域名服務系統(tǒng)安全擴展(DNSSEC)協議測試方法本文件針對域名服務系統(tǒng)安全擴展的協議測試進行了詳細的規(guī)定，并提出了測試的要求。本文件適用于域名服務系統(tǒng)的安全擴展協議測試。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T33562-2017信息安全技術安全域名系統(tǒng)實施指南YD/T2140-2010域名服務安全框架技術要求YD/T2586-2013域名服務系統(tǒng)安全擴展(DNSSEC)協議和實現要求YD/T3008-2016域名服務安全狀態(tài)檢測要求IETFRFC5155散列的DNSSEC否定存在驗證(DNSSecurityONSSEC)HashedofExistence)IETFRFC8624DNSSEC算法實現需求與使用指南(AlgorithmImplementationUsageGuidanceforDNSSE3術語和定義YD/T2586-2013、YD/T3008-2016、GB/T33562-2017界定的以及下列術語和定義適用于本文件。域名系統(tǒng)domainnamesystem一種將域名映射為某些預定義類型資源記錄(resourcerecord)的分布式互聯網服務系統(tǒng)，網絡中域名服務器問通過相互協作，實現將域名最終解析到相應的資源記錄資源記錄resourcerecord在域名系統(tǒng)中用于存儲與域名相關的屬性信息，簡稱RR。每個域名對應的記錄可能為空或者多條。域名的資源記錄由名字(name)、類型(type)、種類(class)、生存時間(tt1),記錄數據長度(rdlength)、記錄數據(rdata)等字段組成。域名服務器mameserver用于存儲域名和資源記錄及其他相關信息并負責處理用戶的查詢請求的服務器23DNSKEY資源記錄存儲的是權威域的公朝。權威域使用私鑰對DNS資源記錄集進行數字簽名，并且將公鑰保存在DNSKEY資源記錄中，用于稍后對數字簽名的驗證。資源記錄簽名(RRSIG)resourcereoordsignaturoRRSIG資源記錄存儲的是DNS資源記錄集的數字簽名。授權簽名者(DS)delegationsignerDS資源記錄存儲了DNSKEY資源記錄的散列值。用于建立解析器驗證DNS應答報文時所需的信任鏈。它可以驗證與之對應的DNSKEY資源記錄。信任錨trustanchor一個預先配置的DNSKEY資源記錄或者DNSKEY資源記錄的散列值(DS資源記錄)。一個支持DNSSEC的解析器可以使用這個公鑰或者散列值作為信任鏈的起始點。此外，解析器應該通過DNS協議之外的安全可信的方法獲得信任錨的初始值一個由DNSKEY和DS資源記錄交替組成的序列，DNSKEY用于驗證包含DS的資源記錄集簽名，使得DS得到驗證。DS包含了另一個DNSKEY的散列值，新的DNSKEY如果與DS的散列值匹配，也可以得到驗證。這個新的DNSKEY反過來又可以驗證另一個Ds,這樣延續(xù)下去直到獲得需要驗證的DNS數據簽名的公鑰為止。下列縮略語適用于本文件。己驗證數據關閉檢查CheckingDisabled域名服務系統(tǒng)域名服務系統(tǒng)安全擴展域名服務系統(tǒng)安全擴展開啟授權簽名者DNS擴展機制密鑰簽名密鑰下一個安全記錄NSEC3下一個安全記錄第三版4RRSIG資源記錄簽名ResourceRecordSignatureS0A初始授權機構StartOfAuthorityZSK區(qū)簽名密鑰ZoneSigningKey5域名系統(tǒng)安全擴展(DNSSEO)域名系統(tǒng)安全擴展(DNSSEC)可以提供DNS數據源鑒別和完整性保護，以及DNS數據的否定存在驗證機制。DNSSEC協議要求符合YD/T2586-2013和GB/T33562-2017的要求。