CN103379116A - Dnssec在线签名 - Google Patents

Abstract

在注册局执行增量DNSSEC签名的系统和方法，数字签名操作作为包括DNS增加、更新和/或删除操作等单个事务的部分而执行。示例方法包括从请求者接收包括域标识符的域命令。根据注册局为域存储的数据而执行接收的域命令。作为包括域命令执行的独立事务的部分，注册局还使用权威服务器的私钥对域的DNSSEC记录进行签名。签名后，注册局向分离服务器增量发布经签名的DNSSEC记录。还包括“后备”操作，对在注册局数据库中存储并报告给请求的数据执行例如增加、更新和/或删除操作，先于对DNSSEC数据应用数字签名。在报告指令被执行后，注册局可基于增加，更新和/或删除改变生成数字签名，将其提交至注册局解析服务器。

Description

DNSSEC在线签名

背景技术

域名系统(DNS)是因特网基础结构的一部分，其将人类可读域名翻译为通过因特网建立TCP/IP通信所需的因特网协议(IP)号码。即，DNS允许用户使用较容易记忆的域名(例如www.en.example.com)而不是数字IP地址(例如“123.4.56.78”)来访问网站和其他资源，数字IP地址是软件使用来与因特网上的计算机进行通信的机器可读地址。每个域名由一系列由点分隔开的字符串(标签)组成。域名中最右端的标签被认为是“顶级域名”(TLD)。熟知的TLD例子是“.com”；“.net”；“.org”等等。每个TLD支持直接在TLD的左侧列出的第二级域，例如“www.example.com”中的“example”。每个第二级域可支持多个直接位于在第二级域的左侧的第三级域，例如“www.en.example.com”中的“en”。还可以存在附加级别域。例如具有附加域级别的域可以是“www.landscape.photos.example.com”。

需要注意单个IP地址，例如分配给单个服务器的一个，可支持多个域名。即，不同域名可解析到相同的服务器，然后服务器可基于请求的域名和/或附加非域信息来确定提供什么内容。这有时被称为虚拟主机(hosting)。

附加非域信息可包括在包括域名的统一资源标识符(“URI”)结构中。例如，“路径”部分是由正斜杠(“/”)分隔开的一系列片段。该信息可以直接包括在域名的右侧，例如“www.example.com/blog/today.htm”中的“blog”，并且可由服务器或其他接收装置用来识别和传送特定内容或运行特定代码。非域信息的其他示例可包括查询和片段，其具体细节为本领域普通技术人员所理解并且不在此详细讨论。该信息的组合可包括在将用户导航到相同页面的其他部分或其他网页的网页超链接中。

因此，从以上提供的各个示例可以看出，并如本领域技术人员所意识到的那样，域，例如第二级域“example.com”，可包括多种具有不同地址和其他识别手段的不同因特网可访问信息。

域名的实际注册由公司执行，被称作域名注册商(registrar)(“注册商”)。注册商向注册局(registry)注册域名。例如，终端用户向注册商提交域名用于注册，并且提供该域名将要解析到的IP地址。注册商与注册局通信以创建注册局数据库记录，注册局数据库记录可用于将域名解析到终端用户提供的IP地址，并指出注册商的身份(通过它域名被注册)。除非在注册局域名注册到期，典型地仅在注册局的域名记录中指定的注册商可以修改或删除有关域名的注册局数据库信息。终端用户可通过遵循特定域转移过程来转换注册商。注册商还可作为主机提供商(hosting provider)，或者终端用户可具有由独立的第三方域主机服务寄存(host)的域。

区域文件是描述被称作DNS区域的DNS的一部分的文本文件。区域文件以资源记录(RR)的形式组织并且包含定义域名和IP地址以及其他资源之间的映射的信息。区域文件的格式由标准定义，每行典型地定义单个资源记录。行以域名开始，但是如果左侧空白，则默认之前定义的域名。域名后面是生存时间(TTL)、类别(其对“因特网”(“internet”)几乎总是是“IN”并且很少被包括在内)、资源记录的类型(A、MX、SOA等等)，其后跟随类型特定数据，例如对于A记录是IPv4地址。通过使用半冒号可包括注释，以及通过使用圆括号可继续行。还存在文件指导(file directive)，其用以美元符号开始的关键字标记。

DNS通过为每个域指定权威(authoritative)名称服务器来分布分配域名并将这些名称映射到IP地址的责任。权威名称服务器被分配来负责它们的特定域，并且继而可为它们的子域分配其他权威名称服务器。该机制通常帮助避免了单个中央注册需要连续不断地被查阅和更新。DNS解析过程允许用户通过反向查找过程被指引到期望的域，从而用户进入期望的域，并且DNS返回合适的IP号码。在DNS解析过程期间，对给定域名的请求从解析器(例如桩解析器(stubresolver))路由至合适的服务器(例如递归解析器)以检索IP地址。为了改进效率、降低通过因特网的DNS业务量以及增加终端用户应用的性能，DNS支持DNS缓存服务器(cache server)，其存储DNS查询结果达由正被考虑的域名记录的生存时间(TTL)所确定的时间段。典型地，这样的缓存DNS服务器，还被称作DNS缓存，还执行必要的递归算法以将以DNS根开始的给定名称解析到所查询域的权威名称服务器。因特网服务提供商(ISP)典型地为他们的客户提供递归和缓存DNS服务器。此外，家庭网络路由器可执行DNS缓存和代理以改进在局域网中的效率。

虽然DNS的分布特性提供在整个系统的效率方面的显著优点，但是它还使系统对系统中各个节点处特定类型的故障和/或攻击易损坏。可能发生的一个特别的问题被称作DNS缓存中毒。DNS缓存中毒发生在当数据被引入到不是发源于权威DNS源的DNS名称服务器的缓存数据库的时候。这可由对名称服务器的故意攻击所导致，或者它可以是一个非故意的结果，例如错误配置的DNS缓存或不适当的DNS应用软件设计。因此，DNS缓存中毒可导致(1)解析请求失败，例如当提供了不准确或错误配置的IP地址信息时，或(2)请求用户的解析请求被指向恶意站点，其模仿真正的域并且被用于违法获得诸如账户密码等信息，或分发例如计算机蠕虫或病毒等传送至请求用户的恶意内容。

