專(zhuān)利名稱(chēng):管理dnssec請(qǐng)求的服務(wù)器和方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及用于電信網(wǎng)絡(luò)中的域服務(wù)器(也稱(chēng)作"域名服務(wù)器��,���,) 的領(lǐng)域����。
背景技術(shù):
網(wǎng)絡(luò)中的域名由域名系統(tǒng)(DNS)結(jié)構(gòu)來(lái)管理�,該域名系統(tǒng)結(jié)構(gòu)由互 聯(lián)網(wǎng)工程任務(wù)組(IETF)發(fā)布的請(qǐng)求注釋(RFC) 1034定義。 該結(jié)構(gòu)引入了由網(wǎng)絡(luò)中的一組機(jī)器組成的"域"的概念����。 圖l示出了這種結(jié)構(gòu)。域"."����、".fr"、 ".com"���、 "ft.com"和"rd.ft.com"包括子域����。例如,域"ft.com"包括三個(gè)子域"user.ft.com" ��、"rd.ft.com"和 "www.ft.com���,���,。圖1中加下劃線(xiàn)的域稱(chēng)作"最終域"��。最終域可以表示一個(gè)或多個(gè)物 理才幾器�����,這是最終域www.rd.ft .com的'清〉兄���,其在這個(gè)伊J子中侈'J :i口是web 服務(wù)器�,但是最終域也可以不表示物理機(jī)器�����,這是最終域user.ft.com的情 況���,其在這個(gè)例子中例如由標(biāo)記為"用戶(hù)"的用戶(hù)個(gè)人信息組成�����。包括一個(gè)或多個(gè)子域的域關(guān)聯(lián)于域服務(wù)器����。該域服務(wù)器包括區(qū)域文件���。域在邏輯上是互相鏈接的����,以便任何域的DNS數(shù)據(jù)都可以通過(guò)向域名 服務(wù)器從根服務(wù)器開(kāi)始漸進(jìn)地(即從"父"到"子")提出請(qǐng)求來(lái)獲取��。RFC 1034中提到的"DNS數(shù)據(jù)"可以特別地代表域的IP (互聯(lián)網(wǎng)協(xié) 議)地址��、文本或任何其他關(guān)聯(lián)于域的字段���。不幸的是����,DNS結(jié)構(gòu)具有安4^陷�����。例如,當(dāng)用戶(hù)登錄到網(wǎng)站上執(zhí)行銀行事務(wù)時(shí)���,并不能夠確保他實(shí)際上 連接到了所請(qǐng)求的站點(diǎn)而不是試圖通過(guò)欺詐獲得其銀行信息的假冒站點(diǎn)��。IETF RFC 4033和RFC 4035定義了 DNS協(xié)議的安全擴(kuò)展�����,其稱(chēng)作 "DNSSEC"協(xié)議�。返回前面的情景�����,DNSSEC協(xié)議保證用戶(hù)實(shí)際上連接 到所請(qǐng)求的站點(diǎn)���。更確切地,DNSSEC協(xié)議通過(guò)用簽名加密DNS數(shù)據(jù)來(lái)保證DNS數(shù)據(jù) 的完整性�����。因此��,由域名服務(wù)器管理的域的特征在于一對(duì)>^鑰/私鑰�����,其表示為 ZSK (Zone Signing Key,區(qū)域簽署密鑰)�;該對(duì)簽名密鑰中的公共和私 人成分分別表示為ZSK[pu]和ZSK[pr����。已利用DNSSEC協(xié)議向DNS服 務(wù)器提交請(qǐng)求以獲得DNS數(shù)據(jù)(通常稱(chēng)為RR DATA )的用戶(hù)從該服務(wù)器 接收到所請(qǐng)求的數(shù)據(jù)RR DATA以及借助于私鑰ZSK[pr而執(zhí)行的RR DATA簽名值���。用戶(hù)可以特別地提交"密鑰�,��,請(qǐng)求�。在這種情況下���,如上所述����,用戶(hù) 明確地獲得密鑰ZSK[pu和利用私鑰ZSK[pr]生成的簽名值�����;然而�,用戶(hù) 也接收了表示為KSK (密鑰簽署密鑰)的密鑰對(duì)中的公共部分KSK[pu
和借助于這個(gè)KSK對(duì)中的私人成分KSK[pr]而生成的密鑰ZSK[pul和 KSK[pu的簽名值��。通過(guò)向有關(guān)域的"父"域提交請(qǐng)求,用戶(hù)可以發(fā)汪密 鑰ZSK[pn]�����,該密鑰最終使其能夠檢驗(yàn)來(lái)自有關(guān)域的任何DNS數(shù)據(jù)的簽 名。DNSSEC協(xié)議因而建立了域?qū)哟沃械男湃捂湣_@個(gè)協(xié)議的傳統(tǒng)實(shí)現(xiàn)具有這樣的缺點(diǎn)簽署給定域的所有DNS數(shù)據(jù)的 操作對(duì)于域管理而言在資源方面成^f艮高����。此外����,更新ZSK對(duì)時(shí),用密鑰 ZSK[pr]簽署的所有數(shù)據(jù)的簽名必須也^皮更新��,這在計(jì)算時(shí)間方面成本;f艮 高。發(fā)明內(nèi)容本發(fā)明提出了 一種用于簡(jiǎn)化并促進(jìn)由域名服務(wù)器管理的數(shù)據(jù)簽名的計(jì)算的解決方案���。為此�����,本發(fā)明的第一方面涉及一種電信網(wǎng)絡(luò)中的域服務(wù)器��,其適于管理與所述域有關(guān)的DNSSEC請(qǐng)求,包括用于M戶(hù)端設(shè)備接收關(guān)于獲取該 域中的DNS數(shù)據(jù)的請(qǐng)求的裝置�。 這個(gè)服務(wù)器包括-區(qū)域文件,其包括一個(gè)或多個(gè)定義將所述域劃分成多個(gè)子區(qū)域的分布 規(guī)則��,每個(gè)子區(qū)域的DNS數(shù)據(jù)都關(guān)聯(lián)于專(zhuān)用于該子區(qū)域的稱(chēng)作"劃分密鑰" 的密鑰對(duì)�;-用于從所述區(qū)域文件獲取足以標(biāo)識(shí)與所搜尋的DNS數(shù)據(jù)關(guān)聯(lián)的劃分 密鑰對(duì)的有用信息的裝置;和-用于響應(yīng)于所述請(qǐng)求而向所^戶(hù)端設(shè)備發(fā)送以下內(nèi)容的裝置 畫(huà)所搜尋的DNS數(shù)據(jù)��;-利用所述關(guān)聯(lián)的劃分密鑰對(duì)中的私人成分而生成的該數(shù)據(jù)的簽名值;-所述信息����。