YDT 2141-2010 基于无线应用协议(WAP)的无线域名系统技术要求

1、I CS 3 3 . 0 3 0 M 2 1 Y 1 中华人民共和国通信行业标准 丫D 汀 2 1 4 1 - 2 0 1 0 基于无线应用协议 （ WA P ) 的无线域名系统技术要求 T e c h n ic a l r e q u i r e m e n t f o r w ir e le s s p r o f i le d d o m a i n n a m e s y s t e m i n W AP 2 0 1 0 - 1 2 - 2 9发布 中 华人 民共 和 国工业 和信 息化 部 2 0 1 1 一1 - 0 1 实施 发 布 YD 汀 2 1 4 1 - 2 0 1 0

2、目次 前言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 I 范围 规范性引用文件 术语、定义和缩略语 3 . 2 4 概述 术语和定义 缩略语 5 W - D

3、N S的 总 体 框架结 构 。 3 5 . 1 W- D N S的普通功能性框架 3 6 W - D N S 提供D N S 服务 。 . . . . . . 4 7 W- D N S提供和 I E T F协议保持一致的解析器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 7 . 1 解析器 . . . 4 7 . 2 全W一 D N S 解析器 5 7 . 3 I P

4、 v 6 W一 D N S 解析器 . . . . . . 5 8 W - D N S的特性 6 8 . 1基于终端的解析器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8 .2 W - D N S 允许的 查询 模式 6 8 .3 W- D N S客户应用禁止发送多播和

5、广播查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8 .4 W- D N S 应能够缓存D N S 行为响应 。 6 9 W - D N S技术实现要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6、 . . . . . . . . . . . . . . . . . ” . . . . . . . . . . . . . . . 6 9 . 1 要求说明 6 9 . 2 主机要求 。 。 6 9 .3 在 封闭 服务域中 限 制接 入要 求 7 9 .4 优化T T L属性要求 。 。 7 9 .5 安全要求 7 附录A（ 规范性附录） 静态一致性要求 ro 参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 YD/ T 21 41 - 2 0 1 0 月 1吕 本标准是参考了 开放移动联盟的无线域名解析系统标准 （ O M A - WA P - D N S - V 1 0 - 2 0 0 6 0 6 0 6 - A ）以 及 参考D N S 其他相关标准而制定。 本标准附录A是规范性附录，B是资料性附录。 本标准由中国通信标准化协会提出。

8、本标准由中国通信标准化协会归口。 本标准起草单位：北京邮电大学，工业和信息化部电信研究院，中国普天信息产业集团公司，华为 技术有限公司。 本标准主要起草人：王 莉、李劫、匡晓煊、刘博、杨健、王雷、王丹志、孙 毅、李晓炜、 王琼。 w w w . b z f x w . c o m Y D 厅 2 1 4 1 - 2 0 1 0 基于无线应用协议 （ WA P ）的无线域名系统技术要求 1 范围 本标准定义了无线D N S的总体框架、 服务和终端的D N S 客户端功能， 并和互联网工程任务组（ I E T F ) 规范保持一致。 本标准适用于基于无线应用协议应用的互操作。 2 规范性引用文件

9、下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单 （ 不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 W A P F o r u m W A P - 2 2 1 - C R E Q - 2 0 0 1 0 4 2 5 - a无线应用协议的一致性要求规范S p e c i f i c a t i o n o f W A P C o n f o r m a n c e R e q u ir e m e n t s I E T F R F

10、 C 1 0 3 4域名 概念和设施D o m a i n N a m e s 一 C o n c e p t s a n d F a c i l i t i e s ,N o v e m b e r 1 9 8 7 I E T F R F C 1 0 3 5域名 实 现与规范D o m a i n N a m e s 一 I m p l e m e n t a t io n a n d S p e c if i c a t io n ,N o v e m b e r 1 9 8 7 I E T F R F C 1 8 8 6支持lP v 6 的D N S 扩展 D N S E x t e n

