11B022 中国移动互联网DNS设备技术规范

中国移动通信企业标准中国移动互联网DNS设备技术规范TechnicalSpecificationforDomainNameServerofCMNet版本号：1.0.0中国移动通信集团公司发布2011-12-30发布2011-12-30实施QB-B-022-2011QB-B-022-2011I目录1.范围..................................................................12.规范性引用文件........................................................13.术语、定义和缩略语....................................................23.1术语和定义............................................................23.2缩略语................................................................54.域名系统概述..........................................................54.1域名服务体系概述.......................................................54.2中国移动域名系统概述...................................................65.系统结构..............................................................75.1系统结构图.............................................................75.1.1网元功能描述......................................................75.1.2接口描述..........................................................85.2系统功能描述...........................................................85.2.1权威域名服务器....................................................85.2.2递归域名服务器....................................................95.3组网结构...............................................................96.服务器功能要求.......................................................116.1权威服务器功能要求...................................................116.2递归服务器功能要求...................................................127.域名解析流程.........................................................147.1中国移动注册域名解析流程..............................................147.2非中国移动注册域名解析流程............................................168.网管要求.............................................................179.数据分析及智能挖掘要求（可选）.......................................1810.可靠性及扩展性要求...................................................1910.1可靠性要求..........................................................1910.2扩展性要求要求......................................................2011.安全要求.............................................................2011.1安全域划分..........................................................2011.2设备安全功能和配置要求...............................................2111.2.1DNSSEC安全要求..................................................2111.2.2服务器配置安全性要求............................................2311.3安全防护要求.........................................................2411.3.1攻击防护要求....................................................2411.3.2访问控制要求....................................................2511.4安全管理要求(安全审计)...............................................2612.性能要求.............................................................2613.接口要求.............................................................2714.软硬件要求...........................................................2714.1软件要求............................................................2714.2硬件要求............................................................2715.编制历史.............................................................29QB-B-022-2011II附录ADNS解析日志格式要求...............................................29附录BDNS关键指标统计报表...............................................30附录C全球根服务器及顶级域部署情况简介...................................34附录D缓存投毒攻击可选防护手段..........................................36QB-B-022-2011I前言本标准对DNS系统需要规定的功能与组网提出要求，是其入网所需要遵从的纲领性技术文件。本标准主要包括以下几方面内容：系统结构、服务器功能要求、域名解析流程、网管要求、数据分析及智能挖掘要求、可靠性及扩展性、安全要求、性能要求、特色要求、接口要求、软硬件要求等。本标准的附录A和B为标准性附录，附录C和D为资料性附录。本标准由中移技﹝2011﹞363号印发。本标准由中国移动通信研究院提出，集团公司技术部归口。本标准起草单位：中国移动通信研究院本标准主要起草人：张娟、王静、任兰芳、胡淑军、周琳琅、樊川、何伟、姜欣等QB-B-022-201111.范围本要求适用于中国移动通信集团公司所属CMNet网络的DNS系统，对包括省网DNS、集团统建DNS等DNS服务器提出相关技术规定，主要面向中国移动WLAN业务、2G/3G/LTE个人业务及家庭宽带业务的域名解析请求，不包括IMSDNS等专用DNS系统。本标准原则上在中国移动通信集团公司内部使用，用于在相关设备招标选型和工程建设时为集团公司和省公司提供技术依据。2.规范性引用文件下列标准所包含的条文，通过在本标准中引用而成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。表2-1规范性引用文件列表序号标准编号标准名称发布单位[1]YD/T2052-2009域名系统安全防护技术要求工业和信息化部[2]YD/T2053-2009域名系统安全防护检测要求工业和信息化部[3]YD/T2135-2010域名系统运行总体技术要求工业和信息化部[4]YD/T2138-2010域名系统权威服务器运行技术要求工业和信息化部[5]YD/T2137-2010域名系统递归服务器运行技术要求工业和信息化部[6]YD/T2140-2010域名系统安全框架技术要求工业和信息化部[7]YD/T2139-2010IPv6网络域名系统技术要求工业和信息化部[8]YD/T2136-2010域名系统授权体系技术要求工业和信息化部[9]YD/T2091-2010公共域名解析系统安全标准工业和信息化部[10]RFC1034域名系统—概念和基础设施IETF[11]RFC1035域名系统的实现和详述IETF[12]RFC1305网络时间协议IETF[13]RFC1912常见的DNS操作和配置错误IETF[14]RFC1995域名系统增量区传送IETF[15]RFC1996区内容变化快速通知机制IETF[16]RFC2136域名系统动态更新IETF[17]RFC2142通用服务、角色和功能的邮箱名IETF[18]RFC2181域名系统规范说明IETF[19]RFC2672非终点DNS名字重定向IETF[20]RFC4033DNSSEC的介绍和需求IETF[21]RFC4034资源记录支持DNSSEC的扩展IETFQB-B-022-20112[22]RFC4035支持DNSSEC的协议修改IETF[23]RFC4431DNSSEC中的DLV记录IETF[24]RFC5074域名安全旁路认证IETF3.术语、定义和缩略语3.1术语和定义下列术语、定义和缩略语适用于本标准：（1）域名系统DomainNameSystem域名系统是一种将域名映射为某些预定义类型资源记录（ResourceRecord）的分布式互联网服务系统，网络中域名服务器间通过相互协作，实现将域名（或者其他的查询对象）最终解析到相应的资源记录。域名系统的名字空间是一个分层次的（Hierachical)树状结构。在资源记录中存储了包含IP地址等与域名相关的多种信息。这些信息分布在与名字空间对应的各级域名服务器上。从而实现对域名属性信息的分布式检索。域名的服务系统从功能上可以分成两个部分，包括权威服务器（AuthoritativeServers)、递归服务器（RecursiveServers）。（2）名字空间NameSpace域名系统的名字空间是一个树状结构（如图3-1所示），每个节点对应于相应的资源集合（这个资源集合可能为空），域名系统不区别树内节点和叶子节点，统称为节点（Node)。每个节点有一个标记（Label)，这个标记的长度不超过63字节。父节