KR20120124044A - DNSSEC signing server - Google Patents

DNSSEC signing server Download PDF

Info

Publication number
KR20120124044A
KR20120124044A KR1020120046220A KR20120046220A KR20120124044A KR 20120124044 A KR20120124044 A KR 20120124044A KR 1020120046220 A KR1020120046220 A KR 1020120046220A KR 20120046220 A KR20120046220 A KR 20120046220A KR 20120124044 A KR20120124044 A KR 20120124044A
Authority
KR
South Korea
Prior art keywords
signature
data
server
active
digital signature
Prior art date
Application number
KR1020120046220A
Other languages
Korean (ko)
Inventor
데이비드 스미스
제임스 굴드
라만 라부
디파크 데쉬판데
Original Assignee
베리사인 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to US13/098,940 priority Critical
Application filed by 베리사인 인코포레이티드 filed Critical 베리사인 인코포레이티드
Priority to KR1020120046220A priority patent/KR20120124044A/en
Publication of KR20120124044A publication Critical patent/KR20120124044A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communication using a plurality of keys or algorithms
    • H04L9/40

Abstract

PURPOSE: A DNSSEC(domain name system security extensions) signature server is provided to increase efficiency in a DNS(domain name service) cache and a local area network by performing proxy. CONSTITUTION: A registry or a DNSSEC service provider comprises signature servers(142,146) having any number. The signature server includes hardware security modules(HSM)(144,148). The signature server includes software which has a useful digital signature including a valid digital signature key. The signature server can exchange signed data and non-signed DNS data with various application services and tools. Each of a CAS(context aware service)(110), a NCC(network control center) plugin business service(120), and a batch/tool(130) is connected to a set of the signature server. The signature server maintains the signature DNS data within a database(150). [Reference numerals] (120) NCC business service; (130) Batch/tool; (142) Signature server 1; (146) Signature server.. n; (150) Database

Description

DNSSEC 서명 서버 {DNSSEC signing server}DNSSEC signing server {DNSSEC signing server}

본 발명은 도메인 명칭 시스템 보완성 확장(DNSSEC) 서명 서버에 관한 것이다.
The present invention relates to a Domain Name System Complementary Extension (DNSSEC) signature server.

도메인 명칭 시스템(DNS)은 사람이 판독할 수 있는 도메인 명칭을 인터넷을 통한 TCP/IP 통신을 설정하는데 필요한 인터넷 프로토콜(IP) 숫자로 바꾸는 인터넷 기반구조의 부분이다. DNS는 인터넷상에서 컴퓨터에 할당되는 예를 들면 "123.4.56.78"에 연관된 숫자로 된 IP 어드레스보다는 "www.en.example.com"같은 기억하기 쉬운 도메인 명칭을 사용하여 사용자가 웹 사이트 및 다른 자원을 사용자가 참조할 수 있게 한다.
Domain Name System (DNS) is part of the Internet infrastructure that translates human-readable domain names into Internet Protocol (IP) numbers needed to establish TCP / IP communications over the Internet. DNS uses user-friendly domain names such as "www.en.example.com" rather than the numerical IP addresses associated with "123.4.56.78", for example, to assign computers to the Internet, allowing users to access Web sites and other resources. Make it available to the user for reference.

각각의 도메인 명칭은 점들에 의해 분리된 일련의 문자 스트링(라벨)으로 구성되어 있다. 도메인 명칭에서 맨 우측 라벨은 "탑-레벨 도메인"(TLD)으로서 알려져 있다. 공지된 TLD의 예들은 "com"; "net"; "org" 등이다. 각각의 TLD는 예를 들면 "www.example.com"에서 "example" 레벨과 같이 TLD의 바로 좌측에 열거된 두 번째 레벨 도메인을 지원한다. 각각의 두 번째 레벨 도메인은 예를 들면 "www.en.example.com"에서 "en" 레벨과 같이 두 번째 레벨 도메인의 바로 좌측에 위치된 다수의 세 번째 레벨 도메인을 포함할 수 있다. 또한 도메인 레벨이 추가될 수 있다. 예를 들면 "www.landscape.photos.example.com"의 도메인에는 추가적 도메인 레벨을 포함하고 있다.
Each domain name consists of a series of character strings (labels) separated by dots. The rightmost label in the domain name is known as the "top-level domain" (TLD). Examples of known TLDs include “com”; "net"; org. Each TLD supports the second level domains listed just to the left of the TLD, such as for example at the "www.example.com" level. Each second level domain may include a number of third level domains located just to the left of the second level domain, such as, for example, the "en" level at "www.en.example.com". Domain level can also be added. For example, the domain of "www.landscape.photos.example.com" contains an additional domain level.

단일 IP 어드레스 예를 들어 단일 서버에 할당된 하나의 어드레스는 다수의 도메인 명칭을 지원할 수 있다는 것을 명심하여야 한다. 즉 상이한 도메인 명칭은 요청된 도메인 명칭 및/또는 추가 비-도메인 정보에 기초하여 제공할 컨텐트가 무엇인지를 결정할 수 있는 동일 서버에 리졸브(resolve)될 수 있다. 이는 종종 가상(virtual) 호스팅으로 언급된다.
It should be noted that a single IP address, for example one address assigned to a single server, can support multiple domain names. That is, different domain names may be resolved to the same server, which may determine what content to provide based on the requested domain name and / or additional non-domain information. This is often referred to as virtual hosting.

추가적인 비-도메인 정보는 도메인 명칭을 포함하는 인터넷 식별자(uniform resource identifier, 이하 'URI'라 칭함) 구조에 포함될 수도 있다. 예를 들어 "경로(path)"는 앞쪽에 위치한 슬래쉬("/")에 의하여 분리된 다음 세그먼트이다. 이 정보는 "www.example.com/blog/today.htm"에서 "blog"와 같이 도메인 명칭의 바로 우측에 포함될 수도 있고 특정 컨텐트를 식별하고 전달 또는 특정 코드를 실행하기 위한 다른 수신 장치에 의하여 사용될 수도 있다.
The additional non-domain information may be included in a uniform resource identifier (hereinafter referred to as "URI") structure that includes the domain name. For example, "path" is the next segment separated by a forward slash ("/"). This information may be included immediately to the right of the domain name, such as "blog" in "www.example.com/blog/today.htm" and may be used by other receiving devices to identify specific content and deliver or execute specific code. It may be.

다른 예들의 비-도메인 정보는 쿼리(query) 및 조각(fragment)을 포함할 수도 있고, 이들의 세부사항은 당업자에 의하여 이해될 수 있고 여기에 자세히 기술되지는 않는다. 이 정보의 조합은 사용자가 동일 페이지의 다른 섹션 또는 다른 웹페이지로 이동하게 하는 웹페이지 하이퍼링크에 포함될 수도 있다.
Other examples of non-domain information may include queries and fragments, the details of which may be understood by those skilled in the art and are not described in detail herein. This combination of information may be included in a webpage hyperlink that directs the user to another section of the same page or to another webpage.

따라서 상기 제공된 여러 가지 실시예에 나타난 바와 같이 예를 들면 "example.com"과 같은 두 번째 레벨 도메인에서 당업자들은 서로 다른 어드레스와 식별 수단에 의해 접근할 수 있는 다양한 인터넷 정보를 포함할 수 있다.
Thus, as shown in the various embodiments provided above, in a second level domain such as, for example, "example.com", those skilled in the art can include various internet information accessible by different addresses and identification means.

도메인 명칭의 실제 등록은 도메인 명칭 레지스트라(registrar)로 언급되는 회사에 의하여 수행된다. 레지스트라는 레지스트리에 도메인 명칭을 등록한다. 예를 들어 최종 사용자는 등록을 위하여 도메인 명칭을 레지스트라에 제출하고, 도메인 명칭이 변환되어야할 IP 어드레스를 제공한다. 레지스트라는 도메인 명칭을 최종 사용자에 의하여 제공된 IP 어드레스로 변환하기 위하여 사용될 수 있는 레지스트리 데이터베이스 기록을 생성하기 위하여 레지스트리와 통신하고 도메인 명칭 등록을 통해 레지스트라의 식체를 인식시킨다. 레지스트리에서 도메인 명칭 등록의 기간 만료를 제외하고는 레지스트리에서 도메인 명칭 기록이 지정된 레지스트라에 의해서 도메인 명칭에 관한 레지스트리 데이터베이스 정보를 변형하거나 삭제할 수 있다. 최종 사용자는 다음의 어떤 도메인 이전(domain transfer) 절차에 의하여 레지스트라를 변경할 수 있다. 레지스트라는 호스팅 제공자로서의 역할을 하거나 최종 사용자는 별개의 3자 도메인 호스팅 서비스에 의해서 호스트된 도메인을 지닐 수 있다.
The actual registration of a domain name is performed by a company referred to as a domain name registrar. The registrar registers the domain name in the registry. For example, the end user submits the domain name to the registrar for registration and provides the IP address to which the domain name should be translated. The registrar communicates with the registry to create a registry database record that can be used to translate the domain name into an IP address provided by the end user and recognizes the registrar's identity through domain name registration. Except for the expiration of the term of domain name registration in the registry, registrars whose domain name records are designated in the registry may modify or delete registry database information about the domain name. The end user may change the registrar by any of the following domain transfer procedures. The registrar may act as a hosting provider or the end user may have a domain hosted by a separate third party domain hosting service.

존 파일(zone file)은 DNS 존으로 불리는 DNS 일부를 기술한 텍스트 파일이다. 존 파일은 원천 기록(resource records, RR)의 형태로 작성되고 도메인 명칭, IP 어드레스 및 다른 자원 사이의 맵핑을 정의하는 정보를 포함한다. 존 파일의 포맷은 각각의 라인이 통상적으로 단일 자원 기록을 갖는 표준(standard)에 의하여 정의된다. 라인은 도메인 명칭으로 시작하나 만약 좌측이 비워있는 경우 이전 정의된 도메인 명칭은 디폴트된다. 도메인 명칭 뒤에 따르는 것은 존속 기간(time to live, TTL), 클래스(거의 항상 "internet"에 대하여 "IN"이고 드물게 포함되는), 자원 기록의 형태(A, MX, SOA, 등등)이고, A 기록에 대한 IPv4 어드레스와 같은 형식-특정 데이터가 뒤따른다. 코멘트는 세미-콜론을 사용하여 포함될 수 있고 라인은 괄호를 사용하여 연속될 수 있다. 또한 달러 기호로 시작하는 키워드로 마크되는 파일 지시어(directives)가 있다.
A zone file is a text file that describes a portion of DNS called a DNS zone. Zone files are created in the form of resource records (RRs) and contain information defining mappings between domain names, IP addresses, and other resources. The format of the zone file is defined by a standard where each line typically has a single resource record. The line starts with the domain name, but if the left side is blank, the previously defined domain name is the default. Following the domain name is the duration (live to TTL), the class (almost always "IN" for "internet" and rarely included), the type of resource record (A, MX, SOA, etc.), and A record. This is followed by format-specific data, such as an IPv4 address for. Comments can be included using semi-colons and lines can be continued using parentheses. There are also file directives marked with keywords starting with a dollar sign.

DNS는 도메인 명칭을 할당하는 권한과 그 각각의 도메인을 위해 권한(authoritative) 명칭 서버에 지시함으로써 이 명칭을 IP 주소에 맵핑하는 권한을 분배한다. 권한 명칭 서버는 각각의 특정 도메인에 대한 책임을 부여받은 것으로 이에 대해 그의 서브-도메인을 위해 다른 권한 명칭 서버에 그 권한을 할당할 수 있다. 이와 같은 메커니즘은 지속적으로 컨설트되고 업데이트됨으로써 단일 중앙 레지스터를 요하는 필요성이 제거된다. DNS 레졸루션 프로세스는 사용자에게 역(reverse) 룩업 프로세스에 의해 원하는 도메인을 지적할 수 있게 하며 이에 따라 사용자는 원하는 도메인에 접속하고 DNS는 적절한 IP 번호를 되돌려준다.
DNS distributes the authority to assign domain names and the authority to map these names to IP addresses by instructing an authoritative name server for their respective domains. The authorization name server is assigned responsibility for each particular domain and can assign that authorization to another authorization name server for its sub-domain. Such mechanisms are continuously consulted and updated, eliminating the need for a single central register. The DNS resolution process allows the user to point to the desired domain by means of a reverse lookup process, whereby the user connects to the desired domain and DNS returns the appropriate IP number.

DNS 레졸루션 프로세스에 의해 주어진 도메인 명칭을 위한 요청은 리졸버(예를 들면 stub 리졸버)로부터 적절한 서버(예를 들면 리커시브 리졸버)에 라우팅되고 IP 주소를 조회(retrieve)한다. 효율을 증진시키기 위해 인터넷간의 DNS 트래픽을 감소시키고 최종 소비자 어플리케이션 내에서의 수행을 증가시키며 DNS는 DNS 쿼리를 저장하는 DNS 캐시(cache) 서버를 지지한다. 이때 DNS 쿼리는 문제되는 도메인 명칭 기록의 존속기간(TTL)에 의해 결정된 일정 기간을 요청한다. 일반적으로 이와 같은 캐싱 DNS 서버는 DNS 캐시라고 명명되고 또한 쿼리된 도메인의 권한 명칭 서버를 통해 DNS 루트(root)와 함께 시작하는 주어진 명칭을 리졸브하기 위해 필요한 회귀적 알고리즘을 수행한다. 인터넷 서비스 제공자(ISP)는 일반적으로 리커시브(recursive)를 제공하고 그들의 고객을 위해 DNS 서버 캐싱을 제공한다. 또한 홈 네트워크 라우터는 DNS 캐시와 지역 네트워크 내에서 효율을 증가시키기 위한 프록시(proxy)를 수행할 수 있다.
The request for the domain name given by the DNS resolution process is routed from the resolver (eg stub resolver) to the appropriate server (eg recursive resolver) and retrieves the IP address. To improve efficiency, DNS supports DNS cache servers that reduce DNS traffic between the Internet, increase performance within end consumer applications, and store DNS queries. The DNS query then requests a period of time determined by the TTL of the domain name record in question. Such caching DNS servers are generally named DNS caches and also perform the recursive algorithms needed to resolve a given name starting with the DNS root through the authoritative name server of the queried domain. Internet service providers (ISPs) generally provide recursive and DNS server caching for their customers. In addition, the home network router may perform a proxy to increase efficiency in the DNS cache and the local network.

비록 DNS의 분포 형태는 그 전체적인 시스템의 효율이라는 측면에서 중요한 이점을 제공하지만 이는 역시 특정 형태의 잘못된 기능을 지닐 수 있고 시스템 내의 다양한 노드에서 공격받을 수 있다. 일어날 수 있는 하나의 특정 문제로는 DNS 캐시 포이즈닝(poisoning)을 들 수 있다. DNS 캐시 포이즈닝은 데이터가 DNS 명칭 서버 캐시 데이터베이스에 도입될 때 발생하고 상기 캐시 데이터베이스는 권한 DNS 소스로부터 유래한 것이 아니다. 이는 명칭 서버 위에 정교한 공격으로부터 야기될 수 있거나 예를 들면 DNS 캐시의 잘못된 행태 또는 DNS 어플리케이션의 부적절한 소프트웨어 디자인과 같은 의도하지 않은 결과에 의해 발생될 수도 있다. 따라서 DNS 캐시 포이즈닝은 다음과 같은 결과를 야기할 수 있으며 이는 (1) 정확하지 않거나 잘못 표기된 IP 주소 정보가 제공되었을 때와 같은 레졸루션 요청의 실패, (2) 진정한 도메인의 도용 및 계정 비밀번호 같은 불법 정보의 입수 사용 또는 컴퓨터 웜 또는 바이러스와 같은 악성 컨텐츠의 분배로 인한 사용자에게 전달된 악성 사이트로의 직접적인 사용자 레졸루션 요청의 리퀘스팅을 들 수 있다.
Although the distribution form of DNS offers significant advantages in terms of the efficiency of the overall system, it can also have some form of misbehavior and be attacked by various nodes in the system. One particular problem that can occur is DNS cache poisoning. DNS cache poisoning occurs when data is introduced into a DNS name server cache database and the cache database is not from an authoritative DNS source. This may result from sophisticated attacks on the name server or may be caused by unintended consequences, such as for example misbehaving DNS caches or inadequate software design of DNS applications. Thus, DNS cache poisoning can result in (1) failure of resolution requests, such as when incorrect or mistyped IP address information is provided, (2) illegal domain hijacking, and account passwords. A request for a direct user resolution request to a malicious site delivered to a user due to the availability of information or distribution of malicious content such as computer worms or viruses.

도메인 명칭 시스템 보완성 확장(DNSSEC)은 IP 네트워크 상에 사용되는 DNS에 의해 제공된 특정 종류의 정보의 보호를 위한 적절한 Internet Engineering Task Force(IETF) 명세의 일종이다. DNSSEC는 DNS-준비된 존 파일의 서명을 필요로 한다. DNS 데이터를 위한 데이터 순수성과 원래의 진정성을 확신시키고 또한 존재의 진정한 부정을 포함한다. 일반적으로 DNSSEC 내에서 제공되는 답변은 디지털 서명되고 디지털 서명을 확인함으로써 DNS 리졸버가 정보와 권한 DNS 서버 내의 정보간의 일치 여부에 대해 체크할 수 있게 한다. DNSSEC은 디지털 서명과 인증을 위한 공개키 암호화 단계를 사용한다. DNSKEY 기록은 신뢰의 사슬 내에서 인증되고 신뢰할 수 있는 제 3자의 DNS 루트 존을 위한 인증된 공개키 세트와 함께 시작된다.
Domain Name System Complementary Extension (DNSSEC) is a type of appropriate Internet Engineering Task Force (IETF) specification for the protection of certain kinds of information provided by DNS used on IP networks. DNSSEC requires the signing of DNS-prepared zone files. It assures data purity and original authenticity for DNS data and also includes a true denial of existence. In general, the answers provided within DNSSEC are digitally signed and verify the digital signature, allowing the DNS resolver to check whether the information matches the information in the authoritative DNS server. DNSSEC uses public key cryptography for digital signatures and authentication. DNSKEY records begin with a set of authenticated public keys for third-party DNS root zones that are authenticated and trusted within the chain of trust.

DNSSEC를 수행하기 위해서 몇 개의 새로운 DNS 기록형이 창출되거나 RRSIG, DNSKEY, DS, NSEC, NSEC3 및 NSEC3 PARAM을 포함하는 것으로 DNSSEC에 사용하기 적합하도록 변형되어야 한다. 예를 들면 DNSSEC을 사용시 DNS 룩업에 대한 각각의 권한 답변은 요청되는 기록형에 덧붙여 RRSIG DNS를 포함할 것이다. RRSIG 기록은 DNS 근원 기록 세트의 답변의 디지털 서명이다. 디지털 서명은 DNSKEY 기록 내에서 발견되는 정확한 공개키에 로케이팅함으로써 인증된다. DS 레코드는 신뢰의 체인을 사용한 룩업 절차 내에서 DNSKEY의 인증을 위해 사용된다. NSEC 및 NSEC3 기록은 존재하지 않는 DNS 기록에 대한 진정한 존재 부정 응답을 제공하기 위해 사용될 수 있다.
In order to implement DNSSEC, several new DNS record types have to be created or modified to be suitable for use in DNSSEC, including RRSIG, DNSKEY, DS, NSEC, NSEC3 and NSEC3 PARAM. For example, when using DNSSEC, each authoritative response to a DNS lookup will include RRSIG DNS in addition to the requested record type. The RRSIG record is the digital signature of the answer of the DNS source record set. Digital signatures are authenticated by locating the correct public key found in the DNSKEY record. The DS record is used to authenticate DNSKEY in a lookup procedure using a chain of trust. NSEC and NSEC3 records can be used to provide a true fraudulent response to nonexistent DNS records.

