DNSSEC Lookaside Validation (DLV)讀后報告一、 DLV 要解決什么問題？域名系統(tǒng)安全(推出基于域名系統(tǒng)依賴于一個自上而下的認證鏈, 每個區(qū)域的安全信息介紹由其家長)DL

DNSSEC Lookaside Validation (DLV)讀后報告

一、 DLV 要解決什么問題？

域名系統(tǒng)安全(推出基于域名系統(tǒng)依賴于一個自上而下的認證鏈, 每個區(qū)域的安全信息介紹由其家長)DLV 機制信息引入第三方合作, 從而使DNSSEC 部署在父母都不安全的區(qū)域，這是一個早期部署救援, 并不是為了取代DNSSEC 的自上而下的認證鏈。DNSSEC 旁路驗證（DLV ）是一種機制，發(fā)布DNS 安全（DNSSEC ）信任錨以外的DNS 信任團鏈。它允許驗證解析器驗證DNSSEC 簽名的數(shù)據(jù)區(qū)，這些數(shù)據(jù)域的祖先不簽署或不公布其下子域的授權簽名者（DS ）記錄。

二、 DLV的信任鏈(Trust Chain)是如何建立的？

DLV 認證信息靠的是手段而不是信任鏈中的DNSSEC 元數(shù)據(jù)和靜態(tài)配置數(shù)據(jù)。一個解析器要解析一個域名時，首先會通過DNSSEC 的信任鏈進行解析，在遞歸過程中如果發(fā)現(xiàn)某DNSSEC 數(shù)據(jù)在其父區(qū)中沒有安全認證，發(fā)現(xiàn)信任鏈中斷了；就會將這DNSSEC 數(shù)據(jù)的認證轉向DLV ，在DLV 服務器中查找此DNSSEC 數(shù)據(jù)對應的簽名認證，如果發(fā)現(xiàn)對應的簽名認證，則取出簽名認證并與DNSSEC 數(shù)據(jù)的公鑰進行匹配，確定合法性。如果在DLV 中未發(fā)現(xiàn)對應的簽名，則認為此DNSSEC 數(shù)據(jù)不安全。如果有多個DLV 提供適用的DLV 記錄，則用某種選擇機制從中選出最合適的記錄。為了增加效率，還可以設置積極和消極緩存，及哪些是可以信任的，哪些是不可信任。簡單說，域名解析器對域名解析時，會對DNS 服務器發(fā)送的DNS 數(shù)據(jù)包進行簽名比對，建立從此DNS 服務器到根服務器的簽名信任鏈路，如果在此鏈路中某一級的域名服務器沒有其上級對其的簽名認證，則信任鏈路就不完全，此時就可以通過DLV 服務器對其進行驗證。

三、 舉例說明使用DLV 的解析服務器是如何驗證RRSIG 記錄的。

一個DLV 域名包含一個或者多個記錄為目標域的后代，解析時，在DLV 服務器資源記錄集中尋找與請求的域名最接近最匹配的記錄，如果沒有發(fā)現(xiàn)相應記錄，而且此域名并不是DLV 服務器資源記錄中的域名集的頂點域名，則去掉此域名的首標簽（獲得其父域名），再次查詢；反復進行類似查詢，直到找到對應的域名記錄或者回報沒有此記錄。獲得的DLV 資源記錄集能被用來驗證相應的公鑰，同授權簽名資源記錄集是用來驗證一個公鑰的方法相似。

四、 DLV 是否會帶來安全問題

DLV 是配置在服務器上，作為DNSSEC 體系的補充，DLV 本身的DLV 域名資源是如何獲得呢，怎么確保DLV 配置的域名認證信息是安全可靠的呢。如果是通過手工配置，確認那些域名區(qū)間是安全可信的，效率是否值

得懷疑；又如果通過自動更新的話，是否存在安全漏洞，由于文中沒有提到DLV 域名資源集的來源，所以存在一些疑問。