etapa, as etapas descritas na figura 2 podem ocorrer em várias ordens e/ou de forma contemporânea, sem que se desvie do escopo da invenção.
0 método pode começar com SlOlO, em que um comando de domínio, por exemplo, um comando de adicionar, modificar e/ou apagar, é recebido. 0 comando de domínio pode ser analisado gramaticalmente em S1020 para identificar, por exemplo, o domínio ao qual o comando se aplica, o TLD aplicável, o tipo de comando, quaisquer mudanças de DNS, etc. 0 método pode continuar com S1022.
Em S1022, mudanças que foram identificadas no comando
2 5 de domínio podem ser processadas para execução. Conforme
discutido aqui, a execução dessas mudanças pode ser incluída em uma transação única, tal com T1021, incluindo várias operações diferentes de banco de dados, tais como, por exemplo, funções de assinatura de DNSSEC. Em S1030 e
3 0 S1040, sistemas de exemplo, tal como o sistema de aprovisionamento 110 mostrado na figura 1, podem identificar dados de DNSSEC que serão adicionados e/ou mudados ou precisam ser assinados ou assinados de novo com base nas mudanças a serem feitas, ou sendo feitas, como resultado do comando de domínio. Isto pode envolver, por exemplo, a análise gramatical de comandos, operações e/ou dados quanto a mudanças relacionadas a DNSSEC e a identificação dos dados de DNSSEC que precisam ser assinados e/ou assinados de novo.
Em S1050, as chaves de DNSSEC apropriadas, os
protocolos de assinatura e/ou HSMs apropriados, podem ser identificados com base nos dados que precisam ser assinados. Essas determinações podem ser feitas com base em vários fatores, incluindo, por exemplo, o domínio e/ou o
TLD de domínio, em que os dados residem.
Em S1060, os dados de DNSSEC podem ser assinados, por exemplo, por um ou mais HSMs, por exemplo, HSMs 344, 34 8 mostrados na figura 2, ou os HSMs incluídos no sistema de aprovisionamento 110 mostrado na figura 1. Conforme os
2 0 dados de DNSSEC são assinados e outras mudanças de DNS são
executadas, as mudanças podem ser redirecionadas para um banco de dados de entidade de registro ou similar. Após as mudanças de DNS e as assinaturas de DNSSEC requeridas para a transação T1021 estarem completadas, a transação pode ter
a confiança conferida em S1070.
Após a transação ter a confiança conferida em S1070, as mudanças de DNS e as assinaturas de DNSSEC para a transação T1021 podem ser publicadas para o DNS em S1072. Deve ser notado que as etapas de método descritas na figura
3 0 4 não são uma representação exaustiva de todas as funções relacionadas a DNSSEC e de atualização de DNS que podem ser realizadas durante uma transação única. Por exemplo, as várias etapas de atualização de NSEC e outras funções, descritas acima no contexto de várias operações de atualização de DNS, obviamente, também podem ser incluídas na transação T1021.
Os inventores descobriram que a parte que consome mais tempo e, portanto, a mais otimizada da transação de DNSSEC são a geração e o armazenamento das assinaturas digitais seguidas de perto pela atualização da cadeia de NSEC3. Deve ser notado que a atualização da cadeia de NSEC3 ocorre a cada vez em que um domínio entrar ou sair do arquivo de zona de DNS para o TLD do domínio. Para a qualificação quanto ao arquivo de zona de TLD, um domínio: Deve ter um servidor de nome de delegação definido
para ele.
Não deve estar no status de espera.
Não deve ser apagado da entidade de registro.
Quaisquer mudanças em um domínio habilitado para
2 0 DNSSEC têm o potencial de mudar seu status de zona.
Conforme descrito acima, a assinatura de DNSSEC pode ser feita de forma síncrona em linha com a transação e redirecionada para o banco de dados de entidade de registro de autoridade. A resolução de DNS pode tomar cada transação redirecionada no banco de dados de entidade de registro e aplicá-la em incrementos aos servidores de DNS.
De acordo com aspectos da invenção, a assinatura de DNSSEC em linha com os comandos de domínio de uma entidade de registro de domínio pode prover vantagens na manutenção
3 0 de um nível mais alto de integridade de dados ao garantir, por exemplo, que o banco de dados de entidade de registro sempre represente a fonte de autoridade quanto ao que é publicado em DNS. Além da vantagem de integridade de dados, uma assinatura de DNSSEC em linha também efetivamente implementa atualizações em incrementos. Por exemplo, apenas uma porção da zona pode ser afetada por um comando de domínio individual, de modo que as atualizações de comando de domínio e as atualizações de DNSSEC adicionais possam ser propagadas para o DNS como uma unidade individual de trabalho, isto é, uma transação individual. Isto foi encontrado pelos inventores como resultando em uma latência muito baixa na propagação de atualizações de entidade de registro de domínio que incluem atualizações de DNSSEC para DNS.
Como parte da implementação de assinatura em linha de
DNSSEC, um agrupamento de servidores de assinatura de rede disponíveis e de alta performance, tal como mostrado nas figuras 2 e 3, pode ser provido para assinatura da informação de DNSSEC. Isto mostrou ser efetivo no contexto dos maiores TLDs, e mantém o SLA de tempo de resposta de entidade de registro de domínio, bem como mantém o SLA de propagação de DNS com um nível alto de integridade de dados.
Deve ser notado que uma assinatura de DNSSEC pode acontecer após comandos de atualização de domínio que não envolvem o distribuidor de reserva de registro submeter itens de registro de DS. Por exemplo, a remoção de quaisquer servidores de nome de um domínio habilitado para DNSSEC seria um comando de atualização de domínio, onde o 3 0 distribuidor de reserva de registro não passou dados de DNSSEC, mas que resulta na geração de assinaturas. Assim sendo, embora certos aspectos da invenção possam encontrar aplicabilidade na resposta a requisições de distribuidores de reserva de registro, incluindo múltiplos distribuidores de reserva de registro relacionados a uma dada entidade de registro, a invenção não está limitada a esses cenários.
Além das técnicas de assinatura em linha escritas acima, os inventores também identificaram outras metodologias que podem ser implementadas de acordo com os aspectos da invenção. Por exemplo, os inventores desenvolveram várias técnicas de "banco de dados de resolução de fluxo normal" e "lateral" que podem encontrar aplicabilidade na realização de operações de assinatura de DNSSEC, por exemplo, por uma entidade de registro ou outro provedor de serviços de DNS gerenciado. Os aspectos sobre um sistema de banco de dados de resolução de fluxo normal serão descritos primeiramente com referência à figura 5.
