域名服務(wù)系統(tǒng)安全擴(kuò)展（DNSSEC）協(xié)議測(cè)試方法

域名服務(wù)系統(tǒng)安全擴(kuò)展(DNSSEC)協(xié)議測(cè)試方法本文件針對(duì)域名服務(wù)系統(tǒng)安全擴(kuò)展的協(xié)議測(cè)試進(jìn)行了詳細(xì)的規(guī)定，并提出了測(cè)試的要求。本文件適用于域名服務(wù)系統(tǒng)的安全擴(kuò)展協(xié)議測(cè)試。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T33562-2017信息安全技術(shù)安全域名系統(tǒng)實(shí)施指南YD/T2140-2010域名服務(wù)安全框架技術(shù)要求YD/T2586-2013域名服務(wù)系統(tǒng)安全擴(kuò)展(DNSSEC)協(xié)議和實(shí)現(xiàn)要求YD/T3008-2016域名服務(wù)安全狀態(tài)檢測(cè)要求IETFRFC5155散列的DNSSEC否定存在驗(yàn)證(DNSSecurityONSSEC)HashedofExistence)IETFRFC8624DNSSEC算法實(shí)現(xiàn)需求與使用指南(AlgorithmImplementationUsageGuidanceforDNSSE3術(shù)語(yǔ)和定義YD/T2586-2013、YD/T3008-2016、GB/T33562-2017界定的以及下列術(shù)語(yǔ)和定義適用于本文件。域名系統(tǒng)domainnamesystem一種將域名映射為某些預(yù)定義類型資源記錄(resourcerecord)的分布式互聯(lián)網(wǎng)服務(wù)系統(tǒng)，網(wǎng)絡(luò)中域名服務(wù)器問(wèn)通過(guò)相互協(xié)作，實(shí)現(xiàn)將域名最終解析到相應(yīng)的資源記錄資源記錄resourcerecord在域名系統(tǒng)中用于存儲(chǔ)與域名相關(guān)的屬性信息，簡(jiǎn)稱RR。每個(gè)域名對(duì)應(yīng)的記錄可能為空或者多條。域名的資源記錄由名字(name)、類型(type)、種類(class)、生存時(shí)間(tt1),記錄數(shù)據(jù)長(zhǎng)度(rdlength)、記錄數(shù)據(jù)(rdata)等字段組成。域名服務(wù)器mameserver用于存儲(chǔ)域名和資源記錄及其他相關(guān)信息并負(fù)責(zé)處理用戶的查詢請(qǐng)求的服務(wù)器23DNSKEY資源記錄存儲(chǔ)的是權(quán)威域的公朝。權(quán)威域使用私鑰對(duì)DNS資源記錄集進(jìn)行數(shù)字簽名，并且將公鑰保存在DNSKEY資源記錄中，用于稍后對(duì)數(shù)字簽名的驗(yàn)證。資源記錄簽名(RRSIG)resourcereoordsignaturoRRSIG資源記錄存儲(chǔ)的是DNS資源記錄集的數(shù)字簽名。授權(quán)簽名者(DS)delegationsignerDS資源記錄存儲(chǔ)了DNSKEY資源記錄的散列值。用于建立解析器驗(yàn)證DNS應(yīng)答報(bào)文時(shí)所需的信任鏈。它可以驗(yàn)證與之對(duì)應(yīng)的DNSKEY資源記錄。信任錨trustanchor一個(gè)預(yù)先配置的DNSKEY資源記錄或者DNSKEY資源記錄的散列值(DS資源記錄)。一個(gè)支持DNSSEC的解析器可以使用這個(gè)公鑰或者散列值作為信任鏈的起始點(diǎn)。此外，解析器應(yīng)該通過(guò)DNS協(xié)議之外的安全可信的方法獲得信任錨的初始值一個(gè)由DNSKEY和DS資源記錄交替組成的序列，DNSKEY用于驗(yàn)證包含DS的資源記錄集簽名，使得DS得到驗(yàn)證。