域名服务系统安全框架技术要求

域名服务安全框架技术要求TechnicalspecificationsofDNSsecurityframeworkICS35.100.70L79YD中华人民共和国通信行业标准YD/T××××—××××××××-××-××发布××××-××-××实施中华人民共和国工业和信息化部发布YD/T××××—××××I目次域名服务安全框架技术要求..............................................................1 目次..............................................................................I 前言.............................................................................II 域名服务安全框架技术要求..............................................................1 1范围................................................................................1 2规范性引用文件......................................................................1 3术语、定义和缩略语..................................................................1 3.1术语和定义.........................................................................1 3.2缩略语.............................................................................1 4域名系统面临的主要安全威胁及其解决方案..............................................2 5DNS权威服务器事务签名（TSIG）的实施规范............................................2 5.1协议要求...........................................................................2 5.2实施规范...........................................................................2 6DNS权威服务器的DNSSEC实施规范....................................................2 6.1协议要求...........................................................................2 6.2实施规范...........................................................................3 7DLV服务器的实施规范................................................................3 7.1协议要求...........................................................................3 7.2实施规范...........................................................................3 8DNS递归服务器的DNSSEC实施规范....................................................4 8.1协议要求...........................................................................4 8.2实施规范...........................................................................4 YD/T××××—××××II前言本标准是“域名系统运行技术规范体系”系列标准之一，该系列标准的结构和名称预计如下：1)《域名系统运行总体技术要求》2)《域名系统权威服务器运行技术要求》3)《域名系统递归服务器运行技术要求》4)《域名服务安全框架技术要求》5)《IPv6网络域名服务技术要求》6)《域名系统授权体系技术要求》7)《公共域名解析系统安全标准》8)《域名系统安全防护技术要求》9)《域名系统安全防护检测要求》本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心、北龙中网（北京）科技有限责任公司。本标准主要起草人：金键、毛伟、李晓东、张跃冬、王伟、卢文哲。YD/T××××—××××1域名服务安全框架技术要求1范围本标准针对域名系统在协议实施方面面临的主要安全威胁，制定此域名服务安全框架技术要求，具体包含DNS权威服务器事务签名（TSIG）的实施规范、DNS权威服务器和DNS递归服务器的DNSSEC实施规范以及DLV的实施规范。本标准适用于构建或者运营权威及递归域名服务系统的国内各级单位。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。