FR2908540A1 - Deploiement de bases dnssec - Google Patents

Deploiement de bases dnssec Download PDF

Info

Publication number
FR2908540A1
FR2908540A1 FR0609987A FR0609987A FR2908540A1 FR 2908540 A1 FR2908540 A1 FR 2908540A1 FR 0609987 A FR0609987 A FR 0609987A FR 0609987 A FR0609987 A FR 0609987A FR 2908540 A1 FR2908540 A1 FR 2908540A1
Authority
FR
France
Prior art keywords
server
security
security mechanisms
dns
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR0609987A
Other languages
English (en)
Inventor
Daniel Migault
Jean Michel Combes
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0609987A priority Critical patent/FR2908540A1/fr
Priority to EP07866500A priority patent/EP2087699A2/fr
Priority to PCT/FR2007/052256 priority patent/WO2008059150A2/fr
Priority to US12/312,510 priority patent/US20100049982A1/en
Publication of FR2908540A1 publication Critical patent/FR2908540A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1023Server selection for load balancing based on a hash applied to IP addresses or costs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Hardware Redundancy (AREA)
  • Telephonic Communication Services (AREA)

Abstract

L'invention concerne un procédé d'accès par un premier dispositif à une information prédéterminée dupliquée dans plusieurs dispositifs serveurs, chaque dispositif serveur implémentant un sous-ensemble de mécanismes de sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité d'accès à l'information prédéterminée, ledit procédé comportant les étapes de :a) émission (40) par le premier dispositif d'au moins une requête d'accès adaptée pour recevoir la liste des mécanismes de sécurité implémentés par les dispositifs serveur,b) émission (46) par le premier dispositif vers au moins un desdits dispositifs serveur d'une requête d'accès à l'information prédéterminée, ladite requête utilisant les mécanismes de sécurité implémentés par le au moins un desdits dispositifs serveur.

