• “不检点”女院长,到底干了些什么? 2019-05-20
  • 車·晓 第28期 換帥救市立桿見影? 2019-05-20
  • 农民夜校成十九大精神宣讲重要课堂 2019-05-09
  • 南通如皋为应对督察“回头看”违法掩埋危险废物 2019-05-09
  • 传祺GA4张杰·星耀限量版上市 2019-05-07
  • 江尔雄:新时代对台工作思想遵循和行动指南 2019-05-07
  • 美女子上树救爱猫无奈被困惊动消防队 2019-05-04
  • 北京朝阳百子湾南一路发生车祸致2死3伤 2019-05-04
  • 荆楚网企业法人营业执照 2019-04-25
  • 收费高航企标准不同 机票退改签乱象怎么破? 2019-04-25
  • 河北永清:小麦丰收秸秆变宝 2019-04-24
  • 车俊会见毛里求斯代总统 2019-04-24
  • 天津多举措保大棚房复垦 2019-04-24
  • 越南的现状应该给中国敲响警钟,强坛更是如此。上城客们现在是在动嘴,造舆论煽风点火,不防到点,越南现在发生的事情也可能在中国出现。 2019-04-24
  • 大视野 看重庆——华龙网 2019-04-22
  • 新闻中心

    当前位置: 首页 > 新闻中心 > 新闻中心
    ICANN完成DNS根区密钥轮转,泰策简述密钥前因后果
    发表时间:2018-10-23     浏览次数:1168     来源:

    快乐购官方网站电话 www.qmxcs.com         按照预定计划,ICANN(互联网名称与数字地址分配机构,The Internet Corporation for Assigned Names and Numbers)已于世界协调时 2018 年 10 月 11 日下午 4 点进行DNS系统根区密钥(KSK)轮转,拥有新KSK(即KSK-2017)签名的新版根区已经面向根服务器发布。就目前ICANN统计的信息来看,自根区KSK轮转启动以后, 暂未发现任何有关根区 KSK 轮转的严重问题。
     
    什么是根区域
        DNS系统将人们可以记住的域名转换为计算机使用的数字(即IP地址)以寻找其目的地,有点类似于用来查找电话号码的电话簿。它分阶段完成此项工作。它“查找”的第一个地方是目录服务的顶级域,即“根区域”。以 www. testor. com.cn为例,本地DNS服务器要向从根开始的各级授权服务器发起查询请求。首先访问根服务器,根服务器告知本地DNS服务器它授权出去的管理cn区的授权服务器的地址,本地DNS服务器继续向cn区查询,依次类推,直至找到www.qmxcs.com的授权服务器,得到快乐购官方网站电话 www.qmxcs.com的地址,并返回给客户端。这些目录服务分别由不同的实体进行管理:根区域由 ICANN 管理。
     
    什么是DNSSEC
        随着互联网应用的不断深化,DNS已然成为网络攻击的热点目标,典型攻击包括DDoS攻击、放大攻击、递归攻击、缓存投毒、修改域名注册信息、隧道攻击、资源锁定攻击等,越来越多的基于DNS的攻击已经严重影响到用户的网络安全,使用户的数据、资产和信誉都处于风险之中。
        以缓存投毒(Cache Poisoning)为例,通过向DNS服务器的本地缓存中注入非法数据,将用户正常的域名访问请求引导至攻击者服务器,而黑客将在 DNS 系统中发现的漏洞(如漏洞VU#800113)与技术进步相结合,大大缩短了劫持DNS 查找过程的任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作(如将用户引导至恶意网站等),若要在技术上消除这样的安全隐患,一个有效的解决方案是以端到端的形式部署一种称为 DNS 安全扩展 (DNS Security Extensions, DNSSEC) 的安全协议。
        DNSSEC是将一个特殊签名添加到root、TLD和授权名字服务器,从而为该区域建立一条信任链。DNSSEC能使区域确保DNS请求的应答没有被篡改,简言之,DNSSEC是通过将公钥密码系统引入DNS的层次结构,从而为域名系统生成一个开放的全球公钥基础设施(PKI),以此提高DNS的安全性。
     
