VIỆn khoa học kỹ thuật bưU ĐIỆN



tải về 105.38 Kb.
Chuyển đổi dữ liệu19.07.2016
Kích105.38 Kb.

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

VIỆN KHOA HỌC KỸ THUẬT BƯU ĐIỆN

---------

THUYẾT MINH DỰ THẢO



CÁC THAY ĐỔI TRONG GIAO THỨC ĐỐI VỚI PHẦN MỞ RỘNG BẢO MẬT DNS (DNSSEC)

Chủ trì : ThS. Đỗ Đức Thành.

Cộng tác viên: ThS. Nguyễn Việt Dũng

ThS. Nghiêm Thanh Huyền

KS. Phùng Khắc Hải

KS. Trần Minh Tuân

KS. Chu Huy Phong

Hà Nội - 2015



MỤC LỤC


1. TÊN GỌI VÀ KÝ HIỆU CỦA TCVN. 3

1.1. Tên gọi của TCVN. 3

1.2. Ký hiệu của TCVN. 3

2. TÌNH HÌNH TIÊU CHUẨN HÓA PHẦN MỞ RỘNG CỦA BẢO MẬT DNS TRÊN THẾ GIỚI VÀ VIỆT NAM 3

2.1. Thế giới 3

2.2. Việt Nam [4]. 4

3. TÌNH HÌNH TRIỂN KHAI PHẦN MỞ RỘNG CỦA BẢO MẬT DNS TRÊN THẾ GIỚI VÀ VIỆT NAM 9

3.1. Thế giới 9

3.2. Việt Nam [6] 14

4. SỞ CỨ XÂY DỰNG CÁC YÊU CẦU KỸ THUẬT. 15

4.1. Phân tích tài liệu 15

4.2. Lựa chọn sở cứ chính 16

4.3. Hình thức xây dựng tiêu chuẩn 16



5. NỘI DUNG TCVN. 17

5.1. Tên của quy chuẩn 17

5.2. Bố cục của tiêu chuẩn 17

6. BẢNG ĐỐI CHIẾU NỘI DUNG TCVN VỚI TÀI LIỆU THAM KHẢO. 19

7. NHỮNG SỬA ĐỔI SAU HỘI THẢO LẦN 1, 2 VÀ GIÁM ĐỊNH CƠ SỞ 22

7.1. NHỮNG SỬA ĐỔI SAU HỘI THẢO LẦN 1. 22

7.2. NHỮNG SỬA ĐỔI SAU HỘI THẢO LẦN 2. 22

7.3. NHỮNG SỬA ĐỔI SAU GIÁM ĐỊNH CƠ SỞ. 22





1.TÊN GỌI VÀ KÝ HIỆU CỦA TCVN.

1.1.Tên gọi của TCVN.


“CÁC THAY ĐỔI TRONG GIAO THỨC ĐỐI VỚI PHẦN MỞ RỘNG BẢO MẬT DNS (DNSSEC)”

1.2.Ký hiệu của TCVN.


TCVN XXXX:2015.

2.TÌNH HÌNH TIÊU CHUẨN HÓA PHẦN MỞ RỘNG CỦA BẢO MẬT DNS TRÊN THẾ GIỚI VÀ VIỆT NAM

2.1.Thế giới

2.1.1.Nhóm đặc trách về kỹ thuật Internet (The Internet Engineering Task Force - IETF)


Tổ chức IETF đã xây dựng các tiêu chuẩn chính đối với phần mở rộng của bảo mật DNS (DNSSEC):

  • RFC 4033 “DNS Security Introduction and Requirements”;

  • RFC 4034 “Resource Records for the DNS Security Extensions”;

  • RFC 4035 “Protocol Modifications for the DNS Security Extensions”.

Các tiêu chuẩn này thay thế RFC 2535 – giải pháp DNSSEC ban đầu.

Tiếp theo, IETF xây dựng bổ sung các RFC liên quan đến DNSSEC, bao gồm:



  • RFC 4470 – Minimally Covering NSEC Records and DNSSEC On-line Signing

  • RFC 4641 – DNSSEC Operational Practices

  • RFC 5155 – DNS Security (DNSSEC) Hashed Authenticated Denial of Existence

  • RFC 6014 – Cryptographic Algorithm Identifier Allocation for DNSSEC

Phần mở rộng bảo mật DNS (DNSSEC) là tập hợp các bản ghi tài nguyên mới và các thay đổi trong giao thức để bổ sung sự xác thực nguồn gốc dữ liệu và sự toàn vẹn dữ liệu cho DNS. Tiêu chuẩn RFC 4035 trình bày các thay đổi trong giao thức đối với phần mở rộng của bảo mật DNS. RFC 4035 cập nhật thông tin đối với các RFC trước đó và các RFC được ban hành mới hơn RFC 4035, như RFC 4470 “Minimally Covering NSEC Records and DNSSEC On-line Signing” – RFC 4470 “Các bản ghi NSEC bao trùm tối thiểu và ký trực tuyến DNSSEC”, 2006-04, RFC 6014 “Cryptographic Algorithm Identifier Allocation for DNSSEC” - RFC 6014 “Phân bố nhận dạng thuật toán mật mã đối với DNSSEC”, 2010-11 và RFC 6840 “Clarifications and Implementation Notes for DNS Security (DNSSEC)” - RFC 6840 “Các chú ý làm rõ và thực hiện đối với phần mở rộng bảo mật DNS (DNSSEC)”, 2013-02, sẽ cập nhật thông tin cho RFC 4035.

2.1.2.Tổ chức quản lý địa chỉ khu vực Châu Á – Thái Bình Dương (Apnic.net)


Apnic tuân theo các tiêu chuẩn DNSSEC của RFC, trong đó có RFC 4035 [1].

2.1.3.Cisco


Cisco tuân theo các tiêu chuẩn DNSSEC của RFC, trong đó có RFC 4035 [2].

2.1.4.Microsoft


Microsoft tuân theo các tiêu chuẩn DNSSEC của RFC, trong đó có RFC 4035 [3].

2.2.Việt Nam [4].


Viện Nam tuân theo các tiêu chuẩn quốc tế về DNS và DNSSEC. Các tiêu chuẩn của hệ thống tên miền này bao gồm:

Các RFC chính:

  • RFC 1034 “Domain Names - Concepts and Facilities” - Các định nghĩa cơ sở quan trọng nhất về tên miền và hệ thống tên miền. Giới thiệu về các dạng tên miền, cách sử dụng, các giao thức và máy chủ được dùng để cung cấp các dịch vụ tên miền.

  • RFC 1035 “Domain Names - Implementation and Specification” - Mô tả cấu trúc của một hệ thống tên miền, các giao thức được sử dụng, dựa trên các khái niệm đã được trình bày trong RFC 1034.

  • RFC 1183 “New DNS RR Definitions” - Mô tả cấu trúc của các bản ghi trong hệ thống tên miền và việc lưu trữ với các quy tắc và mã số tương ứng.

  • RFC 1591 “Domain Name System Structure and Delegation” - Mô tả cấu trúc của các tên miền trong hệ thống DNS, đặc biệt là các tên miền cấp cao và việc quản lý tên miền.

Các RFC khác:

  • RFC 1706 “DNS NSAP Resource Records”

  • RFC 1794 “DNS Support for Load Balancing”

  • RFC 1876 “A Means for Expressing Location Information in the Domain Name System” 

  • RFC 1912 “Common DNS Operational and Configuration Errors” 

  • RFC 1918 “Address Allocation for Private Internets”

  • RFC 1995 “Incremental Zone Transfer in DNS” 

  • RFC 1996 “A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY)” 

  • RFC 2136 “Dynamic Updates in the Domain Name System (DNS UPDATE)” 

  • RFC 2181 “Clarifications to the DNS Specification”

  • RFC 2230 “Key Exchange Delegation Record for the DNS”

  • RFC 2308 “Negative Caching of DNS Queries (DNS NCACHE)” 

  • RFC 2317 “Classless IN-ADDR.ARPA delegation” 

  • RFC 2536 “DSA KEYs and SIGs in the Domain Name System (DNS)” 

  • RFC 2539 “Storage of Diffie-Hellman Keys in the Domain Name System (DNS)” 

  • RFC 2540 “Detached Domain Name System (DNS) Information” 

  • RFC 2606 “Reserved Top Level DNS Names” 

  • RFC 2671 “Extension Mechanisms for DNS (EDNS0)”

  • RFC 2672 “Non-Terminal DNS Name Redirection” 

  • RFC 2673 “Binary Labels in the Domain Name System” 

  • RFC 2694 “DNS Extensions to Network Address Translators (DNS_ALG)” 

  • RFC 2782 “A DNS RR for Specifying the Location of Services (DNS SRV)”

  • RFC 2845 “Secret Key Transaction Authentication for DNS (TSIG)” 

  • RFC 2874 “DNS Extensions to Support IPv6 Address Aggregation and Renumbering”

  • RFC 2930 “Secret Key Establishment for DNS (TKEY RR)” 

  • RFC 2931 “DNS Request and Transaction Signatures (SIG(0)s)” 

  • RFC 3007 “Secure Domain Name System (DNS) Dynamic Update” 

  • RFC 3110 “RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System (DNS)” 

  • RFC 3123 “A DNS RR Type for Lists of Address Prefixes (APL RR)” 