Description

1 DEPLOIEMENT DE BASE DNSSEC L'invention concerne un procédé et un système
d'accès par un premier dispositif à une information prédéterminée dupliquée dans plusieurs dispositifs serveurs, chaque dispositif serveur implémentant un sous-ensemble de mécanismes de sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité d'accès à l'information prédéterminée. L'invention concerne également le premier dispositif et les dispositifs serveurs associés ainsi qu'un produit programme d'ordinateur mettant en oeuvre le procédé d'accès. Dans les réseaux complexes de données et, en particulier les réseaux informatiques de type internet, on constate que les normes évoluent pour prendre en compte de nouveaux mécanismes de sécurité destinés à lutter contre les attaques mettant en péril la stabilité et/ou l'intégrité des réseaux. Une difficulté particulière apparaît lors de l'implémentation de ces nouvelles normes lorsqu'elles concernent des modifications à apporter à de nombreux équipements. De ce fait, au moins pendant une période temporaire, il est nécessaire de prévoir des mécanismes de cohabitation entre équipements utilisant une version antérieure des normes et équipements implémentant la version de la norme mise à jour. Un exemple de cette difficulté se trouve dans l'évolution de la norme DNS (Domain Name Service û Service de nom de domaine) vers la norme DNSSEC (DNS Sécurisé).
La norme DNS est une norme cruciale pour le fonctionnement de l'internet puisqu'elle permet de faire le lien entre un nom de domaine et une ou des adresses IP. Or la norme DNS ne prévoit aucun mécanisme de sécurité. Ainsi, un tiers malveillant peut, par exemple, intercepter une requête DNS de demande d'adresse IP d'un nom de domaine correspondant, par exemple, à un site bancaire, et retourner au demandeur une adresse IP correspondant à un faux 2908540 2 site imitant le site bancaire et permettant d'acquérir les codes d'accès des clients ainsi détournés. L'IETF a donc élaboré une version sécurisée de la norme DNS, version appelée DNSSEC, décrite dans les documents de l'IETF, RFC4033, RFC 4034 5 et RFC 4035. Le protocole DNSSEC repose sur plusieurs mécanismes de sécurité : * Un mécanisme d'authentification des données du serveur. Il utilise une signature (RRSIG) qui permet à un client de vérifier si l'information n'est pas altérée, et si elle provient bien du serveur légitime. 10 * Un mécanisme de preuve de non existence d'une donnée. Le champ NSEC2 permet de classer les noms de domaine comme au sein d'un dictionnaire. Comme il y a un ordre, si le nom de domaine demandé n'est pas entre les noms attendus, c'est qu'il n'existe pas. * Un mécanisme de preuve de non existence "haché" d'une donnée. Le 15 champ NSEC3 a les mêmes fonctions que le champ NSEC2, sauf qu'il ne renvoie pas les données en clair du nom de domaine précédent et du nom du domaine suivant. Il renvoie une clé de hachage de ces noms. Ceci évite que la zone puisse être listée. * Un mécanisme de chaîne de confiance. Ce mécanisme permet de 20 passer d'un niveau de la hiérarchie des serveurs DNS à un niveau plus bas sans perdre confiance. En outre, associé à DNSSEC, le protocole DNS comprend certains mécanismes de sécurité comme : * TSIG qui permet de chiffrer les communications à l'aide d'une clé 25 partagée. * SIG(0) qui permet, entre autre l'authentification du client par un système de clé asymétrique. Ces mécanismes permettent de manière générale de sécuriser le système DNS.
2908540 3 Ces mécanismes de sécurité génèrent des coûts et des contraintes. Par exemple, dans certains cas, l'utilisation de mécanismes de sécurité ne permet pas la mise à jour dynamique. Ainsi, il est souhaitable de pouvoir privilégier certains 5 mécanismes par rapport à d'autres en fonction des besoins. De plus, il est souhaitable, pour permettre une évolution progressive du réseau de permettre l'accès au service DNS à des clients qui n'implémentent pas encore, ou de façon partielle, le protocole DNSSEC.