域名系统安全扩展(DNSSEC)是一套用于保护如IP网络上使用的DNS所提供的特定类型信息的因特网工程任务组(IETF)规范。DNSSEC规定了为DNS准备的区域文件的签名，确保DNS数据的来源鉴别和数据完整性，以及经鉴别的否定存在。一般地，DNSSEC中提供的答复是经过数字签名的，以及通过检查该数字签名，DNS解析器能够检查该信息是否对应于权威DNS服务器上的信息。DNSSEC使用公钥密码用于数字签名和鉴别。DNSKEY记录通过信任链而被鉴别，其中信任链以一组经核实的用于DNS根区域的公钥(其是信任的第三方)开始。

为了执行DNSSEC，多个新DNS记录类型被创建或使适于与DNSSEC一起使用，包括RRSIG、DNSKEY、DS、NSEC、NSEC3和NSEC3 PARAM。例如，当使用DNSSEC时，对于DNS查询的每个权威答复除请求的记录类型外还将包括RRSIG DNS记录。RRSIG记录是答复DNS资源记录组的数字签名。该数字签名可通过定位DNSKEY记录中发现的正确公钥来核实。在使用信任链的查找过程中，在DNSKEY鉴别中使用DS记录。NSEC和NSEC3记录用于提供对不存在的DNS记录的经鉴别的否定存在响应。

DNSSEC的要求涉及存储在DNSKEY记录和来自其他源的不同密钥的使用，以形成信任锚(trust anchor)。存在例如可用于DNSKEY记录签名的密钥签名密钥(KSK)，以及可用于其他记录签名的区域签名密钥(ZSK)。由于ZSK在特定DNS区域的使用和控制之下，它们可以更容易和更经常地被转换。结果是，ZSK一般地可以比KSK更短(在字节长度方面)，同时仍提供可接受的保护级别。

虽然已经开发了用于DNSSEC使用(包括KSK和ZSK的使用)的协议，但在注册商和注册局级别，存在操作DNSSEC使能(enable)域的许多方面，还没有为大规模使用而得到解决和/或优化。例如在短时间段内处理大量签名的能力，限制于基于区域的改变而签名整个区域的惯例。从而，不断需要进一步改进有关DNSSEC记录所需的签名功能和DNSSEC管理的操作的功能性和/或效率。

发明内容

大多数当前的DNSSEC技术涉及DNSSEC数据的“分布”签名，即，在各个用户、DNS提供商等之间分布的签名技术。当前，用户希望采用具有以下基本选项的DNSSEC：

1、使用第三方和与一组软件密钥或硬件密钥一起的开源软件的组合来建立它们自己的DNSSEC解决方案。

2、使用DNSSEC密钥管理和像Secure64 DNS Signer、BlueCat Networks、Xelerance DNSX Secure、Signer以及Infoblox那样的签名工具。这样的工具可提供不同方面的密钥管理和区域签名，但需要安装在客户端位置的硬件。应当注意DNSSEC密钥管理和签名工具需要客户端位置的硬件安装，需要密钥资料的更实践管理，但不支持多于单个用户。

3、使用已经被更新为支持DNSSEC的可控DNS解决方案。可控DNS提供商包括区域管理和区域发布特征。DNSSEC启动允许客户端“打开”用于可控DNS区域的DNSSEC，但需要用户向可控DNS提供商转移或外包他们的DNS主机。

域注册局增加支持DNSSEC的一个方法将是还接受DNSSEC委托签名人(DS)信息，生成未签名的区域然后签名用于发布的整个区域。然而，随着DNSSEC被引入大量注册局，例如.com和.net注册局，用于DNSSEC数据的各种分布式和其他签名技术的无效率，特别对于大区域，带来潜在解析问题，包括延迟和解析失败。这样的问题可在电子商务和其他高业务量位置具有显著有害的影响。通过各种增量签名技术，本发明的主题可提供在例如负责该域的注册局这样的权威源处DNSSEC使能区域的有效签名方面的益处。例如，当从注册局或其他知道或被提醒DNS数据中特定改变的实体的角度考虑时，DNS数据的部分(其是增加、改变和/或删除操作等的对象)，可以被识别、签名并且以不同的方式提交和报告，而没有再签名整个区域。在实施例中，DNS更新操作和受影响的DNSSEC记录的签名可作为可在此被称作“在线签名”的单个事务(例如工作的极小的、一致的、孤立的和持久的单元)方面的一部分执行。

在实施例中，DNSSEC在线签名可包括使用域命令在线执行DNSSEC签名。例如，负责的注册局可接受DNSSEC DS信息并且在相同事务中建立经签名的DNSSEC记录，并且其后将经签名的信息从一个权威源向外增量发布到DNS。这样的权威签名可提供超过其他分布式签名技术的益处，但一般地，还可存在可扩展性(scalability)方面的挑战，这由本发明主题的其他方面解决。根据本发明的各方面，注册局数据库可作为用于通过DNSSEC在线签名在DNSSEC域中发布的所有记录的单个权威源。

如在此进一步描述，用于在注册局、或知道或被提醒DNS数据中特定改变的其他实体执行增量DNSSEC签名的系统和方法，可包括执行数字签名操作，作为包括DNS增加、更新和/或删除操作等单个事务的一部分。示例性方法可包括从请求者接收域命令，该域命令包括域的标识符。可根据所述注册局为该域存储的数据而执行所接收的域命令。还可基于所接收的域命令识别DNSSEC数据改变。作为包括域命令执行的单个事务的一部分，该注册局还可使用私钥，例如权威服务器的私钥，对该域的DNSSEC记录签名。实施例可包括在注册局提交该事务。如在此使用的那样，事务提交可理解为在该事务的范围内应用所有数据处理并且将结果保存到该数据库的操作。实施例可包括将该提交的事务传播至DNS基础结构。在实施例中，该注册局可以例如增量地将经签名的DNSSEC记录发布至分离的服务器。

根据本发明的各方面，实施例可包括用于在注册局执行DNSSEC签名的系统和方法，包括从请求者接收域命令。该域命令可包括域的标识符，并且例如至少一个有关该域的增加、修改和/或删除命令。实施例可包括根据注册局为该域存储的数据执行所接收的域命令。作为包括域命令执行的独立事务的一部分，该域的DNSSEC记录可以例如使用权威服务器的私钥被数字签名。该经签名的DNSSEC记录可被增量地发布到分离的服务器，例如DNS服务器。

