2. Definitions of Important DNSSEC Terms (重要 DNSSEC 术语定义)

本节定义了本文档集中使用的若干术语。由于本节旨在作为阅读文档集其余部分时的参考, 初次阅读者可能希望快速浏览本节, 阅读本文档的其余部分, 然后再返回本节。

Authentication Chain (认证链): DNS 公钥 (DNSKEY) RRset 和授权签名者 (Delegation Signer, DS) RRset 的交替序列形成签名数据链, 链中的每个环节为下一个环节提供担保。DNSKEY RR 用于验证覆盖 DS RR 的签名并允许 DS RR 被认证。DS RR 包含另一个 DNSKEY RR 的哈希值, 这个新的 DNSKEY RR 通过匹配 DS RR 中的哈希值进行认证。这个新的 DNSKEY RR 反过来认证另一个 DNSKEY RRset, 而且该集合中的某个 DNSKEY RR 可能被用于认证另一个 DS RR, 如此循环, 直到链最终以一个 DNSKEY RR 结束, 其对应的私钥签名所需的 DNS 数据。例如, 根 DNSKEY RRset 可用于认证 "example." 的 DS RRset。"example." DS RRset 包含与某个 "example." DNSKEY 匹配的哈希值, 而这个 DNSKEY 的对应私钥签名 "example." DNSKEY RRset。"example." DNSKEY RRset 的私钥对应方签名诸如 "www.example." 之类的数据记录以及诸如 "subzone.example." 之类的授权的 DS RR。

Authentication Key (认证密钥): 安全感知解析器已验证的公钥, 因此可用于认证数据。安全感知解析器可以通过三种方式获取认证密钥。第一, 解析器通常被配置为知道至少一个公钥, 此配置数据通常是公钥本身或 DS RR 中找到的公钥哈希值 (参见 "trust anchor")。第二, 解析器可以使用已认证的公钥来验证 DS RR 以及 DS RR 所引用的 DNSKEY RR。第三, 解析器可能能够确定新公钥已由解析器已验证的另一个公钥对应的私钥签名。请注意, 解析器在决定是否认证新公钥时必须始终遵循本地策略的指导, 即使本地策略只是简单地认证解析器能够验证其签名的任何新公钥。

Authoritative RRset (权威 RRset): 在特定区域的上下文中, 当且仅当 RRset 的所有者名称位于名称空间的子集内 (该子集位于区域顶点处或之下, 并且位于将区域与其子区域 (如果有) 分隔的切割点处或之上) 时, 该 RRset 才是 "authoritative" 的。区域顶点处的所有 RRset 都是权威的, 但此域名处的某些 RRset (如果存在) 除外, 这些 RRset 属于此区域的父区域。这些 RRset 可能包括 DS RRset、引用此 DS RRset 的 NSEC RRset ("parental NSEC") 以及与这些 RRset 关联的 RRSIG RR, 所有这些在父区域中都是权威的。类似地, 如果此区域包含任何授权点, 则只有父级 NSEC RRset、DS RRset 以及与这些 RRset 关联的任何 RRSIG RR 对此区域具有权威性。

Delegation Point (授权点): 用于描述区域切割的父侧名称的术语。也就是说, "foo.example" 的授权点将是 "example" 区域中的 foo.example 节点 (而不是 "foo.example" 区域的区域顶点)。另请参见 zone apex。

Island of Security (安全孤岛): 用于描述已签名的授权区域但不具有来自其授权父区域的认证链的术语。也就是说, 在其授权父区域中没有包含该孤岛的 DNSKEY RR 哈希值的 DS RR (参见 [RFC4034])。安全孤岛由安全感知名称服务器提供服务, 并可能向任何授权的子区域提供认证链。来自安全孤岛或其后代的响应只有在其认证密钥可以通过 DNS 协议之外的某种可信手段进行认证时才能被认证。

Key Signing Key (KSK, 密钥签名密钥): 对应于私钥的认证密钥, 该私钥用于为给定区域签名一个或多个其他认证密钥。通常, 与密钥签名密钥对应的私钥将签名区域签名密钥, 而区域签名密钥又具有对应的私钥, 该私钥将签名其他区域数据。本地策略可能要求频繁更改区域签名密钥, 而密钥签名密钥可能具有更长的有效期, 以便为进入区域提供更稳定的安全入口点。将认证密钥指定为密钥签名密钥纯粹是一个操作问题: DNSSEC 验证不区分密钥签名密钥和其他 DNSSEC 认证密钥, 并且可以将单个密钥同时用作密钥签名密钥和区域签名密钥。密钥签名密钥在 [RFC3757] 中有更详细的讨论。另请参见 zone signing key。