DNSSEC 요구 조건은 신뢰할 수 있는 앵커를 형성하기 위해 DNSKEY 기록 내 및 다른 근원으로부터 저장된 서로 다른 키의 사용을 요구한다. 예를 들면 DNSKEY 기록에 서명하기 위해 사용되는 Key Signing Key(KSK)와 다른 기록에 서명하기 위해 사용되는 Zone Signing Key(ZSK)를 들 수 있다. ZSK가 특정 DNS 존의 사용과 통제 내에서 실시될 수 있기 때문에 이들은 더 간편하고 더 자주 변경시킬 수 있다. 이에 따라 ZSK는 일반적으로 KSK보다 바이트 길이가 더 짧다. 반면 보호에 충분한 수준을 제공할 수 있다.
The DNSSEC requirement requires the use of different keys stored in DNSKEY records and from different sources to form a reliable anchor. For example, the Key Signing Key (KSK) used to sign DNSKEY records and the Zone Signing Key (ZSK) used to sign other records. Since ZSK can be implemented within the use and control of specific DNS zones, they are simpler and more frequent to change. As a result, ZSKs are typically shorter in byte length than KSK. On the other hand, it can provide a sufficient level of protection.

KSK 및 ZSK의 사용을 포함하는 DNSSEC의 사용에 필요한 더욱 개발된 프로토콜이 있지만 레지스트라 및 레지스트리 레벨에서 DNSSEC을 가능케 하는 도메인의 작동을 위한 다양한 측면에 있어서 특정화되지 않았으므로 대규모 사용에는 최적 조건을 만족하지 못한다. 예를 들면 단기간 내에 더 많은 수의 서명을 처리할 수 있는 능력을 지닌 것이 있으나 존의 변경에 근거한 전체의 존의 서명과 스탠드(stand)-단독 서명 시스템의 통상적 활용에는 한계가 있다. 또한 솔루션은 개별적 사용자 또는 일정 수의 도메인에만 적용가능하고 이는 특정 DNS 제공자에 의해 관리되는 것이다. 따라서 DNSSEC 관리와 관련된 효율적인 작동 및 효율적인 기능화에 대한 개선이 요구되어왔고 DNSSEC 기록을 위해 필요한 서명 기능의 개발이 요구되어왔다.
Although there are more developed protocols required for the use of DNSSEC, including the use of KSK and ZSK, they are not specified in various aspects for the operation of domains that enable DNSSEC at the registrar and registry levels and thus do not meet optimal conditions for large-scale use. . For example, one may have the ability to process a greater number of signatures in a short period of time, but there are limitations to the normal use of the entire zone signature and stand-alone signature system based on zone changes. Also, the solution is only applicable to individual users or to a certain number of domains, which are managed by specific DNS providers. Therefore, improvements in efficient operation and efficient functionalization related to DNSSEC management have been required, and development of signature functions necessary for DNSSEC recording has been required.

최근 현존하는 DNSSEC기술은 예를 들면 DNS 제공자 및 다양한 사용자간에 분배되어있는 서명 기술과 같은 DNSSEC 데이터의 서명의 분배와 관련되어 있다. 특히 DNSSEC을 채택하려는 사용자는 다음과 같은 기본 옵션을 지녀야 한다.
Recently existing DNSSEC techniques are associated with the distribution of signatures of DNSSEC data, such as, for example, signature techniques distributed among DNS providers and various users. Specifically, users who want to adopt DNSSEC should have the following basic options:

1. 소프트웨어 키 또는 하드웨어 키의 세트와 함께 제 3자 및 공개 소스 소프트웨어의 결합을 이용하는 그 자신만의 DNSSEC 솔루션을 구축하여야 한다.1. Build your own DNSSEC solution that uses a combination of third-party and open source software with a set of software keys or hardware keys.

2. Secure64 DNS Signer, BlueCat Networks, Xelerance DNSX Secure, Signer 및 Infoblox와 같은 서명 어플라이언스와 DNSSEC 키 관리 시스템의 사용이 요구된다. 상기 어플라이언스는 다양한 키 관리 및 존 서명의 측면에서 제공된다. 그러나 클라이언트 사이트에서 요구되는 하드웨어를 설치하여야만 한다. 또한 DNSSEC 키 관리와 사용자 사이트에서 요구되는 하드웨어 설치를 통한 서명 어플라이언스는 더 많은 키 재료 관리를 위한 수작업과 단일 사용자에게만은 제공되지 않는 것임을 명심하라.2. Requires the use of DNSSEC key management systems and signature appliances such as Secure64 DNS Signer, BlueCat Networks, Xelerance DNSX Secure, Signer, and Infoblox. The appliance is provided in terms of various key management and zone signatures. However, you must install the required hardware at the client site. Also, keep in mind that the signature appliance, with its DNSSEC key management and hardware installation required at the user's site, is not only available to a single user for manual management of more key materials.

3. DNSSEC 서포트의 업데이트에 필요한 Managed DNS 솔루션의 사용. Managed DNS 제공자는 존 관리와 존 공표 특성을 포함한다. DNSSEC은 클라이언트에게 DNS 존을 관리하기 위한 DNSSEC의 '턴온'을 가능케 하나 사용자는 DNS 관리 제공자에 의해 DNS 호스팅을 이동시키거나 아웃소스하여야 한다.
3. Use of Managed DNS Solutions for the Update of DNSSEC Support. Managed DNS providers include zone management and zone publishing features. DNSSEC allows clients to 'turn on' DNSDNS to manage DNS zones, but users must either move or outsource DNS hosting by a DNS management provider.

그러나 .com 및 .net과 같은 다양한 레지스트리를 통해 DNSSEC의 도입을 위해서는 특히 큰 존에서 DNSSEC 데이터를 위한 다양한 서명 기법의 비효율성은 지연과 레졸루션 실패를 포함하는 레졸루션 문제의 가능성을 야기시킨다. 이와 같은 문제점은 전자 상거래 또는 다른 높은 트래픽을 지닌 사이트에서 현저하게 그 효과를 감소시킨다.
However, for the introduction of DNSSEC through various registries such as .com and .net, the inefficiency of various signature schemes for DNSSEC data, especially in large zones, creates the potential for resolution problems including delays and resolution failures. This problem significantly reduces the effect on e-commerce or other high traffic sites.

따라서 본 발명은 서명 관리를 위해 원격 적용을 가능케 하는 서명 서버 접근 가능한 네트워크 사용을 통해 DNSSEC 가능 존 내의 효율적 서명 이점을 제공하기 위한 것으로 이는 또한 존의 원격 서명 부분에 있어서 요구되는 것이다. 본 발명의 측면에 따르면 서명 서버 접근 가능한 네트워크의 사용은 서명 메커니즘으로부터 존 관리와 존 서빙 어플리케이션의 디커플링(de-coupling)을 제공할 수 있으며 이는 예를 들면 서명을 수행하기 위한 명칭 서버의 기법 또는 특정 존 관리 기구가 지닌 서명 기법과 같은 다른 기능과 필수적으로 결합된 다른 기법과 비교될 수 있는 것이다.
Accordingly, the present invention is intended to provide an efficient signing advantage within a DNSSEC-capable zone through the use of a signature server accessible network that enables remote application for signature management, which is also required for the remote signature portion of the zone. According to aspects of the present invention the use of a signature server accessible network may provide zone management and de-coupling of zone serving applications from a signature mechanism, for example a technique or specific of a name server to perform signatures. It can be compared with other techniques that are essentially combined with other functions, such as the signature technique of the zone management organization.

예를 들면 확장, 네트워크 접근, 서명 서버, 예시적 변형을 통한 사용이 감소되거나 제거됨에 따라 다른 공지된 기법에 비해 서명 서버의 다양한 기능을 위한 변형이 요구될 수 있다. 네트워크 접근 가능 서명 서버는 다음과 같은 상호 변형의 필요성 없이 DNSSEC 적용의 범위를 증가시켜 제공할 수 있다.
For example, as the use through extension, network access, signature server, and example modifications is reduced or eliminated, modifications for various functions of the signature server may be required over other known techniques. Network-accessible signing servers can be provided to increase the scope of DNSSEC enforcement without the need for cross-variants such as:

1. 예를 들면 TLD 레지스트리와 같은 높은 볼륨의 DNSSEC 어플리케이션 내의 원천 기록의 인라인 서명.1. Inline signature of source records in high volume DNSSEC applications, such as, for example, a TLD registry.

2. 다수의 키와 존을 사용한 획기적 키의 창출, 키의 로딩, 키의 언로딩 및 DNSSEC 어플리케이션 내의 존 데이터 서명을 위한 키의 사용.2. Use of keys to create breakthrough keys using multiple keys and zones, loading keys, unloading keys, and signing zone data in DNSSEC applications.

3. 예를 들면 ROOT 존과 같은 오프라인/배치 DNSSEC 어플리케이션 내의 전체 존의 서명.
3. Signature of the entire zone within an offline / batch DNSSEC application, for example a ROOT zone.

본 발명의 실시태양에서 DNSSEC 서명 수행의 시스템과 방법은 개별적 클라이언트 어플리케이션과 상호작용할 수 있도록 변형된 서명 서버에 의해 수행될 수 있다. 예시적인 방법은 첫 번째 데이터를 서명하기 위해 클라이언트 어플리케이션으로부터 서명 서버에 서명 요청을 수령하는 단계를 포함할 수 있다. 첫 번째 데이터를 위해 적절한 서명 키 및/또는 프로토콜을 결정한다. 첫 번째 데이터는 서명 서버에 의해 이는 예를 들면 하드웨어 서포트 모듈 또는 소프트웨어 서명 어플리케이션을 포함하는 디지털 서명 모듈로 전송된다. 서명 서버는 디지털 서명 모듈로부터 첫 번째 데이터의 디지털화 서명 본을 수령하고 클라이언트 어플리케이션에 첫 번째 데이터의 서명을 제공한다.
In embodiments of the present invention, the system and method of performing DNSSEC signatures may be performed by a signature server that has been modified to interact with individual client applications. An example method may include receiving a signing request from a client application to a signing server to sign first data. Determine the appropriate signing key and / or protocol for the first data. The first data is sent by the signature server to a digital signature module which includes, for example, a hardware support module or a software signature application. The signature server receives the digitized signature of the first data from the digital signature module and provides the client application with the signature of the first data.

본 발명의 첫 번째 측면에 따르면 DNSSEC 서명 서버는 적어도 하나의 DNSSEC 클라이언트 어플리케이션과 디지털 서명 모듈에 상호작용할 수 있도록 변형될 수 있다. DNSSEC 서명 서버는 예를 들면 프로세서와 컴퓨터 판독 코드를 포함하는 저장 기기로 구성되어 있고 프로세서에 의해 수행될 때 서명 서버는 적어도 하나의 클라이언트 어플리케이션으로부터 첫 번째 데이터를 서명하기 위한 서명 요청을 수령할 수 있도록 변형된 권한있는 서명 서버로서 작동할 수 있게 한다. 첫 번째 데이터는 예를 들면 DNS 데이터를 포함할 수 있다.
According to the first aspect of the present invention, the DNSSEC signature server may be modified to interact with at least one DNSSEC client application and the digital signature module. The DNSSEC signature server consists of a storage device that includes, for example, a processor and computer readable code, and when executed by the processor, the signature server can receive a signature request to sign the first data from at least one client application. Allows you to act as a modified privileged signing server. The first data may include DNS data, for example.

본 발명의 실시태양에서 서명 서버는 예를 들면 적어도 하나의 활성 KSK 및 활성 ZSK와 같은 적당한 서명 키를 첫 번째 데이터를 위해 결정할 수 있다. 예를 들면 적어도 하나의 활성 KSK 및 활성 ZSK와 같은 적절한 키를 예를 들면 서명 요청을 포함하는 TLD 식별자에 근거하여 결정할 수 있다. 또한 서명 서버는 첫 번째 데이터를 위해 적어도 하나의 활성 서명 키 및/또는 활성 서명 알고리즘을 결정할 수 있도록 변형될 수 있다. 또한 하나 이상의 활성 서명 키 및/또는 활성 서명 알고리즘에 근거하여 첫 번째 데이터를 위해 다수의 서로 다른 서명을 요청할 수 있다.
In an embodiment of the present invention, the signature server may determine for the first data a suitable signature key, for example at least one active KSK and an active ZSK. For example, an appropriate key such as at least one active KSK and an active ZSK may be determined based on a TLD identifier that includes a signature request, for example. The signature server may also be modified to be able to determine at least one active signature key and / or active signature algorithm for the first data. It is also possible to request a number of different signatures for the first data based on one or more active signature keys and / or active signature algorithms.

본 발명의 실시태양에서 서명 서버는 첫 번째 데이터를 다수의 디지털 서명 모듈 중 하나에 전송할 수 있고 또한 디지털 서명 모듈로부터 첫 번째 데이터의 디지털 서명 본을 수령할 수 있다. 서명 서버는 클라이언트 어플리케이션에 서명된 첫 번째 데이터를 제공하도록 변형될 수 있다.
In an embodiment of the present invention, the signature server may send the first data to one of the plurality of digital signature modules and may also receive a digital signature copy of the first data from the digital signature module. The signature server may be modified to provide the first data signed to the client application.

본 발명의 실시태양에서 서명 서버는 서명 요청 내에 포함되어 있는 서비스 타입 식별자에 근거한 서로 다른 다수의 디지털 서명 기능으로부터 요청된 서명 기능을 구별할 수 있도록 변형될 수 있으며 이는 서비스 타입 식별자에 근거한 비-DNSSEC 디지털 서명 모듈에 비-DNSSEC 서명 요청을 라우팅하기 위한 것이다.
In an embodiment of the present invention, the signature server may be modified to distinguish the requested signature function from a plurality of different digital signature functions based on the service type identifier included in the signature request, which is based on the non-DNSSEC based service type identifier. It is for routing non-DNSSEC signature requests to the digital signature module.

본 발명의 또 다른 측면에 따르면 서명 서버는 두 번째 데이터에 서명하는 요청을 동일한 서명 요청의 일부로 수령할 수 있도록 변형될 수 있다. 두 번째 데이터는 예를 들면 DNS 또는 다른 데이터일 수 있다. 서명 서버는 예를 들면 적어도 하나의 활성 KSK 및 활성 ZSK와 같은 적절한 서명 키를 두 번째 데이터를 위해 결정할 수 있으며 이는 첫 번째 데이터를 위해 사용되는 키와 상이한 것이다. 예를 들면 서명 서버는 첫 번째 데이터를 위한 첫 번째 키 세트와 두 번째 데이터를 위한 두 번째 키 세트를 결정할 수 있다.
According to another aspect of the invention, the signature server may be modified to receive a request to sign the second data as part of the same signature request. The second data can be DNS or other data, for example. The signature server may determine, for example, an appropriate signing key for the second data, such as at least one active KSK and an active ZSK, which is different from the key used for the first data. For example, the signature server can determine the first set of keys for the first data and the second set of keys for the second data.

본 발명의 실시태양에서 서명 서버는 두 번째 데이터를 다수의 디지털 서명 모듈 중 하나에 전송할 수 있으며 디지털 서명 모듈로부터 디지털화 서명된 두 번째 데이터 본을 수령할 수 있다. 서명 서버는 클라이언트 어플리케이션에 서명된 두 번째 데이터를 공급할 수 있도록 변형될 수 있다.
In an embodiment of the invention, the signature server may send the second data to one of the plurality of digital signature modules and receive a second digitally signed copy of the data from the digital signature module. The signature server can be modified to supply the second data signed to the client application.

본 발명의 실시태양은 서명 서버가 단일 요청 패킷의 일부로 다수의 서명 요청을 수령할 수 있도록 변형될 수 있고 요청된 패킷을 적어도 하나의 서로 다른 활성 KSK, 활성 ZSK 및 이와 다른 서명 프로토콜을 지닌 서명 요청을 구별 확인하기 위해 분석할 수 있다.
Embodiments of the present invention may be modified such that a signature server may receive multiple signature requests as part of a single request packet, and the requested packet may be signed with at least one different active KSK, active ZSK, and other signature protocols. Can be analyzed to identify the distinction.

본 발명의 실시태양에서 디지털 서명 모듈은 전체 존의 서명 없이 DNSSEC 프로토콜에 따른 DNS 데이터의 일정 부분을 서명할 수 있도록 변형될 수 있다.
In an embodiment of the present invention, the digital signature module may be modified to sign a portion of DNS data according to the DNSSEC protocol without signing the entire zone.

본 발명의 실시태양에서 서명 서버는 추가적 비-DNSSEC 디지털 서명 기능을 제공할 수 있도록 변형될 수 있다.
In embodiments of the present invention, the signature server may be modified to provide additional non-DNSSEC digital signature functionality.

본 발명의 실시태양에서 디지털 서명 모듈 각각은 Hardware Support Module(HSM)을 지닐 수 있고 이는 서명 서버의 프로세서로부터 물리적으로 분리된 것으로 서명 서버에 의해 제공되는 서명을 디지털화할 수 있도록 변형시킨 것이다.
In an embodiment of the present invention, each digital signature module may have a Hardware Support Module (HSM), which is physically separate from the processor of the signature server and is adapted to digitize the signature provided by the signature server.

본 발명의 실시태양에서 HSM은 앨리어스(alias) 표식자에 의해 확인될 수 있는 다수의 키를 지닌다. 서명 서버는 예를 들면 디지털 서명 모듈에 DNS 데이터를 위한 적어도 하나의 KSK와 ZSK와 같은 적절한 키에 의해 앨리어스 표식자를 통과시키나 디지털 서명 모듈에 적어도 하나의 KSK와 ZSK는 통과시키지 않도록 변형될 수 있다.
In an embodiment of the invention, the HSM has a number of keys that can be identified by alias markers. The signature server may be modified, for example, to pass the alias markers by appropriate keys such as at least one KSK and ZSK for DNS data to the digital signature module, but not at least one KSK and ZSK to the digital signature module.

본 발명의 실시태양에서 서명 서버는 예를 들면 활성 KSK와 ZSK를 데이터베이스 내에서 주기적으로 체크할 수 있도록 변형될 수 있고, 데이터베이스로부터 수령된 정보에 근거하여 주어진 시간에는 어느 앨리어스 표식자가 활성가능한지 결정할 수 있다. 또한 디지털 서명 모듈에 통과되는 앨리어스 표식자는 활성 앨리어스 표식자인 것이다.
In an embodiment of the present invention, the signature server may be modified to periodically check the active KSK and ZSK in a database, for example, and determine which alias markers are active at any given time based on information received from the database. have. Also, the alias marker passed to the digital signature module is the active alias marker.

본 발명의 실시태양에서 서명 서버는 적어도 하나의 활성 KSK 및/또는 ZSK를 근거로 한 첫 번째 데이터 전송을 위해 특정 HSM을 확인할 수 있도록 변형될 수 있다.
In embodiments of the present invention, the signature server may be modified to identify a particular HSM for the first data transmission based on at least one active KSK and / or ZSK.

본 발명의 실시태양에서 서명 서버는 서로 다른 TLD 중의 도메인에 관한 요청을 진행할 수 있도록 변형될 수 있다.
In an embodiment of the present invention, the signature server may be modified to make requests for domains in different TLDs.

