Chinaunix首页 | 论坛 | 博客
  • 博客访问: 407742
  • 博文数量: 92
  • 博客积分: 3153
  • 博客等级: 中校
  • 技术积分: 780
  • 用 户 组: 普通用户
  • 注册时间: 2010-02-03 16:26
文章存档

2011年(21)

2010年(71)

分类: LINUX

2010-10-08 10:05:18

TSIG

TSIG (交易署名) 是被定义的计算机网络协议 . 主要使用它  (DNS)提供证实更新手段给a  数据库。 TSIG用途分享了  并且  提供cryptographically辨认连接的每个终点安全手段如允许做或反应DNS更新。

虽然询问对DNS也许被做匿名(但是看见 更新对DNS,因为他们做对命名系统的互联网的结构的持续的变动),必须证实。 客户分享的对钥匙的用途做更新和DNS服务器保证更新请求的真实性。 然而,更新请求也许通过在一种不安全的渠道(互联网)。 一个单程哈希作用用于防止恶意观察员学会秘密钥匙和使用它做他们自己的改动。

时间戳在TSIG协议包括防止记录了反应从被重复利用,将允许攻击者破坏TSIG安全。 这在动态DNS服务器和TSIG客户安置一个要求包含一个准确时钟。 因为DNS服务器连接到网络,  可以使用提供一个准确时间来源。

DNS更新,象询问,通常被运输通过  因为它要求更低的天花板比 . 然而, DNS服务器支持UDP和TCP请求。

内容

实施

一次更新,如指定 是一套指示到DNS服务器。 这些包括一定是满意的倒栽跳水、区域将被更新的,前提和将被更新的纪录。 TSIG增加一个最后的纪录,包括时间戳和请求的回锅碎肉。 它也包括用于签署请求秘密钥匙的名字。  有关于名字的形式的建议。

对一次成功的TSIG更新的反应也将签字与TSIG纪录。 疏忽没有签字防止攻击者学会任何东西关于TSIG钥匙使用特别地被制作的更新“探查”。

 节目可能使用TSIG做DNS更新。

TSIG纪录以格式和其他纪录一样在更新请求。 领域的意思被描述 .

TSIG记录领域
领域字节描述
名字最大256关键码名字,一定是独特的在客户端和服务器
类型2TSIG (250)
2其中任一(255)
40 (因为不能贮藏TSIG纪录)
RDLENGTH2RDATA领域的长度
RDATA易变构造包含时间戳、算法和回锅碎肉数据

选择对TSIG

虽然TSIG广泛部署,有几个问题以协议:

  • 它要求分布的秘密钥匙到必须做更新的每个主人。
  • HMAC-MD5文摘只是128位。
  • 没有当局的水平。 任何主人以秘密钥匙也许更新所有纪录。

结果,一定数量的选择和引伸提议。

  •  使用a指定更新方法  “信号” DNS纪录。 拿着对应的私用密钥的客户能签署更新请求。 这个方法匹配  方法为安全询问。 然而,这个方法被贬抑 .
  • 2003年,  允许安全关键交换普通安全部门(GSS)方法的提出的延伸的TSIG,消灭对手工分布钥匙的需要对所有TSIG客户。 方法为分布公共密钥,当DNS资源纪录(RR)指定 与GSS作为这个方法一个方式。 修改过的GSS-TSIG -使用窗口  服务器-被实施了   服务器和客户叫Secure Dynamic更新。 与不足配置的DNS (没有反向查寻区域)使用的组合  演讲,反向DNS更新使用这个认证计划集体批转对根DNS服务器并且增加交通到根DNS服务器如此做其间. 有 编组应付这交通采取它从根DNS服务器.
  • 定义了TSIG,只指定允许的一哈希作用 不再认为高度安全的。 2006年,提案被散布允许  获取散列算法(SHA1)哈希替换MD5。 SHA1引起的160位文摘比引起的128位文摘应该安全 .
  • 定义了  a  过去常常自动地分布钥匙从DNS服务器到DNS客户
  • 定义了GSS-TSIG在gssapi方式下使用gssapi和TKEY自动地分布钥匙
阅读(5317) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~