RFC 5155 - DNS Security (DNSSEC) Hashed Authenticated Denial of Existence

• 状态: Proposed Standard
• 发布日期: March 2008
• Stream: IETF
• 勘误: 无勘误

---

Status of This Memo

本文档为互联网社区指定了一个互联网标准追踪协议, 并请求讨论和改进建议。有关本协议的标准化状态, 请参考当前版本的 "Internet Official Protocol Standards" (STD 1)。本备忘录的分发不受限制。

Abstract

域名系统安全 (Domain Name System Security, DNSSEC) 扩展引入了 NSEC 资源记录 (Resource Record, RR) 用于认证拒绝存在 (authenticated denial of existence)。本文档引入了一种替代资源记录 NSEC3, 它同样提供认证拒绝存在。然而, 它还提供了针对区域枚举 (zone enumeration) 的防护措施, 并允许以委托为中心的区域 (delegation-centric zones) 进行渐进扩展。

Contents

• 1. Introduction (简介)
  • 1.1. Rationale (基本原理)
  • 1.2. Requirements (要求)
  • 1.3. Terminology (术语)
• 2. Backwards Compatibility (向后兼容性)
• 3. The NSEC3 Resource Record (NSEC3 资源记录)
  • 3.1. RDATA Fields (RDATA 字段)
    • 3.1.1. Hash Algorithm (哈希算法)
    • 3.1.2. Flags (标志)
      • 3.1.2.1. Opt-Out Flag (Opt-Out 标志)
    • 3.1.3. Iterations (迭代)
    • 3.1.4. Salt Length (盐长度)
    • 3.1.5. Salt (盐)
    • 3.1.6. Hash Length (哈希长度)
    • 3.1.7. Next Hashed Owner Name (下一个哈希所有者名称)
    • 3.1.8. Type Bit Maps (类型位图)
  • 3.2. NSEC3 RDATA Wire Format (NSEC3 RDATA 线路格式)
    • 3.2.1. Type Bit Maps Encoding (类型位图编码)
  • 3.3. Presentation Format (呈现格式)
• 4. The NSEC3PARAM Resource Record (NSEC3PARAM 资源记录)
  • 4.1. RDATA Fields (RDATA 字段)
    • 4.1.1. Hash Algorithm (哈希算法)
    • 4.1.2. Flag Fields (标志字段)
    • 4.1.3. Iterations (迭代)
    • 4.1.4. Salt Length (盐长度)
    • 4.1.5. Salt (盐)
  • 4.2. NSEC3PARAM RDATA Wire Format (NSEC3PARAM RDATA 线路格式)
  • 4.3. Presentation Format (呈现格式)
• 5. Calculation of the Hash (哈希计算)
• 6. Opt-Out (选择退出)
• 7. Authoritative Server Considerations (权威服务器注意事项)
  • 7.1. Zone Signing (区域签名)
  • 7.2. Zone Serving (区域服务)
    • 7.2.1. Closest Encloser Proof (最近封闭者证明)
    • 7.2.2. Name Error Responses (名称错误响应)
    • 7.2.3. No Data Responses, QTYPE is not DS (无数据响应, QTYPE 不是 DS)
    • 7.2.4. No Data Responses, QTYPE is DS (无数据响应, QTYPE 是 DS)
    • 7.2.5. Wildcard No Data Responses (通配符无数据响应)
    • 7.2.6. Wildcard Answer Responses (通配符应答响应)
    • 7.2.7. Referrals to Unsigned Subzones (到未签名子区域的引用)
    • 7.2.8. Responding to Queries for NSEC3 Owner Names (响应 NSEC3 所有者名称的查询)
    • 7.2.9. Server Response to a Run-Time Collision (服务器对运行时冲突的响应)
  • 7.3. Secondary Servers (辅助服务器)
  • 7.4. Zones Using Unknown Hash Algorithms (使用未知哈希算法的区域)
  • 7.5. Dynamic Update (动态更新)
• 8. Validator Considerations (验证器注意事项)
  • 8.1. Responses with Unknown Hash Types (具有未知哈希类型的响应)
  • 8.2. Verifying NSEC3 RRs (验证 NSEC3 RR)
  • 8.3. Closest Encloser Proof (最近封闭者证明)
  • 8.4. Validating Name Error Responses (验证名称错误响应)
  • 8.5. Validating No Data Responses, QTYPE is not DS (验证无数据响应, QTYPE 不是 DS)
  • 8.6. Validating No Data Responses, QTYPE is DS (验证无数据响应, QTYPE 是 DS)
  • 8.7. Validating Wildcard No Data Responses (验证通配符无数据响应)
  • 8.8. Validating Wildcard Answer Responses (验证通配符应答响应)
  • 8.9. Validating Referrals to Unsigned Subzones (验证到未签名子区域的引用)
• 9. Resolver Considerations (解析器注意事项)
  • 9.1. NSEC3 Resource Record Caching (NSEC3 资源记录缓存)
  • 9.2. Use of the AD Bit (AD 位的使用)
• 10. Special Considerations (特殊注意事项)
  • 10.1. Domain Name Length Restrictions (域名长度限制)
  • 10.2. DNAME at the Zone Apex (区域顶点处的 DNAME)
  • 10.3. Iterations (迭代次数)
  • 10.4. Transitioning a Signed Zone from NSEC to NSEC3 (将已签名区域从 NSEC 过渡到 NSEC3)
  • 10.5. Transitioning a Signed Zone from NSEC3 to NSEC (将已签名区域从 NSEC3 过渡到 NSEC)
• 11. IANA Considerations (IANA 注意事项)
• 12. Security Considerations (安全注意事项)
  • 12.1. Hashing Considerations (哈希注意事项)
    • 12.1.1. Dictionary Attacks (字典攻击)
    • 12.1.2. Collisions (碰撞)
    • 12.1.3. Transitioning to a New Hash Algorithm (过渡到新的哈希算法)
    • 12.1.4. Using High Iteration Values (使用高迭代值)
  • 12.2. Opt-Out Considerations (Opt-Out 注意事项)
  • 12.3. Other Considerations (其他注意事项)
• 13. References (参考文献)
  • 13.1. Normative References (规范性参考文献)
  • 13.2. Informative References (参考性参考文献)
• Appendix A. Example Zone (示例区域)
• Appendix B. Example Responses (示例响应)
  • B.1. Name Error (名称错误)
  • B.2. No Data Error (无数据错误)
    • B.2.1. No Data Error, Empty Non-Terminal (无数据错误, 空非终结符)
  • B.3. Referral to an Opt-Out Unsigned Zone (引用到 Opt-Out 未签名区域)
  • B.4. Wildcard Expansion (通配符扩展)
  • B.5. Wildcard No Data Error (通配符无数据错误)
  • B.6. DS Child Zone No Data Error (DS 子区域无数据错误)
• Appendix C. Special Considerations (特殊注意事项)
  • C.1. Salting (加盐)
  • C.2. Hash Collision (哈希碰撞)
    • C.2.1. Avoiding Hash Collisions During Generation (生成期间避免哈希碰撞)
    • C.2.2. Second Preimage Requirement Analysis (第二原像要求分析)