본 발명의 실시태양에서 서명 서버는 다수의 레지스트라에 의해 관리되는 적어도 2개의 도메인에 관한 요청을 처리할 수 있도록 변형될 수 있다.
In embodiments of the present invention, the signature server may be modified to handle requests for at least two domains managed by multiple registrars.

본 발명의 실시태양에서 클라이언트와 서명 서버 간의 통신은 예를 들면 2 방향 SSL에 의해 수행될 수 있다.
In an embodiment of the invention the communication between the client and the signature server may be performed by, for example, two-way SSL.

본 명세서에서 언급하는 바와 같이 예시적 서명 서버는 다양한 DNS 서명 작동을 위해 지지될 수 있으며, 이는 예를 들면 DNSSEC 서명 기능과 다른 DNS 관리 서비스, 원격 서명, 루트 존 서명 등을 포함할 수 있다. 또한 서로 다른 미리아드(myriad) 시스템에 의해 수행될 수 있다. 서명 서버는 예를 들면 단일 트랜스액션의 한 부분으로 DNSSEC 기록에 영향을 주는 서명을 위해 변형될 수 있으며 상기 단일 트랜스액션은 에토믹, 지속적, 작업 유니트 동안 분리 등의 기능을 수행하는 것으로 본 명세서 내에서는 "인라인(inline) 서명"이라 언급한다.
As mentioned herein, an exemplary signing server may be supported for various DNS signing operations, which may include, for example, DNSSEC signing functionality and other DNS management services, remote signing, root zone signing, and the like. It may also be performed by different myriad systems. The signature server can be modified, for example, for signatures that affect DNSSEC records as part of a single transaction, wherein the single transaction performs functions such as atomic, continuous, separation during work units, and the like. Is referred to as an "inline signature."

추가적 형태, 이점 및 본 발명의 실시태양은 다음 기재하는 발명의 상세한 설명, 도면 및 청구범위의 고려를 통하여 당업자에게 충분히 설명될 수 있을 것이다. 또한 본 발명의 요약과 이후 본 발명의 상세한 설명 및 예시를 통해 당업자에게 충분히 이해될 수 있을 것이며 이와 같은 추가적 설명은 본 발명의 청구범위의 한정을 의미하는 것이다. 본 발명의 상세한 설명과 실시예는 본 발명의 바람직한 실시태양을 오직 예시하기 위해 기재된 것이다. 본 발명의 정신과 범위 내에서 다양한 변화 및 변형이 본 발명의 상세한 설명에 의해 당업자에게 명백할 것이다.
Additional forms, advantages, and embodiments of the present invention will be fully described to those skilled in the art through consideration of the following detailed description, drawings, and claims. It will also be fully understood by those skilled in the art through a summary of the invention and the following detailed description and examples of the invention, and such additional description is intended to limit the scope of the claims of the invention. The detailed description and examples of the present invention have been described only to illustrate preferred embodiments of the present invention. Various changes and modifications within the spirit and scope of the invention will be apparent to those skilled in the art by the detailed description of the invention.

첨부하는 도면은 본 발명을 더욱 상세히 설명하기 위해 제공되는 것으로 본 명세서의 일부분을 구성하고 있고 본 발명의 실시태양을 도식화한 것이다. 또한 본 발명의 상세한 설명과 더불어 본 발명의 정신을 설명하기 위해 제공된다. 본 발명의 자세한 구성을 나타내기 위해 더 상세한 시도가 필요치 않을 것이며 본 발명의 근본적인 이해와 통상의 실시에 의한 다양한 방법이 사용될 수 있다.
도 1은 본 발명에 따른 예시적인 DNSSEC-가능 서명 시스템의 상세를 나타낸 것이다.
도 2는 본 발명에 따른 DNSSEC-가능 서명 시스템의 또 다른 상세를 나타낸 것이다.
도 3은 본 발명에 따른 예시적 서명 요청 프로토콜을 나타낸 것이다.
도 4는 본 발명에 따른 예시적 서명 요청 데이터 프로토콜을 나타낸 것이다.
도 5는 본 발명에 따른 예시적 서명 요청 데이터 프로토콜의 또 다른 예를 나타낸 것이다.
도 6은 본 발명에 따른 예시적 서명 응답 프로토콜을 나타낸 것이다.
도 7은 본 발명에 따른 예시적 서명 응답 데이터 프로토콜을 나타낸 것이다.
도 8은 본 발명에 따른 또 다른 예시적 서명 응답 데이터 프로토콜을 나타낸 것이다.
도 9는 본 발명에 따른 예시적 요청, 데이터 요청, 응답 및 데이터 응답의 관계를 나타낸 것이다.
도 10은 본 발명에 따른 서명 서비스 클라이언트 풀 매니저를 포함하는 예시적 DNSSEC-가능 서명 시스템을 더욱 상세히 나타낸 것이다.
도 11은 본 발명에 따라 구축된 DNSSEC 서명을 위한 예시적 인라인 서명 기법을 위한 시스템 정렬을 개략적으로 묘사한 것이다.
도 12는 본 발명의 실시태양에 사용된 예시적 컴퓨터 네트워크 구조를 나타낸 것이다.
The accompanying drawings, which are provided to explain the invention in more detail, constitute a part of this specification and illustrate embodiments of the invention. It is also provided to explain the spirit of the invention along with a detailed description of the invention. No more detailed attempts will be required to show the detailed arrangements of the invention, and various methods may be used as a result of the fundamental understanding and practice of the present invention.
1 shows details of an exemplary DNSSEC-enabled signature system in accordance with the present invention.
2 shows another detail of a DNSSEC-enabled signature system in accordance with the present invention.
3 illustrates an exemplary signature request protocol in accordance with the present invention.
4 illustrates an exemplary signature request data protocol in accordance with the present invention.
5 illustrates another example of an exemplary signature request data protocol in accordance with the present invention.
6 illustrates an exemplary signature response protocol in accordance with the present invention.
7 illustrates an exemplary signature response data protocol in accordance with the present invention.
8 illustrates another exemplary signature response data protocol in accordance with the present invention.
9 illustrates the relationship between an exemplary request, data request, response and data response in accordance with the present invention.
10 illustrates in more detail an exemplary DNSSEC-enabled signature system that includes a signature service client pool manager in accordance with the present invention.
11 schematically depicts a system alignment for an example inline signature scheme for DNSSEC signatures constructed in accordance with the present invention.
12 illustrates an exemplary computer network architecture used in embodiments of the present invention.

본 발명에 있어서 본 명세서 내에 기재된 특정 방법론, 프로토콜은 본 발명을 한정하는 것은 아니며 당업자가 충분히 인식하기 위해 변형될 수 있다. 또한 본 명세서 내에서 사용하고 있는 용어는 특정 실시태양을 기술하기 위한 목적으로만 사용되는 것으로 본 발명의 범위를 한정하는 것은 아니다. 또한 본 명세서 및 청구범위 내에 사용되고 있는 단수형 'a', 'an' 및 'the'는 특별히 본 명세서에서 한정하고 있지 않는 한 복수형을 포함하는 것이다. 따라서 예를 들면 'a server'는 하나 또는 그 이상의 또는 이와 균등한 서버를 나타내는 것으로 당업자에게 이해될 것이다.
Certain methodologies and protocols described herein in the present specification are not intended to limit the present invention and may be modified to fully appreciate by those skilled in the art. Also, the terminology used herein is for the purpose of describing particular embodiments only and is not intended to limit the scope of the present invention. In addition, the singular forms "a", "an", and "the" used in the present specification and claims include plural forms unless specifically defined herein. Thus, for example, 'a server' will be understood by those skilled in the art as representing one or more or equivalent servers.

특별히 정의하지 않는 한 본 명세서 내에 사용되고 있는 모든 기술적 용어는 본 발명에 관련된 당업자가 일반적으로 이해하고 있는 것과 동일한 의미를 지닌다. 본 발명의 실시태양과 다양한 변형 및 이점은 본 명세서에 기재된 실시태양, 첨부하는 도면에 도시된 사항에 한정되는 것은 아니다. 또한 본 도면에 도시된 형상은 특정 스케일로 한정되는 것은 아니고 실시태양과 특성은 본 명세서 내에서 특정하지 않는 한 당업자가 인지하는 또 다른 실시태양에 채택될 수 있다.
Unless defined otherwise, all technical terms used herein have the same meaning as commonly understood by one of ordinary skill in the art related to the present invention. Embodiments and various modifications and advantages of the present invention are not limited to the embodiments described herein, those shown in the accompanying drawings. In addition, the shape shown in the drawings is not limited to a specific scale and embodiments and features may be employed in other embodiments that those skilled in the art will recognize unless specified herein.

잘 알려진 구성요소 및 프로세싱 기술의 설명은 본 발명의 실시태양에 반드시 필요하지 않는 한 기술하지 않았다. 본 명세서 내의 실시예는 본 발명의 이해를 용이하게 하기 위해 작성된 것으로 본 발명의 실시태양의 실시를 위해 또 다른 변형이 가능하다. 따라서 실시예와 본 명세서 내의 실시태양은 본 발명의 범위를 한정하기 위한 것은 아니며 이는 첨부하는 청구범위 및 관련법에 의해서만 한정될 수 있다. 또한 도면 참조 번호는 도면의 여러 측면을 통해 유사한 부분을 나타내는 것이다.
Descriptions of well-known components and processing techniques have not been described unless absolutely necessary for embodiments of the present invention. The embodiments in the present specification are written to facilitate understanding of the present invention, and other variations are possible for the practice of the embodiments of the present invention. Accordingly, the examples and embodiments herein are not intended to limit the scope of the invention, which may be defined only by the appended claims and related laws. Also, reference numerals refer to similar parts throughout the several views of the drawings.

특별히 한정하지 않는 한 본 명세서에서 사용되는 용어인 레지스트라(registrar)는 도메인 명칭 레지스트리와 상호 관련된 어떤 엔티티 또는 조직을 의미하는 것이고 레지스트란트에게 도메인-명칭 리소스를 창출하고 업데이트하는 것을 허용한 것이다.
Unless specifically limited, the term registrar as used herein refers to any entity or organization that is correlated with the domain name registry and allows the registrant to create and update domain-name resources.

특별히 한정하지 않는 한 본 명세서에서 사용되는 용어인 레지스트란트(registrant)는 도메인 명칭 리소스를 창출하고 업데이트하기 위해 레지스트라와 상호 관련되어있는 어느 개인 또는 조직을 의미하는 것이다.
Unless specifically limited, the term registrant as used herein refers to any person or organization that is correlated with the registrar to create and update domain name resources.

특별히 한정하지 않는 한 본 명세서에서 사용되는 용어인 'DNS 호스팅 제공자'는 예를 들면 IP 주소 할당 및 IP 주소를 관리하는 도메인 명칭을 리졸브할 수 있는 명칭 서버(nameserver)의 작동을 포함하는 컨텐츠를 위해 DNS 프로비젼(provision) 및 레졸루션 할 수 있는 능력을 제공하는 레지스트란트를 위해 서버 내의 컨텐츠를 지니고 있는 어느 엔티티 또는 조직을 의미하는 것이다.
Unless specifically limited, the term 'DNS hosting provider' as used herein refers to content that includes the operation of a name server that can resolve, for example, IP address allocation and domain names managing IP addresses. This refers to any entity or organization that has content in the server for registrants that provides the ability to provision and resolve DNS.

볼 발명의 실시태양은 예를 들면 레지스트리와 같은 큰 규모의 DNSSEC 제공자에게 DNSSEC 서명 데이터를 포함하는 큰 용량의 DNS 변화를 허용하기 위해서 DNSSEC 서명 기법을 효율적이고 실질적인 방법으로 다양한 소스로부터 접근 가능한 네트워크를 제공하는 것이다.
Embodiments of the present invention provide a network that can be accessed from a variety of sources in an efficient and practical way to enable large DNSSEC providers, such as registries, to allow large volumes of DNS changes, including DNSSEC signature data. It is.

존 서명 개요(Zone Signing Overview)
Zone Signing Overview

상기한 바와 같이 DNSSEC은 캐시 포이즈닝과 권한있는 서버 내에서 인증되지 않은 데이터 변형 및 공격과 같은 DNS의 취약점을 보완하기 위해 설계된 것이다. 이는 DNS 데이터 보호를 위해 순수하고 진정한 방법을 제공함을 목적으로 한다. 공개키 인프라스트럭쳐(PKI)는 공개키 배포 수단으로 사용된다. DNSSEC은 DNS 데이터를 위한 인증 메커니즘을 제공하나 암호화된 메커니즘은 아니다. 이는 또한 수령된 존 데이터가 개인키(private key) 소유자의 존의 관리자에 의해 서명되었음을 입증하기 위한 안전 인식 리졸버이다.
As noted above, DNSSEC is designed to address DNS vulnerabilities, such as cache poisoning and unauthorized data corruption and attack within authorized servers. It aims to provide a pure and genuine way to protect DNS data. Public key infrastructure (PKI) is used as a means of distributing public keys. DNSSEC provides an authentication mechanism for DNS data, but it is not an encrypted mechanism. It is also a safety awareness resolver to verify that received zone data was signed by the administrator of the zone of the private key owner.

DNSKEY 리소스 기록(DNSKEY Resource Record)
DNSKEY Resource Record

존은 하나 또는 그 이상의 키 쌍을 지닌다. 이들은 개인키와 공개키를 포함한다. 개인키는 도메인 명칭 데이터베이스 내에 안전하게 보관되어있고 존 데이터 서명을 위해 사용된다. 공개키는 데이터베이스 내에 저장되어있고 DNSKEY 리소스 기록으로서 서명된 존 데이터 내에 보관되어있다. 공개키는 존 데이터를 인증하기 위해 사용한다. DNSKEY 기록은 통상 다음과 같은 데이터 엘레멘트를 지닌다.
Zones have one or more key pairs. These include private keys and public keys. The private key is stored securely in the domain name database and is used for signing zone data. The public key is stored in a database and stored in signed zone data as a DNSKEY resource record. The public key is used to authenticate zone data. DNSKEY records usually have the following data elements:

Flag : 'Zone Key' 및 'Secure Entry Point'Flag: 'Zone Key' and 'Secure Entry Point'

프로토콜 : Fixed value of 3(추후 적합성을 위함)Protocol: Fixed value of 3 (for future conformance)

알고리즘 : 공개키 암호화 알고리즘Algorithm: public key encryption algorithm

공개키 : 공개키 데이터
Public key: public key data

DNSKEY 리소스 기록(RR)은 Zone Signing Key(ZSK) 또는 Key Signing Key(KSK)일 수 있다. 키 서명 키(KSK)는 이들이 DNSKEY RR 세트 내에서 ZSK로부터 구별되기 위해 SEP 프래그 세트를 지닌다. 키 서명 키(KSK)는 다른 DNSKEY 자원 기록을 서명하기 위해 사용하며 인증이 필요한 데이터의 권한 체인을 구축하는데 사용한다.
The DNSKEY resource record RR may be a zone signing key (ZSK) or a key signing key (KSK). The key signing key (KSK) has a set of SEP flags so that they are distinguished from the ZSK within the DNSKEY RR set. Key signing keys (KSK) are used to sign other DNSKEY resource records and to build a chain of authority for data that requires authentication.

RRSIG 리소스 기록(RRSIG Resource Record)
RRSIG Resource Record

RRSIG 리소스 기록은 리소스 기록 세트 RR 세트(동일한 명칭 클래스 형태를 지닌 하나 또는 그 이상의 DNS 기록)의 DNSSEC 서명을 지닌다. DNSSEC 가능 리졸버는 DNSKEY-기록 내에 저장된 공개키를 사용하여 서명을 인증할 수 있다. RRSIG 기록은 다음과 같은 데이터 엘레멘트를 지닌다.
The RRSIG resource record carries the DNSSEC signature of the resource record set RR set (one or more DNS records of the same name class type). The DNSSEC-enabled resolver can verify the signature using the public key stored in the DNSKEY-record. RRSIG records have the following data elements:

커버 형태 : 서명이 덮여진 DNS 기록형 Cover type: Signature covered DNS record type

알고리즘 : 서명을 창출하기 위한 암호화된 알고리즘 Algorithm: An encrypted algorithm to generate a signature

라벨 : 원래의 RRSIG-기록 명칭 내의 라벨 번호(와일드카드 인증용)Label: Label number in the original RRSIG record name (for wildcard authentication)

오리지널 TTL : 덮여진 기록 세트의 TTL 밸류Original TTL: TTL value of covered record set

서명 만료 : 서명 만료시Signature Expiration: Upon signature expiration

서명 시작 : 서명 창출시Signature start: at signature creation

키 태그 : 서명을 유효화하기 위해 사용되는 DNSKEY-기록을 신속히 확인할 수 있게 하는 간단한 숫자치Key Tag: A simple numeric value that allows you to quickly verify the DNSKEY-record used to validate your signature.

서명자 이름 : 서명을 유효화하기 위해 사용되는 DNSKEY-기록의 명칭Signer Name: The name of the DNSKEY-record used to validate the signature.

서명 : 암호화된 서명
Signature: encrypted signature

DNSKEY RR은 유효한 키 서명 키에 의해 서명된다. 다른 RR 세트는 오직 유효한 존 서명 키에 의해 서명된다.
DNSKEY RR is signed by a valid key signing key. The other RR set is only signed by a valid zone signing key.

NSEC 리소스 기록 (NSEC Resource Record)
NSEC Resource Record

NSEC 리소스 기록은 두 개의 별개 건으로 되어있다. 권한있는 데이터 또는 NS RR세트 델리게이션 포인트를 포함하는 존의 캐노니컬 순위 내의 다음 소유자 이름과 NSEC RR 소유자 이름[RFC3845]에 존재하는 RR 타입 세트이다. 존 내의 NSEC RR의 완벽한 세트는 권한있는 RR 세트가 존 내 어디에 존재하는지와 존 내에서 권한있는 소유자의 사슬을 형성할 수 있음을 나타낸다. 이런 기록은 기록 이름의 부존재의 증명과 DNSSEC 인증의 일부 형태로 리졸버에 의해 사용될 수 있다. NSEC-기록은 다음과 같은 데이터 엘레멘트를 지닌다.
NSEC resource records consist of two separate cases. Set of RR types that exist in the next owner name and NSEC RR owner name [RFC3845] in the canonical rank of the zone containing the authorized data or NS RR set delegation points. The complete set of NSEC RRs within a zone indicates where the privileged RR set exists in the zone and can form a chain of authorized owners within the zone. This record can be used by the resolver as part of the proof of absence of the record name and as part of DNSSEC authentication. NSEC-records have the following data elements:

다음 도메인 명칭 : 존 내의 다음 기록 명칭 (DNSSEC 솔팅 순위)Next Domain Name: Next record name in the zone (DNSSEC Salting Rank)

기록 형태 : 이 NSEC-기록의 명칭을 위해 존재하는 DNS 기록 형태
Record type: The DNS record type that exists for the name of this NSEC record.