Conforme mostrado na figura 5, uma técnica de banco de dados de resolução de fluxo normal pode incluir a adição de 2 0 um banco de dados de resolução 222 e um processo de banco de dados de resolução 333 que comunica mudanças de DNS a partir de um banco de dados de entidade de registro 122, e similar, para o banco de dados de resolução 222. Conforme mencionado previamente, conforme usado aqui, "bancos de dados" devem ser construídos amplamente, e podem envolver esquemas de dados discretos ou tabelas em um banco de dados, etc. Na abordagem de banco de dados de resolução de fluxo normal, o banco de dados de resolução de fluxo normal 222 pode ser o banco de dados de autoridade para a provisão de atualizações em incrementos para o DNS 140. Todos os dados de domínio padronizados (por exemplo, dados não de DNSSEC) podem ser escritos no banco de dados de entidade de registro 122 com base em uma entrada a partir dos clientes de entidade de registro 111 sem um processamento de DNSSEC extra. As transações podem ser propagadas em ordem a partir do banco de dados de entidade de registro 122 para o banco de dados de resolução 222 pelo processo de banco de dados de entidade de registro para resolução 333. 0 processo de banco de dados de entidade de registro para resolução 333 pode identificar transações que têm impacto em DNSSEC, e pode executar a assinatura de DNSSEC e atualizações de item de registro que são escritas no banco de dados de resolução 222. O banco de dados de resolução 222 assim pode ser o banco de dados de autoridade para a rede de servidores de DNS. Há uma seta de uma via a partir do banco de dados de resolução 222 para o DNS 140, uma vez que os servidores de DNS na nuvem são uma representação em memória do que está contido no banco de dados de resolução 222.
Uma vantagem dessa abordagem é que pode haver pouco ou
2 0 nenhum tempo ou dependências expostas para os clientes de
entidade de registro para DNSSEC, uma vez que os processos de DNSSEC podem ser realizados de forma assíncrona em uma transação em separado no processo de banco de dados de entidade de registro para resolução 333. Nesse sentido, os inventores notaram que qualquer entidade de registro que possa aceitar dados de DNSSEC precisará realizar a geração intensiva de tempo e de processador de assinaturas digitais. Por esta razão, uma entidade de registro pode escolher fazer estas tarefas de geração de assinatura fora
3 0 das transações de OLTP. Isto geralmente envolveria que a entidade de registro:
1. Recebesse um comando que adicionasse, atualizasse ou apagasse um nome de domínio relacionado a DNSSEC ao/no/da entidade de registro.
2. Conferisse com confiança os dados a um banco de
dados de entidade de registro resultando da operação, menos quaisquer dados de assinatura digital.
3. Gerasse as assinaturas digitais requeridas para se refletirem as mudanças para os dados de DNSSEC, como
resultado da transação de OLTP.
4. Conferisse com confiança as assinaturas digitais e outros dados de DNSSEC, tais como mudanças em cadeias de NSEC ou NSEC3, para um banco de dados de entidade de registro/resolução.
A separação das etapas 3 e 4 em sua própria transação
de banco de dados em separado pode permitir que a entidade de registro envie uma resposta de alerta para o consumidor após a etapa 2 ter sido completada, deixando as etapas relativamente lentas 3 e 4 para serem feitas de forma síncrona, sem se afetarem os tempos de resposta de consumidor.
Os aspectos dos processos acima são geralmente mostrados na figura 6, a qual descreve as etapas de processamento de exemplo para um banco de dados de resolução de fluxo normal, conforme descrito aqui. Deve ser notado que, a menos que especificamente descrita como ocorrendo antes, ou depois, de alguma outra etapa, as etapas descritas na figura 6 podem ocorrer em várias ordens, e/ou de forma contemporânea, sem que se desvie do 3 0 escopo da invenção. O método pode começar com S2010, em que um comando de domínio, por exemplo, um comando de adicionar, modificar e/ou apagar, é recebido. 0 comando de domínio pode ser analisado gramaticalmente em S2020 para a identificação, por exemplo, do domínio ao qual o comando se aplica, o TLD aplicável, o tipo de comando, quaisquer mudanças de DNS, etc. 0 método pode continuar com S2022.
Em S2022, mudanças que foram identificadas no comando de domínio podem ser processadas para execução, sem processamento de dados de assinatura digital relacionados. Isto pode incluir a conferência de confiança de dados a um banco de dados de resolução resultando da operação, menos quaisquer dados de assinatura digital.
Em S2 03 0, a entidade de registro pode reportar uma conclusão das mudanças de S2022 para o consumidor, o que pode ser realizado independentemente do status de quaisquer funções de assinatura de DNSSEC.
Em S2032 e S2040, sistemas de exemplo, tal como o sistema de aprovisionamento 110 mostrado na figura 5, podem
2 0 identificar dados de DNSSEC que serão adicionados e/ou
mudados e/ou precisam ser assinados ou assinados de novo com base nas mudanças a serem feitas, ou já feitas, como resultado do comando de domínio. Isto pode envolver, por exemplo, a análise gramatical de comandos, operações e/ou dados quanto a mudanças relacionadas a DNSSEC e a identificação dos dados de DNSSEC que precisam ser assinados e/ou assinados de novo.
Em S205 0, chave seção de detecção de erro DNSSEC apropriadas, protocolos de assinatura e/ou HSMs apropriados
3 0 podem ser identificados com base nos dados que precisam ser assinados. Essas determinações podem ser feitas com base em vários fatores, incluindo, por exemplo, o domínio e/ou o TLD do domínio em que os dados residem.
Em S2060, os dados de DNSSEC podem ser assinados, por exemplo, por um ou mais HSMs, por exemplo, os HSMs 344, 34 8 mostrados na figura 2, ou os HSMs incluídos no sistema de aprovisionamento 110 mostrado na figura 1. Conforme os dados de DNSSEC são assinados, as mudanças podem ser redirecionadas para o banco de dados de resolução, por exemplo, o banco de dados de resolução de fluxo normal 222.
Em S2070, os dados de DNSSEC assinados de novo podem ser publicados para o DNS.
