将多个对等域名系统(DNS)服务器包括在多主体DNS环境内。所述多个对等DNS服务器其中之一是密钥主体对等DNS服务器,所述密钥主体对等DNS服务器生成由所述多个对等DNS服务器提供服务的DNS区域的一个或多个密钥。所述密钥主体对等DNS服务器还可以生成签名密钥描述符,所述签名密钥描述符标识所述DNS区域的一个或多个密钥的集合,并且将所述签名密钥描述符传送给所述多个对等DNS服务器的其他对等DNS服务器。
【技术实现步骤摘要】
在多主体环境中支持DNS安全
技术介绍
典型的域名系统(domain name system (DNS))服务器解析网际协议(IP)地址的名称。DNS安全扩展(DNS Security Extension (DNSSEC))协议已经发展到了将安全扩展添加到DNS系统中。然而,典型的DNS系统被建立为具有主DNS服务器和一个或多个辅DNS 服务器。在具有一个以上主DNS服务器的环境中实现DNSSEC协议可能是有问题的。
技术实现思路
以简化形式提供本
技术实现思路
以介绍选择的概念,在以下的具体实施方式中将进一步描述这些观点。本
技术实现思路
没有打算标识出所要求保护的主题的关键特征或本质特征, 也没有打算用来限制所要求保护的主题的范围。依据一个或多个方面,生成标识如何对域名系统(DNS)区域进行签名的签名密钥描述符。另外,在多主体DNS环境的第一对等DNS服务器处,至少部分地基于所述签名密钥描述符生成所述DNS区域的一个或多个密钥的集合。还将所述签名密钥描述符提供给所述多主体DNS环境的一个或多个另外的对等DNS服务器。依据一个或多个方面,在第一对等DNS服务器处,从第二对等DNS服务器接收签名密钥描述符。所述第一对等DNS服务器和所述第二对等DNS服务器都是多主体DNS环境的 DNS区域的DNS服务器。从密钥存储器获得一个或多个密钥,并且所述一个或多个密钥用来至少部分地基于所述签名密钥描述符而生成所述DNS区域的DNS数据的数字签名。附图说明整个附图中使用的相同的标记涉及同样的特征。图1图解说明了依据一个或多个实施例的实现在多主体环境中支持DNS安全的示例性网络。图2图解说明了依据一个或多个实施例的包括多个对等DNS服务器的示例性系统。图3是图解说明依据一个或多个实施例的用于在多主体环境中支持DNS安全的示例性过程的流程图。图4是图解说明依据一个或多个实施例的用于在多主体环境中支持DNS安全的示例性过程的流程图。图5图解说明了依据一个或多个实施例的可被配置为实现在多主体环境中支持 DNS安全的示例性计算装置。具体实施例方式在此讨论了在多主体环境中支持域名系统(DNS)安全。实现DNS安全扩展的多主体环境包括多个DNS服务器,这些DNS服务器对于主管特定区域来说是对等操作的。多个对等DNS服务器其中之一是密钥主体服务器,并且担负着生成密钥和管理密钥生命周期、以及将密钥分配到其他的对等DNS服务器。多个对等DNS服务器的每一个都担负着通过使用相同的一个或多个共享密钥而生成它自己的DNS数据的数字签名,响应于向DNS服务器提交的DNS请求而返回所述DNS数据。在此对数字签名和数字证书进行了参照。尽管数字签名和数字证书对于本领域技术人员来说是公知的,但是在此还是包括了数字签名和数字证书的简短概述,以助于读者理解。典型地,使用公开密钥密码术来生成数字签名和数字证书。在公开密钥密码术中,实体(例如用户、硬件或软件部件、装置、域等)具有与它相关联的公开/私有密钥对。将公开密钥设置为公开可用的,但是所述实体对私有密钥进行保密。没有所述私有密钥,则非常难以计算地解密使用所述公开密钥加密的数据。因此,可以由带有所述公开密钥的任何实体来加密数据,但是却只能由带有相应私有密钥的实体来解密所述数据。另外,可以通过使用数据和私有密钥来生成数据的数字签名。没有所述私有密钥,则非常难以计算地创建可使用所述公开密钥验证的签名。然而,通过在所述公开密钥、所述签名和已签名的数据上执行适当的数字签名验证算法,带有所述公开密钥的任何实体都可以使用所述公开密钥来验证所述数字签名。可以将数字证书创建为包括实体的标识符和所述实体的公开密钥,以及使用所述实体的私有密钥而数位签名的数字证书,以便将所述实体的标识符与所述实体的公开密钥相绑定。可替换地,使用对称密钥密码术来生成数字签名和数字证书。在对称密钥密码术中,由两个实体知晓共享密钥(也被称为对称密钥),并且这两个实体保守秘密。典型地, 具有所述共享密钥的任何实体都能够解密使用该共享密钥加密的数据。没有所述共享密钥,则非常难以计算地解密用所述共享密钥加密的数据。因此,如果两个实体都知晓共享密钥,则每个实体都可以加密可由另一个实体解密的数据,但是其他的实体却不能解密所述数据,如果其他的实体不知晓所述共享密钥。同样,具有共享密钥的实体可以加密可由该相同实体解密的数据,但是其他的实体不能解密所述数据,如果其他的实体不知晓所述共享密钥。