Non-Validating Security-Aware Stub Resolver (非验证安全感知存根解析器): 信任一个或多个安全感知递归名称服务器代表其执行本文档集中讨论的大多数任务的安全感知存根解析器。特别是, 非验证安全感知存根解析器是发送 DNS 查询、接收 DNS 响应的实体, 并且能够与安全感知递归名称服务器建立适当的安全通道, 该服务器将代表安全感知存根解析器提供这些服务。另请参见 security-aware stub resolver, validating security-aware stub resolver。

Non-Validating Stub Resolver (非验证存根解析器): 非验证安全感知存根解析器的较简洁术语。

Security-Aware Name Server (安全感知名称服务器): 在名称服务器角色中充当的实体 (在 [RFC1034] 的第 2.4 节中定义), 该实体理解本文档集中定义的 DNS 安全扩展。特别是, 安全感知名称服务器是接收 DNS 查询、发送 DNS 响应、支持 EDNS0 ([RFC2671]) 消息大小扩展和 DO 位 ([RFC3225]), 以及支持本文档集中定义的 RR 类型和消息头位的实体。

Security-Aware Recursive Name Server (安全感知递归名称服务器): 同时充当安全感知名称服务器和安全感知解析器角色的实体。更繁琐但等效的短语是 "提供递归服务的安全感知名称服务器"。

Security-Aware Resolver (安全感知解析器): 在解析器角色中充当的实体 (在 [RFC1034] 的第 2.4 节中定义), 该实体理解本文档集中定义的 DNS 安全扩展。特别是, 安全感知解析器是发送 DNS 查询、接收 DNS 响应、支持 EDNS0 ([RFC2671]) 消息大小扩展和 DO 位 ([RFC3225]), 并且能够使用本文档集中定义的 RR 类型和消息头位来提供 DNSSEC 服务的实体。

Security-Aware Stub Resolver (安全感知存根解析器): 在存根解析器角色中充当的实体 (在 [RFC1034] 的第 5.3.1 节中定义), 该实体对本文档集中定义的 DNS 安全扩展有足够的理解, 以提供非安全感知存根解析器无法提供的其他服务。安全感知存根解析器可以是 "validating" 或 "non-validating", 具体取决于存根解析器是尝试自己验证 DNSSEC 签名还是信任友好的安全感知名称服务器来执行此操作。另请参见 validating stub resolver, non-validating stub resolver。

Security-Oblivious <anything> (安全无感知 <任何实体>): 不是 "security-aware" 的 <任何实体>。

Signed Zone (已签名区域): 其 RRset 已签名并包含正确构造的 DNSKEY、资源记录签名 (Resource Record Signature, RRSIG)、下一个安全 (Next Secure, NSEC) 记录以及 (可选) DS 记录的区域。

Trust Anchor (信任锚): 已配置的 DNSKEY RR 或 DNSKEY RR 的 DS RR 哈希值。验证安全感知解析器使用此公钥或哈希值作为构建到已签名 DNS 响应的认证链的起点。通常, 验证解析器必须通过 DNS 协议之外的某种安全或可信手段获取其信任锚的初始值。信任锚的存在还意味着解析器应该期望信任锚所指向的区域被签名。

Unsigned Zone (未签名区域): 未签名的区域。

Validating Security-Aware Stub Resolver (验证安全感知存根解析器): 以递归模式发送查询但自己执行签名验证而不是盲目信任上游安全感知递归名称服务器的安全感知解析器。另请参见 security-aware stub resolver, non-validating security-aware stub resolver。

Validating Stub Resolver (验证存根解析器): 验证安全感知存根解析器的较简洁术语。

Zone Apex (区域顶点): 用于描述区域切割的子侧名称的术语。另请参见 delegation point。

Zone Signing Key (ZSK, 区域签名密钥): 对应于用于签名区域的私钥的认证密钥。通常, 区域签名密钥将与密钥签名密钥位于同一 DNSKEY RRset 中, 密钥签名密钥的对应私钥签名此 DNSKEY RRset, 但区域签名密钥用于略有不同的目的, 并且可能在其他方面 (例如有效期) 与密钥签名密钥不同。将认证密钥指定为区域签名密钥纯粹是一个操作问题, DNSSEC 验证不区分区域签名密钥和其他 DNSSEC 认证密钥, 并且可以将单个密钥同时用作密钥签名密钥和区域签名密钥。另请参见 key signing key。