DS包含了另一個(gè)DNSKEY的散列值，新的DNSKEY如果與DS的散列值匹配，也可以得到驗(yàn)證。這個(gè)新的DNSKEY反過(guò)來(lái)又可以驗(yàn)證另一個(gè)Ds,這樣延續(xù)下去直到獲得需要驗(yàn)證的DNS數(shù)據(jù)簽名的公鑰為止。下列縮略語(yǔ)適用于本文件。己驗(yàn)證數(shù)據(jù)關(guān)閉檢查CheckingDisabled域名服務(wù)系統(tǒng)域名服務(wù)系統(tǒng)安全擴(kuò)展域名服務(wù)系統(tǒng)安全擴(kuò)展開啟授權(quán)簽名者DNS擴(kuò)展機(jī)制密鑰簽名密鑰下一個(gè)安全記錄NSEC3下一個(gè)安全記錄第三版4RRSIG資源記錄簽名ResourceRecordSignatureS0A初始授權(quán)機(jī)構(gòu)StartOfAuthorityZSK區(qū)簽名密鑰ZoneSigningKey5域名系統(tǒng)安全擴(kuò)展(DNSSEO)域名系統(tǒng)安全擴(kuò)展(DNSSEC)可以提供DNS數(shù)據(jù)源鑒別和完整性保護(hù)，以及DNS數(shù)據(jù)的否定存在驗(yàn)證機(jī)制。DNSSEC協(xié)議要求符合YD/T2586-2013和GB/T33562-2017的要求。DNSSEC過(guò)程包含域名服務(wù)器操作和解析器操作。實(shí)施DNSSEC的域名服務(wù)器應(yīng)支持TCP53端口的查詢請(qǐng)求。本章的重點(diǎn)是DNSSEC的基本原DNSSEC增加了4種新的資源記錄類型，它們是資源記錄簽名(RRSIG)、DNS公鑰(DNSKEY)、授權(quán)簽名者(DS)和下一個(gè)安全記錄(NSEC)。但已經(jīng)被證明是不安全的，攻擊者可以通過(guò)NSEC獲得權(quán)威域中存在的所有域名記錄。因此，本標(biāo)準(zhǔn)將使用下一個(gè)安全記錄第三版(NSEC3)。此外，DNSSEC在報(bào)文頭增加了2個(gè)標(biāo)志位——CD標(biāo)志位和AD標(biāo)志位。為了支持增加了DNSSEC資源記錄而變得更長(zhǎng)的DNS報(bào)文，DNSSEC需要DNS擴(kuò)展機(jī)制(EDNS0)的支持。最后，DNSSEC還需要使用報(bào)文頭的DO標(biāo)志位，使得支持DNSSEC的解析器能夠在其請(qǐng)求中指明它希望接收到DNSSEC機(jī)制包括兩個(gè)主要過(guò)程簽名和驗(yàn)證。簽名過(guò)程主要是支持DNSSEC的域名服務(wù)器利用私鑰對(duì)資源記錄進(jìn)行數(shù)字簽名，數(shù)字簽名及其相關(guān)信息保存在一個(gè)RRSIG中、驗(yàn)證過(guò)程是支持DNSSEC的解析器利用得到的域名服務(wù)器的公鑰，驗(yàn)證資源記錄的簽名。支持DNSSEC的解析器通過(guò)以下兩種方式獲得域名服務(wù)器的公鑰；一是通過(guò)預(yù)先配置在解析器中的信任錨，二是通過(guò)正常的DNS解析方式。在第二種方式中公鑰被保存在DNSKEY中為保證獲得公鑰的真實(shí)性，該公鑰還需要由一個(gè)經(jīng)過(guò)認(rèn)證的、預(yù)先配置的密鑰簽名，即密鑰簽名密鑰(KSK)。因此，支持NSSEC的解析器為了驗(yàn)證簽名，需要形成一個(gè)從域名服務(wù)器公鑰到密鑰簽名密鑰的信任鏈。同時(shí)，解析器至少需要配置一個(gè)信任錨。如果配置的信任錨是區(qū)簽名密鑰(ZSK),那么解析器就可以鑒別域名服務(wù)器數(shù)據(jù)的真實(shí)性和完整性如果配置的信任錨是密鑰簽名密鑰(KSK),那么解析器就可以驗(yàn)證域名服務(wù)器公鑰的真實(shí)性和完整性。