按照预定计划,ICANN(互联网名称与数字地址分配机构,The Internet Corporation for Assigned Names and Numbers)已于世界协调时 2018 年 10 月 11 日下午 4 点进行DNS系统根区密钥(KSK)轮转,拥有新KSK(即KSK-2017)签名的新版根区已经面向根服务器发布。就目前ICANN统计的信息来看,自根区KSK轮转启动以后, 暂未发现任何有关根区 KSK 轮转的严重问题。

　　什么是根区域

　　DNS系统将人们可以记住的域名转换为计算机使用的数字(即IP地址)以寻找其目的地,有点类似于用来查找电话号码的电话簿。它分阶段完成此项工作。它“查找”的第一个地方是目录服务的顶级域,即“根区域”。以 www. testor. com.cn为例,本地DNS服务器要向从根开始的各级授权服务器发起查询请求。首先访问根服务器,根服务器告知本地DNS服务器它授权出去的管理cn区的授权服务器的地址,本地DNS服务器继续向cn区查询,依次类推,直至找到testor.com.cn的授权服务器,得到www.testor.com.cn的地址,并返回给客户端。这些目录服务分别由不同的实体进行管理:根区域由 ICANN 管理。

　　什么是DNSSEC

　　随着互联网应用的不断深化,DNS已然成为网络攻击的热点目标,典型攻击包括DDoS攻击、放大攻击、递归攻击、缓存投毒、修改域名注册信息、隧道攻击、资源锁定攻击等,越来越多的基于DNS的攻击已经严重影响到用户的网络安全,使用户的数据、资产和信誉都处于风险之中。

　　以缓存投毒(Cache Poisoning)为例,通过向DNS服务器的本地缓存中注入非法数据,将用户正常的域名访问请求引导至攻击者服务器,而黑客将在 DNS 系统中发现的漏洞(如漏洞VU#800113)与技术进步相结合,大大缩短了劫持DNS 查找过程的任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作(如将用户引导至恶意网站等),若要在技术上消除这样的安全隐患,一个有效的解决方案是以端到端的形式部署一种称为 DNS 安全扩展 (DNS Security Extensions, DNSSEC) 的安全协议。

　　DNSSEC是将一个特殊签名添加到root、TLD和授权名字服务器,从而为该区域建立一条信任链。DNSSEC能使区域确保DNS请求的应答没有被篡改,简言之,DNSSEC是通过将公钥密码系统引入DNS的层次结构,从而为域名系统生成一个开放的全球公钥基础设施(PKI),以此提高DNS的安全性。

　　为什么要进行密钥轮转

　　从2008年开始,为了维护全球域名系统的安全与稳定,ICANN开始推广部署DNSSEC。

　　DNSSEC的优势在于通过数字签名,防止对域名查询的暗中篡改,从而保障域名查询安全,并抵御可能攻击。KSK在DNSSEC中发挥着重要作用。KSK是一对加密公/私密钥,执行DNSSEC验证功能的软件将信任根区的KSK并创建后续密钥和签名的“信任链”,以验证DNS解析过程中任何环节签名数据的真实性。虽然根区的密钥安全度非常高,但和其他密码一样,始终保持密钥不变也是有安全风险的,密钥也需要定期进行更新,即密钥更换,又称“轮转”(rollover),是维护全球DNS安全与稳定的重要环节。

　　KSK用于对区域签名密钥(ZSK)进行加密签名,根区域维护者使用ZSK对互联网DNS的根区域进行DNSSEC签名。维护最新的KSK对于确保负责DNSSEC验证的DNS解析系统在轮换后继续正常运行至关重要。如果没有最新的根区域KSK,将意味着负责DNSSEC验证的DNS解析系统将无法解析任何DNS查询。

　　密钥轮转是如何进行的?

　　轮转KSK意味着生成新的加密公钥和私钥对,并将新的公共组件分发给操作验证解析系统的有关方,包括:互联网服务提供商、企业网络管理员及其他域名系统(DNS)解析系统运营商、DNS解析系统软件开发商、系统集成商,以及安装或发送根区域“信任锚”(trust anchor)的软硬件分发商。若未开启DNSSEC验证,那轮转影响不会很大,若已经开启,则需保证拥有最新软件、已经部署了DNSSEC、并已经验证其系统能够自动更换密钥。

　　KSK的轮转原本预计在一年以前进行,但当 ICANN 找到轮转前的最新数据并对其分析后,决定暂缓密钥轮转。又经过一年时间的技术准备,ICANN已于10月11日启动密钥轮转。尽管之前各种消息提示,如“互联网将在不到12小时内‘关闭’,以便ICANN进行DNS加密密钥的更新”、“全球互联网换密码、上网将受短暂影响”等,但就目前ICANN统计的信息来看,自根区KSK轮转启动以后,暂未发现任何有关根区 KSK 轮转的严重问题。

　　泰策作为国内领先的DNS系统解决方案提供商,已为国内多家省级电信运营商提供DNS系统方案及技术支持。虽然由于国内的缓存/递归服务器还没有开启DNSSEC,所以在此次KSK轮转过程中各运营商的DNS系统没未有经受考验,但泰策一直在跟踪最新的业界技术发展和动态,包括DNSSEC的发展和技术要求等,我们会一如既往地全力保障电信运营商DNS系统的稳定运行,保证广大用户的上网体验。