域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法.pdf

《域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法.pdf》由会员分享，可在线阅读，更多相关《域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法.pdf（7页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104253793 A (43)申请公布日 2014.12.31 CN 104253793 A (21)申请号 201310261938.4 (22)申请日 2013.06.27 H04L 29/06(2006.01) H04L 29/12(2006.01) (71)申请人 政务和公益机构域名注册管理中心 地址 100028 北京市朝阳区西坝河光熙门北 里甲 31 号 (72)发明人 王正 王睿 (74)专利代理机构 北京汉德知识产权代理事务 所 ( 普通合伙 ) 11328 代理人 庄一方 (54) 发明名称 域名系统的安全扩展的密钥签名密钥和区域 签名密钥的更新方。

2、法 (57) 摘要 DNSSEC密钥签名密钥和区域签名密钥的更新 方法包括 ： 在一个 DNS 区域中， 把新密钥签名密钥 和新区域签名密钥加入到 DNSKEY 资源记录集合， 且使用新密钥签名密钥和原始密钥签名密钥签名 DNSKEY ； 使用新区域签名密钥签名所有资源记录 集， 且提交新密钥签名密钥或 DS 记录至 DNS 区域 的父域中 ； 完成将新区域签名密钥签名后的 DNS 区域传送至 DNS 区域的从服务器， 将 DS 记录传送 至父域的从服务器 ； 在 DNSKEY 中删除原始区域签 名密钥， 并使用新密钥签名密钥重新签名 DNSKEY 资源记录集合， 在 DNSKEY 中删除原始。

3、密钥签名密 钥， 并使用新密钥签名密钥重新签名 DNSKEY 资源 记录集合。 (51)Int.Cl. 权利要求书 1 页 说明书 4 页 附图 1 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书1页 说明书4页 附图1页 (10)申请公布号 CN 104253793 A CN 104253793 A 1/1 页 2 1. 域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法， 包括 ： 在 DNS 安全扩展的一个 DNS 区域中， 在发布时刻 （Tpub） 把一个新密钥签名密钥 （KSK2） 和 一个新区域签名密钥 （ZSK2） 加入到所述 DNS 安全扩展的。

4、 DNS 密钥资源记录集合， 而后使用 所述新密钥签名密钥 （KSK2） 和所述新密钥签名密钥 （KSK2） 的原始密钥签名密钥 （KSK1） 签 名所述 DNS 密钥资源记录集合 ； 等待一段发布时间 （Ipub） ， 在该发布时间 （Ipub） 结束的预备时刻 （Trdy） 之后， 使用所述新 区域签名密钥 （ZSK2） 签名所述 DNS 区域的所有资源记录集合， 且提交所述新密钥签名密钥 （KSK2） 或与所述新密钥签名密钥 （KSK2） 所对应的所述 DNS 安全扩展的授权签名者至所述 DNS 区域的父域， 并在所述父域中发布与所述新密钥签名密钥 （KSK2） 所对应的所述授权签 名者。

5、 ； 由所述预备时刻 （Trdy） 起， 等待一段使用所述新区域签名密钥 （ZSK2） 签名所述 DNS 区 域的所有资源记录集合的第一处理时间后， 在第一发送时刻 （Tdea） 完成将所述新区域签名 密钥 （ZSK2） 签名后的所述 DNS 区域的所有资源记录集合传送至所述 DNS 区域的所有从服务 器， 且由所述预备时刻 （Trdy） 起， 等待一段使所述新密钥签名密钥 （KSK2） 在所述 DNS 区域的 父域中发布的第二处理时间后， 在第二发送时刻 （Tact） 完成将所述新密钥签名密钥 （KSK2） 所对应的所述 DS 记录传送至所述父域的从服务器 ； 由所述第一发送时刻 （Tdea。

6、） 起， 等待一段第一更新时间后， 在所述 DNS 密钥资源记录集 合中删除所述区域钥签名密钥 （ZSK2） 的原始区域签名密钥 （ZSK1） ， 而后使用所述新密钥签 名密钥 （KSK2） 重新签名所述 DNS 密钥资源记录集合， 且由所述第二发送时刻 （Tact） 起， 等待 一段第二更新时间后， 在所述DNS密钥资源记录集合中删除所述原始密钥签名密钥 （KSK1） ， 而后使用所述新密钥签名密钥 （KSK2） 重新签名所述 DNS 密钥资源记录集合。 2. 如权利要求 1 所述的域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新 方法， 其中所述发布时间 （Ipub） 的最小值为所述D。

