GB/T 33562-2017 信息安全技术 安全域名系统实施指南

ICS35.040

L80OB

中华人民共和国国家标准

GB/T33562—2017

信息安全技术安全域名系统实施指南

Informationsecuritytechnology—Securedomainnamesystemdeploymentguide

2017-05-12发布2017-12-01实施

发布

GB/T33562—2017

目次

.-a.Z-AT

冃U有I

引言n

i范围i

2规范性引用文件1

3术语和定义1

4缩略语4

5DNS安全技术指南5

5.1概述5

5.2权威域名系统安全指南5

5.3递归域名系统安全指南6

5.4DNS事务安全指南6

5.5DNS数据安全指南8

6DNS查询/响应安全指南（DNSSec规范）9

6.1DNSSec机制和操作9

6.2公私密钥对的生成10

6.3私钥的安全存储10

6.4公钥的发布和建立信任锚10

6.5区签名和区重签名10

6.6密钥轮转11

6.7创建信任链和签名验证11

附录A（资料性附录）具体BIND配命令12

参考文献14

GB/T33562—2017

■>r■—>—

刖弓

本标准按照GB/T1.1-2009给出的规则起草。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位：山东省标准化研究院、中国互联网络信息中心、天津卓朗科技发展有限公司、青岛

以太科技股份有限公司、深圳市信息安全测评中心、深圳市坪山新区信息化管理办公室、常州富国信息

技术有限公司、辽宁省信息安全与软件测评认证中心、青岛大学、青岛科技大学、互联网域名系统北京市

丁程研究中心。

本标准主要起草人：王曙光、王庆升、公伟、隗玉凯、姚健康、刘杰、林明贵、王伟、武刚、唐增来、

邱建中、黎文辉、陶毅国、陈多思、丁锋、于佳、程相国、刘国柱、马迪。

T

GB/T33562—2017

引言

随着网络攻击技术的发展及DNS漏洞的频繁出现,攻击者已经大大缩短了劫持DNS查找过程的

任一步骤所需的时间，从而可以更快地取得对会话的控制以实施某种恶意操作。若要在长期内消除此

漏洞，唯一的解决方案是以端到端的形式部署DNSSec协议，即从根区到最终域名的查找过程中每一步

都部署DNSSec。

目前，作为DNSSec信任链的根服务器都已经部署DNSSec服务。与此同时，随着业界对DNSSec

的努力推动，各顶级域名管理机构陆续开始部署DNSSec服务，但在顶级域名之下的二级权威域及递归

域名对DNSSec支持相对较低。虽然国内重点权威域名服务器和主要递归域名服务器对DNSSec支持

只有0.9%和2.2%,但它们对DNSSec支持相比以前有了较大改善。

本标准可以为域名系统DNSSec部署过程提供权威域名系统安全指南、递归域名系统安全指南、

DNS事务安全指南和DNS数据安全指南等DNS安全技术指南，为DNSSec部署到各级域名系统提供

技术支撑和实践指导。

n

GB/T33562—2017

信息安全技术安全域名系统实施指南

1范围

本标准规定了域名系统安全扩展协议(DNSSec)部署过程中权威域名系统安全、递归域名系统安

全、DNS事务安全、DNS数据安全等DNS安全技术指南。

本标准适用于运行域名系统的组织内域名系统安全管理人员。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T5271.82001信息技术词汇第8部分：安全