DNSSEC過程包含域名服務器操作和解析器操作。實施DNSSEC的域名服務器應支持TCP53端口的查詢請求。本章的重點是DNSSEC的基本原DNSSEC增加了4種新的資源記錄類型，它們是資源記錄簽名(RRSIG)、DNS公鑰(DNSKEY)、授權簽名者(DS)和下一個安全記錄(NSEC)。但已經被證明是不安全的，攻擊者可以通過NSEC獲得權威域中存在的所有域名記錄。因此，本標準將使用下一個安全記錄第三版(NSEC3)。此外，DNSSEC在報文頭增加了2個標志位——CD標志位和AD標志位。為了支持增加了DNSSEC資源記錄而變得更長的DNS報文，DNSSEC需要DNS擴展機制(EDNS0)的支持。最后，DNSSEC還需要使用報文頭的DO標志位，使得支持DNSSEC的解析器能夠在其請求中指明它希望接收到DNSSEC機制包括兩個主要過程簽名和驗證。簽名過程主要是支持DNSSEC的域名服務器利用私鑰對資源記錄進行數字簽名，數字簽名及其相關信息保存在一個RRSIG中、驗證過程是支持DNSSEC的解析器利用得到的域名服務器的公鑰，驗證資源記錄的簽名。支持DNSSEC的解析器通過以下兩種方式獲得域名服務器的公鑰；一是通過預先配置在解析器中的信任錨，二是通過正常的DNS解析方式。在第二種方式中公鑰被保存在DNSKEY中為保證獲得公鑰的真實性，該公鑰還需要由一個經過認證的、預先配置的密鑰簽名，即密鑰簽名密鑰(KSK)。因此，支持NSSEC的解析器為了驗證簽名，需要形成一個從域名服務器公鑰到密鑰簽名密鑰的信任鏈。同時，解析器至少需要配置一個信任錨。如果配置的信任錨是區(qū)簽名密鑰(ZSK),那么解析器就可以鑒別域名服務器數據的真實性和完整性如果配置的信任錨是密鑰簽名密鑰(KSK),那么解析器就可以驗證域名服務器公鑰的真實性和完整性。6.1域名服務器6.1.1區(qū)簽名密鑰對生成測試編號：6.1.1-ZSK-gene1、使用非對稱密鑰算法生成區(qū)簽名密鑰對密鑰算法、密鑰長度和密鑰更新有效期符合的要求，符合IETFRFC8624《DNSSEC算法實現需求與使用指南》,符合我國密碼管理的相關規(guī)定。(例如：算法為RSA/SHA-1,密鑰長度1024bit.)測試編號：6.1.2-KSK-gene測試步臆；如；算法為RSA/SHA-1,密鑰長度2048bit。)1)與區(qū)簽名密鑰(ZSK)相對應的私鑰單獨保存在域名服務器上，訪問有權限控制，通3)與區(qū)簽名密鑰(ZSK)相對應的私鑰單獨保存在域名服務器上，訪問無權限控制，提1、指定簽名密鑰和簽名有效期，執(zhí)行區(qū)簽名操作。測試編號：6.1.6-zone-res測試步驟；1、觸發(fā)簽名到期條件。1)完成區(qū)重簽名操作，包括：刪除所有現有的簽名記錄，重新排序區(qū)文件，重新測試編號：6.1.7-zone-res測試編號：6.1.8-scheduled-ZSK-ro2、查看公鑰發(fā)布時間。2)區(qū)簽名密鑰(ZSK)新密鑰發(fā)布后，DNSSEC功能無法正常使用，不通過。3)區(qū)簽名密鑰(ZSK)新舊密鑰無重疊6.1.9KSK常規(guī)密鑰輪轉測試編號：6.1.9-scheduled-KSK-ro測試步腹；2、采用雙重簽名方法。用新密鑰簽名密鑰(KSK)和用新密鑰簽名密鑰(KSK)對密鑰集簽名。1)密鑰簽名密鑰(KSK)輪轉后，DNSSEC功能可正常使用，通過。2)密鑰簽名密鑰(KSK)輪轉后，DNSSEC功能無法正常使用，不通過。測試編號：6.1.10-emergency-ZSK-ro1、模擬區(qū)中密鑰泄漏或者私鑰丟失時等緊急事件發(fā)生，調用接口觸發(fā)或者手動觸發(fā)緊急密鑰輪1)區(qū)簽名密鑰(ZSK)輪轉到新密鑰，同時初始化密鑰簽名密鑰(KSK),通過。