10 Il est ainsi souhaitable d'avoir un procédé et un système d'accès à des données protégées par des mécanismes de sécurité dans lesquels il est possible de choisir les mécanismes de sécurité mis en oeuvre. Lorsque plusieurs serveurs offrent la même donnée avec des implémentations différentes des mécanismes de sécurité d'accès, il est 15 également souhaitable d'avoir un procédé et un système qui permettent de choisir le serveur en fonction des mécanismes d'accès implémentés par celui-ci. Un objet de l'invention est donc un procédé d'accès par un premier dispositif à une information prédéterminée dupliquée dans plusieurs dispositifs 20 serveurs, chaque dispositif serveur implémentant un sous-ensemble de mécanismes de sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité d'accès à l'information prédéterminée, ledit procédé comportant les étapes de : a) émission par le premier dispositif d'au moins une requête d'accès 25 adaptée pour recevoir la liste des mécanismes de sécurité implémentés par les dispositifs serveur, b) émission par le premier dispositif vers au moins un desdits dispositifs serveur d'une requête d'accès à l'information prédéterminée, ladite requête utilisant les mécanismes de sécurité implémentés par le au moins un 30 desdits dispositifs serveur.
2908540 4 D'autres caractéristiques et modes particuliers de réalisation sont : * il comporte, après l'étape a) d'émission d'au moins une requête, une étape a1) de sélection par le premier dispositif d'un dispositif serveur ayant 5 implémenté un sous-ensemble prédéterminé de mécanismes de sécurité, ce qui permet avantageusement de sélectionner un dispositif serveur selon des critères spécifiques au premier dispositif. * un dispositif serveur central comportant une liste référençant les dispositifs serveurs et le sous-ensemble de mécanismes de sécurité 10 implémenté par chaque dispositif serveur, l'étape a) consiste en l'émission d'une requête d'accès dirigée vers le dispositif serveur central, ce qui permet avantageusement d'obtenir avec une seule requête la liste des dispositifs serveurs et de leurs mécanismes de sécurité. * la liste référençant les dispositifs serveurs comportant en outre au 15 moins une référence à un dispositif serveur ne comportant pas l'information prédéterminée, en réponse à la requête d'accès de l'étape a), le dispositif serveur central envoie au premier dispositif une sous-liste de ladite liste, ladite sous-liste ne comportant que des références aux dispositifs serveurs comportant l'information prédéterminée, ce qui permet avantageusement de 20 limiter la quantité d'informations transférée. * les dispositifs serveurs étant des serveurs DNS dont au moins un implémente tout ou partie des mécanismes de sécurité de la norme DNSSEC et le dispositif serveur central étant un serveur DNS de plus haut niveau dans la hiérarchie DNS dont la base des serveurs DNS comporte au moins un 25 champ de description des mécanismes de sécurité de la norme DNSSEC implémentés par chaque serveur DNS, l'étape a) consiste en l'émission d'une requête DNS de type A afin de déterminer l'adresse IP correspondant à une adresse DNS auprès du serveur DNS de plus haut niveau et la réponse du serveur DNS de plus haut niveau à cette requête consiste en une réponse 30 DNS de type NS à laquelle est concaténée les champs de description des mécanismes de sécurité de la norme DNSSEC implémentés pour chaque 2908540 5 serveur DNS dont l'adresse est transmise dans la réponse de type NS, ce qui permet avantageusement de sélectionner le serveur DNS implémentant les mécanismes choisis du protocole DNSSEC. * les dispositifs serveurs étant des serveurs DNS dont au moins un 5 implémente tout ou partie des mécanismes de sécurité de la norme DNSSEC, l'étape a) consiste en une requête DNS d'acquisition des caractéristiques d'un dispositif serveur adressée audit dispositif serveur, à laquelle ledit dispositif serveur répond en transmettant au premier dispositif un champ de description des mécanismes de sécurité de la norme DNSSEC implémentés par ledit 10 dispositif serveur, ce qui permet avantageusement de connaître les mécanismes de sécurité DNSSEC implémentés par le serveur DNS. Un autre objet de l'invention est un système d'accès par un premier dispositif à une information prédéterminée dupliquée dans plusieurs dispositifs serveurs, chaque dispositif serveur implémentant un sous-ensemble 15 de mécanismes de sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité d'accès à l'information prédéterminée, caractérisé en ce qu'il comporte : a) des moyens d'émission par le premier dispositif d'au moins une requête d'accès adaptée pour recevoir la liste des mécanismes de sécurité 20 implémentés par les dispositifs serveur, b) des moyens d'émission par le premier dispositif vers au moins un desdits dispositifs serveur d'une requête d'accès à l'information prédéterminée, ladite requête utilisant les mécanismes de sécurité implémentés par le au moins un desdits dispositifs serveur.