NSEC3 리소스 기록(NSEC3 Resource Record)
NSEC3 Resource Record

NSEC3 리소스 기록(RR)은 DNS 리소스 기록 세트를 위한 진정한 존재 부정을 제공한다. NSEC3 RR은 NSEC RR과 실질적으로 동일한 기능을 지닌다. 그러나 NSEC3는 존 내의 기록 명칭의 열거를 방지하기 위해 암호화된 해쉬 기록 명칭을 사용한다. NSEC3-기록은 존 내의 다음 기록 명칭과 연결되어 있으며 이는 해쉬 명칭 솔팅 순위 내에 있다. 또한 NSEC3-기록은 NSEC3-기록 자신의 명칭의 첫 번째 라벨 내에 해쉬 밸류에 의해 덮혀진 명칭을 위해 존재하는 기록형을 지니고 있다. 이러한 기록은 기록 명칭의 부존재를 증명하기 위해서 또는 DNSSEC 유효화의 한 부분 형태로 리졸버에 의해 사용될 수 있다. NSEC3-기록은 다음과 같은 데이터 엘레멘트를 지닌다.
NSEC3 resource record (RR) provides true denial of existence for DNS resource record sets. The NSEC3 RR has substantially the same function as the NSEC RR. However, NSEC3 uses encrypted hash record names to prevent the enumeration of record names in the zone. The NSEC3-record is associated with the next record name in the zone, which is in the hash name salting rank. The NSEC3-record also has a record type that exists for the name covered by the hash value within the first label of its name. Such a record may be used by the resolver to verify the absence of a record name or as part of DNSSEC validation. NSEC3-Record has the following data elements:

해쉬 알고리즘 : 암호화된 해쉬 알고리즘을 사용한다.Hash Algorithm: Encrypted hash algorithm.

프래그 : "Opt-out" 델리게이션의 서명인지 아닌지를 나타낸다.Flag: Indicates whether or not the signature of the "Opt-out" delegation.

반복 : 몇 번 해쉬 알고리즘이 적용되었는지 Iteration: How many times the hash algorithm has been applied

솔트(Salt) : 해쉬 계산을 위한 솔트 밸류Salt: Salt value for hash calculation

다음 해쉬 소유자 명칭 : 존 내의 다음 기록된 명칭으로 해쉬 명칭 솔팅 순서 내에 존재한다. Next hash owner name: The next recorded name in the zone, present in the hash name salting order.

기록형 : NSEC3-기록 자신의 명칭의 첫 번째 라벨 내의 해쉬 밸류에 의해 덮혀진 명칭을 위해 존재하는 기록형.
Record type: A record type that exists for a name covered by a hash value within the first label of its name.

예시적 서명 서버 정령 형태를 도 1에 나타내었다. 도 1에 나타난 바와 같이 레지스트리 또는 다른 DNSSEC 서비스 제공자는 어느 번호의 서명 서버(142, 146)를 포함할 수 있다. 예를 들면 다수의 서명 서버가 프로비져닝 시스템에 포함될 수 있다. 서명 서버(142, 146)는 Hardware Security Module(HSM) (144,148)을 각각 포함할 수 있고 이는 적절한 디지털 서명 키를 포함하는 유용한 디지털 서명 기능을 지닌 소프트웨어를 포함한다. 서명 서버(142, 146)는 서로 커뮤니케이트하고 다양한 어플리케이션 서비스 및 도구(110, 120 및 130)와 서명된 데이터와 서명되지 않은 DNS 데이터를 교환할 수 있다. CAS(110), NCC Plugin Business Service(120) 및 Batch/Tool(130)의 각각의 요소는 서명 서버 바람직하게는 서명 서버의 세트에 연결되어 있을 것이다. 서명 서버(142, 146)는 데이터베이스(150) 내의 서명 DNS 데이터를 지속시킨다. 추가적 데이터 흐름의 상세는 도 2에 나타난 바와 같은 데이터베이스와 서명 서버 HSM 및 그의 적용을 통해 알 수 있다.
An exemplary signature server directive form is shown in FIG. 1. As shown in FIG. 1, the registry or other DNSSEC service provider may include any number of signing servers 142, 146. For example, multiple signature servers can be included in the provisioning system. Signature servers 142 and 146 may include Hardware Security Modules (HSMs) 144 and 148, respectively, including software with useful digital signature functionality, including appropriate digital signature keys. Signature servers 142 and 146 communicate with each other and can exchange signed and unsigned DNS data with various application services and tools 110, 120, and 130. Each element of CAS 110, NCC Plugin Business Service 120 and Batch / Tool 130 would be connected to a set of signature servers, preferably a signature server. Signature servers 142 and 146 persist signature DNS data in database 150. Further details of the data flow can be obtained through the database and signature server HSM and its application as shown in FIG. 2.

도 2에 나타난 바와 같이 클라이언트(210)는 예를 들면 프로비져닝 시스템의 최종 서비스를 제공받는 것이다. 이는 서명 서버(212)에 의해 서명되어있는 DNSSEC 데이터의 확인을 요청할 수 있다. 서명된 DNSSEC 데이터는 분석되거나 도메인 명령어에 근거하여 확인된다. 링크(241)에 나타난 바와 같이 서명 서버(212)에 제공되는 것이다. 바이트, 키 형태(ZSK, KSK)와 TLD에 관한 정보가 포함될 수 있다. 서명 서버(212)는 적절한 키 정보 및/또는 트랜스미션(241)으로부터 HSM을 확인할 수 있고 링크(242)에 나타난 바와 같이 서명되지 않은 데이터를 적절한 HSM(214)을 통해 패스시킨다. 이는 예를 들면 바이트, keyAlias 및 서명 알고리즘과 같은 서명 명령어를 포함한다.
As shown in Fig. 2, the client 210 is provided with the final service of the provisioning system, for example. This may request verification of the DNSSEC data signed by the signature server 212. Signed DNSSEC data is analyzed or verified based on domain instructions. It is provided to the signature server 212 as shown in link 241. Information on bytes, key types (ZSK, KSK) and TLD may be included. The signing server 212 may verify the HSM from the appropriate key information and / or transmission 241 and pass unsigned data through the appropriate HSM 214 as shown in link 242. This includes, for example, signature instructions such as bytes, keyAlias and signature algorithms.

본 발명의 실시태양에서 서명 서버(212)는 동일한 서명 요청의 일부로서 다른 데이터 서명 요청을 수령할 수 있다. 서명 서버(212)는 다른 데이터를 위한 적절한 키 정보를 결정할 수 있다. 또 다른 실시태양에서 본 명세서에서 기술한 바와 같이 다른 데이터를 위한 키 정보는 동일한 서명 요청을 포함하는 첫 번째 데이터를 위한 키 정보와는 상이할 수 있다.
In an embodiment of the invention, the signature server 212 may receive another data signing request as part of the same signing request. Signature server 212 may determine appropriate key information for other data. In another embodiment, as described herein, key information for other data may be different from key information for first data containing the same signature request.

클라이언트(210)으로부터 서명 서버(212)로의 요청(241)은 서명 서버 프로토콜(SSP)에 의해 포맷화될 수 있다. 실시태양에서 예시적인 프로토콜로는 '복스카(boxcar)'를 포함할 수 있고 이는 다수의 서명 요청을 단일 프로토콜 요청으로 패키지화한 것으로 네트워크 라운드 트립의 감소에 따른 수행에 적합한 밴드 폭을 지닌 것이다. 추가적으로 SSP는 다음과 같은 서비스 모듈을 지닌 빌트-인 진단 특성을 포함할 수 있다. 이는 클라이언트에게 사용 가능한 서비스 스테이트와 최근 문제점을 결정할 수 있도록 허용하는 것이다. 본 발명의 실시태양에서 본 명세서 내의 프로토콜은 다른 객체간의 서명 서버에 부가된 새로운 서비스 모듈에 의해 요청되는 새로운 데이터 이전 패킷 정보의 간단한 프래그를 그 자체 프로토콜의 이전 변화 없이 허용할 수 있는 것이다. 예시적 SSP는 도 3에 나타난 바와 같으며 이는 다음과 같이 더욱 상세히 설명할 수 있다.
The request 241 from the client 210 to the signing server 212 may be formatted by the signing server protocol (SSP). Exemplary protocols in an embodiment may include a 'boxcar', which packages multiple signature requests into a single protocol request, with a band width suitable for performance as a result of reduced network round trips. In addition, the SSP may include built-in diagnostic features with the following service modules: This allows the client to determine the available service state and recent problems. In an embodiment of the present invention, the protocol in this specification is to allow a simple flag of new data transfer packet information requested by a new service module added to a signature server between different objects without changing the protocol itself. An example SSP is as shown in FIG. 3, which may be described in more detail as follows.

도 3에 나타난 바와 같이 클라이언트로부터 서명 서버 요청 프로토콜(300)은 다음과 같은 분야를 포함한다.As shown in FIG. 3, the signature server request protocol 300 from a client includes the following fields.

패킷 길이 : int(패킷의 총 길이)Packet length: int (total length of packet)

프로토콜 버전 : byte(프로토콜 버전)Protocol version: byte (protocol version)

서비스형 : byte(예를 들면 DNSSEC 서명을 위한 단순 DNSSEC; 공개키 검색(앨리어스 키 제공, 공개키 회수))Service type: byte (e.g. simple DNSSEC for DNSSEC signing; public key search (alias key provision, public key retrieval))

번역 Id : Long(요청을 인지하기 위한 특정 Id)Translation Id: Long (specific Id to recognize the request)

플래그 : int(플래그를 통과시키기 위한 요청을 허용하는 분야)Flag: int (field that allows requests to pass the flag)

세션 Id : Long(요청을 송부하기 위한 세션 Id는 회계 목적으로 사용될 수 있다)Session Id: Long (Session Id for sending request can be used for accounting purposes)

어카운트 Id : Long(요청을 송부하기 위한 어카운트 Id는 회계 목적으로 사용될 수 있다)Account Id: Long (Account Id for sending request can be used for accounting purposes)

기록의 수 : byte(예를 들면 수행에 필요한 서비스의 전체적 요청을 포함하는 패킷의 수와 같은 요청 데이터 수)Number of records: byte (for example, the number of request data such as the number of packets containing the overall request of the service required to perform)

서명 요청 데이터1...n - 행위를 필요로 하는 서비스 기반의 데이터 패킷; 통상 이는 서명된 데이터를 포함한다.
Signature request data1 ... n-service based data packet requiring action; Typically this includes signed data.

클라이언트(210)는 그들의 요청(300) 내부에 페이로드로서 서명 요청 데이터를 송신할 수 있다. 본 발명의 실시태양에서 서명 서버(212)는 서로 다른 서비스 요청을 인식하고 행동하며 관련된 코덱을 기반으로 데이터 페이로드를 해석할 수 있도록 변형될 수 있다. 본 발명의 실시태양에서 데이터는 다양한 형식으로 구조화될 수 있으며 이는 예를 들면 하기의 심플 서명 요청 데이터, RRSig서명 요청 데이터 또는 공개키 조회 요청 데이터를 포함하는 서명 요청 데이터 프로토콜로 언급될 수 있다.
Clients 210 can send signature request data as payloads inside their request 300. In an embodiment of the invention, the signature server 212 may be modified to recognize and act on different service requests and to interpret the data payload based on the associated codecs. In an embodiment of the present invention, the data may be structured in various formats, which may be referred to as a signature request data protocol including, for example, the following simple signature request data, RRSig signature request data or public key inquiry request data.

도 4는 간단한 서명 요청 데이터 프로토콜을 나타낸 것이다. 도 4에 나타난 바와 같이 간단한 서명 요청(310)은 다음과 같은 사항을 포함한다.
4 illustrates a simple signature request data protocol. As shown in FIG. 4, the simple signature request 310 includes the following items.

길이 : int(데이터의 길이)Length: int (length of data)

알고리즘 : 스트링(서명 알고리즘)Algorithm: String (Signature Algorithm)

키 앨리어스 : 스트링(서명 사용에 필요한 키 앨리어스)Key alias: string (key alias required for signature use)

요청 데이터 길이 : int(요청 데이터 분야의 길이)Request data length: int (length of request data field)

요청 데이터 : byte(서명 서버에 의해 서명이 필요로 되는 데이터)
Request data: byte (data required to be signed by signature server)

상기한 바와 같이 클라이언트(210), 서명 서버(212) 및 HSM(214)는 각각의 키를 확인하기 위해서 앨리어스 키를 사용할 수 있다. 따라서 활동성 키의 교환을 위해 여러 가지 요소를 필요로 하지 않으며 이는 키 물질의 안전성을 유지하는 장점을 지닌 것으로 특히 키는 예를 들면 HSM(214)와 같이 본질적으로 접근할 수 없는 상태(즉 네트워크로 접근할 수 없음)의 특정 요소로 유지되고 있는 것이다.
As mentioned above, the client 210, signature server 212, and HSM 214 can use the alias keys to verify each key. This eliminates the need for multiple elements for the exchange of active keys, which has the advantage of maintaining the safety of the key material, in particular the keys are inherently inaccessible (i.e. to the network), for example HSM 214. Inaccessible).

도 5에 나타난 바와 같은 RRSig서명 요청 데이터는 서명 요청 데이터를 수행하는데 사용되는 것으로 이는 심플 서명 요청과 유사한 방법으로 수행된다. RRSig서명 요청 데이터는 예를 들면 클라이언트에게 배포된 데이터 빈으로 서명이 필요한 RRSIG 기록에 관한 정보를 보유하고 있다. 하기에 더욱 상세히 기술하는 것처럼 각각 요청의 클래스는 이에 상응하는 응답(244)으로서 서명 서버(212)에 의해 반송된다. 서명 서버(212)가 요청(241)을 수령할 때 DNSSEC-관련 데이터, 또는 다른 데이터 또는 그 자체의 요청 데이터는 증가되는 것이다.
The RRSig signature request data as shown in FIG. 5 is used to perform the signature request data, which is performed in a similar manner to the simple signature request. The RRSig signature request data is, for example, a data bean distributed to clients that holds information about the RRSIG record that needs to be signed. As described in greater detail below, each class of request is returned by the signature server 212 as a corresponding response 244. When the signing server 212 receives the request 241, the DNSSEC-related data, or other data or its own request data, is incremented.

RRSig서명 요청 데이터(320)는 다음과 같은 요소를 포함한다.The RRSig signature request data 320 includes the following elements.

길이 : int(데이터의 길이)Length: int (length of data)

RRSIG ID : Long(RRSig서명 요청 데이터의 고유 ID)RRSIG ID: Long (Unique ID of RRSig signature request data)

도메인 명칭 : 스트링(도메인 명칭)Domain Name: String (Domain Name)

도메인 Id : Long(도메인의 Id)Domain Id: Long (Id of Domain)

모 도메인 : 스트링(모 도메인)Parent domain: String (parent domain)

커버형 : int(리소스 기록형)Cover type: int (resource recording type)

라벨의 수 : int(도메인 명칭 내의 라벨의 수)Number of labels: int (the number of labels in the domain name)

Orig TTL : Long(서명 서버에 의해 서명될 필요가 있는 데이터)Orig TTL: Long (data that needs to be signed by the signature server)

TTL : Long(서명 서버에 의해 서명될 필요가 있는 데이터)TTL: Long (data that needs to be signed by the signing server)

RR 스타트 타임 : Long(RRSIG 스타트 타임의 에포크 타임)RR start time: Long (epoch time of RRSIG start time)

RR세트 바이트 길이 : int(RR세트 바이트의 길이)RR set byte length: int (length of RR set byte)

RR세트 바이트 : byte(서명 서버에 의해 서명될 필요가 있는 데이터)
RR set byte: byte (data that needs to be signed by the signature server)

따라서 도 3에 나타난 바와 같이 서명 서버 요청 프로토콜(300)의 결합을 고려한다면 도 4에 나타난 심플 서명 요청 데이터(310)와 도 5에 나타난 RRSig서명 요청 데이터(320)는 적절하게 변형된 서명 서버에 의해 각각의 서명 요청 데이터로서 예를 들면 앨리어스 키와 같은 서명 알고리즘을 지닌 것으로 다수의 서명 요청 데이터 중에서 단일 서명 요청(예를 들면 서명 서버 요청 프로토콜(300)에 의한)으로 처리될 수 있도록 변형되어야 한다. 본 명세서에서 더욱 상세하게 기술하는 것은 RR서명 데이터의 경우 적절한 알고리즘 및/또는 키가 예를 들면 도메인 표식자 위에서 및/또는 요청에 의한 관련된 TLD 위에서 근거할 수 있도록 준비되어야 한다. 본 발명의 실시태양에서 서명 서버는 서로 다른 TLD 내의 도메인에 관한 요청을 처리할 수 있도록 변형되어야 하고 이와 같은 다수의 레지스트라에 의해 관리되는 적어도 두 개의 도메인에 관한 요청 처리를 본 명세서에서 설명된 요청의 분석 및 데이터 패키지로 처리할 수 있도록 변형되어야 한다.
Therefore, considering the combination of the signature server request protocol 300 as shown in FIG. 3, the simple signature request data 310 shown in FIG. 4 and the RRSig signature request data 320 shown in FIG. Each signature request data, having a signature algorithm such as an alias key, must be modified so that it can be processed into a single signature request (e.g., by the signature server request protocol 300) among multiple signature request data. . Described in more detail herein, in the case of RR signature data, an appropriate algorithm and / or key should be prepared such that it can be based, for example, on a domain marker and / or on an associated TLD on request. In embodiments of the present invention, the signature server must be modified to handle requests for domains in different TLDs, and the processing of requests for at least two domains managed by such multiple registrars can It must be modified to be processed into analysis and data packages.

서명 요청 데이터 프로토콜은 다음과 같은 분야의 공개키 요청 데이터를 포함하는 것이다.The signature request data protocol includes public key request data in the following fields.

길이 : int(데이터의 길이)Length: int (length of data)

키 앨리어스 : 스트링(공개키를 조회할 수 있는 키 앨리어스)
Key alias: string (key alias from which the public key can be queried)

서명 서버(212)는 HSM(214)에 데이터를 전송시 사용하기 위한 앨리어스 키를 통해 권한있는 데이터로 데이터베이스(220)를 주기적으로 체크 할 수 있도록 변형될 수 있다. 서명 서버(212)는 활성 KSK 및/또는 활성 ZSK 기반 위에서 데이터 패키지를 전송하기 위해 특정 HSM을 확인하기 위해 변형될 수 있다. HSM(214)은 초기화 시점에 TLD를 통한 다수의 키(일부는 ZSK, 일부는 KSK)를 로딩할 수 있으며 각각의 키는 키 앨리어스와 같은 앨리어스에 의해 HSM(214)에 공지되어 있다. 클라이언트(210)는 사용되는 두 종류의 키(ZSK 또는 KSK)를 서명 서버(212)에 통보할 수 있도록 변형될 수 있다. 서명 서버(212)는 서명을 위해 HSM과 커뮤니케이션 시 키 종류에 대한 현존하는 앨리어스 키 명칭을 확인할 수 있도록 변형될 수 있다. 서명 서버(212)는 현존하는 앨리어스 키를 통해 데이터베이스(220)의 반복 체크를 요청할 수 있다. 명령어를 예를 들면 JMX 관리 인터페이스에 의해 서명 서버(212)에 전달시킬 수 있다. 따라서 서명 서버(212)는 'DNSSEC-인지'로 이해된다.
The signature server 212 may be modified to periodically check the database 220 with authorized data through an alias key for use in transmitting data to the HSM 214. The signature server 212 may be modified to identify a specific HSM for sending data packages on an active KSK and / or active ZSK basis. The HSM 214 can load multiple keys (some ZSK, some KSK) via the TLD at initialization time and each key is known to the HSM 214 by an alias, such as a key alias. The client 210 can be modified to notify the signing server 212 of the two types of keys (ZSK or KSK) used. The signature server 212 may be modified to verify the existing alias key name for the key type in communication with the HSM for signature. The signature server 212 may request a recursive check of the database 220 through the existing alias key. Instructions may be passed to the signature server 212 by, for example, the JMX management interface. Thus, signature server 212 is understood as 'DNSSEC-aware'.