6.1域名服務(wù)器6.1.1區(qū)簽名密鑰對(duì)生成測(cè)試編號(hào)：6.1.1-ZSK-gene1、使用非對(duì)稱密鑰算法生成區(qū)簽名密鑰對(duì)密鑰算法、密鑰長(zhǎng)度和密鑰更新有效期符合的要求，符合IETFRFC8624《DNSSEC算法實(shí)現(xiàn)需求與使用指南》,符合我國(guó)密碼管理的相關(guān)規(guī)定。(例如：算法為RSA/SHA-1,密鑰長(zhǎng)度1024bit.)測(cè)試編號(hào)：6.1.2-KSK-gene測(cè)試步臆；如；算法為RSA/SHA-1,密鑰長(zhǎng)度2048bit。)1)與區(qū)簽名密鑰(ZSK)相對(duì)應(yīng)的私鑰單獨(dú)保存在域名服務(wù)器上，訪問(wèn)有權(quán)限控制，通3)與區(qū)簽名密鑰(ZSK)相對(duì)應(yīng)的私鑰單獨(dú)保存在域名服務(wù)器上，訪問(wèn)無(wú)權(quán)限控制，提1、指定簽名密鑰和簽名有效期，執(zhí)行區(qū)簽名操作。測(cè)試編號(hào)：6.1.6-zone-res測(cè)試步驟；1、觸發(fā)簽名到期條件。1)完成區(qū)重簽名操作，包括：刪除所有現(xiàn)有的簽名記錄，重新排序區(qū)文件，重新測(cè)試編號(hào)：6.1.7-zone-res測(cè)試編號(hào)：6.1.8-scheduled-ZSK-ro2、查看公鑰發(fā)布時(shí)間。2)區(qū)簽名密鑰(ZSK)新密鑰發(fā)布后，DNSSEC功能無(wú)法正常使用，不通過(guò)。3)區(qū)簽名密鑰(ZSK)新舊密鑰無(wú)重疊6.1.9KSK常規(guī)密鑰輪轉(zhuǎn)測(cè)試編號(hào)：6.1.9-scheduled-KSK-ro測(cè)試步腹；2、采用雙重簽名方法。用新密鑰簽名密鑰(KSK)和用新密鑰簽名密鑰(KSK)對(duì)密鑰集簽名。1)密鑰簽名密鑰(KSK)輪轉(zhuǎn)后，DNSSEC功能可正常使用，通過(guò)。2)密鑰簽名密鑰(KSK)輪轉(zhuǎn)后，DNSSEC功能無(wú)法正常使用，不通過(guò)。測(cè)試編號(hào)：6.1.10-emergency-ZSK-ro1、模擬區(qū)中密鑰泄漏或者私鑰丟失時(shí)等緊急事件發(fā)生，調(diào)用接口觸發(fā)或者手動(dòng)觸發(fā)緊急密鑰輪1)區(qū)簽名密鑰(ZSK)輪轉(zhuǎn)到新密鑰，同時(shí)初始化密鑰簽名密鑰(KSK),通過(guò)。2)區(qū)簽名密鑰(ZSK)未輪轉(zhuǎn)到新密鑰或密鑰測(cè)試編號(hào)：6.1.11-emergency-KSK-ro1、通過(guò)事件觸發(fā)或者手動(dòng)觸發(fā)針對(duì)子域子區(qū)的密鑰簽名密鑰(KSK)緊急1)父區(qū)獲取子區(qū)新的密鑰簽名密鑰(KSK)后，DNSSEC功能可正常使用，通過(guò)。2)父區(qū)獲取子區(qū)新的密鑰簽名密鑰(KSK)后，DNSSEC功能無(wú)法正常使用，不通過(guò)。1、向域名服務(wù)器發(fā)起帶EDNS0擴(kuò)展的查詢，查看是1)支持EDNS0查詢，可以返回相關(guān)記錄，通過(guò)。2)不支持EDNS0查詢，不通過(guò)。1、向域名服務(wù)器53端口發(fā)送TCP查詢。1)開放53端口TCP查詢，可以返回相關(guān)記錄，通過(guò)。測(cè)試編號(hào)：6.1.14-DNSSEC-re1、接收DNSSEC查詢請(qǐng)求，查看是否能夠返回DNSSEC記錄。