25 Un autre objet de l'invention est un dispositif d'accès à une information prédéterminée dupliquée dans plusieurs dispositifs serveurs, chaque dispositif serveur implémentant un sous-ensemble de mécanismes de sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité d'accès à l'information prédéterminée, 30 caractérisé en ce qu'il comporte : 2908540 6 a) des moyens d'émission d'au moins une requête d'accès adaptée pour recevoir la liste des mécanismes de sécurité implémentés par les dispositifs serveur, b) des moyens d'émission vers au moins un desdits dispositifs serveur 5 d'une requête d'accès à l'information prédéterminée, ladite requête utilisant les mécanismes de sécurité implémentés par le au moins un desdits dispositifs serveur. Un autre objet de l'invention est un dispositif serveur implémentant un sous-ensemble de mécanismes de sécurité d'un ensemble 10 prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité d'accès à une information prédéterminée, caractérisé en ce qu'il comporte : a) des moyens de réception d'au moins une requête d'accès par un premier dispositif adaptée pour recevoir la liste des mécanismes de sécurité 15 implémentés par ledit dispositif serveur, b) des moyens d'envoi en réponse à la requête d'accès la liste des mécanismes de sécurité implémentés, c) des moyens de réception d'une requête d'accès à l'information prédéterminée émise par le premier dispositif, ladite requête utilisant les 20 mécanismes de sécurité implémentés par ledit dispositif serveur. Un autre objet de l'invention est un programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé précédent lorsque ledit programme est exécuté sur un ordinateur.
25 L'invention sera mieux cornprise à la lecture de la description qui suit, donnée uniquement à titre d'exemple, et faite en référence aux figures en annexe dans lesquelles : - la figure 1 est une vue schématique d'un système d'accès selon un mode de réalisation de l'invention ; 30 - la figure 2 est une vue schématique d'un premier dispositif du système de la figure 1 ; 2908540 7 - la figure 3 est une vue schématique d'un dispositif serveur du système de la figure 1 ; - la figure 4 est un ordinogramme d'un premier mode de réalisation du procédé selon l'invention 5 - la figure 5 est un ordinogramme d'un second mode de réalisation du procédé selon l'invention ; et, - la figure 6 est une vue schématique d'un ordinateur mettant en oeuvre un programme implémentant un mode de réalisation du procédé selon l'invention.
10 En référence à la figure 1, un premier dispositif 1 est connecté par l'intermédiaire d'un réseau de données 2 à des dispositifs serveurs 3, 4, 5. A titre illustratif, le premier dispositif 1 est un client DNS, par exemple un serveur cache récursif, et les dispositifs serveurs 3, 4 et 5 15 sont des serveurs DNS. Comme il est bien connu de l'homme du métier, les serveurs DNS sont organisés en une hiérarchie de serveurs correspondant à la hiérarchie de noms de domaine. Par exemple, le serveur DNS 3 est le serveur ayant autorité sur la zone .fr , le serveur DNS 4 est le serveur ayant autorité sur le domaine francetelecom.fr 20 et le serveur DNS 5 est le serveur ayant autorité sur le domaine gouv.fr . La hiérarchie entre serveurs DNS est particulièrement illustrée lors d'une résolution classique du nom de domaine. Supposons que le client DNS 1 souhaite connaître l'adresse IP de l'adresse 25 www.francetelecom.fr. Le client DNS 1 envoie une requête concernant ce domaine au serveur root (non représenté). Celui-ci lui renvoie l'adresse IP du serveur DNS faisant autorité sur la zone .fr , à savoir le serveur DNS 3. Le client DNS 1 envoie alors une requête de résolution du domaine 30 www.francetelecom.fr au serveur DNS 3. Celui-ci lui renvoie l'adresse IP du serveur DNS faisant autorité pour le domaine francetelecom.fr , à 2908540 8 savoir le serveur 4. Le client DNS 1 envoie alors une requête de résolution pour www.francetelecom.fr au serveur DNS 4. Celui-ci renvoie l'adresse IP du serveur web correspondant, adresse IP qui est transférée par le client DNS 1 au client HTTP ayant émis la requête initiale afin que 5 celui-ci puisse interroger le serveur web. Le premier dispositif 1 comporte, figure 2, des moyens 10 de connexion au réseau de données 2. Il comporte des moyens 12 d'émission d'au moins une requête d'accès adaptée pour recevoir une liste de mécanismes de sécurité 10 implémentés par les dispositifs serveurs 3, 4, 5. II comporte également des moyens 14 d'émission vers au moins un des dispositifs serveurs 3, 4, 5 d'une requête d'accès à une information prédéterminée. La requête d'accès est telle qu'elle utilise les mécanismes de sécurité implémentés.