7、NS区域的传送延迟时间与所述DNS区域的 密钥资源记录集合的生存周期之和。 3. 如权利要求 1 所述的域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新 方法， 其中所述第一处理时间的最小值为所述 DNS 区域的传送延迟时间与使用所述新区域 签名密钥 （ZSK2） 签名所述 DNS 区域的所有资源记录集合所需时间之和 ； 所述第二处理时间的最小值为提交所述新密钥签名密钥 （KSK2） 或与所述新密钥签名 密钥 （KSK2） 相对应的授权签名者至所述父域所用时间， 与所述新密钥签名密钥 （KSK2） 相对 应的授权签名者在所述父域中发布并且传递至所述父域的各个从服务器的时间之和。 4. 如权。

8、利要求 1 所述的域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新 方法， 其中所述第一更新时间的最小值为所述旧区域签名密钥 （ZSK1） 所签名生成的所有所 述 DNS 区域的资源记录签名记录中生存周期的最大值 ； 所述第二更新时间的最小值为所述新密钥签名密钥 （KSK2） 对应的授权签名者的生存 周期。 权 利 要 求 书 CN 104253793 A 2 1/4 页 3 域名系统的安全扩展的密钥签名密钥和区域签名密钥的更 新方法 技术领域 0001 本发明涉及一种密钥更新方法， 尤其涉及一种用于域名系统的安全扩展 （Domain Name System Security Extens。

9、ions， 简称 DNSSEC） 中使用的密钥签名密钥和区域签名密钥 的更新方法。 背景技术 0002 域名系统 （Domain Name System， 简称DNS） 是一个层次化分布式数据库， 包含了一 系列记录， 记录中包括名称、 IP 地址、 主机信息等内容。 DNS是一组协议和服务， 它允许用户 在查找网络资源时使用层次化的对用户友好的名字来取代 IP 地址。当 DNS 客户端向 DNS 服务器发出 IP 地址的查询请求时， DNS 服务器可以从其数据库内查找所需要的 IP 地址给 DNS 客户端。这种由 DNS 服务器在其数据库中找出客户端 IP 地址的过程叫做 “主机名称解 析”。

10、 。 0003 DNS 为了提高查询效率， 采用了缓存机制， 把查询过的最新记录存放在缓存中， 并 为其设置生存周期 （Time To Live， 简称 TTL） 。在记录没有超过 TTL 之前， 如果客户端的 查询记录还在 DNS 缓存中， DNS 服务器 （包括各级名字服务器） 将把缓存中的记录直接返回 给客户端， 而不需要进行逐级查询， 提高了查询速率。DNS 缓存中毒是利用 DNS 查询记录的 缓存机制， 在 DNS 服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中 大量错误的记录是攻击者伪造的， 所以伪造者可能会根据不同的意图设置特定的域名与 IP 地址之间的对应记录。。

11、 0004 DNSSEC 是 DNS 安全扩展， 它提供了一种来源鉴定和数据完整性的扩展。DNSSEC 是 在原有的 DNS 上通过密钥技术， 对 DNS 中的信息进行数字签名， 从而提供 DNS 的安全认证和 信息完整性检验。在 DNSSEC 中所有返回给域名解析器 （DNS 客户端程序） 的响应都附加 了数字签名。 域名解析器通过数字签名来验证这些记录与权威的域名服务器上的记录是否 完全一致。数字签名采用的是密钥加密系统， 它产生的密钥对分为公钥和私钥两部分。其 中， 私钥需要保密存储， 用来对区域文件中的 DNS 信息的 “数字摘要” 进行加密 ； 公钥需要在 DNS 服务器上公开发布，。

12、 域名解析器接收到域名服务器发送的响应记录后， 使用公钥对响 应记录中的数字签名进行解密， 将得到的值与所接收到的 DNS 信息进行运算获得的值进行 对比， 如果相同， 说明该记录是合法的。为了实现上的功能， DNSSEC 定义了三种资源记录集 （Resource Record） ： 用于存放 DNS 信息数字签名的资源记录签名记录 （RRSIG） ； 用于存放 解密公钥的DNS密钥资源记录集合 （DNSKEY） ； 用于DNS密钥资源记录集合验证， 存储密钥标 签、 加密算法和 DNS 密钥资源记录集合摘要信息的授权签名者 （Delegation Signer， 简称 DS） 。 0005 。

13、DNSSEC 的标准中规定至少需要两种类型的密钥才能较好地对 DNSSEC 区域进行 安全管理， 这两种密钥分别是密钥签名密钥 （Key-signing Key， 简称 KSK） 和区域签名密钥 （Zone-signing Key， 简称 ZSK） 。其中， KSK 只用来签名 DNS 密钥资源记录集合， 而 ZSK 用来 说 明 书 CN 104253793 A 3 2/4 页 4 为区域中所有的资源记录集合签名， 包括 DNS 密钥资源记录集合。KSK 和 ZSK 需要定期更 新， 避免长时间使用而被破解， 使得 DNSSEC 失去保护能力。为了防止 DNSSEC 验证信任链的 断裂， 目。

