新聞中心

當前位置: 首頁 > 新聞中心 > 新聞中心
ICANN完成DNS根區密鑰輪轉,泰策簡述密鑰前因后果
發表時間:2018-10-23     瀏覽次數:1716     來源:

        按照預定計劃,ICANN(互聯網名稱與數字地址分配機構,The Internet Corporation for Assigned Names and Numbers)已于世界協調時 2018 年 10 月 11 日下午 4 點進行DNS系統根區密鑰(KSK)輪轉,擁有新KSK(即KSK-2017)簽名的新版根區已經面向根服務器發布。就目前ICANN統計的信息來看,自根區KSK輪轉啟動以后, 暫未發現任何有關根區 KSK 輪轉的嚴重問題。
 
什么是根區域
    DNS系統將人們可以記住的域名轉換為計算機使用的數字(即IP地址)以尋找其目的地,有點類似于用來查找電話號碼的電話簿。它分階段完成此項工作。它“查找”的第一個地方是目錄服務的頂級域,即“根區域”。以 www. testor. com.cn為例,本地DNS服務器要向從根開始的各級授權服務器發起查詢請求。首先訪問根服務器,根服務器告知本地DNS服務器它授權出去的管理cn區的授權服務器的地址,本地DNS服務器繼續向cn區查詢,依次類推,直至找到testor.com.cn的授權服務器,得到www.hewdf.tw的地址,并返回給客戶端。這些目錄服務分別由不同的實體進行管理:根區域由 ICANN 管理。
 
什么是DNSSEC
    隨著互聯網應用的不斷深化,DNS已然成為網絡攻擊的熱點目標,典型攻擊包括DDoS攻擊、放大攻擊、遞歸攻擊、緩存投毒、修改域名注冊信息、隧道攻擊、資源鎖定攻擊等,越來越多的基于DNS的攻擊已經嚴重影響到用戶的網絡安全,使用戶的數據、資產和信譽都處于風險之中。
    以緩存投毒(Cache Poisoning)為例,通過向DNS服務器的本地緩存中注入非法數據,將用戶正常的域名訪問請求引導至攻擊者服務器,而黑客將在 DNS 系統中發現的漏洞(如漏洞VU#800113)與技術進步相結合,大大縮短了劫持DNS 查找過程的任一步驟所需的時間,從而可以更快地取得對會話的控制以實施某種惡意操作(如將用戶引導至惡意網站等),若要在技術上消除這樣的安全隱患,一個有效的解決方案是以端到端的形式部署一種稱為 DNS 安全擴展 (DNS Security Extensions, DNSSEC) 的安全協議。
    DNSSEC是將一個特殊簽名添加到root、TLD和授權名字服務器,從而為該區域建立一條信任鏈。DNSSEC能使區域確保DNS請求的應答沒有被篡改,簡言之,DNSSEC是通過將公鑰密碼系統引入DNS的層次結構,從而為域名系統生成一個開放的全球公鑰基礎設施(PKI),以此提高DNS的安全性。
 
為什么要進行密鑰輪轉
    從2008年開始,為了維護全球域名系統的安全與穩定,ICANN開始推廣部署DNSSEC。 
    DNSSEC的優勢在于通過數字簽名,防止對域名查詢的暗中篡改,從而保障域名查詢安全,并抵御可能攻擊。KSK在DNSSEC中發揮著重要作用。KSK是一對加密公/私密鑰,執行DNSSEC驗證功能的軟件將信任根區的KSK并創建后續密鑰和簽名的“信任鏈”,以驗證DNS解析過程中任何環節簽名數據的真實性。雖然根區的密鑰安全度非常高,但和其他密碼一樣,始終保持密鑰不變也是有安全風險的,密鑰也需要定期進行更新,即密鑰更換,又稱“輪轉”(rollover),是維護全球DNS安全與穩定的重要環節。 
    KSK用于對區域簽名密鑰(ZSK)進行加密簽名,根區域維護者使用ZSK對互聯網DNS的根區域進行DNSSEC簽名。維護最新的KSK對于確保負責DNSSEC驗證的DNS解析系統在輪換后繼續正常運行至關重要。如果沒有最新的根區域KSK,將意味著負責DNSSEC驗證的DNS解析系統將無法解析任何DNS查詢。
 
密鑰輪轉是如何進行的?
    輪轉KSK意味著生成新的加密公鑰和私鑰對,并將新的公共組件分發給操作驗證解析系統的有關方,包括:互聯網服務提供商、企業網絡管理員及其他域名系統(DNS)解析系統運營商、DNS解析系統軟件開發商、系統集成商,以及安裝或發送根區域“信任錨”(trust anchor)的軟硬件分發商。若未開啟DNSSEC驗證,那輪轉影響不會很大,若已經開啟,則需保證擁有最新軟件、已經部署了DNSSEC、并已經驗證其系統能夠自動更換密鑰。 
    KSK的輪轉原本預計在一年以前進行,但當 ICANN 找到輪轉前的最新數據并對其分析后,決定暫緩密鑰輪轉。又經過一年時間的技術準備,ICANN已于10月11日啟動密鑰輪轉。盡管之前各種消息提示,如“互聯網將在不到12小時內‘關閉’,以便ICANN進行DNS加密密鑰的更新”、“全球互聯網換密碼、上網將受短暫影響”等,但就目前ICANN統計的信息來看,自根區KSK輪轉啟動以后,暫未發現任何有關根區 KSK 輪轉的嚴重問題。 
    泰策作為國內領先的DNS系統解決方案提供商,已為國內多家省級電信運營商提供DNS系統方案及技術支持。雖然由于國內的緩存/遞歸服務器還沒有開啟DNSSEC,所以在此次KSK輪轉過程中各運營商的DNS系統沒未有經受考驗,但泰策一直在跟蹤最新的業界技術發展和動態,包括DNSSEC的發展和技術要求等,我們會一如既往地全力保障電信運營商DNS系統的穩定運行,保證廣大用戶的上網體驗。
 
 

腾讯麻将官网下载 67555慈善网开奖结 棋牌捕鱼真钱版下载 云南时时票 重庆幸运农场投注网 广西快乐十分大小走势 天津时时78 青海快三今天 幸运飞艇规律公式技巧 pk10前三稳赚技巧公式 5大联赛赛程表 排列三走势图带连线 北京快3直播 4987香港马会最新开奖记录 怎么用一副麻将玩连连看 天津时时彩走势彩经网后2 陕西快乐十分app官方下载