15 Les dispositifs serveurs 3, 4, 5 comportent, figure 3, des moyens 20 de stockage d'une information prédéterminée. C'est, par exemple, une base de données des informations liées au protocole DNS. L'accès à cette information est contrôlé par des mécanismes 22 de sécurité définissant un niveau de sécurité d'accès à cette information.
20 Les dispositifs serveurs 3, 4, 5 comportent des moyens 24 de connexion au réseau de données 2. Des moyens 26 de réception sont connectés aux moyens 24 de connexion. Les moyens 26 de réception sont adaptés pour recevoir une 25 requête d'accès venant du premier dispositif 1. Cette requête d'accès comporte une demande de renseignement sur la liste des mécanismes 22 de sécurité implémentés. Pour répondre à cette requête, le dispositif serveur 3, 4, 5 comporte des moyens 28 d'envoi de la liste des mécanismes 22 de sécurité implémentés.
30 Le dispositif serveur 3, 4, 5 comporte en outre des moyens 30 de réception d'une requête d'accès à l'information prédéterminée, requête 2908540 9 émise par le premier dispositif 1. Cette requête utilise les mécanismes 22 de sécurité d'accès pour accéder à l'information. Le fonctionnement du système va être explicité en relation avec la figure 4.
5 Il est à noter, au préalable, que pour permettre une bonne compréhension des relations entre les différentes entités du système, les ordinogrammes des figures 4 et 5 présentent plusieurs colonnes, chaque colonne représentant une entité et chaque tâche étant répartie dans une colonne en fonction de l'entité qui l'exécute.
10 A l'étape 40, le premier dispositif 1 émet au moins une requête à destination d'au moins un des dispositifs serveurs 3, 4, 5. A l'étape 42, chaque dispositif serveur 3, 4, 5 interrogé répond en envoyant une liste de mécanismes de sécurité implémentés. A l'étape 44, optionnelle, le premier dispositif 1 sélectionne un 15 des dispositifs serveurs 3, 4, 5 en fonction des mécanismes de sécurité implémentés par celui-ci. Par exemple, le premier dispositif 1 compare la liste des mécanismes de sécurité implémentés par chaque dispositif serveur à un sous ensemble prédéterminé de mécanismes de sécurité. A l'étape 46, le premier dispositif émet une requête d'accès à 20 l'information stockée dans les moyens 20 de stockage. Cette requête est destinée au dispositif serveur 3, 4, 5 sélectionné et respecte les mécanismes de sécurité implémentés par ce dispositif serveur 3, 4, 5. A l'étape 48, les mécanismes de sécurité ayant été correctement activés, le dispositif serveur 3, 4, 5 envoie au premier dispositif 1 25 l'information demandée. Dans un second mode de réalisation, un des dispositifs serveurs 3, 4, 5 par exemple le dispositif serveur 3, a un rôle de dispositif serveur central comportant une liste référençant les dispositifs serveurs 4, 5 ainsi que le sous-ensemble des mécanismes de sécurité implémenté par 30 chaque dispositif serveur 4, 5.
2908540 10 A l'étape 50, le premier dispositif 1 émet alors sa requête à destination du dispositif serveur central 3. A l'étape 52, la réponse du dispositif central 3 comporte une liste des dispositifs serveurs 4, 5 ainsi que les mécanismes de sécurité 5 implémentés. II est à noter que, dans un mode de réalisation particulier, lorsque certains des dispositifs serveurs 4, 5 comportent l'information prédéterminée et d'autres non, la liste envoyée par le dispositif serveur central 3 ne comporte que les dispositifs serveurs contenant l'information 10 prédéterminée. Le premier dispositif 1 sélectionne à l'étape 54 un dispositif serveur 4, 5 comme indiqué dans le mode de réalisation précédent puis émet à l'étape 56 la requête d'accès à l'information prédéterminée à destination du dispositif serveur 4, 5 sélectionné.
15 Ce dernier envoie à l'étape 58 l'information prédéterminée au premier dispositif 1. A titre illustratif, l'exemple des serveurs DNS présenté ci-dessus, va être utilisé ci-après pour montrer un exemple de fonctionnement du procédé d'accès.
20 La terminologie utilisée ci-après reprend les définitions habituelles des champs et des requêtes du protocole DNS, ou DNSSEC, telles qu'elles existent dans les documents de standardisation de l'IETF. Un nouveau champ SEC est créé pour décrire les mécanismes de sécurité DNSSEC mis en oeuvre.