一般來(lái)說(shuō),術(shù)語(yǔ)"區(qū)域"是指服務(wù)器上托管的所有數(shù)據(jù)����,而術(shù)語(yǔ)"域" 是指邏輯實(shí)體。然而���,術(shù)語(yǔ)"區(qū)域"和"域"在文學(xué)上通?�?商鎿Q地,皮使用����。本發(fā)明的域名服務(wù)器因此將域劃分成子區(qū)域����, 一對(duì)密鑰被單獨(dú)地分配 給每個(gè)子區(qū)域。特別地�����,不同長(zhǎng)度的密鑰可以被分配給不同的劃分。因此�,關(guān)聯(lián)于更 敏感的域的數(shù)據(jù)可以用較長(zhǎng)的密鑰來(lái)簽署,這是以增加執(zhí)行該簽署所需要 的計(jì)算時(shí)間為代價(jià)的��。這些劃分可以在物理上位于或不位于同 一服務(wù)器上���。 由于本發(fā)明,區(qū)域的管理可以專(zhuān)用于若干不同的管理實(shí)體�,所述管理 實(shí)體負(fù)責(zé)選擇用于簽署數(shù)據(jù)以及每個(gè)子區(qū)域的更新規(guī)則的密鑰。現(xiàn)有技術(shù) 在一個(gè)區(qū)域內(nèi)使用若干簽名密鑰�����,并且所使用的密鑰在每次簽名中都被指 明�。利用本發(fā)明,在涉及簽名操作的情況下�, 一個(gè)區(qū)域可以被單獨(dú)地劃分成多個(gè)被管理的子區(qū)域,這簡(jiǎn)化了主服務(wù)器的任務(wù)��。本發(fā)明的DNS服務(wù)器 因而與其劃分建立了信任鏈(這是必要的�����,因?yàn)槊荑€通常在別處而不是在 DNS服務(wù)器)����。在密鑰更新操作期間����,其簽名必須凈皮更新的字段可以在不 必檢查區(qū)域文件的所有數(shù)據(jù)的情況下直接地被確定�。本發(fā)明的核心具體地在于由服務(wù)器讀取的區(qū)域文件。因此���,本發(fā)明的 第二方面是一種數(shù)據(jù)結(jié)構(gòu)�����,該數(shù)據(jù)結(jié)構(gòu)包括可由電信網(wǎng)絡(luò)中的域名服務(wù)器 讀取的計(jì)算機(jī)文件��。該計(jì)算機(jī)文件包括定義將所述域劃分成多個(gè)子區(qū)域的一個(gè)或多個(gè)分布 規(guī)則�,所述子區(qū)域中每一個(gè)的DNS數(shù)據(jù)都關(guān)聯(lián)于專(zhuān)用于該子區(qū)域的"劃分 密鑰對(duì)"�,所述分布規(guī)則使之能夠獲得足以用于標(biāo)識(shí)哪個(gè)劃分密鑰對(duì)與從 所述域的DNS數(shù)據(jù)中選出的任何數(shù)據(jù)相關(guān)聯(lián)的有用信息。在實(shí)際中�,區(qū)域的管理員定義該區(qū)域的邏輯劃分,這相當(dāng)于將域的子 區(qū)域化分成不同的組�,每個(gè)組都用用于加密其數(shù)據(jù)的密鑰來(lái)表征。本發(fā)明的計(jì)算機(jī)文件因而主要包括簽名密鑰對(duì)的標(biāo)識(shí)符列表和用于標(biāo) 識(shí)關(guān)聯(lián)于所搜尋的DNS數(shù)據(jù)的密鑰對(duì)的分布規(guī)則���。由服務(wù)器發(fā)回的用于重定向其客戶(hù)端的有用信息可以是不同的類(lèi)型����。例如,它可以包括以下內(nèi)容中的一項(xiàng)-所述關(guān)聯(lián)的劃分密鑰對(duì)的公共成分���;和-具有所有劃分密鑰的公共成分的所述一個(gè)或多個(gè)分布規(guī)則�。例如��,如果有用信息是分布規(guī)則�����,則客戶(hù)端設(shè)備或其管理員必須解釋 該分布規(guī)則以確定其私人成分被用于簽署數(shù)據(jù)的密鑰對(duì)�。因此���,更一般地����,本發(fā)明的第三方面涉及一種電信網(wǎng)絡(luò)中的域名服務(wù) 器的客戶(hù)端數(shù)據(jù)處理系統(tǒng)���,其包括用于向所述服務(wù)器發(fā)送關(guān)于獲取該域的 DNS數(shù)據(jù)的DNSSEC請(qǐng)求���。這個(gè)數(shù)據(jù)處理系統(tǒng)包括用于響應(yīng)于所述請(qǐng)求而解釋所接收的信息的裝 置,這個(gè)信息4吏其能夠標(biāo)識(shí)稱(chēng)作"/>共劃分密鑰"的多個(gè)密鑰中的哪個(gè)密 鑰對(duì)應(yīng)于被用于簽署所述DNS數(shù)據(jù)的私鑰。在優(yōu)選實(shí)施例中��,用于標(biāo)識(shí)密鑰對(duì)的分布規(guī)則是常規(guī)的表達(dá)�����。常規(guī)表達(dá)可以被定義為一行命令搜尋字符串中的模板(pattern)的計(jì) 算機(jī)代碼��。根據(jù)特定的特征��,所述域名服務(wù)器包括用于解釋常規(guī)表達(dá)�����、獲取合適 的公鑰并將它發(fā)送給客戶(hù)端設(shè)備的裝置����。這個(gè)特別有利的特征大大促進(jìn)了不具有適于解釋常規(guī)表達(dá)的客戶(hù)端設(shè) 備的用戶(hù)的任務(wù)。以相關(guān)的方式����,本發(fā)明涉及一種用于管理與電信網(wǎng)絡(luò)中的域有關(guān)的 DNSSEC請(qǐng)求的方法,該方法包括vM^l戶(hù)端設(shè)備接收關(guān)于獲取該域的DNS 數(shù)據(jù)的請(qǐng)求的步驟��。