DNSSEC-인지 서명 서버를 제조하는 하나의 장점은 마샬링(marshalling)과 데이터의 비-마샬링을 축소할 수 있는 것으로 만약 비-마샬링된 데이터는 이 데이터가 변경되지 않았어도 거의 모든 서명 요청과 함께 클라이언트가 패스시켰을 것이다. 즉 자주 변경되지 않는 데이터는 클라이언트(210)에 의해 인지될 필요가 없으며 개별 요청(241)과 함께 클라이언트(210)에 전송될 필요가 없는 것이다. 반면 이들 데이터는 서명 서버(212) 자신에 의해서 캐시되고 공지될 수 있다.
One advantage of manufacturing a DNSSEC-aware signature server is that it can reduce marshalling and non-marshaling of data, if the non-marshalized data is passed by the client with almost all signing requests, even if this data has not changed. Would have done. That is, data that does not change often need not be recognized by the client 210 and need not be sent to the client 210 with the individual request 241. On the other hand, these data can be cached and announced by the signature server 212 itself.

서명 서버(212)는 또한 일반적 서명 능력을 제공하기 위해 변형될 수 있다. 이러한 예로는 관리 DNS 서비스의 사용을 위한 서명 서버의 변형을 포함하는 것으로 상기 서비스는 관리 DNS 서비스를 위한 다양한 서명, 루트 존 서명 등을 창출할 수 있는 다수의 키와 존(수천개 또는 수백만개)을 지닐 수 있다. 본 발명의 실시태양에서 클라이언트는 서명을 위해 사용되는 키를 역동적으로 로드하거나 언로드할 수 있는 능력을 지닌 서명 파라미터를 제공할 수 있도록 변형될 수 있다. '일반적 서명(generic signing)'은 다양한 형식의 서명 트랜스액션을 수행할 수 있는 서명 서버가 예를 들면 큰 규모, 다양한 기능, 관리 DNS 서비스와 함께 사용할 수 있도록 유연한 어플리케이션을 제공할 수 있는 것이다. 따라서 서명 서버(212)는 DNSSEC-인지이고 예를 들면 런타임-변형 플러그인(서비스)을 통해 다른 서명 목적을 위한 작업을 수행할 수 있는 것으로 서버는 접수되는 요청의 핸들링에 영향을 받을 것이다. 본 발명의 측면에 따르면 도 2에 나타난 바와 같은 서명 서버 프레임워크는 서로 다른 파라미터와 키를 지닌 서비스 모듈을 기록하기 위한 다양한 파티를 허용할 수 있으며 이는 서명 어플리케이션을 위해서 다양한 브랜드의 하드웨어와 소프트웨어를 사용하여 커뮤니케이션 할 수 있다. 추가적 기능이 존재하는 클라이언트의 인터페이스 없이도 새로운 형태로 지지된 프로토콜을 추가시킬 수 있다. 서명 서버와 서명 서버 프로토콜의 변형이 허용되며 예를 들면 존재하는 서명에 충격을 주지 않고 다양한 다른 최종 소비자 인터페이스(예를 들면 웹서비스, EPP, REST)를 포함하는 DNSSEC 어플리케이션을 들 수 있다.
Signature server 212 may also be modified to provide general signature capabilities. Examples include variants of signing servers for the use of managed DNS services, which include multiple keys and zones (thousands or millions) capable of generating various signatures, root zone signatures, and the like for managed DNS services. It can have In an embodiment of the present invention, the client may be modified to provide a signature parameter with the ability to dynamically load or unload the key used for signing. 'Generic signing' is what allows a signing server that can perform various types of signature transac- tions, for example, to provide a flexible application for use with large, versatile, and managed DNS services. Thus, the signing server 212 is DNSSEC-aware and capable of performing tasks for other signing purposes, for example via a runtime-modifying plug-in (service), which will affect the handling of incoming requests. According to aspects of the present invention, the signature server framework as shown in FIG. 2 may allow various parties to record service modules with different parameters and keys, which uses various brands of hardware and software for signature applications. Can communicate. It is possible to add supported protocols in a new form without the interface of the client with additional functionality. Modifications of the signature server and signature server protocols are permitted, for example DNSSEC applications that include a variety of other end-user interfaces (eg Web services, EPP, REST) without impacting existing signatures.

본 발명의 실시태양은 서비스 모듈과 함께 서명 서버 코드 베이스를 포함할 수 있으며 서비스 모듈은 서명-변형 파라미터의 캐싱 및 비-캐싱 조합을 제공할 수 있다. 서비스 모듈은 그 자체의 요구에 따라 이러한 캐싱을 재사용하거나 비-캐싱된 특성을 지닐 수 있는 것이다. 캐싱은 상대적으로 안정한 키와 서명 변형을 지닌 서비스 모듈의 수행을 증가시키기 위해 사용될 수 있다. 반면 비-캐싱은 오프라인 상에서 저장되고 오직 서명시에만 활성화되는 높은 볼륨의 키와 파라미터를 필요로 하는 경우에만 요구되는 키와 서명 파라미터의 로딩을 용이하게 한다. 더불어 별개의 서비스 모듈이 오작동 하거나 사용할 수 없게 되었을 때 다른 프로토콜과 키에서도 생성되는 바와 같이 서명 서버는 그 자신이 로버스트(robust) 상태로 남게되고 다른 모듈에 서비스 요청을 계속할 수 있게 허용한다. 이와 같은 유연성은 예를 들면 현존하는 스탠드-단독 DNSSEC 서명 어플리케이션에 의해서는 성취될 수 없는 미리아드 옵션을 제공하는 것이다.
Embodiments of the invention may include a signature server code base with a service module and the service module may provide a caching and non-caching combination of signature-modification parameters. The service module can either reuse this caching or have a non-cached property as per its own needs. Caching can be used to increase the performance of service modules with relatively stable key and signature variations. Non-caching, on the other hand, facilitates loading of the required key and signature parameters only if they require a high volume of keys and parameters that are stored off-line and only activated upon signing. In addition, the signature server allows itself to remain robust and continue service requests to other modules, as generated by other protocols and keys when a separate service module malfunctions or becomes unavailable. This flexibility provides, for example, Myriad options that cannot be achieved by existing stand-alone DNSSEC signature applications.

비-캐싱 접근법의 또다른 장점은 예를 들면 모든 적용 가능한 키가 HSM 또는 다른 서명 모듈 내에서 캐시되지 않는 경우에도 디지털 래핑된 키를 낮은 비용으로 더 높은 접근성을 지닌 보관소에 보관할 수 있는 것으로 이는 중앙 데이터를 통해 쉽게 전사될 수 있는 데이터베이스와 같은 것이다. 그러므로 HSM과 다른 서명 모듈은 데이터 서명에 필요한 키를 조회할 수 있다. 이와 같은 활성 키의 별개 보관에 요구되는 로딩은 전반적인 서명 서비스를 가능케 함은 본 발명자들에 의해 발견된 것으로 이는 본 명세서에 기재한 바와 같이 HSM의 능력 또는 사용되는 데이터베이스의 유용성을 희생하지 않고도 다수의 키를 사용하여 규모화될 수 있는 것이다. 이는 레지스트리에 의해 제공되는 다양한 큰 규모의 DNS 서비스의 콘텍스트 내에서 유용하게 사용될 수 있으며 수천 내지 수백만의 존을 위한 키의 접근을 허용한다.
Another advantage of the non-caching approach is that a digitally wrapped key can be stored in a more accessible repository at a lower cost, even if all applicable keys are not cached within the HSM or other signature module, for example. It's like a database that can be easily transcribed through data. Thus, HSMs and other signature modules can query the keys needed to sign data. The loading required for separate storage of such activation keys has been found by the inventors to enable overall signing services, as described herein, without sacrificing a number of HSMs without sacrificing the capabilities of the HSM or the usefulness of the database used. It can be scaled using keys. This can be useful within the context of the various large DNS services provided by the registry and allows access of keys for thousands to millions of zones.

본 발명의 실시태양에서 HSM 또는 다른 서명 모듈은 HSM의 개인키 또는 다른 서명 모듈과 함께 데이터베이스 내에 저장된 관련 키를 암호화시킬 수 있다. 하기에서 기술한 바와 같이 각각의 키는 키 앨리어스에 의해 확인될 수 있으며 조회시 개인키를 사용하여 HSM 또는 다른 서명 모듈에 의해 해독 될 수 있는 것이다.
In an embodiment of the present invention, the HSM or other signature module may encrypt the associated key stored in the database along with the HSM's private key or other signature module. As described below, each key can be verified by a key alias and can be decrypted by the HSM or other signature module using the private key in the query.

도 2에 나타난 바와 같이 HSM(214)은 수령된 DNSSEC 데이터를 서명할 수 있으며 예를 들면 적절한 키의 사용으로 요청(242) 내에서 링크(243)로 나타난 바와 같은 서명 서버(212)로 반송하여 서명 데이터를 통과시킬 수 있다. 본 발명의 실시태양에서 서명은 예를 들면 앨리어스 키로부터 적절한 키 및/또는 프로토콜의 확인과 요청에 근거한 것이다. 반면 HSM과 다른 소프트웨어 서명 어플리케이션은 이들에게 전달된 서명 요청에 적용하기 위한 미리 결정된 키 및/또는 파라미터를 지닌다. 본 발명의 측면에 따라 서명 요청 내에 포함된 개별적 확인 데이터 패킷을 지닐 수 있고 이러한 패킷은 클라이언트가 서명 응답을 위한 장벽없이 작업을 지속할 수 있도록 동시에 처리될 수 있는 것이다. 또한 단일 서명 서버는 엇갈린 어플리케이션 및 엇갈린 존의 데이터를 동시에 서명하는 요청을 수령하고 시행할 수 있다. 이는 서명 서버가 엇갈린 존 및/또는 어플리케이션에 대한 서로 관련 없는 데이터의 서명을 요청하는 단일 요청 패킷 명령어 내에서 수령할 수 있기 때문이다.
As shown in FIG. 2, the HSM 214 can sign the received DNSSEC data and return it to the signing server 212, as indicated by the link 243 in the request 242, for example, using the appropriate key. You can pass signature data. In an embodiment of the present invention, the signature is based on confirmation and request of an appropriate key and / or protocol, for example from an alias key. HSMs and other software signing applications, on the other hand, have predetermined keys and / or parameters to apply to the signature request sent to them. In accordance with aspects of the present invention it may be possible to have individual acknowledgment data packets contained within a signature request and such packets may be processed concurrently to allow the client to continue working without barriers for signature responses. A single signing server can also receive and enforce requests to sign mixed applications and data in mixed zones at the same time. This is because the signature server can receive within a single request packet instruction requesting the signature of uncorrelated data for staggered zones and / or applications.

추가적으로 서명 서버(212)는 단일 데이터 패킷을 위한 다수의 서명을 요청 제공하기 위해 변경될 수 있다. 예를 들면 서명 서버(212)는 특정 데이터에 적용하는 다수의 활성키 및/또는 알고리즘을 인지할 수 있고 하나 이상의 활성키 및/또는 알고리즘에 근거한 HSM 또는 다른 서명 모듈로부터 다수의 서명 요청을 수행할 수 있다. 본 발명의 실시태양에서 서명 서버(212)는 예를 들면 첫 번째 알고리즘에 의한 첫 번째 키를 지닌 첫 번째 데이터의 서명에 대한 요청과 보고를 위해 변형될 수 있으며 첫 번째 데이터는 두 번째 알고리즘에 의한 두 번째 키에 의해 수행될 수도 있다. 다수의 활성 키와 서명이 적용될 수 있으며 예를 들면 사용자의 요구조건에 따라 키 롤오버 및/또는 DNSSEC의 콘텍스트 내에서 알고리즘 롤(예를 들면 SHA-1 내지 SHA-2)의 수행에 효과적인 것이다.
Additionally, signature server 212 can be modified to request multiple signatures for a single data packet. For example, signature server 212 may be aware of multiple activation keys and / or algorithms that apply to specific data and may perform multiple signing requests from an HSM or other signature module based on one or more activation keys and / or algorithms. Can be. In an embodiment of the present invention, the signature server 212 may be modified, for example, for requesting and reporting the signature of the first data with the first key by the first algorithm and the first data by the second algorithm. May be performed by a second key. Multiple activation keys and signatures may be applied and are effective for performing algorithm rolls (e.g. SHA-1 to SHA-2) within the context of key rollover and / or DNSSEC, for example depending on the requirements of the user.

HSM(214)은 서명 서버(212)의 프로세서로부터 물리적으로 분리되어 있으며 예를 들면 HSM(214) 내에 저장된 추가적 보완 프로토콜로 저장된 키를 안전하게 보관하고 있다. 예를 들면 HSM(214)은 그 내에 저장된 안전 보장용 키의 물리적 로딩 절차를 통해서만 키 정보를 교환할 수 있도록 변형될 수 있으며 특히 예를 들면 KSK와 같은 긴 서비스 지속시간과 넓은 적용성을 지닌 기구를 사용한다. 본 발명의 실시태양에서 HSM은 하나 이상의 키와 그 키가 저장되어 있는 것을 확인하는 하나 이상의 앨리어스 확인자를 포함할 수 있다.
The HSM 214 is physically separate from the processor of the signature server 212 and securely stores the stored key, for example with an additional complementary protocol stored within the HSM 214. For example, the HSM 214 can be modified to exchange key information only through the physical loading procedure of the security key stored therein, especially for long service durations and wide applicability mechanisms such as, for example, KSK. Use In an embodiment of the present invention, the HSM may include one or more keys and one or more alias identifiers that confirm that the keys are stored.

서명 서버(212)는 예를 들면 DNSSEC 또는 다른 디지털 서명된 데이터와 같은 서명된 데이터 또는 트랜스액션 수행 정보와 같은 데이터를 통과시킬 수 있으며 링크(244)에 나타난 바와 같이 클라이언트(210)에 되돌려 전송할 수 있다.
The signature server 212 may pass, for example, signed data, such as DNSSEC or other digitally signed data, or data such as transaction performance information, and send back to the client 210 as shown in link 244. have.

상기한 바와 같이 각각의 요청은 이에 상응하는 응답(244)으로서 서명 서버(212)에 의해 반송될 수 있다. 서명 서버(212)에 의해 반송되는 응답(244)은 도 6에 나타난 바와 같은 서명 서버 응답 프로토콜에 의해 적절하게 변형될 수 있다.
As noted above, each request may be returned by the signature server 212 as a corresponding response 244. The response 244 returned by the signature server 212 may be modified as appropriate by the signature server response protocol as shown in FIG. 6.

도 6에 나타난 바와 같이, 서명 서버 응답 프로토콜(400)은 에를 들면 다음과 같은 사항을 포함한다.
As shown in FIG. 6, the signature server response protocol 400 includes, for example, the following.

패킷 길이 : int(패킷의 총 길이)Packet length: int (total length of packet)

프로토콜 버전 : byte(요청 내에서 전송된 것과 동일)Protocol version: byte (same as sent in request)

서비스 형 : byte(요청 내에서 전송된 것과 동일)Service type: byte (same as sent in request)

트랜스액션 Id : long(요청 내에서 전송된 것과 동일)Transaction Id: long (same as sent in request)

플래그 : int(플래그 내에 통과 요청을 허용하는 분야)Flags: int (fields that allow pass requests within the flag)

응답 코드 : byte(요청 처리 후의 응답 코드. 서명 서버에 의해 반송될 수 있는 응답 코드를 위해 하기 사항을 참조하라.)Response code: byte (response code after request processing. See below for response codes that may be returned by the signing server.)

응답 메시지 길이 : int(서버에 의해 반송되는 응답을 위한 상세한 응답 메시지의 길이)Response message length: int (length of the detailed response message for the response returned by the server)

응답 메시지 특성 : char(응답 메시지 특성)Response message property: char (response message property)

기록의 수 : byte(응답 데이터(예를 들면 서비스가 수행되도록 요구하는 전체적 요청 내에 포함된 패킷의 수))Number of records: byte (response data (e.g. the number of packets included in the overall request requiring the service to be performed))

서명 응답 데이터 1...nSignature Response Data 1 ... n

예시적 서명 응답 코드가 표 1에 나타나 있다.
Exemplary signature response codes are shown in Table 1.

응답 코드Response code 응답 상세Response details 00 성공success 1One 요청 실패Request failed 22 데이터베이스 실패로 인한 요청 실패 Request failed due to database failure 33 서명 엔진 실패로 인한 요청 실패Request failed due to signing engine failure 44 지원되지 않는 서비스 요청에 의한 요청 실패Request Failed Due to Unsupported Service Request 55 앨리어스 키를 위한 공개 키의 발견 실패Failed to find public key for alias key

서명 응답 데이터는 예를 들면 단순 서명 응답 데이터, RRSig 서명 응답 데이터 또는 예를 들면 단순 서명 요청 데이터, RRSig 서명 요청 데이터 또는 공개 키 조회 요청 데이터와 같은 요청에 상응하는 공개키 조회 응답 데이터 등을 들 수 있다. 본 발명의 실시태양에서 리퀘스트 내에서 전송된 각각의 요청-데이터 패킷을 위한 하나의 응답 데이터 객체가 존재한다.
The signature response data may include, for example, simple signature response data, RRSig signature response data, or public key query response data corresponding to a request such as, for example, simple signature request data, RRSig signature request data, or public key lookup request data. have. In an embodiment of the invention, there is one response data object for each request-data packet sent in the request.

단순 서명 응답 데이터(410)의 예는 도 7에 나타난 바와 같으며 예를 들면 도 4에 나타난 바와 같은 단순 서명 요청에 응답하여 서명 서버(212)에 의해 반송된다. 도 7에 나타난 바와 같이 단순 서명 응답 데이터(410)의 분야는 다음과 같은 사항을 포함한다.
An example of simple signature response data 410 is as shown in FIG. 7 and is returned by signature server 212 in response to a simple signature request as shown in FIG. 4, for example. As shown in FIG. 7, the field of simple signature response data 410 includes the following.

길이 : int(데이터의 길이)Length: int (length of data)

서명 데이터 길이 : int(서명 데이터 분야의 길이)Signature data length: int (length of signature data field)

서명 데이터 : byte(서명 서버에 의해 서명될 필요가 있는 데이터)
Signature data: byte (data that needs to be signed by the signature server)

도 8은 RRSig 서명 응답 데이터(420)의 일례를 나타낸 것이다. 이는 도 5에 나타난 바와 같은 RRSIG 관련 요청으로부터 야기된 각각의 응답-데이터 패킷을 위해 사용하는 것이다.
8 shows an example of RRSig signature response data 420. This is to use for each response-data packet resulting from an RRSIG related request as shown in FIG.

