專利名稱:在多主體環(huán)境中支持dns安全的制作方法
在多主體環(huán)境中支持DNS安全
背景技術(shù):
典型的域名系統(tǒng)(domain name system (DNS))服務(wù)器解析網(wǎng)際協(xié)議(IP)地址的名稱����。DNS安全擴(kuò)展(DNS Security Extension (DNSSEC))協(xié)議已經(jīng)發(fā)展到了將安全擴(kuò)展添加到DNS系統(tǒng)中。然而,典型的DNS系統(tǒng)被建立為具有主DNS服務(wù)器和一個(gè)或多個(gè)輔DNS 服務(wù)器��。在具有一個(gè)以上主DNS服務(wù)器的環(huán)境中實(shí)現(xiàn)DNSSEC協(xié)議可能是有問(wèn)題的���。
發(fā)明內(nèi)容
以簡(jiǎn)化形式提供本發(fā)明內(nèi)容以介紹選擇的概念���,在以下的具體實(shí)施方式
中將進(jìn)一步描述這些觀點(diǎn)。本發(fā)明內(nèi)容沒(méi)有打算標(biāo)識(shí)出所要求保護(hù)的主題的關(guān)鍵特征或本質(zhì)特征�����, 也沒(méi)有打算用來(lái)限制所要求保護(hù)的主題的范圍�����。依據(jù)一個(gè)或多個(gè)方面���,生成標(biāo)識(shí)如何對(duì)域名系統(tǒng)(DNS)區(qū)域進(jìn)行簽名的簽名密鑰描述符。另外���,在多主體DNS環(huán)境的第一對(duì)等DNS服務(wù)器處����,至少部分地基于所述簽名密鑰描述符生成所述DNS區(qū)域的一個(gè)或多個(gè)密鑰的集合���。還將所述簽名密鑰描述符提供給所述多主體DNS環(huán)境的一個(gè)或多個(gè)另外的對(duì)等DNS服務(wù)器�����。依據(jù)一個(gè)或多個(gè)方面��,在第一對(duì)等DNS服務(wù)器處��,從第二對(duì)等DNS服務(wù)器接收簽名密鑰描述符���。所述第一對(duì)等DNS服務(wù)器和所述第二對(duì)等DNS服務(wù)器都是多主體DNS環(huán)境的 DNS區(qū)域的DNS服務(wù)器��。從密鑰存儲(chǔ)器獲得一個(gè)或多個(gè)密鑰����,并且所述一個(gè)或多個(gè)密鑰用來(lái)至少部分地基于所述簽名密鑰描述符而生成所述DNS區(qū)域的DNS數(shù)據(jù)的數(shù)字簽名�����。
整個(gè)附圖中使用的相同的標(biāo)記涉及同樣的特征����。圖1圖解說(shuō)明了依據(jù)一個(gè)或多個(gè)實(shí)施例的實(shí)現(xiàn)在多主體環(huán)境中支持DNS安全的示例性網(wǎng)絡(luò)。圖2圖解說(shuō)明了依據(jù)一個(gè)或多個(gè)實(shí)施例的包括多個(gè)對(duì)等DNS服務(wù)器的示例性系統(tǒng)。圖3是圖解說(shuō)明依據(jù)一個(gè)或多個(gè)實(shí)施例的用于在多主體環(huán)境中支持DNS安全的示例性過(guò)程的流程圖�。圖4是圖解說(shuō)明依據(jù)一個(gè)或多個(gè)實(shí)施例的用于在多主體環(huán)境中支持DNS安全的示例性過(guò)程的流程圖。圖5圖解說(shuō)明了依據(jù)一個(gè)或多個(gè)實(shí)施例的可被配置為實(shí)現(xiàn)在多主體環(huán)境中支持 DNS安全的示例性計(jì)算裝置����。
具體實(shí)施例方式在此討論了在多主體環(huán)境中支持域名系統(tǒng)(DNS)安全。實(shí)現(xiàn)DNS安全擴(kuò)展的多主體環(huán)境包括多個(gè)DNS服務(wù)器�,這些DNS服務(wù)器對(duì)于主管特定區(qū)域來(lái)說(shuō)是對(duì)等操作的。多個(gè)對(duì)等DNS服務(wù)器其中之一是密鑰主體服務(wù)器����,并且擔(dān)負(fù)著生成密鑰和管理密鑰生命周期、以及將密鑰分配到其他的對(duì)等DNS服務(wù)器����。多個(gè)對(duì)等DNS服務(wù)器的每一個(gè)都擔(dān)負(fù)著通過(guò)使用相同的一個(gè)或多個(gè)共享密鑰而生成它自己的DNS數(shù)據(jù)的數(shù)字簽名,響應(yīng)于向DNS服務(wù)器提交的DNS請(qǐng)求而返回所述DNS數(shù)據(jù)��。在此對(duì)數(shù)字簽名和數(shù)字證書進(jìn)行了參照�。盡管數(shù)字簽名和數(shù)字證書對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)是公知的���,但是在此還是包括了數(shù)字簽名和數(shù)字證書的簡(jiǎn)短概述�,以助于讀者理解��。典型地,使用公開密鑰密碼術(shù)來(lái)生成數(shù)字簽名和數(shù)字證書��。在公開密鑰密碼術(shù)中�����,實(shí)體(例如用戶��、硬件或軟件部件��、裝置��、域等)具有與它相關(guān)聯(lián)的公開/私有密鑰對(duì)���。將公開密鑰設(shè)置為公開可用的����,但是所述實(shí)體對(duì)私有密鑰進(jìn)行保密��。沒(méi)有所述私有密鑰����,則非常難以計(jì)算地解密使用所述公開密鑰加密的數(shù)據(jù)。因此��,可以由帶有所述公開密鑰的任何實(shí)體來(lái)加密數(shù)據(jù),但是卻只能由帶有相應(yīng)私有密鑰的實(shí)體來(lái)解密所述數(shù)據(jù)��。另外�����,可以通過(guò)使用數(shù)據(jù)和私有密鑰來(lái)生成數(shù)據(jù)的數(shù)字簽名�。沒(méi)有所述私有密鑰,則非常難以計(jì)算地創(chuàng)建可使用所述公開密鑰驗(yàn)證的簽名���。然而��,通過(guò)在所述公開密鑰���、所述簽名和已簽名的數(shù)據(jù)上執(zhí)行適當(dāng)?shù)臄?shù)字簽名驗(yàn)證算法,帶有所述公開密鑰的任何實(shí)體都可以使用所述公開密鑰來(lái)驗(yàn)證所述數(shù)字簽名�。可以將數(shù)字證書創(chuàng)建為包括實(shí)體的標(biāo)識(shí)符和所述實(shí)體的公開密鑰�����,以及使用所述實(shí)體的私有密鑰而數(shù)位簽名的數(shù)字證書���,以便將所述實(shí)體的標(biāo)識(shí)符與所述實(shí)體的公開密鑰相綁定�?���?商鎿Q地,使用對(duì)稱密鑰密碼術(shù)來(lái)生成數(shù)字簽名和數(shù)字證書�����。在對(duì)稱密鑰密碼術(shù)中�����,由兩個(gè)實(shí)體知曉共享密鑰(也被稱為對(duì)稱密鑰)�,并且這兩個(gè)實(shí)體保守秘密。典型地���, 具有所述共享密鑰的任何實(shí)體都能夠解密使用該共享密鑰加密的數(shù)據(jù)����。沒(méi)有所述共享密鑰�����,則非常難以計(jì)算地解密用所述共享密鑰加密的數(shù)據(jù)���。因此����,如果兩個(gè)實(shí)體都知曉共享密鑰,則每個(gè)實(shí)體都可以加密可由另一個(gè)實(shí)體解密的數(shù)據(jù)�,但是其他的實(shí)體卻不能解密所述數(shù)據(jù),如果其他的實(shí)體不知曉所述共享密鑰����。同樣,具有共享密鑰的實(shí)體可以加密可由該相同實(shí)體解密的數(shù)據(jù)���,但是其他的實(shí)體不能解密所述數(shù)據(jù)�����,如果其他的實(shí)體不知曉所述共享密鑰����。另外���,可以基于對(duì)稱密鑰密碼術(shù)生成數(shù)字簽名�,例如使用密鑰散列消息認(rèn)證碼 (keyed-hash message authentication code)機(jī)制���。具有所述共享密鑰的任何實(shí)體都可以生成并且驗(yàn)證所述數(shù)字簽名���。例如,可信賴的第三方可以基于特定實(shí)體的身份生成對(duì)稱密鑰�����,并且然后可以生成以及驗(yàn)證所述特定實(shí)體的數(shù)字簽名(例如����,通過(guò)使用所述對(duì)稱密鑰加密或解密數(shù)據(jù))?���?