欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

DNSSEC — 它是什么？為什么說(shuō)它很重要？

2008 年 10 月 9 日

若要通過(guò)互聯(lián)網(wǎng)聯(lián)系他人，就必須在計算機中鍵入一個(gè)地址（以名稱(chēng)或數字表示）。該地址必須是唯一的，這樣計算機才能確定彼此的位置。 ICANN 負責在全球范圍內協(xié)調此類(lèi)唯一標識符。如果沒(méi)有這種協(xié)調，我們就不會(huì )擁有統一的全球互聯(lián)網(wǎng)。 在鍵入名稱(chēng)時(shí)，必須首先由某個(gè)系統將該名稱(chēng)轉換為數字，然后才能建立連接。該系統稱(chēng)為域名系統 (Domain Name System, DNS) ，它將類(lèi)似于 www.icann.org 的名稱(chēng)轉換為數字，這些數字稱(chēng)為互聯(lián)網(wǎng)協(xié)議 (Internet Protocol, IP) 地址。 ICANN 對尋址系統進(jìn)行協(xié)調，以確保所有地址都是唯一的。

最近，人們在 DNS 中發(fā)現了一些漏洞，攻擊者可以利用這些漏洞劫持這一使用名稱(chēng)在 互聯(lián)網(wǎng) 上搜尋某個(gè)人或某個(gè)站點(diǎn)的過(guò)程。這種攻擊的目的是取得對會(huì )話(huà)的控制以實(shí)施某種操作，例如使用戶(hù)進(jìn)入劫持者自己設立的欺騙性網(wǎng)站，以便收集用戶(hù)的帳戶(hù)和密碼。

由于這些漏洞的存在，人們越來(lái)越希望引入一種稱(chēng)為 DNS 安全擴展 (DNS Security Extensions, DNSSEC) 的技術(shù)，以保護 互聯(lián)網(wǎng) 的這一部分基礎 設施 。

下面的問(wèn)題和答案試圖說(shuō)明 DNSSEC 是什么以及為什么說(shuō)它的實(shí)施很重要。

1) 首先，什么是根區域？

DNS 將人們可以記住的域名轉換為計算機使用的數字以尋找其目的地（有點(diǎn)類(lèi)似于用來(lái)查找電話(huà)號碼的電話(huà)簿）。它分階段完成此項工作。它“查找”的第一個(gè)地方是目錄服務(wù)的頂級域，即“根區域”。以 www.google.com 為例，您的計算機將“詢(xún)問(wèn)”根區域目錄（即頂級域）到何處去查找有關(guān)“ .com ”的信息。在得到答復后，它將詢(xún)問(wèn)由根區域目錄標識的“ .com ”目錄服務(wù) 到何處查找有關(guān) .google.com （第二級）的信息，并最終詢(xún)問(wèn)由“ .com ”標識的 google.com 目錄服務(wù) www.google.com 的地址是什么（第三級）。在執行該過(guò)程以后（該過(guò)程幾乎瞬間完成），您的計算機就可以獲得完整的地址。這些目錄服務(wù)分別由不同的實(shí)體 i 進(jìn)行 管理： google.com 由 Google 管理，“ .com ”由 VeriSign Corporation 管理（其他頂級域由其他組織管理），而根區域由 ICANN 管理。 ¹

2) 為什么我們需要“對根區域進(jìn)行簽名”？

通過(guò)將最近在 DNS 中發(fā)現的漏洞與技術(shù)進(jìn)步相結合，攻擊者已經(jīng)大大縮短了劫持 DNS 查找過(guò)程的任一步驟所需的時(shí)間，從而可以更快地取得對會(huì )話(huà)的控制以實(shí)施某種惡意操作（例如，使用戶(hù)進(jìn)入劫持者自己設立的欺騙性網(wǎng)站，以便收集用戶(hù)的帳戶(hù)和密碼）。若要在長(cháng)期內消除此漏洞，唯一的解決方案是以端到端的形式部署一種稱(chēng)為 DNS 安全擴展 (DNS Security Extensions, DNSSEC) 的安全協(xié)議。

3) 什么是 DNSSEC ？

開(kāi)發(fā) DNSSEC 技術(shù)的目的之一是通過(guò)對數據進(jìn)行數字“簽名”來(lái)抵御此類(lèi)攻擊，從而使您確信數據有效。但是，為了從互聯(lián)網(wǎng)中消除該漏洞，必須在從根區域到最終域名（例如， www.icann.org ）的查找過(guò)程中的每一步部署該項技術(shù)。對根區域進(jìn)行簽名（在根區域部署 DNSSEC ）是整個(gè)過(guò)程中的 必要步驟。需要說(shuō)明的是，該技術(shù)并不對數據進(jìn)行加密。它只是驗證您所訪(fǎng)問(wèn)的站點(diǎn)地址是否有效。 ²

4) 哪些因素能夠阻止尋址鏈的所有其他部分利用 DNSSEC ？

什么因素都無(wú)法阻止。但是，像任何依賴(lài)于其他部分來(lái)發(fā)揮作用的鏈一樣，如果您不對根區域進(jìn)行簽名，就會(huì )存在重大缺陷。即，尋址鏈的某些部分可以信任，而其他部分可能無(wú)法信任。