GB/T5271.92001信息技术词汇第9部分:数据通信

GB/T250692010信息安全技术术语

GB/T331342016信息安全技术公共域名服务系统安全要求

YD/T2137-2010域名系统递归服务器运行技术要求

YD/T21382010域名系统权威服务器运行技术要求

YD/T21402010域名服务安全框架技术要求

YD/T25862013域名服务系统安全扩展(DNSSec)协议和实现要求

3术语和定义

GB/T5271.82001.GB/T5271.92001.GB/T250692010界定的以及下列术语和定义适用于

本文件。

3.1

域名系统domainnamesystem

一种将域名映射为某些预定义类型资源记录(resourcerecord)的分布式互联网服务系统，网络中

域名服务器间通过相互协作，实现将域名最终解析到相应的资源记录。

3.2

名字空间namespace

一种节点与资源集合相对应的树状结构(如图1所示)。

1

GB/T335622017

3.3

域名domainname

域名系统名字空间中，从当前节点到根节点的路径上所有节点标记的点分顺序连接的字符串，如图

1对应的域名""。

3.4

域domain

域名系统名字空间中的一个子集,也就是树形结构名字空间中的一棵子树。这个子树根节点的域

名就是该域的名字。

3.5

顶级域toleveldomain

域名系统名字空间中根节点下最顶层的域。顶级域分为国家及地区代码顶级域(countrycodeTop

LevelDomain,ccTLD)和通用类别顶级域(genericTopLevelDomain,gTLD)两种不同类型。如图1

中“cn”为中国顶级域，“com”、“net”均为通用类别顶级域。

3.6

资源记录resourcerecord

在域名系统中用于存储与域名相关的属性信息，简称RR。每个域名对应的记录可能为空或者多

条。域名的资源记录由名字(name)、类型(type)、种类(class)、生存时间(ttl)、记录数据长度

(rdlength)、记录数据(rdata)等字段组成。

3.7

域名服务器nameserver

用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求的服务器。

3.8

区zone

域名系统名字空间中面向管理的基本单元。

2

GB/T33562—2017

3.9

权威域名服务器authoritativedomainnameserver

对于某个或者多个区具有可信数据功能的服务器，权威域名服务器保存着其所拥有区的原始域名

资源记录信息。

3.10

区文件zonefile

某个区内的域名和资源记录及相关的权威起始信息(startofauthority,SOA)按照一定的格式进行

组合，从而构成存储这些信息的文件。其中，权威起始信息包含了区的管理员电子邮件地址(mailad­

dress)、序列号(serial)、更新周期(refresh)、重试周期(retry)和过期时间(expire)等信息。

3.11

主域名月長务器masterdomainnameserver

被配成区数据发布源的权威服务器。

3.12

辅域名服务器slavedomainnameserver

通过区传送协议来获取区数据的权威服务器。

3.13

DNS事务dnstransactions

DNS事务类型包含4部分:DNS查询/响应、区传送、动态更新、DNS通知报文。

3.14

DNS查询/响应dnsquery/response

解析器与缓存域名服务器之间进行资源记录的查找与响应的过程。

3.15

区传送zonetransfer

将区的资源记录内容从主服务器向辅服务器传送的过程，用于实现主、辅服务期间的数据同步。

3.16

动态更新dynamicupdates

实施现有域添加或删除个别的资源记录、为现有域删除一套特定的资源记录、删除现有域、新增一

个域的一个操作。

3.17

DNS通知报文dnsnotify

当主DNS服务器的区文件发生变化时，主DNS服务器通知辅DNS服务器数据变化的手段。

3.18

递归域名月艮务器recursivedomainnameserver

负责接受用户(解析器)的解析请求，并通过查询本地缓存或者执行从根域名服务器到被查询域名

所属权威服务器的递归查询过程，获得解析结果并返回给用户的域名服务器。

3.19

解析器resolver

向域名服务器发送域名解析请求，并且从域名服务器返回的响应消息中提取所需信息的程序。解

析器软件通常集成到操作系统内核或者应用软件中。

3.20

区签名密钥zonesigningkey

对权威域数据进行DNSSEC签名或验证的密钥对。

3

GB/T33562—2017

3.21

密钥签名密钥keysigningkey

对区签名密钥对中的公钥进行数字签名或验证的密钥对。

3.22

DNS公钥(DNSKEY)DNSpublickey

存储权威域的公钥的资源记录。权威域使用私钥对DNS资源记录进行数字签名，并且将公钥保存

在DNSKEY资源记录中，用于稍后对数字签名的验证。

3.23

资源记录签名(RRSIG)resourcerecordsignature

存储DNS资源记录集的数字签名的资源记录。

3.24

授权签名者(DS)delegati