第46次互聯(lián)網(wǎng)名稱與數(shù)字地址分配大會(huì)將在京召開
2013-04-12 15:10 物聯(lián)網(wǎng)世界
導(dǎo)讀:第46次ICANN(The Internet Corporation for Assigned Names and Numbers,互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu))大會(huì)于2013年4月7日至11日在北京召開���,來自全球各地的逾兩千位互聯(lián)網(wǎng)精英就互聯(lián)網(wǎng)相關(guān)議題進(jìn)行了深入探討����,其中DNSSEC(The Domain Name System Security Extensions��,域名系統(tǒng)安全擴(kuò)展)是其中的一項(xiàng)重點(diǎn)研討議題����。
第46次ICANN(The Internet Corporation for Assigned Names and Numbers�����,互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu))大會(huì)于2013年4月7日至11日在北京召開���,來自全球各地的逾兩千位互聯(lián)網(wǎng)精英就互聯(lián)網(wǎng)相關(guān)議題進(jìn)行了深入探討����,其中DNSSEC(The Domain Name System Security Extensions��,域名系統(tǒng)安全擴(kuò)展)是其中的一項(xiàng)重點(diǎn)研討議題���。DNSSEC研討會(huì)的時(shí)長(zhǎng)超過六個(gè)小時(shí)����,共有幾十位全球DNSSEC專家就DNSSEC的發(fā)展現(xiàn)狀及最新熱點(diǎn)進(jìn)行了研討�����,由此可見全球互聯(lián)網(wǎng)界對(duì)于域名安全問題的重視。
首先來簡(jiǎn)要回顧一下互聯(lián)網(wǎng)域名安全問題的由來����。在互聯(lián)網(wǎng)發(fā)展的早期,互聯(lián)網(wǎng)的先驅(qū)者為了方便互聯(lián)網(wǎng)用戶上網(wǎng)而設(shè)計(jì)了一個(gè)相對(duì)簡(jiǎn)單的域名系統(tǒng)(Domain Name System����,DNS),該系統(tǒng)實(shí)現(xiàn)了易于識(shí)記的字符串(即域名)與不便于記憶的IP地址(一組十進(jìn)制數(shù)字)之間的映射����,極大地方便了互聯(lián)網(wǎng)用戶訪問各類以域名作為標(biāo)識(shí)的網(wǎng)絡(luò)資源(如網(wǎng)站等)。早期的域名解析系統(tǒng)沒有采取任何安全措施��,它在一個(gè)可信的�、純凈的環(huán)境里可以運(yùn)行得很好,但是今天的互聯(lián)網(wǎng)環(huán)境異常復(fù)雜�����,充斥著各種欺詐和攻擊����,DNS協(xié)議的脆弱性也就浮出水面。近年來��,域名系統(tǒng)頻頻遭遇域名劫持����、拒絕服務(wù)攻擊、緩存中毒等各類網(wǎng)絡(luò)攻擊��,給互聯(lián)網(wǎng)用戶的上網(wǎng)安全帶來了嚴(yán)重威脅�。
為提升DNS系統(tǒng)的安全性,國(guó)際標(biāo)準(zhǔn)化組織IETF(Internet Engineering Task Force����,因特網(wǎng)工程任務(wù)組)從上世紀(jì)九十年代起開始著手制定DNS安全擴(kuò)展方面的標(biāo)準(zhǔn),這就是前述的DNSSEC��。DNSSEC的原理并不復(fù)雜���,它主要通過為DNS中的數(shù)據(jù)添加數(shù)字簽名信息����,使得客戶端在得到應(yīng)答消息后可以通過檢查此簽名信息來判斷應(yīng)答數(shù)據(jù)是否權(quán)威和真實(shí)��,從而為DNS數(shù)據(jù)提供數(shù)據(jù)來源驗(yàn)證和數(shù)據(jù)完整性檢驗(yàn)����,可以防止針對(duì)DNS的相關(guān)攻擊���。但DNSSEC的安全是建立在秘鑰的安全之上的,一旦秘鑰泄露��,安全就無從談起����。為確保秘鑰的安全,DNSSEC一般要求定期進(jìn)行秘鑰的輪轉(zhuǎn)����,這就帶來信息更新的問題�����。因而“動(dòng)態(tài)”DNSSEC相關(guān)問題仍有很大的研究和改善空間����,這也是本次DNSSEC研討會(huì)的一個(gè)重點(diǎn)話題�����。相關(guān)專家提供了最新的解決方案�,如新增一種名為“CDS”(Children Domain Signature����,子域數(shù)字簽名)的資源記錄���,以實(shí)現(xiàn)秘鑰輪轉(zhuǎn)后相關(guān)信息的自動(dòng)更新,而這些信息的更新之前只能采用帶外方式來實(shí)現(xiàn)�。DNS系統(tǒng)的最大功能在于其實(shí)現(xiàn)了域名到IP地址的正向映射,其實(shí)DNS系統(tǒng)也提供了IP地址到域名的反向映射���,而且這種反向映射能提供一定程度的安全性���。與正向域的DNSSEC部署不同,反向域的DNSSEC部署還涉及到地址分配機(jī)構(gòu)�����,流程相對(duì)復(fù)雜���,因而如何對(duì)反向域進(jìn)行DNSSEC升級(jí)改造是本次ICANN DNSSEC研討會(huì)的又一重點(diǎn)�。此外��,本次研討會(huì)還進(jìn)一步討論了基于DNSSEC的應(yīng)用�����,即如何將DNSSEC作為一種公共信息安全基礎(chǔ)設(shè)施,來為其它網(wǎng)絡(luò)應(yīng)用提供安全服務(wù)��。
總之���,DNSSEC就像一道堅(jiān)固的盾牌��,能有效防止域名劫持�����、緩存中毒等各類DNS安全問題���,確保DNS系統(tǒng)的安全運(yùn)行。但目前DNSSEC在全球范圍內(nèi)的部署應(yīng)用還不盡如人意����,本次ICANN DNSSEC研討會(huì)的召開必將進(jìn)一步推動(dòng)DNSSEC在全球范圍內(nèi)的部署和普及,最終構(gòu)筑起一道堅(jiān)固的DNS安全之盾���,將全球互聯(lián)網(wǎng)帶入一個(gè)更為安全�、可信的新時(shí)代�。(文/中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心 鄧光青)
