DNSSEC簽名服務器制造技術

描述了用于執行DNSSEC簽名的系統和方法，其中數字簽名操作可以由網絡可訪問簽名服務器執行，所述服務器配置為與分離的客戶端應用交互。示例的方法可以包括在簽名服務器從戶端應用接收簽名請求以簽名第一數據。簽名服務器可以為該第一數據確定激活的KSK和/或激活的ZSK。第一數據然后可以由簽名服務器發送到數字簽名模塊，其可以包括，例如，硬件支持模塊或者軟件簽名應用。簽名服務器可以從數字簽名模塊接收該第一數據的經數字簽名的版本，并將經簽名的第一數據提供給客戶端應用。

【技術實現步驟摘要】
DNSSEC簽名服務器
技術介紹
域名系統(DNS)是因特網基礎結構的一部分，其將人類可讀域名翻譯為通過因特網建立TCP/IP通信所需的因特網協議(IP)號碼。即，DNS允許用戶使用較容易記憶的域名(例如www.en.example.com)而不是數字IP地址(例如“123.4.56.78”)來訪問網站和其他資源，數字IP地址是軟件使用來與因特網上的計算機進行通信的機器可讀地址。每個域名由一系列由點分隔開的字符串(標簽)組成。域名中最右端的標簽被認為是“頂級域名”(TLD)。熟知的TLD例子是“.com”；“.net”；“.org”等等。每個TLD支持直接在TLD的左側列出的第二級域，例如“www.example.com”中的“example”。每個第二級域可支持多個直接位于在第二級域的左側的第三級域，例如“www.en.example.com”中的“en”。還可以存在附加級別域。例如具有附加域級別的域可以是“www.landscape.photos.example.com”。需要注意單個IP地址，例如分配給單個服務器的一個，可支持多個域名。即，不同域名可解析到相同的服務器，然后服務器可基于請求的域名和/或附加非域信息來確定提供什么內容。這有時被稱為虛擬主機(hosting)。附加非域信息可包括在包括域名的統一資源標識符(“URI”)結構中。例如，“路徑”部分是由正斜杠(“/”)分隔開的一系列片段。該信息可以直接包括在域名的右側，例如“www.example.com/blog/today.htm”中的“blog”，并且可由服務器或其他接收裝置用來識別和傳送特定內容或運行特定代碼。非域信息的其他示例可包括查詢和片段，其具體細節為本領域普通技術人員所理解并且不在此詳細討論。該信息的組合可包括在將用戶導航到相同頁面的其他部分或其他網頁的網頁超鏈接中。因此，從以上提供的各個示例可以看出，并如本領域技術人員所意識到的那樣，域，例如第二級域“example.com”，可包括多種具有不同地址和其他識別手段的不同因特網可訪問信息。域名的實際注冊由公司執行，被稱作域名注冊商(registrar)(“注冊商”)。注冊商向注冊局(registry)注冊域名。例如，終端用戶向注冊商提交域名用于注冊，并且提供該域名將要解析到的IP地址。注冊商與注冊局通信以創建注冊局數據庫記錄，注冊局數據庫記錄可用于將域名解析到終端用戶提供的IP地址，并指出注冊商的身份(通過它域名被注冊)。除非在注冊局域名注冊到期，典型地僅在注冊局的域名記錄中指定的注冊商可以修改或刪除有關域名的注冊局數據庫信息。終端用戶可通過遵循特定域轉移過程來轉換注冊商。注冊商還可作為主機提供商(hostingprovider)，或者終端用戶可具有由獨立的第三方域主機服務寄存(host)的域。區域文件是描述被稱作DNS區域的DNS的一部分的文本文件。區域文件以資源記錄(RR)的形式組織并且包含定義域名和IP地址以及其他資源之間的映射的信息。區域文件的格式由標準定義，每行典型地定義單個資源記錄。行以域名開始，但是如果左側空白，則默認之前定義的域名。域名后面是生存時間(TTL)、類別(其對“因特網”(“internet”)幾乎總是是“IN”并且很少被包括在內)、資源記錄的類型(A、MX、SOA等等)，其后跟隨類型特定數據，例如對于A記錄是IPv4地址。