這個(gè)方法還包括下列步驟—讀取包含一個(gè)或多個(gè)分布規(guī)則的區(qū)域文件��,所述分布規(guī)則定義了將 域劃分成多個(gè)子區(qū)域,每個(gè)子區(qū)域的DNS數(shù)據(jù)都關(guān)聯(lián)于稱(chēng)作"劃分密鑰"的專(zhuān)用于所述子區(qū)域的密鑰對(duì)�����;-從所述區(qū)域文件中獲取足以標(biāo)識(shí)與所搜尋的DNS數(shù)據(jù)相關(guān)聯(lián)的劃分密鑰對(duì)的有用信息��;以及-響應(yīng)于所述請(qǐng)求向所述客戶(hù)端設(shè)備發(fā)送 -所搜尋的DNS數(shù)據(jù)����;-利用關(guān)聯(lián)劃分密鑰對(duì)的私人成分而生成的該數(shù)據(jù)的簽名值;和 -有用信息�����。本發(fā)明還涉及一種用于獲取電信網(wǎng)絡(luò)中的域的DNS數(shù)據(jù)的方法�,該方 法包括發(fā)送用于獲取所述DNS數(shù)據(jù)的DNSSEC請(qǐng)求的步驟��。該方法還包括響應(yīng)于上述請(qǐng)求來(lái)解釋所接收的有用信息以標(biāo)識(shí)稱(chēng)作 "公共劃分密鑰"的多個(gè)密鑰中的哪個(gè)密鑰對(duì)應(yīng)于被用于簽署所搜尋的 DNS數(shù)據(jù)的私鑰��。在優(yōu)選的實(shí)施例中��,所述管理方法和所述獲取方法的各個(gè)步驟由計(jì)算 ^^呈序指令來(lái)確定����。因此����,本發(fā)明還涉及一種信息介質(zhì)上的計(jì)算枳4呈序��,所述程序可以在 作為域名服務(wù)器或客戶(hù)端設(shè)備的計(jì)算機(jī)上執(zhí)行����,并且包括用于執(zhí)行上述域名管理方法或上述獲取數(shù)據(jù)的方法的指令。這些程序可以使用任何編程語(yǔ)言并且采取源代碼����、目標(biāo)代碼或源代碼 與目標(biāo)代碼之間的中間代碼的形式,例如部分編譯的形式�,或任何其他期望的形式。本發(fā)明還涉及一種計(jì)算機(jī)或域名服務(wù)器可讀的信息介質(zhì)����,其包括如上 所述的計(jì)算機(jī)程序指令。所述信息介質(zhì)可以是能夠存儲(chǔ)程序的任何實(shí)體或設(shè)備�����。例如�����,所述介質(zhì)可以包括例如ROM的存儲(chǔ)裝置,例如CD ROM或孩史電子電路ROM,或磁性存儲(chǔ)裝置��,例如軟盤(pán)或硬盤(pán)�。此外,所述信息介質(zhì)可以是可傳輸介質(zhì)����,例如電或光信號(hào),其可以經(jīng)由電纜或光纜���、通過(guò)無(wú)線(xiàn)或其他方式被發(fā)送���。本發(fā)明的程序可以特別地從互聯(lián)網(wǎng)型的網(wǎng)絡(luò)上下載?�?蛇x地��,所述信息介質(zhì)可以是其中包括程序的集成電路����,所述電路適于執(zhí)行正討論的方法或被用于其執(zhí)行�。
通過(guò)閱讀下面參考附錄和示出一個(gè)非限制性實(shí)施例的附圖而給出的描 述,本發(fā)明的其他特征和優(yōu)點(diǎn)將變得明顯�����,其中-附錄1示出了符合DNSSEC協(xié)議的父域名服務(wù)器的區(qū)域文件的主要行;-附錄2-1和2-2示出了符合本發(fā)明的優(yōu)選實(shí)施例的子域名服務(wù)器的 區(qū)域文件的主要行����;-上面描述的圖l示出了本領(lǐng)域技術(shù)人員已知的DNS域的樹(shù)的一個(gè)實(shí)例;-圖2示出了根據(jù)本發(fā)明的優(yōu)選實(shí)現(xiàn)的�、包括父域名服務(wù)器和子服務(wù)器的電信網(wǎng)絡(luò);-圖3是示出本發(fā)明��、的用于管理域名的方法的優(yōu)選實(shí)現(xiàn)的主要步驟的 流程圖�;和-圖4是示出根據(jù)本發(fā)明的用于獲取DNS數(shù)據(jù)的方法的優(yōu)選實(shí)現(xiàn)的主 要步驟的流程圖。
具體實(shí)施方式
圖2示出了電信網(wǎng)絡(luò)1�����,管理區(qū)域".com"的域名服務(wù)器nscom���、管 理區(qū)域zl.com的域名服務(wù)器nszl以及能夠向這些域名服務(wù)器中的任一個(gè) 發(fā)送請(qǐng)求以獲取與域關(guān)聯(lián)的數(shù)據(jù)DNS RR DATA的客戶(hù)端設(shè)備CL1連接 到該電4言網(wǎng)絡(luò)�。對(duì)于客戶(hù)端i殳備CL1和域名月艮務(wù)器nscom 和nszl中的每一個(gè)���,圖2 示出了用于通過(guò)電信網(wǎng)絡(luò)1發(fā)送和接收數(shù)據(jù)的裝置10�,這些裝置例如由與 運(yùn)行超文本傳輸協(xié)議(HTTP)的驅(qū)動(dòng)器相關(guān)聯(lián)的網(wǎng)絡(luò)卡構(gòu)成���,以及標(biāo)準(zhǔn) 的計(jì)算機(jī)處理裝置20���,特別是處理器����、包含計(jì)算機(jī)程序的存儲(chǔ)器以及用于 臨時(shí)存儲(chǔ)執(zhí)行程序所必需的變量的隨機(jī)訪(fǎng)問(wèn)存儲(chǔ)器����。子服務(wù)器iiszl的處理裝置20執(zhí)行計(jì)算機(jī)程序指令,該指令執(zhí)行圖3 所示的本發(fā)明的管理方法的主要步驟E10至E50����。類(lèi)似地,客戶(hù)端設(shè)備CL1的處理裝置20執(zhí)行計(jì)算機(jī)程序指令����,該指 令執(zhí)行圖4所示的本發(fā)明的用于獲取數(shù)據(jù)的方法的主要步驟FIO至F30。假設(shè)在步驟F10中�,利用通信裝置10,客戶(hù)端設(shè)備CL1發(fā)送請(qǐng)求給 IP地址為10.193.161.50的域名服務(wù)器nscom以獲取域"machine.zl.com" 的RR DATA�。