梢詫?shù)字證書創(chuàng)建為包括實(shí)體的標(biāo)識(shí)符和所述實(shí)體的公開密鑰,以及數(shù)位簽名的數(shù)字證書(例如�,通過(guò)所述可信賴的第三方進(jìn)行數(shù)位簽名的),以便將所述實(shí)體的標(biāo)識(shí)符與所述實(shí)體的公開密鑰相綁定�����。圖1圖解說(shuō)明了依據(jù)一個(gè)或多個(gè)實(shí)施例的實(shí)現(xiàn)在多主體環(huán)境中支持DNS安全的示例性系統(tǒng)100���。系統(tǒng)100包括通信網(wǎng)絡(luò)120��,其允許系統(tǒng)100中的各種裝置與系統(tǒng)100中的各種其他裝置進(jìn)行通信�����。通信網(wǎng)絡(luò)120可以包括有線和/或無(wú)線通信�����,并且例如可以是���,局域網(wǎng)(LAN)���、因特網(wǎng)、公用電話網(wǎng)����、專用電話網(wǎng)絡(luò)、其他公用和/或?qū)S芯W(wǎng)絡(luò)����、它們的結(jié)合等。 通信網(wǎng)絡(luò)120可以包括各種網(wǎng)絡(luò)通信裝置�,例如路由器、網(wǎng)關(guān)、防火墻等����。系統(tǒng)100包括多個(gè)對(duì)等DNS服務(wù)器102,104和106���,密鑰存儲(chǔ)器108,DNS解析器 110以及一個(gè)或多個(gè)計(jì)算裝置112���。計(jì)算裝置112可以是各種不同類型的裝置���,例如臺(tái)式計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)�����、膝上型計(jì)算機(jī)或上網(wǎng)本計(jì)算機(jī)���、平板式或筆記本式計(jì)算機(jī)��、移動(dòng)站��、 數(shù)據(jù)庫(kù)或其他存儲(chǔ)裝置�、娛樂(lè)設(shè)備、通信地耦合到顯示裝置的機(jī)頂盒�����、電視機(jī)或其他顯示裝
5置����、蜂窩或其他無(wú)線電話、游戲控制臺(tái)����、汽車用計(jì)算機(jī)等。對(duì)等DNS服務(wù)器102�,104和106解析網(wǎng)絡(luò)地址的名稱。對(duì)等DNS服務(wù)器102��,104 和106的每一個(gè)都用于解析名稱的特定集合����,其被稱為DNS區(qū)域(或僅被稱為區(qū)域)。對(duì)等 DNS服務(wù)器102�,104和106解析名稱的一個(gè)或多個(gè)DNS區(qū)域也被稱為由對(duì)等DNS服務(wù)器 102,104和106提供服務(wù)(或主管)的一個(gè)或多個(gè)區(qū)域�����。另外的對(duì)等DNS服務(wù)器可以解析其他DNS區(qū)域的名稱。對(duì)等DNS服務(wù)器102��,104和106彼此對(duì)等��,并且操作于多主體DNS環(huán)境中����。對(duì)等 DNS服務(wù)器102,104和106操作的環(huán)境(例如����,系統(tǒng)100)被稱為多主體DNS環(huán)境����,因?yàn)閷?duì)等 DNS服務(wù)器102,104和106的每一個(gè)都是主DNS服務(wù)器(也被稱為主體DNS服務(wù)器)���。主或主體DNS服務(wù)器可以從DNS區(qū)域讀取數(shù)據(jù)并且向DNS區(qū)域?qū)懭霐?shù)據(jù)(例如�,讀取和寫入那些用于解析網(wǎng)絡(luò)地址的名稱的數(shù)據(jù))����,與僅能從所述區(qū)域中讀取數(shù)據(jù)的輔或從屬DNS服務(wù)器形成對(duì)照。盡管在系統(tǒng)100中圖解說(shuō)明了三個(gè)對(duì)等DNS服務(wù)器102����,104和106�,但是應(yīng)注意至IJ��,系統(tǒng)100可以包括任意數(shù)量的區(qū)域的任意數(shù)量的對(duì)等DNS服務(wù)器102�����,104和106�����。由對(duì)等DNS服務(wù)器102���,104和106實(shí)現(xiàn)的DNS允許裝置或服務(wù)設(shè)備使用域名(例如網(wǎng)絡(luò)服務(wù)器的主機(jī)名)進(jìn)行標(biāo)識(shí)����,典型地���,所述域名比網(wǎng)絡(luò)地址(例如網(wǎng)際協(xié)議(IP)v4或v6 地址)更容易地由用戶使用和參照����。對(duì)等DNS服務(wù)器102����,104和106用于將特定名稱(例如域名)與相應(yīng)網(wǎng)絡(luò)地址相映射����,可以由計(jì)算裝置(例如計(jì)算裝置112)使用這些網(wǎng)絡(luò)地址以訪問(wèn)特定裝置或服務(wù)設(shè)備�。這種名稱到相應(yīng)網(wǎng)絡(luò)地址的映射也被稱為DNS辨析(resolution)。 盡管DNS系統(tǒng)常常將名稱與相應(yīng)IP地址相映射�����,但是應(yīng)注意到�����,可替換地��,DNS系統(tǒng)可以將名稱與其他類型的網(wǎng)絡(luò)地址相映射��。在一個(gè)或多個(gè)實(shí)施例中��,由對(duì)等DNS服務(wù)器102�,104和106實(shí)現(xiàn)的DNS涉及遵照公知的 DNS 協(xié)議(例如�,如同在 Network Working Group Request for Comments 1034 (1987 年 11 月)禾口 Network Working Group Request for Comments 1035 (1987 年 11 月)中所討論的)的系統(tǒng)。然而�����,應(yīng)注意到,可以連同執(zhí)行類似功能的其他系統(tǒng)或協(xié)議來(lái)使用在此所討論的技術(shù)�。DNS解析器110是將DNS查詢提交給DNS服務(wù)器102,104和/或106的裝置�����?�?梢砸愿鞣N不同的裝置實(shí)現(xiàn)DNS解析器110��,例如���,作為計(jì)算裝置112的一部分而被包括�?�?商鎿Q地��,可以以其他裝置實(shí)現(xiàn)DNS解析器110��,例如以網(wǎng)絡(luò)110的其他裝置����、因特網(wǎng)服務(wù)供應(yīng)商(ISP)的服務(wù)器或其他裝置等���。盡管圖1中圖解說(shuō)明了單個(gè)DNS解析器110,但是應(yīng)注意至IJ��,在系統(tǒng)100中可以包括任意數(shù)量的DNS解析器110�。DNS解析器110將DNS查詢提交給對(duì)等DNS服務(wù)器102,104或106���,其中所述DNS 查詢是解析特定名稱(例如��,作為統(tǒng)一資源定位符(URL)的一部分而包括的域名��,或其他名稱)的請(qǐng)求�����。接收所述DNS查詢的對(duì)等DNS服務(wù)器102���,104和106解析所述特定名稱�,并且生成包括特定名稱解析的網(wǎng)絡(luò)地址(例如,IP地址)的DNS響應(yīng)��。將DNS響應(yīng)返回到DNS解析器110��。可由DNS解析器110使用DNS響應(yīng)中的網(wǎng)絡(luò)地址以訪問(wèn)具有所述網(wǎng)絡(luò)地址的特定裝置或服務(wù)器�����,或者將所述網(wǎng)絡(luò)地址提供給另一個(gè)計(jì)算裝置(例如���,計(jì)算裝置112)以訪問(wèn)具有所述網(wǎng)絡(luò)地址的特定裝置或服務(wù)器����。另外��,對(duì)等DNS服務(wù)器102����,104和106支持安全擴(kuò)展或功能,這種安全擴(kuò)展或功能允許由通過(guò)對(duì)等DNS服務(wù)器102��,104和106提供的各種信息或數(shù)據(jù)的接受器(例如����,由DNS解析器110)認(rèn)證這些信息或數(shù)據(jù)。在一個(gè)或多個(gè)實(shí)施例中���,對(duì)等DNS服務(wù)器102�����,104和106 支持公知的DNS安全擴(kuò)展(DNSSEC)協(xié)議�����。