【摘要】:5.2.7 DNS安全问题的解决方案针对DNS的安全特点,IETF于1999年3月发布了DNSSEC,它是一个DNS协议的扩展。目前来说,DNSSEC还远不是一个成熟的安全体系结构,它还存在很多问题,正在不断地修正,这些工作主要是由IETF的DNSEXT工作组完成。解决问题应该从源头解决,因此,DNSSEC的根本目标就是保护DNS查询报文的数据完整性和数据源的正确性。采用何种加密算法和策略、以及采用何种数字签名机制能够更有效、更安全是很重要的。
5.2.7 DNS安全问题的解决方案
针对DNS的安全特点,IETF于1999年3月发布了DNSSEC(DNS Security Extensions),它是一个DNS协议的扩展(rfc2535)。DNSSEC并不是针对DNS协议本身(rfc1034,rfc1035)的补丁,而是一个DNS的安全协议。目前来说,DNSSEC还远不是一个成熟的安全体系结构,它还存在很多问题,正在不断地修正,这些工作主要是由IETF的DNSEXT工作组完成。
从前述对DNS几种攻击方法的分析中知道,DNS系统之所以容易受到欺骗的一个最根本的原因就是DNS服务器或者解析器无法分辨出DNS报文来源的真伪以及无法分辨出DNS报文是否被修改过。解决问题应该从源头解决,因此,DNSSEC的根本目标就是保护DNS查询报文的数据完整性和数据源的正确性。它主要采用的机制是非对称加密机制和数字签名机制。
加密和签名是网络安全传输的一个基本特点和要求。采用何种加密算法和策略、以及采用何种数字签名机制能够更有效、更安全是很重要的。DNSSEC采用非对称加密算法中的公钥加密机制以及基于Hash函数的数字签名技术,在某些特殊场景下,DNSSEC也采用共享密钥和MAC机制来保证消息完整性。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
