域名系统（DNS）区域数据消息摘要技术要求行业标准全文.pdf

该【域名系统（DNS）区域数据消息摘要技术要求行业标准全文 】是由【资料之王】上传分享，文档一共【14】页，该文档可以免费在线阅读，需要了解更多关于【域名系统（DNS）区域数据消息摘要技术要求行业标准全文 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。 : .

ICS
CCS L78
YD
中 华 人 民 共 和 国 通 信 行 业 标 准
YD/T ××××—××××
域名系统（DNS）区域数据信息摘要技术要
求
Technical requirements of message digest for DNS zones
征求意见稿
202×-××-××发布 202×-××-××实施
中 华 人 民 共 和 国 工 业 和 信 息 化 部 发布
1 : .
YD/T XXXXX—XXXX
目 次
前 言................................................................................4
1 范围..................................................................................5
2 规范性引用文件........................................................................5
3 术语、定义及缩略语....................................................................5
术语和定义......................................................................5
缩略语..........................................................................6
4 ZONEMD .......................................................................6资源记录
概述............................................................................6
非顶点ZONEMD.......................................................7资源记录说明
ZONEMD .............................................................7有线格式要求
ZONDEMD ............................................................8表现格式要求
区域中ZONEMD...............................................8资源记录集的存放要求
5 摘要计算要求..........................................................................8
概述............................................................................8
添加占位记录要求................................................................8
区域签名要求....................................................................9
确定方案后的计算过程要求........................................................9
ZONEMD 资源记录更新要求.........................................................9
6 验证区域摘要要求......................................................................9
7 区域摘要的安全性技术要求.............................................................10
无DNSSEC....................................................10的区域摘要使用要求
对抗区域摘要攻击风险要求.......................................................10
多个ZONEMD..................................................11哈希算法的使用要求
DNSSEC ............................................................11时间约束要求
对抗利用ZONEMD..............................................11查询的攻击风险要求
附 录 A...............................................................................12
概述...........................................................................12
ZONEMD RR .................................................................12类型
ZONEMD ....................................................................12方案
ZONEMD ................................................................12哈希算法
附 录 B................................................................................14
参考文献...............................................................................15
2 : .
YD/T XXXXX—XXXX
前 言
本文件按照GB/T -2020 1第《标准化工作导则部分：标准化文件的结构和起草规则》的规则起
草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本文件由中国通信标准化协会提出并归口。
本文件起草单位：暨南大学、中国互联网络信息中心、中国信息通信研究院。
本文件主要起草人： XXXXX
3 : .
YD/T XXXXX—XXXX
域名系统（DNS）区域数据信息摘要技术要求
1　范围
本文件规定了一种针对 DNS 区域数据的加密消息摘要协议及新的 DNS 资源记录类型 ZONEMD。
本文件适用于根区（需验证广泛分发后的完整性）、服务提供商（保障复杂分发链路的数据完整
性）、响应策略区域（RPZ，确保非直接查询数据的完整性）、集中式区域数据服务（CZDS，为用户下
载的顶级域数据提供完整性保障）、通用区域对比检查（跨来源或跨流程验证区域一致性）等场景，同
时为 DNS 区域数据完整性验证提供了标准化方案，供区域发布者与使用者实现相关功能。
2　规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
IETF RFC1034 域名-概念与功能（Domain names - concepts and facilities）
IETF RFC1035 域名-实现与规范（Domain names - implementation and specification）
IETF RFC2119 RFCKey words for use in RFCs to Indicate 用于中指示要求级别的关键词（
Requirement Levels）
IETF RFC8126 RFC IANA (Guidelines for Writing an IANA 中 考量章节的撰写指南
Considerations Section in RFCs)
IETF RFC4034 Resource Records for the DNS Security Extensions）域名安全扩展的资源记录（
IETF RFC6234 SHAHMACHKDFUS Secure Hash Algorithms 和）（及其衍生算法美国安全哈希算法（
(SHA and SHA-based HMAC and HKDF)）
IETF RFC8174 Ambiguity of Uppercase vs Lowercase in RFC 关键术语中大写与小写的歧义性（
2119 Key Words）
IETF RFC 5936 DNS(DNS Zone Transfer Protocol (AXFR))区域传输协议
3　术语、定义及缩略语
　术语和定义
下列术语和定义适用于本文件。
　
区域 Zone
DNS 名称空间的一个连续部分，由某个管理实体（如权威服务器）负责维护。
4 : .
YD/T XXXXX—XXXX
　
区域文件 Zone File
一种基于文本的文件格式，用于存储区域内的资源记录。
　
资源记录 Resource Record
在同一名称、类型与类下的所有资源记录的集合。
　
根区 Root Zone
DNS层级结构的最顶层。
　
消息摘要 Message Digest
使用特定加密哈希算法对 DNS 区域数据进行处理后，生成的一段固定长度、唯一对应原始区域数
据的二进制字符串，用于验证区域数据的完整性。
　缩略语
下列缩略语适用于本文件。
AXFR 全量区域传输 Authoritative Transfer
IXFR 增量区域传输 Incremental Transfer
TSIGs 事物签名 Transaction Signatures
DNSSEC DNS安全拓展 DNS Security Extensions
RPZ 响应策略区 Response Policy Zone
DNS 域名系统 Domain Name System
RR 资源记录 Resource Record
CZDS 集中式区域数据服务 Centralized Zone Data Service
SOA 授权起始记录 Start of Authority
TTL 生存时间 Time to Live