25 Un nouveau type, NS*, semblable a l'ancien type NS, permet de contenir des informations de sécurité mis en oeuvre par le serveur. Le champ SEC est utilisé lors de la résolution du nom de domaine de manière à ce que le client puisse décider en fonction des mécanismes de sécurité dès la connaissance du nom de serveur les paramètres de 30 sécurité mis en place par le serveur. Le paramètre SEC ne se rapporte qu'à des mécanismes de sécurité liés à un nom de domaine.
2908540 11 Un Champs HSEC contient les informations de sécurité du serveur. Ce champ permet de caractériser les mécanismes de sécurité liés à une adresse IP. Ce champ permet également de connaître les mécanismes de sécurité d'un serveur simplement à 5 partir de son nom de domaine (i.e. son nom), et non du nom de domaine qu'il administre, (i.e. la part de l'espace de nommage qu'il administre). En effet le champ HSEC permet de donner les mécanismes de sécurité liés à la machine, i.e. à une adresse IP. Le champ SEC est constitué d'un certain nombre d'octets 10 (2 par exemple). Chaque bit représente un mécanisme. Le bit est à 1 si le mécanisme est implanté et à 0 sinon. Le champ SEC est décrit, par exemple, de la manière suivante: ^ Bit 0 Authentification / intégrité (SIG) ^ Bit 1 Preuve de non existence (NSEC) Bit 2 Authentification du client (TSIG) Bit 3 Concordance avec la requête du client SIG(0)) ^ Bit 4 Chaîne de confiance (DS) En prenant l'exemple du DNS classique, le champ SEC a la 20 valeur 0. Dans le cadre du DNSSEC traditionnel le champ SEC a la valeur 1100 1000 = C8 (Hexadecimal) Le champ HSEC est dédié à héberger des informations relatives au nom de domaine. Le champ HSEC est hébergé sous le nom de domaine relatif au serveur. Le champ HSEC possède 25 alors la valeur du paramètre de sécurité SEC. La structure du champ HSEC est par exemple, Representation textuelle : owner class ttl HINFO cpu os Exemple: 30 grizzly.movie.edu. IN HSEC 0x7 Representation binaire : HINFO type code: HSEC_VALUE 15 2908540 12 SEC Où . SEC Valeur du champ sécurité 5 En reprenant le champ SEC, le champ NS* a le schéma suivant : Representation textuelle : owner class ttl NS name-server-dname Exemple: 10 movie.edu. IN NS* terminator.movie.edu SEC Representation binaire : NS type code: NS*_CODE NSDNAME SEC Où . NSDNAME Nom de domaine spécifiant un hôte 15 qui gère la zone DNS ; et SEC Paramètre de sécurité La structure d'un fichier DNS est, par exemple, la suivante movie.edu. IN SOA terminator.movie.edu. al.rohocop.movie.edu. 20 1 ; numéro d'ordre 10800 ; Rafraîchissement après 3 heures 3600 ; Rejeu après une heure 604800 ; Expire après une semaine 86400 ; TTL minimum de 1 jour 25 ; Serveurs de noms movie.edu. IN NS* terminator.movie.edu. ISEC movie.edu. IN NS* wormhole.movie.edu.ISEC 31) 2908540 13 ; Addresses pour les noms canoniques localhost.movie.edu. IN A 127.0.0.1 robocop.movie.edu. IN A 192.249.249.2 terminator.movie.edu. IN A 192.249.249.3 IN HSEC SEC diehard.movie.edu. IN A 192.249.249.4 misery.movie.edu. IN A 192.253.253.2 shining.movie.edu. IN A 192.253.253. 3 carrie.movie.edu. IN A 192.253.253.4 wormhole.movie.edu. IN A 192.249.249.1 IN HSEC SEC wormhole.movie.edu. IN A 192.253.253.1 ; Alias bigt.movie.edu. IN CNAME terminator.movie.edu. IN CNAME diehard.movie.edu. IN CNAME wormhole.movie.edu. ; Noms spécifiques des interfaces wh249.movie.edu IN A 192.249.249.1 wh253.movie.edu IN A 192.253.253.1 Une résolution DNS sécurisée comporte alors, figure 5, à l'étape 50 25 une requête de demande de résolution de type A à laquelle le serveur DNS 3 répond à l'étape 52 par un champ NS*, c'est-à-dire un champ NS auquel est concaténé le champ SEC contenant les mécanismes de sécurité DNSSEC du serveur correspondant. Ainsi, le client DNS 1 a l'information nécessaire pour choisir à l'étape 30 54 le serveur DNS ayant les mécanismes de sécurité DNSSEC adaptés à son besoin. Lorsque le client DNS 1 souhaite connaitre les mécanismes de sécurité implémentés par un serveur DNS particulier, figure 3, il émet en 40 5 10 15 20 dh.movie.edu wh.movie.edu 2908540 14 une requête d'accès au champ HSEC de ce serveur. Cela lui permet d'adapter sa requête d'accès à l'information en fonction des mécanismes de sécurité implémentés sans avoir à demander l'ensemble des informations correspondant à l'ensemble des serveurs DNS.
5 On comprend que le procédé d'accès peut être mis en oeuvre par un produit programme d'ordinateur téléchargeable depuis un réseau de communication et/ou enregistré sur un support lisible par ordinateur et/ou exécutable par un processeur tel que représenté sur la figure 6 et comportant une unité arithmétique et logique CPU, différents registres MO, M1, M2, M3 et 10 mémoires RAM ainsi que des entrées/sorties I/O.