11、 s i o n s t o S u p p o r t I P v e r s i o n 6 ,D e c e m b e r 1 9 9 5 I E T F R F C 2 1 1 9用于R F C 中 指示要求级别的关键词 K e y w o r d s f o r u s e i n R F C s t o I n d i c a t e R e q u ir e m e n t L e v e l s ,Ma r c h 1 9 9 7 I E T F R F C 2 3 0 8拒绝缓存的D N S 查询N e g a t i v e C a c h in g o f D N S

12、Q u e r ie s ( D N S N C A C H E ) ,M a r c h 1 9 9 8 3 术语、定义和缩略语 3 . 1 术语和定义 3 . 1 . 2 密钥 K e y 用以分配D N S 网络实体公共密钥的D N S 安全扩展资源记录。 3 . 1 . 3 轻量型域名系统 L ig h t w e i g h t D N S I E T F 规定的无线和终端资源使用最小化的D N S . 3 . 1 . 4 给定的域名系统服务器 P r o v is io n e d D N S S e r v e r 给出的D N S 客户端连接点的D NS 服务器。 3. 1 .

13、 5 签名S I G D N S S e c签名记录。 3 . 1 . 6 域 名空间 D o m a in N a m e S p a c e 域名空间是一个树状结构，资源记录是与名字相关的一些数据。从概念上说，每个结点和域名空间 w w w . b z f x w . c o m Y D 汀 2 1 4 1 - 2 0 1 0 树的叶子结点都有一定的信息，而查询是要查询出一些与之相关的特定信息。 3. 1 . 7 名字 服 务器 N a m e S e rv e r 服务器程序，它保留域名树结构和相应的信息，可以缓冲各种数据，保存域名树中的任何部分，但 是通常它保存域名空间的一个子集，如果

14、需要查询其他信息可以通过指向其他名字服务器的地址寻找。 这个名字服务器是这一部分的认证权威，所有的认证信息组成一个单元称为区，这些区可以分布于不同 的服务器上以保证数据的冗余。 3 . 1 . 8 解析器 R e s o lv e r 向名字服务器提出查询请求并将结果返回给客户的程序，它应可以访问至少一个名字服务器，并将 结果直接返回给用户或向别的名字服务器查询。它通常是用户可以访问的系统方法。在解析器和用户程 序之间不需要协议。 3 . 1 . 9 根 解析 器 S t u b R e s o lv e r 根解析器没有缓存，它依赖于主机上的D N S 服务器缓存来完成服务。根解析器只能处理

15、递归查询。 3 . 1 . 1 0 完全 解 析器 F u ll R e s o lv e r 和根解析器相比，完全解析器不仅可以处理递归查询，而且可以处理迭代查询。 3 . 1 . 1 ， 递归查询 R e c u r s iv e Q u e r y i n g D N S 查询以各种不同的方式进行解析，客户端可以使用缓存信息就地应答查询。D N S 服务器可使用 其自身的资源记录信息缓存来应答查询，它也可代表请求客户端查询或联系其他D N S 服务器，以便完全 解析该名称，并随后将应答返回至客户端。这个过程称为递归查询。 3 . 1 . 1 2 迭代查询It e r a t iv e Q

16、 u e r y in g 和递归查询模式不同的是，客户端自身也可尝试联系其他的D N S 服务器来解析名称。当客户端自行 查找时，它会根据来自 服务器的参考信息，使用其他的独立查询，该过程称作迭代查询。 3 .2 缩略语 下列缩略语适用于本标准。 D H C P D y n a m i c H o s t C o n f i g u r a t io n P r o t o c o l动 态主 机 配置 协 议 D N S D o m a in N a m e S y s t e m域 名 系统 D N S S e c D N S S e c u r i t y域 名系 统安 全 性 F T

17、 P F i l e T r a n s f e r P r o t o c o l文本传输协议 I E T F I n t e r n e t E n g i n e e r i n g T a s k F o r c e互 联网 T - 程任 务组 I P I n t e r n e t P r o t o c o l互联网协议 I P C P I n t e r n e t P r o t o c o l C o n tr o l P r o t o c o l互联网协议控制协议 P P P P o i n t - t o - P o i n t P r o t o c o l点对点协议