5) 對于普通用戶(hù)而言，該技術(shù)將如何提高安全性？

完全部署 DNSSEC 可以確保最終用戶(hù)連接到與特定域名相對應的實(shí)際網(wǎng)站或其他服務(wù)。盡管這不會(huì )解決 互聯(lián)網(wǎng) 的所有安全問(wèn)題，但它確實(shí)保護了 互聯(lián)網(wǎng) 的關(guān)鍵部分（即目錄查找），從而對 SSL (https:) 等其他保護“會(huì )話(huà)”的技術(shù)進(jìn)行了補充，并且為尚待開(kāi)發(fā)的安全改進(jìn)技術(shù)提供了平臺。

6) 在對根區域進(jìn)行簽名時(shí)，實(shí)際發(fā)生了什么事情？

使用 DNSSEC “對根區域進(jìn)行簽名”時(shí)，將在根區域文件中為每個(gè)頂級域再添加幾條記錄。所添加的內容是一個(gè)密鑰以及一個(gè)驗證該密鑰是否有效的簽名。

DNSSEC 為記錄提供了驗證途徑。它不會(huì )加密數據或更改數據的管理方式，并且與當前的 DNS 和應用程序“向后兼容”。這意味著(zhù)它不會(huì )更改 互聯(lián)網(wǎng) 的尋址系統所基于的現有協(xié)議。它將一系列數字簽名結合到 DNS 層次結構中，并使每個(gè)級別都擁有其自己的簽名生成密鑰。這意味著(zhù)，對于類(lèi)似于 www.icann.org 的域名，該路徑上的每個(gè)組織都必須對低于它的組織的密鑰進(jìn)行簽名。例如， .org 對 icann.org 的密鑰進(jìn)行簽名，根區域對 .org 的密鑰進(jìn)行簽名。在驗證過(guò)程中， DNSSEC 沿著(zhù)該信任鏈一直追溯到根區域，并自動(dòng)使用該路徑上的“父”密鑰驗證“子”密鑰。因為每個(gè)密鑰都可以由它上面的一個(gè)密鑰進(jìn)行驗證，所以驗證整個(gè)域名所需的唯一密鑰是最頂層的父密鑰（即根密鑰）。

但是，此層次結構意味著(zhù)，即使對根區域進(jìn)行了簽名，跨所有域名完全部署 DNSSEC 也將是一個(gè)相當耗時(shí)的過(guò)程，因為下面的每個(gè)域也都需要由其各自的運營(yíng)商進(jìn)行簽名，以便完成特定的信任鏈。對根區域進(jìn)行簽名只是一個(gè)起點(diǎn)。但它是至關(guān)重要的。最近， TLD 運營(yíng)商已經(jīng)加快了在 其區域（ .se 、 .bg 、 .br 、 .cz 、 .pr do now with .gov 、 .uk 、 .ca 和其他即將出現的區域）上部署 DNSSEC 的工作進(jìn)度，而其他運營(yíng)商預計也將這樣做。 ³

7) 根區域文件是如何管理的？

根區域的管理由以下四個(gè)實(shí)體共同完成：

i) ICANN 履行 “ IANA ” 職能 ， 這是一家與美國 商務(wù) 部簽 有 合同的國際非營(yíng)利性公司。 IANA 表示互聯(lián)網(wǎng)編號分配機構 ( Internet Assigned Numbers Authority ) 。 ICANN 接收和審查來(lái)自頂級域 (TLD) 運營(yíng)商 （ 例如 ，“ com ”） 的信息。

ii) 國家電訊管理中心 ( National Telecommunications and Information Administration, NTIA) 對根區域的變更進(jìn)行授權 ， 這是美國商務(wù)部?jì)炔康囊粋€(gè)政府機關(guān)。

iii) VeriSign 是一家總部設在美國的營(yíng)利性公司 ， 該公司與美國政府簽訂了合同 ， 負責使用由 ICANN 提供和驗證且由美國商務(wù)部授權的變更信息對根區域進(jìn)行編輯 ， 并對包含有關(guān)到何處查找有關(guān) TLD （ 例如 ，“ com ”） 的信息的根區域文件進(jìn)行分發(fā) ；

iv) 一組國際性根服務(wù)器運營(yíng)商，這些運營(yíng)商志愿運行和擁有遍布全球的 200 臺以上的服務(wù)器， 而這些服務(wù)器負責在整個(gè) 互聯(lián)網(wǎng) 中分發(fā)來(lái)自根區域文件的根信息。按字母編號，根服務(wù)器的運營(yíng)商為：

