CN104253793A - 域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法 - Google Patents
域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法 Download PDFInfo
- Publication number
- CN104253793A CN104253793A CN201310261938.4A CN201310261938A CN104253793A CN 104253793 A CN104253793 A CN 104253793A CN 201310261938 A CN201310261938 A CN 201310261938A CN 104253793 A CN104253793 A CN 104253793A
- Authority
- CN
- China
- Prior art keywords
- key
- signature
- signature key
- dns
- ksk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
DNSSEC密钥签名密钥和区域签名密钥的更新方法包括:在一个DNS区域中,把新密钥签名密钥和新区域签名密钥加入到DNSKEY资源记录集合,且使用新密钥签名密钥和原始密钥签名密钥签名DNSKEY;使用新区域签名密钥签名所有资源记录集,且提交新密钥签名密钥或DS记录至DNS区域的父域中;完成将新区域签名密钥签名后的DNS区域传送至DNS区域的从服务器,将DS记录传送至父域的从服务器;在DNSKEY中删除原始区域签名密钥,并使用新密钥签名密钥重新签名DNSKEY资源记录集合,在DNSKEY中删除原始密钥签名密钥,并使用新密钥签名密钥重新签名DNSKEY资源记录集合。
Description
技术领域
本发明涉及一种密钥更新方法,尤其涉及一种用于域名系统的安全扩展(Domain Name System Security Extensions,简称DNSSEC)中使用的密钥签名密钥和区域签名密钥的更新方法。
背景技术
域名系统(Domain Name System,简称DNS)是一个层次化分布式数据库,包含了一系列记录,记录中包括名称、IP 地址、主机信息等内容。DNS是一组协议和服务,它允许用户在查找网络资源时使用层次化的对用户友好的名字来取代IP 地址。当DNS 客户端向DNS 服务器发出IP地址的查询请求时,DNS 服务器可以从其数据库内查找所需要的IP地址给DNS 客户端。这种由DNS服务器在其数据库中找出客户端IP地址的过程叫做“主机名称解析”。
DNS为了提高查询效率,采用了缓存机制,把查询过的最新记录存放在缓存中,并为其设置生存周期(Time To Live,简称TTL)。在记录没有超过TTL之前,如果客户端的查询记录还在DNS缓存中,DNS 服务器(包括各级名字服务器)将把缓存中的记录直接返回给客户端,而不需要进行逐级查询,提高了查询速率。DNS缓存中毒是利用DNS查询记录的缓存机制,在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的,所以伪造者可能会根据不同的意图设置特定的域名与IP 地址之间的对应记录。
DNSSEC是DNS安全扩展,它提供了一种来源鉴定和数据完整性的扩展。DNSSEC是在原有的DNS上通过密钥技术,对DNS中的信息进行数字签名,从而提供DNS的安全认证和信息完整性检验。在DNSSEC 中所有返回给域名解析器(DNS 客户端程序)的响应都附加了数字签名。域名解析器通过数字签名来验证这些记录与权威的域名服务器上的记录是否完全一致。数字签名采用的是密钥加密系统,它产生的密钥对分为公钥和私钥两部分。其中,私钥需要保密存储,用来对区域文件中的DNS信息的“数字摘要”进行加密;公钥需要在DNS 服务器上公开发布,域名解析器接收到域名服务器发送的响应记录后,使用公钥对响应记录中的数字签名进行解密,将得到的值与所接收到的DNS信息进行运算获得的值进行对比,如果相同,说明该记录是合法的。为了实现上的功能,DNSSEC定义了三种资源记录集(Resource Record):用于存放DNS 信息数字签名的资源记录签名记录(RRSIG) ;用于存放解密公钥的DNS密钥资源记录集合(DNSKEY);用于DNS密钥资源记录集合验证,存储密钥标签、加密算法和DNS密钥资源记录集合摘要信息的授权签名者(Delegation Signer,简称DS)。
DNSSEC的标准中规定至少需要两种类型的密钥才能较好地对DNSSEC区域进行安全管理,这两种密钥分别是密钥签名密钥(Key-signing Key,简称KSK)和区域签名密钥(Zone-signing Key,简称ZSK)。其中,KSK只用来签名DNS密钥资源记录集合,而ZSK用来为区域中所有的资源记录集合签名,包括DNS密钥资源记录集合。KSK和ZSK需要定期更新,避免长时间使用而被破解,使得DNSSEC失去保护能力。为了防止DNSSEC验证信任链的断裂,目前KSK和ZSK的更新是分开独立进行的,即二者串行操作,时间上没有重叠,更新时间长。
发明内容
本发明的目的是提供一种域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法,以实现ZSK和KSK的快速更新。