通過使用半冒號可包括注釋，以及通過使用圓括號可繼續行。還存在文件指導(filedirective)，其用以美元符號開始的關鍵字標記。DNS通過為每個域指定權威(authoritative)名稱服務器來分布分配域名并將這些名稱映射到IP地址的責任。權威名稱服務器被分配來負責它們的特定域，并且繼而可為它們的子域分配其他權威名稱服務器。該機制通常幫助避免了單個中央注冊需要連續不斷地被查閱和更新。DNS解析過程允許用戶通過反向查找過程被指引到期望的域，從而用戶進入期望的域，并且DNS返回合適的IP號碼。在DNS解析過程期間，對給定域名的請求從解析器(例如樁解析器(stubresolver))路由至合適的服務器(例如遞歸解析器)以檢索IP地址。為了改進效率、降低通過因特網的DNS業務量以及增加終端用戶應用的性能，DNS支持DNS緩存服務器(cacheserver)，其存儲DNS查詢結果達由正被考慮的域名記錄的生存時間(TTL)所確定的時間段。典型地，這樣的緩存DNS服務器，還被稱作DNS緩存，還執行必要的遞歸算法以將以DNS根開始的給定名稱解析到所查詢域的權威名稱服務器。因特網服務提供商(ISP)典型地為他們的客戶提供遞歸和緩存DNS服務器。此外，家庭網絡路由器可執行DNS緩存和代理以改進在局域網中的效率。雖然DNS的分布特性提供在整個系統的效率方面的顯著優點，但是它還使系統對系統中各個節點處特定類型的故障和/或攻擊易損壞?？赡馨l生的一個特別的問題被稱作DNS緩存中毒。DNS緩存中毒發生在當數據被引入到不是發源于權威DNS源的DNS名稱服務器的緩存數據庫的時候。這可由對名稱服務器的故意攻擊所導致，或者它可以是一個非故意的結果，例如由于錯誤配置的DNS緩存或不適當的DNS應用軟件設計。因此，DNS緩存中毒可導致(1)解析請求失敗，例如當提供了不準確或錯誤配置的IP地址信息時，或(2)請求用戶的解析請求被指向惡意站點，其模仿真正的域并且被用于違法獲得諸如賬戶密碼等信息，或分發例如計算機蠕蟲或病毒等傳送至請求用戶的惡意內容。域名系統安全擴展(DNSSEC)是一套用于保護如IP網絡上使用的DNS所提供的特定類型信息的因特網工程任務組(IETF)規范。DNSSEC規定了為DNS準備的區域文件的簽名，確保DNS數據的來源鑒別和數據完整性，以及經鑒別的否定存在。一般地，DNSSEC中提供的答復是經過數字簽名的，以及通過檢查該數字簽名，DNS解析器能夠檢查該信息是否對應于權威DNS服務器上的信息。DNSSEC使用公鑰密碼用于數字簽名和鑒別。DNSKEY記錄通過信任鏈而被鑒別，其中信任鏈以經核實的用于DNS根區域的公鑰集(其是信任的第三方)開始。為了執行DNSSEC，多個新DNS記錄類型被創建或使適于與DNSSEC一起使用，包括RRSIG、DNSKEY、DS、NSEC、NSEC3和NSEC3PARAM。例如，當使用DNSSEC時，對于DNS查詢的每個權威答復除請求的記錄類型外還將包括RRSIGDNS記錄。RRSIG記錄是答復DNS資源記錄集的數字簽名。該數字簽名可通過定位DNSKEY記錄中發現的正確公鑰來核實。在使用信任鏈的查找過程中，在DNSKEY鑒別中使用DS記錄。NSEC和NSEC3記錄用于提供對不存在的DNS記錄的經鑒別的否定存在響應。DNSSEC的要求涉及存儲在DNSKEY記錄和來自其他源的不同密鑰的使用，以形成信任錨(trustanchor)。存在例如可用于其它DNSKEY記錄簽名的密鑰簽名密鑰(KSK)，以及可用于其他記錄簽名的區域簽名密鑰(ZSK)。由于ZSK在特定DNS區域的使用和控制之下，它們可以更容易和更經常地被轉換。結果是，ZSK一般地可以比KSK更短(在字節長度方面)，同時仍提供可接受的保護級別。雖然已經開發了用于DNS本文檔來自技高網...