例如�����,可以在Network Working Group Request for Comments 4033(2005年 3 月)����、Network Working Group Request for Comments 4034 (2005 年 3 月)、Network Working Group Request for Comments 4035 (2005 年 3 月)禾口 Network Working Group Request for Comments 5155 (2008 年 3 月)中找至Ij關(guān)于所述 DNSSEC協(xié)議的附加信息�����。這些安全擴(kuò)展或功能包括支持由對(duì)等DNS服務(wù)器102�,104和106響應(yīng)于DNS查詢而返回的DNS響應(yīng)的數(shù)字簽名。典型地���,DNS響應(yīng)的數(shù)字簽名涉及通過(guò)對(duì)DNS數(shù)據(jù)(所述DNS 數(shù)據(jù)是與名稱相映射的網(wǎng)絡(luò)地址)進(jìn)行數(shù)位簽名而生成的數(shù)字簽名�。典型地���,響應(yīng)于DNS查詢而由對(duì)等DNS服務(wù)器102�,104或106返回的DNS響應(yīng)中的附加數(shù)據(jù)(如果有的話����,或者整個(gè)DNS響應(yīng)本身)沒(méi)有被數(shù)位簽名,盡管可替換地可以被數(shù)位簽名�。應(yīng)注意到,可替換地��,在此關(guān)于對(duì)DNS數(shù)據(jù)進(jìn)行數(shù)位簽名的討論可以包括對(duì)DNS響應(yīng)中的附加數(shù)據(jù)進(jìn)行數(shù)位簽名����, 和/或?qū)φ麄€(gè)DNS響應(yīng)進(jìn)行數(shù)位簽名?����?梢杂蓪?duì)等DNS服務(wù)器102��,104和106本身(例如����, 利用對(duì)等DNS服務(wù)器的私有密鑰)生成DNS響應(yīng)的數(shù)字簽名,或者可替換地,可以由另一個(gè)裝置或部件(例如�,利用由所述對(duì)等DNS服務(wù)器信賴的另一個(gè)實(shí)體的私有密鑰)代表所述對(duì)等DNS服務(wù)器生成DNS響應(yīng)的數(shù)字簽名。對(duì)等DNS服務(wù)器102�,104和106返回給DNS解析器110的DNS響應(yīng)包括由對(duì)等 DNS服務(wù)器102,104和106 (或者可替換地�,另一個(gè)可信賴實(shí)體)生成的數(shù)字簽名。在一個(gè)或多個(gè)實(shí)施例中����,用于對(duì)DNS響應(yīng)進(jìn)行數(shù)位簽名的密鑰是與對(duì)等DNS服務(wù)器102,104和106 相關(guān)聯(lián)的公開/私有密鑰對(duì)的私有密鑰�。所述公開/私有密鑰對(duì)的公開密鑰對(duì)于系統(tǒng)100 中的裝置是可獲得的,其允許所述DNS響應(yīng)的接受器(例如����,DNS解析器110)驗(yàn)證DNS數(shù)據(jù)是可信的。密鑰存儲(chǔ)器108保存由對(duì)等DNS服務(wù)器102���,104和106生成數(shù)字簽名所使用的私有密鑰��。典型地��,密鑰存儲(chǔ)器108以安全的方式存儲(chǔ)私有密鑰����,例如通過(guò)加密所述私有密鑰?���?梢砸愿鞣N不同方式實(shí)現(xiàn)密鑰存儲(chǔ)器108���,例如利用硬件密碼模塊���。密鑰存儲(chǔ)器108還可以作為管理系統(tǒng)100的目錄服務(wù)設(shè)備的站點(diǎn)(site)或服務(wù)器(例如,支持可從華盛頓雷蒙德的微軟公司獲得的Active Directory 目錄服務(wù)設(shè)備的站點(diǎn))的一部分而實(shí)現(xiàn)���。應(yīng)注意到����,密鑰存儲(chǔ)器108可以作為單獨(dú)裝置(例如��,與計(jì)算裝置112和對(duì)等DNS服務(wù)器102���,104 和106分開)而實(shí)現(xiàn)���,或者可以作為系統(tǒng)100的裝置的一部分(例如,對(duì)等DNS服務(wù)器102�, 104和/或106的一部分,或計(jì)算裝置112的一部分)而實(shí)現(xiàn)。盡管圖1圖解說(shuō)明了單個(gè)密鑰存儲(chǔ)器108����,但是應(yīng)注意到,系統(tǒng)100中可以包括任意數(shù)量的密鑰存儲(chǔ)器108��。圖2圖解說(shuō)明了依據(jù)一個(gè)或多個(gè)實(shí)施例的包括多個(gè)對(duì)等DNS服務(wù)器的示例性系統(tǒng) 200�����。系統(tǒng)200包括對(duì)等DNS服務(wù)器202�����、對(duì)等DNS服務(wù)器204和對(duì)等DNS服務(wù)器206�����,它們可以分別是圖1的服務(wù)器102���、服務(wù)器104和服務(wù)器106��。對(duì)等DNS服務(wù)器202是類似于服務(wù)器204和206的對(duì)等DNS服務(wù)器����,并且還可以包括以下將詳細(xì)描述的附加的密鑰管理功能。因此��,對(duì)等DNS服務(wù)器202還可以被稱為密鑰主體對(duì)等DNS服務(wù)器����。每個(gè)對(duì)等DNS服務(wù)器202,204和206都包括DNS辨析模塊(模塊212��,222和232)���、 DNS輸入/輸出(1/0)模塊(模塊214,224和234)和數(shù)據(jù)存儲(chǔ)器(存儲(chǔ)器216��,226和236)����。 對(duì)等DNS服務(wù)器的數(shù)據(jù)存儲(chǔ)器保存由DNS服務(wù)器提供服務(wù)的DNS區(qū)域的名稱到相應(yīng)網(wǎng)絡(luò)地址的映射。對(duì)等DNS服務(wù)器的DNS I/O模塊從DNS解析器接收DNS查詢����,并且將DNS響應(yīng)返回給DNS解析器。對(duì)等DNS服務(wù)器的DNS辨析模塊基于所述對(duì)等DNS服務(wù)器的數(shù)據(jù)存儲(chǔ)器中的映射而解析DNS查詢中的名稱��,并且將名稱解析到的網(wǎng)絡(luò)地址提供給DNS I/O模塊�, 以產(chǎn)生并且返回解析DNS查詢中的名稱的DNS響應(yīng)���。所述DNS辨析模塊還可以包括遠(yuǎn)程查詢功能,查詢其他DNS服務(wù)器以解析DNS查詢���,如果包括DNS辨析模塊的對(duì)等DNS服務(wù)器不能解析所述DNS查詢本身�����。所述DNS I/O模塊還從其他對(duì)等DNS服務(wù)器接收對(duì)等DNS服務(wù)器的數(shù)據(jù)存儲(chǔ)器中保存的映射的更新�����,并且所述DNS I/O模塊(或者可替換地��,DNS辨析模塊)將這些更新記錄到數(shù)據(jù)存儲(chǔ)器中����。盡管圖解說(shuō)明為分離的模塊����,但是將意識(shí)到,每個(gè)服務(wù)器202��,204和206中的多個(gè)模塊都可以合并為單個(gè)模塊�,或者每個(gè)服務(wù)器202���,204和206 中特定模塊的功能都可以分成多個(gè)不同模塊。在一個(gè)或多個(gè)實(shí)施例中����,對(duì)等DNS服務(wù)器的數(shù)據(jù)存儲(chǔ)器中保存的名稱到網(wǎng)絡(luò)地址的映射的每一個(gè)都由對(duì)等DNS服務(wù)器(例如,通過(guò)DNS辨析模塊�,DNS I/O模塊,或所述對(duì)等 DNS服務(wù)器的另一個(gè)模塊)來(lái)數(shù)位簽名���。因此��,預(yù)先生成DNS數(shù)據(jù)的數(shù)字簽名,而不需要響應(yīng)于接收的DNS查詢而生成數(shù)字簽名����。可替換地�,可以不對(duì)數(shù)據(jù)存儲(chǔ)器中保存的名稱到網(wǎng)絡(luò)地址的映射進(jìn)行數(shù)位簽名,并且可以響應(yīng)于接收的DNS查詢而生成DNS數(shù)據(jù)的數(shù)字簽名��。系統(tǒng)200中的每個(gè)對(duì)等DNS服務(wù)器都可以接收由對(duì)等DNS服務(wù)器提供服務(wù)的DNS 區(qū)域的名稱到網(wǎng)絡(luò)地址的映射的更新��。這些更新可以包括要增加新的映射����、要?jiǎng)h除的映射�、 和/或改變到當(dāng)前映射��?����?