实施例可包括其中域命令包括一个或多个DNSSEC委托签名人(DS)元素。在实施例中，域命令可包括生成一个或多个相关DNSSEC委托签名人(DS)记录的一个或多个DNSKEY元素。

在实施例中，请求者可以例如是注册商、DNS服务提供商或注册者。在实施例中，域可以是在注册局的顶级域之下的第二级或更高级域。

在实施例中，该方法可以由注册局的权威服务器为来自多个注册商的域而执行。在实施例中，DNS记录的签名可以由注册局的权威服务器为来自多个注册商的至少两个域而执行。

在实施例中，DNS记录的签名可以由注册局的多个签名服务器执行。

实施例还包括基于所述增加、更新、删除命令中至少一个而提交NSEC或NSEC3链的改变。

根据本发明的进一步方面，实施例可包括用于在注册局执行DNSSEC签名的系统和方法，包括从请求者接收第一命令以对DNSSEC相关域名进行向注册局增加、在注册局更新或从注册局删除中至少一个，并且执行来自第一命令的指令以增加、更新和/或删除存储在注册局数据库中的数据。在实施例中，命令的执行可不包括应用数字签名数据。在实施例中，注册局或其他服务，可向请求者报告指令已经被执行。将指令的执行从第一命令分离开，其还可在执行的报告之后，基于所述增加、更新和/或删除改变可生成数字签名，并且所述数字签名可被提交至注册局解析数据库。实施例还可包括基于域命令向DNS发布非DNSSEC改变和/或DNSSEC改变。在实施例中，可由系统异步地向DNS发布非DNSSEC改变和DNSSEC改变。

根据本发明的进一步方面，实施例可包括用于在注册局执行DNSSEC签名的系统和方法，包括从请求者接收第一命令以对DNSSEC相关域名进行向注册局增加、在注册局更新或从注册局删除中至少一个；执行来自第一命令的指令以增加、更新和/或删除存储在注册局数据库中的数据，其中所述执行不包括应用数字签名数据；生成指示有关第一命令的未决DNSSEC改变的数据库条目；基于增加、更新和/或删除改变而生成数字签名；以及清除数据库条目。实施例还可包括向DNS发布数据库条目。

本发明的附加特征，优点和实施例根据以下详细的说明，附图和权利要求的考虑已经阐述或显而易见。此外，将要理解本发明的前述概要和以下详细的说明是示例性的并且打算提供进一步解释而没有限制所要求保护的本发明的范围。然而详细说明和具体示例仅指示本发明的优先实施例。在本发明的精神和范围内的各种变更和改变从该详细的说明将对本领域技术人员来说是显而易见的。

附图说明

被包括用以提供本发明进一步理解的附图，被合并进来并且构成本说明书的一部分，其示出了本发明实施例，并且与详细描述一起用于解释本发明的原理。不尝试比可能对本发明的基本理解必要的细节更详细地示出本发明的结构细节以及其可能被实施的不同方式。在图中：

图1描述根据本发明各方面的在线签名设置的关系。

图2描述根据本发明第一方面的DNSSEC数据签名的示例处理流程。

图3描述根据本发明各方面的DNSSEC使能签名系统的更进一步细节。

图4仍描述根据本发明各方面的DNSSEC使能签名系统的更进一步细节。

图5描述根据本发明进一步方面的下游解析数据库签名设置的关系。

图6描述根据本发明进一步方面的下游解析数据库签名处理的示例处理流程。

图7描述根据本发明进一步方面的后备数据库签名设置的关系。

图8描述根据本发明进一步方面的后备数据库签名处理的示例处理流程。

图9描述本发明实施例中可使用的示例计算机网络基础架构。

具体实施方式

可以理解的是本发明并不限于在此描述的特殊方法、协议等，这些可改变，正如本领域技术人员将认识到的那样。还需要理解的是在此使用的术语仅用于描述特殊实施例的目的，但不打算限制本发明的范围。还需要注意如在此和在附加权利要求中使用，单数形式“一”、“一个”和“该”也包括复数引用，除非上下文明确做出其他指示。因此，例如提到“服务器”是指一个或多个服务器以及本领域技术人员所知的等价物。

除非定义为其他，在此使用的所有技术术语具有与本发明所属技术领域普通技术人员所普遍理解的相同含义。参考在附图中描述和/或阐明以及在以下描述中详述的非限制实施例和示例而更充分地解释本发明的实施例及其各个特征和优点。应当注意的是图中阐明的特征不必依比例画出，并且一个实施例的特征可由如本领域技术人员将要意识到的其他实施例所使用，即使在此没有明确地陈述。公知的部件和处理技术的描述可以被省略使得不会不必要地模糊本发明的实施例。在此使用的示例仅打算促进理解可实施本发明的方式，并且进一步使本领域技术人员能够实施本发明的实施例。从而，在此的示例和实施例不应当解释为限制本发明的范围，其仅由所附权利要求和适用的法律定义。此外，注意在附图的各视图中类似的附图标记涉及相似的部分。

如在此使用的，除非其他限制，注册商可被理解为与域名注册局互动并允许注册者建立和更新域名资源的任何实体或组织。

如在此使用的，除非其他限制，注册者可理解为与注册商互动以建立和更新域名资源的任何个人或组织。

如在此使用的，除非其他限制，DNS主机提供商可理解为代表注册者在其服务器上寄存(host)内容的任何实体或组织，为该内容提供DNS供应(provisioning)和解析能力(例如，分配IP地址并操作能够将域名解析到其管理的那些IP地址的名称服务器)。

如在此使用的，除非其他限制，数据库应当被广泛地理解为包括，例如，被格式化以存储和访问计算机系统使用的谨慎(discreet)和/或相关信息的各种电子存储应用，例如本地和/或分布式文件系统、数据文件、数据仓库、结构化数据库、关联数据库、本地和/或分布式数据库、混合数据库、数据库中的谨慎数据结构和/或模式(schema)等等。

根据本发明的各方面，用于支持具有DNS主机转移的域赞助(domain-sponsorship)转移的系统和方法可包括，例如，在注册商之间的域转移(其可被称作“域赞助转移”)以及在DNS主机中的转移(其可被称作“DNS主机转移”)。在域转移的情况下，典型地可包括两种转移，因为许多注册商是DNS主机提供商，并且注册者通常利用他们的注册商提供的DNS主机。以下示例示出在注册商之间的包括在相同的注册商之间的DNS主机转移的域赞助转移所包括的步骤。

