域名服务系统安全扩展（DNSSEC）协议测试方法

域名服务系统安全扩展(DNSSEC)协议测试方法本文件针对域名服务系统安全扩展的协议测试进行了详细的规定，并提出了测试的要求。本文件适用于域名服务系统的安全扩展协议测试。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T33562-2017信息安全技术安全域名系统实施指南YD/T2140-2010域名服务安全框架技术要求YD/T2586-2013域名服务系统安全扩展(DNSSEC)协议和实现要求YD/T3008-2016域名服务安全状态检测要求IETFRFC5155散列的DNSSEC否定存在验证(DNSSecurityONSSEC)HashedofExistence)IETFRFC8624DNSSEC算法实现需求与使用指南(AlgorithmImplementationUsageGuidanceforDNSSE3术语和定义YD/T2586-2013、YD/T3008-2016、GB/T33562-2017界定的以及下列术语和定义适用于本文件。域名系统domainnamesystem一种将域名映射为某些预定义类型资源记录(resourcerecord)的分布式互联网服务系统，网络中域名服务器问通过相互协作，实现将域名最终解析到相应的资源记录资源记录resourcerecord在域名系统中用于存储与域名相关的属性信息，简称RR。每个域名对应的记录可能为空或者多条。域名的资源记录由名字(name)、类型(type)、种类(class)、生存时间(tt1),记录数据长度(rdlength)、记录数据(rdata)等字段组成。域名服务器mameserver用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求的服务器23DNSKEY资源记录存储的是权威域的公朝。权威域使用私钥对DNS资源记录集进行数字签名，并且将公钥保存在DNSKEY资源记录中，用于稍后对数字签名的验证。资源记录签名(RRSIG)resourcereoordsignaturoRRSIG资源记录存储的是DNS资源记录集的数字签名。授权签名者(DS)delegationsignerDS资源记录存储了DNSKEY资源记录的散列值。用于建立解析器验证DNS应答报文时所需的信任链。它可以验证与之对应的DNSKEY资源记录。信任锚trustanchor一个预先配置的DNSKEY资源记录或者DNSKEY资源记录的散列值(DS资源记录)。一个支持DNSSEC的解析器可以使用这个公钥或者散列值作为信任链的起始点。此外，解析器应该通过DNS协议之外的安全可信的方法获得信任锚的初始值一个由DNSKEY和DS资源记录交替组成的序列，DNSKEY用于验证包含DS的资源记录集签名，使得DS得到验证。DS包含了另一个DNSKEY的散列值，新的DNSKEY如果与DS的散列值匹配，也可以得到验证。这个新的DNSKEY反过来又可以验证另一个Ds,这样延续下去直到获得需要验证的DNS数据签名的公钥为止。下列缩略语适用于本文件。己验证数据关闭检查CheckingDisabled域名服务系统域名服务系统安全扩展域名服务系统安全扩展开启授权签名者DNS扩展机制密钥签名密钥下一个安全记录NSEC3下一个安全记录第三版4RRSIG资源记录签名ResourceRecordSignatureS0A初始授权机构StartOfAuthorityZSK区签名密钥ZoneSigningKey5域名系统安全扩展(DNSSEO)域名系统安全扩展(DNSSEC)可以提供DNS数据源鉴别和完整性保护，以及DNS数据的否定存在验证机制。DNSSEC协议要求符合YD/T2586-2013和GB/T33562-2017的要求。DNSSEC过程包含域名服务器操作和解析器操作。实施DNSSEC的域名服务器应支持TCP53端口的查询请求。本章的重点是DNSSEC的基本原DNSSEC增加了4种新的资源记录类型，它们是资源记录签名(RRSIG)、DNS公钥(DNSKEY)、授权签名者(DS)和下一个安全记录(NSEC)。但已经被证明是不安全的，攻击者可以通过NSEC获得权威域中存在的所有域名记录。因此，本标准将使用下一个安全记录第三版(NSEC3)。此外，DNSSEC在报文头增加了2个标志位——CD标志位和AD标志位。为了支持增加了DNSSEC资源记录而变得更长的DNS报文，DNSSEC需要DNS扩展机制(EDNS0)的支持。最后，DNSSEC还需要使用报文头的DO标志位，使得支持DNSSEC的解析器能够在其请求中指明它希望接收到DNSSEC机制包括两个主要过程签名和验证。签名过程主要是支持DNSSEC的域名服务器利用私钥对资源记录进行数字签名，数字签名及其相关信息保存在一个RRSIG中、验证过程是支持DNSSEC的解析器利用得到的域名服务器的公钥，验证资源记录的签名。支持DNSSEC的解析器通过以下两种方式获得域名服务器的公钥；一是通过预先配置在解析器中的信任锚，二是通过正常的DNS解析方式。在第二种方式中公钥被保存在DNSKEY中为保证获得公钥的真实性，该公钥还需要由一个经过认证的、预先配置的密钥签名，即密钥签名密钥(KSK)。因此，支持NSSEC的解析器为了验证签名，需要形成一个从域名服务器公钥到密钥签名密钥的信任链。同时，解析器至少需要配置一个信任锚。