浅析基于公钥技术的DNSSEC

安全 数据安全
DNSSEC采用公钥技术对DNS 信息进行数字签名,DNSSEC提供两方面的验证:DNS源发送方身份认证;DNS数据包完整性验证。

DNSSEC采用公钥技术对DNS 信息进行数字签名,DNSSEC提供两方面的验证:DNS源发送方身份认证;DNS数据包完整性验证。

DNS 数据认证需要用请求者接收的公钥对接收的DNS 数据进行解密比对以保证数据完整性与正确性,DNSSEC采用委托信任链机制实现公钥的分发与认证,DNSSEC 建立一个信任链表,使得ZONE 父区对子区的公钥进行认证,保证解析请求者本地DNS 获得正确的公钥。

DNSSEC在原有的DNS域名解析体系上加入公钥技术为ZONE区域产生一个公钥/私钥对并存放于权威域名服务器中,权威DNS服务器利用私钥对DNS 数据进行数字签名,域名解析请求者本地DNS 服务器利用得到的公钥对接收到的加密DNS 数据进行解密,如果验证通过则确定DNS 数据是由正确的权威DNS发送,同时保证了DNS 数据传输中没有被篡改。

[[29434]]

图 发送方对DNS数据进行数字签名

图中为DNS消息发送方先使用Hash函数对要发送的DNS信息进行Hasn 计算得到相应的的Hash 信息摘要,然后发送方利用非对称私钥对其数字签名,最后将经签名后的摘要数据和DNS原数据一起发送至接收方。

[[29435]]

图 接收方对签名后的DNS数据进行解密

图中为接收方利用先前接收到的非对称公钥对接收到的DNS数据包中加密过的数据进行解密得到Hash摘要,然后利用与发送方相同的Hash函数对接收到的DNS原始数据进行Hash 计算,得到Hash摘要,将此Hash摘要与解密后得到的Hash摘要进行比对,如果两者相同则接收发送方的身份,同时确认接收到的DNS信没有被篡改。

在以上通信过程中,DNS数据包发送前经过了一次Hash计算和一次非对称加密计算,DNS 数据包在接收后再次进行了一次Hash计算和一次非对称加密计算,两次对DNS信息的非对称密钥计算在一定程度上加大了双方CPU 计算时间和负载。

更多相关资料请阅读:

浅析基于混合加密机制的DNSSEC

浅析基于公钥技术的技术方案实施复杂度

【编辑推荐】

  1. 生成和交换预共享密钥
  2. PKI基础内容介绍(1)
  3. 破解你的密码需要多长时间?
  4. 信息安全的核心之密码技术 上
  5. 揭露维基解密窃取机密信息新手段
  6. 防御网络威胁UTM技术解密(图示)
责任编辑:佚名 来源: 中国教育网络
相关推荐

2011-05-19 10:57:21

2011-05-19 10:57:45

DNSSEC密钥加密

2011-07-12 14:04:58

2022-12-13 08:00:39

2010-03-30 08:40:36

WCF

2021-02-04 10:10:48

网络安全公钥密码密码技术

2012-03-01 10:28:09

2022-08-06 08:58:40

5G5G通信网络企业专网

2020-05-20 08:35:55

公钥密码学非对称密码密码

2023-12-18 08:57:22

GAN网络

2010-10-11 10:43:58

RSA公钥密码体制

2019-02-18 14:18:04

2023-11-11 19:34:30

摄像头慢直播

2019-06-04 05:00:27

公钥加密工控安全网络安全

2009-09-24 16:56:12

2016-12-26 16:58:37

2023-03-13 10:25:53

2011-04-19 10:57:18

2022-05-17 14:16:54

区块链加密货币私钥

2020-01-30 10:00:44

Linux公钥私钥
点赞
收藏

51CTO技术栈公众号