Protocol/DNS

ドメイン†[edit]

TLD [Top Level Domain]†[edit]

gTDL [generic Top Level Domain]†[edit]

• .com .net など

ccTLD [country code Top Level Domain]†[edit]

• 国別の TLD
• .jp .uk など

名前解決†[edit]

Root Server†[edit]

1. a.root-servers.net
   • VeriSign が運営
2. b.root-servers.net
   • USC ISI [University of Southern California; Information Sciences Institute] が運営
3. c.root-servers.net
   • Cogent Communications が運営
   • 2001/06/01 PSInet が破産法11条の適用申請
   • 2002/04 Cogent Communications が PSInet の資産を引き継ぐ
4. d.root-servers.net
   • UMD [University of Maryland, College Park] が運営
5. e.root-servers.net
   • NASA [National Aeronautics and Space Administration] が運営
6. f.root-servers.net
   • ISC [Internet Systems Consortium] が運営
7. g.root-servers.net
   • DoD [United States Department of Defense] が運営
8. h.root-servers.net
   • United States Army
9. i.root-servers.net
   • NORDUnet [Nordic Internet Highway to Research and Education Networks] が運営
10. j.root-servers.net
    • VeriSign が運営
11. k.root-servers.net
    • RIPE NCC [Réseaux IP Européens Network Coordination Centre] が運営
12. l.root-servers.net
    • ICANN [The Internet Corporation for Assigned Names and Numbers] が運営
13. m.root-servers.net
    • WIDE [Widely Integrated Distributed Environment] Project が運営

JP ドメイン DNS サーバ†[edit]

1. a.dns.jp
   • JPRS が運営
   • 2004/2/2 IP Anycast 化発表
2. b.dns.jp
   • JPNIC [Japan Network Information Center] が運営
3. c.dns.jp
   • JENS が運営
   • 2005/2/4 日本テレコムが JENS の吸収合併を発表 (4/1付け)
   • 2005/3/18 c.dns.jp の廃止を発表
   • 2005/5/10 c.dns.jp 廃止
4. d.dns.jp
   • IIJ [Internet Initiative Japan] が運営
   • 2004/2/2 IP Anycast 化発表
5. e.dns.jp
   • WIDE [Widely Integrated Distributed Environment] Project が運営
   • 2007/12/4 IP Anycast 化発表
6. f.dns.jp
   • 国立情報学研究所 NII [National Institute of Informatics] が運営

DNSSEC†[edit]

キーペア†[edit]

• ZSK [Zone Signing Key]
  • 権威サーバがゾーンの署名に用いる鍵
  • リソース レコードのハッシュ値を秘密鍵で暗号化する
  • 公開鍵は DNSKEY レコードとして公開される
  • DNS クライアントは自身で計算したハッシュ値と、公開鍵で復号化したハッシュ値を比較し、正しいサーバからの応答である事を確認する

• KSK [Key Signing Key]
  • DS (Delegation Signer/ZSK の公開鍵のハッシュ値) の署名に用いる鍵
  • DS を親ゾーンに送信する際に秘密鍵で暗号化する
  • 親ゾーンの管理者は公開鍵で復号化し、DS を取得する
  • 親ゾーンの管理者は DS を自身の秘密鍵で再度暗号化し公開する
  • DNS クライアントは権威サーバから取得した ZSK のハッシュ値と、親ゾーンの権威サーバから取得した DS を比較し、ZSK の公開鍵が正しい事を確認する (信頼の連鎖)

リソース レコード†[edit]

• DNSKEY [DNS Key]
  • ZSK の公開鍵
• RRSIG [Resource Record Signature]
  • ゾーンの署名
  • リソースレコードのハッシュ値を ZSK の秘密鍵で暗号化したもの
• DS [Delegation Signer]
  • ZSK の公開鍵のハッシュ値

ゾーンの検証†[edit]

• 権威サーバの動き
  1. 公開鍵認証のキーペアを保持する (ZSK)
  2. 公開するリソース レコードのハッシュ値を秘密鍵で暗号化、RRSIG レコードとして公開する
  3. 公開鍵は DNSKEY レコードとして公開する

• DNS クライアントの動き
  1. 最初に「DNSKEY レコードの検証」が行われる
  2. 権威サーバから受け取ったリソース レコードのハッシュ値を計算する
  3. 権威サーバから受け取った RRSIG レコードを DNSKEY レコードとして受け取った公開鍵で復号化する
  4. 上記 2 つを比較し、リソース レコードが正しいサーバからの応答であることを確認する

DNSKEY レコードの検証†[edit]

• 権威サーバの動き
  1. 公開鍵認証のキーペアを保持する (KSK)
  2. ZSK の公開鍵を KSK の秘密鍵で暗号化し DS を作成、親ゾーンの管理者に送信する

• 親ゾーンの動き
  1. DS を KSK の公開鍵で復号化する
  2. さらに自身の KSK 秘密鍵で暗号化し公開する

• DNS クライアントの動き
  1. ゾーンの検証の中で受け取った DNSKEY レコード

• 親ゾーンというのは example.co.jp であれば .jp であり、JPRS に登録することになる
• 実際にはレジストラを経由する必要がある

Menu

+ Operating System
　- Linux
　- FreeBSD
　- Solaris
　- Windows
　- Macintosh
　- Virtualization
+ Middleware
　- High Availability
　- Web
　- Mail
　- Database
　- FileTransfer
　- Management
　- Other Software
　- Library
　- Tool
+ Application
+ Network
+ Storage
+ Cloud
+ Protocol
+ Program
+ Others

最新の10件

Advertisement

#adsense(120x600)

Counter

Today: 2
Yesterday: 0
Total: 5662

MenuEdit