梢詮牟煌瑏?lái)源(例如�����,由所述對(duì)等DNS服務(wù)器提供服務(wù)的DNS區(qū)域的管理員)���、從DNS解析器���、從另一個(gè)計(jì)算裝置等接收這種更新。當(dāng)接收到更新時(shí)�,接收所述更新的對(duì)等DNS服務(wù)器的DNS I/O模塊將更新提供給系統(tǒng)200中的其他的對(duì)等DNS服務(wù)器?��?梢砸愿鞣N不同方式將所述更新提供給其他的對(duì)等DNS服務(wù)器�����,例如利用一個(gè)或多個(gè)數(shù)據(jù)包經(jīng)由目錄服務(wù)設(shè)備(例如���,Active Directory 目錄服務(wù)設(shè)備)在通信網(wǎng)絡(luò)上發(fā)送所述更新等�����。因而���,系統(tǒng)200中的對(duì)等DNS服務(wù)器中的單獨(dú)一個(gè)可以從另一個(gè)裝置接收更新, 并且分配所述更新�����,以便反映到系統(tǒng)200中的所有對(duì)等DNS服務(wù)器中���。系統(tǒng)200中的不同對(duì)等DNS服務(wù)器的每一個(gè)的數(shù)據(jù)存儲(chǔ)器都存儲(chǔ)由系統(tǒng)200中的其他對(duì)等DNS服務(wù)器存儲(chǔ)的映射的拷貝。當(dāng)由對(duì)等DNS服務(wù)器接收到名稱到網(wǎng)絡(luò)地址的映射的更新時(shí)����,不管是從另一個(gè)對(duì)等DNS服務(wù)器還是從另一個(gè)裝置接收所述更新,都由所述對(duì)等DNS服務(wù)器對(duì)接收的更新中的DNS數(shù)據(jù)進(jìn)行數(shù)位簽名���,并且將其存儲(chǔ)在它的數(shù)據(jù)存儲(chǔ)器中����。每個(gè)對(duì)等DNS服務(wù)器都擔(dān)負(fù)著對(duì)它自己接收的更新中的DNS數(shù)據(jù)的拷貝進(jìn)行數(shù)位簽名,并且將數(shù)位簽名的拷貝存儲(chǔ)在它的數(shù)據(jù)存儲(chǔ)器中(例如�����,將所述更新和所述更新的數(shù)字簽名存儲(chǔ)在它的數(shù)據(jù)存儲(chǔ)器中)��。 因而�����,在對(duì)等DNS服務(wù)器與對(duì)所述更新中的DNS數(shù)據(jù)進(jìn)行數(shù)位簽名的每個(gè)對(duì)等DNS服務(wù)器之間傳送由對(duì)等DNS服務(wù)器提供服務(wù)的DNS區(qū)域的名稱到網(wǎng)絡(luò)地址的映射的更新�,當(dāng)接收到時(shí),所述對(duì)等DNS服務(wù)器不復(fù)制簽名���。在一個(gè)或多個(gè)實(shí)施例中��,以易失性介質(zhì)(例如隨機(jī)存取存儲(chǔ)器(RAM))實(shí)現(xiàn)所述對(duì)等DNS服務(wù)器的數(shù)據(jù)存儲(chǔ)器��。在可替換的實(shí)施例中��,至少部分地以非易失性介質(zhì)(例如閃存��、盤等)實(shí)現(xiàn)所述對(duì)等DNS服務(wù)器的數(shù)據(jù)存儲(chǔ)器��。系統(tǒng)200中的對(duì)等DNS服務(wù)器其中之一是密鑰主體對(duì)等DNS服務(wù)器�����,其在圖2的示例中是服務(wù)器202����。密鑰主體對(duì)等DNS服務(wù)器202擔(dān)負(fù)著生成密鑰的集合、管理密鑰的集合的生命周期(例如確定密鑰的集合何時(shí)到期以及何時(shí)為系統(tǒng)200生成新的密鑰的集合)�����、 以及將密鑰的集合分配到系統(tǒng)200中的其他對(duì)等DNS服務(wù)器���。在一個(gè)或多個(gè)實(shí)施例中����,這些密鑰包括由DNS服務(wù)器實(shí)現(xiàn)安全擴(kuò)展或功能(例如實(shí)現(xiàn)DNSSEC協(xié)議)所使用的各種密鑰�。 例如,所述密鑰的集合可以包括由對(duì)等DNS服務(wù)器生成DNS數(shù)據(jù)的數(shù)字簽名所使用的公開 /私有密鑰對(duì)的私有密鑰�。密鑰主體對(duì)等DNS服務(wù)器202將密鑰的集合分配到系統(tǒng)200中的其他對(duì)等DNS服務(wù)器�����,共享所述密鑰的集合,以便服務(wù)于相同DNS區(qū)域的所有對(duì)等DNS服務(wù)器使用相同的密鑰的集合����。系統(tǒng)200中的其他對(duì)等DNS服務(wù)器,除了密鑰主體對(duì)等DNS 服務(wù)器202之外�����,不擔(dān)負(fù)著(并且典型地����,不執(zhí)行)所述密鑰的集合的生成、管理和分配��。然而�����,可能出現(xiàn)以下情況����,密鑰主體對(duì)等DNS服務(wù)器202將密鑰的集合的生成、管理和分配的職責(zé)委托給另一個(gè)對(duì)等DNS服務(wù)器���,或另一個(gè)對(duì)等DNS服務(wù)器掌握所述密鑰的集合的生成�����、 管理和分配的職責(zé)���,在這樣的情況下�����,其他對(duì)等DNS服務(wù)器就變成了密鑰主體對(duì)等DNS服務(wù)器���。因而,系統(tǒng)200中的哪一個(gè)對(duì)等DNS服務(wù)器是密鑰主體對(duì)等DNS服務(wù)器可以隨著時(shí)間而改變��?����?梢砸圆煌绞酱_定系統(tǒng)200中的多個(gè)對(duì)等DNS服務(wù)器中的哪一個(gè)是密鑰主體對(duì)等DNS服務(wù)器��。例如���,可以由系統(tǒng)200的管理員來(lái)選擇系統(tǒng)200中的多個(gè)對(duì)等DNS服務(wù)器其中之一作為密鑰主體對(duì)等DNS服務(wù)器�����。作為另一個(gè)示例�����,多個(gè)對(duì)等DNS服務(wù)器可以在它們之間協(xié)商選擇一個(gè)作為密鑰主體對(duì)等DNS服務(wù)器�����,例如隨機(jī)地選擇一個(gè)��、基于對(duì)等DNS服務(wù)器的關(guān)聯(lián)標(biāo)識(shí)符的最低或最高值而選擇一個(gè)等�。密鑰主體對(duì)等DNS服務(wù)器202包括實(shí)現(xiàn)密鑰管理功能的密鑰管理模塊238��,所述密鑰管理功能包括生成密鑰的集合�、管理密鑰的集合的生命周期以及將密鑰的集合分配到系統(tǒng)200中的其他對(duì)等DNS服務(wù)器。密鑰管理模塊238在不同時(shí)間和/或響應(yīng)于不同事件而生成新的密鑰的集合����。例如,響應(yīng)于來(lái)自系統(tǒng)200的管理員的請(qǐng)求�、在生成或分配上一個(gè)密鑰的集合之后的閾值時(shí)間量(例如,在上一個(gè)密鑰的集合到期之前)等����,密鑰管理模塊238 可以生成新的密鑰的集合�����。密鑰管理模塊238可以通過(guò)生成新的密鑰的集合本身而生成這些新的密鑰的集合���,或者可替換地,通過(guò)調(diào)用密鑰主體對(duì)等DNS服務(wù)器202 (或另一個(gè)計(jì)算裝置)的另一個(gè)部件或模塊來(lái)生成���,從所述另一個(gè)部件或模塊中可以接收到這些新的密鑰的集合����。在一個(gè)或多個(gè)實(shí)施例中�����,密鑰的集合包括一個(gè)或多個(gè)公開/私有密鑰簽名密鑰對(duì)����,并且還包括一個(gè)或多個(gè)公開/私有區(qū)域簽名密鑰對(duì)。密鑰管理模塊238生成包括一個(gè)或多個(gè)公開/私有密鑰簽名密鑰對(duì)的一個(gè)或多個(gè)公開密鑰簽名密鑰���,以及一個(gè)或多個(gè)公開/ 私有區(qū)域簽名密鑰對(duì)的一個(gè)或多個(gè)公開區(qū)域簽名密鑰的記錄����,所述記錄可以被稱為DNS密鑰記錄。密鑰管理模塊238通過(guò)用一個(gè)或多個(gè)公開/私有密鑰簽名密鑰對(duì)的一個(gè)或多個(gè)私有密鑰簽名密鑰的至少一個(gè)對(duì)DNS密鑰記錄進(jìn)行數(shù)位簽名而生成DNS密鑰記錄的至少一個(gè)數(shù)字簽名����。密鑰管理模塊238還可以通過(guò)用一個(gè)或多個(gè)公開/私有區(qū)域簽名密鑰對(duì)的一個(gè)或多個(gè)私有區(qū)域簽名密鑰的至少一個(gè)對(duì)DNS密鑰記錄進(jìn)行數(shù)位簽名而生成DNS密鑰記錄的至少一個(gè)數(shù)字簽名��。