本发明的实施例可提供各种在线(inline)签名技术以允许大规模DNSSEC提供商，例如注册局，以有效和连贯的方式处理大量DNS改变，包括DNSSEC签名数据。

区域签名概述

如上所述，DNSSEC被设计用来解决缓存中毒及一组其他DNS脆弱性，例如中间人攻击和在权威服务器上的未授权数据变更。其主要目的是提供来源鉴别和DNS数据完整性保护。公钥基础结构(PKI)可被用作公钥分发的方式。DNSSEC提供了DNS数据的核实机制但不是加密机制。它允许可感知安全性的解析器来核实接收到的区域数据由持有私钥的区域管理员签名。

DNSKEY资源记录

区域可以具有一个或多个密钥对，每一对包含私钥和公钥。私钥可安全地保存在域名数据库中并用于区域数据签名。公钥可以存储在数据库中也可以作为DNSKEY资源记录存储在已签名的区域数据中。公钥用于核实区域数据。DNSKEY记录典型地含有下述数据元素：

标志：“区域密钥”和“安全入口点”

协议：固定值为3(用于向后兼容)

算法：公钥的密码算法

公钥：公钥数据

DNSKEY资源记录(“RR”)可以为区域签名密钥(ZSK)或密钥签名密钥(KSK)。密钥签名密钥(KSK)将具有SEP标志集，以使它们能与DNSKEYRR集中的ZSK区分开。密钥签名密钥(KSK)用于对其他DNSKEY资源记录签名，也用于对需要验证的数据建立权限(authority)链。

RRSIG资源记录

RRSIG资源记录拥有资源记录集RR集(具有相同名称、类别和类型的一个或多个DNS记录)的DNSSEC签名。DNSSEC使解析器能够利用存储在DNSKEY记录中的公钥来核实签名。RRSIG记录含有下述数据元素：

覆盖类型：该签名所覆盖的DNS记录类型。

算法：用于创建签名的密码算法。

标签：原始RRSIG记录名称中的多个标签(用于验证通配符)。

原始TTL：覆盖的记录集的TTL值。

签名到期：签名何时到期。

签名起始：签名何时创建。

密钥标记：有助于快速识别可用于验证该签名的DNSKEY记录的短数值。

签名人名称：可用于验证该签名的DNSKEY记录的名称。

签名：密码签名。

DNSKEY RR由活动的密钥签名密钥进行签名。其他RR集仅由活动的区域签名密钥进行签名。

NSEC资源记录

NSEC资源记录列出了两个独立的事物：包含权威数据或委托点(delegationpoint)NS RR集的下一个持有者名称(以区域的规范顺序)，和出现在NSEC RR持有者名称中的RR类型集[RFC3845]。区域内的NSEC RR的完整集指出哪些权威RR集存在于区域中并还形成区域中权威持有者名称的链。这些记录作为DNSSEC验证的一部分可由解析器用于核实记录名称和类型的不存在性。NSEC记录具有下述数据元素：

下一个域名：区域中下一个记录的名称(DNSSEC排序顺序)。

记录类型：为NSEC记录的名称而存在的DNS记录类型。

NSEC3资源记录

NESC3资源记录(RR)为DNS资源记录集提高经鉴别的否定存在。NSEC3RR具有与NSEC RR相同的功能，除了NSEC3使用加密的散列记录名称以防止区域中记录名称的枚举之外。NSEC3记录链接到区域中的下一个记录名称(以散列名称排序的顺序)并列出为了NSEC3记录持有者名称的第一标签内由散列值所覆盖的名称而存在的记录类型。这些记录可作为DNSSEC验证的一部分而由解析器用于核实记录名称和类型的不存在性。NSEC3记录含有下述数据元素：

散列算法：所用的密码散列算法。

标志：“Opt-out”(指出委托是否被签名)。

迭代：散列算法被应用了多少次。

加盐(salt)：用于散列计算的加盐值。

下一散列持有者名称：区域中下一个记录的名称(以散列名称排序的顺序)。

记录类型：为了NSEC3记录持有者名称的第一标签内由散列值覆盖的名称而存在的记录类型。

图1示出了一个示例性在线签名设置的各方面。如图1所示，请求者100，诸如例如注册者、注册商或DNS提供商，可以与注册局供应系统110通信。请求者100可发送有关已存在或新的域的命令。例如，请求者100可发送命令以改变注册局管理的DNS数据，例如在注册局管理的TLD(如.com)下的域的DNS数据。注册局供应系统110可以以各种方式处理来自请求者100的域命令，包括，例如执行改变命令，如添加，变更，或删除命令，识别DNSSEC数据改变，识别合适的密钥，应用数字签名，将DNS和DNSSEC改变保存在注册局数据库120等。

在实施例中，由注册局供应系统110向注册局数据库120提供的数据可以包含域的DNS信息和已签名DNSSEC数据。在实施例中，DNS改变和DNSSEC改变可以在单个事务中执行。一旦域的DNS信息和已签名DNSSEC数据已经被保存到注册局数据库120，该事务就可以被提交了。事务提交后，域的DNS信息和已签名DNSSEC数据可以被传播到包括其他权威服务器、递归DNS服务器等的更广的DNS云140。

示例性DNSSEC签名服务的进一步细节在图2和3中示出。需要注意的是，虽然图1-3所示的签名服务配置可以用于实现本发明的各方面，但此处描述的在线签名技术可以在大量不同的具有各种其他配置的签名服务中找到适用性。如图2所示，注册局，或其他DNSSEC服务提供商可以包括任意数量的签名服务器342，346。例如，多个签名服务器可包括图1所示的供应系统110。签名服务器342，346可以分别包含硬件安全模块(HSM)344，348，和/或可包括具有合适的数字签名密钥的实际数字签名功能的软件。签名服务器342，346可以与各种应用、服务和工具310、320和330通信以及例如交换已签名和未签名的DNS数据。每个CAS 310，NCC插件商业服务320和批量/工具330组件将具有与签名服务器(优选的是一组这样的服务器)的连通性(connectivity)。签名服务器342，346可以将已签名的DNS数据保存到数据库350。应用、签名服务器、HSM及数据库之间的示例数据流的附加细节在图3中示出。