  • RFC 3225 “Indicating Resolver Support of DNSSEC” 

  • RFC 3226 “DNSSEC and IPv6 A6 Aware Server/Resolver Message Size Requirements” 

  • RFC 3363 “Representing Internet Protocol Version 6 (IPv6) Addresses in the Domain Name System (DNS)” 

  • RFC 3401 “Dynamic Delegation Discovery System (DDDS) Part One: The Comprehensive DDDS” 

  • RFC 3402 “Dynamic Delegation Discovery System (DDDS) Part Two: The Algorithm”

  • RFC 3403 “Dynamic Delegation Discovery System (DDDS) Part Three: The Domain Name System (DNS) Database”

  • RFC 3404 “Dynamic Delegation Discovery System (DDDS) Part Four: The Uniform Resource Identifiers (URI)”

  • RFC 3405 “Dynamic Delegation Discovery System (DDDS) Part Five: URI.ARPA Assignment Procedures” 

  • RFC 3425 “Obsoleting IQUERY”

  • RFC 3492 “Punycode: A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA)”

  • RFC 3596 “DNS Extensions to Support IP Version 6”

  • RFC 3597 “Handling of Unknown DNS Resource Record (RR) Types”

  • RFC 3645 “Generic Security Service Algorithm for Secret Key Transaction Authentication for DNS (GSS-TSIG)” 

  • RFC 3761 “The E.164 to Uniform Resource Identifiers (URI) Dynamic Delegation Discovery System (DDDS) Application (ENUM)”  

  • RFC 3833 “Threat Analysis of the Domain Name System (DNS)” 

  • RFC 3958 “Domain-Based Application Service Location Using SRV RRs and the Dynamic Delegation Discovery Service (DDDS)” 

  • RFC 4025 “A Method for Storing IPsec Keying Material in DNS” 

  • RFC 4033 “DNS Security Introduction and Requirements” 

  • RFC 4034 “Resource Records for the DNS Security Extensions” 

  • RFC 4035 “Protocol Modifications for the DNS Security Extensions” 

  • RFC 4255 “Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints” 

  • RFC 4343 “Domain Name System (DNS) Case Insensitivity Clarification” 

  • RFC 4367 “What's in a Name: False Assumptions about DNS Names” 

  • RFC 4398 “Storing Certificates in the Domain Name System (DNS)” 

  • RFC 4408 “Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail, Version 1” 

  • RFC 4431 “The DNSSEC Lookaside Validation (DLV) DNS Resource Record”  

  • RFC 4470 “Minimally Covering NSEC Records and DNSSEC On-line Signing” 

  • RFC 4472 “Operational Considerations and Issues with IPv6 DNS” 

  • RFC 4501 “Domain Name System Uniform Resource Identifiers” 

  • RFC 4592 “The Role of Wildcards in the Domain Name System” 

  • RFC 4635 "HMAC SHA (Hashed Message Authentication Code, Secure Hash Algorithm) TSIG Algorithm Identifiers” 

  • RFC 4641 “DNSSEC Operational Practices” 

  • RFC 4648 “The Base16, Base32, and Base64 Data Encodings” 

  • RFC 4697 “Observed DNS Resolution Misbehavior” 

  • RFC 4701 “A DNS Resource Record (RR) for Encoding Dynamic Host Configuration Protocol (DHCP) Information (DHCID RR)” 

  • RFC 4725 “ENUM Validation Architecture”

  • RFC 4871 “DomainKeys Identified Mail (DKIM) Signatures” 

  • RFC 4892 “Requirements for a Mechanism Identifying a Name Server Instance” 

  • RFC 4955 “DNS Security (DNSSEC) Experiments” 

  • RFC 4956 “DNS Security (DNSSEC) Opt-In” 

  • RFC 4986 “Requirements Related to DNS Security (DNSSEC) Trust Anchor Rollover” 

  • RFC 5001 “DNS Name Server Identifier (NSID) Option” 

  • RFC 5011 “Automated Updates of DNS Security (DNSSEC) Trust Anchors” 

  • RFC 5016 “Requirements for a DomainKeys Identified Mail (DKIM) Signing Practices Protocol”

  • RFC 5067 “Infrastructure ENUM Requirements” 

  • RFC 5074 “DNSSEC Lookaside Validation (DLV)” 

  • RFC 5076 “ENUM Validation Information Mapping for the Extensible Provisioning Protocol” 

  • RFC 5155 “DNS Security (DNSSEC) Hashed Authenticated Denial of Existence” 

  • RFC 5158 “6to4 Reverse DNS Delegation Specification” 

  • RFC 5205 “Host Identity Protocol (HIP) Domain Name System (DNS) Extensions” 