本发明提供了一种域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法,包括:在DNS安全扩展的一个DNS区域中,在发布时刻增加一个新密钥签名密钥和一个新区域签名密钥至DNS安全扩展的DNS密钥资源记录集合,且使用新密钥签名密钥和新密钥签名密钥的原始密钥签名DNS密钥资源记录集合;等待一段发布时间,在该发布时间结束的预备时刻之后,使用新区域签名密钥签名DNS区域的所有资源记录集合,且提交新密钥签名密钥或与新密钥签名密钥所对应的授权签名者至DNS区域的父域中,并在父域中发布与新密钥签名密钥所对应的授权签名者;由预备时刻起,等待一段使用新区域签名密钥签名DNS区域的所有资源记录集合的第一处理时间后,在第一发送时刻完成传送新区域签名密钥签名后的DNS区域的所有资源记录集合至DNS区域的所有从服务器,且由预备时刻起,等待一段使新密钥签名密钥在DNS区域的父域中发布的第二处理时间后,在第二发送时刻完成传送新密钥签名密钥所对应的授权签名者传送至父域的从服务器;由第一发送时刻起,等待一段第一更新时间后,在DNS密钥资源记录集合中删除原始区域签名密钥,而后使用新密钥签名密钥重新签名DNS密钥资源记录集合,且由第二发送时刻起,等待一段第二更新时间后,在DNS密钥资源记录集合中删除原始密钥签名密钥,而后使用新密钥签名密钥重新签名DNS密钥资源记录集合。
DNS安全扩展的密钥签名密钥和区域签名密钥的更新方法,区域签名密钥和密钥签名密钥并行更新,从而缩短了整个更新时间。
在域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法的又一种示意性的实施方式中,发布时间的最小值为DNS区域的传送延迟时间与DNS区域的密钥资源记录集合的生存周期之和。
在域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法的另一种示意性的实施方式中,第一处理时间至少为DNS区域的传送延迟时间与使用新区域签名密钥签名DNS区域的所有资源记录集合所需时间之和;第二处理时间至少为提交新密钥签名密钥或新密钥签名密钥所对应的授权签名者至DNS区域的父域,与新密钥签名密钥所对应的授权签名者在父域中发布并传递至父域的所有从服务器所需时间之和。
在域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法的又一种示意性的实施方式中,第一更新时间至少为旧区域签名密钥所签名生成的所有DNS区域的资源记录签名记录中生存周期的最大值;第二更新时间至少为新密钥签名密钥对应的授权签名者的生存周期。
附图说明
以下附图仅对本发明做示意性说明和解释,并不限定本发明的范围。
图1用于说明DNS安全扩展的密钥签名密钥和区域签名密钥的更新方法。
具体实施方式
为了对发明的技术特征、目的和效果有更加清楚的理解,现对照附图说明本发明的具体实施方式,在各图中相同的标号表示相同的部分。
在本文中,“示意性”表示“充当实例、例子或说明”,不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。
为了实现DNS安全扩展,在一个DNS区域设置了资源记录集,资源记录集的类型包括DNS密钥资源记录集合(以下简称DNSKEY)、资源记录签名记录(以下简称RRSIG)和授权签名者(以下简称DS记录)。图1用于说明DNS安全扩展的密钥签名密钥和区域签名密钥的更新方法。如图所示,在Tpub时刻之前,DNSKEY中保存有原始密钥签名密钥KSK1和原始区域签名密钥ZSK1。从Tpub时刻开始,DNS区域生成用于替代原始密钥签名密钥KSK1的新密钥签名密钥KSK2,以及用于替代原始区域签名密钥ZSK1的新区域签名密钥ZSK2;并且将新密钥签名密钥KSK2和新区域签名密钥ZSK2添加到DNSKEY,之后使用新密钥签名密钥KSK2签名DNSKEY,此时DNSKEY中已添加新区域签名密钥ZSK2和新密钥签名密钥KSK2 。
从Tpub时刻开始,等待一个发布时间Ipub后,DNS安全扩展的密钥签名密钥和区域签名密钥的更新方法进行到预备时刻Trdy。在预备时刻Trdy后,使用新区域签名密钥ZSK2签名DNS区域的所有资源记录集合,并且提交新密钥签名密钥KSK2或与新密钥签名密钥KSK2相对应的DS记录至DNS区域的父域,并在父域发布与新密钥签名密钥KSK2相对应的DS记录。
在DNS安全扩展的密钥签名密钥和区域签名密钥的更新方法进一种示意性实施方式中,发布时间Ipub至少为DNS区域的传送延迟时间与DNSKEY的生存周期(Time To Live,以下简称TTL)之和,其中DNS区域的传送延迟时间是将本DNS区域的DNS主服务器的区域变化信息传递到本DNS区域的所有DNS从服务器所需的时间。
从预备时刻Trdy时刻开始,等待第一处理时间,在第一处理时间结束后的第一发送时刻Tdea完成将新区域签名密钥签名后的DNS区域的所有资源记录集合传递至本DNS区域的所有从服务器,其中第一处理时间内完成新区域签名密钥ZSK2签名DNS区域的所有资源记录集合。同时,从预备时刻Trdy时刻开始,等待第二处理时间,在第二处理时间结束后的第二发送时刻Tact完成传送新密钥签名密钥KSK2所对应的DS记录至DNS区域的父域,DS记录在父域发布并传递至父域的所有从服务器,其中第二处理时间内完成新密钥签名密钥KSK2在DNS区域的父域中发布。