길이 : int(데이터의 길이)Length: int (length of data)

RRSIG ID : Long(RRSig 서명 요청 데이터의 고유 ID)RRSIG ID: Long (unique ID of RRSig signature request data)

도메인 명칭 : String(도메인의 명칭)Domain Name: String (Domain Name)

도메인 Id : Long(도메인의 Id)Domain Id: Long (Id of Domain)

모 도메인 : String(모 도메인)Parent Domain: String (parent domain)

커버 형 : int(리소스 기록 형)Cover type: int (resource recording type)

라벨의 수 : int(도메인 명칭 내의 라벨의 수)Number of labels: int (the number of labels in the domain name)

Orig TTL : Long(서명 서버에 의해 서명될 필요가 있는 데이터)Orig TTL: Long (data that needs to be signed by the signature server)

TTL : Long(서명 서버에 필요가 있는 데이터)TTL: Long (data required by the signature server)

RR 시작 시간 : Long(RRSIG 시작 시간의 Epoch 시간)RR start time: Long (Epoch time of RRSIG start time)

키 태그 : int(요청을 서명하기 위해 사용되는 키의 키 태그)Key tag: int (key tag of the key used to sign the request)

알고리즘 Id : int(요청을 서명하기 위해 사용되는 알고리즘의 Id)Algorithm Id: int (Id of the algorithm used to sign the request)

서명 : String(서명 요청에 의해 생성되는 베이스 64 암호화 서명)Signature: String (base 64 cryptographic signature generated by signing request)

RR 종료 시간 : Long(RRSIG 종료 시간의 Epoch 시간)
RR end time: Long (epoch time for RRSIG end time)

서명 응답 데이터는 다음과 같은 분야를 포함하는 공개키 응답 데이터(도시하지 않음)를 포함할 수 있다.
The signature response data may include public key response data (not shown) including the following fields.

길이 : int(데이터의 길이)Length: int (length of data)

앨리어스 키 : String(요청에 의해 전송된 앨리어스 키)Alias key: String (alias key sent by request)

공개키 : String(앨리어스 키를 사용하여 조회된 키의 베이스 64 암호화 공개키)
Public key: String (base 64 encrypted public key for keys retrieved using alias keys)

서명된 데이터가 클라이언트(210)에 반송되면 클라이언트는 예를 들면 DNS에 또는 다른 서비스에 요구하는 서명된 데이터를 분배하거나 요구된 확인 메시지를 전송한다. 본 발명의 실시태양에서 클라이언트(210)는 DNS 변경과 같은 행위를 확인할 수 있도록 DNSSEC 어플리케이션으로 변형될 수 있으며 또한 수행이 요구되는 적절한 DNSSEC 기능을 결정할 수 있다. 따라서 서명 서버(212)는 다수의 DNSSEC-특이 어플리케이션 프로그래밍과 기능을 조화할 수 있다. 예를 들면 클라이언트(210)는 DNSSEC 어플리케이션에 서명 파라미터의 상세와 관련 없이 또한 서명 서버(212)에 추가 정보의 통과 및 결합에 의한 네트워크 비용의 처리를 요구하지 않고도 DNSSEC 비즈니스 로직(무엇이 서명되어야 할 리소스 기록인지)에 집중될 수 있다. 이와 유사하게, 상기한 바와 같이 다양한 요청과 응답 프로토콜은 모든 관련된 작은 서명 요청들(다양한 DNSSEC 서명 파라미터 및 키 정보 없이)을 하나의 패킷으로 결합시키기 위하여 DNSSEC 어플리케이션을 허용할 수 있다. 따라서 이는 네트워크 로드와 오버헤드에 큰 감소를 야기시킨다. 마지막으로, 클라이언트(210)는 어느 HSM 인터페이스 상세를 조회할 수 있다.
When the signed data is returned to the client 210, the client distributes the signed data requesting to DNS or other services, for example, or sends the requested confirmation message. In an embodiment of the present invention, the client 210 can be transformed into a DNSSEC application to verify behavior such as a DNS change, and can also determine the appropriate DNSSEC function that needs to be performed. Thus, signature server 212 can coordinate functionality with multiple DNSSEC-specific application programming. For example, client 210 does not require DNSSEC application details of the signature parameters and does not require the signature server 212 to handle network costs by passing and combining additional information, without requiring DNSSEC business logic (what resources should be signed). Whether it is a record). Similarly, as described above, various request and response protocols may allow DNSSEC applications to combine all relevant small signature requests (without various DNSSEC signature parameters and key information) into one packet. Thus, this causes a great reduction in network load and overhead. Finally, the client 210 can query any HSM interface details.

도 9는 상기한 예시적 요청과 클라이언트와 서버간에 공유하는 응답 프로토콜의 관계를 그래프화 묘사한 것이다. 상기한 프로토콜은 다만 그 형태를 예시한 것으로 특정한 프로토콜로 본 발명의 범위를 한정하는 것은아니다. 예를 들면 다른 프로토콜이 인텔리전트 서명 서버의 능력에 의해 중심적으로 수행될 수 있고 예를 들면 키 스케쥴은 서명 서버의 어느 곳에 로딩되는 것인지 클라이언트는 자동적으로 올바른 키를 선택할 수 있는 서명 서버를 위한 적절한 표시자를 가지고 서명할 데이터를 통과시킬 수 있는지 등을 포함하는 것이다.
9 graphically depicts the relationship between the example request described above and the response protocol shared between the client and server. The above protocol is merely illustrative of the form and does not limit the scope of the present invention to a specific protocol. For example, other protocols may be performed centrally by the capabilities of the intelligent signature server, for example where the key schedule is loaded on the signature server, and the client may automatically select the appropriate indicator for the signature server to select the correct key. Include whether or not you can pass the data to be signed.

본 발명의 한 측면에 따라 틀라이언트의 클러스터와 서명 서버는 본 명세서에 기재한 바와 같이 로드 균형과 서명 시스템의 응답을 개선하기 위해 관리될 수 있다. 예를 들면 도 10에 나타난 바와 같이 본 발명의 실시태양에서 각각의 서명 서버(801-801n)를 위해 특정 서명 서버를 위한 요청을 조절하기 위한 서명 서버 클라이언트(810)를 한 예로 들 수 있다. 서명 서버 클라이언트(810)에는 서명 서버 클라이언트를 관리하기 위한 서명 서비스 클라이언트 풀(820)을 존재시킬 수 있다. 서명 서비스 클라이언트 풀(820)은 일정 수의 서명 서버 클라이언트와 연결될 수 있고 예를 들면 라운드 로빈 패션 내에서 다양한 서명 서버에 대한 로드 균형 요청을 수행하고 만약 서명 서버의 연결이 끊겼을 경우 서명 서버 클라이언트를 로테이션 밖으로 유도할 수 있게 한다.
In accordance with one aspect of the present invention, a cluster of clients and a signature server may be managed to improve load balancing and response of the signature system as described herein. For example, as shown in FIG. 10, a signature server client 810 for coordinating a request for a particular signature server for each signature server 801-801n in an embodiment of the present invention is an example. The signature server client 810 may have a signature service client pool 820 for managing the signature server client. The signing service client pool 820 can be connected to any number of signing server clients, for example in a round robin fashion, performing load balancing requests to various signing servers and, if the signing server is disconnected, Allow them to drive out of rotation.

각각의 서명 서버 클라이언트(810)는 서명 서버와 함께 소켓 연결(812) 풀을 유지시킬 수 있도록 변형될 수 있고 만약 이 서비스가 종료된다면 서명 서비스 클라이언트 풀(820)에 통보하고 또한 서명 서버에 연결될 수 있도록 지속적으로 시도하며 서명 서비스 클라이언트 풀(820)에 서명 서버가 되돌아온 후에 서비스를 되돌려 로테이션함을 통보할 수 있다.
Each signature server client 810 can be modified to maintain a pool of socket connections 812 with the signature server and notify the signature service client pool 820 if this service is terminated and also connect to the signature server. Attempt to continue and may notify the signature service client pool 820 that the service is rotated back after the signature server returns.

따라서 전체적인 시스템은 클라이언트-측면과 서버-측면 실패에 의해 조절될 수 있다. 예를 들면 클라이언트 측면 서비스는 서명 서버의 목록을 유지하고 이들 서버로부터 예외/오류에 관한 '치명성(fatal)'을 확인시켜 작동되게 할 것이다. 클라이언트 측면에서 이와 같은 치명적 서명 서버는 라운드-로빈 로테이션으로부터 제거될 수 있고 이는 서버가 온라인 상으로 되돌아왔을 때 지속적으로 인식할 수 있도록 시도될 것이다. 서명 서버는 클라이언트가 그의 건강성을 체크할 수 있도록 '핑(ping)'을 지지할 수 있도록 변형될 수 있다.
Thus the overall system can be controlled by client-side and server-side failures. For example, a client-side service might keep a list of signing servers and enable them to check for "fatals" about exceptions / errors. On the client side, such a deadly signing server can be removed from the round-robin rotation, which will be attempted to continue to recognize when the server comes back online. The signature server can be modified to support a 'ping' so that the client can check its health.

만약 클라이언트 측면 서명 서비스가 모든 서명 서버가 다운되었음을 확인한다면 이는 즉시 서명을 요하는 요청을 받았을 때 예외(exception)로 전환되게 한다. 클라이언트는 적어도 하나의 서명 서버가 활용될 수 있을 때 까지 이를 지속시킬 수 있을 것이다.
If the client-side signing service confirms that all signing servers are down, it immediately switches to an exception when it receives a request to sign. The client will be able to persist until at least one signature server is available.

서명 서버 측면에서 실패 시나리오는 예를 들면 HSM 또는 키 데이터베이스와 같은 하나의 의존 도구에 활용이 불가능함을 포함하는 것이다. 만약 HSM이 활용가능하지 않다면 서명 서버는 이를 나타내는 에러 응답을 보고한다. 서명 서버는 예를 들면 JMX와 로그 엔트리를 통해 이 상태를 경고시킬 수 있다. 서명 서버는 또한 HSM이 온라인으로 되돌아왔는지 여부를 감지하기 위해 지속적으로 시도된다. 만약 키 데이터베이스가 키 데이터의 리플레쉬를 위해 활용 가능하지 않다면 서명 서버는 예를 들면 잘못된 키로 인한 서명의 위험성 때문에 데이터의 서명 요청을 거절할 수 있도록 변형될 수 있는 것이다. 서명 서버는 서명 응답으로 이와 같은 에러를 보고하도록 변형될 수 있고 이는 키 데이터베이스에 반송 연결되도록 지속적으로 시도할 것이다.
On the signing server side, failure scenarios include the inability to leverage one dependency tool such as an HSM or key database. If the HSM is not available, the signing server reports an error response indicating this. The signature server can alert you to this state, for example, via JMX and log entries. The signature server is also constantly trying to detect whether the HSM is back online. If the key database is not available for refreshing the key data, the signing server can be modified to reject the signing request for the data, for example because of the risk of signing due to an invalid key. The signature server may be modified to report such an error in the signature response, which will continue to attempt to return to the key database.

서명 서버가 변형되어 제공하는 또다른 옵션은 서비스가 적절하게 기능하지 않았을 때 특정 서비스를 위한 새로운 연결을 위해 클라이언트 접속과 청취를 중단시키는 것이다. 이와 같은 변형은 예를 들면 클라이언트에게 오직 서명 서버가 현재 서비스를 수행할 수 있도록 작동중인 경우에만 직접 서비스 요청을 접수할 수 있는 이점을 제공한다. 또한 서명 서버 네트워크의 상태를 모니터링하고 클라이언트로부터 보고되는 에러의 수를 감소시키며 클라이언트의 전체적 효율성을 증진시킬 수 있다. 이와 같은 변형은 서명 서버가 리졸브를 발간할 때까지 잘못된 기능 서비스에 의한 에러 보고 및 접수의 부담을 경감시키는 작동 가능한 서비스를 지속케 하는 것이다. 유사한 변형으로 서명 서버와 다수의 지지 HSM 또는 다른 서명 모듈간의 적용이 가능하다.
Another option that the signature server provides as a variant is to suspend client connections and listening for new connections for specific services when the services are not functioning properly. Such a variant provides the client with the advantage of accepting service requests directly, for example only if the signing server is currently operating to perform the service. It can also monitor the status of the signature server network, reduce the number of errors reported from the client, and improve the overall efficiency of the client. Such a modification is to maintain an operational service that relieves the burden of error reporting and receipt by faulty functional services until the signature server publishes a resolve. Similar variations are possible between a signature server and multiple supporting HSMs or other signature modules.

도 1, 2 및 10에 묘사된 정렬에 의하면 요청 및 응답 프로토콜의 한 측면으로 클라이언트(210)와 같은 클라이언트는 클라이언트-유틸리티 라이브러리를 통해 로드 균형과 높은 이용가능성 특성을 지닌 기법을 채택할 수 있다. 예를 들면 클라이언트-유틸리티 라이브러리는 서버가 사용하고 있는 내부 서비스 모듈과 관계없이 서명 서버에 서로 작동할 수 있다. 클라이언트-유틸리티 라이브러리는 자동적으로 재접속되고 그 특성의 한 부분으로 신속한 실패(서비스가 이용 가능하지 않은 경우)를 제공한다. 클라이언트-유틸리티 라이브러리의 로드 균형 특성은 다수의 서명 서버가 이용 가능하든지 이용 가능하지 않든지 간에 또는 얼마나 많은 클라이언트가 특정 시간에 이 서버와 접속되어 있는지 여부와 관계없이 자동적으로 활성 서버 간에서 균등하게 로드를 분배시킬 수 있는 기능을 제공하는 것이다.
The arrangement depicted in Figures 1, 2 and 10 allows a client, such as client 210, to adopt aspects of the request and response protocols through a client-utility library that employs load balancing and high availability features. For example, client-utility libraries can work with each other on the signing server, regardless of which internal service modules the server is using. The client-utility library is automatically reconnected and provides a quick failure (if the service is not available) as part of its characteristics. The load-balancing characteristics of the client-utility library automatically load evenly among the active servers regardless of whether multiple signing servers are available or not, or how many clients are connected to this server at any given time. It is to provide a function to distribute the.

본 발명의 실시태양에서 서명 서버를 위한 서비스 모듈 플러그는 예를 들면 .com, .net, .edu 등과 같은 하나 이상의 TLD를 위한 모듈을 포함할 수 있다. 본 발명의 실시태양에서 다수의 TLD는 서로 다른 TLD를 위한 다양한 키 스케쥴 및/또는 프로토콜을 인지하고 있는 단일 서비스 모듈에 의해 지지된다. 서비스 모듈은 예를 들면 주어진 TLD에 어느 서명의 적용 및 키 롤오버의 책임을 위해 어느 ZSK가 요청하는 디지털 서명을 생성하기 위해 사용되는지; 이러한 TLD를 위해 서명을 생성할 수 있는 하드웨어 또는 소프트웨어 서명은 어느 것인지; 솔트, 해싱 알고리즘, 서명 알고리즘, 서명 존속 기간 등을 포함하는 서명의 생성시 사용되는 TLD-특이 파라미터는 어느 것인지에 대한 정보를 제공할 수 있도록 변형될 수 있다. 본 발명의 실시태양에서 서명 서버는 재-시작 없이 통상의 작동 기간동안 변경을 픽업하기 위해 주기적으로 데이터베이스를 위한 세팅의 재로딩을 자동적으로 수행할 수 있도록 변형될 수 있다.
In an embodiment of the present invention, the service module plug for the signature server may include a module for one or more TLDs, such as, for example, .com, .net, .edu, and the like. In an embodiment of the present invention, multiple TLDs are supported by a single service module that is aware of various key schedules and / or protocols for different TLDs. The service module may be used, for example, to generate which digital signatures are requested by which ZSK for application of which signatures to a given TLD and responsibility for key rollover; Which hardware or software signature can generate a signature for such a TLD; The TLD-specific parameters used in generating a signature, including salt, hashing algorithm, signature algorithm, signature duration, etc., may be modified to provide information about which one. In embodiments of the present invention, the signature server may be modified to automatically perform reloading of settings for the database periodically to pick up changes during normal operation periods without re-starting.

이러한 접근법의 특징적 이점은 TLD 당 지속적인 서명 생성을 확신시킬 수 있는 권한 중심 변형을 제공할 수 있는 것이다. 또한 이는 TLD 그 자신을 위한 레지스트리 어플리케이션이 이와 같은 임무(policy)를 직접 인지할 필요는 없고 다만 이를 시행할 때 TLD 베이스에서 서명 서버에 데이터 서명의 요청과 시행시 적절한 임무와 파라미터의 적용을 위한 서명 서버 위의 응답을 필요로 하는 것이다. 이러한 방법은 전체적으로 레지스트리의 위험성을 감소시킬 수 있고 이는 통상적 작동 기간 내의 이러한 데이터 변경시 서명-변형 데이터의 형태로 데이터를 제거하게 되어 가능케 하며 예를 들면 레지스트리 어플리케이션보다 훨씬 적은 서명 서버에 의해 수행될 수 있기 때문이다. 또한 디지털 서명의 실패를 야기하는 어플리케이션 복잡성의 증가와 잘못된 변형 위험성 증가와 같은 TLD 특이 서명 파라미터 로딩에 관련된 추가적 변형 및 어플리케이션은 클라이언트가 서명 서버에 제공할 필요가 없게 되는 것이다. 결론적으로 클라이언트는 각각의 요청을 지닌 TLD 특이 서명 파라미터의 서명 서버를 통과시킬 필요가 없게 되며 이는 네트워크 로드의 감소와 더 많은 실현을 가능케 한다.
A distinctive advantage of this approach is that it can provide an authoritative transformation that can assure continuous signature generation per TLD. It also means that the registry application for the TLD itself does not need to be aware of such a policy directly, but only when requesting a data signature from the TLD base to the signature server when enforcing it, and for applying the appropriate duties and parameters in the enforcement. You need a response on the server. This approach can reduce the risk of the registry as a whole, which makes it possible to remove data in the form of signature-modified data upon such data changes within the normal operating period and can be performed by, for example, far fewer signature servers than registry applications. Because there is. In addition, additional variations and applications related to TLD-specific signature parameter loading, such as increased application complexity and increased risk of false alterations that cause digital signatures to fail, require the client to not provide the signature server. In conclusion, the client does not need to pass the signature server of the TLD specific signature parameter with each request, which reduces network load and enables more realization.

일반적으로 본 발명의 측면에 따라 서명 서버는 플러그인 '스마트' 서비스를 개발자에게 허용할 수 있도록 변형될 수 있으며 이러한 서비스는 활성 키에 관한 지식을 지니고 있고 이는 서명 요청의 콘텍스트 기반 위에서 사용되는 알고리즘이 무엇인지 또는 이러한 정보를 그 자신이 전혀 포함하고 있지 않은지와 같은 지식을 지닐 수 있는 것이다. 이는 클라이언트가 가능한한 '덤(dumb)'으로 지속되기를 의미하는 곳에서 특정 콘텍스트에 바람직한 것이다. 이는 예를 들면 이미 시간이 경과한 정보를 클라이언트가 작동시킬 기회 또는 키 상태와 함께 동시에 작동되지 않는 기회를 감소시켜 더 작은 패킷을 수행할 수 있도록 사용될 수 있는 것이다.
In general, in accordance with aspects of the present invention, the signature server can be modified to allow developers to plug-in 'smart' services, which have knowledge of the activation key, which is what algorithms are used on the context basis of the signature request. You may have knowledge, such as cognition or whether it contains this information at all. This is desirable for certain contexts, where it means that the client persists as 'dumb' as possible. This can be used, for example, to reduce the chance of a client operating on information that has already elapsed over time, or the opportunity not to operate at the same time with a key state, to perform smaller packets.