4　ZONEMD资源记录
　概述
5 : .
YD/T XXXXX—XXXX
本章内容包括ZONEMD 资源记录的核心字段及其有线格式与表示格式。ZONEMD 资源记录的类型值为
63。ZONEMD 资源记录与类无关。该资源记录的 RDATA 部分由四个字段组成：Serial（序列号）、Scheme
（方案）、Hash Algorithm（哈希算法）和 Digest（摘要）。
　非顶点ZONEMD资源记录说明
本文件规定了位于区域顶点（zone apex）的 ZONEMD 资源记录。非顶点（non-apex）ZONEMD 记录
并未被禁止，但在本文件中没有任何意义，它们不应用于验证。 ZONEMD 在执行摘要计算时，非顶点
记录被视为普通资源记录。它们将按原样参与摘要计算，不会被占位记录所替代。除非特别说明，在本
文件中提到“ZONEMD”一词时，始终代指顶点记录。
　ZONEMD有线格式要求
ZONEMD的资源记录有线格式如下：
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Serial |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Scheme |Hash Algorithm | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Digest |
/ /
/ /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
图1 ZONEMD资源记录的有线格式
图1所示选项字段如下：
序列号（Serial 32 SOA 记录中）是一个采用网络字节序表示的位无符号整数。它取自该区域的
的序列号，表示该区域摘要生成时对应的区域版本。这样可以明确地将 ZONEMD 资源记录与区域内容的
特定版本绑定。如果没有序列号，一个独立的 ZONEMD 摘要将无法与任何特定的区域实例建立明确关联。
方案（Scheme 8 ）是一个位无符号整数，用于标识将数据收集并整理后作为哈希函数输入的方式。
在本文中，SIMPLE 1 ZONEMD ）是（方案值为记录中唯一被标准化定义的方案，实现中应支持该方案。
除此之外，方案值 240–254 被分配用于私有使用。
哈希函数（Hash Algorithm）是一个8位无符号整数。在本文中，SHA-384（哈希算法取值为 1）是
ZONEMD 记录中唯一被标准化定义且应由实现支持的哈希算法。当使用 SHA-384 时，摘要字段的长度为
48 SHA-384 48 ZONEMD 个字节。记录中；字节摘要必须发布在摘要算法的结果不应被截断，完整的
SHA-512（哈希算法取值为 2）同样在 ZONEMD 记录中被定义，在实现中应支持该算法。当使用 SHA-512
时，Digest 字段的长度为 64 个八位字节。同样地，SHA-512 摘要算法的结果不得被截断，完整的 64
字节摘要应发布在 ZONEMD 记录中。除此之外，哈希算法值240-254被用于私用分配。
摘要（Digest）是一个可变长度的八位字节序列，其中包含哈希算法的输出结果。摘要字段的长
度由 ZONEMD 资源记录头部中的 RDATA 总长度，减去固定长度的 Serial、Scheme 和 Hash Algorithm
三个字段的长度后确定。 Digest 12 SHA-384 SHA-512 和字段不得短于个八位字节。本文中定义的