一個(gè)或多個(gè)私有區(qū)域簽名密鑰還用于生成由對(duì)等DNS服務(wù)器提供服務(wù)的DNS區(qū)域中使用的其他數(shù)字簽名���,例如DNS數(shù)據(jù)的數(shù)字簽名����。然后�,可以將這種DNS密鑰記錄和通過(guò)對(duì)所述DNS密鑰記錄進(jìn)行數(shù)位簽名而生成的數(shù)字簽名用于網(wǎng)絡(luò)中的其他裝置 (例如,對(duì)等DNS服務(wù)器����,DNS解析器等),為這種其他裝置提供一個(gè)或多個(gè)公開/私有密鑰簽名密鑰對(duì)的公開密鑰和一個(gè)或多個(gè)公開/私有區(qū)域簽名密鑰對(duì)的公開密鑰����。例如,可以經(jīng)由目錄服務(wù)設(shè)備(例如�����,Active Directory 目錄服務(wù)設(shè)備)傳送該DNS密鑰記錄和數(shù)字簽名,其使用一個(gè)或多個(gè)數(shù)據(jù)包通過(guò)通信網(wǎng)絡(luò)發(fā)送DNS密鑰記錄和數(shù)字簽名等����。密鑰管理模塊238還將密鑰的集合存儲(chǔ)在密鑰存儲(chǔ)器中,例如圖1的密鑰存儲(chǔ)器 108���。這個(gè)密鑰存儲(chǔ)器可以是密鑰主體對(duì)等DNS服務(wù)器202的一部分�,或者可替換地���,可以是另一個(gè)裝置的一部分����。例如����,密鑰管理模塊238通過(guò)存儲(chǔ)一個(gè)或多個(gè)公開/私有密鑰簽名密鑰對(duì)和一個(gè)或多個(gè)公開/私有區(qū)域簽名密鑰對(duì)而將密鑰的集合存儲(chǔ)在密鑰存儲(chǔ)器中。 可替換地�����,不是存儲(chǔ)所述密鑰對(duì),而是可以將一個(gè)或多個(gè)公開/私有密鑰簽名密鑰對(duì)的一個(gè)或多個(gè)私有密鑰和/或一個(gè)或多個(gè)公開/私有密鑰簽名對(duì)的一個(gè)或多個(gè)私有密鑰存儲(chǔ)在密鑰存儲(chǔ)器中��。在一個(gè)或多個(gè)實(shí)施例中���,將密鑰的集合安全地存儲(chǔ)在密鑰存儲(chǔ)器中����,以便系統(tǒng)200 中的其他對(duì)等DNS服務(wù)器可以重新獲得密鑰的集合�����,但是其他裝置卻不能重新獲得���。可以以各種不同方式安全地存儲(chǔ)密鑰的集合�����,例如��,使用對(duì)等DNS服務(wù)器已知的對(duì)稱密鑰加密所述密鑰的集合�����,使用只有對(duì)等DNS服務(wù)器知曉私有密鑰的公開/私有密鑰對(duì)的公開密鑰加密所述密鑰的集合,在將密鑰的集合提供給裝置之前讓密鑰存儲(chǔ)器認(rèn)證所述裝置是對(duì)等 DNS服務(wù)器等�。應(yīng)注意到,盡管可以將一個(gè)或多個(gè)公開/私有密鑰簽名對(duì)的一個(gè)或多個(gè)私有密鑰簽名密鑰存儲(chǔ)在密鑰存儲(chǔ)器中��,但是除了密鑰主體對(duì)等DNS服務(wù)器202之外的對(duì)等DNS服務(wù)器卻不使用所述私有密鑰簽名密鑰�。由密鑰管理模塊238使用私有密鑰簽名密鑰來(lái)對(duì) DNS密鑰記錄進(jìn)行數(shù)位簽名,并且典型地��,私有密鑰簽名密鑰不用于生成其他數(shù)字簽名����,并且因此,除了密鑰主體對(duì)等DNS服務(wù)器202之外的對(duì)等DNS服務(wù)器不使用一個(gè)或多個(gè)私有密鑰簽名密鑰��??商鎿Q地,可以通過(guò)密鑰主體對(duì)等DNS服務(wù)器202保存一個(gè)或多個(gè)公開/ 私有密鑰簽名對(duì)的一個(gè)或多個(gè)私有密鑰簽名密鑰�,而不需要存儲(chǔ)在密鑰存儲(chǔ)器中。密鑰主體對(duì)等DNS服務(wù)器202還生成簽名密鑰描述符���。密鑰主體對(duì)等DNS服務(wù)器 202的一個(gè)或多個(gè)模塊(例如�,包括密鑰管理模塊238)可以生成簽名密鑰描述符(可選地使用由系統(tǒng)200的管理員輸入的參數(shù))����。在一個(gè)或多個(gè)實(shí)施例中,簽名密鑰描述符包括在密鑰存儲(chǔ)器中存儲(chǔ)的密鑰的集合的標(biāo)識(shí)符(例如,其地址或到其的其他指示字)作為一個(gè)參數(shù)���。所述簽名密鑰描述符還包括由系統(tǒng)200中的對(duì)等DNS服務(wù)器在生成數(shù)字簽名和/ 或執(zhí)行其他安全功能時(shí)所使用的一個(gè)或多個(gè)其他參數(shù)���。通常,簽名密鑰描述符中的參數(shù)描述如何對(duì)DNS區(qū)域進(jìn)行簽名(例如��,所述參數(shù)描述DNS區(qū)域中的配置和安全性能)����。包括在內(nèi)的特定參數(shù)可以基于以下方式而改變由系統(tǒng)200中的對(duì)等DNS服務(wù)器提供安全擴(kuò)展。在一個(gè)或多個(gè)實(shí)施例中����,這些特定參數(shù)是由DNSSEC協(xié)議定義的參數(shù)���?�?梢杂盟鎏囟▍?shù)配置密鑰管理模塊238以將簽名密鑰描述符包括在內(nèi)(例如����,由系統(tǒng)200的管理員標(biāo)識(shí)出的參數(shù))�����,或者可以重新獲得或另外獲得所述特定參數(shù)以將來(lái)自另一個(gè)裝置或服務(wù)設(shè)備的簽名密鑰描述符包括在內(nèi)。盡管在此對(duì)生成和使用簽名密鑰描述符�����、以及描述如何對(duì)DNS區(qū)域進(jìn)行簽名的簽名密鑰描述符進(jìn)行了參照�����,但是應(yīng)注意到���,在此所討論的技術(shù)并不局限于單個(gè)簽名密鑰描述符�,而是可以生成并且使用任意數(shù)量的簽名密鑰描述符����。例如,可將兩個(gè)或多個(gè)簽名密鑰描述符用來(lái)描述如何對(duì)DNS區(qū)域進(jìn)行簽名����。例如,一個(gè)或多個(gè)其他參數(shù)可以包括生成公開/私有密鑰對(duì)所使用的一個(gè)或多個(gè)數(shù)字簽名算法的標(biāo)識(shí)(例如���,包括是否使用下一代安全(NextSecure (NSEC))或NSEC3記錄)�����、生成公開/私有密鑰對(duì)所使用的一個(gè)或多個(gè)算法��、和/或私有密鑰的每一個(gè)的長(zhǎng)度�。作為另一個(gè)示例,一個(gè)或多個(gè)其他參數(shù)可以包括私有密鑰何時(shí)到期(例如�����,幾個(gè)小時(shí)或幾天�, 特定日期和/或時(shí)間等)的指示,或者何時(shí)將密鑰的集合用于代替上一個(gè)密鑰的集合(例如��, 在生成簽名密鑰描述符之后的幾分鐘或幾小時(shí)�����,特定日期和/或時(shí)間等)的指示����。密鑰管理模塊238 (例如����,經(jīng)由DNS I/O模塊234)將簽名密鑰描述符提供給系統(tǒng) 200中的其他對(duì)等DNS服務(wù)器(例如��,對(duì)等DNS服務(wù)器204和對(duì)等DNS服務(wù)器206)��。系統(tǒng) 200中的其他對(duì)等DNS服務(wù)器(例如�����,對(duì)等DNS服務(wù)器204和對(duì)等DNS服務(wù)器206)的DNS I/O模塊從密鑰管理模塊238接收簽名密鑰描述符�?�?梢砸愿鞣N不同方式將簽名密鑰描述符提供給系統(tǒng)200中的其他對(duì)等DNS服務(wù)器�。例如,可以經(jīng)由目錄服務(wù)設(shè)備(例如�����,Active Directory 目錄服務(wù)設(shè)備)傳送所述簽名密鑰描述符�����,其使用一個(gè)或多個(gè)數(shù)據(jù)包通過(guò)通信網(wǎng)絡(luò)發(fā)送所述簽名密鑰描述符等����。系統(tǒng)200中的其他對(duì)等DNS服務(wù)器從密鑰存儲(chǔ)器重新獲得在簽名密鑰描述符中標(biāo)識(shí)出的密鑰的集合(例如,DNS密鑰記錄)���?����?梢杂蛇@些其他對(duì)等DNS服務(wù)器以各種不同方式基于將密鑰的集合安全地存儲(chǔ)在密鑰存儲(chǔ)器中的方式而驗(yàn)證或者認(rèn)證所述重新獲得的密鑰的集合��。