如图3所示，客户端510可代表，例如图1中所示的供应系统110的前端服务，其可配置为识别需要由签名服务器512签名的DNSSEC数据。将被签名的DNSSEC数据可基于域命令而被分析(parse)或以其他方式识别，并提供给签名服务器512，如链路541所示。例如字节，密钥类型(ZSK，KSK)和TLD这样的信息可包括在内。签名服务器512可识别来自传输541的合适的密钥信息和/或HSM，并且将未签名的数据传递给合适的HSM514，由链路542所示。这可包括具有例如字节，密钥别名和签名算法的签名命令。

签名服务器512可配置成为了当向HSM514发送数据时使用密钥别名的权威数据，而定期与数据库520联系。HSM 514可在初始化时间的每个TLD装载许多密钥(一些可以是ZSK，一些可以是KSK)，并且每个密钥通过别名、密钥别名而为HSM 514所知。客户端510可配置为告知签名服务器512使用两种密钥中的哪一个(ZSK或KSK)以及TLD，并且签名服务器512可配置为当它与HSM为了签名进行通信时识别该种密钥的当前密钥别名名称。还可强制签名服务器512为了当前的密钥别名重新与数据库520联系。该命令可以例如通过JMX管理接口向签名服务器512发布。

HSM 514以合适的密钥对DNSSEC数据签名，并且将已签名的数据(如图所示)通过链路543回传至签名服务器512。签名服务器可将已签名的DNSSEC数据或例如事务提交信息等其他数据(如图所示)通过链路544回传至客户端510。

根据本发明的各方面可被处理的相关域命令操作的一些示例在下面描述。

使用DNSSEC数据的域建立

在用户已经碰到DNSEEC数据(这些数据是每个提交的委托签名人[DS]记录需要4的个字段)的域建立期间，注册局可作以下决定并且采用以下动作：

为(一个或多个)DS记录生成并存储数字签名。

确定域是否获得在区域中发布的资格。如果是：

建立其NSEC3记录。

对NSEC3记录签名。

识别其在NSEC3链(其类似存储在数据库中的链接列表)中的正确位置并且以对链的改变最小的方式插入该新NSEC3记录。这可涉及非常快速地识别必须改变的链中的链接，锁定它们的最小数(其是1)，并且执行插入和重链接从而以可信和连贯的NSEC3链结束。

使用新DS数据的域更新。

在使用新DS数据的域更新期间，注册商还可包括对域的其他改变。这些其他改变可改变域的区域状态。因此注册局可以：

为(一个或多个)DS记录生成并存储数字签名。

确定域是否获得在区域中发布的资格并且其是否已经在该区域中。

如果域过去不在该区域中并且现在在该区域中：

建立其NSEC3记录。

对NSEC3记录签名。

为NSEC3记录存储数字签名。

识别其在NSEC3链中的正确位置并且以对链的其他更新具有最小“防碍”的方式插入该新NSEC3记录。这可涉及非常快速地识别必须改变的链中的链接，锁定它们的最小数，并且执行插入和重链接从而以可信和连贯的NSEC3链结束。

如果域过去在该区域中并且现在一定不在该区域中：

在NSEC3链中定位域的记录。

以对链的其他更新具有最小“防碍”的方式移除该NSEC3记录。这可涉及非常快速地识别必须改变的链中的链接，锁定它们的最小数，并且执行记录移除和重连链从而以可信和连贯的NSEC3链结束。

通过移除DS数据的域更新。

在通过移除DS数据的域更新期间，注册商还可包括对域的其他改变。这些其他改变可改变域的区域状态；例如，如果域在移除后不具有剩余DS记录，则域不再具有该区域的资格。因此注册局可以：

确定域是否具有任何剩余DS记录。

如果否，注册局可将该域从NSEC3链中移除(参见以下步骤)。注册局还可移除正在被移除的DS数据的现有数字签名。

如果是，则注册局可重新为剩余DS记录生成数字签名。

确定域是否具有在区域中发布的资格以及其是否已经在该区域中。

如果域过去不在该区域中并且现在在该区域中：

建立其NSEC3记录。

对NSEC3记录签名。

存储NSEC3记录的数字签名。

识别其在NSEC3链中的正确位置并且以对链的其他更新具有最小“防碍”的方式插入该新NSEC3记录。这可涉及非常快速地识别必须改变的链中的连链，锁定它们的最小数，并且执行插入和重链接从而以可信和连贯的NSEC3链结束。

如果域过去在该区域中并且现在一定不在该区域中：

在NSEC3链中定位域的记录。

以对链的其他更新具有最小“防碍”的方式移除该NSEC3记录。这可涉及非常快速地识别必须改变的链中的链接，锁定它们的最小数，并且执行记录移除和重链接从而以可信和连贯的NSEC3链结束。

图4中一般地示出了以上过程的各方面，其描述在此描述的示例在线签名步骤。应当注意，除非特地描述为发生在某些其他步骤之前或之后，图2中描述的步骤可以按不同顺序和/或同时进行，而没有脱离本发明的范围。

本方法以S1010开始，接收域命令，例如增加，修改和/或删除命令。域命令可在S1020中分析以识别例如命令所应用的域，可应用的TLD，命令的类型，任何DNS改变等等。该方法可继续到S1022。

在S1022中，在域命令中已经被识别的改变可以被处理以执行。如在此所述，这些改变的执行可包括在单个事务中，例如T1021，其包括多个不同数据库操作，诸如例如DNSSEC签名功能。在S1030和S1040中，作为域命令的结果，像图1中所示供应系统110这样的示例性系统，可基于正在进行或将要进行的改变来识别将要增加和/或改变和/或需要被签名或再签名的DNSSEC数据。这可涉及，例如，分析DNSSEC相关改变的命令、操作和/或数据，并且识别需要被签名和/或再签名的DNSSEC数据。

在S1050中，可基于需要被签名的数据来识别合适的DNSSEC密钥，签名协议和/或合适的HSM。可基于不同因素，包括例如数据所在的域和/或域的TLD来做这样的确定。

在S1060中，DNSSEC数据可以例如通过一个或多个HSM被签名，例如图2所示的HSM 344，348，或包括在图1所示的供应系统110中的HSM。由于DNSSEC数据已经被签名，并且执行了其他DNS改变，可将改变保存到注册局数据库，等等。在完成事务T1021所需的DNS改变和DNSSEC签名后，可在S1070中提交该事务。

