YD/T 4332-2023
Структура технических требований для общей работы протокола расширения безопасности системы разрешения доменных имен (Англоязычная версия)

Стандартный №

YD/T 4332-2023

язык

Китайский, Доступно на английском

Дата публикации

2023

Разместил

Professional Standard - Post and Telecommunication

Последняя версия

YD/T 4332-2023

сфера применения

Анализ стандартной базовой структуры

В этой технической спецификации создается трехуровневая архитектура реализации DNSSEC, включающая систему авторитетного разрешения доменных имен верхнего уровня, систему авторитетного разрешения второго уровня и систему рекурсивного разрешения, и реализуется с помощью технологии асимметричного шифрования:

Тип системы	Конфигурация ключа	Объект подписи	Механизм проверки
Система авторитетного разрешения	Двойной ключ ZSK+KSK	Записи ресурсов RR	Цепочечная проверка записей DS
Рекурсивная система разрешения	Конфигурация якоря доверия	Запись RRSIG	Верификация снизу вверх

---

Ключевые технические моменты реализации

1. Система управления ключами

• Ключ подписи зоны (ZSK): Операционный ключ, используемый для ежедневного подписывания RRset, с рекомендуемым периодом ротации 30 дней
• KSK (ключ подписи ключа): Долгосрочный ключ, используемый для подписывания записей DNSKEY. Срок хранения ключа KSK корневой зоны составляет 5 лет
• Запись DS: генерируется с помощью алгоритма хеширования SHA-256, основного носителя для построения цепочки доверия родительского-дочернего домена

2. Процесс построения цепочки доверия

Типичный случай: при запросе example.com рекурсивный сервер выполнит:

1. Проверит, что запись DS домена com. домен соответствует DNSKEY example.com
2. Используйте ZSK example.com для проверки записи A RRSIG
3. Наконец, завершите проверку цепочки через корневой доверенный якорь

---

Анализ эволюции стандарта

По сравнению с YD/T 2135-2010, эта спецификация имеет следующие основные обновления:

Размеры	Старый стандарт	Новый стандарт
Алгоритм шифрования	RSA/SHA-1	ECDSA/SHA-256
Отрицательный Аутентификация	NSEC	NSEC3
Управление ключами	Одноуровневый ключ	Разделение ZSK/KSK

---

Рекомендации по внедрению

Развертывание авторитетной системы

• Используйте программное обеспечение для разрешения имен, поддерживающее автоматическую ротацию ключей, например BIND 9.16+ или PowerDNS
• Для отправки записи DS требуется координация с вышестоящим регистратором, и должен быть зарезервирован 48-часовой период распространения

Рекурсивная система Конфигурация

• Расширение EDNS0 должно быть включено для поддержки передачи сообщений DNSSEC
• Настройте синхронизацию времени NTP для обеспечения точной проверки срока действия подписи

YD/T 4332-2023 Ссылочный документ

• YD/T 2135-2010 Общие технические характеристики работы DNS
• YD/T 2136-2010 Технические характеристики делегирования DNS

YD/T 4332-2023 История

• 2023 YD/T 4332-2023 Структура технических требований для общей работы протокола расширения безопасности системы разрешения доменных имен

Специальные темы по стандартам и нормам

стандарты и спецификации