DNSSEC Lookaside Validation (DLV)讀后報(bào)告一、 DLV 要解決什么問(wèn)題？域名系統(tǒng)安全(推出基于域名系統(tǒng)依賴于一個(gè)自上而下的認(rèn)證鏈, 每個(gè)區(qū)域的安全信息介紹由其家長(zhǎng))DL

DNSSEC Lookaside Validation (DLV)讀后報(bào)告

一、 DLV 要解決什么問(wèn)題？

域名系統(tǒng)安全(推出基于域名系統(tǒng)依賴于一個(gè)自上而下的認(rèn)證鏈, 每個(gè)區(qū)域的安全信息介紹由其家長(zhǎng))DLV 機(jī)制信息引入第三方合作, 從而使DNSSEC 部署在父母都不安全的區(qū)域，這是一個(gè)早期部署救援, 并不是為了取代DNSSEC 的自上而下的認(rèn)證鏈。DNSSEC 旁路驗(yàn)證（DLV ）是一種機(jī)制，發(fā)布DNS 安全（DNSSEC ）信任錨以外的DNS 信任團(tuán)鏈。它允許驗(yàn)證解析器驗(yàn)證DNSSEC 簽名的數(shù)據(jù)區(qū)，這些數(shù)據(jù)域的祖先不簽署或不公布其下子域的授權(quán)簽名者（DS ）記錄。

二、 DLV的信任鏈(Trust Chain)是如何建立的？

DLV 認(rèn)證信息靠的是手段而不是信任鏈中的DNSSEC 元數(shù)據(jù)和靜態(tài)配置數(shù)據(jù)。一個(gè)解析器要解析一個(gè)域名時(shí)，首先會(huì)通過(guò)DNSSEC 的信任鏈進(jìn)行解析，在遞歸過(guò)程中如果發(fā)現(xiàn)某DNSSEC 數(shù)據(jù)在其父區(qū)中沒(méi)有安全認(rèn)證，發(fā)現(xiàn)信任鏈中斷了；就會(huì)將這DNSSEC 數(shù)據(jù)的認(rèn)證轉(zhuǎn)向DLV ，在DLV 服務(wù)器中查找此DNSSEC 數(shù)據(jù)對(duì)應(yīng)的簽名認(rèn)證，如果發(fā)現(xiàn)對(duì)應(yīng)的簽名認(rèn)證，則取出簽名認(rèn)證并與DNSSEC 數(shù)據(jù)的公鑰進(jìn)行匹配，確定合法性。如果在DLV 中未發(fā)現(xiàn)對(duì)應(yīng)的簽名，則認(rèn)為此DNSSEC 數(shù)據(jù)不安全。如果有多個(gè)DLV 提供適用的DLV 記錄，則用某種選擇機(jī)制從中選出最合適的記錄。為了增加效率，還可以設(shè)置積極和消極緩存，及哪些是可以信任的，哪些是不可信任。簡(jiǎn)單說(shuō)，域名解析器對(duì)域名解析時(shí)，會(huì)對(duì)DNS 服務(wù)器發(fā)送的DNS 數(shù)據(jù)包進(jìn)行簽名比對(duì)，建立從此DNS 服務(wù)器到根服務(wù)器的簽名信任鏈路，如果在此鏈路中某一級(jí)的域名服務(wù)器沒(méi)有其上級(jí)對(duì)其的簽名認(rèn)證，則信任鏈路就不完全，此時(shí)就可以通過(guò)DLV 服務(wù)器對(duì)其進(jìn)行驗(yàn)證。

三、 舉例說(shuō)明使用DLV 的解析服務(wù)器是如何驗(yàn)證RRSIG 記錄的。

一個(gè)DLV 域名包含一個(gè)或者多個(gè)記錄為目標(biāo)域的后代，解析時(shí)，在DLV 服務(wù)器資源記錄集中尋找與請(qǐng)求的域名最接近最匹配的記錄，如果沒(méi)有發(fā)現(xiàn)相應(yīng)記錄，而且此域名并不是DLV 服務(wù)器資源記錄中的域名集的頂點(diǎn)域名，則去掉此域名的首標(biāo)簽（獲得其父域名），再次查詢；反復(fù)進(jìn)行類似查詢，直到找到對(duì)應(yīng)的域名記錄或者回報(bào)沒(méi)有此記錄。獲得的DLV 資源記錄集能被用來(lái)驗(yàn)證相應(yīng)的公鑰，同授權(quán)簽名資源記錄集是用來(lái)驗(yàn)證一個(gè)公鑰的方法相似。

四、 DLV 是否會(huì)帶來(lái)安全問(wèn)題

DLV 是配置在服務(wù)器上，作為DNSSEC 體系的補(bǔ)充，DLV 本身的DLV 域名資源是如何獲得呢，怎么確保DLV 配置的域名認(rèn)證信息是安全可靠的呢。如果是通過(guò)手工配置，確認(rèn)那些域名區(qū)間是安全可信的，效率是否值

得懷疑；又如果通過(guò)自動(dòng)更新的話，是否存在安全漏洞，由于文中沒(méi)有提到DLV 域名資源集的來(lái)源，所以存在一些疑問(wèn)。