互联网名址体系安全保障技术及其应用分析

doi:10.11959/j.issn.2096-109x.2017.00147

网络与信息安全学报 ›› 2017, Vol. 3 ›› Issue (3): 34-42.doi: 10.11959/j.issn.2096-109x.2017.00147

互联网名址体系安全保障技术及其应用分析

王翠翠^1,²,延志伟^1,²,耿光刚^1,²

¹ 中国互联网络信息中心，北京 100190
² 互联网域名管理技术国家工程实验室，北京 100190

修回日期:2017-02-16 出版日期:2017-03-01 发布日期:2017-03-25
作者简介:王翠翠（1986-），女，山东潍坊人，中国互联网络信息中心助理研究员，主要研究方向为互联网基础资源安全、BGP安全机制、区块链技术。|延志伟（1985-），男，山西兴县人，博士，中国互联网络信息中心副研究员，主要研究方向为IPv6移动性管理、BGP安全机制、信息中心网络架构。|耿光刚（1980-），男，山东泰安人，博士，中国互联网络信息中心研究员，主要研究方向为机器学习、大数据分析和互联网基础资源安全。
基金资助:
国家自然科学基金资助项目(61375039);国家自然科学基金资助项目(61303242)

Internet naming and addressing system security technology and application analysis

Cui-cui WANG^1,²,Zhi-wei YAN^1,²,Guang-gang GENG^1,²

¹ China Internet Network Information Center,Beijing 100190,China
² National Engineering Laboratory for Internet Domain Name Management,Beijing 100190,China

Revised:2017-02-16 Online:2017-03-01 Published:2017-03-25
Supported by:
The National Natural Science Foundation of China(61375039);The National Natural Science Foundation of China(61303242)

摘要/Abstract

摘要：

为了确保域名系统与域间路由系统的安全运行，互联网工程任务组（IETF,internet engineering task force）提出了2项互联网名址体系安全保障技术——DNS安全扩展（DNSSEC,domain name system security extention）与资源公钥基础设施（RPKI,resource public key infrastructure）。在域名系统层面，DNSSEC通过使用公钥基础设施在DNS原有的体系结构上添加数字签名，为DNS提供了权限认证和信息完整性验证，成为了域名系统安全的基石；域间路由系统层面，RPKI 通过公钥证书对互联网码号资源的所有权和使用权进行认证，构建了一个支撑域间路由安全的互联网基础资源管理体系。近年来，DNSSEC与RPKI在全球范围内的部署不断推进，为了解其在全球互联网的应用情况，以 Alex 前 10⁶个网站为数据集，对 2 项互联网名址体系安全保障技术及其应用状况进行了研究与分析。

关键词: 域名系统, 域间路由系统, DNS安全扩展, 资源公钥基础设施

Abstract:

In order to ensure the security of domain name system and inter-domain routing system,Internet Engineering Task Force(IETF)proposed two kinds of security technology,namely domain name system security extention(DNSSEC)and resource public key infrastructure(RPKI).For the domain name system,DNSSEC added the digital signature to the original architecture of DNS using the public key infrastructure and it provided the authentication and integrity verification of DNS information,which became the anchor of domain name system security.For the inter-domain routing system,RPKI utilized the public key certificate to authenticate the ownership and usage rights of the Internet number resources and builds an Internet resource management system to enhance inter-domain routing security.Recently,the globally development of DNSSEC and RPKI were continuously expanding.In order to research the application of the two kinds of technology,Alexa top 1 million websites were taken as the data set to study and analyze the application status of DNSSEC and RPKI.

Key words: domain name system, inter-domain routing system, domain name system security extension, resource public key infrastructure

中图分类号:

TP393

王翠翠,延志伟,耿光刚. 互联网名址体系安全保障技术及其应用分析[J]. 网络与信息安全学报, 2017, 3(3): 34-42.

Cui-cui WANG,Zhi-wei YAN,Guang-gang GENG. Internet naming and addressing system security technology and application analysis[J]. Chinese Journal of Network and Information Security, 2017, 3(3): 34-42.