18、 w w w . b z f x w . c o m YD 汀 2 1 4 1 - 2 0 1 0 R F C R e q u e s t f o r C o m m e n t s请 求 注解 R R R e s o u r c e R e c o r d资源记录 S I M S u b s c r i b e r I d e n t i t y M o d u le签署 者 认证 模 块 S S H S e c u r e S h e l l安全外壳 T C P T r a n s m i s s i o n C o n t r o l P r o t o c o l传输控制协议 T S

19、I G T r a n s a c ti o n S i g n a t u r e交易 签名 T T L T i m e - t o - L i v e存活时f ill U D P U s e r D a t a g r a m P r o t o c o l用户 数据 报 协议 W A P W i r e l e s s A p p li c a t io n P r o t o c o l无线 应 用协 议 W- D N S Wi r e l e s s P r o f il e d D N S无线域名系统 WI M W A P I d e n t i ty M o d u l e无线

20、应用 协 议识 别 模 块 W - H T T P W i r e l e s s H y p e r t e x t T r a n s f e r P r o t o c o l无线 超文 本 传 输协 议 W- T C P Wi r e l e s s P r o f il e d T C P无线传输控制协议 4 概述 域名系统 R F C 1 0 3 4 R F C 1 0 3 5 是一个复制的分等级的分布式数据库系统。 域名系统主要由 三个部分 组成，分别是域名空间、名字服务器和解析器。域名系统提供对互联网操作的基本信息，它的主要目 标 是对资源有一个一致的名字空间，例如域名与地址。

21、 目 前的无线网络中， 用户对I n t e r n e t 网络的访问过程当中一般都会需要无线应用协议代理网关的支持。 而网络服务提供商可能选择不安装无线应用协议代理网关，或者不允许用户使用间接访问无线应用协议 代理网关的方式来访问I n t e r n e t 。然而，对于没有可用的无线应用协议代理网关的情况下，无线应用协议 终端必须能 够自 行执行D N S 的查找功能。如本标准第一部分所述，本标准的目的 在于支持无线应用协议 框架规范WA P A R C H 中说明的直接接入场景下的I P 地址解析。 本标准主要从框架上描述了 终端执行无线 域名系统功能需求。 由于无线域名系统客户端能

22、够通过已存在的D N S 服务器进行D N S 查找， 所以对于D N S 服务器如何与D N S 客户端进行交互并没有进行详细的描述。 通过控制终端上D N S 客户端的行为，整个系统的无线资源的使用可以达到最小化。D N S 客户端将提 高D N S 服务器返回 无线终端所适应的响 应类型。 为了使得对于缓存个数、存储、处理器的要求最小化，在任何可能的情况下都推荐使用轻量型域名 系统客户端。具体的操作与终端软件开发者以及网络提供商相关。 5 W- D N S的总体框架结构 5 . 1 W- D N S的普通功能性框架 W- D N S 能够在WA P A R C H 中给出的 如图1 所示

23、直接接入框架下， 对I P 地址解析域名时 产生适当的请 求 响 应行为。 图1 中给定的可连接的 D N S 服务器可以 在本地网络内、 外部网络或者互联网的 其他地方找到。 图1 没有阐述D N S 所提供的具体方法。 尽管这个框架没有代理，服务器端的执行可以选择在网络中整合网关功能，如接入控制和负载管理。 为了阐明普通使用情况，图1 没有说明附加功能。 w w w . b z f x w . c o m YD 汀 2 1 4 1 - 2 0 1 0 终端 无线应用环境 We b 服务器 无线应用环境 WDNS 解析 器 W HT TP 无线I P 路由器 互联网 W TCP / UDP