2)區(qū)簽名密鑰(ZSK)未輪轉到新密鑰或密鑰測試編號：6.1.11-emergency-KSK-ro1、通過事件觸發(fā)或者手動觸發(fā)針對子域子區(qū)的密鑰簽名密鑰(KSK)緊急1)父區(qū)獲取子區(qū)新的密鑰簽名密鑰(KSK)后，DNSSEC功能可正常使用，通過。2)父區(qū)獲取子區(qū)新的密鑰簽名密鑰(KSK)后，DNSSEC功能無法正常使用，不通過。1、向域名服務器發(fā)起帶EDNS0擴展的查詢，查看是1)支持EDNS0查詢，可以返回相關記錄，通過。2)不支持EDNS0查詢，不通過。1、向域名服務器53端口發(fā)送TCP查詢。1)開放53端口TCP查詢，可以返回相關記錄，通過。測試編號：6.1.14-DNSSEC-re1、接收DNSSEC查詢請求，查看是否能夠返回DNSSEC記錄。1)支持DNSSEC查詢，可以返回DNSSEC相關的解析記錄，通過。1、區(qū)簽名時生成NSEC記錄。2、向被測試的域名服務器發(fā)起某個域名或某個資源記錄類型不存在的查詢請求。1)能夠正確返回包含NSEC記錄的應答測試編號：6.1.16-NSEC3-re2、向被測試的域名服務器發(fā)起某個域名或某個資源記錄類型不存在的查詢請求。1)能夠正確返回包含NSEC3記錄的應答報文，通過。2)無法正確返回包含NSEC3記錄的應答報文，不通測試編號：6.2.1-trust-anchor-configu1、配置根區(qū)的區(qū)簽名密鑰(ZSK)為信任錨，1)支持根區(qū)和父區(qū)的區(qū)簽名密鑰(ZSK)和密鑰簽名密鑰(KSK)配置成信2)不支持根區(qū)配置區(qū)簽名密鑰(ZSK)或者3)不支持父區(qū)配置區(qū)簽名密鑰(ZSK)或測試編號；6.2.2-root-DNSKEY-trust-測試項目：以根域的DNSKEY公鑰為信任鐳1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送一個域名的DNSSEC查詢。2)未能根據GB/T33562-2017規(guī)定的流程完成簽名驗證，不通過。測試編號：6.2.3-parent-DNSKEY-trust-1、配置父域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送一個域名的DNSSEC查詢。2)未能根據GB/T33562-2017規(guī)定的流程完成簽名驗證，不通過。測試編號：6.2.4-signature-validation-r2)對接收到的RRSIG記錄，不支持區(qū)分YD/T2586-2013規(guī)定的四種結果，不通過。測試編號：6.2.5-signature-validation-alg1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送DNSSEC查詢。2、RSASHA1-NSEC3-SHA1:3、RSASHA256;4、RSASHA512),通過。測試編號：6.2.6-delegation-validation-alg1、配置根域的DNSKEY公鑰為信任錨。2、向解析器發(fā)送DNSSEC查詢。1、SHA-1:2、SHA-256),通過。測試編號：6.2.7-DNSSEC-query-vali1、向域名服務器發(fā)起DNSSBC查詢，查看是否能夠返回DNSSEC記錄。1)支持DNSSEC查詢，可以有效支持域名記錄安全1、向域名服務器發(fā)起某個域名或某個資源記錄類型不存在的查詢請求。2、檢查收到的DNSSEC應答中是否包含NSEC資源記錄及驗證情況。1)能夠接收包含NSEC資源記錄的應答報文，并對應答報文中NSEC資源記錄進行1、向域名服務器發(fā)起某個域名或某個資源記錄類型不存在的查詢請求。2)無法接收包含NSEC3資源記錄的應答報文，不通3)無法對應答報文中NSEC3記錄進行驗證，不通過。2)區(qū)簽名