在S1070中提交事务后，可在S1072中向DNS发布事务T1021的DNS改变和DNSSEC签名。应当注意图4中描述的方法步骤不是在单个事务期间可完成的所有相关DNSSEC和DNS更新功能的详尽表示。例如，上面所述在各种DNS更新操作的上下文中的各种NSEC更新步骤和其他功能当然还可包括在事务T1021中。

发明人已经发现了DNSSEC事务的最大时间损耗并且因此最优化部分，是数字签名的生成和存储，之后紧接着是NSEC3链的更新。应当注意NSEC3链的更新发生在域进入或离开域TLD的DNS区域文件的任何时候。为了获得TLD区域文件资格，域：

必须具有为它限定的委托名称服务器。

必须不在保持状态。

必须不从注册局删除。

因此DNSSEC使能(enable)域的任何改变具有改变其区域状态的可能。

如上所述，DNSSEC签名可在线与事务(transaction)同步地完成，并且保存到权威注册局数据库中。DNS解析可采用注册局数据库中的每个提交的事务并且将其增量地(incrementally)应用到DNS服务器。

根据本发明的各方面，在线使用域注册局的域命令的DNSSEC签名通过确保例如注册局数据库总是代表在DNS中发布的内容的权威源，可提供在维持数据完整性的最高级别方面的优点。除了数据完整性优点外，DNSSEC在线签名还有效地执行增量更新。例如仅区域的一部分可受独立域命令影响，因此域命令更新和附加DNSSEC更新可作为工作的独立单元(即独立事务)向DNS传播。发明人已经发现这导致传播包括对DNS的DNSSEC更新的域注册局更新方面非常低的延迟。

作为执行DNSSEC在线签名的一部分，网络可用高性能签名服务器的集群，例如图2和3中所示，可提供用以对DNSSEC信息进行签名。已经发现这即使在最大的TLD上下文中是有效的，并且维持域注册局响应时间SLA，也维持具有高级别数据完整性的DNS传播SLA。

应当注意DNSSEC签名可在不涉及注册商提交DS记录的域更新命令之后进行。例如，从DNSSEC使能域移除所有名称服务器，将是域更新命令，此处注册商不传递DNSSEC数据，但导致生成签名。从而，虽然发明的某些方面可发现在响应来自注册商(包括与给定注册局有关的多注册商，)的请求方面的应用性，但该发明不限制于这样的情况。

除了以上描述的在线签名技术，根据本发明的各方面发明人还确定了可执行的其他方法。例如，发明人已经研发了各种“下游解析数据库”和“后备(look-aside)”技术，其可发现在通过例如注册局或其他可控DNS服务提供商执行DNSSEC签名操作方面的应用性。首先将参考图5描述示例性下游解析数据库系统的各方面。

如图5所示，下游解析数据库技术可包括增加解析数据库222，以及从注册局数据库122等向解析数据库222传送DNS改变的解析数据库处理333。如前所提及，在此使用的“数据库”应当广泛地解释，并且可包括数据库中谨慎数据模式或表格等。在下游解析数据库方法中，下游解析数据库222可以是用于向DNS140提供增量更新的权威数据库。所有标准域数据(例如，非DNSSEC数据)可基于来自注册局客户端111的输入而被写入到注册局数据库122，而没有额外DNSSEC处理。通过注册局至解析数据库处理333可将事务按顺序从注册局数据库122传播至解析数据库222。注册局至解析数据库处理333可识别影响DNSSEC的事务，并且可执行DNSSEC签名和写入解析数据库222的记录更新。解析数据库222因此可以是DNS服务器网络的权威数据库。存在从解析数据库222至DNS140的单方向箭头，因为云中的NDS服务器是包含在解析数据库222中的存储器中的表示。

这样的方法的一个优点是可以存在较少或没有额外的时间或相关性暴露于DNSSEC的注册局客户端，因为可在单独事务中在注册局至解析数据库处理333中异步地执行DNSSEC处理。在这方面，发明人已经注意到任何可接受DNSSEC数据的注册局将需要执行数字签名的密集时间和处理器生成。出于这样的原因，注册局可选择在OLTP事务外做这些签名生成任务。这将一般地需要注册局：

1、接收命令，向注册局增加，在注册局更新或从注册局删除DNSSEC相关域名。

2、向注册局数据库提交从操作获得的数据，去掉任何数字签名数据。

3、生成所需的数字签名以反映作为OLTP事务的结果的对DNSSEC数据的改变。

4、向注册局/解析数据库提交数字签名和其他DNSSEC数据，例如对NSEC或NSEC3链的改变。

步骤3和4分开到它们各自不同的数据库事务中，可允许注册局在步骤2已完成后向客户发送即时答复，留下相对慢的步骤3和4异步地完成而不影响客户的响应时间。

图6中一般地示出了以上处理的各方面，其描述了在此描述的下游解析数据库的示例性处理步骤。应当注意，除非特别描述为发生在某些其他步骤之前或之后，图6中描述的步骤可以按不同顺序和/或同时进行，而不脱离本发明的范围。

本方法以S2010开始，接收域命令，例如增加，修改和/或删除命令。可在S2020中分析域命令以识别例如命令所应用的域、可应用的TLD、命令的类型、任何DNS改变等等。该方法可继续到S2022。

在S2022中，在域命令中已经被识别的改变可以被处理以执行，而不处理相关数字签名数据。这可包括向解析数据库提交操作产生的数据，去掉任何数字签名数据。

在S2030中，注册局可将来自S2022的改变的完成报告给客户，其可不顾任何DNSSEC签名功能的状态而被执行。

在S2032和S2040中，作为域命令的结果，例如图5所示的供应系统110的示例性系统可基于将要进行或已经进行的改变来识别将要增加和/或改变和/或需要被签名或再签名的DNSSEC数据。这可涉及例如，分析DNSSEC相关改变的命令操作和/或数据，并且识别需要被签名和/或再签名的DNSSEC数据。

在S2050中，可基于需要被签名的数据来识别合适的DNSSEC密钥、签名协议和/或合适的HSM。可基于各种因素，包括例如数据所在的域和/或域的TLD来做这样的确定。

在S2060中，DNSSEC数据可以例如通过一个或多个HSM而被签名，例如图2所示的HSM 344，348，或包括在图1所示的供应系统110中的HSM。由于DNSSEC数据已经被签名，可将改变保存到解析数据库，例如下游解析数据库222。