這個(gè)域"machine.zl.com"是根據(jù)本發(fā)明的子區(qū)域的一部 分�����,稱(chēng)為"P1"(參見(jiàn)附錄2-2第25行),但M當(dāng)指出�����,客戶(hù)端設(shè)備 CL1在形成其請(qǐng)求時(shí)并不需要知道這個(gè)���。作為例子�,這個(gè)請(qǐng)求可以是如下類(lèi)型dig@10.193.161.50十norecurse machine.zl.com���, 其中dig表示本領(lǐng)域技術(shù)人員熟知的��、用于提交請(qǐng)求給DNS結(jié)構(gòu)中的域名 服務(wù)器的"域信息搜索(Domain Information Groper)"工具�。這個(gè)請(qǐng)求在步驟E10中由域名服務(wù)器nscom的接收裝置10接收����。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到,由于dig命令沒(méi)有包括類(lèi)型���,因此客戶(hù)端所搜尋的數(shù)據(jù)是類(lèi)型為A的數(shù)據(jù)�����,即域"machine.zl.com"的IP地址��。 在從客戶(hù)端CL1接收請(qǐng)求的步驟E10之后���,在步驟E20的過(guò)程中�,服務(wù)器nscom的名稱(chēng)處理裝置20讀取定義了服務(wù)器nscom如何管理區(qū)域 ".com"的區(qū)域文件FCOM.zone (符合DNSSEC協(xié)議)��。這個(gè)區(qū)域文件FCOM.zone可以例如被存儲(chǔ)在服務(wù)器nscom的存儲(chǔ)器30中�����,或被存儲(chǔ)在另一機(jī)器中���。這個(gè)區(qū)域文件FCOM.zone的主要行在附錄1中示出����。更確切地�����,我們關(guān)注的是從域".com"到子域"zl.com"的信任鏈�。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到,用于簽署域".com"的數(shù)據(jù)的密鑰對(duì)分別是ZSK_com和KSK_com���。因此��,如現(xiàn)有4支術(shù)中已知的那樣����,密鑰對(duì)ZSK_com中的私鑰被用于簽署由服務(wù)器nscom托管的所有RR SET字段��。 特別地�,行L5在方括號(hào)之間包括具有密鑰對(duì)ZSK_com的私鑰的字段SOA的簽名值。為簡(jiǎn)化該附錄��,所述簽名用省略號(hào)代替����,即。如現(xiàn)有技術(shù)中已知的那樣����,授權(quán)開(kāi)始(SOA, Start Of Authority)字段包括與由服務(wù)器托管的區(qū)域文件的管理有關(guān)的信息��,例如服務(wù)器管理員的坐標(biāo)和用于更新區(qū)域文件的參數(shù)�����。如現(xiàn)有技術(shù)中已知的那樣,為了確保DNSSEC安全鏈的連續(xù)性�,附錄1的行L16中的字段DS執(zhí)行域".com"與子域之間的鏈接。在這里描述的例子中�����,"[KSK—zl"(參見(jiàn)行L16 )是應(yīng)用子域"zl.com"的密鑰對(duì)KSKjl中的公鑰的散列函數(shù)的結(jié)果����。域".com"中的所有數(shù)據(jù),以及特別是DS型數(shù)據(jù)(參見(jiàn)行L17)��,是用密鑰對(duì)ZSK 陽(yáng)com中的私鑰來(lái)簽署的���。由于客戶(hù)端CL1要獲取域"machine.zl.com"的IP地址���,不知道答 復(fù)的域名服務(wù)器響應(yīng)于該請(qǐng)求而向該客戶(hù)端發(fā)送管理域"zl.com"的域名 服務(wù)器的名稱(chēng)(nszl.zl.com)、該服務(wù)器的IP地址(10.193.161.73)以及 對(duì)應(yīng)于A型數(shù)據(jù)("IP地址型")和NS型數(shù)據(jù)("域名服務(wù)器名稱(chēng)型") 的簽名�����,這個(gè)簽名是利用密鑰對(duì)ZSK_com中的私鑰而生成的(參見(jiàn)行 L12丄15)��?���?蛻?hù)端設(shè)備CL1因而獲得這個(gè)IP地址(步驟F20 )并且可以在對(duì)借 助于密鑰對(duì)ZSK—com中公鑰簽署的數(shù)據(jù)解密后確定其完整性�。記錄DS(參 見(jiàn)行L16和L17)使其能夠知道密鑰對(duì)KSK一zl中的公共成分的"散列" (壓縮的)����。通過(guò)檢驗(yàn)利用密鑰對(duì)ZSK一com中的私人成分而生成的簽名 來(lái)檢查記錄DS的完整性��。然后��,為了獲得域"machine.zl.com"的IP地址(重復(fù)步驟F10 )����, 客戶(hù)端設(shè)備CL1發(fā)送請(qǐng)求給IP地址為10.193.161.73的域名服務(wù)器(即服 務(wù)器nszl)?���?蛻?hù)端獲得密鑰對(duì)KSl^zl中的公共成分,這使其能夠檢驗(yàn)其"散列" 與之前在字段DS中獲得的"散列"是相同的�。密鑰對(duì)ZSK—zl中的公共 成分是用密鑰對(duì)KSK—zl中的私人成分來(lái)簽署的,這建立了信任鏈����。 這個(gè)請(qǐng)求在步驟E10中由域名服務(wù)器iiszl的接收裝置10接收。 在接收該請(qǐng)求的步驟E10之后�,在步驟E20期間���,服務(wù)器nszl的名 稱(chēng)處理裝置20讀取定義了由服務(wù)器nszl對(duì)區(qū)域zl.com的管理的文件 FZl.zone。這個(gè)區(qū)域文件FZl.zone的主要行在附錄2-1和2-2中示出��。 如上所述�����,本發(fā)明創(chuàng)建了域zl.com的子區(qū)域����,每個(gè)子區(qū)域都關(guān)聯(lián)于一 對(duì)簽名密鑰。