【技術保護點】
一種DNSSEC簽名服務器，配置為與至少一個DNSSEC客戶端應用和多個數字簽名模塊進行交互，該DNSSEC簽名服務器包括：處理器；和包括計算機可讀代碼的存儲裝置，所述計算機可讀代碼當由處理器執行時使簽名服務器作為權威服務器以：從所述至少一個客戶端應用接收簽名請求以簽名第一數據；為所述第一數據確定激活的KSK和激活的ZSK中的至少一個；將所述第一數據發送到所述多個數字簽名模塊中的一個；從數字簽名模塊接收所述第一數據的經數字簽名的版本；以及將經簽名的第一數據提供給所述客戶端應用。

【技術特征摘要】
2011.05.02 US 13/0989401.一種DNSSEC簽名服務器，配置為與至少一個單獨的DNSSEC客戶端應用和多個數字簽名模塊進行交互，該DNSSEC簽名服務器包括：處理器；和包括計算機可讀代碼的存儲裝置，所述計算機可讀代碼當由處理器執行時使簽名服務器作為權威服務器以：從所述至少一個單獨的客戶端應用接收簽名請求以數字簽名包括在所述簽名請求中的第一數據；為所述第一數據確定激活的KSK和激活的ZSK中的至少一個；將所述第一數據發送到所述多個數字簽名模塊中的一個以便被數字簽名；從數字簽名模塊接收所述第一數據的經數字簽名的版本；以及將經簽名的第一數據提供給所述單獨的客戶端應用。2.根據權利要求1所述的服務器，其中所述簽名服務器進一步配置為：接收作為相同簽名請求的部分的請求來簽名第二數據；為所述第二數據確定激活的KSK和激活的ZSK中的至少一個，并且其不同于用于所述第一數據的所述激活的KSK和/或激活的ZSK中的至少一個；將所述第二數據發送到所述多個數字簽名模塊中的一個；從數字簽名模塊接收所述第二數據的經數字簽名的版本；以及將經簽名的第二數據提供給所述單獨的客戶端應用。3.根據權利要求1所述的服務器，其中所述第一數據包括DNS數據，以及所述數字簽名模塊配置為根據DNSSEC協議對DNS數據的特定部分進行簽名，而不是對整個區域簽名。4.根據權利要求3所述的服務器，其中所述簽名服務器進一步配置為提供額外的非DNSSEC數字簽名功能。5.根據權利要求1所述的服務器，其中所述簽名服務器進一步配置為：接收多個簽名請求作為單個請求分組的部分；以及分析所述請求分組以識別具有彼此不同的激活的KSK.激活的ZSK和簽名協議中的至少一個的不同簽名請求。6.根據權利要求1所述的服務器，其中所述激活的KSK和激活的ZSK中的至少一個基于包括在所述簽名請求中的TLD標識符來被確定。7.根據權利要求6所述的服務器，其中所述簽名服務器進一步配置為基于包括在所述簽名請求中的服務類型標識符從多個不同的數字簽名功能中區分請求的簽名功能，并基于所述服務類型標識符將非DNSSEC簽名請求路由到非DNSSEC數字簽名模塊。8.根據權利要求1所述的服務器，其中每個數字簽名模塊包括硬件安全模塊（HSM），其在物理上與所述簽名服務器的處理器分離，并配置為對由所述簽名服務器提供的數據進行數字簽名。9.根據權利要求8所述的服務器，其中所述HSM包括多個根據別名標識符識別的多個密鑰，以及所述簽名服務器進一步配置為將用于DNS數據的KSK和ZSK中的至少一個的別名標識符傳遞到所述數字簽名模塊，而不傳遞所述KSK和ZSK中的至少一個到所述數字簽名模塊。10.根據權利要求9所述的服務器，其中所述簽名服務器進一步配置為定期檢查激活的KSK或ZSK的數據庫，以及基于從所述數據庫接收的信息確定在給定時間內哪些別名標識符是激活的，以及其中傳遞到所述數字簽名模塊的別名標識符是激活的別名標識符。11.根據權利要求9所述的服務器，其中所述服務器進一步配置為基于所述激活的KSK和/或激活的ZSK中的至少一個識別特定HSM以發送所述第一數據。12.根據權利要求1所述的服務器，其中所述簽名服務器進一步配置為處理關于在不同頂級域下的域的請求。13.根據權利要求1所述的服務器，其中所述簽名進一步配置為處理關于由多個注冊商管理的至少兩個域的請求。14.根據權利要求1所述的服務器，其中所述客戶端和所述簽名服務器之間的通信通過雙向SSL來執行。15.根據權利要求1所述的服務器，其中所述簽名進一步配置為：為所述第一數據確定多于一個的激活的密鑰和/或激活的算法；將用于所述多于一個的激活的密鑰和/或激活的算法的標識符發送到所述數字簽名模塊；從所述數字簽名模塊接收所述第一數據的多個經數字簽名的版本；以及將第一數據的所述多個經數字簽名的版本提供給所述單獨的客戶端應用。16.根據權利要求1所述的服務...

【專利技術屬性】
技術研發人員：D·史密斯，J·古爾德，R·萊武，D·德什潘德，
申請(專利權)人：弗里塞恩公司，
類型：發明
國別省市：