ICS33.040.40 CCS L78 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 域名服务系统安全扩展(DNSSEC)协议测试 方法 Test methods for security extension of DNS 点击此处添加与国际标准一致性程度的标识 行业标准信息服务平台 (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发 布
YD/TXXXXXXXXX 目次 前言, III 范围 2规范性引用文件. 3术语和定义. 4缩略语 5域名系统安全扩展(DNSSEC) 6DNSSEC测试方法 6.1域名服务器. 6.1.1区签名密钥对生成, 6.1.2密钥签名密钥对生成. 6.1.3公钥摘要生成 6.1.4域名服务器密钥存储. 6.1.5区签名. 6.1.6区签名到期后区重签名, 6.1.7区文件的内容修改后区重签名 6.1.8ZSK常规密钥轮转 6.1.9KSK常规密钥轮转 6.1.10ZSK紧急密钥轮转 6.1.11KSK紧急密钥轮转 6.1.12EDNS0扩展支持.
6.1.13TCP开放53端口支持 8 6.1.14DNSSEC查询应答 6.1.15NSEC应答. 6.1.16NSEC3应答. 6.2解析器. 6 6.2.1信任锚配置. 9 6.2.2以根域的DNSKEY公钥为信任锚进行签名验证, 6.2.3以父域公钥为信任错进行签名验证.
10 6.2.4签名验证结果. 6.2.5签名验证算法支持. 10 6.2.6授权验证算法支持. 10 6.2.7DNSSEC查询请求与验证 11 6.2.8NSEC支持 6.2.9NSEC3支持.
6.3其他.... 6.3.1域名服务器支持动态更新时的私钥存储.
YD/TXXXXXXXXX 6.3.2域名服务器不支持动态更新时的私钥存储.. 12 6.3.3用于信任锚配置的公钥发布.... 2 6.3.4父区获取KSK紧急密钥轮转后的密钥. 行业标准信息服务平台
YD/TXXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》给出的规 则起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国互联网络信息中心、深圳信息通信研究院、中国信息通信研究院.
本文件主要起草人:马中胜、李婉婷、沈浩涛、张宇华、周琳琳、董科军、刘芷若.
行业标准信息服务平台 I11
YD/T XXXXXXXXX 域名服务系统安全扩展(DNSSEC)协议测试方法 1范围 本文件针对域名服务系统安全扩展的协议测试进行了详细的规定,并提出了测试的要求.
本文件适用于域名服务系统的安全扩展协议测试.
2规范性引用文件 下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅所注日期的版本适用于本文 件.
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T33562-2017信息安全技术安全域名系统实施指南 YD/T2140-2010域名服务安全框架技术要求 YD/T2586-2013域名服务系统安全扩展(DNSSEC)协议和实现要求 YD/T3008-2016域名服务安全状态检测要求 IETF RFC5155 散列的DNSSEC否定存在验证(DNS Security (DNSSEC) Hashed Authenticated Denial of Existence) IETF RFC8624 DNSSEC算法实现需求与使用指南(Algorithm Implementation Requirements and Usage Guidance for DNSSEC) 3术语和定义 YD/T2586-2013、YD/T3008-2016、GB/T33562-2017界定的以及下列术语和定义适用于本文件.
3. 1 城名系统 domainname systenm 一种将域名映射为某些预定义类型资源记录(resourcerecord)的分布式互联网服务系统,网络中 域名服务器间通过相互协作,实现将域名最终解析到相应的资源记录.
3. 2 资源记录resourcerecord 在域名系统中用于存储与域名相关的属性信息,简称RR.
每个域名对应的记录可能为空或者多条.
域名的资源记录由名字(name)、类型(type)、种类(class)、生存时间(tt1)、记录数据长度(rdlength)、 记录数据(rdata)等字段组成.
3. 3 域名服务器name server 用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求的服务器.