Claims (10)

REVENDICATIONS
1. Procédé d'accès par un premier dispositif (1) à une information prédéterminée dupliquée dans plusieurs dispositifs serveurs (3, 4, 5), chaque dispositif serveur implémentant un sous-ensemble de mécanismes de sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité d'accès à l'information prédéterminée, ledit procédé comportant les étapes de : a) émission (40, 50) par le premier dispositif d'au moins une requête d'accès adaptée pour recevoir la liste des mécanismes de sécurité implémentés par les dispositifs serveur, b) émission (46, 56) par le premier dispositif vers au moins un desdits dispositifs serveur d'une requête d'accès à l'information prédéterminée, ladite requête utilisant les mécanismes de sécurité implémentés par le au moins un desdits dispositifs serveur.
2. Procédé selon la revendication 1, caractérisé en ce qu'il comporte, après l'étape a) d'émission d'au moins une requête, une étape a1) de sélection (44, 54) par le premier dispositif d'un dispositif serveur ayant implémenté un sous-ensemble prédéterminé de mécanismes de sécurité.
3. Procédé selon la revendication 2, caractérisé en ce que un dispositif serveur central comportant une liste référençant les dispositifs serveurs et le sous-ensemble de mécanismes de sécurité implémenté par chaque dispositif serveur, l'étape a) consiste en l'émission (50) d'une requête d'accès dirigée vers le dispositif serveur central.
4. Procédé selon la revendication 3, caractérisé en ce que la liste référençant les dispositifs serveurs comportant en outre au moins une référence à un dispositif serveur ne comportant pas l'information prédéterminée, en réponse à la requête d'accès de l'étape a), le dispositif 2908540 16 serveur central envoie (52) au premier dispositif une sous-liste de ladite liste, ladite sous-liste ne comportant que des références aux dispositifs serveurs comportant l'information prédéterminée. 5
5. Procédé selon la revendication 4, caractérisé en ce que les dispositifs serveurs étant des serveurs DNS dont au moins un implémente tout ou partie des mécanismes de sécurité de la norme DNSSEC et le dispositif serveur central étant un serveur DNS de plus haut niveau dans la hiérarchie DNS dont la base des serveurs DNS comporte au moins un champ de description des 10 mécanismes de sécurité de la norme DNSSEC implémentés par chaque serveur DNS, l'étape a) consiste en l'émission d'une requête DNS de type A afin de déterminer l'adresse IP correspondant à une adresse DNS auprès du serveur DNS de plus haut niveau et la réponse du serveur DNS de plus haut niveau à cette requête consiste en une réponse DNS de type NS à laquelle est 15 concaténée les champs de description des mécanismes de sécurité de la norme DNSSEC implémentés pour chaque serveur DNS dont l'adresse est transmise dans la réponse de type NS.
6. Procédé selon la revendication 1, caractérisé en ce que les dispositifs 20 serveurs étant des serveurs DNS dont au moins un implémente tout ou partie des mécanismes de sécurité de la norme DNSSEC, l'étape a) consiste en une requête DNS d'acquisition des caractéristiques d'un dispositif serveur adressée audit dispositif serveur, à laquelle ledit dispositif serveur répond en transmettant au premier dispositif un champ de description des mécanismes de 25 sécurité de la norme DNSSEC implémentés par ledit dispositif serveur.
7. Système d'accès par un premier dispositif (1) à une information prédéterminée dupliquée dans plusieurs dispositifs serveurs (3, 4, 5), chaque dispositif serveur implémentant un sous-ensemble de mécanismes de sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un 2908540 17 niveau prédéfini de sécurité d'accès à l'information prédéterminée, caractérisé en ce qu'il comporte : a) des moyens (12) d'émission par le premier dispositif d'au moins une requête d'accès adaptée pour recevoir la liste des mécanismes de sécurité 5 implémentés par les dispositifs serveur, b) des moyens (14) d'émission par le premier dispositif vers au moins un desdits dispositifs serveur d'une requête d'accès à l'information prédéterminée, ladite requête utilisant les mécanismes de sécurité implémentés par le au moins un desdits dispositifs serveur. 10
8. Dispositif d'accès à une information prédéterminée dupliquée dans plusieurs dispositifs serveurs (3, 4, 5), chaque dispositif serveur implémentant un sous-ensemble de mécanismes de sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité 15 d'accès à l'information prédéterminée, caractérisé en ce qu'il comporte : a) des moyens (12) d'émission d'au moins une requête d'accès adaptée pour recevoir la liste des mécanismes de sécurité implémentés par les dispositifs serveur, b) des moyens (14) d'émission vers au moins un desdits dispositifs 20 serveur d'une requête d'accès à l'information prédéterminée, ladite requête utilisant les mécanismes de sécurité implémentés par le au moins un desdits dispositifs serveur.
9. Dispositif serveur implémentant un sous-ensemble de mécanismes de 25 sécurité d'un ensemble prédéterminé de mécanismes de sécurité de façon à fournir un niveau prédéfini de sécurité d'accès à une information prédéterminée, caractérisé en ce qu'il comporte : a) des moyens (26) de réception d'au moins une requête d'accès par un premier dispositif adaptée pour recevoir la liste des mécanismes de sécurité 30 implémentés par ledit dispositif serveur, 2908540 18 b) des moyens (28) d'envoi en réponse à la requête d'accès la liste des mécanismes de sécurité implémentés, c) des moyens (30) de réception d'une requête d'accès à l'information prédéterminée émise par le premier dispositif, ladite requête utilisant les 5 mécanismes de sécurité implémentés par ledit dispositif serveur.
10. Programme d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 6 lorsque ledit programme est exécuté sur un 10 ordinateur.
FR0609987A 2006-11-15 2006-11-15 Deploiement de bases dnssec Withdrawn FR2908540A1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FR0609987A FR2908540A1 (fr) 2006-11-15 2006-11-15 Deploiement de bases dnssec
EP07866500A EP2087699A2 (fr) 2006-11-15 2007-10-26 Deploiement de base dnssec
PCT/FR2007/052256 WO2008059150A2 (fr) 2006-11-15 2007-10-26 Deploiement de base dnssec
US12/312,510 US20100049982A1 (en) 2006-11-15 2007-10-26 Dnssec base rollout

