DNSSEC域名解析的形式化描述及量化分析研究

Formal Description and Quantitative Analysis of DNSSEC Resolution Service

下载PDF

导出

摘要 DNSSEC将公钥体系引入DNS,实现了对数据的完整性、数据来源等验证,有效地保护了域名服务体系的安全.采用扩展的有限自动机对DNSSEC域名解析过程进行了形式化描述,引入DNSKEY,DS,NSEC3信任关系来刻画信任链建立中的信任传递过程.在此基础上,提出了DNSSEC域名解析的量化分析方法,并评估了影响其解析成功率的主要因素.分析发现,DNSSEC解析成功率与递归服务器的响应率基本呈线性关系,而信任链的长度对解析成功率的影响有限,为了保持较高的解析成功率,每级的权威服务器应部署3台以上,DNSSEC请求过程的成功率和DNSSEC验证过程中对特定资源的请求成功率应达到60%以上.上述结论对于深入分析DNSSEC解析成功率的制约因素,对DNSSEC的部署等均有重要的参考价值. DNSSEC将公钥体系引入DNS,实现了对数据的完整性、数据来源等验证,有效地保护了域名服务体系的安全.采用扩展的有限自动机对DNSSEC域名解析过程进行了形式化描述,引入DNSKEY,DS,NSEC3信任关系来刻画信任链建立中的信任传递过程.在此基础上,提出了DNSSEC域名解析的量化分析方法,并评估了影响其解析成功率的主要因素.分析发现,DNSSEC解析成功率与递归服务器的响应率基本呈线性关系,而信任链的长度对解析成功率的影响有限,为了保持较高的解析成功率,每级的权威服务器应部署3台以上,DNSSEC请求过程的成功率和DNSSEC验证过程中对特定资源的请求成功率应达到60%以上.上述结论对于深入分析DNSSEC解析成功率的制约因素,对DNSSEC的部署等均有重要的参考价值.

作者王勇云晓春姚垚熊刚

机构地区中国科学院计算技术研究所中国科学院大学国家计算机网络应急技术处理协调中心

出处《计算机研究与发展》 EI CSCD 北大核心 2012年第S2期55-63,共9页 Journal of Computer Research and Development

基金国家"八六三"高技术研究发展计划基金项目(2007AA01Z444 2011AA010601) 国家自然科学基金项目(60703021 61070185)

关键词域名服务扩展形式化描述域名解析成功率域名服务器响应率 DNSSEC formal description DNSSEC resolution probability DNSSEC response ratio

分类号 TP3 [自动化与计算机技术—计算机科学与技术]

引文网络
相关文献

参考文献17

1王垚,胡铭曾,李斌,闫伯儒.域名系统安全研究综述[J].通信学报,2007,28(9):91-103. 被引量：24
2Yang Hao,Osterweil E,Massey D,et al.Deploying cryptography in Internet-scale systems:A case study on DNSSEC. IEEE Trans on Dependable and Secure Computing . 2011
3Rikitake K,Nogawa H,Tanaka T,et al.An analysis of DNSSEC transport overhead increase. . 2005
4Guette G.Consequences of compromised zone keys in DNSSEC. . 2006
5Deccio C,Sedayao J,Kant K,et al.Quantifying and improving DNSSEC availability. Proc of 20th Int Conf on Computer Communications and Networks . 2011
6Bazan E,Luna C.A formal specification of the DNSSEC model. . 2011
7Babu K,Padmanabhan V,Bhukya W.Reasoning about DNSSEC. Proc of Multi-Disciplinary Trends in Artificial Intelligence . 2011
8Understanding DNSSEC in Windows. http://technet.microsoft.com/en-us/library/ee649277 (WS.10).aspx . 2009
9Guillard.DNSSEC Operational Impact and Performance. Proceeding of the International Multi-Conference on Computing in the Global Information Technology . 2006
10Yang Hao,Osterweil E,Massey D,et al.Deploying cryptography in Internet-scale systems:A case study on DNSSEC. IEEE Trans on Dependable and Secure Computing . 2011