在DNSSEC的密钥签名密钥和区域签名密钥的更新方法进一种示意性实施方式中,第一处理时间至少为DNS区域的传送延迟时间与使用新区域签名密钥ZSK2签名DNS区域的所有资源记录集合的时间之和,其中DNS区域的传送延迟时间是将本DNS区域的DNS主服务器的区域变化信息传递到本DNS区域的所有DNS从服务器所需的时间;第二处理时间至少为提交新密钥签名密钥KSK2或与新密钥签名密钥KSK2相对应的DS记录至DNS区域的父域并在父域发布与新密钥签名密钥KSK2相对应的DS记录所用时间,与将新密钥签名密钥所对应的DS记录在父域发布后,DS记录传递至父域的所有从服务器所需时间之和。
从第一发送时刻Tdea开始,等待一个第一更新时间后, DNSKEY中删除原始的区域签名密钥ZSK1,而后使用新密钥签名密钥KSK2重新签名DNSKEY。同时,从第二发送时刻Tact开始,等待一个第二更新时间后, DNSKEY中删除原始的密钥签名密钥KSK1,而后使用新密钥签名密钥KSK2重新签名DNSKEY。至此,完成DNS安全扩展的密钥签名密钥和区域签名密钥的更新。
在DNS安全扩展的密钥签名密钥和区域签名密钥的更新方法进一种示意性实施方式中,第一更新时间至少为旧区域签名密钥所签名生成的所有所述DNS区域的RRSIG中生存周期(TTL)的最大值;第二更新时间至少为新密钥签名密钥对应的DS记录的生存周期(TTL)。
DNS安全扩展的密钥签名密钥和区域签名密钥的更新方法,区域签名密钥和密钥签名密钥并行更新,从而缩短了整个更新时间。
应当理解,虽然本说明书是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施例的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方案或变更,如特征的组合、分割或重复,均应包含在本发明的保护范围之内。
Claims (4)
1.域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法,包括:
在DNS安全扩展的一个DNS区域中,在发布时刻(Tpub)把一个新密钥签名密钥(KSK2)和一个新区域签名密钥(ZSK2)加入到所述DNS安全扩展的DNS密钥资源记录集合,而后使用所述新密钥签名密钥(KSK2)和所述新密钥签名密钥(KSK2)的原始密钥签名密钥(KSK1)签名所述DNS密钥资源记录集合;
等待一段发布时间(Ipub),在该发布时间(Ipub)结束的预备时刻(Trdy)之后,使用所述新区域签名密钥(ZSK2)签名所述DNS区域的所有资源记录集合,且提交所述新密钥签名密钥(KSK2)或与所述新密钥签名密钥(KSK2)所对应的所述DNS安全扩展的授权签名者至所述DNS区域的父域,并在所述父域中发布与所述新密钥签名密钥(KSK2)所对应的所述授权签名者;
由所述预备时刻(Trdy)起,等待一段使用所述新区域签名密钥(ZSK2)签名所述DNS区域的所有资源记录集合的第一处理时间后,在第一发送时刻(Tdea)完成将所述新区域签名密钥(ZSK2)签名后的所述DNS区域的所有资源记录集合传送至所述DNS区域的所有从服务器,且由所述预备时刻(Trdy)起,等待一段使所述新密钥签名密钥(KSK2)在所述DNS区域的父域中发布的第二处理时间后,在第二发送时刻(Tact)完成将所述新密钥签名密钥(KSK2)所对应的所述DS记录传送至所述父域的从服务器;
由所述第一发送时刻(Tdea)起,等待一段第一更新时间后,在所述DNS密钥资源记录集合中删除所述区域钥签名密钥(ZSK2)的原始区域签名密钥(ZSK1),而后使用所述新密钥签名密钥(KSK2)重新签名所述DNS密钥资源记录集合,且由所述第二发送时刻(Tact)起,等待一段第二更新时间后,在所述DNS密钥资源记录集合中删除所述原始密钥签名密钥(KSK1),而后使用所述新密钥签名密钥(KSK2)重新签名所述DNS密钥资源记录集合。
2.如权利要求1所述的域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法,其中所述发布时间(Ipub)的最小值为所述DNS区域的传送延迟时间与所述DNS区域的密钥资源记录集合的生存周期之和。
3.如权利要求1所述的域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法,其中所述第一处理时间的最小值为所述DNS区域的传送延迟时间与使用所述新区域签名密钥(ZSK2)签名所述DNS区域的所有资源记录集合所需时间之和;
所述第二处理时间的最小值为提交所述新密钥签名密钥(KSK2)或与所述新密钥签名密钥(KSK2)相对应的授权签名者至所述父域所用时间,与所述新密钥签名密钥(KSK2)相对应的授权签名者在所述父域中发布并且传递至所述父域的各个从服务器的时间之和。
4.如权利要求1所述的域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法,其中所述第一更新时间的最小值为所述旧区域签名密钥(ZSK1)所签名生成的所有所述DNS区域的资源记录签名记录中生存周期的最大值;