在S2070中，新签名的DNSSEC数据可向DNS发布。

转向前面提及的“后备”方法，图7示出这样的系统和方法的各方面。如图7中所示，后备方法可以由单个注册局数据库122和异步处理335执行，异步处理335将用DNSSEC数据填充该单个注册局数据库122(真实源)，其然后被增量地向DNS140发布。“后备”方法可包括修改DNS服务器以应用附加规则，例如保持特定未决事务，以及仅在注册局数据库122中已经完成后备DNSSEC改变后用请求的数据答复。

后备方法不需要增加新的解析数据库，但是代替地，可例如在注册局数据库122建立一组后备表124并向DNS服务器复制。注册局服务335可包括附加逻辑以在最初使用要由处理335的DNSSEC部分处理的未决信息填充该后备。处理225可处理所有未决后备事务以对写回注册局数据库122的DNSSEC记录进行签名和管理。DNS服务器可配置为对已经改变未决的DNS记录不回答客户端查询。例如基于后备表124中的信息，DNS服务器可以知道未决改变，并且可以例如由处理335清理以返回数据，处理335标记后备记录为完成，和/或识别后备记录已经被移除。

后备方法一个优点是其不需要用第二解析数据库复制信息。此外，利用后备方法，DNSSEC处理可以不影响非DNSSEC事务，因为它们可以向DNS服务器传播，就如它们之前所做的那样。例如，DNSSEC处理的中断(outage)阻止了非DNSSEC更新。

图8一般地示出了示例性后备方法的各方面。应当注意除非特别描述为发生在某些其他步骤之前或之后，图8中描述的步骤可以不同的顺序和/或同时进行，没有脱离本发明的范围。

本方法可以S3010开始，接收域命令，例如增加、修改和/或删除命令。可在S3020中分析域命令以识别例如命令所应用的域、可应用的TLD、命令的类型，任何DNS改变等等。该方法可继续到S3022。

在S3022中，在域命令中已经被识别的改变可以被处理以执行，而不处理相关数字签名数据。这可包括向注册局数据库提交由操作产生的数据，去掉任何数字签名数据。

在S3030和S3032中，作为域命令的结果，例如图5所示的供应系统110的示例性系统可基于将要进行或已经进行的改变来识别将要增加和/或改变和/或需要被签名或再签名的DNSSEC数据。这可涉及例如，分析DNSSEC相关改变的命令、操作和/或数据，并且识别需要被签名和/或再签名的DNSSEC数据。

在S3040中，可建立数据库条目，例如作为新的或已存在的后备表的一部分，指示存在有关域命令的未决DNSSEC改变。

在S3042中，数据库条目可向DNS发布，例如作为新的或已经存在的后备表的更新的一部分。

在S3050中，可基于需要被签名的数据来识别合适的DNSSEC密钥、签名协议和/或合适的HSM。可基于各种因素，包括例如数据所在的域和/或域的TLD来做这样的确定。

在S3060中，DNSSEC数据可以例如通过一个或多个HSM被签名，例如图2所示的HSM 344，348，或包括在图1所示的供应系统110中的HSM。由于DNSSEC数据已经被签名，可将改变保存到解析数据库，例如下游解析数据库222。

在S3070中，新签名的DNSSEC数据可向DNS发布。此外，例如通过清除后备表中的条目或删除后备表，数据库条目可被清除。后备表的改变还可以向DNS发布。

在实施例中，DNSSEC引擎还可配置为随时提供解析系统数据的连贯稳定的图像，并且可进一步包括优化算法以跳过未处理的事件(当这些事件由于之后的事件被舍弃时(例如识别不需要为最近事件导致其从注册局系统中完全删除的域处理排队DNSSEC事件))。

本发明的实施例可包括执行所述方法的系统，以及编码有促使计算机执行所述方法的指令的计算机可读存储介质。例如，如图8所示，像服务器600，610和/或620这样的服务器系统包括至少一个处理器、存储器和电子通信设备(未示出)，可配置为对例如在此描述的那些通过例如因特网的网络605接收的请求进行接收、识别、响应和/或行动。服务器600，610和/或620中任一个可例如由在此进一步描述的因特网主机提供商、注册商和/或注册局来操作，并且可以与一般由网络设备630代表的任何数量的递归DNS服务器通信。如在此描述的那样，递归服务器630可为主机提供商、注册商和/或注册局操作服务器600，610和620的域缓存DNS相关数据。

请求更新域的DNS数据可通过各种系统(诸如例如计算机611，612)，通过可与(一个或多个)移动设备614、微微小区网络设备615、移动计算机616或任何具有必备功能能力的其他具有网络能力设备进行无线或其他通信的分离的服务器613，例如从注册商、DNS服务提供商或注册者来发起。

在此描述的各种通信、传输和相关功能可例如通过网络605完成，并且诸如服务器600，610和620这样的服务器系统执行的所述处理的结果可以根据已知技术而被显示，存储和/或分配。网络605可包括任何数量的通信组件，包括无线，蜂窝，卫星，光和/或其他类似通信链路。

服务器600，610和620以及计算机611，612可包括任何数量的处理器(未示出)，其耦合到存储设备，包括第一存储器(未示出，典型地是随机存取存储器，或“RAM”)、第二存储器(未示出，典型地是只读存储器，或“ROM”)。这两种存储设备可包括任何合适类型的计算机可读介质，包括非暂时存储介质，诸如闪存驱动，硬盘，软盘，磁带，例如CD-ROM盘的光介质，和/或磁光介质。还可使用海量存储器设备(未示出)以存储程序，数据等等，并且典型地是次级存储介质，例如比主存更慢的硬盘。将会意识到在大规模存储器设备中保留的信息可以在合适的情况下以标准方法合并作为主存的一部分作为虚拟存储器。特定的海量存储器设备，诸如CD-ROM，还可单方向地向处理器传送数据。