二级参考文献61

1李基,杨义先.DNS安全问题及解决方案[J].电信科学,2005,21(2):47-50. 被引量：8
2李丹,吴建平,崔勇,徐恪.互联网名字空间结构及其解析服务研究[J].软件学报,2005,16(8):1445-1455. 被引量：24
3王垚,胡铭曾,云晓春,李斌,闫伯儒.DNS权威名字服务器性能与安全性的研究[J].通信学报,2006,27(2):147-152. 被引量：5
4韩殿飞,袁睿翕,管晓宏.中国域名服务器配置错误的测量与分析[J].计算机工程,2007,33(2):105-107. 被引量：2
5MOCKAPETRIS P V. Domain Names: Concepts and Facilities[S]. RFC1034, 1987.
6MOCKAPETRIS P V. Domain Names: Implementation and Specification[S]. RFC1035, 1987.
7Internet Systems Consortium. Internet domain survey[EB/OL]. http://www.isc.org/ops/ds/, 2005.
8SANS Institute. March 2005 DNS poisoning summary[EB/OL]. http://isc.sans.org/presentations/nspoisoning.php.
9SANS Institute. The twenty most critical Internet security vulnerabilities[EB/OL]. http://www.sans.org/top20/.
10Men & Mice. Single Point of Failure's Research[EB/OL]. http://www.menandmice.com/6000/630 0_single_point failure.htrnl.

共引文献23

1袁春阳,王曦,罗浩.域名信息主动获取及备份系统的设计和实现[J].计算机应用研究,2010,27(7):2681-2687. 被引量：1
2朱斌,张宏科,郜帅,黄道超.EDiNS:基于DHT的新名字解析系统[J].计算机技术与发展,2011,21(1):27-30. 被引量：1
3吴清秀,欧军.DNS服务器设计与实现[J].计算机安全,2011(7):44-47. 被引量：3
4张新刚,程新党,王保平,孙飞显.智能域名解析技术在多出口校园网资源加速访问中的应用[J].实验室研究与探索,2011,30(8):85-88. 被引量：7
5巫锡洪,刘宝旭,杨沛安.基于域名的僵尸网络行为分析[J].信息网络安全,2013(9):10-13. 被引量：4
6危婷,冷峰,张跃冬,黄向阳,王伟,何峥,赵琦,于俊锋.DNS服务器缓存失效过程的研究[J].电信科学,2013,29(9):94-97. 被引量：2
7张瑛.基于Linux平台的DNS服务器容错[J].数字通信,2014,41(4):42-45.
8苏嘉.互联网域名体系运行安全监测分析体系研究[J].现代电信科技,2015,45(4):22-27.
9潘蓝兰,尉迟学彪,胡安磊.一种快速评估DDoS攻击对DNS权威服务影响的方法[J].计算机应用研究,2015,32(11):3456-3459.
10陈文文,吴开超.海量域名日志数据分析与可视化研究及应用[J].计算机应用研究,2016,33(2):335-338. 被引量：9

1于平福.基于减法聚类的模糊神经网络模型及其在农业的应用[J].科技情报开发与经济,2007,17(12):198-199.
2朱耀铠,王志英,任江春,马俊.基于熵的信息安全分析方法研究[J].计算机工程与科学,2009,31(1):28-30. 被引量：3
3赵淦森,汤庸,王维栋,虞海,周尚勤.云计算中的信息系统生存性量化分析研究[J].华南师范大学学报（自然科学版）,2013,45(6):34-41. 被引量：1
4张勇,冯玉才.XML数字签名技术及其在Java中的具体实现[J].计算机应用,2003,23(9):93-95. 被引量：21
5温建华,高海锋.一种基于公钥体系的P2P激励机制[J].计算机应用,2007,27(3):590-592. 被引量：3
6庞闻.ECC算法在数字签名中的应用[J].渭南师范学院学报,2006,21(2):41-43. 被引量：2
7张建军,胡静涛.用Windows 2000构建企业网的安全体系[J].计算机工程,2000,26(11):144-145. 被引量：1
8康中,康磊.智能卡在网络安全上的处理技术[J].景德镇高专学报,2001,16(2):11-12.
9刘亮,刘云,宁红宙.公钥体系中Chebyshev多项式的改进[J].北京交通大学学报,2005,29(5):56-59. 被引量：11
10李晓东,毛伟,阎保平.域名服务体系安全问题研究[J].计算机工程与应用,2007,43(34):22-24. 被引量：4

计算机研究与发展

2012年第S2期

浏览历史

内容加载中请稍等...

DNSSEC域名解析的形式化描述及量化分析研究

参考文献17

二级参考文献61

共引文献23

相关作者

相关机构

相关主题

浏览历史