CN102546176A - 在多主体环境中支持dns安全 - Google Patents
在多主体环境中支持dns安全 Download PDFInfo
- Publication number
- CN102546176A CN102546176A CN2011104322867A CN201110432286A CN102546176A CN 102546176 A CN102546176 A CN 102546176A CN 2011104322867 A CN2011104322867 A CN 2011104322867A CN 201110432286 A CN201110432286 A CN 201110432286A CN 102546176 A CN102546176 A CN 102546176A
- Authority
- CN
- China
- Prior art keywords
- dns
- key
- reciprocity
- signature
- dns server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4552—Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
将多个对等域名系统(DNS)服务器包括在多主体DNS环境内。所述多个对等DNS服务器其中之一是密钥主体对等DNS服务器,所述密钥主体对等DNS服务器生成由所述多个对等DNS服务器提供服务的DNS区域的一个或多个密钥。所述密钥主体对等DNS服务器还可以生成签名密钥描述符,所述签名密钥描述符标识所述DNS区域的一个或多个密钥的集合,并且将所述签名密钥描述符传送给所述多个对等DNS服务器的其他对等DNS服务器。
Description
背景技术
典型的域名系统(domain name system(DNS))服务器解析网际协议(IP)地址的名称。DNS安全扩展(DNS Security Extension(DNSSEC))协议已经发展到了将安全扩展添加到DNS系统中。然而,典型的DNS系统被建立为具有主DNS服务器和一个或多个辅DNS服务器。在具有一个以上主DNS服务器的环境中实现DNSSEC协议可能是有问题的。
发明内容
以简化形式提供本发明内容以介绍选择的概念,在以下的具体实施方式中将进一步描述这些观点。本发明内容没有打算标识出所要求保护的主题的关键特征或本质特征,也没有打算用来限制所要求保护的主题的范围。
依据一个或多个方面,生成标识如何对域名系统(DNS)区域进行签名的签名密钥描述符。另外,在多主体DNS环境的第一对等DNS服务器处,至少部分地基于所述签名密钥描述符生成所述DNS区域的一个或多个密钥的集合。还将所述签名密钥描述符提供给所述多主体DNS环境的一个或多个另外的对等DNS服务器。
依据一个或多个方面,在第一对等DNS服务器处,从第二对等DNS服务器接收签名密钥描述符。所述第一对等DNS服务器和所述第二对等DNS服务器都是多主体DNS环境的DNS区域的DNS服务器。从密钥存储器获得一个或多个密钥,并且所述一个或多个密钥用来至少部分地基于所述签名密钥描述符而生成所述DNS区域的DNS数据的数字签名。
附图说明
整个附图中使用的相同的标记涉及同样的特征。
图1图解说明了依据一个或多个实施例的实现在多主体环境中支持DNS安全的示例性网络。
图2图解说明了依据一个或多个实施例的包括多个对等DNS服务器的示例性系统。
图3是图解说明依据一个或多个实施例的用于在多主体环境中支持DNS安全的示例性过程的流程图。
图4是图解说明依据一个或多个实施例的用于在多主体环境中支持DNS安全的示例性过程的流程图。
图5图解说明了依据一个或多个实施例的可被配置为实现在多主体环境中支持DNS安全的示例性计算装置。
具体实施方式
在此讨论了在多主体环境中支持域名系统(DNS)安全。实现DNS安全扩展的多主体环境包括多个DNS服务器,这些DNS服务器对于主管特定区域来说是对等操作的。多个对等DNS服务器其中之一是密钥主体服务器,并且担负着生成密钥和管理密钥生命周期、以及将密钥分配到其他的对等DNS服务器。多个对等DNS服务器的每一个都担负着通过使用相同的一个或多个共享密钥而生成它自己的DNS数据的数字签名,响应于向DNS服务器提交的DNS请求而返回所述DNS数据。
在此对数字签名和数字证书进行了参照。尽管数字签名和数字证书对于本领域技术人员来说是公知的,但是在此还是包括了数字签名和数字证书的简短概述,以助于读者理解。典型地,使用公开密钥密码术来生成数字签名和数字证书。在公开密钥密码术中,实体(例如用户、硬件或软件部件、装置、域等)具有与它相关联的公开/私有密钥对。将公开密钥设置为公开可用的,但是所述实体对私有密钥进行保密。没有所述私有密钥,则非常难以计算地解密使用所述公开密钥加密的数据。因此,可以由带有所述公开密钥的任何实体来加密数据,但是却只能由带有相应私有密钥的实体来解密所述数据。另外,可以通过使用数据和私有密钥来生成数据的数字签名。没有所述私有密钥,则非常难以计算地创建可使用所述公开密钥验证的签名。然而,通过在所述公开密钥、所述签名和已签名的数据上执行适当的数字签名验证算法,带有所述公开密钥的任何实体都可以使用所述公开密钥来验证所述数字签名。可以将数字证书创建为包括实体的标识符和所述实体的公开密钥,以及使用所述实体的私有密钥而数位签名的数字证书,以便将所述实体的标识符与所述实体的公开密钥相绑定。
可替换地,使用对称密钥密码术来生成数字签名和数字证书。在对称密钥密码术中,由两个实体知晓共享密钥(也被称为对称密钥),并且这两个实体保守秘密。典型地,具有所述共享密钥的任何实体都能够解密使用该共享密钥加密的数据。没有所述共享密钥,则非常难以计算地解密用所述共享密钥加密的数据。因此,如果两个实体都知晓共享密钥,则每个实体都可以加密可由另一个实体解密的数据,但是其他的实体却不能解密所述数据,如果其他的实体不知晓所述共享密钥。同样,具有共享密钥的实体可以加密可由该相同实体解密的数据,但是其他的实体不能解密所述数据,如果其他的实体不知晓所述共享密钥。另外,可以基于对称密钥密码术生成数字签名,例如使用密钥散列消息认证码(keyed-hash
message authentication code)机制。具有所述共享密钥的任何实体都可以生成并且验证所述数字签名。例如,可信赖的第三方可以基于特定实体的身份生成对称密钥,并且然后可以生成以及验证所述特定实体的数字签名(例如,通过使用所述对称密钥加密或解密数据)。可以将数字证书创建为包括实体的标识符和所述实体的公开密钥,以及数位签名的数字证书(例如,通过所述可信赖的第三方进行数位签名的),以便将所述实体的标识符与所述实体的公开密钥相绑定。
图1图解说明了依据一个或多个实施例的实现在多主体环境中支持DNS安全的示例性系统100。系统100包括通信网络120,其允许系统100中的各种装置与系统100中的各种其他装置进行通信。通信网络120可以包括有线和/或无线通信,并且例如可以是,局域网(LAN)、因特网、公用电话网、专用电话网络、其他公用和/或专有网络、它们的结合等。通信网络120可以包括各种网络通信装置,例如路由器、网关、防火墙等。
系统100包括多个对等DNS服务器102,104和106,密钥存储器108,DNS解析器110以及一个或多个计算装置112。计算装置112可以是各种不同类型的装置,例如台式计算机、服务器计算机、膝上型计算机或上网本计算机、平板式或笔记本式计算机、移动站、数据库或其他存储装置、娱乐设备、通信地耦合到显示装置的机顶盒、电视机或其他显示装置、蜂窝或其他无线电话、游戏控制台、汽车用计算机等。