14、前KSK和ZSK的更新是分开独立进行的， 即二者串行操作， 时间上没有重叠， 更新时 间长。 发明内容 0006 本发明的目的是提供一种域名系统的安全扩展的密钥签名密钥和区域签名密钥 的更新方法， 以实现 ZSK 和 KSK 的快速更新。 0007 本发明提供了一种域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新 方法， 包括 ： 在 DNS 安全扩展的一个 DNS 区域中， 在发布时刻增加一个新密钥签名密钥和一 个新区域签名密钥至 DNS 安全扩展的 DNS 密钥资源记录集合， 且使用新密钥签名密钥和新 密钥签名密钥的原始密钥签名 DNS 密钥资源记录集合 ； 等待一段发布时间， 在该发。

15、布时间 结束的预备时刻之后， 使用新区域签名密钥签名 DNS 区域的所有资源记录集合， 且提交新 密钥签名密钥或与新密钥签名密钥所对应的授权签名者至 DNS 区域的父域中， 并在父域中 发布与新密钥签名密钥所对应的授权签名者 ； 由预备时刻起， 等待一段使用新区域签名密 钥签名 DNS 区域的所有资源记录集合的第一处理时间后， 在第一发送时刻完成传送新区域 签名密钥签名后的 DNS 区域的所有资源记录集合至 DNS 区域的所有从服务器， 且由预备时 刻起， 等待一段使新密钥签名密钥在 DNS 区域的父域中发布的第二处理时间后， 在第二发 送时刻完成传送新密钥签名密钥所对应的授权签名者传送至父域。

16、的从服务器 ； 由第一发送 时刻起， 等待一段第一更新时间后， 在 DNS 密钥资源记录集合中删除原始区域签名密钥， 而 后使用新密钥签名密钥重新签名 DNS 密钥资源记录集合， 且由第二发送时刻起， 等待一段 第二更新时间后， 在 DNS 密钥资源记录集合中删除原始密钥签名密钥， 而后使用新密钥签 名密钥重新签名 DNS 密钥资源记录集合。 0008 DNS 安全扩展的密钥签名密钥和区域签名密钥的更新方法， 区域签名密钥和密钥 签名密钥并行更新， 从而缩短了整个更新时间。 0009 在域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法的又一种示 意性的实施方式中， 发布时间的最小值为 。

17、DNS 区域的传送延迟时间与 DNS 区域的密钥资源 记录集合的生存周期之和。 0010 在域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法的另一种示 意性的实施方式中， 第一处理时间至少为 DNS 区域的传送延迟时间与使用新区域签名密钥 签名 DNS 区域的所有资源记录集合所需时间之和 ； 第二处理时间至少为提交新密钥签名密 钥或新密钥签名密钥所对应的授权签名者至 DNS 区域的父域， 与新密钥签名密钥所对应的 授权签名者在父域中发布并传递至父域的所有从服务器所需时间之和。 0011 在域名系统的安全扩展的密钥签名密钥和区域签名密钥的更新方法的又一种示 意性的实施方式中， 第一更新时。

18、间至少为旧区域签名密钥所签名生成的所有 DNS 区域的资 源记录签名记录中生存周期的最大值 ； 第二更新时间至少为新密钥签名密钥对应的授权签 名者的生存周期。 附图说明 说 明 书 CN 104253793 A 4 3/4 页 5 0012 以下附图仅对本发明做示意性说明和解释， 并不限定本发明的范围。 0013 图 1 用于说明 DNS 安全扩展的密钥签名密钥和区域签名密钥的更新方法。 具体实施方式 0014 为了对发明的技术特征、 目的和效果有更加清楚的理解， 现对照附图说明本发明 的具体实施方式， 在各图中相同的标号表示相同的部分。 0015 在本文中，“示意性” 表示 “充当实例、 例。

19、子或说明” ， 不应将在本文中被描述为 “示 意性” 的任何图示、 实施方式解释为一种更优选的或更具优点的技术方案。 0016 为了实现DNS安全扩展， 在一个DNS区域设置了资源记录集， 资源记录集的类型包 括 DNS 密钥资源记录集合 （以下简称 DNSKEY） 、 资源记录签名记录 （以下简称 RRSIG） 和授权 签名者 （以下简称 DS 记录） 。图 1 用于说明 DNS 安全扩展的密钥签名密钥和区域签名密钥 的更新方法。如图所示， 在 Tpub时刻之前， DNSKEY 中保存有原始密钥签名密钥 KSK1和原始 区域签名密钥 ZSK1。从 Tpub时刻开始， DNS 区域生成用于替代。