為此使用了分布規(guī)則����,該規(guī)則在這個(gè)例子中指明了 -其名稱(chēng)的第一個(gè)字母在a與m之間的來(lái)自子區(qū)域的數(shù)據(jù)必須用第一對(duì)密鑰來(lái)簽署;和-其名稱(chēng)的第一個(gè)字母在n與z之間的來(lái)自子區(qū)域的數(shù)據(jù)必須用第二對(duì)密鑰來(lái)簽署��。在這里描述的實(shí)施例中�,為此使用KEY字段(參見(jiàn)行LIO),因?yàn)檫@ 是由DNSSEC客戶(hù)端CL1搜尋的第一信息�。在這里描述的實(shí)例中,KEY字段中的"ALGO"和"TYPE"字段被 用于確立其涉及密鑰的分布�。這樣,客戶(hù)端CL1被直接通知以分布規(guī)則的存在��。可以使用新的類(lèi)型��。應(yīng)當(dāng)指出��,在附錄2-l的行LIO中�����,類(lèi)型KEY后隨一參考號(hào)碼以區(qū) 分密鑰類(lèi)型�。在這里使用還未被分配的值230�。后續(xù)字段是"協(xié)議"和"算 法,�����,字段�����?��?梢陨潭ㄟ@樣一個(gè)值其表明不應(yīng)當(dāng)將它們考慮在內(nèi)��,或指明 字段的特性(域名�、自變量(argument)等)。L10指示了對(duì)域的分布規(guī)則的參考��。應(yīng)當(dāng)指出�,這個(gè)參考可以以若干 方式而被用于NAPTR字段中。因此可以假設(shè)規(guī)則是如下面的例子中那樣 通過(guò)域名來(lái)參考的Kr IN NAPTR 101 50 "" "srv" "!A[a-m!key.zl.com"���, 或者規(guī)則是作為服務(wù)字段中指示的函數(shù)的自變量來(lái)被參考的IN NAPTR 101 50 "" "srv!kr!" "!A[a-m!key.zl.com"�����, 或者在regexp字段中被參考IN NAPTR 101 50 "" "srv" "!A[a-m!kr:key.zl.com"����。 這些選項(xiàng)與本發(fā)明無(wú)關(guān)并且可以由標(biāo)準(zhǔn)化組織或通過(guò)使用來(lái)確定����。盡管如此,KEY字段必須包括這樣的指示即密鑰并不直接在其字段 中��,并且查詢(xún)必須4皮提交給另一個(gè)域��,即該例子中的域"kr.zl.com"(參 見(jiàn)行LIO)�����。在KEY字段中放置參考而不是密鑰是本發(fā)明的區(qū)域文件的特征。 在這里描述的例子中�����,在字段FZl.zone的行L13至L15中給出了分 布規(guī)則���。在這里實(shí)例中��,第一字段NAPTR (行L13)指示分布規(guī)則不應(yīng)用于 字段kr�����。為將其首先應(yīng)用于域名��,對(duì)于該規(guī)則設(shè)置了較高的級(jí)別(101)。 也可以設(shè)想直接指示密鑰的標(biāo)識(shí)符的��、或劃分的密鑰KSK的值����。 因此,在本實(shí)例中�,與整個(gè)域有關(guān)的信息是"kr.zl.com"或"zl.com"。 以一個(gè)字母開(kāi)始的域名集合中的剩^MP分是在其子區(qū)域內(nèi)被管理的�����。 作為變型,三個(gè)密鑰KEY1�、 KEY2和KEY3的集合可以在NAPTR 型的數(shù)據(jù)的"order"和"preference"字段中被指示,并且指示客戶(hù)端首 先寸吏用KEYl���,然后j吏用KEY2����,然后4吏用KEY3�����。在這個(gè)分布規(guī)則中���,字段NAPTR是通過(guò)字段"srv"來(lái)被填充的��,該字段"srv"指示所提及 的數(shù)據(jù)涉及分布服務(wù)��。"FLAG"字段必須例如被設(shè)為"DS"以指示下一個(gè)查詢(xún)涉及DS型 字段��。這個(gè)指示使之能夠消除與NAPTR型字段下的托管數(shù)據(jù)的解釋有關(guān) 的可能的模糊性�����。此外����,字段DS必須在其"TYPE"或"ALGO"字段中包括關(guān)于對(duì)劃 分而不是對(duì)子域的授權(quán)(delegation)的指示(參見(jiàn)行Lr7和L18)。在這里描述的優(yōu)選實(shí)施例中��,在步驟E30中�����,服務(wù)器nszl的處理裝置 10解釋行L13至L15的常規(guī)表達(dá)以從域名"machine.zl.com"中獲得其私 有成分被用于簽署這個(gè)子區(qū)域的數(shù)據(jù)RR DATA的密鑰對(duì) KSK—pl/ZSK—pl�。在步驟E40期間,服務(wù)器nszl的處理裝置10獲取用于標(biāo)識(shí)密鑰對(duì)的這個(gè)信息可以是各種不同的類(lèi)型���。例如����,它可以包括分布規(guī)則(L13-L15)和對(duì)包含于行L10的KEY字 段中的分布規(guī)則的參考���。包括在步驟E30和E40期間獲取的信息的響應(yīng)被域名服務(wù)器nszl在 步驟E50期間發(fā)送給客戶(hù)端CLl?�?蛻?hù)端CLl在步驟F20期間接收該響應(yīng)。例如��,對(duì)于上面提到的的dig請(qǐng)求的響應(yīng)可以ijl取如下形式 ; dig 9.3.1machine.zl.com ;;global options: printcmd ;;Got answer:;; HEADER - opcode: QUERY, status: NOERROR�, id: 61020;; flags: qr rd ra; QUERY: 1, ANSWER: 5��, AUTHORITY: 4���, ADDITIONAL: 3 ;;QUESTION SECTION: ;machine.zl.com. IN A;;ANSWER SECTION: machine.zl.com IN A 10.193.161.74;;AUTHORITY SECTION: zl.com. 2910 INNSnszl.net.;;ADDITIONAL SECTION:nszl.net. 281IN A 213.193.20.ilIN KEY 230x x [kr.zl.com];IN KEY 2563 5 […��;key id ZSK一comIN KEY 2573 5 […���;key id KSK一comIN SIG KEY (ZSK—com) [