服务器600，610和620和计算机611，612还可包括接口，其包括一个或多个输入/输出设备，诸如视频监视器，轨迹球，鼠标，键盘，麦克风，触敏显示器，传感器读卡器，磁带或纸带阅读器，写字板，指示笔，声音或手写识别器，或其他已知输入设备，包括其他计算机。服务器600，610和620以及计算机611，612可耦合到计算机或其他使用网络连接的电子通信网络605。网络605可连接各种有线，光，电和其他已知网络以在服务器600，610和620，计算机611，612，独立服务器613，(一个或多个)移动设备614，微微小区网络设备615，(一个或多个)移动计算机616，递归服务器630和任何其他具有类似功能的设备之间交换信息。具有这样的网络连接，可以考虑到服务器600，610和620，和计算机611，612，和其中的处理器可在执行以上描述的方法步骤期间从网络605接收信息，或可向网络605输出信息。以上描述的设备和物质对计算机硬件和软件领域的技术人员所熟知，并且不需要单独和详尽地描述以被本领域技术人员所理解。以上描述硬件元素可以(通常临时)配置为作为执行以上描述操作的一个或多个模块。

此外，本发明的实施例进一步包括计算机可读存储器介质，其包括用于执行此处描述的各种计算机可执行操作的程序指令。该介质还可单独地或组合地包括程序指令，数据文件，数据结构，表等等。介质和程序指令可以是那些专门为了本发明的目的设计和构造的，或者它们可以是计算机软件领域技术人员可获得的类型。计算机可读存储器介质的示例包括磁介质，诸如闪存驱动，硬盘，软盘，磁带；光介质，诸如CD-ROM盘；磁光介质；和专门配置为存储和执行程序指令的硬件设备，诸如只读存储器设备(ROM)和随机存取存储器(RAM)。程序指令的示例包括机器代码(诸如由编译器创建)以及包括高级代码的文件(其可由计算机使用解释器来执行)。

以上给出的说明书仅是说明性的，并且不意味着是本发明所有可能的实施例，应用或修改的详尽列表。因此，本发明所述的方法和系统的不同修改和改变将对本领域技术人员是显而易见的，没有背离本发明的范围和精神。虽然本发明已经结合具体实施例加以描述，但应当理解所要求保护的本发明不应当过度地限制为这样的具体实施例。

Claims (23)

1.一种在注册局执行DNSSEC签名的方法，包括：

从请求者接收域命令，该域命令包括域的标识符；

根据注册局为域存储的数据执行所接收的域命令；

识别DNSSEC数据改变；

作为包括所述域命令的执行的独立事务的一部分，使用权威服务器的私钥基于识别的DNSSEC数据改变对所述域的DNSSEC记录签名；

在注册局提交该事务；以及

将提交的事务传播到DNS基础结构。

2.权利要求1的方法，其中所述域命令包括一个或多个DNSSEC委托签名人(DS)元素。

3.权利要求1的方法，其中所述域命令包括生成一个或多个相关的DNSSEC委托签名人(DS)记录的一个或多个DNSKEY元素。

4.权利要求1的方法，进一步包括将经签名的DNSSEC记录增量发布至分离的服务器。

5.权利要求4的方法，其中将所述经签名的DNSSEC记录向多个分离的DNS服务器增量发布。

6.权利要求1的方法，其中所述域至少是在注册局的顶级域之下的第二级域。

7.权利要求1的方法，其中所述方法通过所述注册局的权威服务器为来自多个注册商的域执行。

8.权利要求1的方法，其中DNS记录的签名通过所述注册局的权威服务器为来自多个注册商的至少两个域执行。

9.权利要求1的方法，其中DNS记录的签名由注册局的多个签名服务器执行。

10.权利要求1的方法，其中所述域命令是域的增加、更新和删除命令中的至少一个。

11.权利要求1的方法，进一步包括基于增加、更新和删除命令中的至少一个而提交NSEC或NSEC3链的改变。

12.一种用于注册局的DNSSEC签名系统，包括：

处理器；以及

储存设备，包括计算机可读代码，其当由处理器执行时使所述签名服务器作为权威服务器，从而：

从请求者接收第一命令以对由注册局支持的对DNSSEC相关域名进行增加、更新或删除中的至少一个；

执行来自第一命令的指令以增加、更新或删除在注册局数据库中存储的数据；

作为包括来自第一命令的指令执行的独立事务的一部分，基于所述增加、更新或删除改生成数字签名；

向注册局解析数据库提交该数字签名。

13.权利要求12的系统，其中所述域至少是在注册局的顶级域之下的第二级域。

14.权利要求12的系统，其中所述处理器配置成为来自多个注册商的至少两个域签名DNS记录。

15.权利要求12的系统，其中所述处理器进一步配置成向多个分离的DNS服务器增量发布经签名的DNSSEC记录。

16.权利要求12的系统，进一步包括配置成为注册局签名DNS记录的多个签名服务器。

17.权利要求12的系统，其中所述处理器进一步配置成基于增加、更新和删除命令中的至少一个而提交NSEC或NSEC3链的改变。

18.一种用于注册局的DNSSEC签名系统，包括：

处理器；以及

储存设备，包括计算机可读代码，其当由处理器执行时使所述签名服务器作为权威服务器，从而：

从请求者接收第一命令以对DNSSEC相关域名进行向注册局增加、在注册局更新或从注册局删除中的至少一个；

执行来自第一命令的指令以增加、更新和/或删除在注册局数据库中存储的数据，其中所述执行不包括应用数字签名数据；

向请求者报告指令已经被执行；

基于所述增加、更新或删除改变来生成数字签名；以及

向注册局解析数据库提交该数字签名。

19.权利要求18的系统，其中由所述系统异步地向DNS发布非DNSSEC改变和DNSSEC改变。

20.权利要求19的系统，其中所述处理器进一步配置成基于所述增加、更新和/或删除改变而提交NSEC或NSEC3链的改变。

21.一种用于注册局的DNSSEC签名系统，包括：

处理器；以及

储存设备，包括计算机可读代码，其当由处理器执行时使所述签名服务器作为权威服务器，从而：

从请求者接收第一命令以对DNSSEC相关域名进行向注册局增加、在注册局更新或从注册局删除中的至少一个；

执行来自第一命令的指令以增加、更新和/或删除在注册局数据库中存储的数据，其中所述执行不包括应用数字签名数据；

生成指示有关所述第一命令的未决DNSSEC改变的数据库条目；

基于所述增加、更新或删除改变来生成数字签名；以及

清除所述数据库条目。

22.权利要求21的系统，其中所述处理器进一步配置成向DNS发布所述数据库条目。

23.权利要求21的系统，其中所述处理器进一步配置成基于所述增加、更新和/或删除改变而提交NSEC或NSEC3链的改变。

Images