24、TC P / UDP 无线有线 困 W e b 服务器 无线应用环境给定的D NS 服务器 T CP / U DP D N S 服务 给定的D N S 服务器 D NS 服务 器 DNS 客户 端 D NS 服务 T CP / UDP D NS 服务 器 D N S 客户 端 T CP / UDP 图， 直接接入 D N S框架 6 W- D N S提供D N S服务 当具备W- D N S功能的终端需要请求D N S 服务时，W- D N S 应该提供相应的机制为终端的D N S客户 端配置请求D N S 服务的第一个E P 地址。这种功能可以通过执行下面列出的任意一个机制来实现： 一 WI

25、 W主动的 S I M / 用户自 定义设置参见 WA P F o r u m WA P - 1 8 5 - P r o v U A B - 2 0 0 1 0 3 1 4 - a和 WA P F o r u m _ . WA P - 1 8 6 - P r o v S C - 2 0 0 1 0 7 1 0 - a ; 一 由无线应用协议客户端提供参见 W A P F o r u m WA P - 1 8 4 - P r o v B o o t - 2 0 0 1 0 3 1 4 - a . WA P F o r u m WA P - 1 8 3 - P r o v C o n t - 2

26、0 0 1 0 7 2 4 - a、 WA P F o r u m WA P - 1 8 5 - P r o v U A B - 2 0 0 1 0 3 1 4 - a 和WA P F o r u m _ . WA P - 1 8 6 - P r o v S C - 2 0 0 1 0 7 1 0 - a ; 一 P P P / I P C P或者D H C P（ 依赖于承载， 并且由服务侧提供实现） ， 参见I E T F R F C 1 3 3 2 和I E T F R F C 2 1 3 2 . 这些机制所配置的信息可以被存储在S IM或者终端设备上。W- D N S 的用户代理来决定使

27、用这些机制 的优先顺序。参见WA P F o r u m WA P - 1 8 5 - P r o v U A B - 2 0 0 1 0 3 1 4 - a 0 7 W- D N S提供和I E 下 F协议保持一致的解析器 7 . 1 解析器 7 . 1 . 1 把一个用户请求转化为一个查询 为了适合本地操作系统的一种格式，解析器应该采取的第一步是把客户请求转化成为资源记录查询 的格式。这种格式需要有一个符合特定查询类型和查询类相匹配的名称。 w w w . b z f x w . c o m 丫D / T 21 4 1 - 2 01 0 解析器有效地完成它的功能，应能够复用多个请求，所以一

28、般情况下每个未决的请求都在一些状态 信息的板块中表现出来。这个状态板块通常含有三个部分，一个表明请求开始时间的时间戳、用来限制 请求将要完成的工作量的一些参数、 R F C - 1 0 3 4中讨论的S L I S T数据结构。时间戳主要用来决定数据库中 资源记录是否能够使用。S L I S T主要解释了名字服务器和解析器试图查询的区域。 7 . 1 .2 发送查询 解析器的基本任务是形成一个能够解析客户请求的查询，并且能够把这个查询指向能够提供信息的 名字服务器。解析器通常只会对询问的服务器以权威认证名字服务器资源记录的形式提示，也可能在解 析域名统一命名的过程中重建查询，或者重建解析器询问

29、的名字服务器的集合，从而授权响应给那些距 离解析器期望信息比 较近的名字服务器。除了 客户请求的 信息以外，解析器也应响 应自己的 服务， 来决 定它将要沟通的名字服务器的地址。 7 . 1 .3 处理响应 在处理到达的响应数据报时，第一步是解析该响应，第二步是把响应与当前的解析器请求相对应。 第一步程序主要包括三个步骤，分别是： a ) 妥善检查报文头。 如果响应是预期的，那么就丢弃那些有问 题的数据报。 b ） 解析报文部分，并确定所有的R R的格式都正确。 。 ） 可选步骤：检查到达数据的T T L ，查找带有长度过大T T L 的资源记录。 如果资源记录有过长的 T T L ，例如，一

