分类: LINUX
2010-10-08 10:05:18
TSIG (交易署名) 是被定义的计算机网络协议 . 主要使用它 (DNS)提供证实更新手段给a 数据库。 TSIG用途分享了 并且 提供cryptographically辨认连接的每个终点安全手段如允许做或反应DNS更新。
虽然询问对DNS也许被做匿名(但是看见 更新对DNS,因为他们做对命名系统的互联网的结构的持续的变动),必须证实。 客户分享的对钥匙的用途做更新和DNS服务器保证更新请求的真实性。 然而,更新请求也许通过在一种不安全的渠道(互联网)。 一个单程哈希作用用于防止恶意观察员学会秘密钥匙和使用它做他们自己的改动。
时间戳在TSIG协议包括防止记录了反应从被重复利用,将允许攻击者破坏TSIG安全。 这在动态DNS服务器和TSIG客户安置一个要求包含一个准确时钟。 因为DNS服务器连接到网络, 可以使用提供一个准确时间来源。
DNS更新,象询问,通常被运输通过 因为它要求更低的天花板比 . 然而, DNS服务器支持UDP和TCP请求。
内容 |
一次更新,如指定 是一套指示到DNS服务器。 这些包括一定是满意的倒栽跳水、区域将被更新的,前提和将被更新的纪录。 TSIG增加一个最后的纪录,包括时间戳和请求的回锅碎肉。 它也包括用于签署请求秘密钥匙的名字。 有关于名字的形式的建议。
对一次成功的TSIG更新的反应也将签字与TSIG纪录。 疏忽没有签字防止攻击者学会任何东西关于TSIG钥匙使用特别地被制作的更新“探查”。
节目可能使用TSIG做DNS更新。
TSIG纪录以格式和其他纪录一样在更新请求。 领域的意思被描述 .
| 领域 | 字节 | 描述 |
|---|---|---|
| 名字 | 最大256 | 关键码名字,一定是独特的在客户端和服务器 |
| 类型 | 2 | TSIG (250) |
| 类 | 2 | 其中任一(255) |
| 4 | 0 (因为不能贮藏TSIG纪录) | |
| RDLENGTH | 2 | RDATA领域的长度 |
| RDATA | 易变 | 构造包含时间戳、算法和回锅碎肉数据 |
虽然TSIG广泛部署,有几个问题以协议:
结果,一定数量的选择和引伸提议。
