网站运营
位置:首页>> 网站运营>> 域名系统的安全协议DNSSEC全面解析(4)

域名系统的安全协议DNSSEC全面解析(4)

作者:佚名 来源:ddvip.com 发布时间:2009-02-10 15:56:00 

标签:域名,DNS,安全协议,DNSSEC,全面解析


不管译出来的hash数和计算出来的hash数是否匹配,对于密码签名这种认证方式都是绝对正确的,因为公钥仅仅用于解密合法的hash数,所以只有拥有私钥的拥有者可以加密这些信息。因此,对于任何系统,开发保护私钥的公钥技术是至关重要的。DNSSEC工作组定义的RFC 2541中解释了这个问题。

DNSSEC的缺点

标记和校验DNS数据显然会产生额外的开销,从而影响网络和服务器的性能。签名的数据量很大,这就加重了DNS对Internet骨干网以及一些非骨干连接的负担。产生和校验签名也占用了很多CPU的时间。有时候,不得不把单处理器的DNS服务器换成多处理器的DNSSEC服务器。签名和密钥占用的磁盘空间和RAM容量达到它们表示的数据所占容量的10倍。同时数据库和管理系统也不得不进行相应的升级和扩容。

使用DNSSEC还有若干种直接的损失。相对于老的、只有DNS的软件,DNSSEC软件又庞大又复杂,许多软件还很新,需要进行实际操作和测试。DNSSEC还没有和Internet的迅速发展同步,仍然有一些疑点,可能需要进一步检查。

开发DNSSEC也有一定的风险。谨慎的选择是在DNSSEC RFC提升为标准状态后再等一两年。到1999年12月,只有ISC的BIND 8.2完全使用了TSIG并部分使用了DNSSEC。其他销售商(包括微软)在未来版本中都将使用各种形式的TSIG。ISC的BIND 9.0将于2000年第一季度发表,它完全采用了DNSSEC。

工作进展

对于DNSSEC在可操作方面的工作正在进行之中,比如com管理者如何正确地签发公钥。为了解决这个问题,一个新的协议即将出现。此外,在同时发生的应用中支持多个公/私钥对也是必要的,但是如何实现还有待进一步的工作。如果一个私钥被破坏,那么就需要取消,可是目前还没有一个设备可以检测出来有错误的密钥。还有私钥的安全问题,该密钥从表面上讲是全球Internet企业的密钥,但是目前有关服务器的管理正在变化之中。

尽管DNSSEC还处在开发过程中,但是任何依赖于Internet的组织都应该把DNSSEC作为系统安全结构里的关键部件,因为DNS协议会因为恶意使用而遭到破坏,只有通过DNSSEC强大的加密技术才可以给所有方面的DNS提供整体的授权。

第一页 上一页 1 2 3
4
0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com