30、周，那么丢弃整个响应，或者把响应中所有T T L都局限到一周。 第二步程序主要包括三个步骤，分别是： a ) 一些名字服务器从不同于接受查询地址的多个地址发送响应。这意味着，解析器不能依赖于来 自 发送相关查询地址的响 应。这个名字服务器的b u g 在U N I X系统中 经常遇到。 b ) 如果解析器反复传送某请求到一个名字服务器，那么它应该能够使用其中任何一个发送中的响 应。然而，如果它正在使用响应来估计接入名字服务器的往返时间，那么它必须能够决定哪个发送与响 应匹配 （ 并为每个发送出去的报文保持传送次数） ，或者仅仅根据原始传输计算往返时间。 c ) 名字服务器偶尔可能没有某区域的当

31、前拷贝，那么解析器应该把名字服务器从当前 S L I S T中删 除并继续。 7 . 1 .4 使用缓存 通常希望解析器能够缓存它在响应中接收的所有数据，因为这些数据可能在应答未来的客户请求时 有用。当解析器在一个响应中有一系列相同名字的资源记录时，在把这些资源记录缓存之前，应该先检 查一下缓存中己经存在的资源记录。根据具体情况来决定是否保存响应中的数据。如果响应中的数据在 解析过程中是优先级比较高的数据，那么它始终是优先考虑的。 7 .2 全W- D N S解析器 为了可以和传统的、 普通的D N S 服务器进行互操作， W- D N S 解析器遵循I E T F R F C 1 0 3 4

32、 , I E T F R F C 1 0 3 5 , I E T F R F C 2 0 3 8 。另外， W- D N S 解析器必须和第8 章节所描述的规范保持一致，以 便产生一个轻 量型协议。 W- D N S 解析器只能被安装在支持I P v 4网 络层或者I P v 6 网络层或者两者都支持的终端上。 7 .3 IP v 6 W- D N S解析器 安装在支持I P v 6 的终端上的W- D N S 解析器遵循I E T F R F C 1 8 8 6 0 w w w . b z f x w . c o m Y D 厅 2 1 4 1 - 2 0 1 0 8 W- D N S的特性

33、 8 . 1 基于终端的解析器 R F C 1 0 3 5中表明，基于终端的解析器可以在根解析器和完全解析器之间进行选择。根解析器没有缓 存，它依赖于主机上的D N S 服务器缓存来完成服务。为了使给定的D N S 服务器便于进行D N S查询，并 且出于对开销最小化的考虑，W- D N S客户端应至少支持一个根解析器。W- D N S应用在一个可以保存区 域数据的场景下时，也可以支持一个完全服务解析器。 8 .2 W- D N S允许的查询模式 通过使用递归查询模式，可以使解析器和D N S目录服务间的交互最小化，这种方式比迭代模式查询 使用更少的无线资源。W- D N S客户应首先使用递归

34、查询模式， 如果递归查询失效，并且在客户端支持迭 代查询模式的情况下，也可以使用迭代查询模式。 本标准推荐服务端在接入服务时，宜为D N S客户提供能够递归的D N S服务器。如果服务器端的应 用不支持递归查询模式，则要进行迭代查询。但因为根解析器只支持递归查询模式，因此为了避免失败， 可以 在提供服务接入时在客户端使用完全解析器。 8 .3 W- D N S客户应用禁止发送多 播和广播查询 多播或者广播查询可以 导致多重响应， 这样会造成无线资源的 消耗。 因此终端的W- D N S 客户端应该 禁止发送多播或者广播查询。 8 .4 W- D N S应能够缓存D N S行为响应 频繁地查询相

35、同域名的E P 地址浪费无线资源。W- D N S 功能终端必须能够将接收到的D N S响应中的 新的 D N S记录保存在终端本地，并且执行本标准规定的D N S记录保存方法。如果己经存储的所有D N S 记录的大小高于预先设置的存储门限，那么删除一部分已经存储的D N S记录 （ 存在已经过期记录则删除 己经过期的D N S记录；如剩余的D N S记录的大小仍然高于或等于存储门限，则再次删除最临近过期的 一部分 D N S记录；或一个域名对应的多个 1P地址的所有D N S记录中选择一部分D N S记录删除；或按 照保存的顺序依次删除D N S 记录；或删除使用率低的一部分D N S 记录