所述第二更新时间的最小值为所述新密钥签名密钥(KSK2)对应的授权签名者的生存周期。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310261938.4A CN104253793A (zh) | 2013-06-27 | 2013-06-27 | 域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310261938.4A CN104253793A (zh) | 2013-06-27 | 2013-06-27 | 域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104253793A true CN104253793A (zh) | 2014-12-31 |
Family
ID=52188334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310261938.4A Pending CN104253793A (zh) | 2013-06-27 | 2013-06-27 | 域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104253793A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113542324A (zh) * | 2020-04-17 | 2021-10-22 | 北京京东振世信息技术有限公司 | 一种消息推送方法和装置 |
| US20220255910A1 (en) * | 2015-01-09 | 2022-08-11 | Verisign, Inc. | Registering, managing, and communicating with iot devices using domain name system processes |
| CN114979071A (zh) * | 2022-06-16 | 2022-08-30 | Oppo广东移动通信有限公司 | 动态域名配置方法、装置、电子设备及存储介质 |
| CN116389411A (zh) * | 2023-06-07 | 2023-07-04 | 阿里巴巴(中国)有限公司 | 域名数据处理方法、装置及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741560A (zh) * | 2008-11-14 | 2010-06-16 | 北京石油化工学院 | 基于整数非线性映射的散列函数构造方法 |
| CN102045413A (zh) * | 2011-01-24 | 2011-05-04 | 北京邮电大学 | 经过dht扩展的dns映射系统及其实现dns安全的方法 |
| CN102325132A (zh) * | 2011-08-23 | 2012-01-18 | 北京凝思科技有限公司 | 一种系统层安全dns防护方法 |
| US20120017090A1 (en) * | 2010-07-13 | 2012-01-19 | Verisign, Inc. | System and method for zone signing and key management in a dns system |
| CN102769529A (zh) * | 2011-05-02 | 2012-11-07 | 弗里塞恩公司 | Dnssec签名服务器 |
-
2013
- 2013-06-27 CN CN201310261938.4A patent/CN104253793A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741560A (zh) * | 2008-11-14 | 2010-06-16 | 北京石油化工学院 | 基于整数非线性映射的散列函数构造方法 |
| US20120017090A1 (en) * | 2010-07-13 | 2012-01-19 | Verisign, Inc. | System and method for zone signing and key management in a dns system |
| CN102045413A (zh) * | 2011-01-24 | 2011-05-04 | 北京邮电大学 | 经过dht扩展的dns映射系统及其实现dns安全的方法 |
| CN102769529A (zh) * | 2011-05-02 | 2012-11-07 | 弗里塞恩公司 | Dnssec签名服务器 |
| CN102325132A (zh) * | 2011-08-23 | 2012-01-18 | 北京凝思科技有限公司 | 一种系统层安全dns防护方法 |
Non-Patent Citations (2)
| Title |
|---|
| 成红波: "《DNSSEC的安全机制研究及部署》", 《万方》 * |
| 朱刚: "《DNSSec技术发展及应用展望》", 《电信技术》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220255910A1 (en) * | 2015-01-09 | 2022-08-11 | Verisign, Inc. | Registering, managing, and communicating with iot devices using domain name system processes |