  • RFC 5358 “Preventing Use of Recursive Nameservers in Reflector Attacks” 

  • RFC 5359 “Domain Name System (DNS) IANA Considerations” 

  • RFC 5452 “Measures for Making DNS More Resilient against Forged Answers”

  • RFC 5483 “ENUM Implementation Issues and Experiences” 

  • RFC 5507 “Design Choices When Expanding the DNS” 

  • RFC 5526 “The E.164 to Uniform Resource Identifiers (URI) Dynamic Delegation Discovery System (DDDS) Application for Infrastructure ENUM” 

  • RFC 5564 “Linguistic Guidelines for the Use of the Arabic Language in Internet Domains”

  • RFC 5585 “DomainKeys Identified Mail (DKIM) Service Overview” 

  • RFC 5617 “DomainKeys Identified Mail (DKIM) Author Domain Signing Practices (ADSP)”

  • RFC 5625 “DNS Proxy Implementation Guidelines” 

  • RFC 5672 “RFC 4871 DomainKeys Identified Mail (DKIM) Signatures—Update” 

  • RFC 5679 “Locating IEEE 802.21 Mobility Services Using DNS” 

  • RFC 5730 “Extensible Provisioning Protocol (EPP)” 

  • RFC 5731 “Extensible Provisioning Protocol (EPP) Domain Name Mapping” 

  • RFC 5732 “Extensible Provisioning Protocol (EPP) Host Mapping” 

  • RFC 5733 “Extensible Provisioning Protocol (EPP) Contact Mapping” 

  • RFC 5734 “Extensible Provisioning Protocol (EPP) Transport over TCP” 

  • RFC 5782 “DNS Blacklists and Whitelists” 

  • RFC 5863 “DomainKeys Identified Mail (DKIM) Development, Deployment, and Operations” 

  • RFC 5864 “DNS SRV Resource Records for AFS” 

  • RFC 5890 “Internationalized Domain Names for Applications (IDNA): Definitions and Document Framework” 

  • RFC 5891 “Internationalized Domain Names in Applications (IDNA): Protocol” 

  • RFC 5982 “The Unicode Code Points and Internationalized Domain Names for Applications (IDNA)” 

  • RFC 5893 “Right-to-Left Scripts for Internationalized Domain Names for Applications (IDNA)”

  • RFC 5894 “Internationalized Domain Names for Applications (IDNA): Background, Explanation, and Rationale” 

  • RFC 5895 “Mapping Characters for Internationalized Domain Names in Applications (IDNA) 2008” 

  • RFC 5910 “Domain Name System (DNS) Security Extensions Mapping for the Extensible Provisioning Protocol (EPP)” 

  • RFC 5933 “Use of GOST Signature Algorithms in DNSKEY and RRSIG Resource Records for DNSSEC” 

  • RFC 5936 “DNS Zone Transfer Protocol (AXFR)” 

  • RFC 5966 “DNS Transport over TCP - Implementation Requirements” 

  • RFC 5992 “Internationalized Domain Names Registration and Administration Guidelines for European Languages Using Cyrillic”. 

3.TÌNH HÌNH TRIỂN KHAI PHẦN MỞ RỘNG CỦA BẢO MẬT DNS TRÊN THẾ GIỚI VÀ VIỆT NAM

3.1.Thế giới

3.1.1.Internet Society (internetsociety.org)


Bản đồ về tình hình triển khai DNSSEC trên toàn thế giới sẽ phân loại trạng thái triển khai các tên miền cấp cao nhất (Top Level Domain, TLD, như tên miền .GOV, .COM, EDU và .INFO) theo 5 loại:

  • Thử nghiệm (Experimental): thử nghiệm nội bộ được thông báo hoặc quan sát.

  • Công bố (Annouced): Cam kết triển khai công bố.

  • Triển khai một phần (Partial): Vùng được ký nhưng chưa hoạt động (không có DS ở ROOT)

  • DS ở ROOT (DS in Root): Vùng được ký và DS của nó được công bố.

  • Hoạt động (Operational): Chấp nhận các ủy quyền được ký và DS ở gốc.

