崔淑田，劉 越

（1.中國人民大學(xué)經(jīng)濟(jì)學(xué)院 北京100872；2.工業(yè)和信息化部電信研究院 北京100191）

1 DNS及其面臨的安全問題

1.1 DNS簡介

域名系統(tǒng)（domain name system，DNS）是互聯(lián)網(wǎng)上最為重要的關(guān)鍵基礎(chǔ)設(shè)施之一，完成域名到IP地址的映射，具有較高的查詢和管理效率，方便人們使用各種網(wǎng)絡(luò)應(yīng)用[1]。DNS服務(wù)發(fā)展迅速，已經(jīng)成為全球最大也是最為成功的分布式數(shù)據(jù)庫系統(tǒng)。

域名體系采用反向樹形結(jié)構(gòu)，其頂層為根域名，在書寫域名時默認(rèn)為省略；根域名之下為頂級域名，頂級域包括國家和地區(qū)頂級域 （country code top level domain，ccTLD）和通用頂級域（generic top level domain，gTLD）；域名注冊人可在頂級域下注冊二級或二級以下的域名。將一條從葉到根的路徑上的各級名稱用“.”分隔連綴起來，就構(gòu)成一個獨一無二的完整域名，這棵逆向樹就稱為域名空間，域名則是存放在被稱為資源記錄（resource record，RR）的數(shù)據(jù)結(jié)構(gòu)中。

域名空間被分成若干個區(qū)（zone），每個區(qū)按其管轄范圍擁有域名空間相應(yīng)部分的完整信息。每個區(qū)必須指定一個主 （primary/master）DNS域名服務(wù)器來負(fù)責(zé)本區(qū)內(nèi)的域名解析，資源記錄就保存在域名服務(wù)器的zone文件中。輔助DNS服務(wù)器從具有該區(qū)授權(quán)的域名服務(wù)器 （通常是主DNS服務(wù)器）上獲得所在區(qū)的數(shù)據(jù)，并通過定期查詢主DNS服務(wù)器以保證所存儲的區(qū)數(shù)據(jù)為最新版本。主服務(wù)器和輔助服務(wù)器統(tǒng)稱為權(quán)威DNS服務(wù)器。

通過分層結(jié)構(gòu)和分級授權(quán)機(jī)制，DNS分布地DNS采用客戶機(jī)/服務(wù)器機(jī)制進(jìn)行域名解析的查詢和應(yīng)答。域名服務(wù)器作為服務(wù)器端，為客戶端完成DNS分布式數(shù)據(jù)的存儲和解析，包含各級權(quán)威服務(wù)器和緩存服務(wù)器。解析器位于客戶端，負(fù)責(zé)執(zhí)行解析請求，即接受來自客戶端應(yīng)用程序的DNS查詢請求，向域名服務(wù)器發(fā)送查詢請求，并負(fù)責(zé)接收域名服務(wù)器的返回信息，將結(jié)果發(fā)給客戶端的應(yīng)用程序。各級域名服務(wù)器和解析器構(gòu)成了DNS的基礎(chǔ)設(shè)施。

1.2 DNS的安全問題

DNS協(xié)議是至關(guān)重要的互聯(lián)網(wǎng)基礎(chǔ)協(xié)議，已被廣泛使用。但作為Internet的早期協(xié)議，DNS被設(shè)計為建立在互信模型基礎(chǔ)之上的開放體系結(jié)構(gòu)，缺乏適當(dāng)?shù)男畔⒈Ｗo(hù)和認(rèn)證機(jī)制。由于DNS對于互聯(lián)網(wǎng)的重要性以及自身的脆弱性，針對DNS的攻擊近年來呈現(xiàn)上升的趨勢，其安全性不容樂觀。DNS面臨的主要威脅、安全目標(biāo)和相應(yīng)的國際互聯(lián)網(wǎng)工程任務(wù)組（IETF）安全規(guī)范如表1所示[2]。

表1 DNS事務(wù)及其所面臨的威脅、安全目標(biāo)和IETF安全規(guī)范

2 DNSSEC技術(shù)及其安全性能分析

2.1 DNSSEC概述

DNS安全擴(kuò)展（domain name system security extension，DNSSEC）協(xié)議是IETF開發(fā)的，提供了一種通過軟件來驗證DNS數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中未被更改的方式。DNSSEC的研究始于20世紀(jì)90年代，1999年IETF發(fā)布RFC 2535[3]，提出了以公鑰密碼機(jī)制為基礎(chǔ)的DNSSEC實施解決方案。DNSSEC協(xié)議通過使用公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）在原有的DNS基礎(chǔ)上添加數(shù)字簽名（digital signature），對通過DNS體系內(nèi)部的信息同時提供權(quán)限認(rèn)證和信息完整性驗證，能夠部分地解決DNS存在的安全問題。

DNSSEC的主要功能有3項：

·提供數(shù)據(jù)來源驗證——DNS數(shù)據(jù)來自正確的域名服務(wù)器；

·提供數(shù)據(jù)完整性驗證——數(shù)據(jù)在傳輸過程中沒有任何更改；

·提供否定存在驗證——對否定應(yīng)答報文提供驗證信息。

基于DNSSEC的域名解析過程，服務(wù)器端將把簽名信息和查詢到的DNS原始信息一起發(fā)送給客戶端。由于簽名信息無法偽造，客戶端通過驗證應(yīng)答報文中的簽名信息即可判斷接收到的信息是否安全。

2.2 DNSSEC的工作原理

采用DNSSEC機(jī)制的DNS服務(wù)器 （一般是區(qū)內(nèi)的主服務(wù)器）首先基于公鑰加密系統(tǒng)產(chǎn)生一對密鑰，其中一個為公鑰，另一個為私鑰。公鑰對外進(jìn)行公開發(fā)布，任何人均可獲得并使用；私鑰由主服務(wù)器的管理員或管理機(jī)構(gòu)負(fù)責(zé)保管，嚴(yán)格對外保密。

DNS服務(wù)器用私鑰對返回給查詢方的資源記錄（RR）進(jìn)行數(shù)字簽名得到一個新的資源記錄（RRSIG），并將經(jīng)過簽名的RRSIG與未經(jīng)簽名的RR作為應(yīng)答報文一起發(fā)送給提出查詢請求的客戶端或解析器。RRSIG中還包含有公鑰或數(shù)字簽名算法的代碼。收到應(yīng)答報文的客戶端或解析器可以利用公鑰和加密算法對收到的RR進(jìn)行加密運算，可以得到一個計算出來的RRSIG，將其與所收到報文中的RRSIG進(jìn)行比對，如果二者相同，則通過了對簽名者的認(rèn)證并驗證了數(shù)據(jù)的完整性，即應(yīng)答報文中的RR是真的，否則就說明收到的RR是假的。

在DNSSEC的實際運行中，每個區(qū)需要雙重密鑰[4]，第一對密鑰用來對區(qū)內(nèi)的DNS資源記錄進(jìn)行簽名，稱為區(qū)簽名密鑰（ZSK）；第二對密鑰用來對包含密鑰（如ZSK）的資源記錄（DNSKEY）進(jìn)行簽名，稱為密鑰簽名密鑰（KSK）。在DNSSEC中，解析器必須信任所收到的公鑰，才能用其進(jìn)行解密從而驗證數(shù)據(jù)的完整性。解析器首先用KSK公鑰驗證DNSKEY，然后用ZSK公鑰來驗證數(shù)據(jù)。因此，KSK公鑰成為DNSSEC的關(guān)鍵入口。如果解析器信任它所使用的KSK公鑰，則這個KSK公鑰就稱為這個解析器的信任錨（trust anchor）。啟用DNSSEC的區(qū)（或稱簽名區(qū)）將自己的KSK公鑰交給父區(qū)，由父區(qū)用自己的ZSK私鑰對其進(jìn)行簽名；同樣地，父區(qū)也可以將自己的KSK私鑰交由自己的父區(qū)，由其用ZSK私鑰進(jìn)行簽名。這樣的過程稱為安全授權(quán)，當(dāng)這個過程向上到達(dá)信任錨的時候，就形成了一條信任鏈（trust chain）。由于DNS所具有的層級結(jié)構(gòu)，根區(qū)位于最頂端，且具有唯一性，因此根區(qū)的KSK公鑰就自然而然地成為所有區(qū)的信任錨。這樣，當(dāng)一條信任鏈一直通達(dá)根區(qū)時，表明這條鏈上的各級區(qū)域都是可以信任的，能夠用根區(qū)的KSK公鑰對其進(jìn)行簽名驗證從而確保數(shù)據(jù)來源的可靠性和數(shù)據(jù)本身的完整性。在理想情況下，如果所有的區(qū)都部署了DNSSEC，則解析器只需保存作為信任錨的根區(qū)KSK公鑰就可以依次進(jìn)行驗證，確保自己確實是從需要的DNS服務(wù)器那里得到了應(yīng)答報文。

為了保證和查詢相應(yīng)的資源記錄是確實不存在，而不是在傳輸過程中被刪除，DNSSEC機(jī)制提供了一個驗證資源記錄不存在的方法。它生成一個特殊類型的資源記錄：NSEC（nert secure）。NSEC記錄中包含了域區(qū)文件中它的所有者相鄰的下一個記錄以及它的所有者所擁有的資源記錄類型。這個特殊的資源記錄類型會和它自身的簽名一起被發(fā)送到查詢的發(fā)起者。通過驗證這個簽名，一個啟用了DNSSEC的域名服務(wù)器就可以檢測到這個域區(qū)中存在哪些域名以及此域名中存在哪些資源記錄類型。

為了保護(hù)資源記錄中的通配符不被錯誤的擴(kuò)展，DNSSEC會對比已驗證的通配符記錄和NSEC記錄從而來驗證名稱服務(wù)器在生成應(yīng)答時的通配符擴(kuò)展是正確的。

2.3 DNSSEC的安全性分析

DNSSEC所使用的PKI是基于非對稱密碼學(xué)設(shè)計的，其密鑰具有這樣的性質(zhì)：用公鑰加密的文件只能用私鑰解密，而私鑰加密的文件只能用公鑰解密。公鑰和私鑰成對產(chǎn)生，相互具有唯一性；而且由于非對稱密碼的技術(shù)特點，加密簡單方便，解密則只能通過最為原始的窮舉法對密鑰（私鑰）進(jìn)行猜測，而不能在已知公鑰和加密結(jié)果 （在DNSSEC中是數(shù)據(jù)經(jīng)過ZSK加密后得到的RRSIG和密鑰經(jīng)過KSK簽名后得到的DNSKEY）的前提下通過推導(dǎo)得出私鑰。

DNSSEC的安全性取決于PKI所用密鑰的安全性。由于PKI所具有的密碼學(xué)性質(zhì)，PKI的保密性 （或稱安全強(qiáng)度）取決于密鑰（一個二進(jìn)制序列）的位數(shù)，位數(shù)越長，意味著破解所花費的時間或者消耗的計算資源越多，因而安全強(qiáng)度越大，保密性越好。

根據(jù)有關(guān)信息安全標(biāo)準(zhǔn)的建議，DNSSEC選擇了RSA/SHA-n這一最為常用的PKI算法[4]，即首先將要傳送的數(shù)據(jù)通過SHA-n算法進(jìn)行安全散列變換，然后利用RSA算法生成的公鑰進(jìn)行數(shù)字簽名。隨著時間的推移，計算能力不斷提高，為了防止被破解，密鑰的位數(shù)將逐漸加長（如表2所示）。

表2 DNSSEC所用的PKI算法及安全強(qiáng)度

2.4 部署DNSSEC的主要影響

DNSSEC提供了端到端的完整性和真實性簽名驗證，能夠較為有效地防止DNS欺騙，大大增強(qiáng)了DNS解析過程的安全性，是目前比較完善的DNS安全解決方案。從當(dāng)前國際上的發(fā)展情況來看，DNSSEC作為保障域名體系安全的一項技術(shù)正在獲得越來越廣泛的認(rèn)可和應(yīng)用，這有助于增強(qiáng)DNS的安全性，減少政府、商業(yè)機(jī)構(gòu)和廣大用戶所受到的網(wǎng)絡(luò)安全威脅，促進(jìn)電子政務(wù)、電子商務(wù)和各類網(wǎng)絡(luò)應(yīng)用的發(fā)展。

但同時也需要看到，由于DNSSEC的信任機(jī)制，一旦全球DNSSEC部署完畢，根區(qū)的信任錨就成為DNS安全解析的入口或起點。根據(jù)與美國政府簽署的有關(guān)合同，注冊在美國的互聯(lián)網(wǎng)域名地址分配機(jī)構(gòu)ICANN和VeriSign公司參與根區(qū)DNSSEC部署進(jìn)程并負(fù)責(zé)根區(qū)密鑰的管理。這意味著已經(jīng)掌握了DNS根區(qū)管理權(quán)和絕大多數(shù)根域名服務(wù)器的美國，借提高DNS安全的名義，通過DNSSEC進(jìn)一步增強(qiáng)其對互聯(lián)網(wǎng)關(guān)鍵資源管理權(quán)的控制，將繼續(xù)保持其優(yōu)勢地位。根區(qū)DNSSEC部署及管理架構(gòu)如圖1所示。

除去政治和安全目標(biāo)外，部署DNSSEC需要利用先進(jìn)密碼技術(shù)并進(jìn)行大量的軟硬件升級，將有利于掌握核心技術(shù)的國家與企業(yè)擴(kuò)大其在網(wǎng)絡(luò)和信息安全的影響力，繼續(xù)占據(jù)技術(shù)和市場的領(lǐng)先地位。

3 DNSSEC的部署進(jìn)程和發(fā)展趨勢

3.1 DNSSEC部署工作近年來推進(jìn)較快

1999年RFC 2535發(fā)布后的近10年間，DNSSEC受限于技術(shù)、成本、網(wǎng)絡(luò)性能等多方面因素的影響，一直未得到各方面的充分重視，部署進(jìn)展緩慢。2008年Kaminsky漏洞的發(fā)布轟動了業(yè)界，而利用這一漏洞所發(fā)起的DNS緩存中毒攻擊數(shù)量及其造成的損失近年來也在大幅度上升。DNSSEC作為解決這一漏洞的主要辦法因而受到了廣泛重視，開始進(jìn)入大規(guī)模部署階段，且呈現(xiàn)加速之勢。

（1）根區(qū)DNSSEC部署完成，信任錨正式啟用

2010年6月16日，ICANN在位于美國東部弗吉尼亞州卡爾佩帕（Culpeper）的一個數(shù)據(jù)中心舉行根區(qū)密鑰生成儀式，生成并存儲了第一個將用于互聯(lián)網(wǎng)根區(qū)安全的密鑰（KSK）。7月12日，ICANN在位于美國西部加利福尼亞州的埃爾塞貢多（El Segundo）舉行第二次密鑰生成儀式。7月15日，ICANN發(fā)布根區(qū)的信任錨（KSK公鑰），DNS根服務(wù)器運營商將可以正式對根區(qū)利用實際密鑰進(jìn)行簽名，這意味著簽名根區(qū)（即應(yīng)用DNSSEC的根區(qū)）已正式啟動。根據(jù)ICANN的計劃，根區(qū)密鑰將每年生成4次，并且分別在位于美國東部和西部的兩個中心進(jìn)行，互為備份。此外，ICANN還設(shè)置了密鑰生成系統(tǒng)的備份機(jī)制，可以在兩個中心都發(fā)生問題時進(jìn)行系統(tǒng)恢復(fù)，重新生成密鑰。

（2）頂級域部署進(jìn)程加快，DNSSEC獲主要國家和地區(qū)認(rèn)可

在問卷中怎樣選擇護(hù)士這個職業(yè)的調(diào)查，其結(jié)果顯示有57.1%是通過父母選擇的。因此推測可能是由于一年級的學(xué)生剛?cè)胄τ谧o(hù)士這個職業(yè)還比較懵懂，認(rèn)識比較模糊。而通過在校一年級二年級三年級的接觸和學(xué)習(xí)，逐步對護(hù)理行業(yè)有更清晰的認(rèn)識和理解，所以其整個認(rèn)同度是逐漸增加的。但又發(fā)現(xiàn)四年級的同學(xué)認(rèn)同度又回歸到二年級的水平，可能是由于其鄰近實習(xí)有實習(xí)焦慮或其他相關(guān)因素的影響。

根據(jù) ICANN的統(tǒng)計[5]，截至 2012年7月 17日，互聯(lián)網(wǎng)根區(qū)記錄中共有314個頂級域 （其中包括11個多語種測試頂級域）。已經(jīng)完成DNSSEC部署的頂級域占頂級域總數(shù)的30.9%（不包含多語種測試頂級域時，比例為28.4%）。在國家和地區(qū)頂級域方面，249個ASCⅡ碼ccTLD中，已經(jīng)正式運行DNSSEC的達(dá)到63個，部署但尚未完成根簽的有6個，不僅西方主要發(fā)達(dá)國家投入運行，而且巴西、印度等發(fā)展中國家也已加入部署行列；32個多語種國家和地區(qū)頂級域中，已完成DNSSEC部署的僅有5個，其中中國臺灣的“.臺灣”和“.臺灣”兩頂級域以及韓國的“. ”頂級域已正式運行，斯里蘭卡的兩個多語種頂級域尚未完成根簽。在通用頂級域方面，包括“.COM/.NET/.ORG/.INFO/.BIZ”等五大頂級域在內(nèi)的12個通用頂級域已經(jīng)正式運行DNSSEC，在全部22個通用頂級域中超過半數(shù)。

（3）域名服務(wù)機(jī)構(gòu)著手降低技術(shù)門檻，推動DNSSEC部署

為進(jìn)一步加快DNSSEC的部署速度，域名注冊管理機(jī)構(gòu)和服務(wù)機(jī)構(gòu)也在想盡辦法降低用戶使用DNSSEC技術(shù)的門檻。如“.EU”推出了實施自動簽名的簡化DNSSEC簽名服務(wù)。通過該項服務(wù)，域名注冊服務(wù)機(jī)構(gòu)可按需求選擇需要DNSSEC簽名的域名，后臺系統(tǒng)將自動完成DNSSEC簽名服務(wù)。一些擁有部署和運行經(jīng)驗的域名服務(wù)機(jī)構(gòu)紛紛推出DNSSEC解決方案和技術(shù)服務(wù)，推動二級和二級以下域名的DNSSEC部署進(jìn)程。在各級各類域名服務(wù)機(jī)構(gòu)的推動下，進(jìn)入2010年以來，部署DNSSEC的區(qū)的數(shù)量出現(xiàn)了快速增長，幾乎是呈直線上升。截至2012年7月17日[6]，全球已有37 191個區(qū)能運行DNSSEC，約為2009年底的6.2倍。捷克國家頂級域“.CZ”是DNSSEC部署的成功典范，目前約有36.5%（即34.8萬）的 “.CZ”域名啟用了DNSSEC服務(wù)，2011年這一數(shù)字僅為17%；預(yù)計2012年底使用DNSSEC服務(wù)的“.CZ”域名數(shù)量達(dá)到40萬個。

3.2 DNSSEC部署范圍有望持續(xù)擴(kuò)大

（1）技術(shù)特點和運行經(jīng)驗積累有助于加快DNSSEC部署

由于DNS所具有的樹形結(jié)構(gòu)和DNSSEC的信任機(jī)制，任何部署了DNSSEC的區(qū)只要使用根區(qū)KSK公鑰進(jìn)行安全認(rèn)證就可以提升DNS解析的安全性，且DNSSEC已被證明是解決Kaminsky漏洞的長期有效方法，因此，隨著根區(qū)和主要頂級域的DNSSEC部署完畢并投入運行，自頂向下的推動將使越來越多的域名接受DNSSEC。而且BIND等主流DNS解析軟件均支持DNSSEC，對用戶負(fù)擔(dān)不重?，F(xiàn)有解決方案在實踐中不斷得到檢驗和完善，經(jīng)驗的積累將進(jìn)一步降低部署和運行成本。此外，域名服務(wù)機(jī)構(gòu)出于經(jīng)濟(jì)利益的考慮也將推動域名持有人接受DNSSEC服務(wù)。近兩年部署DNSSEC的區(qū)的數(shù)量大幅快速增長也顯示出這一進(jìn)程正在加速之中。

（2）新通用頂級域計劃將大力推動頂級域DNSSEC部署

ICANN于2011年6月20日正式啟動新通用頂級域計劃，并于2012年1月12日—5月31日接受首輪新通用頂級域申請。6月13日，ICANN公布了新通用頂級域的申請情況，共有1 154家機(jī)構(gòu)提交了1 930份新通用頂級域申請。根據(jù)ICANN要求，新通用頂級域申請機(jī)構(gòu)應(yīng)具備提供DNSSEC服務(wù)相關(guān)的技術(shù)能力，在頂級域授權(quán)前必須通過ICANN有關(guān)DNSSEC的系統(tǒng)實測工作，并向ICANN提交測試中所用的有效密鑰裝置的說明文檔以及頂級域的DNSSEC政策聲明（DPS）。預(yù)計到2015年，將完成包括本輪次申請的新通用頂級域在內(nèi)的全球絕大部分通用頂級域的DNSSEC的部署工作。在此帶動下，全球頂級域DNSSEC部署速度將提速。

4 DNSSEC的問題與不足

DNSSEC能夠較為有效地防止DNS欺騙，但實施DNSSEC尚存在一些問題[7,8]。

（1）實施DNSSEC是以降低DNS查詢和響應(yīng)時間性能為代價的

數(shù)據(jù)分組比原來要大得多。由于DNSSEC在DNS報文中添加了數(shù)字簽名，并且密鑰的長度會隨著時間不斷增加，因此報文長度會大大增加。考慮到DNS查詢/應(yīng)答是極為常用的互聯(lián)網(wǎng)應(yīng)用，這就會大大加重網(wǎng)絡(luò)的額外開銷，從而對網(wǎng)絡(luò)服務(wù)的性能產(chǎn)生影響。

（2）實施DNSSEC增加了DNS運營和使用的負(fù)擔(dān)

一方面，DNSSEC所需密鑰的產(chǎn)生和校驗需要CPU計算能力作保障，但根據(jù)了解，2003年以前生產(chǎn)的網(wǎng)絡(luò)設(shè)備有不少不支持DNSSEC，這意味著大量DNS運營商都需要升級其網(wǎng)絡(luò)設(shè)備，提高DNS服務(wù)器配置（如將單處理器的DNS服務(wù)器換成多處理器的DNSSEC服務(wù)器）。同時，用戶需要更換新版軟件以改變目前DNS解析軟件僅支持手動對DNSSEC進(jìn)行命令行操作控制的狀況。另一方面，簽名和密鑰占用的磁盤空間和存儲器（RAM）容量將達(dá)到它們所表示數(shù)據(jù)所占容量的10倍。因此數(shù)據(jù)庫和管理系統(tǒng)也不得不進(jìn)行相應(yīng)的升級和擴(kuò)容。

（3）DNSSEC不能提供安全有效的密鑰分發(fā)通道

DNSSEC未將通信信道的安全納入考慮之中，目前只有借助于安全套接層（secure sockets layer，SSL）及傳輸層安全（transport layer security，TLS）等傳輸協(xié)議進(jìn)行密鑰分發(fā)，存在一定的安全隱患。而密鑰（私鑰）一旦丟失或被破解，則可能帶來嚴(yán)重的后果。

（4）DNSSEC 會造成“安全孤島”現(xiàn)象

由于DNSSEC不可能一夜之間部署到整個互聯(lián)網(wǎng)，而只能逐步進(jìn)行部署，因此理想情況下的信任鏈尚不能有效建立，DNS與DNSSEC仍將并行使用，那些先部署了DNSSEC的區(qū)則形成一個個的 “孤島”。這會造成兩種情況：第一，不安全的未簽名區(qū)與簽名區(qū)進(jìn)行通信時會將錯誤信息混入其中；第二，嚴(yán)格執(zhí)行DNSSEC的區(qū)會在阻止錯誤信息的同時將大量未應(yīng)用DNSSEC所需的信息拒之門外。

DNS所面臨的安全威脅遠(yuǎn)不止于域名欺騙，即使部署了DNSSEC也絕不是在DNS安全方面可以高枕無憂了。對于普遍存在且造成較大危害的（分布式）拒絕服務(wù)攻擊（DoS/DDoS）、對注冊服務(wù)商的域名劫持、釣魚網(wǎng)站等一系列DNS安全問題，DNSSEC并未能提供有效解決方案。而且，由于DNSSEC的報文長度增加和解析過程繁復(fù)，在面臨DDoS攻擊時，DNS服務(wù)器承受的負(fù)擔(dān)更為嚴(yán)重，抵抗攻擊所需的資源要成倍增加。

5 DNSSEC對我國的影響及應(yīng)對策略建議

DNSSEC為互聯(lián)網(wǎng)增加了一個新的安全手段，對我國提升DNS安全性提供了新的技術(shù)和思路，DNS與DNSSEC并行也為我國開展研究工作留下了一定時間。但是目前全球部署DNSSEC的區(qū)的數(shù)量仍然較少，其實際效果究竟如何仍有待進(jìn)一步觀察。特別是美國主導(dǎo)DNSSEC部署進(jìn)程將有助于強(qiáng)化其對互聯(lián)網(wǎng)的單邊控制，我國應(yīng)對其可能產(chǎn)生的影響提前做好準(zhǔn)備。

（1）加強(qiáng)技術(shù)研究和標(biāo)準(zhǔn)制定工作，積極開展試驗和應(yīng)用示范，積累運營和管理經(jīng)驗

我國作為互聯(lián)網(wǎng)大國，境內(nèi)域名和域名服務(wù)器數(shù)量都以百萬計，如部署DNSSEC將面臨大規(guī)模性能升級的技術(shù)與管理困難，在技術(shù)與產(chǎn)業(yè)實力較弱的情況下更多要依賴進(jìn)口，支出巨大。因此，主管部門應(yīng)組織有關(guān)單位，積極加大對包括DNSSEC在內(nèi)的DNS安全技術(shù)的研究力度和擁有自主知識產(chǎn)權(quán)的DNS軟件研發(fā)工作，設(shè)立試驗環(huán)境并開展應(yīng)用示范，盡早識別與解決可能出現(xiàn)的各種問題，為平滑升級做好技術(shù)準(zhǔn)備；針對部署DNSSEC涉及的密鑰產(chǎn)生與管理、密鑰分發(fā)流程、過渡機(jī)制與互聯(lián)互通等問題，推進(jìn)標(biāo)準(zhǔn)制定工作，用于指導(dǎo)和規(guī)范相關(guān)進(jìn)程，降低部署難度與成本；對我國自主建設(shè)與自行管理的國家頂級域和未來將大量出現(xiàn)的新通用頂級域的DNSSEC部署方案進(jìn)行充分研究和論證，在確保我國域名系統(tǒng)安全穩(wěn)定運行的條件下對信任錨的可用性以及避免部署后成為“孤島”等進(jìn)行全盤考慮；針對下一代互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等產(chǎn)業(yè)的發(fā)展可能對域名系統(tǒng)提出的挑戰(zhàn)加強(qiáng)自主研發(fā)力度，爭取提供高效、安全的域名技術(shù)，支撐新興產(chǎn)業(yè)的健康發(fā)展。

（2）積極參與國際合作，擴(kuò)大話語權(quán)

DNSSEC以根區(qū)密鑰作為全球域名解析安全的信任錨，這與美國單邊控制的國際互聯(lián)網(wǎng)治理框架相關(guān)。我國應(yīng)在國際互聯(lián)網(wǎng)治理的框架下統(tǒng)籌規(guī)劃，聯(lián)合有關(guān)國家，積極推動建立合理的國際互聯(lián)網(wǎng)治理秩序，遏制少數(shù)國家對互聯(lián)網(wǎng)關(guān)鍵資源的壟斷，爭取建立多邊的、民主的全球互聯(lián)網(wǎng)資源管理機(jī)制。同時，組織有關(guān)機(jī)構(gòu)和企業(yè)以適當(dāng)方式參與國際上DNS安全標(biāo)準(zhǔn)制定和軟件開發(fā)以及密碼研究工作，及時了解國際DNSSEC的進(jìn)程與部署經(jīng)驗，通過多方合作，增強(qiáng)我國在網(wǎng)絡(luò)與信息安全領(lǐng)域的硬實力與軟實力。

（3）完善域名注冊管理機(jī)制，保障國內(nèi)域名解析安全

DNSSEC針對DNS欺騙問題提出了解決方案，對增強(qiáng)互聯(lián)網(wǎng)的域名安全有一定的積極作用，但是仍不能解決分布式拒絕服務(wù)攻擊（DDoS）、注冊端出現(xiàn)的域名失竊、域名劫持、釣魚網(wǎng)站等大量安全問題。因此，有必要進(jìn)一步健全完善互聯(lián)網(wǎng)域名管理制度，堅持推行域名實名制注冊，完善域名注冊信息審核和備案流程；提高域名服務(wù)機(jī)構(gòu)的管理水平和責(zé)任意識并加強(qiáng)監(jiān)督檢查，及時查處域名相關(guān)的違法犯罪行為；加強(qiáng)網(wǎng)絡(luò)和信息安全的宣傳教育活動，向公眾普及相關(guān)知識，提高用戶的自我保護(hù)意識和能力，切實保障公眾注冊域名所應(yīng)享有的正當(dāng)權(quán)益和國內(nèi)的域名解析安全。

1 毛偉.中國互聯(lián)網(wǎng)資源標(biāo)識和尋址技術(shù)研究.中國科學(xué)院計算技術(shù)研究所博士學(xué)位論文，2006

2 Chandramouli R,Rose S.Secure Domain Name System(DNS)Deployment Guide.NIST Special Publication(800-81r1),2010

3 Eastlake D.Domain Name System Security Extensions.RFC 2535,March 1999

4 ChandramouliR,Rose S.Open issues in secure DNS deployment.IEEE Security and Privacy,2009,7(5):29～35

5 TLD DNSSEC report. http://stats.research.icann.org/dns/tld_report/，2012

6 http://secspider.cs.ucla.edu/，2012

7 李馥娟.DNSSEC技術(shù)及應(yīng)用分析.計算機(jī)安全，2009(10)

8 蔡晨，明子鑒.DNSSEC技術(shù)介紹與分析.現(xiàn)代計算機(jī)（專業(yè)版），2010(8)