Voltando-nos para a abordagem "lateral" mencionada previamente, os aspectos desses sistemas e métodos são mostrados na figura 7. Conforme mostrado na figura 7, uma abordagem lateral pode ser realizada om um único banco de dados de entidade de registro 122 e um processo assíncrono 335 que preencherá o único banco de dados de entidade de registro 122 (fonte de verdade) com os dados de DNSSEC, os
2 0 quais então podem ser publicados em incrementos para fora
para o DNS 140. A abordagem "lateral" pode incluir a modificação dos servidores de DNS para a aplicação de regras adicionais, tal como a manutenção de certas transações pendentes, e apenas responder aos dados requisitados após as mudanças de DNSSEC pendentes terem sido feitas no banco de dados de entidade de registro 122.
A abordagem lateral não precisa adicionar um novo banco de dados de resolução, mas, ao invés disso, pode criar, por exemplo, um conjunto de tabelas laterais 124 no
3 0 banco de dados de entidade de registro 122 e replicadas para os servidores de DNS. 0 serviço de entidade de registro 335 pode incluir uma lógica adicional para inicialmente preencher a lateral com uma informação pendente a ser processada pela porção de DNSSEC de processo 335. 0 processo 225 pode processar todas as transações laterais pendentes de moro a assinar e gerenciar os itens de registro de DNSSEC escritos de volta para o banco de dados de entidade de registro 122. Os servidores de DNS podem estar cientes de mudanças pendentes, por exemplo, com base em uma informação em tabelas laterais 124, e podem ser liberados para retornar dados, por exemplo, pelo processo 335 marcar os itens de registro laterais como completados, e/ou reconhecer que itens de registro laterais foram removidos.
Uma vantagem da abordagem lateral é que ela não requer
uma informação em duplicata com um segundo banco de dados de resolução. Adicionalmente, com a abordagem lateral, transações não de DNSSEC podem não ser impactadas pelo processamento de DNSSEC, uma vez que elas podem se propagar para os servidores de DNS, conforme elas faziam antes. Por exemplo, uma falta de processamento de DNSSEC não impede as atualizações não de DNSSEC.
Os aspectos de uma abordagem lateral são geralmente mostrados na figura 8. Deve ser notado que, a menos que especificamente descrito como ocorrendo antes, ou depois, de alguma outra etapa, as etapas descritas na figura 8 podem ocorrer em várias ordens, e/ou de forma contemporânea, sem que se desvie do escopo da invenção.
0 método pode começar com S3010, em que um comando de 3 0 domínio, por exemplo, um comando de adicionar, modificar e/ou apagar, é recebido. O comando de domínio pode ser analisado gramaticalmente em S3 020 para a identificação, por exemplo, do domínio ao qual o comando se aplica, o TLD aplicável, o tipo de comando, quaisquer mudanças de DNS, etc. O método pode continuar com S3 022.
Em S3022, mudanças que foram identificadas no comando de domínio podem ser processadas para execução, sem processamento de dados de assinatura digital relacionados. Isto pode incluir a conferência de confiança de dados a um banco de dados de resolução resultando da operação, menos quaisquer dados de assinatura digital.
Em S3030 e S3032, sistemas de exemplo, tal como o sistema de aprovisionamento 110 mostrado na figura 5, podem identificar dados de DNSSEC que serão adicionados e/ou mudados e/ou precisam ser assinados ou assinados de novo com base nas mudanças a serem feitas, ou já feitas, como resultado do comando de domínio. Isto pode envolver, por exemplo, a análise gramatical de comandos, operações e/ou dados quanto a mudanças relacionadas a DNSSEC e a
2 0 identificação dos dados de DNSSEC que precisam ser
assinados e/ou assinados de novo.
Em S3 04 0, uma entrada de banco de dados pode ser criada, por exemplo, como parte de uma nova tabela lateral ou existente, indicando que há mudanças de DNSSEC pendentes relacionadas ao comando de domínio.
Em S3042, a entrada de banco de dados pode ser publicada para o DNS, por exemplo, como parte de uma nova ou de uma atualização em uma tabela lateral existente.
Em S3050, chaves de DNSSEC apropriadas, protocolos de
3 0 assinatura e/ou HSMs apropriados podem ser identificados com base nos dados que precisam ser assinados. Essas determinações podem ser feitas com base em vários fatores, incluindo, por exemplo, o domínio e/ou o TLD do domínio em que os dados residem.
Em S3060, os dados de DNSSEC podem ser assinados, por
exemplo, por um ou mais HSMs, por exemplo, os HSMs 344, 348 mostrados na figura 2, ou os HSMs incluídos no sistema de aprovisionamento 110 mostrado na figura 1. Conforme os dados de DNSSEC são assinados, as mudanças podem ser redirecionadas para o banco de dados de resolução, por exemplo, o banco de dados de resolução de fluxo normal 222.
Em S3070, os dados de DNSSEC assinados de novo podem ser publicados para o DNS. Adicionalmente, a entrada de banco de dados pode ser limpa, por exemplo, pela limpeza de uma entrada em uma tabela lateral, ou o apagamento de uma tabela lateral. As mudanças na tabela lateral também podem ser publicadas para o DNS.
Em modalidades, um motor de DNSSEC também pode ser configurado para a provisão de uma imagem estável, coerente dos dados de sistema de resolução em todos os momentos, é pode conter algoritmos de otimização adicionais para se desviar de eventos não processados, quando aqueles eventos se tornarem obsoletos por eventos posteriores (por exemplo, reconhecimento que não há necessidade de processamento de eventos de DNSSEC em fila para um domínio cujo evento mais recente resulta em ser apagado do sistema de entidade de registro em conjunto) .
As modalidades da presente invenção podem incluir sistemas para a implementação dos métodos descritos, bem 3 0 como um meio de armazenamento que pode ser lido em computador codificado com instruções para se fazer com que um computador execute os métodos descritos. Por exemplo, conforme mostrado na figura 8, sistemas de servidor, tais como os servidores 600, 610 e/ou 620 incluindo pelo menos um processador, uma em e um dispositivo de comunicação eletrônico (não mostrado), podem ser configurados para receberem, identificarem, responderem a e/ou atuarem sobre uma requisição, tais como aqueles descritos aqui, recebida pela rede 605, tal como a Internet. Qualquer um dos servidores 600, 610 e/ou 620 pode ser operado, por exemplo, por um provedor de hospedagem da internet, um distribuidor de reserva de registro e/ou uma entidade de registro, conforme descrito adicionalmente aqui, e pode estar em comunicação com qualquer número de servidores de DNS recursivos geralmente representados por dispositivos da web 630. Conforme descrito aqui, os servidores recursivos 630 podem armazenar em cache dados relacionados a DNS para domínios dos provedores de hospedagem, distribuidores de reserva de registro e/ou entidades de registro operando os servidores 600, 610 e 620.