#signed with KSK—comIN SIG KEY (KSK—com)[…#signed with ZSK—comKrI匪APTR 10150 "" "srv" "!A[kiiNULL].zl.com.!.zl.com" IN NAPTR 10050 "DS" "srv" "!八[a-m.zl.com.!a畫(huà)keys畫(huà)pl.zl.com" IN NAPTR 10050 "DS" "srv" ',!A [n-z.zl.com.!n-keys-pl.zl.com" INSIG NAPTR […
#signed with ZSK一zlIN DSid一KSIC一pl [ #hash of KSK for partition pi of zl IN DSid—KSK—p2 […#hash of KSK for partition p2 of zl IN SIG DS […
Signed with ZSK—zla-keys-pl IN KEY 256 3 5 […;key id一ZSK一pla畫(huà)keys-plINKEY 257 3 5 […�;key id—KSK_pla-keys-pl IN SIG KEY (id—ZSK—pi)[…
#signed with KSK一pla國(guó)keys-pl IN SIG KEY (id一KSK』1)[…] #signed with ZSK一pl"Query time: 33 msec;;SERVER: 10.193.117.254#53(10.193.117.254) ;;WHEN: Fri Apr 22 18:30:00 2005 ;;MSG SIZE rcvd:304在所描述的優(yōu)選實(shí)現(xiàn)中,在適用的情況下��,客戶(hù)端設(shè)備CLl的處理裝 置20解釋包含于該響應(yīng)中的分布規(guī)則L13至L15 (步驟F30 )�����。這里��,作為這個(gè)解釋的結(jié)果�,客戶(hù)端設(shè)備CL1確定用于簽署域 "machine.zl.com"的IP地址的密鑰對(duì)是密鑰對(duì)ZSK—pl/KSK—pl����。盡管如此����,當(dāng)接收關(guān)于區(qū)域zl.com的請(qǐng)求時(shí),必須向客戶(hù)端CLl通 知?jiǎng)澐值拇嬖?��。為此����,或者是由客?hù)端CL1利用類(lèi)型ANY詢(xún)問(wèn)域名"zl.com"���,或 者是由服務(wù)器在接收域名"machine.zl.com"時(shí)發(fā)送這樣的響應(yīng)其包括 具有與分布規(guī)則DS有關(guān)的數(shù)據(jù)NS��、 KEY�、 NAPTR的附加字段����,以及適 當(dāng)情況下的不同的劃分密鑰。這些不同的數(shù)據(jù)每次都是可選的���,但是它們能夠避免大量的查詢(xún)��。這里描述的例子中��,分布規(guī)則采取常規(guī)表達(dá)的形式����,但是也可以使用 其他規(guī)則�����,例如不僅僅應(yīng)用于域名句法的規(guī)則����。最后應(yīng)當(dāng)指出,分布規(guī)則可以位于另一個(gè)域中����。附錄l〃 Zone file of domain .com 〃 FCOM.zone$TTL 86400 //LI$ORIGIN com. //L2IN SOA localhost.root.localhost { 〃L3} //L4IN SIG SOA […]〃signed with ZSK—com //L5IN NS nscom.net //L6IN SIG NS […] 〃signed with ZSK—com //L7IN KEY 2563 5 […〗 〃 key id ZSK—com //L8IN KEY 2573 5 […] 〃 key id KSK com //L9IN SIG KEY […](ZSK—com)〃 sign of records of //L10type KEY with ZSK—comIN SIG KEY [... ](KSK—com)〃 sign of records of //L11type KEY with KSK com〃 RR DATA signed with ZSK—comzlIN NS nszl.zl.com //L12IN SIG NS […] 〃signed with ZSK—com //LI3nszl.zl IN A 10.193.161.73 //L14IN SIG A […]〃signed with ZSK—com //LI5IN DS [KSK一zl][…] 〃hash of child KSK (KSK—zl) //L16IN SIGDS[…] 〃signed with ZSK—com 〃L17附錄2-l〃 Zone file of domain zl .com 〃 FZl.zone$TTL 86400 //LI $ORIGIN zl.com. //L2IN SOA localhost.root.localhost { //L3 } //L4 IN SIGSOA […]〃signed with ZSK一zl 〃L5INNSnszl.zl.com //L6 IN SIGNS[…]〃signed with ZSK—zl //L7IN KEY 2563 5 […]〃ZSK—zl 〃L8 IN KEY 2573 5 [...]〃KSK—zl 〃L9IN KEY 230 x x [kr.zl.com] //L10IN SIG KEY[…]ZSK—zl〃signed with KSK一zl //LllIN SIG KEY[…]KSK一zl 〃signed with ZSK一zl 〃L12krIN NAPTR 101 50 "" "srv" "!A[kr|NULL].zl.conU. zl.com" //LI 3IN NAPTR 100 50 "DS" "srv" "!A[a-m].zl.com. !a-keys-pl.zl.com" //LI 4IN NAPTR 100 50 "DS" "srv" "!