36、），以使剩余的D N S的大小低于 所述存储门限。服务器端的应用在发送频繁使用的无线服务 （ 例如，入口、信息服务和搜索设施）的资 源记录时可以考虑更长的持续T I T . 值。 为了保持一致，终端的本地缓存必须能够存储至少一条D N S记录。本标准推荐采用终端本地缓存多 条D N S 记录的方式，性能优化和存储器分配的大小决定了允许的存储记录容量。终端可以通过设定门限 的方式动态地删除所存储的D N S 记录，以达到性能优化和提高存储记录容量的目的。终端的W- D N S客 户禁止为本地存储的D N S记录修改T T L值。 这是因为， 终端收到的D N S 记录当中的T T L值很可能已经

37、 被服务器端的应用进行过优化， 因此客户端对T T L值的调整可能会导致终端更加频繁地连接无效的I P地 址，这容易造成整个无线资源的使用效率降低。 9 W- D N S技术实现要求 9 . 1 要求说明 本部分的意图是告知网络提供商可能要考虑的应用优化。这些应用优化是推荐，而不是无线应用协 议一致的要求。 9 .2 主机要求 W- D N S 没有说明主机要求或是D N S服务器的行为，然而W- D N S在考虑网络应用时参见I E T F R F C 6 w w w . b z f x w . c o m Y D 厅 2 1 4 1 - 2 0 1 0 1 1 2 3 和 I E T F

38、R F C 2 1 8 1 。 本标准同时推荐服务器端应用，宜保证在给定的D N S服务器上，能够处理递归查询以 支持W- D N S 终端。 递归查询使无线资源利用最小化， 提高吞吐量。因为迭代查询不是W- D N S 终端必需的， 所以服务 器端应用应安装能够递归查询的D N S 服务器。 9 .3 在封闭服务域中限制接入要求 一些服务器端配置希望执行封闭服务域。譬如在一个单个私有网络或者一个虚拟私有网络，只允许 特定用户接入相关联的服务，而其他网络上的用户不允许接入这些服务。 建议准备执行封闭服务域的服务器端，应该断开它们给定的D N S服务器和公共 D N S服务器网络的 连接，隔离给

39、定的D N S 服务器网络，并且不允许其他网络的用户解析受限制服务的域名。 其他安全机制也应考虑，如配置防火墙方案实施。 9 .4 优化T T L 属性要求 为了 使得无线资源利用最小化， 提供给定D N S服务的 服务器端的 应用应该自 动计算和优化T T L属 性。 存储在D N S 数据库中的数据是和每个D N S 入口相关的实时属性， 并且在资源记录响应中发送给D N S 客户 。 9 . 5 安全要求 9 . 5 . 1 安全要求范围 在一个典型的无线应用协议环境中，不必保护大规模的I n t e rne t 规模的D N S数据传送。但保护本地 （ 一个区域内）的D N S传送，网

40、络管理员限制D N S服务器只与授权客户交互，并且保证区域数据只被 授权的代理修改是非常有必要的。 9 . 5 .2 D N S S e c 描述 终端首先向D N S 服务器发送D N S查询请求， 其中包含用于 标识业务类型的业务标识或者标识用户 身份的用户信息，D N S服务器根据所述业务标识和 或用户信息可以为所述终端选择至少一个 I P地址， 将所述选择的I P地址返回给终端时，还要将用于安全认证的鉴权数据提供给终端。 服务器间的本地 （ 区域内）数据传送是可以使用任意一个 D N S S e c机制来保护的。尽管对于小规模 区 域， 非D N S S e c 机制，安全F T P

