建议项目名称
(中文)
|
快速UDP网络连接(QUIC)的DNS传输技术要求
|
建议项目名称
(英文)
|
Technical Requirements for DNS over QUIC
|
制定或修订
|
■制定 □修订
|
被修订标准号
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
ICS分类号
|
33.040.40
|
中国标准分类号
|
L78
|
牵头单位
|
中国互联网络信息中心
|
体系编号
|
C-01-03-01
|
参与单位
|
暨南大学,中国电信集团有限公司
|
完成周期(月)
|
24
|
目的、意义
或必要性
|
DNS(domain name system,域名系统)是互联网上最为关键的基础设施,其主要作用是将枯燥难记的IP地址映射为易于记忆的主机名称。随着互联网日新月异的快速发展,互联网的“中枢神经系统”DNS现已成为最为重要的基础服务,例如WEB访问、Email服务在内的众多网络服务都和DNS息息相关,DNS的安全则直接关系到整个互联网应用能否正常使用。
DNS的原始协议是一种轻量级协议,它不能对服务数据内容提供隐私、认证、数据完整性等安全保证;DNS数据在互联网上以明文方式进行传输,数据在传输过程中很容易遭到劫持或篡改。由于DNS协议本身不提供数据内容的完整性保护机制,因此接收方无法判别接收到的消息是否遭到篡改以及来源是否正确。中间人可以通过窃听、篡改和伪造DNS数据包实施攻击。常见针对DNS攻击手段有分布式拒绝服务攻击、缓存投毒、域名劫持等。此外,DNS协议的实现通常以UDP协议为基础,缺乏通信的可靠性保证,这进一步增加了消息被篡改或被伪造的可能性。后来推出的DNSSEC机制引入了签名机制,为DNS数据提供数据源认证及数据提供完整性验证,来保证数据未经篡改且来源正确,但依然没有解决隐私问题。
近年来针对域名系统的网络安全事件层出不穷,加强域名系统的隐私保护对维护整个域名系统的稳定安全运行具有重要的意义。
|
范围和主要
技术内容
|
本文件规定了基于QUIC的DNS传输技术要求。
本文件适用于需要提供隐私、响应消息来源认证、数据完整性保护的DNS解析服务部署场景。
本文件主要技术内容包括设计指南、连接管理和流映射的规范、连接恢复机制、错误代码等,同时还包括身份认证、连接失败时的处理、地址验证、流量控制等实施方面的要求。
|
国内外情况
简要说明
|
目前,国际上IETF等组织已成立了ADD、DPRIVE(DNS PRIVate Exchange)等工作组来进行DNS加密技术的相关研究,其中2017年成立的DoH工作组中制定并发布了基于HTTPS的DNS标准(RFC8484),DPRIVE工作组先后发布了基于TLS和DTLS的DNS相关标准(RFC7858,RFC8094,RFC8310)。国内各个运营商和互联网公司也开始部署自身的公共加密DNS解析服务系统。随着QUIC系列国际标准的发布,可基于QUIC协议构建基于QUIC的加密DNS技术,目前缺少相关的标准技术规范。
本文件的相关参考标准包括DNS over Dedicated QUIC Connections等国际标准。
|
备注
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|