20、原始密钥签名密钥 KSK1的新 密钥签名密钥 KSK2， 以及用于替代原始区域签名密钥 ZSK1的新区域签名密钥 ZSK2； 并且将 新密钥签名密钥KSK2和新区域签名密钥ZSK2添加到DNSKEY， 之后使用新密钥签名密钥KSK2 签名 DNSKEY， 此时 DNSKEY 中已添加新区域签名密钥 ZSK2和新密钥签名密钥 KSK2 。 0017 从 Tpub时刻开始， 等待一个发布时间 Ipub后， DNS 安全扩展的密钥签名密钥和区域 签名密钥的更新方法进行到预备时刻Trdy。 在预备时刻Trdy后， 使用新区域签名密钥ZSK2签 名 DNS 区域的所有资源记录集合， 并且提交新密钥签名密。

21、钥 KSK2或与新密钥签名密钥 KSK2 相对应的 DS 记录至 DNS 区域的父域， 并在父域发布与新密钥签名密钥 KSK2相对应的 DS 记 录。 0018 在 DNS 安全扩展的密钥签名密钥和区域签名密钥的更新方法进一种示意性实 施方式中， 发布时间 Ipub至少为 DNS 区域的传送延迟时间与 DNSKEY 的生存周期 （Time To Live， 以下简称 TTL） 之和， 其中 DNS 区域的传送延迟时间是将本 DNS 区域的 DNS 主服务器 的区域变化信息传递到本 DNS 区域的所有 DNS 从服务器所需的时间。 0019 从预备时刻Trdy时刻开始， 等待第一处理时间， 在第。

22、一处理时间结束后的第一发送 时刻 Tdea完成将新区域签名密钥签名后的 DNS 区域的所有资源记录集合传递至本 DNS 区域 的所有从服务器， 其中第一处理时间内完成新区域签名密钥 ZSK2签名 DNS 区域的所有资源 记录集合。同时， 从预备时刻 Trdy时刻开始， 等待第二处理时间， 在第二处理时间结束后的 第二发送时刻 Tact完成传送新密钥签名密钥 KSK2所对应的 DS 记录至 DNS 区域的父域， DS 记录在父域发布并传递至父域的所有从服务器， 其中第二处理时间内完成新密钥签名密钥 KSK2在 DNS 区域的父域中发布。 0020 在 DNSSEC 的密钥签名密钥和区域签名密钥的。

23、更新方法进一种示意性实施方式 中， 第一处理时间至少为 DNS 区域的传送延迟时间与使用新区域签名密钥 ZSK2签名 DNS 区 域的所有资源记录集合的时间之和， 其中 DNS 区域的传送延迟时间是将本 DNS 区域的 DNS 主服务器的区域变化信息传递到本 DNS 区域的所有 DNS 从服务器所需的时间 ； 第二处理时 间至少为提交新密钥签名密钥 KSK2或与新密钥签名密钥 KSK2相对应的 DS 记录至 DNS 区域 的父域并在父域发布与新密钥签名密钥 KSK2相对应的 DS 记录所用时间， 与将新密钥签名 密钥所对应的 DS 记录在父域发布后， DS 记录传递至父域的所有从服务器所需时间。

24、之和。 说 明 书 CN 104253793 A 5 4/4 页 6 0021 从第一发送时刻 Tdea开始， 等待一个第一更新时间后， DNSKEY 中删除原始的区域 签名密钥ZSK1， 而后使用新密钥签名密钥KSK2重新签名DNSKEY。 同时， 从第二发送时刻Tact 开始， 等待一个第二更新时间后， DNSKEY 中删除原始的密钥签名密钥 KSK1， 而后使用新密 钥签名密钥 KSK2重新签名 DNSKEY。至此， 完成 DNS 安全扩展的密钥签名密钥和区域签名密 钥的更新。 0022 在 DNS 安全扩展的密钥签名密钥和区域签名密钥的更新方法进一种示意性实施 方式中， 第一更新时间至。

25、少为旧区域签名密钥所签名生成的所有所述 DNS 区域的 RRSIG 中 生存周期 （TTL） 的最大值 ； 第二更新时间至少为新密钥签名密钥对应的 DS 记录的生存周期 （TTL） 。 0023 DNS 安全扩展的密钥签名密钥和区域签名密钥的更新方法， 区域签名密钥和密钥 签名密钥并行更新， 从而缩短了整个更新时间。 0024 应当理解， 虽然本说明书是按照各个实施例描述的， 但并非每个实施例仅包含一 个独立的技术方案， 说明书的这种叙述方式仅仅是为清楚起见， 本领域技术人员应当将说 明书作为一个整体， 各实施例中的技术方案也可以经适当组合， 形成本领域技术人员可以 理解的其他实施方式。 0025 上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施例的具体说明， 它们并非用以限制本发明的保护范围， 凡未脱离本发明技艺精神所作的等效实施方案或变 更， 如特征的组合、 分割或重复， 均应包含在本发明的保护范围之内。 说 明 书 CN 104253793 A 6 1/1 页 7 图 1 说 明 书 附 图 CN 104253793 A 7 。