41、/ S S H传送也可能适合， 但区域数据的更新应该使用安全动态更新机制 鉴权和授权，参见I E T F R F C 3 0 0 7 0 为了评估服务器的响应，解析器首先应该向使用S I G ( 0 )或者T S I G的优先的服务器发出简易查询， 解析器可能要求服务器对给定的S I G 、可能的K E Y , S I G ( K E Y ） 格式进行的查询给予响 应。 在R F C 2 9 3 1 中 规定： S I G ( 0 ) 对D N S 交易和请求提供保护。 安全D N S 的原始数据认证服务提供数 据资源记录或者对其存在性进行鉴权，不提供对D N S 请求的保护，不提供对基于问答

42、的消息头的保护， 不提供对全面完整性的保护。 这个规定要求优先的服务器列表、共享的密钥以及T S I G一起使用。除非有 更低开销的D N S S e c 机制可用，否则D N S S e 。 不应该在无线应用协议环境中使用。 9 . 5 .3 D N S S e c 机制 9 .5 .3 . 1 域名解析方法与密钥分配 为了把密钥和 D N S名字联系起来，定义了一种资源记录形式。这种形式允许 D N S被当成一种公钥 分配机制来使用，从而支持D N S本身的安全性和其他一些协议。 密钥资源记录的语法中包含了一种算法标识符、实际的公钥参数和多种标志，这些标志指示了与密 w w w . b z

43、 f x w . c o m Y D 汀 2 1 4 1 - 2 0 1 0 钥相关实体的类型，或表明没有与实体相关的密钥。 9 . 5 .3 . 2 数据来源认证和完整性 在D N S中，认证是由与资源记录相关的装置提供的，以密码的形式生成数字签名的。一般的，会有 一个单一私钥来认证整个区域，但是不同的算法、签名人等可能会有多个密钥。如果安全性可知的解析 器可靠地得到了区域的一个公钥，那么它就可以认证从这个区域读取的数据，就是说它已经被授权了。 对于区域的私钥而言，最安全的实现方法是保证它始终是脱机的，而且周期性的把区域内所有记录全部 重新标注。然而，在许多情况下D N S的私钥都是需要在线

44、的，如动态更新。 数据来源认证密钥是与区域相关的， 而不是与存放着数据备份的服务器相关。这意味着，如果秘钥 保持脱机，即使副服务器，甚至是区域的主服务器被破坏都不会必然影响解析器的可信度，这个解析器 决定了数据是否是真实的。 解析器得到一个区域的一个公钥的方式从D N S处读取， 或者静态地配置这个公钥。为了能可靠地从 D N S处读取公钥，公钥本身必须有解析器信任的钥匙的标志。解析器必须用至少一个公钥来配置，这个 公钥把一个区域作为一个起始点来认证。 如果D N S 树中相关区域是安全的而且其已标示密钥是可理解的， 那么从这个起始点开始，可以安全的读取这些区域的公钥。 添加数据来源认证和完整

45、性，除了添加密钥分配时必须的签名资源类型和密钥资源类型之外，不必 改变“ o n - t h e - w ir e D N S协议， 数据不存在的认证也需要下一个资源记录。 如果他们能够提供对额外的资源 类型的支持，这个服务可以由现存的解析器和缓存服务器来实现。惟一例外的情况是，当一个安全区域 内的统一的域名提名来源于一个安全性不可知的服务器时，那么它将不能被认证。 如果在重新找到签名认证的信息时，签名是单独被找回和核实的，那么服务器将会有更多的操作。 安全性可知的服务器通过发送必要的签名来减轻这种影响。 9 .5 . 3 .3 D N S事务和请求认证 数据来源认证服务保护重新找到的资源记录

46、和资源记录不存在属性， 但对D N S或报文头不提供保护 的方法。如果头比 特被一个坏服务器设置错误了，那么就无法使用数据来源认证服务。 但是即 便如此， 仍然可以提供请求认证。 请求认证意味着解析器能够保证，至少可以从它所要询问的服务器得到信息，并且这些信息是对其 询问的回答。例如，在传输过程中没有被欺骗的报文。用户可以通过在把服务器的应答和解析器的查询 串联起来回复的结尾选择添加一个特殊的S I G资源记录来达成上述的效果。 请求也可以通过在结尾包含特殊的S I G资源记录，使得自己被认证。在旧的D N S 服务器中，认证请 求不提供任何功能，而且携带有一个非空额外信息段的请求会产生错误回