对等DNS服务器102,104和106解析网络地址的名称。对等DNS服务器102,104和106的每一个都用于解析名称的特定集合,其被称为DNS区域(或仅被称为区域)。对等DNS服务器102,104和106解析名称的一个或多个DNS区域也被称为由对等DNS服务器102,104和106提供服务(或主管)的一个或多个区域。另外的对等DNS服务器可以解析其他DNS区域的名称。
对等DNS服务器102,104和106彼此对等,并且操作于多主体DNS环境中。对等DNS服务器102,104和106操作的环境(例如,系统100)被称为多主体DNS环境,因为对等DNS服务器102,104和106的每一个都是主DNS服务器(也被称为主体DNS服务器)。主或主体DNS服务器可以从DNS区域读取数据并且向DNS区域写入数据(例如,读取和写入那些用于解析网络地址的名称的数据),与仅能从所述区域中读取数据的辅或从属DNS服务器形成对照。尽管在系统100中图解说明了三个对等DNS服务器102,104和106,但是应注意到,系统100可以包括任意数量的区域的任意数量的对等DNS服务器102,104和106。
由对等DNS服务器102,104和106实现的DNS允许装置或服务设备使用域名(例如网络服务器的主机名)进行标识,典型地,所述域名比网络地址(例如网际协议(IP)v4或v6地址)更容易地由用户使用和参照。对等DNS服务器102,104和106用于将特定名称(例如域名)与相应网络地址相映射,可以由计算装置(例如计算装置112)使用这些网络地址以访问特定装置或服务设备。这种名称到相应网络地址的映射也被称为DNS辨析(resolution)。尽管DNS系统常常将名称与相应IP地址相映射,但是应注意到,可替换地,DNS系统可以将名称与其他类型的网络地址相映射。
在一个或多个实施例中,由对等DNS服务器102,104和106实现的DNS涉及遵照公知的DNS协议(例如,如同在Network Working Group Request for Comments 1034(1987年11月)和Network Working Group Request for Comments 1035(1987年11月)中所讨论的)的系统。然而,应注意到,可以连同执行类似功能的其他系统或协议来使用在此所讨论的技术。
DNS解析器110是将DNS查询提交给DNS服务器102,104和/或106的装置。可以以各种不同的装置实现DNS解析器110,例如,作为计算装置112的一部分而被包括。可替换地,可以以其他装置实现DNS解析器110,例如以网络110的其他装置、因特网服务供应商(ISP)的服务器或其他装置等。尽管图1中图解说明了单个DNS解析器110,但是应注意到,在系统100中可以包括任意数量的DNS解析器110。
DNS解析器110将DNS查询提交给对等DNS服务器102,104或106,其中所述DNS查询是解析特定名称(例如,作为统一资源定位符(URL)的一部分而包括的域名,或其他名称)的请求。接收所述DNS查询的对等DNS服务器102,104和106解析所述特定名称,并且生成包括特定名称解析的网络地址(例如,IP地址)的DNS响应。将DNS响应返回到DNS解析器110。可由DNS解析器110使用DNS响应中的网络地址以访问具有所述网络地址的特定装置或服务器,或者将所述网络地址提供给另一个计算装置(例如,计算装置112)以访问具有所述网络地址的特定装置或服务器。
另外,对等DNS服务器102,104和106支持安全扩展或功能,这种安全扩展或功能允许由通过对等DNS服务器102,104和106提供的各种信息或数据的接受器(例如,由DNS解析器110)认证这些信息或数据。在一个或多个实施例中,对等DNS服务器102,104和106支持公知的DNS安全扩展(DNSSEC)协议。例如,可以在Network Working
Group Request for Comments 4033(2005年3月)、Network Working
Group Request for Comments 4034(2005年3月)、Network Working
Group Request for Comments 4035(2005年3月)和Network Working
Group Request for Comments 5155(2008年3月)中找到关于所述DNSSEC协议的附加信息。
这些安全扩展或功能包括支持由对等DNS服务器102,104和106响应于DNS查询而返回的DNS响应的数字签名。典型地,DNS响应的数字签名涉及通过对DNS数据(所述DNS数据是与名称相映射的网络地址)进行数位签名而生成的数字签名。典型地,响应于DNS查询而由对等DNS服务器102,104或106返回的DNS响应中的附加数据(如果有的话,或者整个DNS响应本身)没有被数位签名,尽管可替换地可以被数位签名。应注意到,可替换地,在此关于对DNS数据进行数位签名的讨论可以包括对DNS响应中的附加数据进行数位签名,和/或对整个DNS响应进行数位签名。可以由对等DNS服务器102,104和106本身(例如,利用对等DNS服务器的私有密钥)生成DNS响应的数字签名,或者可替换地,可以由另一个装置或部件(例如,利用由所述对等DNS服务器信赖的另一个实体的私有密钥)代表所述对等DNS服务器生成DNS响应的数字签名。
对等DNS服务器102,104和106返回给DNS解析器110的DNS响应包括由对等DNS服务器102,104和106(或者可替换地,另一个可信赖实体)生成的数字签名。在一个或多个实施例中,用于对DNS响应进行数位签名的密钥是与对等DNS服务器102,104和106相关联的公开/私有密钥对的私有密钥。所述公开/私有密钥对的公开密钥对于系统100中的装置是可获得的,其允许所述DNS响应的接受器(例如,DNS解析器110)验证DNS数据是可信的。
密钥存储器108保存由对等DNS服务器102,104和106生成数字签名所使用的私有密钥。典型地,密钥存储器108以安全的方式存储私有密钥,例如通过加密所述私有密钥。可以以各种不同方式实现密钥存储器108,例如利用硬件密码模块。密钥存储器108还可以作为管理系统100的目录服务设备的站点(site)或服务器(例如,支持可从华盛顿雷蒙德的微软公司获得的Active
Directory®目录服务设备的站点)的一部分而实现。应注意到,密钥存储器108可以作为单独装置(例如,与计算装置112和对等DNS服务器102,104和106分开)而实现,或者可以作为系统100的装置的一部分(例如,对等DNS服务器102,104和/或106的一部分,或计算装置112的一部分)而实现。尽管图1图解说明了单个密钥存储器108,但是应注意到,系统100中可以包括任意数量的密钥存储器108。
图2图解说明了依据一个或多个实施例的包括多个对等DNS服务器的示例性系统200。系统200包括对等DNS服务器202、对等DNS服务器204和对等DNS服务器206,它们可以分别是图1的服务器102、服务器104和服务器106。对等DNS服务器202是类似于服务器204和206的对等DNS服务器,并且还可以包括以下将详细描述的附加的密钥管理功能。因此,对等DNS服务器202还可以被称为密钥主体对等DNS服务器。