如果由這些其他對(duì)等DNS服務(wù)器的一個(gè)或多個(gè)驗(yàn)證或者認(rèn)證所述重新獲得的密鑰的集合的嘗試是不成功的(不能驗(yàn)證或者認(rèn)證所述密鑰的集合)�����,則那些一個(gè)或多個(gè)其他對(duì)等DNS服務(wù)器不使用(并且可以刪除或忽略)所述重新獲得的密鑰的集合�。依據(jù)由所有的其他對(duì)等DNS服務(wù)器在來(lái)自密鑰存儲(chǔ)器的簽名密鑰描述符中標(biāo)識(shí)出的密鑰的集合的恢復(fù),當(dāng)生成數(shù)字簽名和/或執(zhí)行其他安全功能時(shí)��,系統(tǒng)200中的所有對(duì)等DNS服務(wù)器都具有相同的密鑰的集合和其他參數(shù)����。然后,系統(tǒng)200中的各種對(duì)等DNS服務(wù)器可以依據(jù)在簽名密鑰描述符中包括的其他參數(shù)著手于適當(dāng)?shù)厥褂盟鲋匦芦@得的密鑰的集合��。例如��,系統(tǒng)200中的各種對(duì)等DNS服務(wù)器的每一個(gè)都可以使用所述密鑰的集合以生成DNS數(shù)據(jù)的數(shù)字簽名�?����?商鎿Q地,不是將存儲(chǔ)在密鑰存儲(chǔ)器中的密鑰的集合的標(biāo)識(shí)符包括在簽名密鑰描述符中��,系統(tǒng)200中的各種對(duì)等DNS服務(wù)器可以以其他方式標(biāo)識(shí)密鑰存儲(chǔ)器中的密鑰的集合的位置�����。例如�����,可以將密鑰的集合存儲(chǔ)在系統(tǒng)200中的各種對(duì)等DNS服務(wù)器都知曉的一個(gè)或多個(gè)位置(例如����,配置于對(duì)等DNS服務(wù)器中或另外提供給對(duì)等DNS服務(wù)器)。在一個(gè)或多個(gè)實(shí)施例中�����,密鑰管理模塊238還執(zhí)行各種附加的功能以在DNS區(qū)域中支持安全擴(kuò)展���。例如�����,密鑰主體對(duì)等DNS服務(wù)器202可以不對(duì)由對(duì)等DNS服務(wù)器202��,204 和206提供服務(wù)的DNS區(qū)域進(jìn)行簽名����,但是,其他對(duì)等DNS服務(wù)器(服務(wù)器204和206)無(wú)法不對(duì)這些DNS區(qū)域進(jìn)行簽名����。不對(duì)DNS區(qū)域進(jìn)行簽名涉及移除正被使用的安全擴(kuò)展(例如, 從DNSSEC系統(tǒng)到使用DNS的系統(tǒng)的恢復(fù)而沒(méi)有DNSSEC)�。密鑰管理模塊238可以以不同方式確定不對(duì)DNS區(qū)域進(jìn)行簽名,例如���,基于來(lái)自系統(tǒng)200的管理員的輸入或從另一個(gè)裝置或服務(wù)器接收的指示�。密鑰管理模塊238可以以各種不同方式將不對(duì)所述區(qū)域進(jìn)行簽名的指示提供給系統(tǒng)200中的其他對(duì)等DNS服務(wù)器�����,類似于將簽名密鑰描述符提供給系統(tǒng)200中的其他對(duì)等DNS服務(wù)器�����。作為另一個(gè)示例,特定DNS區(qū)域常常具有子DNS區(qū)域�,所述子DNS區(qū)域是特定DNS 區(qū)域已經(jīng)將管理其區(qū)域的一部分的職責(zé)委托給它的DNS區(qū)域。在某些情形中����,例如當(dāng)使用DNSSEC協(xié)議時(shí)�����,由特定DNS區(qū)域中的DNS服務(wù)器(例如��,對(duì)等DNS服務(wù)器)以及子區(qū)域中的 DNS服務(wù)器(例如�,對(duì)等DNS服務(wù)器)保存從特定DNS區(qū)域指向子區(qū)域的附加數(shù)位簽名的記錄。在特定DNS區(qū)域中的DNS服務(wù)器和子區(qū)域中的DNS服務(wù)器之間所述數(shù)位簽名的記錄保持同步�����。密鑰管理模塊238以提供和/或請(qǐng)求所述數(shù)位簽名的記錄的規(guī)定和/或不定間隔將查詢發(fā)給子區(qū)域中的一個(gè)或多個(gè)DNS服務(wù)器���,以便數(shù)位簽名的記錄可以保持同步�。另外��,應(yīng)注意到����,在此所討論的在多主體環(huán)境中支持DNS安全的技術(shù)便于遵守 DNSSEC協(xié)議以及使用NSEC和/或NSEC3記錄�。如上所述���,每個(gè)對(duì)等DNS服務(wù)器都可以接收更新�����,并且將這些更新傳送到其他對(duì)等DNS服務(wù)器�����。因此,在任何給定的情況中�����,每個(gè)對(duì)等 DNS服務(wù)器都可以具有所述區(qū)域的稍微不同的拷貝�����,這是由于由一個(gè)或多個(gè)對(duì)等DNS服務(wù)器已經(jīng)接收到了更新,但是還沒(méi)傳送給其他DNS服務(wù)器�����。然而��,系統(tǒng)200中的每個(gè)對(duì)等DNS 服務(wù)器可以創(chuàng)建它自己的一系列NSEC和/或NSEC3記錄。因此�����,可以避免以下情形對(duì)于記錄被復(fù)制到的對(duì)等DNS服務(wù)器����,復(fù)制可能錯(cuò)誤的NSEC和/或NSEC3記錄���。圖3是圖解說(shuō)明依據(jù)一個(gè)或多個(gè)實(shí)施例的在多主體環(huán)境中支持DNS安全的示例性過(guò)程300的流程圖。由密鑰主體對(duì)等DNS服務(wù)器(例如圖1的密鑰主體對(duì)等DNS服務(wù)器102 或者圖2的密鑰主體對(duì)等DNS服務(wù)器202)的一個(gè)或多個(gè)模塊執(zhí)行過(guò)程300�����,并且可以以軟件���、固件�、硬件或它們的結(jié)合來(lái)實(shí)現(xiàn)過(guò)程300�。將過(guò)程300表示為步驟(act)的集合,并且不局限于所示的執(zhí)行各種步驟的操作的順序�。過(guò)程300是用于在多主體環(huán)境中支持DNS安全的示例性過(guò)程;參照不同附圖�����,在此包括在多主體環(huán)境中支持DNS安全的另外的討論。在過(guò)程300中�,生成描述如何對(duì)DNS區(qū)域進(jìn)行簽名的簽名密鑰描述符(步驟302)。 如上所述�����,所述簽名密鑰描述符通過(guò)包括描述DNS區(qū)域的配置和安全性能的各種參數(shù)而可以描述如何對(duì)DNS區(qū)域進(jìn)行簽名��。至少部分地基于所述簽名密鑰描述符生成DNS區(qū)域的一個(gè)或多個(gè)密鑰的集合(步驟304)。所述DNS區(qū)域是由實(shí)現(xiàn)過(guò)程300的密鑰主體對(duì)等DNS服務(wù)器提供服務(wù)的DNS區(qū)域�。 如以上所討論的,所述簽名密鑰描述符包括描述如何生成一個(gè)或多個(gè)密鑰的集合的各種參數(shù)(例如�,生成所述密鑰所使用一個(gè)或多個(gè)算法���,所述密鑰的長(zhǎng)度等)。如以上所討論的����,可以在各種時(shí)間和/或響應(yīng)于各種事件而生成一個(gè)或多個(gè)密鑰的集合。另外����,如以上所討論的��,可以將所述密鑰的集合存儲(chǔ)在密鑰存儲(chǔ)器中,并且密鑰存儲(chǔ)器中的密鑰的集合的標(biāo)識(shí)符包括在簽名密鑰描述符中��。將簽名密鑰描述符提供給DNS區(qū)域的其他對(duì)等DNS服務(wù)器(步驟306)。如以上所討論的����,可以以各種不同方式執(zhí)行所述簽名密鑰描述符的這種提供����。圖4是圖解說(shuō)明依據(jù)一個(gè)或多個(gè)實(shí)施例的在多主體環(huán)境中支持DNS安全的示例性過(guò)程400的流程圖��。由對(duì)等DNS服務(wù)器(例如圖1的對(duì)等DNS服務(wù)器104或者106�����,或者圖 2的對(duì)等DNS服務(wù)器204或206)的一個(gè)或多個(gè)模塊來(lái)執(zhí)行過(guò)程400,并且可以以軟件���、固件、硬件或者它們的結(jié)合來(lái)實(shí)現(xiàn)過(guò)程400�����。將過(guò)程400表示為步驟的集合���,并且不局限于所示的執(zhí)行各種步驟的操作的順序。過(guò)程400是用于在多主體環(huán)境中支持DNS安全的示例性過(guò)程����;參照不同附圖���,在此包括在多主體環(huán)境中支持DNS安全的另外的討論����。