ICS 33.040.40 CCS L78 YD 中华人民共和国 通信行业标准 YD/T XXXXX—XXXX 域名服务系统安全扩展 （DNSSEC）协议测试 方法 Test methods for security extension of DNS 点击此处添加与国际标准一致性程度的标识 （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 YD/T XXXXX—XXXX I目  次 前言 ................................................................................. III 1　范围 ................................................................................ 1 2　规范性引用文件 ...................................................................... 1 3　术语和定义 .......................................................................... 1 4　缩略语 .............................................................................. 3 5　域名系统安全扩展（ DNSSEC） .......................................................... 4 6　DNSSEC测试方法 ..................................................................... 4 6.1　域名服务器 ...................................................................... 4 6.1.1　区签名密钥对生成 ............................................................ 4 6.1.2　密钥签名密钥对生成 .......................................................... 5 6.1.3　公钥摘要生成 ................................................................ 5 6.1.4　域名服务器密钥存储 .......................................................... 5 6.1.5　区签名 ...................................................................... 5 6.1.6　区签名到期后区重签名 ........................................................ 6 6.1.7　区文件的内容修改后区重签名 .................................................. 6 6.1.8　ZSK常规密钥轮转 ............................................................ 6 6.1.9　KSK常规密钥轮转 ............................................................ 7 6.1.10　ZSK紧急密钥轮转 ........................................................... 7 6.1.11　KSK紧急密钥轮转 ........................................................... 7 6.1.12　EDNS0扩展支持 ............................................................. 7 6.1.13　TCP开放53端口支持 ........................................................ 8 6.1.14　DNSSEC查询应答 ............................................................ 8 6.1.15　NSEC应答 .................................................................. 8 6.1.16　NSEC3应答 ................................................................. 9 6.2　解析器 .......................................................................... 9 6.2.1　信任锚配置 .................................................................. 9 6.2.2　以根域的 DNSKEY公钥为信任锚进行签名验证 ..................................... 9 6.2.3　以父域公钥为信任锚进行签名验证 ............................................. 10 6.2.4　签名验证结果 ............................................................... 10 6.2.5　签名验证算法支持 ........................................................... 10 6.2.6　授权验证算法支持 ........................................................... 10 6.2.7　DNSSEC查询请求与验证 ...................................................... 11 6.2.8　NSEC支持 .................................................................. 11 6.2.9　NSEC3支持 ................................................................. 11 6.3　其他 ........................................................................... 12 6.3.1　域名服务器支持动态更新时的私钥存储 ......................................... 12 YD/T XXXXX—XXXX II6.3.2　域名服务器不支持动态更新时的私钥存储 ....................................... 12 6.3.3　用于信任锚配置的公钥发布 ................................................... 12 6.3.4　父区获取 KSK紧急密钥轮转后的密钥 ........................................... 13 YD/T XXXXX—XXXX III前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》给出的规 则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国互联网络信息中心、深圳信息通信研究院、中国信息通信研究院。 本文件主要起草人：马中胜、李婉婷、沈浩涛、张宇华、周琳琳、董科军、刘芷若。YD/T XXXXX—XXXX 1域名服务系统安全扩展（ DNSSEC）协议测试方法 1　范围 本文件针对域名服务系统安全扩展的协议测试进行了详细的规定，并提出了测试的要求。 本文件适用于域名服务系统的安全扩展协议测试。 2　规范性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用文件 ，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 33562-2017 信息安全技术 安全域名系统实施指南 YD/T 2140-2010 域名服务安全框架技术要求 YD/T 2586-2013 域名服务系统安全扩展