Tính đến ngày 09/11/2015, các tên miền quốc gia cấp cao nhất (ccTLD) đã được thông kê theo trạng thái trên như sau:

  • Thử nghiệm (Experimental): 3

  • Công bố (Annouced): 7

  • Triển khai một phần (Partial): 6

  • DS ở ROOT (DS in Root): 35

  • Hoạt động (Operational): 75



Hình 1 - Bản đồ về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) trên toàn thế giới

Bản đồ sau về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của châu Phi





Hình 2 - Bản đồ về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của châu Phi

Bản đồ sau về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của Bắc Mỹ





Hình 3 - Bản đồ về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của Bắc Mỹ

Bản đồ sau về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của vũng Mỹ La Tin và Ca ri bê





Hình 4 - Bản đồ về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của vũng Mỹ La Tin và Ca ri bê

Bản đồ sau về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của vùng châu Á – Thái Bình Dương



Hình 5 - Bản đồ về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của vùng châu Á – Thái Bình Dương

Bản đồ sau về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của Liên minh châu Âu



Hình 6 - Bản đồ về tình hình triển khai DNSSEC đối với các tên miền quốc gia cấp cao nhất (ccTLD) của Liên minh châu Âu.

3.1.2.Tổ chức quản lý địa chỉ khu vực Châu Á – Thái Bình Dương (Apnic.net)[5]


Hệ thống tên miền (DNS) là một dịch vụ Internet trên phân phối toàn cầu. Trong đó, nó cung cấp các chuyển đổi tên-sang-số (chiều thuận) và số-sang-tên (chiều ngược) bằng cách sử dụng các giao thức client-server và server-server được quy định. DNS là một dịch vụ công khai và bất cứ người nào cũng có thể tự do truy vấn DNS đối với các chuyển đổi chiều thuận và ngược.

Khi DNS tìm kiếm một thông tin cụ thể (tra cứu DNS), các câu trả lời được ký điện tử cho phép các máy khách DNS (phần xử lý) kiểm tra xem thông tin này có trùng với thông tin trên máy chủ tên có thẩm quyền. Điều này đảm bảo rằng lưu lượng truy cập Internet được đưa ra luôn luôn được gửi đến các máy chủ chính xác. Các loại bản ghi mới được tạo ra để thực hiện điều kiện này:



DNS Security (DNSSEC) bảo vệ Internet khỏi các tấn công nào đó, chẳng hạn như giả mạo dữ liệu DNS như có thể chuyển hướng lưu lượng truy cập Internet vào các trang web lừa đảo. DNSSEC là một tập hợp các phần mở rộng cho DNS để cung cấp:

  • Xác thực nguồn gốc của dữ liệu DNS

  • Tính toàn vẹn dữ liệu

  • Phủ nhận sự tồn tại được chức thực

3.1.3.Microsoft [3]


Phần mở rộng của bảo mật DNS (DNSSEC) là các phần mở rộng bổ sung tính năng bảo mật cho giao thức của hệ thống tên miền (DNS) bằng cách cho phép các hồi đáp DNS được xác nhận. Cụ thể, DNSSEC cung cấp xác thực nguồn gốc, tình toàn vẹn dữ liệu và phủ nhận sự tồn tại được chứng thực. Với DNSSEC, giao thức DNS là rất ít nhạy cảm với nhiều loại tấn công, đặc biệt là các cuộc tấn công giả mạo DNS.

Các phần mở rộng DNSSEC lõi được quy định trong các RFC sau đây:



  • RFC 4033: "DNS Security Introduction and Requirements"

  • RFC 4034: "Resource Records for the DNS Security Extensions"

  • RFC 4035: "Protocol Modifications for the DNS Security Extensions"

3.2.Việt Nam [6]


Ngày 23/10/2014, Bộ trưởng Bộ Thông tin và Truyền thông đã ký quyết định số 1524/QĐ-BTTTT phê duyệt Đề án triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN”, trong đó xác định rõ mục tiêu, phạm vi, nội dung, lộ trình triển khai DNSSEC tại Việt Nam với 03 giai đoạn chính.



Hình 7 - Lộ trình triển khai DNSSEC tại Việt Nam với 03 giai đoạn chính

Việc áp dụng thống nhất tiêu chuẩn DNSSEC đối với các hệ thống DNS “.VN” tại Việt Nam giúp đảm bảo chính xác và tin cậy trong việc sử dụng, truy vấn tên miền “.VN” trên Internet.  Kết nối liên thông theo tiêu chuẩn DNSSEC giữa hệ thống DNS quốc gia “.VN” với hệ thống máy chủ tên miền gốc (DNS ROOT) và các hệ thống DNS quốc tế. Đánh dấu bước chuyển biến quan trọng trong việc phát triển hạ tầng Internet tại Việt Nam, sẵn sàng đẩy mạnh phát triển các dịch vụ thương mại điện tử, chính phủ điện tử tại Việt Nam một cách an toàn nhất.

Việc triển khai DNSSEC tại Việt Nam được thực hiện từng bước. Trước hết cần triển khai DNSSEC trên hệ thống máy chủ tên miền DNS quốc gia .VN, trên cơ sở đó sẽ triển khai DNSSEC ở các máy chủ tên miền cấp dưới như tên miền cấp 2 dùng chung (.gov.vn, .net.vn …); hệ thống DNS của các ISP, các Nhà đăng ký tên miền, doanh nghiệp cung cấp dịch vụ DNS Hosting, cơ quan Đảng, Nhà nước, chủ sở hữu tên miền .VN.