As requisições para atualização de dados de DNS para um domínio podem se originar, por exemplo, a partir de um distribuidor de reserva de registro, um provedor de serviços de DNS ou um agente de registro, através de vários sistemas, tais como, por exemplo, computadores 611, 612, através de um servidor em separado 613, o qual pode ser sem fio ou estar em comunicação com dispositivo(s) móvel(is) 614, dispositivos de rede de picocélula 615, computador móvel 616, ou qualquer outro dispositivo capaz para rede 3 0 com as capacidades funcionais requisitadas. As várias funções de comunicações, transmissões e relacionadas descritas aqui podem ser realizadas, por exemplo, através da rede 605, e os resultados do processamento descrito realizados por sistemas de servidor, tais como os servidores 600, 610 e 620 podem ser exibidos, armazenados e/ou distribuídos de acordo com técnicas conhecidas. A rede 605 pode incluir qualquer número de componentes de comunicação, incluindo enlaces de comunicação com fio, celulares, por satélite, óticos e/ou outros similares.
Os servidores 600, 610 e 620 e os computadores 611, 612 podem incluir qualquer número de processadores (não mostrados) que forem acoplados aos dispositivos de armazenamento, incluindo um primeiro armazenamento (não mostrado, tipicamente uma memória de acesso randômico ou "RAM"), um segundo armazenamento (não mostrado, tipicamente uma memória apenas de leitura ou "ROM"). Ambos estes dispositivos de armazenamento podem incluir qualquer tipo adequado de meios que podem ser lidos em computador,
2 0 incluindo meios de armazenamento não transitórios, tais
como unidades flash, discos rígidos, discos flexíveis, fita magnética, mídia ótica, tais como discos de CD-ROM e/ou mídia magneto-ótica. Um dispositivo de armazenamento de massa (não mostrado) também pode ser usado para o armazenamento de programas, dados e similares, e é tipicamente um meio de armazenamento secundário, tal como um disco rígido, que é mais lento do que o armazenamento primário. Será apreciado que a informação retida no dispositivo de armazenamento de massa em casos apropriados
3 0 pode ser incorporada de uma maneira padrão como parte do armazenamento primário como uma memória virtual. Um dispositivo de armazenamento de massa específico, tal como um CD-ROM, também pode passar dados de forma unidirecional para o processador.
Os servidores 600, 610 e 620 e os computadores 611,
612, também podem incluir um ou mais dispositivos de entrada, tais como monitores de vídeo, trackballs, mousses, teclados, microfones, visores sensíveis ao toque, leitoras de placa de transdutor, leitoras de fita magnética ou papel, tablets, canetas óticas, reconhecedores de voz e escrita à mão, ou outros dispositivos de entrada conhecidos, incluindo outros computadores. Os servidores 600, 610 e 620 e os computadores 611, 612, podem ser acoplados a um computador ou outra rede de comunicação eletrônica 605 usando-se uma conexão de rede. A rede 605 pode conectar várias redes com fio, óticas, eletrônicas e outras conhecidas para a troca de informação dentre os servidores 600, 610 e 620, os computadores 611, 612, servidor em separado 613, dispositivo(s) móvel(is) 614, dispositivos de rede de picocélula 615, computador móvel 616, servidores recursivos 630, e quaisquer outros dispositivos com funcionalidade similar. Com uma conexão de rede como essa, é contemplado que os servidores 600, 610 e 62 0 e os computadores 611, 612 e os processadores ali podem receber uma informação a partir da rede 605, ou podem extrair uma informação para a rede 605 no decorrer da realização das etapas de método descritas acima. Os dispositivos e materiais descritos acima não precisam ser descritos de forma individual ou exaustiva para serem 3 0 entendidos por aqueles de conhecimento na técnica. Os elementos de hardware descritos acima podem ser configurados (usualmente de forma temporária) para atuarem como um ou mais módulos para a realização das operações descritas acima.
Além disso, as modalidades da presente invenção ainda
incluem meios de armazenamento que podem ser lidos em computador que incluem instruções de programa para a realização de várias operações implementadas em computador, conforme descrito aqui. Os meios podem incluir, sozinhos ou em combinação com instruções de programa, arquivos de dados, estruturas de dados, tabelas e similares. Os meios e as instruções de programa podem ser aqueles especialmente projetados e construídos para as finalidades do presente assunto, ou eles podem ser do tipo disponível para aqueles tendo conhecimento nas técnicas de software. Os exemplos de meios de armazenamento que podem ser lidos em computador incluem meios magnéticos, tais como unidades flash, discos rígidos, discos flexíveis e fita magnética; mídia ótica, tais como discos de CD-ROM; mídia magneto-ótica; e 2 0 dispositivos de hardware que são especialmente configurados para o armazenamento e a execução de instruções de programa, tais com dispositivos de memória apenas de leitura (ROM) e dispositivos de memória de acesso randômico (RAM). Os exemplos de instruções de programa incluem um
2 5 código de máquina, tal como produzido por um compilador, e
arquivos contendo um código de nível mais alto que pode ser executado pelo computador usando um intérprete.
A descrição dada acima é meramente ilustrativa, e não tem por significado ser uma lista exaustiva de todas as
3 0 modalidades possíveis, aplicações ou modificações da invenção. Assim, várias modificações e variações dos métodos e sistemas descritos da invenção serão evidentes para aqueles versados na técnica, sem que se desvie do escopo e do espírito da invenção. Embora a invenção tenha sido descrita em relação a modalidades específicas, deve ser entendido que a invenção, conforme reivindicada, não deve ser indevidamente limitada a essas modalidades específicas.

