主页 topics DNSSEC 什么是 DNSSEC(DNS 安全扩展)?
深入了解我们的 DNS 解决方案 订阅 AI 最新消息
拼贴齿轮、机械臂、手机象形图的插图

发布日期:2024 年 3 月 8 日
撰稿人:Tasmiha Khan、Michael Goodwin

什么是 DNSSEC(DNS 安全扩展)?

DNSSEC 是域名系统 (DNS) 的一项功能,它使用加密身份验证来验证 DNS 查询中返回的 DNS 记录是否来自权威名称服务器,并且在途中没有更改。

简而言之,DNSSEC 有助于确保用户被定向到他们正在搜索的实际网站,而不是虚假的网站。虽然它不保证搜索的私密性(传输层安全或 TLS 是一种旨在确保互联网隐私的安全协议),但它确实有助于防止恶意实体在 DNS 请求中插入被操纵的 DNS 响应。

DNSSEC(域名系统安全扩展的缩写)用于扩展 DNS 协议和处理 DNS 中的漏洞,这些漏洞使系统容易受到各种网络攻击,例如 DNS 欺骗、DNS 缓存中毒、中间人攻击以及对 DNS 数据的其他未经授权的修改。DNSSEC 部署有助于加强 DNS 抵御这些潜在风险,为互联网提供更安全、更可靠的基础架构。当 DNS 解析器查询信息时,通过验证数字签名来验证 DNS 查询响应,从而确认所接收数据的真实性和完整性。

随着网络安全威胁的不断演变,对包括 DNSSEC 在内的强大安全措施的需求可能会增长。互联网名称与数字地址分配机构 (ICANN) 等组织积极推动其全球采用,反映出人们对其在 DNS 安全中的关键作用的认识日益提高。

  

AI 和 IT 自动化指南

“AI 和 IT 自动化企业指南”深入介绍了 AI 驱动的 IT 自动化,包括使用原因和方式、阻碍工作的问题以及如何开始。

相关内容

订阅 IBM 时事通讯

相关 DNS 记录类型和术语

为了帮助保护 DNS,DNS 安全扩展程序将加密签名添加到现有 DNS 记录中。这些签名存储在具有其他 DNS 记录类型的 DNS 名称服务器中,例如 A 记录(在 IPv4 地址和域名之间创建直接连接)、AAAA 记录(将域名连接到 IPv6 地址)、MX 记录(将电子邮件定向到域邮件服务器)和 CNAME 记录(将别名映射到其真实或“规范”域名)。

其他有助于理解 DNSSEC 功能的相关记录和术语包括:

DS 记录(委托签名者记录)

DS 记录用于在父区域和子区域之间建立安全的信任链。它们包含 DNSKEY 记录的加密哈希。

DNSKEY 记录

DNSKEY 记录(也称为 DNSSEC 密钥)存储与特定 DNS 区域关联的公钥。这些密钥用于验证数字签名,并确保该区域内 DNS 数据的真实性和完整性。

RRSIG 记录(资源记录签名记录)

RRSIG 记录包含与一组 DNS 资源记录关联的加密签名。

RRset(资源记录集)

这是与 DNS 中的特定名称关联的特定类型的所有资源记录的集合。例如,如果您有两个与“example.com”关联的 IP 地址,则这些地址的 A 记录将捆绑在一起形成一个 RRset。

NSEC 记录(下一个安全记录)

该记录列出了某域存在的记录类型,用于表示对特定域名存在性的经身份验证的否认。它通过返回“下一个安全”记录来工作。例如,如果递归解析器向域名服务器查询不存在的记录,则名称服务器会返回另一条记录,即服务器上定义的“下一个安全记录”,表明所请求的记录不存在。

NSEC3(下一个安全版本 3)

这是对 NSEC 的增强。它通过使攻击者更难预测或猜测区域中现有域的名称来提高安全性。它的工作方式与 NSEC 类似,但使用加密哈希化记录名称来避免列出特定区域中的名称。

区域签名密钥 (ZSK)

区域签名密钥对(公钥和私钥)是用于对 RRset 进行签名和验证的身份验证密钥。在 DNSSEC 中,每个区域都有一个 ZSK 对。私钥用于为 RRset 创建数字签名。这些签名作为 RRSIG 记录存储在名称服务器中。相关公钥存储在 DNSKEY 记录中,用于验证签名,确认 RRset 的真实性。但是,还需要采取额外措施来验证公共 ZSK。为此,使用密钥签名密钥。

密钥签名密钥 (KSK)