이미 언급한 바와 같이 본 발명의 서명 서버 방법과 장치는 커다란 DNS 어레이 및 다른 서명 서비스와 양립할 수 있도록 적용성을 지닌 것이다. 예를 들면 네트워크 접근, 변형, 서명 서버, 다양한 원격 서명 프로토콜 및 변형의 제공에 의해 수행될 수 있도록 지지되는 것이다. 하나의 제한되지 않는 실시예는 '인라인 서명' 정렬을 포함하여 지지되고 이는 본 명세서 내의 DNSSEC 서명 기능을 위해 사용되는 것으로 그 상세는 도 11에 나타난 바와 같다. 도 11에 나타난 바와 같이 예를 들면 레지스트란트, 레지스트라 또는 DNS 제공자와 같은 요청자(1000)는 레지스트리 프로비져닝 시스템(1100)과 커뮤니케이션할 수 있다. 요청자(1000)는 존재 또는 새로운 도메인에 관련된 명령어를 통신할 수 있다. 예를 들면 요청자(1000)는 레지스트리에 의해 관리되는 TLD(예를 들면 .com)하에 도메인을 위한 DNS 데이터와 같은 레지스트리에 의해 관리되는 DNS 데이터 변경을 위한 명령어를 커뮤니케이션 할 수 있다. 레지스트리 프로비져닝 시스템(1100)은 예를 들면 추가, 변형 또는 삭제 명령어와 같은 변경 명령어를 수행하기 위한 요청자(1000)로부터 도메인 명령어를 다양한 방법으로 처리할 수 있고 또한 적절한 키의 확인, 디지털 서명의 적용, 레지스트리 데이터베이스(1200) 위에 DNS 및 DNSSEC 변경의 지속을 확인하는 것과 같은 DNS 데이터 변경을 확인할 수 있는 것이다.
As already mentioned, the signature server method and apparatus of the present invention is adaptable to be compatible with large DNS arrays and other signing services. It is supported to be performed by, for example, providing network access, modifications, signature servers, various remote signature protocols and modifications. One non-limiting embodiment is supported, including 'inline signature' alignment, which is used for the DNSSEC signature function in this specification, the details of which are shown in FIG. As shown in FIG. 11, the requestor 1000, such as, for example, a registrar, registrar or DNS provider, may communicate with the registry provisioning system 1100. The requestor 1000 may communicate instructions relating to an existing or new domain. For example, the requestor 1000 may communicate instructions for changing DNS data managed by the registry, such as DNS data for a domain, under a TLD (eg, .com) managed by the registry. The registry provisioning system 1100 may process domain commands from the requestor 1000 to perform change commands, such as add, modify, or delete commands, for example, in various ways, and may also verify appropriate keys, apply digital signatures, DNS data changes, such as checking the persistence of DNS and DNSSEC changes, can be seen on the registry database 1200.

레지스트리 프로비져닝 시스템(1100)에 의해 레지스트리 데이터베이스(1200)에 제공되는 데이터는 도메인과 서명된 DNSSEC 데이터를 위한 DNS 정보를 포함할 수 있다. 본 발명의 실시태양에서 예시적인 서명 서버는 예를 들면 단일 트랜스액션으로 DNS 변경과 DNSSEC 변경을 수행할 수 있는 것으로 지지될 수 있다.
The data provided by the registry provisioning system 1100 to the registry database 1200 may include DNS information for the domain and signed DNSSEC data. In an embodiment of the present invention, an exemplary signature server may be supported, for example, capable of performing DNS changes and DNSSEC changes in a single transaction.

상기한 바와 같이 DNSSEC 서명은 트랜스액션과 동시 인라인 상으로 서명 서버에 의해 수행된다. 별개의 서비스를 레지스트리 데이터베이스 내에서 트랜스액션으로 수행하기 위해 사용될 수 있고 이는 DNS 서버에 점증적으로 적용할 수 있다.
As mentioned above, DNSSEC signing is performed by the signing server inline simultaneously with the transaction. A separate service can be used to perform transactions within the registry database, which can be incrementally applied to DNS servers.

도메인 레지스트리의 도메인 명령어를 포함하는 DNSSEC 인라인 서명은 최고로 데이터의 순수성을 유지시키기 위한 장점을 제공하는 것으로 예를 들면 레지스트리 데이터베이스는 항상 DNS 내에서 공표하는 것을 위한 권한있는 서버를 나타내는 것으로 확신시킬 수 있다.
DNSSEC inline signatures, including domain instructions in the domain registry, provide the best advantage of maintaining data purity, for example, to ensure that the registry database always represents an authoritative server for publishing in DNS.

DNSSEC 인라인 서명의 수행 방법의 하나로 활용 가능한 네트워크 클러스터와 고성능 서명 서버는 도 1 및 도 2에 나타난 바와 같으며 DNSSEC 정보의 서명에 제공될 수 있다. 이는 매우 큰 TLD의 컨텍스트 내에서도 효과적임을 확인할 수 있으며 도메인 레지스트리 응답 시간 SLA를 지속시킬 수 있을 뿐만 아니라 매우 높은 수준의 순수성으로 DNS 공표 SLA를 유지할 수 있고 이는 디지털 서명을 요구하는 클라이언트로부터 1,000개 이상을 동시에 연결하여 서비스 할 수 있는 것이다.
A network cluster and a high performance signature server that can be utilized as one of DNSSEC inline signing methods are shown in FIGS. 1 and 2 and may be provided for signing DNSSEC information. It can be found to be effective even within the context of very large TLDs, and can not only sustain domain registry response time SLAs, but also maintain DNS publishing SLAs with a very high level of purity, which can simultaneously hold more than 1,000 from clients requiring digital signatures. It can be connected and serviced.

본 발명의 실시태양에서 요구되는 컴퓨터 기기는 본 발명에 설명된 방법을 수행하기 위한 인스트럭션을 컴퓨터 판독 저장 매체에 코드화할 수 있을 뿐만 아니라 수행할 수 있는 시스템 기기이다. 예를 들면 도 12에 나타난 바와 같이 프로세서, 메모리 및 전자 통신 기기를 포함하는 서버(600, 610 및/또는 620)를 지닌 서버 시스템으로 본 명세서에 나타난 요청을 수행, 수령, 확인, 응답할 수 있는 기능을 지닌 것으로 인터넷과 같은 네트워크(605)시스템을 포함하는 것이다. 600, 610 및/또는 620의 어느 서버도 본 명세서에 설명된 인터넷 호스팅 제공자, 레지스트라 및/또는 레지스트리에 의해 작동가능하며 이는 어느 웹 기기(630)에 의해 일반적으로 나타나는 리커시브 DNS 서버와 함께 교신할 수 있는 것이다. 본 명세서에 나타난 바와 같이 리커시브 서버(630)는 서버(600, 610 및 620)를 작동시킬 수 있는 호스팅 제공자, 레지스트라 및/또는 레지스트리의 도메인 관련 DNS 데이터를 캐시할 수 있는 것이다.
A computer device required in an embodiment of the present invention is a system device capable of performing as well as performing instructions for performing the method described in the present invention in a computer readable storage medium. For example, a server system having servers 600, 610, and / or 620, including a processor, memory, and electronic communication device, as shown in FIG. 12, may perform, receive, confirm, and respond to the requests shown herein. It has a function of including a network 605 system such as the Internet. Any server of 600, 610, and / or 620 can be operated by the Internet hosting providers, registrars and / or registries described herein, which will communicate with the recursive DNS servers typically represented by any web device 630. It can be. As shown herein, the recursive server 630 is capable of caching domain related DNS data of hosting providers, registrars, and / or registries capable of operating the servers 600, 610, and 620.

예를 들면 레지스트라, DNS 서비스 제공자 또는 레지스트란트로부터 유래하는 도메인 DNS 데이터 업데이트를 위한 요청은 본 시스템을 통해 작동되고 이러한 시스템은 컴퓨터(611, 612), 모바일 디바이스(614), 피코셀 네트워크 디바이스(615), 모바일 컴퓨터(616) 또는 다른 상기 기능을 유지하며 네트워크에 접속할 수 있는 기능을 지닌 기기와 함께 무선으로 통신할 수 있는 것이 바람직하다.
For example, requests for updating domain DNS data originating from a registrar, DNS service provider or registrant may be operated via the system, which may be a computer (611, 612), mobile device (614), picocell network device ( 615, mobile computer 616 or other device that maintains the above functionality and has the capability to connect to the network is preferably capable of wireless communication.

다양한 커뮤니케이션, 전송 및 이와 관련된 기능은 예를 들면 네트워크(605)를 통해 성취될 수 있으며 서버(600, 610 및 620)와 같은 서버 시스템에 의해 수행된 결과를 공지된 기법으로 디스플레이, 저장 및/또는 분배할 수 있다. 네트워크(605)는 유선, 무선, 위성, 광학 및/또는 다른 유사한 커뮤니케이션 수단을 포함하는 다수의 커뮤니케이션 요소를 포함한다.
Various communications, transmissions, and related functions may be accomplished through, for example, the network 605 and display, store, and / or display, in known techniques, the results performed by server systems such as servers 600, 610, and 620. Can be distributed. Network 605 includes a number of communication elements including wired, wireless, satellite, optical and / or other similar means of communication.

서버(600, 610 및 620)와 컴퓨터(611, 612)는 다수의 프로세서를 포함하고 이는 첫 번째 저장 장치(도시하지 않았으나 'RAM' 또는 랜덤억세스메모리형), 두 번째 저장 장치(도시하지 않았으나 'ROM' 또는 리드온리메모리형) 등과 같이 커플링된 저장 장치를 들 수 있다. 이들 기기 등은 모두 컴퓨터 판독 매체에 적합한 형태이고 플래시 드라이브, 하드 디스크, 플로피 디스크, 마그네틱 테이프, CD-ROM 디스크와 같은 광학 미디어 또는 자기-광학 미디어와 같은 일시적이지 않은 저장장치를 포함할 수 있다. 대량 저장 기기가 프로그램을 저장하기 위해 사용될 수 있으며 첫 번째 저장장치보다 늦은 하드디스크와 같은 두 번째 저장 매체에 일반적으로 데이터가 저장될 수 있다. 대량 저장 장치에 저장되어있는 정보는 적절한 경우에 가상 메모리로서 첫 번째 저장장치의 일부에 표준 방법으로 통합될 수 있다. CD-ROM과 같은 특정 대량 저장기기는 프로세서에 직접적으로 데이터를 통과시킨다.
The servers 600, 610, and 620 and the computers 611, 612 include a plurality of processors, the first storage device (not shown but 'RAM' or random access memory type), the second storage device (not shown) ROM 'or read-only memory type). These devices and the like are all suitable forms for computer readable media and may include non-transitory storage devices such as optical or magneto-optical media such as flash drives, hard disks, floppy disks, magnetic tapes, CD-ROM disks. Mass storage devices can be used to store programs and data can generally be stored on a second storage medium, such as a hard disk, later than the first storage device. The information stored in the mass storage device may be incorporated in a standard way into a portion of the first storage device as virtual memory where appropriate. Certain mass storage devices, such as CD-ROMs, pass data directly to the processor.

서버(600, 610 및 620)와 컴퓨터(611, 612)는 예를 들면 비디오 모니터, 트랙 볼, 마우스, 키보드, 마이크로폰, 터치스크린 디스플레이, 트랜스듀서 카드 판독기, 자기 또는 페이퍼 테이프 레코더, 타블렛, 스타일러스, 음성 또는 필기 인식기 또는 다른 입력 기기 등과 같은 입력/출력 기기를 하나 또는 둘 이상 포함하는 인터페이스를 포함할 수 있다. 서버(600, 610 및 620) 및 컴퓨터(611,612)는 컴퓨터 또는 네트워크 연결을 통한 다른 전자 커뮤니케이션 네트워크(605)에 커플링될 수 있다. 네트워크(605)는 다양한 무선, 광학, 전자 및 다른 네트워크를 통해 연결되어 서버(600, 610 및 620), 컴퓨터(611,612), 개별 서버(613), 모바일 장치(614), 피코셀 네트워크 디바이스(615), 모바일 컴퓨터(616), 리커시브 서버(630) 및 이와 유사한 기능을 지닌 다른 기기간의 정보를 교환할 수 있는 것이다. 이와 같은 네트워크 연결을 통해 서버(600, 610 및 620), 컴퓨터(611, 612) 및 프로세서를 통해 네트워크(605)로부터 정보를 수령할 수 있고 네트워크(605)로 정보를 전송할 수 있으며 이에 따라 본 발명의 단계를 수행하는 것이다. 상기 기술한 기기와 물질 등은 컴퓨터 하드웨어 및 소프트웨어에 통상의 지식을 지닌 가진 자에게 충분히 이해될 수 있는 것이며 당업자에게는 개별적으로 설명할 필요는 없는 것이다. 본 명세서 내에 개시된 하드웨어 엘레먼트는 본 명세서 내에 기술된 작업을 수행하기 위해 하나 또는 그 이상의 모듈이 변형될 수 있다.
Servers 600, 610, and 620 and computers 611, 612 are for example video monitors, trackballs, mice, keyboards, microphones, touchscreen displays, transducer card readers, magnetic or paper tape recorders, tablets, stylus, It may include an interface including one or more input / output devices, such as a voice or handwriting recognizer or other input device. Servers 600, 610, and 620 and computers 611, 612 may be coupled to another electronic communication network 605 via a computer or network connection. The network 605 is connected through various wireless, optical, electronic, and other networks such as servers 600, 610, and 620, computers 611, 612, individual servers 613, mobile devices 614, picocell network devices 615. ), The mobile computer 616, the recursive server 630, and other devices having similar functions. Through such a network connection, information may be received from the network 605 and transmitted to the network 605 through the servers 600, 610 and 620, the computers 611 and 612, and the processor, and thus the present invention. Is to follow the steps. The above described devices, materials and the like can be sufficiently understood by those skilled in computer hardware and software, and need not be individually described to those skilled in the art. The hardware elements disclosed herein may be modified with one or more modules to perform the tasks described herein.

덧붙여 본 발명의 실시태양은 본 명세서 내에 기재된 다양한 컴퓨터 수행 작업을 수행하기 위한 프로그램 인스트럭션을 포함하는 것으로 컴퓨터-판독 저장 매체를 더욱 포함할 수 있다. 매체는 프로그램 인스트럭션, 데이터 파일, 데이터 스트럭쳐, 테이블 등을 단독 또는 조합하는 것을 포함할 수 있다. 매체와 프로그램 인스트럭션은 본 발명의 청구범위에 비추어 더욱 상세히 설계되고 구조화될 수 있다. 또한 이들은 컴퓨터 분야의 당업자가 소프트웨어를 활용하여 사용할 수 있는 것이다. 자기 매체를 포함하는 컴퓨터 판독 매체로는 플래시 드라이브, 하드 디스크, 플로피 디스크, 자성 테이프; CD-ROM 디스크와 같은 광학 매체; 자기-광학 매체; 본 발명의 프로그램 인스트럭션을 저장하고 수행하기 위해 특별히 변형된 하드웨어 기기, 예를 들면 리드온리메모리(ROM) 기기 및 랜덤억세스메모리(RAM) 기기 등을 들 수 있다. 프로그램 인스트럭션으로는 컴파일러에 의해 생성되는 머신 코드와 해독자를 통해 컴퓨터에 의해 수행될 수 있는 더 높은 레벨 코드를 포함하는 파일을 들 수 있다.
In addition, embodiments of the present invention may further include a computer-readable storage medium that includes program instructions for performing various computer-implemented tasks described herein. The media may include singly or in combination with program instructions, data files, data structures, tables, and the like. The media and program instructions may be designed and structured in greater detail in light of the claims of the present invention. They can also be used by those skilled in the computer art using software. Computer-readable media including magnetic media include flash drives, hard disks, floppy disks, magnetic tape; Optical media such as CD-ROM disks; Magneto-optical media; Hardware devices specially modified to store and execute the program instructions of the present invention include, for example, read only memory (ROM) devices and random access memory (RAM) devices. Program instructions include files that contain machine code generated by the compiler and higher level code that can be executed by the computer through the interpreter.

상기한 설명은 단지 예시적인 것이고 본 발명의 모든 가능한 실시태양, 적용, 변형이 가능하다. 따라서 본 발명의 방법 및 시스템에 기재된 다양한 변형, 변화는 본 발명의 범위와 정신을 벗어나지 않는 한 당업자에게 명백할 것이다. 비록 본 발명을 특정 실시태양에 관련하여 설명하였다 하더라도 본 발명은 청구범위에 의해 이해되는 것으로 본 특정 실시태양에 한정되는 것은 아니다.The foregoing descriptions are merely exemplary and all possible embodiments, applications, and variations of the present invention are possible. Accordingly, various modifications and changes described in the methods and systems of the present invention will be apparent to those skilled in the art without departing from the scope and spirit of the present invention. Although the invention has been described in connection with specific embodiments, the invention is not to be limited to the specific embodiments as understood by the claims.