    为什么要进行密钥轮转
        从2008年开始,为了维护全球域名系统的安全与稳定,ICANN开始推广部署DNSSEC。 
        DNSSEC的优势在于通过数字签名,防止对域名查询的暗中篡改,从而保障域名查询安全,并抵御可能攻击。KSK在DNSSEC中发挥着重要作用。KSK是一对加密公/私密钥,执行DNSSEC验证功能的软件将信任根区的KSK并创建后续密钥和签名的“信任链”,以验证DNS解析过程中任何环节签名数据的真实性。虽然根区的密钥安全度非常高,但和其他密码一样,始终保持密钥不变也是有安全风险的,密钥也需要定期进行更新,即密钥更换,又称“轮转”(rollover),是维护全球DNS安全与稳定的重要环节。 
        KSK用于对区域签名密钥(ZSK)进行加密签名,根区域维护者使用ZSK对互联网DNS的根区域进行DNSSEC签名。维护最新的KSK对于确保负责DNSSEC验证的DNS解析系统在轮换后继续正常运行至关重要。如果没有最新的根区域KSK,将意味着负责DNSSEC验证的DNS解析系统将无法解析任何DNS查询。
     
    密钥轮转是如何进行的?
        轮转KSK意味着生成新的加密公钥和私钥对,并将新的公共组件分发给操作验证解析系统的有关方,包括:互联网服务提供商、企业网络管理员及其他域名系统(DNS)解析系统运营商、DNS解析系统软件开发商、系统集成商,以及安装或发送根区域“信任锚”(trust anchor)的软硬件分发商。若未开启DNSSEC验证,那轮转影响不会很大,若已经开启,则需保证拥有最新软件、已经部署了DNSSEC、并已经验证其系统能够自动更换密钥。 
        KSK的轮转原本预计在一年以前进行,但当 ICANN 找到轮转前的最新数据并对其分析后,决定暂缓密钥轮转。又经过一年时间的技术准备,ICANN已于10月11日启动密钥轮转。尽管之前各种消息提示,如“互联网将在不到12小时内‘关闭’,以便ICANN进行DNS加密密钥的更新”、“全球互联网换密码、上网将受短暂影响”等,但就目前ICANN统计的信息来看,自根区KSK轮转启动以后,暂未发现任何有关根区 KSK 轮转的严重问题。 
        泰策作为国内领先的DNS系统解决方案提供商,已为国内多家省级电信运营商提供DNS系统方案及技术支持。虽然由于国内的缓存/递归服务器还没有开启DNSSEC,所以在此次KSK轮转过程中各运营商的DNS系统没未有经受考验,但泰策一直在跟踪最新的业界技术发展和动态,包括DNSSEC的发展和技术要求等,我们会一如既往地全力保障电信运营商DNS系统的稳定运行,保证广大用户的上网体验。
     
     

  • “不检点”女院长,到底干了些什么? 2019-05-20
  • 車·晓 第28期 換帥救市立桿見影? 2019-05-20
  • 农民夜校成十九大精神宣讲重要课堂 2019-05-09
  • 南通如皋为应对督察“回头看”违法掩埋危险废物 2019-05-09
  • 传祺GA4张杰·星耀限量版上市 2019-05-07
  • 江尔雄:新时代对台工作思想遵循和行动指南 2019-05-07
  • 美女子上树救爱猫无奈被困惊动消防队 2019-05-04
  • 北京朝阳百子湾南一路发生车祸致2死3伤 2019-05-04
  • 荆楚网企业法人营业执照 2019-04-25
  • 收费高航企标准不同 机票退改签乱象怎么破? 2019-04-25
  • 河北永清:小麦丰收秸秆变宝 2019-04-24
  • 车俊会见毛里求斯代总统 2019-04-24
  • 天津多举措保大棚房复垦 2019-04-24
  • 越南的现状应该给中国敲响警钟,强坛更是如此。上城客们现在是在动嘴,造舆论煽风点火,不防到点,越南现在发生的事情也可能在中国出现。 2019-04-24
  • 大视野 看重庆——华龙网 2019-04-22
  • 湖南幸运赛车网上买 爱彩网下载 体育博彩 足彩让分胜负是什么意思 千禧3d试机号金码关注家彩网 qq分分彩开奖正规吗 天津时时彩开奖直播版 重庆幸运农场综合试图 双色球推荐 魅力香吻中奖规则 京东彩票如何兑奖 北京赛车开户 okooo澳客网出什么事了 重庆时时彩票改成欢乐生肖吗 烟台福利彩票中心地址 彩票老时时彩