域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法
【專利摘要】DNSSEC密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法包括：在一個DNS區(qū)域中，把新密鑰簽名密鑰和新區(qū)域簽名密鑰加入到DNSKEY資源記錄集合，且使用新密鑰簽名密鑰和原始密鑰簽名密鑰簽名DNSKEY；使用新區(qū)域簽名密鑰簽名所有資源記錄集，且提交新密鑰簽名密鑰或DS記錄至DNS區(qū)域的父域中；完成將新區(qū)域簽名密鑰簽名后的DNS區(qū)域傳送至DNS區(qū)域的從服務(wù)器，將DS記錄傳送至父域的從服務(wù)器；在DNSKEY中刪除原始區(qū)域簽名密鑰，并使用新密鑰簽名密鑰重新簽名DNSKEY資源記錄集合，在DNSKEY中刪除原始密鑰簽名密鑰，并使用新密鑰簽名密鑰重新簽名DNSKEY資源記錄集合。
【專利說明】域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種密鑰更新方法，尤其涉及一種用于域名系統(tǒng)的安全擴展(DomainName System Security Extens1ns,簡稱DNSSEC)中使用的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法。

【背景技術(shù)】
[0002]域名系統(tǒng)(Domain Name System,簡稱DNS)是一個層次化分布式數(shù)據(jù)庫,包含了一系列記錄，記錄中包括名稱、IP地址、主機信息等內(nèi)容。DNS是一組協(xié)議和服務(wù)，它允許用戶在查找網(wǎng)絡(luò)資源時使用層次化的對用戶友好的名字來取代IP地址。當(dāng)DNS客戶端向DNS服務(wù)器發(fā)出IP地址的查詢請求時，DNS服務(wù)器可以從其數(shù)據(jù)庫內(nèi)查找所需要的IP地址給DNS客戶端。這種由DNS服務(wù)器在其數(shù)據(jù)庫中找出客戶端IP地址的過程叫做“主機名稱解析”。
[0003]DNS為了提高查詢效率，采用了緩存機制，把查詢過的最新記錄存放在緩存中，并為其設(shè)置生存周期(Time To Live，簡稱TTL)。在記錄沒有超過TTL之前，如果客戶端的查詢記錄還在DNS緩存中，DNS服務(wù)器(包括各級名字服務(wù)器)將把緩存中的記錄直接返回給客戶端，而不需要進行逐級查詢，提高了查詢速率。DNS緩存中毒是利用DNS查詢記錄的緩存機制，在DNS服務(wù)器的緩存中存入大量錯誤的數(shù)據(jù)記錄主動供用戶查詢。由于緩存中大量錯誤的記錄是攻擊者偽造的，所以偽造者可能會根據(jù)不同的意圖設(shè)置特定的域名與IP地址之間的對應(yīng)記錄。
[0004]DNSSEC是DNS安全擴展，它提供了一種來源鑒定和數(shù)據(jù)完整性的擴展。DNSSEC是在原有的DNS上通過密鑰技術(shù)，對DNS中的信息進行數(shù)字簽名，從而提供DNS的安全認證和信息完整性檢驗。在DNSSEC中所有返回給域名解析器(DNS客戶端程序)的響應(yīng)都附加了數(shù)字簽名。域名解析器通過數(shù)字簽名來驗證這些記錄與權(quán)威的域名服務(wù)器上的記錄是否完全一致。數(shù)字簽名采用的是密鑰加密系統(tǒng)，它產(chǎn)生的密鑰對分為公鑰和私鑰兩部分。其中，私鑰需要保密存儲，用來對區(qū)域文件中的DNS信息的“數(shù)字摘要”進行加密；公鑰需要在DNS服務(wù)器上公開發(fā)布，域名解析器接收到域名服務(wù)器發(fā)送的響應(yīng)記錄后，使用公鑰對響應(yīng)記錄中的數(shù)字簽名進行解密，將得到的值與所接收到的DNS信息進行運算獲得的值進行對比，如果相同，說明該記錄是合法的。為了實現(xiàn)上的功能，DNSSEC定義了三種資源記錄集(Resource Record):用于存放DNS信息數(shù)字簽名的資源記錄簽名記錄(RRSIG);用于存放解密公鑰的DNS密鑰資源記錄集合(DNSKEY);用于DNS密鑰資源記錄集合驗證，存儲密鑰標(biāo)簽、加密算法和DNS密鑰資源記錄集合摘要信息的授權(quán)簽名者(Delegat1n Signer，簡稱DS)。
[0005]DNSSEC的標(biāo)準中規(guī)定至少需要兩種類型的密鑰才能較好地對DNSSEC區(qū)域進行安全管理，這兩種密鑰分別是密鑰簽名密鑰(Key-signing Key,簡稱KSK)和區(qū)域簽名密鑰(Zone-signing Key，簡稱ZSK)。其中，KSK只用來簽名DNS密鑰資源記錄集合，而ZSK用來為區(qū)域中所有的資源記錄集合簽名，包括DNS密鑰資源記錄集合。KSK和ZSK需要定期更新，避免長時間使用而被破解，使得DNSSEC失去保護能力。為了防止DNSSEC驗證信任鏈的斷裂，目前KSK和ZSK的更新是分開獨立進行的，即二者串行操作，時間上沒有重疊，更新時間長。


【發(fā)明內(nèi)容】

[0006]本發(fā)明的目的是提供一種域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法，以實現(xiàn)ZSK和KSK的快速更新。
[0007]本發(fā)明提供了一種域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法，包括:在DNS安全擴展的一個DNS區(qū)域中，在發(fā)布時刻增加一個新密鑰簽名密鑰和一個新區(qū)域簽名密鑰至DNS安全擴展的DNS密鑰資源記錄集合，且使用新密鑰簽名密鑰和新密鑰簽名密鑰的原始密鑰簽名DNS密鑰資源記錄集合；等待一段發(fā)布時間，在該發(fā)布時間結(jié)束的預(yù)備時刻之后，使用新區(qū)域簽名密鑰簽名DNS區(qū)域的所有資源記錄集合，且提交新密鑰簽名密鑰或與新密鑰簽名密鑰所對應(yīng)的授權(quán)簽名者至DNS區(qū)域的父域中，并在父域中發(fā)布與新密鑰簽名密鑰所對應(yīng)的授權(quán)簽名者；由預(yù)備時刻起，等待一段使用新區(qū)域簽名密鑰簽名DNS區(qū)域的所有資源記錄集合的第一處理時間后，在第一發(fā)送時刻完成傳送新區(qū)域簽名密鑰簽名后的DNS區(qū)域的所有資源記錄集合至DNS區(qū)域的所有從服務(wù)器，且由預(yù)備時刻起，等待一段使新密鑰簽名密鑰在DNS區(qū)域的父域中發(fā)布的第二處理時間后，在第二發(fā)送時刻完成傳送新密鑰簽名密鑰所對應(yīng)的授權(quán)簽名者傳送至父域的從服務(wù)器；由第一發(fā)送時刻起，等待一段第一更新時間后，在DNS密鑰資源記錄集合中刪除原始區(qū)域簽名密鑰，而后使用新密鑰簽名密鑰重新簽名DNS密鑰資源記錄集合，且由第二發(fā)送時刻起，等待一段第二更新時間后，在DNS密鑰資源記錄集合中刪除原始密鑰簽名密鑰，而后使用新密鑰簽名密鑰重新簽名DNS密鑰資源記錄集合。
[0008]DNS安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法，區(qū)域簽名密鑰和密鑰簽名密鑰并行更新，從而縮短了整個更新時間。
[0009]在域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法的又一種示意性的實施方式中，發(fā)布時間的最小值為DNS區(qū)域的傳送延遲時間與DNS區(qū)域的密鑰資源記錄集合的生存周期之和。
[0010]在域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法的另一種示意性的實施方式中，第一處理時間至少為DNS區(qū)域的傳送延遲時間與使用新區(qū)域簽名密鑰簽名DNS區(qū)域的所有資源記錄集合所需時間之和；第二處理時間至少為提交新密鑰簽名密鑰或新密鑰簽名密鑰所對應(yīng)的授權(quán)簽名者至DNS區(qū)域的父域，與新密鑰簽名密鑰所對應(yīng)的授權(quán)簽名者在父域中發(fā)布并傳遞至父域的所有從服務(wù)器所需時間之和。
[0011]在域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法的又一種示意性的實施方式中，第一更新時間至少為舊區(qū)域簽名密鑰所簽名生成的所有DNS區(qū)域的資源記錄簽名記錄中生存周期的最大值；第二更新時間至少為新密鑰簽名密鑰對應(yīng)的授權(quán)簽名者的生存周期。

【專利附圖】

【附圖說明】
[0012]以下附圖僅對本發(fā)明做示意性說明和解釋，并不限定本發(fā)明的范圍。
[0013]圖1用于說明DNS安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法。

【具體實施方式】
[0014]為了對發(fā)明的技術(shù)特征、目的和效果有更加清楚的理解，現(xiàn)對照【專利附圖】

【附圖說明】本發(fā)明的【具體實施方式】，在各圖中相同的標(biāo)號表不相同的部分。
[0015]在本文中，“示意性”表示“充當(dāng)實例、例子或說明”，不應(yīng)將在本文中被描述為“示意性”的任何圖示、實施方式解釋為一種更優(yōu)選的或更具優(yōu)點的技術(shù)方案。
[0016]為了實現(xiàn)DNS安全擴展，在一個DNS區(qū)域設(shè)置了資源記錄集，資源記錄集的類型包括DNS密鑰資源記錄集合(以下簡稱DNSKEY)、資源記錄簽名記錄(以下簡稱RRSIG)和授權(quán)簽名者(以下簡稱DS記錄)。圖1用于說明DNS安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法。如圖所示，在Tpub時刻之前，DNSKEY中保存有原始密鑰簽名密鑰KSK1和原始區(qū)域簽名密鑰ZSKp從Tpub時刻開始，DNS區(qū)域生成用于替代原始密鑰簽名密鑰KSK1的新密鑰簽名密鑰KSK2,以及用于替代原始區(qū)域簽名密鑰ZSK1的新區(qū)域簽名密鑰ZSK2 ;并且將新密鑰簽名密鑰KSK2和新區(qū)域簽名密鑰ZSK2添加到DNSKEY，之后使用新密鑰簽名密鑰KSK2簽名DNSKEY，此時DNSKEY中已添加新區(qū)域簽名密鑰ZSK2和新密鑰簽名密鑰KSK2。
[0017]從Tpub時刻開始，等待一個發(fā)布時間Ipub后，DNS安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法進行到預(yù)備時刻τ_。在預(yù)備時刻I；dy后，使用新區(qū)域簽名密鑰ZSK2簽名DNS區(qū)域的所有資源記錄集合，并且提交新密鑰簽名密鑰KSK2或與新密鑰簽名密鑰KSK2相對應(yīng)的DS記錄至DNS區(qū)域的父域，并在父域發(fā)布與新密鑰簽名密鑰KSK2相對應(yīng)的DS記錄。
[0018]在DNS安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法進一種示意性實施方式中，發(fā)布時間Ipub至少為DNS區(qū)域的傳送延遲時間與DNSKEY的生存周期(Time ToLive,以下簡稱TTL)之和，其中DNS區(qū)域的傳送延遲時間是將本DNS區(qū)域的DNS主服務(wù)器的區(qū)域變化信息傳遞到本DNS區(qū)域的所有DNS從服務(wù)器所需的時間。
[0019]從預(yù)備時刻1'_時刻開始，等待第一處理時間，在第一處理時間結(jié)束后的第一發(fā)送時刻Tdea完成將新區(qū)域簽名密鑰簽名后的DNS區(qū)域的所有資源記錄集合傳遞至本DNS區(qū)域的所有從服務(wù)器，其中第一處理時間內(nèi)完成新區(qū)域簽名密鑰ZSK2簽名DNS區(qū)域的所有資源記錄集合。同時，從預(yù)備時刻時刻開始，等待第二處理時間，在第二處理時間結(jié)束后的第二發(fā)送時刻Tac;t完成傳送新密鑰簽名密鑰KSK2所對應(yīng)的DS記錄至DNS區(qū)域的父域，DS記錄在父域發(fā)布并傳遞至父域的所有從服務(wù)器，其中第二處理時間內(nèi)完成新密鑰簽名密鑰KSK2在DNS區(qū)域的父域中發(fā)布。
[0020]在DNSSEC的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法進一種示意性實施方式中，第一處理時間至少為DNS區(qū)域的傳送延遲時間與使用新區(qū)域簽名密鑰ZSK2簽名DNS區(qū)域的所有資源記錄集合的時間之和，其中DNS區(qū)域的傳送延遲時間是將本DNS區(qū)域的DNS主服務(wù)器的區(qū)域變化信息傳遞到本DNS區(qū)域的所有DNS從服務(wù)器所需的時間；第二處理時間至少為提交新密鑰簽名密鑰KSK2或與新密鑰簽名密鑰KSK2相對應(yīng)的DS記錄至DNS區(qū)域的父域并在父域發(fā)布與新密鑰簽名密鑰KSK2相對應(yīng)的DS記錄所用時間，與將新密鑰簽名密鑰所對應(yīng)的DS記錄在父域發(fā)布后，DS記錄傳遞至父域的所有從服務(wù)器所需時間之和。
[0021]從第一發(fā)送時刻Tdea開始，等待一個第一更新時間后，DNSKEY中刪除原始的區(qū)域簽名密鑰ZSK1,而后使用新密鑰簽名密鑰KSK2重新簽名DNSKEY。同時，從第二發(fā)送時刻Tac;t開始，等待一個第二更新時間后，DNSKEY中刪除原始的密鑰簽名密鑰KSK1,而后使用新密鑰簽名密鑰KSK2重新簽名DNSKEY。至此，完成DNS安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新。
[0022]在DNS安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法進一種示意性實施方式中，第一更新時間至少為舊區(qū)域簽名密鑰所簽名生成的所有所述DNS區(qū)域的RRSIG中生存周期(TTL)的最大值；第二更新時間至少為新密鑰簽名密鑰對應(yīng)的DS記錄的生存周期(TTL)0
[0023]DNS安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法，區(qū)域簽名密鑰和密鑰簽名密鑰并行更新，從而縮短了整個更新時間。
[0024]應(yīng)當(dāng)理解，雖然本說明書是按照各個實施例描述的，但并非每個實施例僅包含一個獨立的技術(shù)方案，說明書的這種敘述方式僅僅是為清楚起見，本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說明書作為一個整體，各實施例中的技術(shù)方案也可以經(jīng)適當(dāng)組合，形成本領(lǐng)域技術(shù)人員可以理解的其他實施方式。
[0025]上文所列出的一系列的詳細說明僅僅是針對本發(fā)明的可行性實施例的具體說明，它們并非用以限制本發(fā)明的保護范圍，凡未脫離本發(fā)明技藝精神所作的等效實施方案或變更，如特征的組合、分割或重復(fù)，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法，包括: 在DNS安全擴展的一個DNS區(qū)域中，在發(fā)布時刻(Tpub)把一個新密鑰簽名密鑰(KSK2)和一個新區(qū)域簽名密鑰(ZSK2)加入到所述DNS安全擴展的DNS密鑰資源記錄集合，而后使用所述新密鑰簽名密鑰(KSK2)和所述新密鑰簽名密鑰(KSK2)的原始密鑰簽名密鑰(KSKP簽名所述DNS密鑰資源記錄集合； 等待一段發(fā)布時間(Ipub)，在該發(fā)布時間(Ipub)結(jié)束的預(yù)備時刻(Triy)之后，使用所述新區(qū)域簽名密鑰(ZSK2)簽名所述DNS區(qū)域的所有資源記錄集合，且提交所述新密鑰簽名密鑰(KSK2)或與所述新密鑰簽名密鑰(KSK2)所對應(yīng)的所述DNS安全擴展的授權(quán)簽名者至所述DNS區(qū)域的父域，并在所述父域中發(fā)布與所述新密鑰簽名密鑰(KSK2)所對應(yīng)的所述授權(quán)簽名者； 由所述預(yù)備時刻(τ_)起，等待一段使用所述新區(qū)域簽名密鑰(ZSK2)簽名所述DNS區(qū)域的所有資源記錄集合的第一處理時間后，在第一發(fā)送時刻(TdM)完成將所述新區(qū)域簽名密鑰(ZSK2)簽名后的所述DNS區(qū)域的所有資源記錄集合傳送至所述DNS區(qū)域的所有從服務(wù)器，且由所述預(yù)備時刻(Τ_)起，等待一段使所述新密鑰簽名密鑰(KSK2)在所述DNS區(qū)域的父域中發(fā)布的第二處理時間后，在第二發(fā)送時刻(Tac;t)完成將所述新密鑰簽名密鑰(KSK2)所對應(yīng)的所述DS記錄傳送至所述父域的從服務(wù)器； 由所述第一發(fā)送時刻(TdM)起，等待一段第一更新時間后，在所述DNS密鑰資源記錄集合中刪除所述區(qū)域鑰簽名密鑰(ZSK2)的原始區(qū)域簽名密鑰(ZSKP，而后使用所述新密鑰簽名密鑰(KSK2)重新簽名所述DNS密鑰資源記錄集合，且由所述第二發(fā)送時刻(Tac;t)起，等待一段第二更新時間后，在所述DNS密鑰資源記錄集合中刪除所述原始密鑰簽名密鑰(KSKP，而后使用所述新密鑰簽名密鑰(KSK2)重新簽名所述DNS密鑰資源記錄集合。
2.如權(quán)利要求1所述的域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法，其中所述發(fā)布時間(Ipub)的最小值為所述DNS區(qū)域的傳送延遲時間與所述DNS區(qū)域的密鑰資源記錄集合的生存周期之和。
3.如權(quán)利要求1所述的域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法，其中所述第一處理時間的最小值為所述DNS區(qū)域的傳送延遲時間與使用所述新區(qū)域簽名密鑰(ZSK2)簽名所述DNS區(qū)域的所有資源記錄集合所需時間之和； 所述第二處理時間的最小值為提交所述新密鑰簽名密鑰(KSK2)或與所述新密鑰簽名密鑰(KSK2)相對應(yīng)的授權(quán)簽名者至所述父域所用時間，與所述新密鑰簽名密鑰(KSK2)相對應(yīng)的授權(quán)簽名者在所述父域中發(fā)布并且傳遞至所述父域的各個從服務(wù)器的時間之和。
4.如權(quán)利要求1所述的域名系統(tǒng)的安全擴展的密鑰簽名密鑰和區(qū)域簽名密鑰的更新方法，其中所述第一更新時間的最小值為所述舊區(qū)域簽名密鑰(ZSKP所簽名生成的所有所述DNS區(qū)域的資源記錄簽名記錄中生存周期的最大值； 所述第二更新時間的最小值為所述新密鑰簽名密鑰(KSK2)對應(yīng)的授權(quán)簽名者的生存周期。
【文檔編號】H04L29/12GK104253793SQ201310261938
【公開日】2014年12月31日 申請日期:2013年6月27日 優(yōu)先權(quán)日:2013年6月27日
【發(fā)明者】王正, 王睿 申請人:政務(wù)和公益機構(gòu)域名注冊管理中心