Claims (23)

1. Método de realização de uma assinatura de DNSSEC em uma entidade de registro caracterizado pelo fato de que compreende: o recebimento de um comando de domínio de um requisitante-, o comando de domínio incluindo um identificador de um domínio; a execução do comando de domínio recebido com respeito a dados armazenados pela entidade de registro para o domínio; a identificação das mudanças de dados de DNSSEC; como parte de uma transação individual incluindo a execução do comando de domínio, assinatura de itens de registro de DNSSEC para o domínio com base nas mudanças de dados de DNSSEC identificadas usando-se uma chave privada de um servidor de autoridade; a conferência de confiança à transação na valor de potência de MCS de referência; e a propagação da transação de confiança conferida para a infraestrutura de DNS.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o comando de domínio inclui um ou mais elementos de assinante de delegação (DS) de DNSSEC.
3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o comando de domínio inclui um ou mais elementos de DNSKEY que geram um ou mais itens de registro de assinante de delegação (DS) de DNSSEC.
4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que ainda compreende a publicação em incrementos dos itens de registro de DNSSEC assinados para um servidor em separado.
5. Método, de acordo com a reivindicação 4, caracterizado pelo fato de que os itens de registro de DNSSEC assinados são publicados em incrementos em uma pluralidade de servidores de DNS em separado.
6. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o domínio é pelo menos um dentre um domínio de segundo nível sob um domínio de nível de topo da entidade de registro.
7. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o método é realizado para domínios a partir de uma pluralidade de distribuidores de reserva de registro por um servidor de autoridade da entidade de registro.
8. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a assinatura de itens de registro de DNS é realizada para pelo menos dois domínios a partir de uma pluralidade de distribuidor de reserva de registro por um servidor de autoridade da entidade de registro.
9. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a assinatura de itens de registro de DNS é realizada por uma pluralidade de servidores de assinatura para a entidade de registro.
10. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o comando de domínio é pelo menos um dentre um comando de adicionar, atualizar e apagar para o domínio.
11. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que ainda compreende a conferência de confiança a mudanças para cadeias de NSEC ou NSEC3 com base em pelo menos um dos comandos de adicionar, atualizar e apagar.
12. Sistema de assinatura de DNSSEC para uma entidade de registro caracterizado pelo fato de que compreende: um processador; e um dispositivo de armazenamento incluindo um código que pode ser lido em computador que, quando executado pelo processador, faz com que o servidor de assinatura atue como um servidor de autoridade para: o recebimento de um primeiro domínio a partir de um requisitante para pelo menos um dentre adicionar, atualizar ou apagar um nome de domínio relacionado a DNSSEC suportado pela entidade de registro; a execução de instruções a partir do primeiro comando para adicionar, atualizar ou apagar dados armazenados em um banco de dados de entidade de registro; como parte de uma transação individual incluindo a execução das instruções a partir do primeiro comando, a geração de uma assinatura digital com base nas mudanças de adicionar, atualizar ou apagar; a conferência de confiança à assinatura digital para um banco de dados de resolução de entidade de registro.
13. Sistema, de acordo com a reivindicação 12, caracterizado pelo fato de que o domínio é pelo menos um domínio de segundo nível abaixo de um domínio de nível de topo da entidade de registro.
14. Sistema, de acordo com a reivindicação 12, caracterizado pelo fato de que o processador é configurado para assinar itens de registro de DNS para pelo menos dois domínios a partir de uma pluralidade de distribuidores de reserva de registro.
15. Sistema, de acordo com a reivindicação 12, caracterizado pelo fato de que o processador é adicionalmente configurado para publicar em incrementos os itens de registro de DNSSEC assinados para uma pluralidade de servidores de DNS em separado.
16. Sistema, de acordo com a reivindicação 12, caracterizado pelo fato de que ainda compreende uma pluralidade de servidores de assinatura configurados para a assinatura de itens de registro de DNS para a entidade de registro.
17. Sistema, de acordo com a reivindicação 12, caracterizado pelo fato de que o processador é adicionalmente configurado para conferir confiança a mudanças de cadeias de NSEC ou NSEC3 com base em pelo menos um dentre um comando de adicionar, atualizar e apagar.
18. Sistema de assinatura de DNSSEC para uma entidade de registro caracterizado pelo fato de que compreende: um processador; e um dispositivo de armazenamento incluindo um código que pode ser lido em computador que, quando executado pelo processador, faz com que o servidor de assinatura atue como um servidor de autoridade para: o recebimento de um primeiro comando a partir de um requisitante para pelo menos adicionar, atualizar ou apagar um nome de domínio relacionado a DNSSEC à, na ou da entidade de registro; a execução de instruções a partir do primeiro comando para adicionar, atualizar, e/ou apagar dados armazenados em um banco de dados de entidade de registro, em que a execução não inclui a aplicação de dados de assinatura digital; o relatório para o requisição que as instruções foram executadas; a geração de uma assinatura digital com base em mudanças de adicionar, atualizar e/ou apagar; e a conferência de confiança a assinatura digital para um banco de dados de resolução de entidade de registro.
19. Sistema, de acordo com a reivindicação 18, caracterizado pelo fato de que mudanças não de DNSSEC e mudanças de DNSSEC são publicadas pelo sistema de forma assíncrona para o DNS.
20. Sistema, de acordo com a reivindicação 19, caracterizado pelo fato de que o processador é adicionalmente configurado para conferir confiança a mudanças para cadeias de NSEC ou NSEC3, com base nas mudanças de adicionar, atualizar e/ou apagar.
21. Sistema de assinatura de DNSSEC para uma entidade de registro, caracterizado pelo fato de que compreende: um processador; e um dispositivo de armazenamento que inclui um código que pode ser lido em computador que, quando executado pelo processador, faz com que o servidor de assinatura atue como um servidor de autoridade para: o recebimento de um primeiro comando a partir de um requisitante para pelo menos adicionar, atualizar ou apagar um nome de domínio relacionado a DNSSEC à, na ou da entidade de registro; a execução de instruções a partir do primeiro comando para adicionar, atualizar e/ou apagar dados armazenados em um banco de dados de entidade de registro, em que a execução não inclui a aplicação de dados de assinatura digital; a geração de uma entrada de banco de dados indicando mudanças de DNSSEC pendentes relacionadas ao primeiro comando; a geração de uma assinatura digital com base em mudanças de adicionar, atualizar e/ou apagar; e a limpeza da entrada de banco de dados.
22. Sistema, de acordo com a reivindicação 21, caracterizado pelo fato de que o processador é adicionalmente configurado para publicar a entrada de banco de dados para o DNS.
23. Sistema, de acordo com a reivindicação 21, caracterizado pelo fato de que o processador é adicionalmente configurado para conferir confiança a mudanças nas cadeias de NSEC ou NSEC3 com base nas mudanças de adicionar, atualizar e/ou apagar.
BR102012010250-1A 2011-04-29 2012-04-30 Assinatura de linha de entrada de dussec BR102012010250A2 (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/098,032 US8645700B2 (en) 2011-04-29 2011-04-29 DNSSEC inline signing

Publications (1)

Publication Number Publication Date
BR102012010250A2 true BR102012010250A2 (pt) 2014-02-04

Family

ID=46061988

Family Applications (1)

Application Number Title Priority Date Filing Date
BR102012010250-1A BR102012010250A2 (pt) 2011-04-29 2012-04-30 Assinatura de linha de entrada de dussec

Country Status (5)

Country Link
US (1) US8645700B2 (pt)
EP (1) EP2518970B1 (pt)
JP (1) JP2012235462A (pt)
BR (1) BR102012010250A2 (pt)
CA (1) CA2775560C (pt)

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8028090B2 (en) 2008-11-17 2011-09-27 Amazon Technologies, Inc. Request routing utilizing client location information
US7991910B2 (en) 2008-11-17 2011-08-02 Amazon Technologies, Inc. Updating routing information based on client location
US8606996B2 (en) 2008-03-31 2013-12-10 Amazon Technologies, Inc. Cache optimization
US8321568B2 (en) 2008-03-31 2012-11-27 Amazon Technologies, Inc. Content management
US7970820B1 (en) 2008-03-31 2011-06-28 Amazon Technologies, Inc. Locality based content distribution
US7962597B2 (en) 2008-03-31 2011-06-14 Amazon Technologies, Inc. Request routing based on class
US8447831B1 (en) 2008-03-31 2013-05-21 Amazon Technologies, Inc. Incentive driven content delivery
US8601090B1 (en) 2008-03-31 2013-12-03 Amazon Technologies, Inc. Network resource identification
US9407681B1 (en) 2010-09-28 2016-08-02 Amazon Technologies, Inc. Latency measurement in resource requests
US8412823B1 (en) 2009-03-27 2013-04-02 Amazon Technologies, Inc. Managing tracking information entries in resource cache components
US8782236B1 (en) 2009-06-16 2014-07-15 Amazon Technologies, Inc. Managing resources using resource expiration data
US8397073B1 (en) 2009-09-04 2013-03-12 Amazon Technologies, Inc. Managing secure content in a content delivery network
US9495338B1 (en) 2010-01-28 2016-11-15 Amazon Technologies, Inc. Content distribution network
US9003035B1 (en) 2010-09-28 2015-04-07 Amazon Technologies, Inc. Point of presence management in request routing
US10958501B1 (en) 2010-09-28 2021-03-23 Amazon Technologies, Inc. Request routing information based on client IP groupings
US9712484B1 (en) 2010-09-28 2017-07-18 Amazon Technologies, Inc. Managing request routing information utilizing client identifiers
US8468247B1 (en) 2010-09-28 2013-06-18 Amazon Technologies, Inc. Point of presence management in request routing
US8452874B2 (en) 2010-11-22 2013-05-28 Amazon Technologies, Inc. Request routing processing
US10467042B1 (en) 2011-04-27 2019-11-05 Amazon Technologies, Inc. Optimized deployment based upon customer locality
US10015134B2 (en) * 2011-12-29 2018-07-03 Verisign, Inc. Methods and systems for creating new domains
US10623408B1 (en) 2012-04-02 2020-04-14 Amazon Technologies, Inc. Context sensitive object management
US8782399B2 (en) * 2012-04-02 2014-07-15 Richard Lamb Automated secure DNSSEC provisioning system
US9077687B2 (en) * 2012-05-10 2015-07-07 Centurylink Intellectual Property Llc System and method for secure machine-to-machine communications
US8800011B2 (en) * 2012-05-31 2014-08-05 Rackspace Us, Inc. Validating pointer records in a domain name system (DNS) service
US9154551B1 (en) 2012-06-11 2015-10-06 Amazon Technologies, Inc. Processing DNS queries to identify pre-processing information
US9323577B2 (en) 2012-09-20 2016-04-26 Amazon Technologies, Inc. Automated profiling of resource usage
US10205698B1 (en) 2012-12-19 2019-02-12 Amazon Technologies, Inc. Source-dependent address resolution
US9118675B2 (en) * 2012-12-27 2015-08-25 Dassault Systemes 3D cloud lock
US9509671B2 (en) 2012-12-27 2016-11-29 Dassault Systèmes 3D bot detection
US9961110B2 (en) 2013-03-15 2018-05-01 Verisign, Inc. Systems and methods for pre-signing of DNSSEC enabled zones into record sets
US9497213B2 (en) * 2013-03-15 2016-11-15 Fireeye, Inc. System and method to manage sinkholes
US9306751B2 (en) * 2013-04-30 2016-04-05 Kathie Wilson Secure time and crypto system
FR3015838A1 (fr) * 2013-12-20 2015-06-26 Orange Procede de mise a jour dynamique d'informations obtenues de la part d'un serveur dns
CN103957289B (zh) * 2014-05-12 2017-10-31 中国科学院计算机网络信息中心 一种基于复杂网络上的dnssec解析方法
US20160099945A1 (en) * 2014-10-07 2016-04-07 Unisys Corporation Dns security extensions for emulated applications
US10097448B1 (en) 2014-12-18 2018-10-09 Amazon Technologies, Inc. Routing mode and point-of-presence selection service
US9544278B2 (en) 2015-01-07 2017-01-10 Red Hat, Inc. Using domain name system security extensions in a mixed-mode environment
US9935950B2 (en) 2015-01-12 2018-04-03 Verisign, Inc. Systems and methods for establishing ownership and delegation ownership of IOT devices using domain name system services
US10225326B1 (en) 2015-03-23 2019-03-05 Amazon Technologies, Inc. Point of presence based data uploading
US9819567B1 (en) 2015-03-30 2017-11-14 Amazon Technologies, Inc. Traffic surge management for points of presence
US9954840B2 (en) * 2015-05-08 2018-04-24 Cloudflare, Inc. Generating a negative answer to a domain name system query that indicates resource records as existing for the domain name regardless of whether those resource records actually exist for the domain name
US10033699B2 (en) 2015-05-08 2018-07-24 Cloudflare, Inc. Transparent DNSSEC-signing proxy
US9832141B1 (en) 2015-05-13 2017-11-28 Amazon Technologies, Inc. Routing based request correlation
WO2016202397A1 (en) * 2015-06-18 2016-12-22 Huawei Technologies Co., Ltd. Dns based pki system
US9768967B2 (en) 2015-06-26 2017-09-19 Centurylink Intellectual Property Llc Numeric pattern normalization for cryptographic signatures
US10270878B1 (en) 2015-11-10 2019-04-23 Amazon Technologies, Inc. Routing for origin-facing points of presence
US11025407B2 (en) * 2015-12-04 2021-06-01 Verisign, Inc. Hash-based digital signatures for hierarchical internet public key infrastructure
US10178195B2 (en) 2015-12-04 2019-01-08 Cloudflare, Inc. Origin server protection notification
CN105812503B (zh) * 2016-03-15 2018-11-16 中国石油天然气股份有限公司华北油田分公司 根服务器地址更新方法和一种递归服务器
US11128476B2 (en) * 2016-03-23 2021-09-21 Go Daddy Operating Company, LLC DNS provider configuring a registry DNSSEC record
US10075551B1 (en) 2016-06-06 2018-09-11 Amazon Technologies, Inc. Request management for hierarchical cache
US10110694B1 (en) 2016-06-29 2018-10-23 Amazon Technologies, Inc. Adaptive transfer rate for retrieving content from a server
US20180024807A1 (en) * 2016-07-21 2018-01-25 Vision Menu, Inc. System and Method of Document and Signature Management
US9992086B1 (en) 2016-08-23 2018-06-05 Amazon Technologies, Inc. External health checking of virtual private cloud network environments
US10616250B2 (en) 2016-10-05 2020-04-07 Amazon Technologies, Inc. Network addresses with encoded DNS-level information
US10831549B1 (en) 2016-12-27 2020-11-10 Amazon Technologies, Inc. Multi-region request-driven code execution system
US10938884B1 (en) 2017-01-30 2021-03-02 Amazon Technologies, Inc. Origin server cloaking using virtual private cloud network environments
US10503613B1 (en) 2017-04-21 2019-12-10 Amazon Technologies, Inc. Efficient serving of resources during server unavailability
US10447482B2 (en) 2017-05-25 2019-10-15 Red Hat, Inc. Using domain name system for verifying integrity of application packages
US11075987B1 (en) 2017-06-12 2021-07-27 Amazon Technologies, Inc. Load estimating content delivery network
US10447648B2 (en) 2017-06-19 2019-10-15 Amazon Technologies, Inc. Assignment of a POP to a DNS resolver based on volume of communications over a link between client devices and the POP
US10742593B1 (en) 2017-09-25 2020-08-11 Amazon Technologies, Inc. Hybrid content request routing system
US11171917B2 (en) * 2017-11-01 2021-11-09 Verisign, Inc. Systems and methods for domain name system promotion and redemption
US10592578B1 (en) 2018-03-07 2020-03-17 Amazon Technologies, Inc. Predictive content push-enabled content delivery network
US11394540B1 (en) 2018-08-30 2022-07-19 United Services Automobile Association (Usaa) Multi autonomous secure domain name systems
US10862852B1 (en) 2018-11-16 2020-12-08 Amazon Technologies, Inc. Resolution of domain name requests in heterogeneous network environments
US11025747B1 (en) 2018-12-12 2021-06-01 Amazon Technologies, Inc. Content request pattern-based routing system
US11218438B2 (en) * 2019-04-12 2022-01-04 Huawei Technologies Co., Ltd. System, apparatus and method to support data server selection
US10715484B1 (en) 2019-12-11 2020-07-14 CallFire, Inc. Domain management and synchronization system
US11575646B2 (en) * 2020-03-12 2023-02-07 Vmware, Inc. Domain name service (DNS) server cache table validation
EP3901807B1 (de) * 2020-04-20 2022-07-27 Siemens Aktiengesellschaft Erstellen eines domain-name-system-container-images zum erstellen einer domain-name-system-container-instanz
US11444931B1 (en) * 2020-06-24 2022-09-13 F5, Inc. Managing name server data
CN114244581B (zh) * 2021-11-29 2024-03-29 西安四叶草信息技术有限公司 缓存中毒漏洞检测方法、装置、电子设备及存储介质