Claims (32)

ⅰ) 프로세서; 및
ⅱ) 컴퓨터 판독 코드를 포함하는 저장 기기;
로 이루어진 적어도 하나의 DNSSEC 클라이언트 어플리케이션과 다수의 디지털 서명 모듈간의 상호작용을 위해 변형된 DNSSEC 서명 서버에 있어서,
상기 서버는 프로세스에 의해 수행될 때 권한있는 서버로 작동되고
ⅰ) 첫 번째 데이터에 서명하기 위한 적어도 하나의 클라이언트 어플리케이션으로부터 서명 요청을 수신하는 기능;
ⅱ) 첫 번째 데이터를 위해 활성 KSK 및 활성 ZSK의 적어도 하나를 결정하는 기능;
ⅲ) 첫 번째 데이터를 다수의 디지털 서명 모듈의 하나에 전송하는 기능;
ⅳ) 디지털 서명 모듈로부터 첫 번째 데이터의 디지털 서명 버전을 수신하는 기능; 및
ⅴ) 클라이언트 어플리케이션에 서명된 첫 번째 데이터를 제공하는 기능;
을 지님을 특징으로 하는 DNSSEC 서명 서버.
Iii) a processor; And
Ii) a storage device comprising computer readable code;
In the modified DNSSEC signature server for interaction between at least one DNSSEC client application and a plurality of digital signature modules,
The server acts as an authoritative server when run by a process
Iii) receiving a signature request from at least one client application for signing first data;
Ii) determining at least one of an active KSK and an active ZSK for the first data;
Iii) sending the first data to one of the plurality of digital signature modules;
Iii) receiving a digital signature version of the first data from the digital signature module; And
Iii) providing the first data signed to the client application;
DNSSEC signing server, characterized by.
제 1항에 있어서, 상기 서명 서버는
ⅰ) 두 번째 데이터의 서명 요청을 동일한 서명 요청의 일부로 수신하는 기능;
ⅱ) 두 번째 데이터를 위해 적어도 하나의 활성 KSK 및 활성 ZSK를 결정하고 첫 번째 데이터를 위한 적어도 하나의 활성 KSK 및/또는 활성 ZSK와 무엇이 다른지를 결정하는 기능;
ⅲ) 두 번째 데이터를 다수의 디지털 서명 모듈의 하나에 전송하는 기능;
ⅳ) 디지털 서명 모듈로부터 두 번째 데이터의 디지털 서명 버전을 수신하는 기능; 및
ⅴ) 클라이언트 어플리케이션에 서명된 두 번째 데이터를 제공하는 기능;
을 지닐 수 있도록 더욱 변형됨을 특징으로 하는 서명 서버.
The method of claim 1, wherein the signature server
Iii) receiving a signature request of the second data as part of the same signature request;
Ii) determining at least one active KSK and active ZSK for the second data and determining what is different from the at least one active KSK and / or active ZSK for the first data;
Iii) sending second data to one of the plurality of digital signature modules;
Iii) receiving a digital signature version of the second data from the digital signature module; And
Iii) providing the second data signed to the client application;
The signature server further modified to have a signature server.
제 1항에 있어서, 상기 첫 번째 데이터는 DNS 데이터를 포함하고 디지털 서명 모듈은 전체 존의 서명없이 DNSSEC 프로토콜에 따른 DNS 데이터의 특정 부분으로 서명될 수 있도록 변형됨을 특징으로 하는 서명 서버.
2. The signature server of claim 1, wherein the first data includes DNS data and the digital signature module is adapted to be signed with a particular portion of DNS data according to the DNSSEC protocol without signature of the entire zone.
제 3항에 있어서, 상기 서명 서버는 추가적 비-DNSSEC 디지털 서명 기능을 제공할 수 있도록 더욱 변형됨을 특징으로 하는 서명 서버.
4. The signature server of claim 3, wherein the signature server is further modified to provide additional non-DNSSEC digital signature functionality.
제 1항에 있어서, 상기 서명 서버는
ⅰ) 다수의 서명 요청을 단일 요청 패킷의 일부로 수신하는 기능; 및
ⅱ) 적어도 하나의 서로 다른 활성 KSK, 활성 ZSK 및 서로 다른 서명 프로토콜을 지닌 서로 다른 서명 요청을 확인할 수 있는 요청 패킷을 분석하는 기능;
을 지니도록 더욱 변형됨을 특징으로 하는 서명 서버.
The method of claim 1, wherein the signature server
Iii) receiving multiple signature requests as part of a single request packet; And
Ii) analyzing a request packet capable of identifying different signature requests having at least one different active KSK, an active ZSK and a different signature protocol;
And further modified to have a signature server.
제 1항에 있어서, 상기 적어도 하나의 활성 KSK와 활성 ZSK는 서명 요청 내에 포함된 TLD 표시자에 근거하여 결정됨을 특징으로 하는 서명 서버.
The signature server of claim 1, wherein the at least one active KSK and the active ZSK are determined based on a TLD indicator included in a signature request.
제 6항에 있어서, 상기 서명 서버는 서명 요청 내에 포함되어 있는 서비스 형 표시자(identifier)에 의해 다수의 서로 다른 디지털 서명 기능으로부터 요청된 서명 기능을 구별하고, 서비스 형 표시자에 근거하여 비-DNSSEC 디지털 서명 모듈에 비-DNSSEC 서명 요청을 라우팅할 수 있도록 더욱 변형됨을 특징으로 하는 서명 서버.
7. The method of claim 6, wherein the signature server distinguishes the requested signature function from a plurality of different digital signature functions by means of a service type identifier included in a signature request and based on the non-service type indicator. A signature server further modified to route non-DNSSEC signing requests to the DNSSEC digital signature module.
제 1항에 있어서, 상기 각각의 디지털 서명 모듈은 물리적으로 서명 서버의 프로세서로부터 분리되어있고 서명 서버에 의해 제공된 데이터를 디지털 서명화 할 수 있도록 변형된 하드웨어 시큐리티 모듈(HSM)을 포함함을 특징으로 하는 서명 서버.
2. The digital signature module of claim 1, wherein each digital signature module includes a hardware security module (HSM) that is physically separate from the processor of the signature server and modified to digitally sign data provided by the signature server. Signing server.
제 8항에 있어서, 상기 HSM은 앨리어스(alias) 표식자에 의해 확인되는 다수의 키를 포함하고, 상기 서명 서버는 적어도 하나의 KSK와 ZSK를 디지털 서명 모듈에 통과시키지 않고 디지털 서명 모듈에 DNS 데이터를 위한 적어도 하나의 KSK와 ZSK를 위한 앨리어스 표식자를 통과시킬 수 있도록 더욱 변형됨을 특징으로 하는 서명 서버.
9. The HSM of claim 8, wherein the HSM includes a plurality of keys identified by an alias marker, and the signature server sends DNS data to the digital signature module without passing at least one KSK and ZSK to the digital signature module. And further modified to pass at least one KSK for and an alias marker for ZSK.
제 9항에 있어서, 상기 서명 서버는 활성 KSK 또는 ZSK의 데이터베이스를 주기적으로 체크하고 데이터베이스로부터 수신된 정보에 근거하여 일정 기간동안 어느 앨리어스 표식자가 활성을 지녔는지를 결정하며, 디지털 서명 모듈에 통과되는 상기 앨리어스 표식자는 활성 앨리어스 표식자임을 특징으로 하는 서명 서버.
10. The system of claim 9, wherein the signature server periodically checks a database of active KSKs or ZSKs and determines which alias markers have been active for a period of time based on information received from the database, passing the digital signature module. Signature server, characterized in that the alias marker is an active alias marker.
제 9항에 있어서, 상기 서버는 적어도 하나의 활성 KSK 및/또는 활성 ZSK에 근거하여 첫 번째 데이터를 전송하기 위한 특정 HSM을 확인하기 위해 더욱 변형됨을 특징으로 하는 서명 서버.
10. The signature server of claim 9, wherein the server is further modified to identify a specific HSM for transmitting first data based on at least one active KSK and / or active ZSK.
제 1항에 있어서, 상기 서명 서버는 서로 다른 최고 수준 도메인(Top Level Domain) 하에 도메인에 관한 요청을 처리하기 위해 더욱 변형됨을 특징으로 하는 서명 서버.
2. The signature server of claim 1, wherein the signature server is further modified to handle requests for domains under different top level domains.
제 1항에 있어서, 상기 서명 서버는 다수의 레지스트라에 의해 관리되는 적어도 두 개의 도메인에 관한 요청을 처리하기 위해 더욱 변형됨을 특징으로 하는 서명 서버.
The signature server of claim 1, wherein the signature server is further modified to handle requests regarding at least two domains managed by multiple registrars.
제 1항에 있어서, 클라이언트와 서명 서버간의 커뮤니케이션은 양방향 SSL을 통해 수행됨을 특징으로 하는 서명 서버.
2. The signature server of claim 1, wherein the communication between the client and the signature server is performed via bidirectional SSL.
제 1항에 있어서, 상기 서명 서버는
ⅰ) 첫 번째 데이터를 위한 적어도 하나의 활성 키 및/또는 활성 알고리즘을 결정하는 기능;
ⅱ) 디지털 서명 모듈에 적어도 하나의 활성 키 및/또는 활성 알고리즘을 위한 표식자를 전송하는 기능;
ⅲ) 디지털 서명 모듈로부터 첫 번째 데이터의 다수의 디지털 서명 본(version)을 수신하는 기능; 및
ⅳ) 클라이언트 어플리케이션에 첫 번째 데이터의 다수의 디지털 서명 본을 제공하는 기능;
을 수행할 수 있도록 변형됨을 특징으로 하는 서명 서버.
The method of claim 1, wherein the signature server
Iii) determining at least one activation key and / or activation algorithm for the first data;
Ii) sending an indicator for at least one activation key and / or activation algorithm to the digital signature module;
Iii) receiving a plurality of digital signature versions of the first data from the digital signature module; And
Iii) providing the client application with multiple digital signatures of the first data;
A signature server, characterized in that it is modified to perform.
제 1항에 있어서, 상기 디지털 서명 모듈은 첫 번째 데이터의 수신에 응답하여 데이터베이스로부터 첫 번째 데이터를 위한 활성 KSK 및 활성 ZSK의 적어도 하나를 역동적으로 로딩함을 특징으로 하는 서명 서버.
The signature server of claim 1, wherein the digital signature module dynamically loads at least one of an active KSK and an active ZSK for the first data from a database in response to receiving the first data.
적어도 하나의 DNSSEC 클라이언트 어플리케이션과 다수의 디지털 서명 모듈간의 상호작용을 위해 변형된 DNSSEC 서명 서버에 의해 DNS 정보를 암호화하는 방법에 있어서,
상기 방법은
ⅰ) 첫 번째 데이터에 서명하기 위한 적어도 하나의 클라이언트 어플리케이션으로부터 서명 요청을 수신하는 단계;
ⅱ) 첫 번째 데이터를 위해 활성 KSK 및 활성 ZSK의 적어도 하나를 결정하는 단계;
ⅲ) 첫 번째 데이터를 다수의 디지털 서명 모듈의 하나에 전송하는 단계;
ⅳ) 디지털 서명 모듈로부터 첫 번째 데이터의 디지털 서명 버전을 수신하는 단계; 및
ⅴ) 클라이언트 어플리케이션에 서명된 첫 번째 데이터를 제공하는 단계;
로 이루어짐을 특징으로 하는 DNS 정보의 암호화 방법.
A method of encrypting DNS information by a modified DNSSEC signature server for interaction between at least one DNSSEC client application and multiple digital signature modules, the method comprising:
The method
Iii) receiving a signature request from at least one client application for signing the first data;
Ii) determining at least one of an active KSK and an active ZSK for the first data;
Iii) transmitting the first data to one of the plurality of digital signature modules;
Iii) receiving a digital signature version of the first data from the digital signature module; And
Iii) providing first signed data to the client application;
Encryption method of DNS information, characterized in that consisting of.
제 17항에 있어서, 상기 방법은
ⅰ) 두 번째 데이터의 서명 요청을 동일한 서명 요청의 일부로 수신하는 단계;
ⅱ) 두 번째 데이터를 위해 적어도 하나의 활성 KSK 및 활성 ZSK를 결정하고 첫 번째 데이터를 위한 적어도 하나의 활성 KSK 및/또는 활성 ZSK와 무엇이 다른지를 결정하는 단계;
ⅲ) 두 번째 데이터를 다수의 디지털 서명 모듈의 하나에 전송하는 단계;
ⅳ) 디지털 서명 모듈로부터 두 번째 데이터의 디지털 서명 버전을 수신하는 단계; 및
ⅴ) 클라이언트 어플리케이션에 서명된 두 번째 데이터를 제공하는 단계;
를 더욱 포함함을 특징으로 하는 암호화 방법.
18. The method of claim 17, wherein the method is
Iii) receiving a signature request of the second data as part of the same signature request;
Ii) determining at least one active KSK and active ZSK for the second data and determining what is different from the at least one active KSK and / or active ZSK for the first data;
Iii) sending second data to one of the plurality of digital signature modules;
Iii) receiving a digital signature version of the second data from the digital signature module; And
Iii) providing signed second data to the client application;
Encryption method characterized in that it further comprises.

제 17항에 있어서, 상기 첫 번째 데이터는 DNS 데이터를 포함하고 디지털 서명 모듈은 전체 존의 서명 없이 DNSSEC 프로토콜에 따른 DNS 데이터의 특정 부분으로 서명될 수 있도록 변형됨을 특징으로 하는 암호화 방법.

18. The method of claim 17, wherein the first data includes DNS data and the digital signature module is modified to be signed with a particular portion of DNS data according to the DNSSEC protocol without signing the entire zone.
제 19항에 있어서, 상기 서명 서버는 추가적 비-DNSSEC 디지털 서명 기능을 제공할 수 있도록 더욱 변형됨을 특징으로 하는 암호화 방법.
20. The method of claim 19, wherein the signature server is further modified to provide additional non-DNSSEC digital signature functionality.
제 17항에 있어서, 상기 방법은 다수의 서명 요청을 단일 요청 패킷의 일부로 수신하는 단계를 지니고, 적어도 하나의 서로 다른 활성 KSK, 활성 ZSK 및 서로 다른 서명 프로토콜을 지닌 서로 다른 서명 요청을 확인할 수 있는 요청 패킷을 분석하는 단계를 더욱 포함함을 특징으로 하는 암호화 방법.
18. The method of claim 17, wherein the method comprises receiving multiple signing requests as part of a single request packet, wherein the method is capable of identifying different signing requests with at least one different active KSK, an active ZSK, and a different signature protocol. Encrypting the request packet.
제 17항에 있어서, 상기 적어도 하나의 활성 KSK와 활성 ZSK는 서명 요청 내에 포함된 TLD 표시자에 근거하여 결정됨을 특징으로 하는 암호화 방법.
18. The method of claim 17, wherein the at least one active KSK and the active ZSK are determined based on a TLD indicator included in a signature request.
제 22항에 있어서, 상기 방법은 서명 요청 내에 포함되어 있는 서비스 형 표시자(identifier)에 의해 다수의 서로 다른 디지털 서명 기능으로부터 요청된 서명 기능을 구별하는 단계와 서비스 형 표시자에 근거하여 비-DNSSEC 디지털 서명 모듈에 비-DNSSEC 서명 요청을 라우팅하는 단계를 더욱 포함함을 특징으로 하는 암호화 방법.
23. The method of claim 22, wherein the method distinguishes a requested signature function from a plurality of different digital signature functions by means of a service type identifier included in a signature request and based on the service type indicator. And routing the non-DNSSEC signature request to the DNSSEC digital signature module.
제 17항에 있어서, 상기 각각의 디지털 서명 모듈은 물리적으로 서명 서버의 프로세서로부터 분리되어있고 서명 서버에 의해 제공된 데이터를 디지털 서명화 할 수 있도록 변형된 하드웨어 시큐리티 모듈(HSM)을 포함함을 특징으로 하는 암호화 방법.
18. The system of claim 17, wherein each digital signature module comprises a hardware security module (HSM) that is physically separate from the processor of the signature server and modified to digitally sign data provided by the signature server. Encryption method.
제 24항에 있어서, 상기 HSM은 앨리어스(alias) 표식자에 의해 확인되는 다수의 키를 포함하고, 상기 방법은 적어도 하나의 KSK와 ZSK를 디지털 서명 모듈에 통과시키지 않고 디지털 서명 모듈에 DNS 데이터를 위한 적어도 하나의 KSK와 ZSK를 위한 앨리어스 표식자를 통과시키는 단계를 더욱 포함함을 특징으로 하는 암호화 방법.
25. The method of claim 24, wherein the HSM includes a plurality of keys identified by alias markers, the method for DNS data in a digital signature module without passing at least one KSK and ZSK through the digital signature module. And passing the alias markers for at least one KSK and ZSK.
제 25항에 있어서, 상기 방법은 활성 KSK 또는 ZSK의 데이터베이스를 주기적으로 체크하고 데이터베이스로부터 수신된 정보에 근거하여 일정 기간동안 어느 앨리어스 표식자가 활성을 지녔는지를 결정하는 단계를 더욱 포함하고, 디지털 서명 모듈에 통과되는 상기 앨리어스 표식자는 활성 앨리어스 표식자임을 특징으로 하는 암호화 방법.
27. The digital signature module of claim 25, further comprising periodically checking a database of active KSKs or ZSKs and determining which alias markers have been active for a period of time based on information received from the database. And wherein the alias marker passed in is an active alias marker.
제 25항에 있어서, 상기 방법은 적어도 하나의 활성 KSK 및/또는 활성 ZSK에 근거하여 첫 번째 데이터를 전송하기 위한 특정 HSM을 확인하는 단계를 더욱 포함함을 특징으로 하는 암호화 방법.
27. The method of claim 25, wherein the method further comprises identifying a particular HSM for transmitting the first data based on at least one active KSK and / or active ZSK.
제 17항에 있어서, 상기 방법은 서로 다른 최고 수준 도메인(Top Level Domain) 하에 도메인에 관한 요청을 처리하는 단계를 더욱 포함함을 특징으로 하는 암호화 방법.
18. The method of claim 17, further comprising processing requests for domains under different Top Level Domains.
제 17항에 있어서, 상기 방법은 다수의 레지스트라에 의해 관리되는 적어도 두 개의 도메인에 관한 요청을 처리하는 단계를 더욱 포함함을 특징으로 하는 암호화 방법.
18. The method of claim 17, further comprising processing a request for at least two domains managed by a plurality of registrars.
제 17항에 있어서, 클라이언트와 서명 서버간의 커뮤니케이션은 양방향 SSL을 통해 수행됨을 특징으로 하는 암호화 방법.
18. The method of claim 17, wherein communication between the client and the signing server is performed via two-way SSL.
제 17항에 있어서, 상기 방법은
ⅰ) 첫 번째 데이터를 위한 적어도 하나의 활성 키 및/또는 활성 알고리즘을 결정하는 단계;
ⅱ) 디지털 서명 모듈에 적어도 하나의 활성 키 및/또는 활성 알고리즘을 위한 표식자를 전송하는 단계;
ⅲ) 디지털 서명 모듈로부터 첫 번째 데이터의 다수의 디지털 서명 본(version)을 수신하는 단계; 및
ⅳ) 클라이언트 어플리케이션에 첫 번째 데이터의 다수의 디지털 서명 본을 제공하는 단계;
를 더욱 포함함을 특징으로 하는 암호화 방법.
18. The method of claim 17, wherein the method is
Iii) determining at least one activation key and / or activation algorithm for the first data;
Ii) sending an indicator for at least one activation key and / or activation algorithm to the digital signature module;
Iii) receiving a plurality of digital signature versions of the first data from the digital signature module; And
Iii) providing a plurality of digital signature copies of the first data to the client application;
Encryption method characterized in that it further comprises.
제 17항에 있어서, 상기 방법은 첫 번째 데이터의 수신에 응답하여 데이터베이스로부터 첫 번째 데이터를 위한 활성 KSK 및 활성 ZSK의 적어도 하나를 역동적으로 로딩하는 단계를 더욱 포함함을 특징으로 하는 암호화 방법.18. The method of claim 17, wherein the method further comprises dynamically loading at least one of an active KSK and an active ZSK for the first data from the database in response to receiving the first data.
KR1020120046220A 2011-05-02 2012-05-02 DNSSEC signing server KR20120124044A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US13/098,940 2011-05-02
KR1020120046220A KR20120124044A (en) 2011-05-02 2012-05-02 DNSSEC signing server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120046220A KR20120124044A (en) 2011-05-02 2012-05-02 DNSSEC signing server

Publications (1)

Publication Number Publication Date
KR20120124044A true KR20120124044A (en) 2012-11-12

Family

ID=47509550

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120046220A KR20120124044A (en) 2011-05-02 2012-05-02 DNSSEC signing server

Country Status (1)

Country Link
KR (1) KR20120124044A (en)

Similar Documents

Publication Publication Date Title
US10158620B2 (en) DNSSEC signing server
EP2518970B1 (en) Dnssec inline signing
US6961783B1 (en) DNS server access control system and method
Ariyapperuma et al. Security vulnerabilities in DNS and DNSSEC
US20120254386A1 (en) Transfer of DNSSEC Domains
US20060143442A1 (en) Automated issuance of SSL certificates
GB2384404A (en) Key management
US9258293B1 (en) Safe and secure access to dynamic domain name systems
US9935771B2 (en) Methods and systems for bootstrapping
US8112535B2 (en) Securing a server in a dynamic addressing environment
Lioy et al. DNS security
KR20120124044A (en) DNSSEC signing server
Conrad Towards improving DNS security, stability, and resiliency
US11297033B2 (en) System and method for generating current live and test versions of DNS data for HSM changes
Gieben Chain of trust
KR20120122979A (en) DNSSEC inline signing
JP2012199607A (en) Dnssec proxy device
Murisa Deploying DNSSEC in Islands of Security
Agar The domain name system (DNS): Security challenges and improvements
Drake DNS Security and Threat Mitigation: An Overview of Domain Name System Threats and Strategies for Securing a BIND Name Server
de Jong et al. Securing DNS
Cymru Incident Response Guide to the Kaminsky DNS Cache Poison Exploit

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid