YD/T 2586-2013 域名服务系统安全扩展(DNSSEC)协议和实现要求

YD/T 2586-2013.Security extensions of DNS and implementation requirement. 1范围 YD/T 2586针对域名服务系统安全扩展的功能、协议和工作原理进行了详细的规定，并提出了DNSSEC部署实施的要求。 YD/T 2586适用于域名服务系统的安全扩展。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 YD/T 2140 2010域名服务系统安全框架技术要求 3术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 区签名密钥 Zone Signing Key 对权威域数据进行DNSSEC签名或验证的密钥对。通常,相对于密钥签名密钥，区签名密钥比较短，具有较短的有效期，但是具有较高的签名效率。 3.1.2 密钥签名密钥 Key Signing Key 对区签名密钥对中的公钥进行数字签名或验证的密钥对。通常,相对于区签名密钥，密钥签名密钥比较长，具有较长的生存期，但签名效率较低。 3.1.3 DNS公钥 (DNSKEY) DNS Public Key DNSKEY资源记录存储的是权威域的公钥。权威域使用私钥对DNS资源记录集进行数字签名，并且将公钥保存在DNSKEY资源记录中，用于稍后对数字签名的验证。