每个对等DNS服务器202,204和206都包括DNS辨析模块(模块212,222和232)、DNS输入/输出(I/O)模块(模块214,224和234)和数据存储器(存储器216,226和236)。对等DNS服务器的数据存储器保存由DNS服务器提供服务的DNS区域的名称到相应网络地址的映射。对等DNS服务器的DNS
I/O模块从DNS解析器接收DNS查询,并且将DNS响应返回给DNS解析器。对等DNS服务器的DNS辨析模块基于所述对等DNS服务器的数据存储器中的映射而解析DNS查询中的名称,并且将名称解析到的网络地址提供给DNS I/O模块,以产生并且返回解析DNS查询中的名称的DNS响应。所述DNS辨析模块还可以包括远程查询功能,查询其他DNS服务器以解析DNS查询,如果包括DNS辨析模块的对等DNS服务器不能解析所述DNS查询本身。所述DNS I/O模块还从其他对等DNS服务器接收对等DNS服务器的数据存储器中保存的映射的更新,并且所述DNS I/O模块(或者可替换地,DNS辨析模块)将这些更新记录到数据存储器中。尽管图解说明为分离的模块,但是将意识到,每个服务器202,204和206中的多个模块都可以合并为单个模块,或者每个服务器202,204和206中特定模块的功能都可以分成多个不同模块。
在一个或多个实施例中,对等DNS服务器的数据存储器中保存的名称到网络地址的映射的每一个都由对等DNS服务器(例如,通过DNS辨析模块,DNS I/O模块,或所述对等DNS服务器的另一个模块)来数位签名。因此,预先生成DNS数据的数字签名,而不需要响应于接收的DNS查询而生成数字签名。可替换地,可以不对数据存储器中保存的名称到网络地址的映射进行数位签名,并且可以响应于接收的DNS查询而生成DNS数据的数字签名。
系统200中的每个对等DNS服务器都可以接收由对等DNS服务器提供服务的DNS区域的名称到网络地址的映射的更新。这些更新可以包括要增加新的映射、要删除的映射、和/或改变到当前映射。可以从不同来源(例如,由所述对等DNS服务器提供服务的DNS区域的管理员)、从DNS解析器、从另一个计算装置等接收这种更新。当接收到更新时,接收所述更新的对等DNS服务器的DNS I/O模块将更新提供给系统200中的其他的对等DNS服务器。可以以各种不同方式将所述更新提供给其他的对等DNS服务器,例如利用一个或多个数据包经由目录服务设备(例如,Active Directory®目录服务设备)在通信网络上发送所述更新等。因而,系统200中的对等DNS服务器中的单独一个可以从另一个装置接收更新,并且分配所述更新,以便反映到系统200中的所有对等DNS服务器中。系统200中的不同对等DNS服务器的每一个的数据存储器都存储由系统200中的其他对等DNS服务器存储的映射的拷贝。
当由对等DNS服务器接收到名称到网络地址的映射的更新时,不管是从另一个对等DNS服务器还是从另一个装置接收所述更新,都由所述对等DNS服务器对接收的更新中的DNS数据进行数位签名,并且将其存储在它的数据存储器中。每个对等DNS服务器都担负着对它自己接收的更新中的DNS数据的拷贝进行数位签名,并且将数位签名的拷贝存储在它的数据存储器中(例如,将所述更新和所述更新的数字签名存储在它的数据存储器中)。因而,在对等DNS服务器与对所述更新中的DNS数据进行数位签名的每个对等DNS服务器之间传送由对等DNS服务器提供服务的DNS区域的名称到网络地址的映射的更新,当接收到时,所述对等DNS服务器不复制签名。
在一个或多个实施例中,以易失性介质(例如随机存取存储器(RAM))实现所述对等DNS服务器的数据存储器。在可替换的实施例中,至少部分地以非易失性介质(例如闪存、盘等)实现所述对等DNS服务器的数据存储器。
系统200中的对等DNS服务器其中之一是密钥主体对等DNS服务器,其在图2的示例中是服务器202。密钥主体对等DNS服务器202担负着生成密钥的集合、管理密钥的集合的生命周期(例如确定密钥的集合何时到期以及何时为系统200生成新的密钥的集合)、以及将密钥的集合分配到系统200中的其他对等DNS服务器。在一个或多个实施例中,这些密钥包括由DNS服务器实现安全扩展或功能(例如实现DNSSEC协议)所使用的各种密钥。例如,所述密钥的集合可以包括由对等DNS服务器生成DNS数据的数字签名所使用的公开/私有密钥对的私有密钥。密钥主体对等DNS服务器202将密钥的集合分配到系统200中的其他对等DNS服务器,共享所述密钥的集合,以便服务于相同DNS区域的所有对等DNS服务器使用相同的密钥的集合。系统200中的其他对等DNS服务器,除了密钥主体对等DNS服务器202之外,不担负着(并且典型地,不执行)所述密钥的集合的生成、管理和分配。然而,可能出现以下情况,密钥主体对等DNS服务器202将密钥的集合的生成、管理和分配的职责委托给另一个对等DNS服务器,或另一个对等DNS服务器掌握所述密钥的集合的生成、管理和分配的职责,在这样的情况下,其他对等DNS服务器就变成了密钥主体对等DNS服务器。因而,系统200中的哪一个对等DNS服务器是密钥主体对等DNS服务器可以随着时间而改变。
可以以不同方式确定系统200中的多个对等DNS服务器中的哪一个是密钥主体对等DNS服务器。例如,可以由系统200的管理员来选择系统200中的多个对等DNS服务器其中之一作为密钥主体对等DNS服务器。作为另一个示例,多个对等DNS服务器可以在它们之间协商选择一个作为密钥主体对等DNS服务器,例如随机地选择一个、基于对等DNS服务器的关联标识符的最低或最高值而选择一个等。
密钥主体对等DNS服务器202包括实现密钥管理功能的密钥管理模块238,所述密钥管理功能包括生成密钥的集合、管理密钥的集合的生命周期以及将密钥的集合分配到系统200中的其他对等DNS服务器。密钥管理模块238在不同时间和/或响应于不同事件而生成新的密钥的集合。例如,响应于来自系统200的管理员的请求、在生成或分配上一个密钥的集合之后的阈值时间量(例如,在上一个密钥的集合到期之前)等,密钥管理模块238可以生成新的密钥的集合。密钥管理模块238可以通过生成新的密钥的集合本身而生成这些新的密钥的集合,或者可替换地,通过调用密钥主体对等DNS服务器202(或另一个计算装置)的另一个部件或模块来生成,从所述另一个部件或模块中可以接收到这些新的密钥的集合。
在一个或多个实施例中,密钥的集合包括一个或多个公开/私有密钥签名密钥对,并且还包括一个或多个公开/私有区域签名密钥对。密钥管理模块238生成包括一个或多个公开/私有密钥签名密钥对的一个或多个公开密钥签名密钥,以及一个或多个公开/私有区域签名密钥对的一个或多个公开区域签名密钥的记录,所述记录可以被称为DNS密钥记录。密钥管理模块238通过用一个或多个公开/私有密钥签名密钥对的一个或多个私有密钥签名密钥的至少一个对DNS密钥记录进行数位签名而生成DNS密钥记录的至少一个数字签名。密钥管理模块238还可以通过用一个或多个公开/私有区域签名密钥对的一个或多个私有区域签名密钥的至少一个对DNS密钥记录进行数位签名而生成DNS密钥记录的至少一个数字签名。一个或多个私有区域签名密钥还用于生成由对等DNS服务器提供服务的DNS区域中使用的其他数字签名,例如DNS数据的数字签名。然后,可以将这种DNS密钥记录和通过对所述DNS密钥记录进行数位签名而生成的数字签名用于网络中的其他装置(例如,对等DNS服务器,DNS解析器等),为这种其他装置提供一个或多个公开/私有密钥签名密钥对的公开密钥和一个或多个公开/私有区域签名密钥对的公开密钥。例如,可以经由目录服务设备(例如,Active Directory®目录服务设备)传送该DNS密钥记录和数字签名,其使用一个或多个数据包通过通信网络发送DNS密钥记录和数字签名等。