YD/T2052-2009域名系统安全防护技术要求YD/TXXXX域名系统权威服务器运行技术要求YD/TXXXX域名系统递归服务器运行技术要求IETFRFC1305网络时间协议IETFRFC2845TSIG协议IETFRFC4033DNSSEC的介绍和需求IETFRFC4034资源记录支持DNSSEC的扩展IETFRFC4035支持DNSSEC的协议修改IETFRFC4431DNSSEC中的DLV记录IETFRFC5074域名安全旁路认证3术语、定义和缩略语3.1术语和定义下列术语和定义适合于本文件。3.1.1区签名密钥zonesigningkey对区文件进行DNSSEC签名或认证所使用的密钥对。通常，相对于KSK，ZSK比较短，具有较短的有效期，但是具有较高的签名效率。3.1.2密钥签名密钥keysigningkey对权威域所有密钥对的公钥（DNSKEY资源记录集）进行DNSSEC签名或认证所使用的密钥对。通常，相对于ZSK，KSK比较长，具有较长的生存期，但签名效率较低。权威域只需要向上级权威域注册KSK生成的DS记录。3.1.3信任锚trustanchor在进行DNSSEC认证过程中，递归服务器可以直接信任的某一权威域。3.2缩略语下列缩略语适用于本文件。DLVDNSSECLookasideValidation域名系统安全旁路认证DNSDomainNameSystem域名系统DNSSECDNSSecurity域名系统安全扩展YD/T××××—××××2KSKKeySigningKey密钥签名密钥NTPNetworkTimeProtocol网络时间协议TSIGTransactionSignature事务签名ZSKZoneSigningKey区签名密钥4域名系统面临的主要安全威胁及其解决方案目前，域名系统在协议实施方面面临的安全威胁主要表现为数据完整性及可靠性，进一步划分的话，这种数据完整性及可靠性威胁又表现在两个环节：1）DNS权威服务器的主服务器和辅服务器之间的数据更新过程中的数据完整性及可靠性保证；2）DNS递归服务器在执行递归查询过程中，从权威服务器获取的查询结果的数据完整性及可靠性保证。针对以上两个环节的威胁，本域名服务安全框架技术要求在域名系统协议框架方面有两项扩展：通过TSIG来保证权威服务器之间的数据更新完整性及可靠性；通过DNSSEC来保证递归服务器从权威服务器获取数据的完整性及可靠性。5DNS权威服务器事务签名（TSIG）的实施规范5.1协议要求权威服务器在实施TSIG过程中，应符合IETF相关标准，除了YD/TXXXX《域名系统权威服务器运行技术要求》中所规定的协议之外，还要符合TSIG相关协议标准，具体如表1所示：表1域名服务系统接口协议要求列表协议名称标准文档TSIG协议IETFRFC2845此外，为了保证TSIG的正确工作，实施TSIG的域名服务器设备必须配置时间服务器，通过网络时间协议（NTP，IETFRFC1305）进行时间同步。5.2实施规范1）TSIG密钥算法规范；考虑到效率、普及性、专利权等方面的因素，推荐使用hmac-md5算法。2）TSIG密钥长度规范；TSIG密钥长度应不低于128位。3）TSIG密钥生成及管理规范；TSIG密钥应定期更新，有效期不长于12个月。6DNS权威服务器的DNSSEC实施规范6.1协议要求权威服务器在实施DNSSEC过程中，必须符合IETF相关标准，除了YD/TXXXX《域名系统权威服务器运行技术要求》中所规定的协议之外，还包括：1)支持DNS安全协议扩展（DNSSEC），并能进行签名认证；2)支持DNSSEC旁路认证（DLV）；具体的协议如表2所示：YD/T××××—××××3表2域名服务系统接口协议要求列表协议名称标准文档DNSSEC协议IETFRFC4033、IETFRFC4034、IETFRFC4035DLVIETFRFC4431、IETFRFC50746.2实施规范1）DNSSEC密钥生成管理规范；所有密钥都必须在一台单独且离线的密钥生成服务器上生成，该服务器应位于一间具有门禁系统的安全服务器机房。该房间的门禁严格受控，并且记录进出。密钥生成所需的随机数以及密钥生成运算均由密钥生成服务器所连接的硬件加密机完成。权威域的管理者应采用区签名密钥（ZSK）和密钥签名密钥（KSK）分离的管理策略。KSK生成后，需要储存在硬件加密机/卡中，其私钥无法被取出。KSK的私钥部分用于对DNSKEY资源记录集的签名操作直接在硬件加密机/卡内完成，以保证KSK的私钥部分无法被直接读出。2）DNSSEC密钥算法规范；考虑到效率、普及性、专利权等方面的因素，推荐使用RSA/SHA-256算法。3）DNSSEC密钥长度规范；ZSK长度不小于1024位，KSK长度不小于2048位。4）资源记录签名（RRSIG）有效期；资源记录签名的有效期应控制在20-天60天的时间段内，新旧签名的重叠期控制在10天-20天。5）密钥更新周期；KSK的有效期为12个月-24个月，新旧密钥重叠期控制在1个月-2个月；ZSK有效期为1个月-3个月，新旧密钥重叠期控制在5天-10天。若密钥发生泄露，应立即进行紧急更新，已泄露密钥按照重叠期规范进行保留。6）DS（DelegationSigner）记录授权；二级域以下的各级权威服务器，应向其父域提交DS记录，以实现DNSSEC信任授权。7）DNSSEC信任链实施规范；二级域以下的各级权威服务器，通过其父域的信任授权来构建信任链；中国自行管理的顶级域（.CN、.中国等）向我国自己的DLV服务器提交DLV记录来构建信任链。8）其他方面的协议配置规范；实施DNSSEC的权威和递归服务器，应支持EDNS0扩展，并支持TCP53端口的查询请求。7DLV服务器的实施规范7.1协议要求DLV服务器是一种特殊的实施了DNSSEC的权威服务器，运行的协议要求与实施DNSSEC的权威服务器相同，具体可参见6.1。7.2实施规范DLV服务器以下几个方面的规范引用6.2中权威服务器相关实施规范：1）DNSSEC密钥