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0609987A FR2908540A1 (fr) 2006-11-15 2006-11-15 Deploiement de bases dnssec

Publications (1)

Publication Number Publication Date
FR2908540A1 true FR2908540A1 (fr) 2008-05-16

Family

ID=38325377

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0609987A Withdrawn FR2908540A1 (fr) 2006-11-15 2006-11-15 Deploiement de bases dnssec

Country Status (4)

Country Link
US (1) US20100049982A1 (fr)
EP (1) EP2087699A2 (fr)
FR (1) FR2908540A1 (fr)
WO (1) WO2008059150A2 (fr)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8935748B2 (en) * 2007-10-31 2015-01-13 Microsoft Corporation Secure DNS query
US7917616B2 (en) 2008-08-08 2011-03-29 Microsoft Corporation Secure resource name resolution
US8429715B2 (en) * 2008-08-08 2013-04-23 Microsoft Corporation Secure resource name resolution using a cache
US8645700B2 (en) 2011-04-29 2014-02-04 Verisign, Inc. DNSSEC inline signing
US9130917B2 (en) * 2011-05-02 2015-09-08 Verisign, Inc. DNSSEC signing server
US10924452B1 (en) * 2013-08-30 2021-02-16 Amazon Technologies, Inc. Auditing IP address assignments
US10050927B2 (en) * 2015-01-27 2018-08-14 Mastercard International Incorporated Systems and methods for centralized domain name system administration

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004008712A1 (fr) * 2002-07-10 2004-01-22 Nokia Corporation Procede d'etablissement d'une association de securite

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6801998B1 (en) * 1999-11-12 2004-10-05 Sun Microsystems, Inc. Method and apparatus for presenting anonymous group names
US6961783B1 (en) * 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
GB2389431A (en) * 2002-06-07 2003-12-10 Hewlett Packard Co An arrangement for delivering resources over a network in which a demand director server is aware of the content of resource servers
US20070050507A1 (en) * 2005-08-24 2007-03-01 Nokia Corporation Context discovery for DNS names

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004008712A1 (fr) * 2002-07-10 2004-01-22 Nokia Corporation Procede d'etablissement d'une association de securite

Also Published As

Publication number Publication date
EP2087699A2 (fr) 2009-08-12
WO2008059150A3 (fr) 2008-10-09
WO2008059150A2 (fr) 2008-05-22
US20100049982A1 (en) 2010-02-25

Similar Documents

Publication Publication Date Title
EP1974522B1 (fr) Serveur, client et procédé pour gérer des requetes DNSSEC
FR2908540A1 (fr) Deploiement de bases dnssec
US10530852B2 (en) Network mapping in content delivery network
FR2847752A1 (fr) Methode et systeme pour gerer l'echange de fichiers joints a des courriers electroniques
US20130212266A1 (en) Routing client requests
FR2955405A1 (fr) Procede et systeme de prevention d'empoisonnement des caches dns
FR2855691A1 (fr) Securisation de la distribution de documents numeriques dans un reseau pair a pair
EP1797696A1 (fr) Procede et systeme de resolution dns distribuee
EP3087718B1 (fr) Obtention de donnees de connexion a un equipement via un reseau
WO2018115647A1 (fr) Validation de livraison de contenu et de verification d'une delegation de livraison d'un contenu
WO2007003818A1 (fr) Procede de filtrage par couplage multi-protocolaire sur la base du protocole dns.
EP2807815A1 (fr) Systeme et procede de controle d'une requête dns
FR3023098A1 (fr) Procede et systeme de traitement d'une demande de resolution d'un nom d'un serveur, emise par une application cliente sur un reseau de communication.
CA2433216A1 (fr) Serveur d'annuaire reparti
WO2010076536A2 (fr) Procède de traitement de requêtes émises par un client
WO2023083772A1 (fr) Procédés de contrôle et de transmission, et entités configurées pour mettre en œuvre ces procédés
WO2024068722A1 (fr) Procedes de resolution de nom, de communication, de traitement de messages et serveur, dispositif client et noeud relais correspondants
FR3118561A1 (fr) Procede de configuration d'une interface securisee entre un reseau de transport et un reseau elementaire d'une pluralite de reseaux elementaires federes a travers le reseau de transport ; interface associee
EP2080404B1 (fr) Serveur descripteur de région et procédé de sélection d'un réseau sans fil
FR2860370A1 (fr) Module et procede de transmission de messages a un serveur de noms de domaine et architecture ayant le module
Zedén Yverås et al. DNS Performance: A study of free, public and popular DNS servers in 2019
EP1635291A1 (fr) Procédé et agent de détection de messages non sollicités
FR3089089A1 (fr) Procédé pour l’optimisation par type de message de l’échange de données entre objets connectés
EP1370048A1 (fr) Application des réseaux actifs pour la répartition de charge au sein d'une pluralité de serveurs de service
WO2007138228A2 (fr) Procede, dispositif et systeme de nommage, procede et terminal d'acces a une ressource, procede de reponse a une interrogation et serveur de resolution

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20080930