| CN113542324A (zh) * | 2020-04-17 | 2021-10-22 | 北京京东振世信息技术有限公司 | 一种消息推送方法和装置 |
| CN114979071A (zh) * | 2022-06-16 | 2022-08-30 | Oppo广东移动通信有限公司 | 动态域名配置方法、装置、电子设备及存储介质 |
| CN114979071B (zh) * | 2022-06-16 | 2024-03-26 | Oppo广东移动通信有限公司 | 动态域名配置方法、装置、电子设备及存储介质 |
| CN116389411A (zh) * | 2023-06-07 | 2023-07-04 | 阿里巴巴(中国)有限公司 | 域名数据处理方法、装置及设备 |
| CN116389411B (zh) * | 2023-06-07 | 2023-08-18 | 阿里巴巴(中国)有限公司 | 域名数据处理方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111159288B (zh) | 链式结构数据存储、验证、实现方法、系统、装置及介质 | |
| CN109617698B (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
| CN111434085B (zh) | 用于在区块链系统中进行跨链交互的域名管理方案 | |
| US11115418B2 (en) | Registration and authorization method device and system | |
| CN102546176B (zh) | 在多主体环境中支持dns安全 | |
| US10439804B2 (en) | Data encrypting system with encryption service module and supporting infrastructure for transparently providing encryption services to encryption service consumer processes across encryption service state changes | |
| JP6856626B2 (ja) | マルチユーザクラスタアイデンティティ認証のための方法および装置 | |
| CN109460413B (zh) | 用于跨区块链建立账户的方法及系统 | |
| JP2020501403A (ja) | ブロックチェーンシステム内のクロスチェーン相互作用に対するドメイン名方式 | |
| JP2018023162A (ja) | 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム | |
| CN104394155A (zh) | 可验证完整性和完备性的多用户云加密关键字搜索方法 | |
| CN109714447B (zh) | 基于区块链域名系统的域名生成方法和系统 | |
| US20100241852A1 (en) | Methods for Producing Products with Certificates and Keys | |
| US10050946B2 (en) | Secured data transmission using identity-based cryptography | |
| US20190020648A1 (en) | Systems and methods for managing device association | |
| CN105324976A (zh) | 使用简单证书注册协议和相应的管理应用将证书注册到设备的方法 | |
| CN106790296B (zh) | 域名记录验证方法及装置 | |
| EP3465976B1 (en) | Secure messaging | |
| CN104253793A (zh) | 域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法 | |
| CN109120611B (zh) | 用于地址生成服务器的用户认证方法、设备、系统及介质 | |
| WO2019179625A1 (en) | Distributed data storage network nodes and methods | |
| CN113392430B (zh) | 基于智能合约认证的数字资源管理方法及系统 | |
| CN106022145A (zh) | 一种基于密文索引的数据查询方法 | |
| CN111767551A (zh) | 一种基于区块链的浏览权限控制方法和控制系统 | |
| CN114528601A (zh) | 基于区块链数据的访问方法和装置、处理器及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141231 |
|
| WD01 | Invention patent application deemed withdrawn after publication |