實(shí)現(xiàn)過(guò)程400的一個(gè)或多個(gè)模塊從對(duì)等DNS服務(wù)器接收簽名密鑰描述符(步驟 402)����。如以上所討論的,從密鑰主體對(duì)等DNS服務(wù)器接收所述簽名密鑰描述符�����。從所述簽名密鑰描述符重新獲得DNS區(qū)域的一個(gè)或多個(gè)密鑰的一個(gè)或多個(gè)標(biāo)識(shí)符(步驟404)����。例如�����,如以上所討論的����,這些一個(gè)或多個(gè)標(biāo)識(shí)符的每一個(gè)可以是指向密鑰存儲(chǔ)器中的公開/私有密鑰對(duì)的指示字。可替換地�����,如以上所討論的�,所述簽名密鑰描述符可以不包括一個(gè)或多個(gè)密鑰的標(biāo)識(shí)符����;相反,可以以其他方式標(biāo)識(shí)一個(gè)或多個(gè)密鑰的位置。從密鑰存儲(chǔ)器獲得標(biāo)識(shí)出的一個(gè)或多個(gè)密鑰(406)���。例如,可以通過(guò)從密鑰存儲(chǔ)器重新獲得指向的公開/私有密鑰對(duì)來(lái)獲得一個(gè)或多個(gè)密鑰���。將從密鑰存儲(chǔ)器獲得的標(biāo)識(shí)出的一個(gè)或多個(gè)密鑰用來(lái)生成DNS區(qū)域的DNS數(shù)據(jù)的數(shù)字簽名(步驟408)���??蓪⑦@些標(biāo)識(shí)出的一個(gè)或多個(gè)密鑰用于依照DNS區(qū)域的安全擴(kuò)展以各種不同方式生成數(shù)字簽名�。在此討論了由各種模塊執(zhí)行的諸如傳送��、接收、發(fā)送�、存儲(chǔ)�����、生成����、獲得等的各種動(dòng)作�。應(yīng)注意到���,各種模塊可以使得這些動(dòng)作被執(zhí)行�。使得動(dòng)作被執(zhí)行的特定模塊包括執(zhí)行所述動(dòng)作的特定模塊本身���,或者可替換地調(diào)用或訪問(wèn)執(zhí)行所述動(dòng)作操作(或者連同所述特定模塊一起執(zhí)行所述動(dòng)作)的另一個(gè)部件或者模塊的特定模塊。圖5圖解說(shuō)明了依據(jù)一個(gè)或多個(gè)實(shí)施例的可被配置為實(shí)現(xiàn)在多主體環(huán)境中支持 DNS安全的示例性計(jì)算裝置500����。例如����,計(jì)算裝置500可以是計(jì)算裝置112�����、對(duì)等DNS服務(wù)器 104或106���、密鑰主體對(duì)等DNS服務(wù)器102�、密鑰存儲(chǔ)器108、或者圖1的DNS解析器、或者對(duì)等DNS服務(wù)器204或206�、或者圖2的密鑰主體對(duì)等DNS服務(wù)器202���。計(jì)算裝置500包括一個(gè)或多個(gè)處理器或處理單元502�、可以包括一個(gè)或多個(gè)存儲(chǔ)器和/或存儲(chǔ)部件506的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)504����、一個(gè)或多個(gè)輸入/輸出(I/O)裝置508�、以及允許各種部件和裝置彼此間通信的總線510�����。計(jì)算機(jī)可讀介質(zhì)504和/或一個(gè)或多個(gè)I/O裝置508可以作為計(jì)算裝置500的一部分而包括����,或者可替換地可以耦合到計(jì)算裝置500?�?偩€510表示幾種類型總線結(jié)構(gòu)的一個(gè)或多個(gè),總線結(jié)構(gòu)包括使用各種不同的總線體系結(jié)構(gòu)的存儲(chǔ)器總線或存儲(chǔ)器控制器����、外圍總線��、加速圖形端口�、處理器或本地總線等��。總線510可以包括有線和/或無(wú)線總線。存儲(chǔ)器/存儲(chǔ)裝置部件506表示一個(gè)或多個(gè)計(jì)算機(jī)存儲(chǔ)介質(zhì)�����。部件506可以包括易失性介質(zhì)(例如隨機(jī)存取存儲(chǔ)器(RAM))和/或非易失性介質(zhì)(例如只讀存儲(chǔ)器(ROM)、閃存�、光盤�����、磁盤等)����。部件506可以包括固定介質(zhì)(例如,RAM��、ROM、固定硬盤等)以及可移除介質(zhì)(例如,閃存驅(qū)動(dòng)器��、可移除硬盤驅(qū)動(dòng)器�、光盤等)�?��?梢砸攒浖糜梢粋€(gè)或多個(gè)處理單元502執(zhí)行的指令實(shí)現(xiàn)在此所討論的技術(shù)。將意識(shí)到��,可以將不同的指令存儲(chǔ)在計(jì)算裝置500的不同部件中�����,例如,存儲(chǔ)在處理單元502 中、存儲(chǔ)在處理單元502的各種高速緩沖存儲(chǔ)器中���、存儲(chǔ)在裝置500的其他高速緩沖存儲(chǔ)器 (未示出)中�����、存儲(chǔ)在其他計(jì)算機(jī)可讀介質(zhì)上等。另外����,將意識(shí)到���,計(jì)算裝置500中存儲(chǔ)指令的位置可以隨著時(shí)間而改變�����。一個(gè)或多個(gè)輸入/輸出裝置508允許用戶將命令和信息登錄到計(jì)算裝置500�,并且還允許將信息呈現(xiàn)給用戶和/或其他部件或裝置�。輸入裝置的示例包括鍵盤����、光標(biāo)控制裝置(例如,鼠標(biāo))��、麥克風(fēng)、掃描儀等���。輸出裝置的示例包括顯示裝置(例如監(jiān)視器或投影儀)����、 揚(yáng)聲器、打印機(jī)���、網(wǎng)卡等��。可以以軟件或程序模塊的通常的環(huán)境在此描述各種技術(shù)��。通常,軟件包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例行程序�����、程序、應(yīng)用���、對(duì)象����、部件����、數(shù)據(jù)結(jié)構(gòu)等��。這些模塊和技術(shù)的實(shí)現(xiàn)方式可以存儲(chǔ)在某種形式的計(jì)算機(jī)可讀介質(zhì)上�����,或者跨過(guò)所述計(jì)算機(jī)可讀
13介質(zhì)傳送。計(jì)算機(jī)可讀介質(zhì)可以是由計(jì)算裝置訪問(wèn)的任何可用的一個(gè)或多個(gè)介質(zhì)�����。作為實(shí)例而不是限制���,計(jì)算機(jī)可讀介質(zhì)可以包含“計(jì)算機(jī)存儲(chǔ)介質(zhì)”和“傳播介質(zhì)”�?��!坝?jì)算機(jī)存儲(chǔ)介質(zhì)”包括以任何方法或技術(shù)實(shí)現(xiàn)的易失性和非易失性�����、可移除和不可移除介質(zhì)�,以用于存儲(chǔ)信息�,例如�,計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊�、或其他數(shù)據(jù)��。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括����,但不局限于�����,RAM���、ROM��、EEPR0M、閃存或其他存儲(chǔ)技術(shù)��、CD-ROM、數(shù)字通用盤(DVD )或其他光存儲(chǔ)器�����、磁盒�����、磁帶��、磁盤存儲(chǔ)器或其他磁存儲(chǔ)裝置�����、或可用于存儲(chǔ)期望的信息且可由計(jì)算機(jī)訪問(wèn)的任何其他介質(zhì)�。典型地��,“傳播介質(zhì)”包含計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊�、或已調(diào)制數(shù)據(jù)信號(hào)中的其他數(shù)據(jù)���,例如載波或其他傳送機(jī)制����。傳播介質(zhì)還包括任何信息分發(fā)介質(zhì)�。術(shù)語(yǔ)“已調(diào)制數(shù)據(jù)信號(hào)”是指已經(jīng)設(shè)置或改變其一個(gè)或多個(gè)特性的信號(hào)���,用這種方式以便編碼所述信號(hào)中的信息�。作為示例而不是限制�,傳播介質(zhì)包括有線介質(zhì)(例如�����,有線網(wǎng)絡(luò)或直線連接) 和無(wú)線介質(zhì)(例如�����,聲波�����、RF��、紅外線、以及其他無(wú)線介質(zhì))����。