47、复，甚至会被许多服务器忽略。 但是， 现在这种标识请求的格式被定义为一种认证安全的动态更新请求或者需要认证的未来请求的方法。 为了传输安全性，私钥属于回复的一部分，而不与区域相关。请求认证可能与主机或其他组成请求 的事物相关联，或者与其他私钥相关联。具体与谁相关联是由要建立的请求权限决定的。为了用于认证， 相应的公钥正常情况下会在D N S中存放和找回。 由于请求和回复是多变的，消息认证 S I G不能被预先计算出来，因此必须保证私钥在线。例如私钥 放在软件或一个直接与网络相连的硬件上。 9 . 5 .4 安全缺陷说明 额外的安全一定有缺陷。鉴权的数据通常在一段时间后 “ 过期”，并且交换信息

48、的成员 （ 客户和服 w w w . b z f x w . c o m Y D / T 2 1 4 1 - 2 0 1 0 务器） 必须维持他们的安全关系。 T S I G ( T r a n s a c t i o n S i g n a t u r e s )， 参见I E T F R F C 2 8 4 5 ， 通过使用“ 共享 的密钥” 避免了公共密钥的性能影响。因为 T S I G包含了安装在请求端和服务端的密钥，这个密钥的存在 表明其他端知道 T S I G，并且很可能也安装了同样的密钥。另外，T S I G用了相对运算量不太大的钥匙散 列认证代码。因此，如果相应的请求被授权，用

49、T S I G授权请求和响应是很正常的， 但是共享密钥的安全 分发仍然是 问题 。 w w w . b z f x w . c o m Y D / T 2 1 4 1 - 2 0 1 0 附录A （ 规范性附录） 静态一致性要求 A . 1 概述 用在此附 录中的符号在 C R E Q 中 详细说明 。并没 有服务器端的要 求。 A . 2 客户机D N S 特点 表A . 1 D N S 特征 项目功能参考状态要求 DNS - DP F - C- 0 01支持 R F C 1 0 3 4 6 . 1 M DNS - DP F - C- 0 0 2 支持 R F C 1 0 3 5 6 . 1

50、M DNS - DP F - C- 0 0 3 安装在支持Ip v 4 或I p v 6 的终 端 6 . 1M D N S - D P F - C - 0 0 4或D N S - D P F - C - 0 0 5 DNS - DP F - C- 0 0 4 安装在支持 I p v 4 的 终端 6 . 10 DNS - DP F - C- 0 0 5 安装在支持Ip v 6 的终 端 6 . 10DNS - DP F- C- 0 0 6 DNS - DP F - C- 0 0 6支持R F C 1 8 8 6 6.20 DNS - DP F - C- 0 0 7 支持R F C 2 0 3

51、 8 6 . 1M DNS - DP F- C- 0 0 8 根解析器 7. 1M DNS - DP F - C- 0 0 9完全解析器 7. 10 DNS - DP F - C- 0 1 0递归询问 7 .2M DNS - DP F - C- 01 1迭代询问7.20DNS - DP F- C- 0 0 9 DNS - DP F - C- 0 1 2 禁止组播或广播询问 7.3M D NS - DP F - C - 0 1 3缓存行为 7.4M DNS - DP F- C- 01 4 安全要求 8 . 4M 1 0 w w w . b z f x w . c o m Y D 汀 2 1 4 1 - 2 0 1 0 参 考 文 献 1 P R O V B O O T P r o v i s i o n i n g B o o t s t r a p . WA P F o r u m - WA P - 1 8 4 - P r o v B o o t - 2 0 0 1 0 3 1 4 - a . 2 P R O V C O N T P