DNS協(xié)議存在的安全問題

DNS 是一個分布式的域名解析系統(tǒng)，它通過緩存技術、樹狀分層授權結構實現(xiàn)域名與IP 地址及郵件服務等的相互轉換，但DNS 服務與域名解析服務器之間采用無連接的UDP 協(xié)議，無法確認數(shù)據(jù)來源及是否被篡改，存在較大的安全隱患，使得DNS 服務器經(jīng)常遭受各種攻擊。目前DNS主要存在數(shù)據(jù)包截取、ID猜測、緩存中毒、DDoS分布式拒絕服務攻擊、緩存區(qū)漏洞溢出攻擊、域名無效攻擊、不安全的動態(tài)更新和信息泄漏等多種安全威脅。

目前有一些非DNSSEC 安全措施能緩解部分DNS 安全問題：

1)限制ZONE 區(qū)域數(shù)據(jù)傳送；

2)服務地址限制；

3)關閉域名服務器遞歸查詢功能；

4)Split DNS；

5)TSIG機制。

但這些安全措施僅從局部緩解DN S 部分安全問題，沒有對DNS報文數(shù)據(jù)進行源身份認證和數(shù)據(jù)完整性檢查，沒有從DNS 內(nèi)部根本解決安全問題。

DNS安全擴展協(xié)議(DNSSEC)

公鑰機制(非對稱加密算法)是一種強安全性的加密技術，其優(yōu)點是密鑰管理方便，可實現(xiàn)數(shù)字簽名和身份認證等功能。公鑰機制首先生成一個公鑰/私鑰對，公鑰公開，私鑰自己保留。如典型的RSA公鑰技術是一種基于大質數(shù)的因式分解的分組密碼系統(tǒng)，其中的明文和密文都是對于某個n的從0到n-l之間的整數(shù)，主要是求模運算。

[[29433]]

公鑰加密流程圖

圖中為公鑰加密主要流程，其中發(fā)送方使用私鑰對明文進行加密，接收方利用公鑰對密文進行解密得到明文，經(jīng)公鑰加密技術加密的明文能且只能通過其對應的另一密鑰進行解密。

在安全性方面，目前來講對稱加密算法使用長密鑰時破解困難，而非對稱加密算法如RSA里的公鑰和私鑰是一對大素數(shù)函數(shù)，從一個公鑰和密文中破解出明文的難度等價于分解兩個大素數(shù)之積，而分解兩個大素數(shù)之積到目前為止仍然無解。所以就目前來說，基于非對稱加密算法與對稱加密算法的混合加密機制是比較安全的。

在執(zhí)行效率方面，對稱加密算法時間復雜度為0(n)，空間復雜度為0(n)。非對稱加密算法要加密對稱加密算法的密鑰，比如DES算法密鑰采用一個64bit的偽隨機數(shù)，其時間復雜度與空間復雜度為O(1)，因此混合加密算法的時間復雜度和空間復雜度都不超過O(n)。因此，基于對稱加密算法與非對稱加密算法的混合加密機制可以在保證安全性的基礎上提高DNSSEC 協(xié)議的整體運行效率。

DNSSEC已推出多年，但由于其基于公鑰技術的技術方案實施復雜度大和對硬件要求高仍未被廣泛采用，我們將一種結合對稱加密算法加解密效率高與非對稱加密算法密鑰管理優(yōu)勢的混合加密機制引入DNSSEC并進行相關研究。

相關資料請閱讀：

淺析基于公鑰技術的DNSSEC

淺析基于混合加密機制的DNSSEC

【編輯推薦】

1. 生成和交換預共享密鑰
2. PKI基礎內(nèi)容介紹（1）
3. 破解你的密碼需要多長時間？
4. 信息安全的核心之密碼技術 上
5. 揭露維基解密竊取機密信息新手段
6. 防御網(wǎng)絡威脅UTM技術解密（圖示）