DNS協(xié)議存在的安全問題

DNS 是一個(gè)分布式的域名解析系統(tǒng)，它通過緩存技術(shù)、樹狀分層授權(quán)結(jié)構(gòu)實(shí)現(xiàn)域名與IP 地址及郵件服務(wù)等的相互轉(zhuǎn)換，但DNS 服務(wù)與域名解析服務(wù)器之間采用無連接的UDP 協(xié)議，無法確認(rèn)數(shù)據(jù)來源及是否被篡改，存在較大的安全隱患，使得DNS 服務(wù)器經(jīng)常遭受各種攻擊。目前DNS主要存在數(shù)據(jù)包截取、ID猜測、緩存中毒、DDoS分布式拒絕服務(wù)攻擊、緩存區(qū)漏洞溢出攻擊、域名無效攻擊、不安全的動態(tài)更新和信息泄漏等多種安全威脅。

目前有一些非DNSSEC 安全措施能緩解部分DNS 安全問題：

1)限制ZONE 區(qū)域數(shù)據(jù)傳送；

2)服務(wù)地址限制；

3)關(guān)閉域名服務(wù)器遞歸查詢功能；

4)Split DNS；

5)TSIG機(jī)制。

但這些安全措施僅從局部緩解DN S 部分安全問題，沒有對DNS報(bào)文數(shù)據(jù)進(jìn)行源身份認(rèn)證和數(shù)據(jù)完整性檢查，沒有從DNS 內(nèi)部根本解決安全問題。

DNS安全擴(kuò)展協(xié)議(DNSSEC)

公鑰機(jī)制(非對稱加密算法)是一種強(qiáng)安全性的加密技術(shù)，其優(yōu)點(diǎn)是密鑰管理方便，可實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證等功能。公鑰機(jī)制首先生成一個(gè)公鑰/私鑰對，公鑰公開，私鑰自己保留。如典型的RSA公鑰技術(shù)是一種基于大質(zhì)數(shù)的因式分解的分組密碼系統(tǒng)，其中的明文和密文都是對于某個(gè)n的從0到n-l之間的整數(shù)，主要是求模運(yùn)算。

[[29433]]

公鑰加密流程圖

圖中為公鑰加密主要流程，其中發(fā)送方使用私鑰對明文進(jìn)行加密，接收方利用公鑰對密文進(jìn)行解密得到明文，經(jīng)公鑰加密技術(shù)加密的明文能且只能通過其對應(yīng)的另一密鑰進(jìn)行解密。

在安全性方面，目前來講對稱加密算法使用長密鑰時(shí)破解困難，而非對稱加密算法如RSA里的公鑰和私鑰是一對大素?cái)?shù)函數(shù)，從一個(gè)公鑰和密文中破解出明文的難度等價(jià)于分解兩個(gè)大素?cái)?shù)之積，而分解兩個(gè)大素?cái)?shù)之積到目前為止仍然無解。所以就目前來說，基于非對稱加密算法與對稱加密算法的混合加密機(jī)制是比較安全的。

在執(zhí)行效率方面，對稱加密算法時(shí)間復(fù)雜度為0(n)，空間復(fù)雜度為0(n)。非對稱加密算法要加密對稱加密算法的密鑰，比如DES算法密鑰采用一個(gè)64bit的偽隨機(jī)數(shù)，其時(shí)間復(fù)雜度與空間復(fù)雜度為O(1)，因此混合加密算法的時(shí)間復(fù)雜度和空間復(fù)雜度都不超過O(n)。因此，基于對稱加密算法與非對稱加密算法的混合加密機(jī)制可以在保證安全性的基礎(chǔ)上提高DNSSEC 協(xié)議的整體運(yùn)行效率。

DNSSEC已推出多年，但由于其基于公鑰技術(shù)的技術(shù)方案實(shí)施復(fù)雜度大和對硬件要求高仍未被廣泛采用，我們將一種結(jié)合對稱加密算法加解密效率高與非對稱加密算法密鑰管理優(yōu)勢的混合加密機(jī)制引入DNSSEC并進(jìn)行相關(guān)研究。

相關(guān)資料請閱讀：

淺析基于公鑰技術(shù)的DNSSEC

淺析基于混合加密機(jī)制的DNSSEC

【編輯推薦】

1. 生成和交換預(yù)共享密鑰
2. PKI基礎(chǔ)內(nèi)容介紹（1）
3. 破解你的密碼需要多長時(shí)間？
4. 信息安全的核心之密碼技術(shù) 上
5. 揭露維基解密竊取機(jī)密信息新手段
6. 防御網(wǎng)絡(luò)威脅UTM技術(shù)解密（圖示）