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6823454B1 (en) * 1999-11-08 2004-11-23 International Business Machines Corporation Using device certificates to authenticate servers before automatic address assignment
US7680955B2 (en) * 2004-12-01 2010-03-16 George Mason Intellectual Properties, Inc. SCIT-DNS: critical infrastructure protection through secure DNS server dynamic updates
EP1974522B1 (fr) 2005-12-27 2012-10-17 France Telecom Serveur, client et procédé pour gérer des requetes DNSSEC
FR2908540A1 (fr) 2006-11-15 2008-05-16 France Telecom Deploiement de bases dnssec
CA2586223A1 (en) * 2007-04-19 2007-07-18 Cannotech Experts-Conseils Inc. Opt-in process and nameserver system for ietf dnssec
US7930428B2 (en) * 2008-11-11 2011-04-19 Barracuda Networks Inc Verification of DNS accuracy in cache poisoning
US20120054497A1 (en) 2009-06-15 2012-03-01 Nokia Siemens Networks Oy Gateway certificate creation and validation
US8140669B2 (en) * 2009-08-31 2012-03-20 International Business Machines Corporation Resolving hostnames on a private network with a public internet server
WO2012009430A1 (en) * 2010-07-13 2012-01-19 Verisign, Inc. System and method for zone signing and key management in a dns system
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US8549148B2 (en) 2010-10-15 2013-10-01 Brocade Communications Systems, Inc. Domain name system security extensions (DNSSEC) for global server load balancing
US8953798B2 (en) 2010-10-29 2015-02-10 Telefonaktiebolaget L M Ericsson (Publ) Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol
US8498414B2 (en) * 2010-10-29 2013-07-30 Telefonaktiebolaget L M Ericsson (Publ) Secure route optimization in mobile internet protocol using trusted domain name servers
US8711843B2 (en) 2010-10-29 2014-04-29 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographically generated addresses using backward key chain for secure route optimization in mobile internet protocol
WO2012061243A1 (en) 2010-11-05 2012-05-10 Citrix Systems, Inc. Systems and methods for managing domain name system security (dnssec)

Also Published As

Publication number Publication date
US20120278626A1 (en) 2012-11-01
JP2012235462A (ja) 2012-11-29
AU2012202458B2 (en) 2016-04-14
CA2775560A1 (en) 2012-10-29
EP2518970B1 (en) 2017-03-22
EP2518970A1 (en) 2012-10-31
US8645700B2 (en) 2014-02-04
AU2012202458A1 (en) 2012-11-15
CA2775560C (en) 2019-05-14

Similar Documents

Publication Publication Date Title
EP2518970B1 (en) Dnssec inline signing
CN102769529B (zh) Dnssec签名服务器
Afanasyev et al. NDNS: A DNS-like name service for NDN
US10230526B2 (en) Out-of-band validation of domain name system records
US10212173B2 (en) Deterministic reproduction of client/server computer state or output sent to one or more client computers
Ariyapperuma et al. Security vulnerabilities in DNS and DNSSEC
US20110047610A1 (en) Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication
US20220377050A1 (en) Methods and systems for domain name data networking
WO2021237941A1 (zh) 基于区块链的顶级域名管理和解析方法及系统
US20220286431A1 (en) Dns resolver-assisted domain name-based access control
US20170085380A1 (en) Methods and systems for bootstrapping
CN103379116A (zh) Dnssec在线签名
US11218326B1 (en) System and method for generating current live and test versions of DNS data for rollover
US11297033B2 (en) System and method for generating current live and test versions of DNS data for HSM changes
O'Donnell Open network handles implemented in DNS
Chandramouli et al. An integrity verification scheme for DNS zone file based on security impact analysis
US11405353B2 (en) System and method for generating concurrently live and test versions of DNS data
Conrad Towards improving DNS security, stability, and resiliency
KR20120122979A (ko) Dnssec 인라인 서명
US20220006774A1 (en) System and method for publishing dns records of a domain including either signed or unsigned records
Vitalii et al. Slabovych Volodymyr
Mateu Romero Study of DNSSEC and implementation of an attack using Simctl
O’Donnell Open Network Handles Implemented in DNS< draft-odonnell-onhs-imp-dns-00. txt
Maraikar Resource and service discovery for mobile agent platforms
SCHEERDER et al. SHAPING DNS SECURITY WITH CURVES

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B11A Dismissal acc. art.33 of ipl - examination not requested within 36 months of filing
B11Y Definitive dismissal - extension of time limit for request of examination expired [chapter 11.1.1 patent gazette]