上述任意的組合也可包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)�����。通常,可使用軟件�����、固件�����、硬件(例如�����,固定邏輯電路)、手工處理���、或這些實(shí)現(xiàn)方式的組合來(lái)實(shí)現(xiàn)在此所描述的功能或技術(shù)的任意一個(gè)�����。在此所使用的術(shù)語(yǔ)“模塊”和“部件” 通常表示軟件�、固件��、硬件��、或它們的組合���。在軟件實(shí)現(xiàn)方式的情況下,模塊或部件表示當(dāng)在處理器(例如���,一個(gè)或多個(gè)CPU)上執(zhí)行時(shí),執(zhí)行指定任務(wù)的程序代碼�����。所述程序代碼可以存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)器裝置中,參照?qǐng)D5可以找到其進(jìn)一步的描述�。在此所描述的在多主體環(huán)境中支持DNS安全的技術(shù)的特點(diǎn)是平臺(tái)獨(dú)立性的��,這意味著可以在具有各種處理器的各種商業(yè)計(jì)算平臺(tái)上實(shí)現(xiàn)這些技術(shù)。雖然已經(jīng)以具體到結(jié)構(gòu)特征和/或方法步驟的表達(dá)方式描述了本主題���,但是將了解的是����,在所附的權(quán)利要求書中限定的本主題沒(méi)有必要局限于以上所述的具體特征或步驟。相反�,將以上描述的具體特征和步驟公開為實(shí)現(xiàn)權(quán)利要求書的示例形式�。
權(quán)利要求
1.一種方法���,所述方法包括生成標(biāo)識(shí)如何對(duì)域名系統(tǒng)(DNS)區(qū)域進(jìn)行簽名的簽名密鑰描述符(302)�����; 在多主體DNS環(huán)境的第一對(duì)等DNS服務(wù)器上并且至少部分地基于所述簽名密鑰描述符而生成所述DNS區(qū)域的一個(gè)或多個(gè)密鑰的集合(304)�;以及將所述簽名密鑰描述符提供給所述多主體DNS環(huán)境的第二對(duì)等DNS服務(wù)器(306)����。
2.如權(quán)利要求1所述的方法,所述方法進(jìn)一步包括將所述DNS區(qū)域的所述一個(gè)或多個(gè)密鑰的集合存儲(chǔ)在密鑰存儲(chǔ)器中�;以及在所述簽名密鑰描述符中,包括指向所述DNS區(qū)域中的所述一個(gè)或多個(gè)密鑰的集合的指示字��。
3.如權(quán)利要求1所述的方法,其中�,所述簽名密鑰描述符包括一個(gè)或多個(gè)參數(shù)����,所述一個(gè)或多個(gè)參數(shù)用于生成所述DNS區(qū)域中的DNS數(shù)據(jù)的數(shù)字簽名����。
4.如權(quán)利要求1所述的方法��,所述方法進(jìn)一步包括將來(lái)自所述第一對(duì)等DNS服務(wù)器的所述簽名密鑰描述符提供給所述多主體DNS環(huán)境的一個(gè)或多個(gè)另外的DNS服務(wù)器的每一個(gè)。
5.如權(quán)利要求1所述的方法��,其中�,所述一個(gè)或多個(gè)密鑰的集合包括用于支持所述DNS 區(qū)域安全擴(kuò)展的一個(gè)或多個(gè)密鑰。
6.如權(quán)利要求1所述的方法�,所述方法進(jìn)一步包括 接收用于所述DNS區(qū)域的名稱到相應(yīng)網(wǎng)絡(luò)地址的映射的更新; 通過(guò)對(duì)所述更新中的DNS數(shù)據(jù)進(jìn)行數(shù)位簽名而生成數(shù)字簽名��;將所述更新的映射和所述數(shù)字簽名存儲(chǔ)在所述第一對(duì)等DNS服務(wù)器的數(shù)據(jù)存儲(chǔ)器中;以及促使所述映射的所述更新傳送到所述第二對(duì)等DNS服務(wù)器����。
7.一種第一對(duì)等域名系統(tǒng)(DNS)服務(wù)器,所述第一對(duì)等域名系統(tǒng)服務(wù)器包括 一個(gè)或多個(gè)處理器(502)�;以及一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)(504),在所述計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)有多個(gè)指令�����,當(dāng)由所述一個(gè)或多個(gè)處理器執(zhí)行所述指令時(shí),促使所述一個(gè)或多個(gè)處理器執(zhí)行以下功能從第二對(duì)等DNS服務(wù)器接收簽名密鑰描述符(402),所述第一對(duì)等DNS服務(wù)器和所述第二對(duì)等DNS服務(wù)器的每一個(gè)都是多主體DNS環(huán)境的DNS區(qū)域的DNS服務(wù)器�����; 促使從密鑰存儲(chǔ)器獲得一個(gè)或多個(gè)密鑰(406)����;以及至少部分地基于所述簽名密鑰描述符使用所述一個(gè)或多個(gè)密鑰來(lái)生成所述DNS區(qū)域的DNS數(shù)據(jù)的數(shù)字簽名(408)����。
8.如權(quán)利要求7所述的第一對(duì)等DNS服務(wù)器,其中�,所述多個(gè)指令進(jìn)一步促使所述一個(gè)或多個(gè)處理器從所述簽名密鑰描述符重新獲得保存于所述密鑰存儲(chǔ)器中的所述一個(gè)或多個(gè)密鑰的一個(gè)或多個(gè)標(biāo)識(shí)符,并且其中��,促使從所述密鑰存儲(chǔ)器獲得所述一個(gè)或多個(gè)密鑰是基于所述一個(gè)或多個(gè)標(biāo)識(shí)符而促使從所述密鑰存儲(chǔ)器獲得所述一個(gè)或多個(gè)密鑰�����。
9.如權(quán)利要求7所述的第一對(duì)等DNS服務(wù)器,其中�����,所述多個(gè)指令進(jìn)一步促使所述一個(gè)或多個(gè)處理器執(zhí)行以下功能將所述DNS區(qū)域的名稱到相應(yīng)網(wǎng)絡(luò)地址的映射保存在易失性存儲(chǔ)器中�; 通過(guò)使用所述一個(gè)或多個(gè)密鑰的至少其中之一對(duì)存儲(chǔ)在所述易失性存儲(chǔ)器中的每個(gè)映射進(jìn)行數(shù)位簽名而生成數(shù)字簽名;以及將每個(gè)數(shù)位簽名的映射保存在所述易失性存儲(chǔ)器中��。
10.如權(quán)利要求7所述的第一對(duì)等DNS服務(wù)器�����,其中����,所述多個(gè)指令進(jìn)一步促使所述一個(gè)或多個(gè)處理器執(zhí)行以下功能將所述DNS區(qū)域的名稱到相應(yīng)網(wǎng)絡(luò)地址的映射保存在易失性存儲(chǔ)器中; 接收所述DNS區(qū)域的名稱到相應(yīng)網(wǎng)絡(luò)地址的映射的更新����; 通過(guò)對(duì)所述更新中的DNS數(shù)據(jù)進(jìn)行數(shù)位簽名而生成數(shù)字簽名; 將所述更新的映射和所述數(shù)字簽名存儲(chǔ)在所述易失性存儲(chǔ)器中��;以及促使所述映射的所述更新傳送到所述第二對(duì)等DNS服務(wù)器�����。
全文摘要
將多個(gè)對(duì)等域名系統(tǒng)(DNS)服務(wù)器包括在多主體DNS環(huán)境內(nèi)。所述多個(gè)對(duì)等DNS服務(wù)器其中之一是密鑰主體對(duì)等DNS服務(wù)器�����,所述密鑰主體對(duì)等DNS服務(wù)器生成由所述多個(gè)對(duì)等DNS服務(wù)器提供服務(wù)的DNS區(qū)域的一個(gè)或多個(gè)密鑰�����。所述密鑰主體對(duì)等DNS服務(wù)器還可以生成簽名密鑰描述符��,所述簽名密鑰描述符標(biāo)識(shí)所述DNS區(qū)域的一個(gè)或多個(gè)密鑰的集合����,并且將所述簽名密鑰描述符傳送給所述多個(gè)對(duì)等DNS服務(wù)器的其他對(duì)等DNS服務(wù)器����。
文檔編號(hào)H04L9/32GK102546176SQ20111043228
公開日2012年7月4日 申請(qǐng)日期2011年12月21日 優(yōu)先權(quán)日2010年12月21日
發(fā)明者A.G.瓊斯, D.R.西蒙, F.羅內(nèi)伯格, G.V.貝利, J.J.維斯特赫德, S.塞沙德里, V.K.肯查拉 申請(qǐng)人:微軟公司