密钥管理模块238还将密钥的集合存储在密钥存储器中,例如图1的密钥存储器108。这个密钥存储器可以是密钥主体对等DNS服务器202的一部分,或者可替换地,可以是另一个装置的一部分。例如,密钥管理模块238通过存储一个或多个公开/私有密钥签名密钥对和一个或多个公开/私有区域签名密钥对而将密钥的集合存储在密钥存储器中。可替换地,不是存储所述密钥对,而是可以将一个或多个公开/私有密钥签名密钥对的一个或多个私有密钥和/或一个或多个公开/私有密钥签名对的一个或多个私有密钥存储在密钥存储器中。
在一个或多个实施例中,将密钥的集合安全地存储在密钥存储器中,以便系统200中的其他对等DNS服务器可以重新获得密钥的集合,但是其他装置却不能重新获得。可以以各种不同方式安全地存储密钥的集合,例如,使用对等DNS服务器已知的对称密钥加密所述密钥的集合,使用只有对等DNS服务器知晓私有密钥的公开/私有密钥对的公开密钥加密所述密钥的集合,在将密钥的集合提供给装置之前让密钥存储器认证所述装置是对等DNS服务器等。
应注意到,尽管可以将一个或多个公开/私有密钥签名对的一个或多个私有密钥签名密钥存储在密钥存储器中,但是除了密钥主体对等DNS服务器202之外的对等DNS服务器却不使用所述私有密钥签名密钥。由密钥管理模块238使用私有密钥签名密钥来对DNS密钥记录进行数位签名,并且典型地,私有密钥签名密钥不用于生成其他数字签名,并且因此,除了密钥主体对等DNS服务器202之外的对等DNS服务器不使用一个或多个私有密钥签名密钥。可替换地,可以通过密钥主体对等DNS服务器202保存一个或多个公开/私有密钥签名对的一个或多个私有密钥签名密钥,而不需要存储在密钥存储器中。
密钥主体对等DNS服务器202还生成签名密钥描述符。密钥主体对等DNS服务器202的一个或多个模块(例如,包括密钥管理模块238)可以生成签名密钥描述符(可选地使用由系统200的管理员输入的参数)。在一个或多个实施例中,签名密钥描述符包括在密钥存储器中存储的密钥的集合的标识符(例如,其地址或到其的其他指示字)作为一个参数。
所述签名密钥描述符还包括由系统200中的对等DNS服务器在生成数字签名和/或执行其他安全功能时所使用的一个或多个其他参数。通常,签名密钥描述符中的参数描述如何对DNS区域进行签名(例如,所述参数描述DNS区域中的配置和安全性能)。包括在内的特定参数可以基于以下方式而改变:由系统200中的对等DNS服务器提供安全扩展。在一个或多个实施例中,这些特定参数是由DNSSEC协议定义的参数。可以用所述特定参数配置密钥管理模块238以将签名密钥描述符包括在内(例如,由系统200的管理员标识出的参数),或者可以重新获得或另外获得所述特定参数以将来自另一个装置或服务设备的签名密钥描述符包括在内。尽管在此对生成和使用签名密钥描述符、以及描述如何对DNS区域进行签名的签名密钥描述符进行了参照,但是应注意到,在此所讨论的技术并不局限于单个签名密钥描述符,而是可以生成并且使用任意数量的签名密钥描述符。例如,可将两个或多个签名密钥描述符用来描述如何对DNS区域进行签名。
例如,一个或多个其他参数可以包括生成公开/私有密钥对所使用的一个或多个数字签名算法的标识(例如,包括是否使用下一代安全(NextSecure(NSEC))或NSEC3记录)、生成公开/私有密钥对所使用的一个或多个算法、和/或私有密钥的每一个的长度。作为另一个示例,一个或多个其他参数可以包括私有密钥何时到期(例如,几个小时或几天,特定日期和/或时间等)的指示,或者何时将密钥的集合用于代替上一个密钥的集合(例如,在生成签名密钥描述符之后的几分钟或几小时,特定日期和/或时间等)的指示。
密钥管理模块238(例如,经由DNS I/O模块234)将签名密钥描述符提供给系统200中的其他对等DNS服务器(例如,对等DNS服务器204和对等DNS服务器206)。系统200中的其他对等DNS服务器(例如,对等DNS服务器204和对等DNS服务器206)的DNS I/O模块从密钥管理模块238接收签名密钥描述符。可以以各种不同方式将签名密钥描述符提供给系统200中的其他对等DNS服务器。例如,可以经由目录服务设备(例如,Active
Directory®目录服务设备)传送所述签名密钥描述符,其使用一个或多个数据包通过通信网络发送所述签名密钥描述符等。
系统200中的其他对等DNS服务器从密钥存储器重新获得在签名密钥描述符中标识出的密钥的集合(例如,DNS密钥记录)。可以由这些其他对等DNS服务器以各种不同方式基于将密钥的集合安全地存储在密钥存储器中的方式而验证或者认证所述重新获得的密钥的集合。如果由这些其他对等DNS服务器的一个或多个验证或者认证所述重新获得的密钥的集合的尝试是不成功的(不能验证或者认证所述密钥的集合),则那些一个或多个其他对等DNS服务器不使用(并且可以删除或忽略)所述重新获得的密钥的集合。
依据由所有的其他对等DNS服务器在来自密钥存储器的签名密钥描述符中标识出的密钥的集合的恢复,当生成数字签名和/或执行其他安全功能时,系统200中的所有对等DNS服务器都具有相同的密钥的集合和其他参数。然后,系统200中的各种对等DNS服务器可以依据在签名密钥描述符中包括的其他参数着手于适当地使用所述重新获得的密钥的集合。例如,系统200中的各种对等DNS服务器的每一个都可以使用所述密钥的集合以生成DNS数据的数字签名。
可替换地,不是将存储在密钥存储器中的密钥的集合的标识符包括在签名密钥描述符中,系统200中的各种对等DNS服务器可以以其他方式标识密钥存储器中的密钥的集合的位置。例如,可以将密钥的集合存储在系统200中的各种对等DNS服务器都知晓的一个或多个位置(例如,配置于对等DNS服务器中或另外提供给对等DNS服务器)。
在一个或多个实施例中,密钥管理模块238还执行各种附加的功能以在DNS区域中支持安全扩展。例如,密钥主体对等DNS服务器202可以不对由对等DNS服务器202,204和206提供服务的DNS区域进行签名,但是,其他对等DNS服务器(服务器204和206)无法不对这些DNS区域进行签名。不对DNS区域进行签名涉及移除正被使用的安全扩展(例如,从DNSSEC系统到使用DNS的系统的恢复而没有DNSSEC)。密钥管理模块238可以以不同方式确定不对DNS区域进行签名,例如,基于来自系统200的管理员的输入或从另一个装置或服务器接收的指示。密钥管理模块238可以以各种不同方式将不对所述区域进行签名的指示提供给系统200中的其他对等DNS服务器,类似于将签名密钥描述符提供给系统200中的其他对等DNS服务器。
作为另一个示例,特定DNS区域常常具有子DNS区域,所述子DNS区域是特定DNS区域已经将管理其区域的一部分的职责委托给它的DNS区域。在某些情形中,例如当使用DNSSEC协议时,由特定DNS区域中的DNS服务器(例如,对等DNS服务器)以及子区域中的DNS服务器(例如,对等DNS服务器)保存从特定DNS区域指向子区域的附加数位签名的记录。在特定DNS区域中的DNS服务器和子区域中的DNS服务器之间所述数位签名的记录保持同步。密钥管理模块238以提供和/或请求所述数位签名的记录的规定和/或不定间隔将查询发给子区域中的一个或多个DNS服务器,以便数位签名的记录可以保持同步。
另外,应注意到,在此所讨论的在多主体环境中支持DNS安全的技术便于遵守DNSSEC协议以及使用NSEC和/或NSEC3记录。如上所述,每个对等DNS服务器都可以接收更新,并且将这些更新传送到其他对等DNS服务器。因此,在任何给定的情况中,每个对等DNS服务器都可以具有所述区域的稍微不同的拷贝,这是由于由一个或多个对等DNS服务器已经接收到了更新,但是还没传送给其他DNS服务器。然而,系统200中的每个对等DNS服务器可以创建它自己的一系列NSEC和/或NSEC3记录。因此,可以避免以下情形:对于记录被复制到的对等DNS服务器,复制可能错误的NSEC和/或NSEC3记录。
图3是图解说明依据一个或多个实施例的在多主体环境中支持DNS安全的示例性过程300的流程图。由密钥主体对等DNS服务器(例如图1的密钥主体对等DNS服务器102或者图2的密钥主体对等DNS服务器202)的一个或多个模块执行过程300,并且可以以软件、固件、硬件或它们的结合来实现过程300。将过程300表示为步骤(act)的集合,并且不局限于所示的执行各种步骤的操作的顺序。过程300是用于在多主体环境中支持DNS安全的示例性过程;参照不同附图,在此包括在多主体环境中支持DNS安全的另外的讨论。
在过程300中,生成描述如何对DNS区域进行签名的签名密钥描述符(步骤302)。如上所述,所述签名密钥描述符通过包括描述DNS区域的配置和安全性能的各种参数而可以描述如何对DNS区域进行签名。
至少部分地基于所述签名密钥描述符生成DNS区域的一个或多个密钥的集合(步骤304)。所述DNS区域是由实现过程300的密钥主体对等DNS服务器提供服务的DNS区域。如以上所讨论的,所述签名密钥描述符包括描述如何生成一个或多个密钥的集合的各种参数(例如,生成所述密钥所使用一个或多个算法,所述密钥的长度等)。如以上所讨论的,可以在各种时间和/或响应于各种事件而生成一个或多个密钥的集合。另外,如以上所讨论的,可以将所述密钥的集合存储在密钥存储器中,并且密钥存储器中的密钥的集合的标识符包括在签名密钥描述符中。
将签名密钥描述符提供给DNS区域的其他对等DNS服务器(步骤306)。如以上所讨论的,可以以各种不同方式执行所述签名密钥描述符的这种提供。
图4是图解说明依据一个或多个实施例的在多主体环境中支持DNS安全的示例性过程400的流程图。由对等DNS服务器(例如图1的对等DNS服务器104或者106,或者图2的对等DNS服务器204或206)的一个或多个模块来执行过程400,并且可以以软件、固件、硬件或者它们的结合来实现过程400。将过程400表示为步骤的集合,并且不局限于所示的执行各种步骤的操作的顺序。过程400是用于在多主体环境中支持DNS安全的示例性过程;参照不同附图,在此包括在多主体环境中支持DNS安全的另外的讨论。
实现过程400的一个或多个模块从对等DNS服务器接收签名密钥描述符(步骤402)。如以上所讨论的,从密钥主体对等DNS服务器接收所述签名密钥描述符。
从所述签名密钥描述符重新获得DNS区域的一个或多个密钥的一个或多个标识符(步骤404)。例如,如以上所讨论的,这些一个或多个标识符的每一个可以是指向密钥存储器中的公开/私有密钥对的指示字。可替换地,如以上所讨论的,所述签名密钥描述符可以不包括一个或多个密钥的标识符;相反,可以以其他方式标识一个或多个密钥的位置。
从密钥存储器获得标识出的一个或多个密钥(406)。例如,可以通过从密钥存储器重新获得指向的公开/私有密钥对来获得一个或多个密钥。
将从密钥存储器获得的标识出的一个或多个密钥用来生成DNS区域的DNS数据的数字签名(步骤408)。可将这些标识出的一个或多个密钥用于依照DNS区域的安全扩展以各种不同方式生成数字签名。
在此讨论了由各种模块执行的诸如传送、接收、发送、存储、生成、获得等的各种动作。应注意到,各种模块可以使得这些动作被执行。使得动作被执行的特定模块包括执行所述动作的特定模块本身,或者可替换地调用或访问执行所述动作操作(或者连同所述特定模块一起执行所述动作)的另一个部件或者模块的特定模块。
图5图解说明了依据一个或多个实施例的可被配置为实现在多主体环境中支持DNS安全的示例性计算装置500。例如,计算装置500可以是计算装置112、对等DNS服务器104或106、密钥主体对等DNS服务器102、密钥存储器108、或者图1的DNS解析器、或者对等DNS服务器204或206、或者图2的密钥主体对等DNS服务器202。
计算装置500包括一个或多个处理器或处理单元502、可以包括一个或多个存储器和/或存储部件506的一个或多个计算机可读介质504、一个或多个输入/输出(I/O)装置508、以及允许各种部件和装置彼此间通信的总线510。计算机可读介质504和/或一个或多个I/O装置508可以作为计算装置500的一部分而包括,或者可替换地可以耦合到计算装置500。总线510表示几种类型总线结构的一个或多个,总线结构包括使用各种不同的总线体系结构的存储器总线或存储器控制器、外围总线、加速图形端口、处理器或本地总线等。总线510可以包括有线和/或无线总线。
存储器/存储装置部件506表示一个或多个计算机存储介质。部件506可以包括易失性介质(例如随机存取存储器(RAM))和/或非易失性介质(例如只读存储器(ROM)、闪存、光盘、磁盘等)。部件506可以包括固定介质(例如,RAM、ROM、固定硬盘等)以及可移除介质(例如,闪存驱动器、可移除硬盘驱动器、光盘等)。
可以以软件用由一个或多个处理单元502执行的指令实现在此所讨论的技术。将意识到,可以将不同的指令存储在计算装置500的不同部件中,例如,存储在处理单元502中、存储在处理单元502的各种高速缓冲存储器中、存储在装置500的其他高速缓冲存储器(未示出)中、存储在其他计算机可读介质上等。另外,将意识到,计算装置500中存储指令的位置可以随着时间而改变。
一个或多个输入/输出装置508允许用户将命令和信息登录到计算装置500,并且还允许将信息呈现给用户和/或其他部件或装置。输入装置的示例包括键盘、光标控制装置(例如,鼠标)、麦克风、扫描仪等。输出装置的示例包括显示装置(例如监视器或投影仪)、扬声器、打印机、网卡等。
可以以软件或程序模块的通常的环境在此描述各种技术。通常,软件包括执行特定任务或实现特定抽象数据类型的例行程序、程序、应用、对象、部件、数据结构等。这些模块和技术的实现方式可以存储在某种形式的计算机可读介质上,或者跨过所述计算机可读介质传送。计算机可读介质可以是由计算装置访问的任何可用的一个或多个介质。作为实例而不是限制,计算机可读介质可以包含“计算机存储介质”和“传播介质”。
“计算机存储介质”包括以任何方法或技术实现的易失性和非易失性、可移除和不可移除介质,以用于存储信息,例如,计算机可读指令、数据结构、程序模块、或其他数据。计算机存储介质包括,但不局限于,RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM、数字通用盘(DVD)或其他光存储器、磁盒、磁带、磁盘存储器或其他磁存储装置、或可用于存储期望的信息且可由计算机访问的任何其他介质。
典型地,“传播介质”包含计算机可读指令、数据结构、程序模块、或已调制数据信号中的其他数据,例如载波或其他传送机制。传播介质还包括任何信息分发介质。术语“已调制数据信号”是指已经设置或改变其一个或多个特性的信号,用这种方式以便编码所述信号中的信息。作为示例而不是限制,传播介质包括有线介质(例如,有线网络或直线连接)和无线介质(例如,声波、RF、红外线、以及其他无线介质)。上述任意的组合也可包括在计算机可读介质的范围内。
