作者:禅与计算机程序设计艺术
1.简介
DNS (Domain Name System) 是因特网上使用域名进行地址解析服务的一种协议。每一个域名都映射到对应的IP地址,这样用户就无需记住IP地址从而方便快捷地访问互联网资源。但是DNS在传输过程中容易受到中间人攻击或欺骗,导致数据包被篡改或丢弃,使得用户无法正常访问网络资源。为了解决这一问题,于是产生了数字签名技术(DNSSEC)。 在 DNSSEC 中,用非对称加密算法生成的公钥和私钥来对域名进行验证,并将公钥绑定到域名中,当用户查询该域名时,DNS服务器先检查该域名是否由权威的DNS服务器签名,再利用公钥解密数据,确认域名的真实性,从而实现完整性检查,确保数据的安全。同时,通过使用证书认证机构(CA)颁发的数字证书,可以增强域名的可信度,防止被伪造或篡改。 8月17日,NIST(美国国家标准技术研究院)宣布,把“DNSSEC for EDNS”作为全球第一项基本规范。EDNS(拓展域消息首部)是域名系统中的一组基于UDP/TCP的协议扩展字段。它提供了一些额外功能,例如,可以定义源端口号等。由于 DNS 数据包经过 UDP 传输,不存在公开的可信任通道,因此需要借助 TCP 或 TLS 来提供高层安全保证,但 DNSSEC 需要 UDP 的支持。显然,对于传统 DNSSEC,其针对 UDP 传输不够灵活,而在 EDNS 支持下就可以轻松满足需求。此外,新的 DNSSEC-over-EDNS(DoE)规范进一步规范了 DNSSEC 对 EDNS 的部署和使用方式,为应用提供更广泛的选择。本文主要阐述了 DNSSEC 对边界路由系统