密钥签名密钥是另一个公钥/私钥对,用于验证公共区签名密钥没有泄露。

DNSSEC 的工作原理

DNS 安全扩展提供了一个加密安全框架,旨在提高 DNS 的安全性和可信度。DNSSEC 的核心是采用公钥和私钥对系统。要启用 DNSSEC 验证,区域管理员使用私有的区域签名密钥和作为 DNSKEY 记录分发的相应公钥生成数字签名(存储为 RRSIG 记录)。密钥签名密钥用于对 ZSK 进行签名和验证,从而提供额外的安全层。

DNS 解析器在被查询时检索所请求的 RRset 和关联的 RRSIG 记录,其中包含私有的区域签名密钥。然后,解析器会请求保存公共 ZSK 密钥的 DNSKEY 记录。这三种资产共同验证解析器收到的响应。不过,公共 ZSK 的真实性仍有待验证。这就是密钥签名密钥的用武之地。

密钥签名密钥用于签署公共 ZSK,并为 DNSKEY 创建 RRSIG。名称服务器在 DNSKEY 记录中发布公共 KSK,就像发布公共 ZSK 一样。这将创建一个包含两条 DNSKEY 记录的 RRset。这些由私有 KSK 签名,并由公共 KSK 验证。这种认证验证了公共 ZSK(KSK 的目的),并验证了所请求的 RRset 的真实性。

DNS 信任链

DNSSEC 的运作原则是在整个 DNS 层次结构中建立一条“信任链”,并在每个级别对 DNS 数据进行签名,以创建确保数据完整性和真实性的可验证路径。链条中的每个环节都使用数字签名进行保护,从而创建一个信任锚,该锚从根区域服务器开始,向下延伸到顶级域 (TLD) 服务器,直到各个域的权威 DNS 服务器

委托签名人 (DS) 记录用于将信任从父区域转移到子区域。当解析器被引用到子区域时,父区域会提供一个包含父区域 DNSKEY 记录哈希值的 DS 记录。其将与子区域中的哈希化公共 KSK 进行比较。如果匹配,则表示公共 KSK 是真实的,并让解析器知道子域(子区域)中的记录是可信的。这个过程从一个区域到另一个区域执行,建立起一个信任链。

DNSSEC 与 DNS 安全

DNSSEC 和 DNS 安全是互联网安全领域的相关概念,各有不同的重点和范围。DNSSEC 特指一组旨在增强域名系统安全性的 DNS 扩展。其主要目标是通过私钥和公钥加密来确保 DNS 记录的完整性和真实性。

DNS 安全是一个更广泛的术语,包括保护整个 DNS 环境的综合方法。虽然 DNSSEC 是 DNS 安全的重要组成部分,但 DNS 安全的范围超出了 DNSSEC 的特定协议。DNS 安全可应对包括分布式拒绝服务或 (DDoS) 攻击和域盗窃在内的各种威胁,提供整体策略来防范可能危及 DNS 基础设施的恶意活动。

相关解决方案
IBM NS1 Connect Managed DNS

IBM NS1 Connect Managed DNS 服务提供弹性、快速的权威 DNS 连接,能够防止网络中断,保持业务始终在线。

深入了解 IBM NS1 Connect Managed DNS 预约实时演示

IBM Cloud DNS Services

IBM Cloud DNS Services 提供了公共和私有授权 DNS 服务,它们具有响应快捷、冗余无可比拟和高级安全性等特点,可通过 IBM Cloud Web 界面或 API 进行管理。

深入了解 IBM Cloud DNS 服务
IBM DNS 网络弹性和正常运行时间

利用全球网络和先进的 DNS 流量引导功能,提高应用程序的弹性和正常运行时间。

深入了解 IBM DNS 网络弹性和正常运行时间

资源 什么是域名系统 (DNS)?

DNS 使用户可以使用 URL 而不是用数字表示的互联网协议地址来连接网站。

什么是 DNS 服务器?

DNS 服务器将用户在 Web 浏览器中搜索的网站域名转换为相应的数字 IP 地址。此过程称为 DNS 解析。

什么是 DNS 记录?

域名系统 (DNS) 记录是一组用于连接域名和 DNS 服务器内互联网协议 (IP) 地址的指令。

什么是联网?

了解电脑网络的工作原理、用于设计网络的体系结构,以及如何确保网络安全。

什么是计算机网络安全?

网络安全是网络安全领域,专注于保护计算机网络和系统免受内部和外部的网络威胁和网络攻击。

什么是数据库安全?

数据库安全是指旨在建立和维护数据库机密性、完整性和可用性的一系列工具、控制和措施。

采取后续步骤

IBM NS1 Connect 通过优质 DNS 和高级可定制流量导向,为世界各地的用户提供快速安全的连接。NS1 Connect 采用 API 优先架构,支持 IT 团队更高效地监控网络、部署变更、进行日常维护。

深入了解 NS1 Connect 预约实时演示