Ngày 23 tháng 12 năm 2013, Bộ Thông tin và Truyền thông đã ra Thông tư số 22/2013/TT-BTTTT ban hành Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin (CNTT) trong cơ quan Nhà nước. Theo thông tư này, loại tiêu chuẩn an toàn dịch vụ DNS (ký hiệu DNSSEC- Domain Name System Security Extenssions- Phần mở rộng bảo mật hệ thống tên miền) được quy định ở hình thức khuyến nghị áp dụng.


4.SỞ CỨ XÂY DỰNG CÁC YÊU CẦU KỸ THUẬT.

4.1.Phân tích tài liệu


Tiêu chuẩn IETF RFC 4035 (03-2005) “Protocol Modifications for the DNS Security Extensions” – “Các thay đổi trong giao thức đối với phần mở rộng bảo mật DNS” phù hợp với mục đích, nội dung của đề tài. Tên của tiêu chuẩn RFC 4035 phù hợp với tên của đề tài.

Tiêu chuẩn RFC 4035 trình bày các thay đổi trong giao thức đối với phần mở rộng của bảo mật DNS. Mục 2 của tiêu chuẩn này trình bày khái niệm vùng được ký và đưa ra các yêu cầu để ký vùng. Mục 3 trình bày các thay đổi trong giao thức cần thiết để xử lý các vùng được ký đối với máy chủ tên miền có thẩm quyền. Mục 4 trình bày hành vi của các phần tử có các chức năng xử lý bảo mật. Cuối cùng, mục 5 trình bày cách sử dụng các DNSSEC RR để xác thực một hồi đáp.

Ngày 23 tháng 12 năm 2013, Bộ Thông tin và Truyền thông đã ra Thông tư số 22/2013/TT-BTTTT ban hành Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin (CNTT) trong cơ quan Nhà nước. Theo thông tư này, loại tiêu chuẩn an toàn dịch vụ DNS (ký hiệu DNSSEC- Domain Name System Security Extenssions- Phần mở rộng bảo mật hệ thống tên miền) được quy định ở hình thức khuyến nghị áp dụng.

4.2.Lựa chọn sở cứ chính


Dựa trên các sở cứ đã đưa ra cùng với nhưng phân tích, căn cứ vào mục đích, yêu cầu của đề tài, căn cứ vào giới hạn phạm vi thực hiện của đề tài, nhóm thực hiện lựa chọn tài liệu sở cứ chính là:

  • IETF RFC 4035 (03-2005) “Protocol Modifications for the DNS Security Extensions”.

Làm cơ sở tài liệu chính để thực hiện đề tài 23-15-KHKT-TC vì :

  • Tài liệu phù hợp với mục tiêu đề tài;

  • Tài liệu được sử dụng rộng rãi;

  • Tài liệu phù hợp với các TCVN hiện tại.

4.3.Hình thức xây dựng tiêu chuẩn

4.3.1.Sở cứ:


  • TCVN 1-1: 2008 & TCVN 1-2: 2008 “XÂY DỰNG TIÊU CHUẨN-PHẦN 1: QUY TRÌNH XÂY DỰNG TIÊU CHUẨN QUỐC GIA DO BAN KỸ THUẬT TIÊU CHUẨN THỰC HIỆN & PHẦN 2: QUY ĐỊNH VỀ TRÌNH BÀY VÀ THỂ HIỆN NỘI DUNG TIÊU CHUẨN QUỐC GIA”

  • TCVN 6709-1: 2007 ISO/IEC GUIDE 21-1:2005 “CHẤP NHẬN TIÊU CHUẨN QUỐC TẾ VÀ TÀI LIỆU KHÁC CỦA ISO VÀ IEC THÀNH TIÊU CHUẨN QUỐC GIA HOẶC TIÊU CHUẨN KHU VỰC – PHẦN 1: CHẤP NHẬN TIÊU CHUẨN QUỐC TẾ ISO VÀ IEC”

  • TCVN 6709-2: 2007 ISO/IEC GUIDE 21-2:2005 “CHẤP NHẬN TIÊU CHUẨN QUỐC TẾ VÀ TÀI LIỆU KHÁC CỦA ISO VÀ IEC THÀNH TIÊU CHUẨN QUỐC GIA HOẶC TIÊU CHUẨN KHU VỰC – PHẦN 2: CHẤP NHẬN TÀI LIỆU KHÁC CỦA ISO VÀ IEC”.

  • Thông tư 03/2011/TT-BTTTT “Quy định hoạt động xây dựng quy chuẩn kỹ thuật quốc gia và tiêu chuẩn quốc gia thuộc Bộ Thông tin và Truyền thông” do Bộ Thông tin và Truyền thông ban hành ngày 04/01/2011.

4.3.2.Phương pháp xây dựng TCVN.


  • Thông tư 03/2011/TT-BTTTT “Quy định hoạt động xây dựng quy chuẩn kỹ thuật quốc gia và tiêu chuẩn quốc gia thuộc Bộ Thông tin và Truyền thông” do Bộ Thông tin và Truyền thông ban hành ngày 04/01/2011.

  • TCVN 6709-1: 2007 ISO/IEC GUIDE 21-1:2005

  • Mức độ tương đương: tương đương có sửa đổi.

  • Phương pháp chấp nhận: xuất bản lại (biên dịch).

5.NỘI DUNG TCVN.

5.1.Tên của quy chuẩn


Các thay đổi trong giao thức đối với phần mở rộng bảo mật DNS (DNSSEC)

5.2.Bố cục của tiêu chuẩn


1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Định nghĩa, ký tự và chữ viết tắt

3.1 Định nghĩa

3.2 Ký tự

3.3 Chữ viết tắt

4 Ký zone

4.1 Các bản ghi DNSKEY trong một zone

4.2 Các bản ghi RRSIG trong một zone

4.3 Các bản ghi NSEC trong một zone

4.4 Các bản ghi DS trong một zone

4.5 Những thay đổi đối với bản ghi tài nguyên CNAME

4.6 Các loại bản ghi DNSSEC xuất hiện ở zone cut

4.7 Ví dụ một zone có bảo mật

5 Hoạt động

5.1 Các máy chủ tên miền có thẩm quyền

5.2 Recursive Name Server

5.3 Ví dụ các trả lời DNSSEC

6 Phân giải

6.1 Hỗ trợ EDNS

6.2 Hỗ trợ kiểm tra chữ ký

6.3 Xác định trạng thái bảo mật của dữ liệu

6.4 Trust Anchor được cấu hình

6.5 Nhớ đệm trả lời

6.6 Xử lý các bit CD và AD

6.7 Nhớ đệm dữ liệu BAD

6.8 Các CNAME được đồng bộ

6.9 Các Stub Resolver

7 Xác thực các trả lời DNS

7.1 Các vấn đề đặc biệt đối với các Island of Security

7.2 Xác thực các tham chiếu

7.3 Xác thực một tập bản ghi bằng một bản ghi RRSIG

7.4 Phủ nhận sự tồn tại được xác thực

7.5 Trạng thái Resolver khi các chữ ký không xác nhận

7.6 Ví dụ về xác thực

8 Các vấn đề IANA

9 Các vấn đề bảo mật

Phụ lục A – Ví dụ Signed Zone

Phụ lục B – Ví dụ các trả lời

B.1 Trả lời

B.2 Lỗi tên

B.3 Lỗi không có dữ liệu

B.4 Tham chiếu đến Signed Zone

B.5 Tham chiếu đến zone chưa được ký

B.6 Phần mở rộng ký tự đại diện

B.7 Lỗi không có dữ liệu ký tự đại diện

B.8 Lỗi không có dữ liệu của zone con của DS

Phụ lục C - Các ví dụ xác thực

C.1 Xác thực một trả lời

C.2 Lỗi tên

C.3 Lỗi không có dữ liệu

C.4 Tham chiếu đến Signed Zone

C.5 Tham chiếu đến zone chưa được ký

C.6 Phần mở rộng ký tự đại diện

C.7 Lỗi không có dữ liệu ký tự đại diện

C.8 Lỗi không có dữ liệu của zone con của DS

Phụ lục D – Các RFC cập nhật.

6.BẢNG ĐỐI CHIẾU NỘI DUNG TCVN VỚI TÀI LIỆU THAM KHẢO.


Nội dung đề tài 23-15-KHKT-TC

Tài liệu tham khảo RFC 4035

Sửa đổi, bổ sung

Giải thích lý do sửa đổi, bổ sung

1 Phạm vi áp dụng

1

Sửa đổi

Bỏ các nội dung giới thiệu và các mục 1.1 Tổng quan và các tài liệu liên quan và mục 1.2 Sử dụng từ vì không phù hợp.

2 Tài liệu viện dẫn

9.1

Chấp nhận nguyên vẹn

Mục 9.1 Tài liệu viện dẫn .

Mục 9.2 Tài liệu tham khảo



3 Định nghĩa, ký tự và chữ viết tắt




Tự xây dựng

Dựa trên phần nội dung của RFC 4035 và các RFC khác của IETF.

3.1 Định nghĩa




3.2 Ký tự




3.3 Chữ viết tắt




4 Ký zone

2

Chấp nhận nguyên vẹn




5 Hoạt động

3

Chấp nhận nguyên vẹn




6 Phân giải

4

Chấp nhận nguyên vẹn




7 Xác thực các trả lời DNS

5

Chấp nhận nguyên vẹn




8 Các vấn đề IANA

6

Chấp nhận nguyên vẹn




9 Các vấn đề bảo mật

7

Chấp nhận nguyên vẹn




Phụ lục A – Ví dụ Signed Zone

Phụ luc A

Chấp nhận nguyên vẹn




Phụ lục B – Ví dụ các trả lời

Phụ luc B

Chấp nhận nguyên vẹn




Phụ lục C - Các ví dụ xác thực

Phụ lục C

Chấp nhận nguyên vẹn




Phụ lục D - Các RFC cập nhật










D.1 RFC 4470 “Minimally Covering NSEC Records and DNSSEC On-line Signing” – RFC 4470 “Các bản ghi NSEC bao trùm tối thiểu và ký trực tuyến DNSSEC”, 2006-04.

RFC 4470

Trích dẫn nội dung liên quan RFC 4035




D.2 RFC 6014 “Cryptographic Algorithm Identifier Allocation for DNSSEC” - RFC 6014 “Phân bố nhận dạng thuật toán mật mã đối với DNSSEC”, 2010-11.

RFC 6014

Trích dẫn nội dung liên quan RFC 4035




D.3 RFC 6840 “Clarifications and Implementation Notes for DNS Security (DNSSEC)” - RFC 6840 “Các chú ý làm rõ và thực hiện đối với phần mở rộng bảo mật DNS (DNSSEC)”, 2013-02.

RFC 6840

Trích dẫn nội dung liên quan RFC 4035





7.NHỮNG SỬA ĐỔI SAU HỘI THẢO LẦN 1, 2 VÀ GIÁM ĐỊNH CƠ SỞ

7.1.NHỮNG SỬA ĐỔI SAU HỘI THẢO LẦN 1.


  • Trong dự thảo TCVN, bổ sung các định nghĩa, ký tự và các chữ viết tắt và rà soát lỗi chính tả.

  • Trong thuyết minh, bổ sung phụ lục A “NHỮNG THÔNG TIN CẬP NHẬT CỦA RFC 4470, RFC 6014 và RFC 6840 ĐỐI VỚI RFC 4035” và bổ sung giải thích trong mục 6 “BẢNG ĐỐI CHIẾU NỘI DUNG TCVN VỚI TÀI LIỆU THAM KHẢO”

7.2.NHỮNG SỬA ĐỔI SAU HỘI THẢO LẦN 2.


  • Trong dự thảo TCVN, sửa mục 1 “Phạm vi áp dụng”, sửa các khái niệm :thời gian tồn tại, tập RR, bộ phân giải/phân giải gốc, điểm chuyển giao, rà soát lỗi chính tả và bổ sung phụ lục D “Các RFC cập nhật” và tài liệu tham khảo.

7.3.NHỮNG SỬA ĐỔI SAU GIÁM ĐỊNH CƠ SỞ.


  • Trong dự thảo TCVN, sửa mục 1 “Phạm vi áp dụng”, sửa các khái niệm : dữ liệu chứng thực (AD), đồng bộ toàn phần (AXFR), kiểm tra vô hiệu hóa (CD), Tổ chức cấp phát số hiệu Internet (IANA), đồng bộ một phần (IXFR), máy chủ tên miền có thẩm quyền, mỏ neo tin cậy, rà soát lỗi chính tả và bổ sung phụ lục D “Các RFC cập nhật” và tài liệu tham khảo.

  • Trong thuyết minh đề tài, bổ sung nội dung mục 3.1, 3.2, sửa đổi theo góp ý các mục 2.1 và 2.2


TÀI LIỆU THAM KHẢO

[1] http://www.apnic.net/services/services-apnic-provides/registration-services/dnssec

[2] http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_13-2/132_dnssec.html

[3] https://technet.microsoft.com/en-us/library/jj200221.aspx

[4] http://www.vnnic.vn/dns/congnghe/c%C3%A1c-ti%C3%AAu-chu%E1%BA%A9n-c%E1%BB%A7-h%E1%BB%87-th%E1%BB%91ng-dns

[5] http://www.apnic.net/services/services-apnic-provides/registration-services/dnssec

[6] http://www.vnnic.vn/dns/congnghe/c%C3%B4ng-ngh%E1%BB%87-dnssec

[7] https://www.rfc-editor.org/info/rfc4035









Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2019
được sử dụng cho việc quản lý

    Quê hương