TIÊU CHUẨN QUỐC GIA

TCVN 11818:2017

AN TOÀN HỆ THỐNG BẢO MẬT DNS (DNSSEC) THAY ĐỔI TRONG GIAO THỨC

The DNS security extensions - Protocol modifications

Lời nói đầu

TCVN 11818:2017 được xây dựng trên cơ sở tham khảo tiêu chuẩn IETF RFC 4035 (03-2005).

TCVN 11818:2017 do Viện Khoa học Kỹ thuật Bưu Điện biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

AN TOÀN HỆ THỐNG BẢO MẬT DNS (DNSSEC) THAY ĐỔI TRONG GIAO THỨC

The DNS security extensions - Protocol modifications

1  Phạm vi áp dụng

Tiêu chuẩn này đưa ra các thay đổi trong giao thức đối với phần mở rộng bảo mật hệ thống tên miền (DNSSEC).

2  Tài liệu viện dẫn

Tài liệu viện dẫn sau là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả sửa đổi, bổ sung (nếu có).

RFC1034, Domain names - Concepts and facilities (11-1987) (Tên miền - Các khái niệm và tính năng).

RFC1035, Domain names - Implementation and specification (11-1987) (Tên miền - Cài đặt và đặc tính).

RFC 1122, Requirements for Internet Hosts - Communication Layers (10-1989) (Yêu cầu đối với các máy chủ Internet - Lớp truyền tin).

RFC2181, Clarifications to the DNS Specification (07-1997) (Làm rõ đặc tính DNS).

RFC2460, Internet Protocol, Version 6 (IPv6) Specification (12-1998) (Giao thức Internet, Đặc tính IPv6).

RFC2671, Extension Mechanisms for DNS (EDNS0) (08-1999) (Cơ chế mở rộng cho DNS (EDNS0)).

RFC2672, Non-Terminal DNS Name Redirection (08-1999) (Đổi hướng tên DNS không kết cuối).

RFC 3225, Indicating Resolver Support of DNSSEC (12-2001) (Hỗ trợ Resolver chỉ thị của DNSSEC).

RFC3226, DNSSEC and IPv6 A6 aware server/resolver message size requirements (12-2001), (DNSSEC và Các yêu cầu kích thước thông báo sever/resolver aware).

RFC4033, DNS Security Introduction and Requirements (03-2005) (Yêu cầu và giới thiệu bảo mật DNS).

RFC4034, Resource Records for DNS Security Extensions (03-2005) (Bản ghi tài nguyên cho phần mở rộng bảo mật DNS).

RFC2535, Domain Name System Security Extensions (03-1999) (Phần mở rộng bảo mật hệ thống tên miền).

RFC3655, Redefinition of DNS Authenticated Data (AD) bit (11-2003) (Xác định lại bít Dữ liệu được xác thực DNS (AD)).

3  Thuật ngữ, ký hiệu và chữ viết tắt

3.1  Thuật ngữ

Tiêu chuẩn này sử dụng các thuật ngữ sau:

3.1.1  BAD cache

Bộ nhớ dữ liệu có các chữ ký không hợp lệ.

3.1.2  Cô lập bảo mật (Island of Security)

Zone được ký, được ủy quyền nhưng không có chuỗi xác thực từ zonecha của nó, không có bản ghi DS chứa mã Hash của một bản ghi DNSKEY cho phần riêng biệt được zonecha ủy quyền (xem [RFC 4034]). Một cô lập bảo mật được cấp phát bởi các Security-Aware Name Server, có thể cung cấp các chuỗi xác thực cho các zone con bất kỳ được ủy quyền. Hồi đáp từ một cô lập bảo mật hoặc phần con của nó chỉ được xác thực nếu có một phương pháp đáng tin cậy ngoài băng từ giao thức DNS xác thực các khóa xác thực của nó.

3.1.3  Bộ phân giải gốc bảo mật - nhận biết không hiệu lực (Non-Val