如果配置的信任锚是区签名密钥(ZSK),那么解析器就可以鉴别域名服务器数据的真实性和完整性如果配置的信任锚是密钥签名密钥(KSK),那么解析器就可以验证域名服务器公钥的真实性和完整性。6.1域名服务器6.1.1区签名密钥对生成测试编号：6.1.1-ZSK-gene1、使用非对称密钥算法生成区签名密钥对密钥算法、密钥长度和密钥更新有效期符合的要求，符合IETFRFC8624《DNSSEC算法实现需求与使用指南》,符合我国密码管理的相关规定。(例如：算法为RSA/SHA-1,密钥长度1024bit.)测试编号：6.1.2-KSK-gene测试步臆；如；算法为RSA/SHA-1,密钥长度2048bit。)1)与区签名密钥(ZSK)相对应的私钥单独保存在域名服务器上，访问有权限控制，通3)与区签名密钥(ZSK)相对应的私钥单独保存在域名服务器上，访问无权限控制，提1、指定签名密钥和签名有效期，执行区签名操作。测试编号：6.1.6-zone-res测试步骤；1、触发签名到期条件。1)完成区重签名操作，包括：删除所有现有的签名记录，重新排序区文件，重新测试编号：6.1.7-zone-res测试编号：6.1.8-scheduled-ZSK-ro2、查看公钥发布时间。2)区签名密钥(ZSK)新密钥发布后，DNSSEC功能无法正常使用，不通过。3)区签名密钥(ZSK)新旧密钥无重叠6.1.9KSK常规密钥轮转测试编号：6.1.9-scheduled-KSK-ro测试步腹；2、采用双重签名方法。用新密钥签名密钥(KSK)和用新密钥签名密钥(KSK)对密钥集签名。1)密钥签名密钥(KSK)轮转后，DNSSEC功能可正常使用，通过。2)密钥签名密钥(KSK)轮转后，DNSSEC功能无法正常使用，不通过。测试编号：6.1.10-emergency-ZSK-ro1、模拟区中密钥泄漏或者私钥丢失时等紧急事件发生，调用接口触发或者手动触发紧急密钥轮1)区签名密钥(ZSK)轮转到新密钥，同时初始化密钥签名密钥(KSK),通过。2)区签名密钥(ZSK)未轮转到新密钥或密钥测试编号：6.1.11-emergency-KSK-ro1、通过事件触发或者手动触发针对子域子区的密钥签名密钥(KSK)紧急1)父区获取子区新的密钥签名密钥(KSK)后，DNSSEC功能可正常使用，通过。2)父区获取子区新的密钥签名密钥(KSK)后，DNSSEC功能无法正常使用，不通过。1、向域名服务器发起带EDNS0扩展的查询，查看是1)支持EDNS0查询，可以返回相关记录，通过。2)不支持EDNS0查询，不通过。1、向域名服务器53端口发送TCP查询。1)开放53端口TCP查询，可以返回相关记录，通过。测试编号：6.1.14-DNSSEC-re1、接收DNSSEC查询请求，查看是否能够返回DNSSEC记录。1)支持DNSSEC查询，可以返回DNSSEC相关的解析记录，通过。1、区签名时生成NSEC记录。2、向被测试的域名服务器发起某个域名或某个资源记录类型不存在的查询请求。1)能够正确返回包含NSEC记录的应答测试编号：6.1.16-NSEC3-re2、向被测试的域名服务器发起某个域名或某个资源记录类型不存在的查询请求。1)能够正确返回包含NSEC3记录的应答报文，通过。2)无法正确返回包含NSEC3记录的应答报文，不通测试编号：6.2.1-trust-anchor-configu1、配置根区的区签名密钥(ZSK)为信任锚，1)支持根区和父区的区签名密钥(ZSK)和密钥签名密钥(KSK)配置成信2)不支持根区配置区签名密钥(ZSK)或者3)不支持父区配置区签名密钥(ZSK)或测试编号；6.2.2-root-DNSKEY-trust-测试项目：以根域的DNSKEY公钥为信任镭1、配置根域的DNSKEY公钥为信任锚。2、向解析器发送一个域名的DNSSEC查询。2)未能根据GB/T33562-2017规定的流程完成签名验证，不通过。测试编号：6.2.3-parent-DNSKEY-trust-1、配置父域的DNSKEY公钥为信任锚。2、向解析器发送一个域名的DNSSEC查询。2)未能根据GB/T33562-2017规定的流程完成签名验证，不通过。测试编号：6.2.4-signature-validation-r2)对接收到的RRSIG记录，不支持区分YD/T2586-2013规定的四种结果，不通过。测试编号：6.2.5-signature-validation-alg1、配置根域的DNSKEY公钥为信任锚。2、向解析器发送DNSSEC查询。2、RSASHA1-NSEC3-SHA1:3、RSASHA256;4、RSASHA512),通过。测试编号：6.2.6-delegation-validation-alg1、配置根域的DNSKEY公钥为信任锚。2、向解析器发送DNSSEC查询。1、SHA-1:2、SHA-256),通过。测试编号：6.2.7-DNSSEC-query-vali1、向域名服务器发起DNSSBC查询，查看是否能够返回DNSSEC记录。1)支持DNSSEC查询，可以有效支持域名记录安全1、向域名服务器发起某个域名或某个资源记录类型不存在的查询请求。2、检查收到的DNSSEC应答中是否包含NSEC资源记录及验证情况。1)能够接收包含NSEC资源记录的应答报文，并对应答报文中NSEC资源记录进行1、向域名服务器发起某个域名或某个资源记录类型不存在的查询请求。2)无法接收包含NSEC3资源记录的应答报文，不通3)无法对应答报文中NSEC3记录进行验证，不通过。2)区签名