DNSSEC采用公钥技术对DNS信息进行数字签名,DNSSEC提供两方面的验证:DNS源发送方身份认证;DNS数据包完整性验证。
创新互联建站专注为客户提供全方位的互联网综合服务,包含不限于网站设计、网站制作、伊宁网络推广、小程序开发、伊宁网络营销、伊宁企业策划、伊宁品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们最大的嘉奖;创新互联建站为所有大学生创业者提供伊宁建站搭建服务,24小时服务热线:028-86922220,官方网址:www.cdcxhl.com
DNS 数据认证需要用请求者接收的公钥对接收的DNS 数据进行解密比对以保证数据完整性与正确性,DNSSEC采用委托信任链机制实现公钥的分发与认证,DNSSEC 建立一个信任链表,使得ZONE 父区对子区的公钥进行认证,保证解析请求者本地DNS 获得正确的公钥。
DNSSEC在原有的DNS域名解析体系上加入公钥技术为ZONE区域产生一个公钥/私钥对并存放于权威域名服务器中,权威DNS服务器利用私钥对DNS 数据进行数字签名,域名解析请求者本地DNS 服务器利用得到的公钥对接收到的加密DNS 数据进行解密,如果验证通过则确定DNS 数据是由正确的权威DNS发送,同时保证了DNS 数据传输中没有被篡改。
图 发送方对DNS数据进行数字签名
图中为DNS消息发送方先使用Hash函数对要发送的DNS信息进行Hasn 计算得到相应的的Hash 信息摘要,然后发送方利用非对称私钥对其数字签名,最后将经签名后的摘要数据和DNS原数据一起发送至接收方。
图 接收方对签名后的DNS数据进行解密
图中为接收方利用先前接收到的非对称公钥对接收到的DNS数据包中加密过的数据进行解密得到Hash摘要,然后利用与发送方相同的Hash函数对接收到的DNS原始数据进行Hash 计算,得到Hash摘要,将此Hash摘要与解密后得到的Hash摘要进行比对,如果两者相同则接收发送方的身份,同时确认接收到的DNS信没有被篡改。
在以上通信过程中,DNS数据包发送前经过了一次Hash计算和一次非对称加密计算,DNS 数据包在接收后再次进行了一次Hash计算和一次非对称加密计算,两次对DNS信息的非对称密钥计算在一定程度上加大了双方CPU 计算时间和负载。
更多相关资料请阅读:
浅析基于混合加密机制的DNSSEC
浅析基于公钥技术的技术方案实施复杂度
当前标题:浅析基于公钥技术的DNSSEC
分享地址:http://www.36103.cn/qtweb/news38/25188.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联