DNSSEC Lookaside Validation (DLV)读后报告

DNSSEC Lookaside Validation (DLV)读后报告一、 DLV 要解决什么问题？域名系统安全(推出基于域名系统依赖于一个自上而下的认证链, 每个区域的安全信息介绍由其家长)DL

DNSSEC Lookaside Validation (DLV)读后报告

一、 DLV 要解决什么问题？

域名系统安全(推出基于域名系统依赖于一个自上而下的认证链, 每个区域的安全信息介绍由其家长)DLV 机制信息引入第三方合作, 从而使DNSSEC 部署在父母都不安全的区域，这是一个早期部署救援, 并不是为了取代DNSSEC 的自上而下的认证链。DNSSEC 旁路验证（DLV ）是一种机制，发布DNS 安全（DNSSEC ）信任锚以外的DNS 信任团链。它允许验证解析器验证DNSSEC 签名的数据区，这些数据域的祖先不签署或不公布其下子域的授权签名者（DS ）记录。

二、 DLV的信任链(Trust Chain)是如何建立的？

DLV 认证信息靠的是手段而不是信任链中的DNSSEC 元数据和静态配置数据。一个解析器要解析一个域名时，首先会通过DNSSEC 的信任链进行解析，在递归过程中如果发现某DNSSEC 数据在其父区中没有安全认证，发现信任链中断了；就会将这DNSSEC 数据的认证转向DLV ，在DLV 服务器中查找此DNSSEC 数据对应的签名认证，如果发现对应的签名认证，则取出签名认证并与DNSSEC 数据的公钥进行匹配，确定合法性。如果在DLV 中未发现对应的签名，则认为此DNSSEC 数据不安全。如果有多个DLV 提供适用的DLV 记录，则用某种选择机制从中选出最合适的记录。为了增加效率，还可以设置积极和消极缓存，及哪些是可以信任的，哪些是不可信任。简单说，域名解析器对域名解析时，会对DNS 服务器发送的DNS 数据包进行签名比对，建立从此DNS 服务器到根服务器的签名信任链路，如果在此链路中某一级的域名服务器没有其上级对其的签名认证，则信任链路就不完全，此时就可以通过DLV 服务器对其进行验证。

三、 举例说明使用DLV 的解析服务器是如何验证RRSIG 记录的。

一个DLV 域名包含一个或者多个记录为目标域的后代，解析时，在DLV 服务器资源记录集中寻找与请求的域名最接近最匹配的记录，如果没有发现相应记录，而且此域名并不是DLV 服务器资源记录中的域名集的顶点域名，则去掉此域名的首标签（获得其父域名），再次查询；反复进行类似查询，直到找到对应的域名记录或者回报没有此记录。获得的DLV 资源记录集能被用来验证相应的公钥，同授权签名资源记录集是用来验证一个公钥的方法相似。

四、 DLV 是否会带来安全问题

DLV 是配置在服务器上，作为DNSSEC 体系的补充，DLV 本身的DLV 域名资源是如何获得呢，怎么确保DLV 配置的域名认证信息是安全可靠的呢。如果是通过手工配置，确认那些域名区间是安全可信的，效率是否值

得怀疑；又如果通过自动更新的话，是否存在安全漏洞，由于文中没有提到DLV 域名资源集的来源，所以存在一些疑问。