A) VeriSign Global Registry Services ；

B) 位于南加利福尼亞大學(xué) (USC) 的信息科學(xué)研究所 (Informati o n Sciences Institute) ；

C) Cogent Communications ；

D) 馬里蘭大學(xué) ；

E) 美國 國家航空航天局艾姆斯研究中心 (NASA Ames Research Center) ；

F) Internet Systems Consortium Inc. ；

G) 美國國防部網(wǎng)絡(luò )信息中心 (U.S. DOD Network Information Center) ；

H) 美國陸軍研究實(shí)驗室 (U.S. Army Research Lab) ；

I) Autonomica/NORDUnet （ 瑞典 ）；

J) VeriSign Global Registry Services ；

K) RIPE NCC （ 荷蘭 ）；

L) ICANN ；

M) WIDE Project （ 日本 ） 。

參考資料 ： http://www.root-servers.org

8) 為什么由一家組織對信息進(jìn)行審查、編輯和簽名對于 DNSSEC 安全很重要？

對于 DNSSEC 而言，信任鏈中每個(gè)鏈路的作用都基于用戶(hù)對于為該鏈路審查密鑰和其他 DNS 信息的組織所具有的信任。為了保證這些信息的完整性以及維持這一信任，在對數據進(jìn)行驗證 ⁴ 之后 必須立即采取措施，防止其出現錯誤（無(wú)論是惡意的還是偶然的） — 在跨組織邊界交換重要數據時(shí)， 隨時(shí)都可能引入錯誤。讓同一個(gè)組織和系統將經(jīng)過(guò)驗證的材料直接納入已簽名的區域中，可以一直維持信任，直到發(fā)布為止。這種方式只是更加安全。

隨著(zhù)人們對于 DNSSEC 將帶來(lái)的 DNS 安全越來(lái)越有信心，將對于從 ICANN 驗證和鑒別 TLD 信任支持材料的過(guò)程中獲得的信任一直維持到已簽名的根區域文件就變得越發(fā)重要。

9) 在 DNSSEC 中 ， 什么是 KSK 和 ZSK ？

KSK 表示密鑰簽名密鑰 (Key Signing key) （一種長(cháng)期密鑰）， ZSK 表示區域簽名密鑰 (Zone Signing Key) （一種短期密鑰）。如果有足夠的時(shí)間和數據，加密密鑰最終都會(huì )被破解。對于 DNSSECv 中使用的非對稱(chēng)密鑰或公鑰密碼系統而言，這意味著(zhù)攻擊者可通過(guò)強力攻擊方法或其他方法確定公鑰 - 私鑰對的私鑰部分（該部分用于創(chuàng )建對 DNS 記錄的有效性進(jìn)行驗證的簽名），從而使 DNSSEC 提供的保護失效。 DNSSEC 使用短期密鑰（即區域簽名密鑰 (ZSK) ） 來(lái)定期計算 DNS 記錄的簽名，同時(shí)使用長(cháng)期密鑰（即密鑰簽名密鑰 (KSK) ） 來(lái)計算 ZSK 上的簽名，以使其可以得到驗證，從而挫敗了這些破解企圖。 ZSK 被頻繁更改或滾動(dòng)，以使攻擊者難以“猜測”，而期限較長(cháng)的 KSK 則經(jīng)過(guò)一個(gè)長(cháng)得多的時(shí)段之后才更改（當前的最佳做法是以年為單位設置此時(shí)段）。由于 KSK 對 ZSK 進(jìn)行簽名而 ZSK 對 DNS 記錄進(jìn)行簽名，因此只需具有 KSK 即可對區域中的 DNS 記錄進(jìn)行驗證。 它是以 授權簽名者 (Delegation Signer, DS) 記錄形式傳遞到“父”區域的一個(gè) KSK 示例 。父區域（例如，根區域）使用其自己的、由其自己的 KSK 簽名的 ZSK 對子區域（例如， .org ）的 DS 記錄進(jìn)行簽名。 ⁵

這意味著(zhù)，如果 DNSSEC 被完全采用，則根區域的 KSK 將是每個(gè)經(jīng) DNSSEC 驗證的域名（或尚待開(kāi)發(fā)的應用程序）的驗證鏈的一部分。

10) 誰(shuí)管理這些密鑰？

根據此提案， ICANN 將保持密鑰基礎設施，但用于實(shí)際生成 KSK 的憑據將由外方持有。要使此過(guò)程在全球得到全面接受，這是一個(gè)很重要的因素。 ICANN 未就各實(shí)體在持有憑據時(shí)所應采用的具體解決方案提出建議，而是認為，像上述所有問(wèn)題一樣，此問(wèn)題的解決應向公眾征求意見(jiàn)，并由美國商務(wù)部作出決定。

¹ 這些實(shí)體及其 DNS 操作本身一般跨地理邊界或組織邊界分布，因而能反映出 互聯(lián)網(wǎng) 的總體體系結構。

² 對根區域進(jìn)行簽名還簡(jiǎn)化了 DNS 中較低層的部署，因此有助于加快總體 DNSSEC 部署工作的進(jìn)度。

³http://ccnso.icann.org/surveys/dnssec-survey-report-2007.pdf

⁴ 還能避免服務(wù)失敗

⁵ 熟悉公鑰加密方法的人都會(huì )知道， DNSSEC 是公鑰基礎設施 (PKI) 的一種形式