八[n-z].zl.com. !n誦keys-pl.zl.com" //LI 5INSIG NAPTR […] 〃signedwithZSK_zl //LI6IN DS [KSK_p 1 ] [... ] 〃hash of KSK for partition p 1 of z 1 〃L 17IN DS [KSK_p2][.. ] //hash of KSK for partition p2 of zl //LI 8IN SIG DS [...] 〃signed with ZSK—zl //L19附錄2-2〃contiiiuatio11 of FZl.zone〃 Partition pla-keys-p 1INKEY25635 […]〃key id一ZSK』1//L20a-keys-plINKEY2575 […]〃key id—KSK_pl//L21a-keys陽(yáng)plINSIGKEY[…]ZSK_pl〃signed withKSK_pl//L22a-keys-plINSIGKEY[…]KSK_pl〃signed with ZSK_pl//L23//RR DATA signed with ZSK_pl//L24machiri6INA 10.193.161.74〃L25INSIGA[…]〃signed withZSK_pl//L26〃 Partition p2n-keys-p2INKEY2563 5[…]〃 key id—ZSK_p2〃L27n-keys-p2INKEY2573 5[…]〃 key id一KSK』2//L28n-keys-p2INSIGKEY[…]ZSK_p2〃signed with KSK_p2//L29n-keys-p2INSIGKEY[…]KSK_p2〃signed with ZSK_p2//L30〃RR DATA signed with ZSK_p2 //L31[…]
權(quán)利要求
1.一種電信網(wǎng)絡(luò)(1)中的域(z1.com)的服務(wù)器(nsz1),所述服務(wù)器適于管理與所述域(z1.com)有關(guān)的DNSSEC請(qǐng)求��,包括用于從客戶(hù)端設(shè)備(CL1)接收關(guān)于獲取該域的DNS數(shù)據(jù)(RRDATA)的請(qǐng)求的裝置(10)�,其特征在于,所述服務(wù)器包括-區(qū)域文件(FZ1.zone)����,其包括定義將所述域(z1.com)劃分成多個(gè)子區(qū)域(p1�,p2)的至少一個(gè)分布規(guī)則(L13-L15)�����,所述子區(qū)域中的每一個(gè)(p2)的DNS數(shù)據(jù)都關(guān)聯(lián)于專(zhuān)用于該子區(qū)域(p2)的稱(chēng)作“劃分密鑰”的密鑰對(duì)(ZSK2)��;-用于從所述區(qū)域文件(FZ1.zone)獲取足以標(biāo)識(shí)與所搜尋的DNS數(shù)據(jù)(RR DATA)相關(guān)聯(lián)的劃分密鑰對(duì)(ZSK2)的有用信息的裝置(20)����;和-用于響應(yīng)于所述請(qǐng)求而向所述客戶(hù)端設(shè)備(CL1)發(fā)送以下內(nèi)容的裝置(10)-所搜尋的DNS數(shù)據(jù)(RR DATA),-利用關(guān)聯(lián)的所述劃分密鑰對(duì)(ZSK2)中的私人成分(ZSK2[pr])而生成的該數(shù)據(jù)(RR DATA)的簽名值����,以及-所述有用信息。
2. 根據(jù)權(quán)利要求1的服務(wù)器��,其特征在于��,所述有用信息包括或.關(guān)聯(lián)的所述劃分密鑰對(duì)(ZSK2)中的公共成分(ZSKpu)���;和/畫(huà)具有所有劃分密鑰(ZSK1�����, ZSK2)中的公共成分(ZSKl[pu���, ZSK2[pu)的所述至少一個(gè)分布規(guī)則(L13-L15)����。
3.根據(jù)權(quán)利要求1或2的服務(wù)器����,其特征在于��,所述分布規(guī)則 (L13-L15)是一種用于獲取關(guān)聯(lián)的所述劃分密鑰對(duì)(ZSK2)中的公共成 分(ZSK2[pu])的常規(guī)表達(dá)����。
4. 一種計(jì)算機(jī)文件(FZl.zone ),該計(jì)算機(jī)文件可以由電信網(wǎng)絡(luò)(1) 中的域(zl.com)的服務(wù)器(nszl)讀取,其特征在于�����,該計(jì)算機(jī)文件包 括定義將所述域(zl.com)劃分成多個(gè)子區(qū)域(pl�, p2)的至少一個(gè)分布 規(guī)則(L13-L15),所述子區(qū)域中每一個(gè)(p2)的DNS數(shù)據(jù)都關(guān)聯(lián)于專(zhuān)用 于該子區(qū)域(p2)的稱(chēng)作"劃分密鑰"的密鑰對(duì)(ZSK2)�,所述分布規(guī)則 使之能夠獲取足以標(biāo)識(shí)哪個(gè)劃分密鑰對(duì)(ZSK2)與從所述域(zl.com) 的所述DNS數(shù)據(jù)中選出的任何數(shù)據(jù)(RRDATA)相關(guān)聯(lián)的有用信息。
5. —種用于管理與電信網(wǎng)絡(luò)(1)中的域(zl.com)有關(guān)的 DNSSEC請(qǐng)求的方法�,包括-從客戶(hù)端設(shè)備(CL1 )接收關(guān)于獲取所述域(zl.com)的DNS數(shù) 據(jù)(RRDATA)的請(qǐng)求的步驟(EIO),其特征在于��,所述方法還包 括-讀取包含至少一個(gè)分布規(guī)則(L13-L15)的區(qū)域文件的步驟(E20), 所述分布規(guī)則定義將所述域(zl.com)劃分成多個(gè)子區(qū)域(pl���, p2)���,所 述子區(qū)域中每一個(gè)(p2)的DNS數(shù)據(jù)都與專(zhuān)用于該子區(qū)域(p2)的稱(chēng)作 "劃分密鑰"的密鑰對(duì)(ZSK2)相關(guān)聯(lián);-從所述區(qū)域文件中獲取足以標(biāo)識(shí)與所搜尋的所述DNS數(shù)據(jù)(RR DATA)相關(guān)聯(lián)的劃分密鑰對(duì)(ZSK2)的有用信息的步驟(E30��, E40 ); 以及-響應(yīng)于所述請(qǐng)求向所述客戶(hù)端設(shè)備(CL1)發(fā)送以下內(nèi)容的步驟 (E50):畫(huà)所搜尋的所述DNS數(shù)據(jù)(RRDATA)�����,-利用關(guān)聯(lián)的所述劃分密鑰對(duì)(ZSK2)中的私人成分(ZSK2[pr) 而生成的該數(shù)據(jù)(RRDATA)的簽名值�����,和 誦所述有用信息�����。