1)支持DNSSEC查詢，可以返回DNSSEC相關(guān)的解析記錄，通過(guò)。1、區(qū)簽名時(shí)生成NSEC記錄。2、向被測(cè)試的域名服務(wù)器發(fā)起某個(gè)域名或某個(gè)資源記錄類型不存在的查詢請(qǐng)求。1)能夠正確返回包含NSEC記錄的應(yīng)答測(cè)試編號(hào)：6.1.16-NSEC3-re2、向被測(cè)試的域名服務(wù)器發(fā)起某個(gè)域名或某個(gè)資源記錄類型不存在的查詢請(qǐng)求。1)能夠正確返回包含NSEC3記錄的應(yīng)答報(bào)文，通過(guò)。2)無(wú)法正確返回包含NSEC3記錄的應(yīng)答報(bào)文，不通測(cè)試編號(hào)：6.2.1-trust-anchor-configu1、配置根區(qū)的區(qū)簽名密鑰(ZSK)為信任錨，1)支持根區(qū)和父區(qū)的區(qū)簽名密鑰(ZSK)和密鑰簽名密鑰(KSK)配置成信2)不支持根區(qū)配置區(qū)簽名密鑰(ZSK)或者3)不支持父區(qū)配置區(qū)簽名密鑰(ZSK)或測(cè)試編號(hào)；6.2.2-root-DNSKEY-trust-測(cè)試項(xiàng)目：以根域的DNSKEY公鑰為信任鐳1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送一個(gè)域名的DNSSEC查詢。2)未能根據(jù)GB/T33562-2017規(guī)定的流程完成簽名驗(yàn)證，不通過(guò)。測(cè)試編號(hào)：6.2.3-parent-DNSKEY-trust-1、配置父域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送一個(gè)域名的DNSSEC查詢。2)未能根據(jù)GB/T33562-2017規(guī)定的流程完成簽名驗(yàn)證，不通過(guò)。測(cè)試編號(hào)：6.2.4-signature-validation-r2)對(duì)接收到的RRSIG記錄，不支持區(qū)分YD/T2586-2013規(guī)定的四種結(jié)果，不通過(guò)。測(cè)試編號(hào)：6.2.5-signature-validation-alg1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送DNSSEC查詢。2、RSASHA1-NSEC3-SHA1:3、RSASHA256;4、RSASHA512),通過(guò)。測(cè)試編號(hào)：6.2.6-delegation-validation-alg1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送DNSSEC查詢。1、SHA-1:2、SHA-256),通過(guò)。測(cè)試編號(hào)：6.2.7-DNSSEC-query-vali1、向域名服務(wù)器發(fā)起DNSSBC查詢，查看是否能夠返回DNSSEC記錄。1)支持DNSSEC查詢，可以有效支持域名記錄安全1、向域名服務(wù)器發(fā)起某個(gè)域名或某個(gè)資源記錄類型不存在的查詢請(qǐng)求。2、檢查收到的DNSSEC應(yīng)答中是否包含NSEC資源記錄及驗(yàn)證情況。1)能夠接收包含NSEC資源記錄的應(yīng)答報(bào)文，并對(duì)應(yīng)答報(bào)文中NSEC資源記錄進(jìn)行1、向域名服務(wù)器發(fā)起某個(gè)域名或某個(gè)資源記錄類型不存在的查詢請(qǐng)求。2)無(wú)法接收包含NSEC3資源記錄的應(yīng)答報(bào)文，不通3)無(wú)法對(duì)應(yīng)答報(bào)文中NSEC3記錄進(jìn)行驗(yàn)證，不通過(guò)。2)區(qū)簽名