通常,可使用软件、固件、硬件(例如,固定逻辑电路)、手工处理、或这些实现方式的组合来实现在此所描述的功能或技术的任意一个。在此所使用的术语“模块”和“部件”通常表示软件、固件、硬件、或它们的组合。在软件实现方式的情况下,模块或部件表示当在处理器(例如,一个或多个CPU)上执行时,执行指定任务的程序代码。所述程序代码可以存储在一个或多个计算机可读存储器装置中,参照图5可以找到其进一步的描述。在此所描述的在多主体环境中支持DNS安全的技术的特点是平台独立性的,这意味着可以在具有各种处理器的各种商业计算平台上实现这些技术。
虽然已经以具体到结构特征和/或方法步骤的表达方式描述了本主题,但是将了解的是,在所附的权利要求书中限定的本主题没有必要局限于以上所述的具体特征或步骤。相反,将以上描述的具体特征和步骤公开为实现权利要求书的示例形式。
Claims (10)
1.一种方法,所述方法包括:
生成标识如何对域名系统(DNS)区域进行签名的签名密钥描述符(302);
在多主体DNS环境的第一对等DNS服务器上并且至少部分地基于所述签名密钥描述符而生成所述DNS区域的一个或多个密钥的集合(304);以及
将所述签名密钥描述符提供给所述多主体DNS环境的第二对等DNS服务器(306)。
2.如权利要求1所述的方法,所述方法进一步包括:
将所述DNS区域的所述一个或多个密钥的集合存储在密钥存储器中;以及
在所述签名密钥描述符中,包括指向所述DNS区域中的所述一个或多个密钥的集合的指示字。
3.如权利要求1所述的方法,其中,所述签名密钥描述符包括一个或多个参数,所述一个或多个参数用于生成所述DNS区域中的DNS数据的数字签名。
4.如权利要求1所述的方法,所述方法进一步包括:将来自所述第一对等DNS服务器的所述签名密钥描述符提供给所述多主体DNS环境的一个或多个另外的DNS服务器的每一个。
5.如权利要求1所述的方法,其中,所述一个或多个密钥的集合包括用于支持所述DNS区域安全扩展的一个或多个密钥。
6.如权利要求1所述的方法,所述方法进一步包括:
接收用于所述DNS区域的名称到相应网络地址的映射的更新;
通过对所述更新中的DNS数据进行数位签名而生成数字签名;
将所述更新的映射和所述数字签名存储在所述第一对等DNS服务器的数据存储器中;以及
促使所述映射的所述更新传送到所述第二对等DNS服务器。
7.一种第一对等域名系统(DNS)服务器,所述第一对等域名系统服务器包括:
一个或多个处理器(502);以及
一个或多个计算机可读介质(504),在所述计算机可读介质上存储有多个指令,当由所述一个或多个处理器执行所述指令时,促使所述一个或多个处理器执行以下功能:
从第二对等DNS服务器接收签名密钥描述符(402),所述第一对等DNS服务器和所述第二对等DNS服务器的每一个都是多主体DNS环境的DNS区域的DNS服务器;
促使从密钥存储器获得一个或多个密钥(406);以及
至少部分地基于所述签名密钥描述符使用所述一个或多个密钥来生成所述DNS区域的DNS数据的数字签名(408)。
8.如权利要求7所述的第一对等DNS服务器,其中,所述多个指令进一步促使所述一个或多个处理器从所述签名密钥描述符重新获得保存于所述密钥存储器中的所述一个或多个密钥的一个或多个标识符,并且其中,促使从所述密钥存储器获得所述一个或多个密钥是基于所述一个或多个标识符而促使从所述密钥存储器获得所述一个或多个密钥。
9.如权利要求7所述的第一对等DNS服务器,其中,所述多个指令进一步促使所述一个或多个处理器执行以下功能:
将所述DNS区域的名称到相应网络地址的映射保存在易失性存储器中;
通过使用所述一个或多个密钥的至少其中之一对存储在所述易失性存储器中的每个映射进行数位签名而生成数字签名;以及
将每个数位签名的映射保存在所述易失性存储器中。
10.如权利要求7所述的第一对等DNS服务器,其中,所述多个指令进一步促使所述一个或多个处理器执行以下功能:
将所述DNS区域的名称到相应网络地址的映射保存在易失性存储器中;
接收所述DNS区域的名称到相应网络地址的映射的更新;
通过对所述更新中的DNS数据进行数位签名而生成数字签名;
将所述更新的映射和所述数字签名存储在所述易失性存储器中;以及
促使所述映射的所述更新传送到所述第二对等DNS服务器。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/974,590 US8681995B2 (en) | 2010-12-21 | 2010-12-21 | Supporting DNS security in a multi-master environment |
US12/974590 | 2010-12-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102546176A true CN102546176A (zh) | 2012-07-04 |
CN102546176B CN102546176B (zh) | 2015-11-18 |
Family
ID=46234450
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110432286.7A Active CN102546176B (zh) | 2010-12-21 | 2011-12-21 | 在多主体环境中支持dns安全 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8681995B2 (zh) |
CN (1) | CN102546176B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106936945A (zh) * | 2017-04-25 | 2017-07-07 | 中国联合网络通信集团有限公司 | 分布式域名解析方法及装置 |
CN108055352A (zh) * | 2013-01-18 | 2018-05-18 | 苹果公司 | 用于密钥链同步的系统和方法 |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8645701B2 (en) * | 2010-07-13 | 2014-02-04 | Verisign, Inc. | System and method for zone signing and key management in a DNS system |
US9270784B2 (en) | 2011-02-16 | 2016-02-23 | Masque Publishing, Inc. | Peer-to-peer communications |
US8838722B2 (en) * | 2011-02-16 | 2014-09-16 | Masque Publishing, Inc. | Communications adaptable to mobile devices |
US8724815B1 (en) * | 2011-09-29 | 2014-05-13 | Amazon Technologies, Inc. | Key management in a distributed system |
US8370529B1 (en) * | 2012-07-10 | 2013-02-05 | Robert Hansen | Trusted zone protection |