图/表 14

图1

表1

表2

图2

表3

表4

表5

图3

图4

表6

表7

图5

表8

图6

参考文献 14

[1]	ERMAN , BENLI , HANDE ,et al. Optimality condition of place of injury rule in cross-border internet torts and implications for turkey[J]. US-China Law Review, 2014,411(10): 1315-1321.
[2]	朱韵成 . YouTube 全球受阻两小时的背后[J]. 中国教育网络, 2008(4): 26-27.
	ZHU Y C . The whole truth of YouTube was has been blocked two hours[J]. China Education Network, 2008(4): 26-27.
[3]	SOSNOVICH A , GRUMBERG O , NAKIBLY G . Analyzing Internet routing security using model checking[M]// Logic for Programming,Artificial Intelligence,Reasoning. 2015.
[4]	刘宇靖 . 互联网域间路由系统生存性研究[D]. 长沙:国防科学技术大学, 2013.
	LIU Y J . Study of the Internet inter-domain routing system surviv-ability[D]. Changsha:National University of Defense Technol-ogy, 2013.
[5]	SCHLAMP J , HOLZ R , JACQUEMART Q ,et al. HEAP:reliable assessment of BGP hijacking attacks[J]. IEEE Journal on Selected Areas in Communications, 2016,34(6): 1849-1861.
[6]	BALLANIH , ,FRANCIS P , ZHANGX . DNSSEC 技术发展及影响分析[C]// Conference on Applications,Technologies,Architectures and Protocols for Computer Communications. 2007: 65-276.
[7]	崔淑田, 刘越 . DNSSEC 技术发展及影响分析[J]. 电信科学, 2012,28(9): 100-105.
	CUI S T , LIU Y . The development and influence analysis of DNSSEC[J]. Telecommunications Science, 2012,28(9): 100-105.
[8]	刘晓伟, 延志伟, 耿光刚 ,等. RPKI中CA资源分配风险及防护技术[J]. 计算机系统应用, 2016,25(8): 16-22.
	LIU X W , YAN Z W , GENG G G ,et al. CA resource allocation risk and protective technique in RPKI[J]. Computer Systems and Application, 2016,25(8): 16-22.
[9]	LEPINSKIM , KENTS . An infrastructure to support secure Internet routing[S]. IETF RFC , 2012.
[10]	LEPINSKIM , KENTS , KONGD . A profile for route origin authorizations(ROA)[S]. IETF RFC, 2012.
[11]	WAEHLISCH M . Resource public key infrastructure(RPKI)router implementation[R]. 2014.
[12]	RPKI local trust anchor use cases[DB/OL]. .
[13]	IAMARTINO D , PELSSER C , BUSH R . Measuring BGP route origin registration and validation[M]. Passive and Active Measurement. Berlin: Springer International PublishingPress, 2015: 28-40.
[14]	HUSTONG , MICHAELSONG . Validation of route origination using the resource certificate public key infrastructure(PKI)and route origin authorizations(ROAs)[S]. IETF RFC, 2012.

参数选项	参数值	含义	是否必须
resource	IP地址	想要获取的其IP地址前缀、源AS的IP地址及源AS	是

选项	含义
asns	宣告IP地址前缀的AS号
prefix	指定的IP地址所在的IP地址前缀

路由前缀	AS与ROA中匹配	AS与ROA中不匹配
与ROA中前缀无交集	unknown	unknown
包含ROA中的前缀	unknown	unknown
与ROA中的前缀完全匹配	valid	invalid
比ROA中的前缀更具体	invalid	invalid

网站	应用DNSSEC的网站数量/个	DNSSEC应用率
Alex前10⁵个	1 566	1.57%
Alex前10⁶个	15 869	1.59%

网站所属国家	应用DNSSEC的网站数量/个
美国	3 878
荷兰	2 867
法国	2 170
捷克	1 570

互联网名址体系安全保障技术及其应用分析

Internet naming and addressing system security technology and application analysis

在线阅读

pdf下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 14

参考文献 14

相关文章 5

Metrics

推荐阅读 0

算法代号	具体算法
14	ECDSAP384SHA384
13	ECDSAP256SHA256
10	RSASHA512
8	RSASHA256
7	RSASHA1-NSEC3-SHA1
5	RSASHA1
3	DSA

关键基础设施	应用RPKI的网站数量/个	应用率
DNSSEC	15 869	1.57%
RPKI	63 785	6.37%

国家	应用RPKI的网站数量/个
德国	28 495
法国	7 397
俄罗斯	3 940
荷兰	3 330
英国	2 120
伊朗	1 912
捷克	1 379
土耳其	1 374
瑞典	1 223
瑞士	1 183

[1]	胡杨, 韩增杰, 叶帼华, 姚志强. 基于无证书签名的抗DNS中间人攻击方案[J]. 网络与信息安全学报, 2021, 7(6): 167-177.
[2]	冷峰, 赵琦, 延志伟, 曾宇. 资源公钥基础设施数据同步的改进方法研究[J]. 网络与信息安全学报, 2021, 7(3): 123-133.
[3]	何峥, 冷峰, 张翠玲. 在DNSSEC下保障顶级域名解析托管服务稳定迁移的操作机制[J]. 网络与信息安全学报, 2021, 7(3): 156-165.
[4]	朱会虎, 邱菡, 朱俊虎, 曾子懿. 基于传播动力学的域间路由系统关键节点识别方法[J]. 网络与信息安全学报, 2019, 5(5): 9-20.
[5]	郭川,冷峰. DNSSEC自动化部署相关问题分析[J]. 网络与信息安全学报, 2017, 3(3): 58-63.