另外,可以基于对称密钥密码术生成数字签名,例如使用密钥散列消息认证码 (keyed-hash message authentication code)机制。具有所述共享密钥的任何实体都可以生成并且验证所述数字签名。例如,可信赖的第三方可以基于特定实体的身份生成对称密钥,并且然后可以生成以及验证所述特定实体的数字签名(例如,通过使用所述对称密钥加密或解密数据)。可以将数字证书创建为包括实体的标识符和所述实体的公开密钥,以及数位签名的数字证书(例如,通过所述可信赖的第三方进行数位签名的),以便将所述实体的标识符与所述实体的公开密钥相绑定。图1图解说明了依据一个或多个实施例的实现在多主体环境中支持DNS安全的示例性系统100。系统100包括通信网络120,其允许系统100中的各种装置与系统100中的各种其他装置进行通信。通信网络120可以包括有线和/或无线通信,并且例如可以是,局域网(LAN)、因特网、公用电话网、专用电话网络、其他公用和/或专有网络、它们的结合等。 通信网络120可以包括各种网络通信装置,例如路由器、网关、防火墙等。系统100包括多个对等DNS服务器102,104和106,密钥存储器108,DNS解析器 110以及一个或多个计算装置112。计算装置112可以是各种不同类型的装置,例如台式计算机、服务器计算机、膝上型计算机或上网本计算机、平板式或笔记本式计算机、移动站、 数据库或其他存储装置、娱乐设备、通信地耦合到显示装置的机顶盒、电视机或其他显示装5置、蜂窝或其他无线电话、游戏控制台、汽车用计算机等。对等DNS服务器102,104和106解析网络地址的名称。对等DNS服务器102,104 和106的每一个都用于解析名称的特定集合,其被称为DNS区域(或仅被称为区域)。对等 DNS服务器102,104和106解析名称的一个或多个DNS区域也被称为由对等DNS服务器 102,104和106提供服务(或主管)的一个或多个区域。另外的对等DNS服务器可以解析其他DNS区域的名称。对等DNS服务器102,104和106彼此对等,并且操作于多主体DNS环境中。对等 DNS服务器102,104和106操作的环境(例如,系统100)被称为多主体DNS环境,因为对等 DNS服务器102,104和106的每一个都是主DNS服务器(也被称为主体DNS服务器)。主或主体DNS服务器可以从DNS区域读取数据并且向DNS区域写入数据(例如,读取和写入那些用于解析网络地址的名称的数据),与仅能从所述区域中读取数据的辅或从属DNS服务器形成对照。尽管在系统100中图解说明了三个对等DNS服务器102,104和106,但是应注意至IJ,系统100可以包括任意数量的区域的任意数量的对等DNS服务器102,104本文档来自技高网...
【技术保护点】
【技术特征摘要】
2010.12.21 US 12/9745901.一种方法,所述方法包括生成标识如何对域名系统(DNS)区域进行签名的签名密钥描述符(302); 在多主体DNS环境的第一对等DNS服务器上并且至少部分地基于所述签名密钥描述符而生成所述DNS区域的一个或多个密钥的集合(304);以及将所述签名密钥描述符提供给所述多主体DNS环境的第二对等DNS服务器(306)。2.如权利要求1所述的方法,所述方法进一步包括将所述DNS区域的所述一个或多个密钥的集合存储在密钥存储器中;以及在所述签名密钥描述符中,包括指向所述DNS区域中的所述一个或多个密钥的集合的指示字。3.如权利要求1所述的方法,其中,所述签名密钥描述符包括一个或多个参数,所述一个或多个参数用于生成所述DNS区域中的DNS数据的数字签名。4.如权利要求1所述的方法,所述方法进一步包括将来自所述第一对等DNS服务器的所述签名密钥描述符提供给所述多主体DNS环境的一个或多个另外的DNS服务器的每一个。5.如权利要求1所述的方法,其中,所述一个或多个密钥的集合包括用于支持所述DNS 区域安全扩展的一个或多个密钥。6.如权利要求1所述的方法,所述方法进一步包括 接收用于所述DNS区域的名称到相应网络地址的映射的更新; 通过对所述更新中的DNS数据进行数位签名而生成数字签名;将所述更新的映射和所述数字签名存储在所述第一对等DNS服务器的数据存储器中;以及促使所述映射的所述更新传送到所述第二对等DNS服务器。7.一种第一对等域名系统(DNS)服务器,所述第一对等域名系统服务器包括 一个或多个处理器(502);以及一个或多个计算机可读介质(504),在...
【专利技术属性】
技术研发人员:S塞沙德里,JJ维斯特赫德,VK肯查拉,DR西蒙,AG琼斯,F罗内伯格,GV贝利,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。