US8875254B2 (en) * | 2012-08-07 | 2014-10-28 | International Business Machines Corporation | Cache sharing of enterprise data among peers via an enterprise server |
US9294433B1 (en) | 2012-11-02 | 2016-03-22 | 8X8, Inc. | Multiple-master DNS system |
US9218476B1 (en) * | 2012-11-07 | 2015-12-22 | Amazon Technologies, Inc. | Token based one-time password security |
US9282165B2 (en) | 2012-11-19 | 2016-03-08 | Dell Products, Lp | System and method for peer-to-peer management through policy and context replication |
US10715377B2 (en) | 2012-12-21 | 2020-07-14 | Comcast Cable Communications, Llc | Domain name services servers management to share data efficiently |
US9961110B2 (en) | 2013-03-15 | 2018-05-01 | Verisign, Inc. | Systems and methods for pre-signing of DNSSEC enabled zones into record sets |
US9544266B2 (en) | 2014-06-27 | 2017-01-10 | Microsoft Technology Licensing, Llc | NSEC3 performance in DNSSEC |
DE102014011687B3 (de) * | 2014-08-04 | 2016-02-04 | Giesecke & Devrient Gmbh | Kommunikationssystem mit PKI-Schlüsselpaar für mobiles Endgerät |
US9544278B2 (en) | 2015-01-07 | 2017-01-10 | Red Hat, Inc. | Using domain name system security extensions in a mixed-mode environment |
US9762556B2 (en) * | 2015-01-09 | 2017-09-12 | Verisign, Inc. | Registering, managing, and communicating with IOT devices using domain name system processes |
US9912634B2 (en) * | 2015-03-12 | 2018-03-06 | General Motors Llc | Enhancing DNS availability |
US9954840B2 (en) * | 2015-05-08 | 2018-04-24 | Cloudflare, Inc. | Generating a negative answer to a domain name system query that indicates resource records as existing for the domain name regardless of whether those resource records actually exist for the domain name |
US10033699B2 (en) * | 2015-05-08 | 2018-07-24 | Cloudflare, Inc. | Transparent DNSSEC-signing proxy |
CN108076165B (zh) * | 2016-11-18 | 2021-05-18 | 贵州白山云科技股份有限公司 | 一种域名解析信息管理的方法、设备及系统 |
US10673637B1 (en) * | 2019-11-19 | 2020-06-02 | Quantum Information Security, LLC | Polymorphic digital security and methods of use thereof |
US11271894B1 (en) * | 2021-03-10 | 2022-03-08 | Accenture Global Solutions Limited | Systems, devices, and methods for private query and exchange of domain information |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6381627B1 (en) * | 1998-09-21 | 2002-04-30 | Microsoft Corporation | Method and computer readable medium for discovering master DNS server computers for a given domain name in multiple master and multiple namespace configurations |
US20020143989A1 (en) * | 2001-04-02 | 2002-10-03 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) and multilevel cache for use therewith |
US20060143711A1 (en) * | 2004-12-01 | 2006-06-29 | Yih Huang | SCIT-DNS: critical infrastructure protection through secure DNS server dynamic updates |
CN101336535A (zh) * | 2005-12-27 | 2008-12-31 | 法国电信公司 | 管理dnssec请求的服务器和方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8538028B2 (en) * | 2006-11-20 | 2013-09-17 | Toposis Corporation | System and method for secure electronic communication services |
US8910245B2 (en) * | 2010-11-05 | 2014-12-09 | Citrix Systems, Inc. | Systems and methods for managing domain name system security (DNSSEC) |