6. 根據(jù)權(quán)利要求5的用于管理DNSSEC請(qǐng)求的方法����,其特征在于,所 述有用信息包括以下內(nèi)容中的至少一個(gè)-關(guān)聯(lián)的所述劃分密鑰對(duì)(ZSK2)中的公共成分(ZSK2[pu);和陽(yáng)具有所有劃分密鑰(ZSK1�����, ZSK2)中的公共成分(ZSKl[pu]�����, ZSK2[pu)的所述至少一個(gè)分布規(guī)則(L13-L15)��。
7. —種計(jì)算機(jī)程序���,包括用于當(dāng)所述程序在計(jì)算機(jī)上運(yùn)行時(shí)執(zhí)行根 據(jù)權(quán)利要求5或6的用于管理DNSSEC請(qǐng)求的方法的步驟的指令。
8. —種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)����,其中存儲(chǔ)有計(jì)算才;i4呈序,該計(jì)算積4呈序包括用于執(zhí)行根據(jù)權(quán)利要求5或6的用于管理DNSSEC請(qǐng)求的方法的步 驟的指令�����。
9. 一種電信網(wǎng)絡(luò)(1)中的域名(zl.com)服務(wù)器(nszl)的客戶(hù) 端數(shù)據(jù)處理系統(tǒng)(CL1),包括用于向所述服務(wù)器(nszl)發(fā)送(F10)關(guān) 于獲取該域(zl.com )的DNS數(shù)據(jù)(RR DATA)的DNSSEC請(qǐng)求的裝置(10),其特征在于�,還包括用于響應(yīng)于所述請(qǐng)求而接收有用信息的裝 置(10),所述有用信息包括定義將所述域(zl.com)劃分成多個(gè)子區(qū)域(pl�, p2)的分布規(guī)則(L13-L15),所述子區(qū)域(p2)中每一個(gè)的DNS 數(shù)據(jù)都與包括">共劃分"密鑰(ZSKpu)和私鑰(ZSK[pr])的密鑰對(duì)(ZSK2 )相關(guān)聯(lián);以及用于解釋所述有用信息以標(biāo)識(shí)與被用于簽署所搜尋 的所述DNS數(shù)據(jù)(RRDATA)的所述私鑰(ZSK2[pr)相對(duì)應(yīng)的所述/〉 共劃分密鑰(ZSK2[pu)的裝置(20)����。
10. —種用于獲取電信網(wǎng)絡(luò)(1)中的域(zl.com)的DNS數(shù)據(jù)(RR DATA)的方法,所述方法包括發(fā)送關(guān)于獲取所述DNS數(shù)據(jù)(RRDATA) 的DNSSEC請(qǐng)求的步驟(F10)����,其特征在于,還包括-響應(yīng)于所述請(qǐng)求而接收包括分布規(guī)則(L13-L15)的有用信息的步驟 (F20)�,所述分布規(guī)則定義將所述域(zl.com)劃分成多個(gè)子區(qū)域(pl, p2)�����,所述子區(qū)域中的每一個(gè)(p2)的DNS數(shù)據(jù)都與包括"公共劃分" 密鑰(ZSK2[pu)和私鑰(ZSK2[pr])的密鑰對(duì)(ZSK2 )相關(guān)聯(lián)�����;和-解釋所述信息以標(biāo)識(shí)與被用于簽署所搜尋的所述DNS數(shù)據(jù)(RR DATA)的私鑰(ZSK2[pr)相對(duì)應(yīng)的公共劃分密鑰(ZSK2[pu)的步驟 (F30)�����。
11. 一種計(jì)算機(jī)程序���,包括用于當(dāng)所述程序在計(jì)算機(jī)上運(yùn)行時(shí)執(zhí)行根據(jù)權(quán)利要求10的用于獲取DNS數(shù)據(jù)的方法的步驟的指令��。
12. —種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)���,其中存儲(chǔ)有計(jì)算才;i4呈序����,該計(jì)算機(jī)程序包括用于執(zhí)行根據(jù)權(quán)利要求10的用于獲取DNS數(shù)據(jù)的方法的步驟的指 令�����。
全文摘要
一種域服務(wù)器�����,包括用于從客戶(hù)端設(shè)備(CL1)接收關(guān)于獲取DNS數(shù)據(jù)的請(qǐng)求的裝置(10)�����;區(qū)域文件(FZ1.zone)��,其包括定義將所述域劃分成多個(gè)子區(qū)域的至少一個(gè)分布規(guī)則���,所述子區(qū)域的DNS數(shù)據(jù)關(guān)聯(lián)于分配給該子區(qū)域的劃分密鑰對(duì);用于從所述區(qū)域文件獲取足以標(biāo)識(shí)與所搜尋的DNS數(shù)據(jù)關(guān)聯(lián)的劃分密鑰對(duì)的有用信息的裝置(20)���;和用于向所述客戶(hù)端設(shè)備(CL1)發(fā)送以下內(nèi)容的裝置(10)所搜尋的DNS數(shù)據(jù),利用所述劃分密鑰對(duì)中的私人成分(ZSK2[pr])而生成的數(shù)據(jù)的簽名值���,以及所述有用信息。
文檔編號(hào)H04L29/06GK101336535SQ200680051792
公開(kāi)日2008年12月31日 申請(qǐng)日期2006年12月19日 優(yōu)先權(quán)日2005年12月27日
發(fā)明者A-S·迪澤瑞, D·米戈, J-M·孔布 申請(qǐng)人:法國(guó)電信公司