-
2010
- 2010-12-21 US US12/974,590 patent/US8681995B2/en active Active
-
2011
- 2011-12-21 CN CN201110432286.7A patent/CN102546176B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6381627B1 (en) * | 1998-09-21 | 2002-04-30 | Microsoft Corporation | Method and computer readable medium for discovering master DNS server computers for a given domain name in multiple master and multiple namespace configurations |
US20020143989A1 (en) * | 2001-04-02 | 2002-10-03 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) and multilevel cache for use therewith |
US20060143711A1 (en) * | 2004-12-01 | 2006-06-29 | Yih Huang | SCIT-DNS: critical infrastructure protection through secure DNS server dynamic updates |
CN101336535A (zh) * | 2005-12-27 | 2008-12-31 | 法国电信公司 | 管理dnssec请求的服务器和方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108055352A (zh) * | 2013-01-18 | 2018-05-18 | 苹果公司 | 用于密钥链同步的系统和方法 |
CN108055131A (zh) * | 2013-01-18 | 2018-05-18 | 苹果公司 | 用于密钥链同步的系统和方法 |
US10771545B2 (en) | 2013-01-18 | 2020-09-08 | Apple Inc. | Keychain syncing |
CN108055131B (zh) * | 2013-01-18 | 2021-03-02 | 苹果公司 | 用于密钥链同步的系统和方法 |
CN108055352B (zh) * | 2013-01-18 | 2021-03-16 | 苹果公司 | 用于密钥链同步的系统和方法 |
CN106936945A (zh) * | 2017-04-25 | 2017-07-07 | 中国联合网络通信集团有限公司 | 分布式域名解析方法及装置 |
CN106936945B (zh) * | 2017-04-25 | 2020-02-14 | 中国联合网络通信集团有限公司 | 分布式域名解析方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102546176B (zh) | 2015-11-18 |
US8681995B2 (en) | 2014-03-25 |
US20120155646A1 (en) | 2012-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102546176B (zh) | 在多主体环境中支持dns安全 | |
JP6547079B1 (ja) | 登録・認可方法、装置及びシステム | |
Ma et al. | Attribute-based secure announcement sharing among vehicles using blockchain | |
Xhafa et al. | Designing cloud-based electronic health record system with attribute-based encryption | |
CN102427442B (zh) | 组合请求相关元数据和元数据内容 | |
Schanzenbach et al. | reclaimID: Secure, self-sovereign identities using name systems and attribute-based encryption | |
US8315395B2 (en) | Nearly-stateless key escrow service | |
CN109729041B (zh) | 一种加密内容的发布以及获取方法及装置 | |
CN104935626A (zh) | 用于有效、安全分发数字内容的系统和方法 | |
Yan et al. | A scheme to manage encrypted data storage with deduplication in cloud | |
JP2009529714A (ja) | 復号可能かつ検索可能な暗号化のための方法およびシステム | |
JP2016158189A (ja) | 鍵付替え方向制御システムおよび鍵付替え方向制御方法 | |
JP2013026747A (ja) | 情報処理装置、サーバ装置およびプログラム | |
CN113094334B (zh) | 基于分布式存储的数字服务方法、装置、设备及储存介质 | |
Wang et al. | A practical authentication framework for VANETs | |
CN102811211A (zh) | 支持登录验证的设备和进行登录验证的方法 | |
CN111193755B (zh) | 数据访问、数据加密方法及数据加密与访问系统 | |
CN114679340B (zh) | 一种文件共享方法、系统、设备及可读存储介质 | |
EP3817320B1 (en) | Blockchain-based system for issuing and validating certificates | |
KR20210061801A (ko) | Mqtt-sn 프로토콜의 보안을 위한 mqtt-sn 보안 관리 방법 및 시스템 | |
JP2006279269A (ja) | 情報管理装置、情報管理システム、ネットワークシステム、ユーザ端末、及びこれらのプログラム | |
CN113342802A (zh) | 区块链数据存储的方法和装置 | |
KR20210020699A (ko) | 컨소시엄 블록체인 네트워크에서의 프라이빗 키를 백업 및 복원하는 방법 및 장치 | |
TW202304172A (zh) | 位置密鑰加密系統 | |
CN114338091A (zh) | 数据传输方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150629 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20150629 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |