由于DNS系統(tǒng)自身存在一些軟件漏洞，導(dǎo)致其安全性能難以得到有效的保障，并且容易受到DDoS、緩存中毒、域名劫持等的攻擊，很容易導(dǎo)致出現(xiàn)部分或者網(wǎng)絡(luò)的癱瘓，DNSSEC技術(shù)對(duì)于提升域名系統(tǒng)的安全性能具有非常重要的作用，本文就主要對(duì)其在我國的發(fā)展趨勢(shì)及影響進(jìn)行簡單分析探討。

　　【摘 要】DNS是域名系統(tǒng)的簡稱，其是互聯(lián)網(wǎng)上非常關(guān)鍵的基礎(chǔ)設(shè)施之一，對(duì)于人們應(yīng)用各種網(wǎng)絡(luò)都具有非常重要的作用，隨著其各項(xiàng)技術(shù)的發(fā)展，已經(jīng)逐漸發(fā)展成為全球最大也是最為成功的分布式數(shù)據(jù)庫系統(tǒng)，DNSSEC能夠提供一種通過軟件炎癥DNS數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中沒有被更改的方式，本文就主要對(duì)其工作原理、安全性能及在我國的發(fā)展進(jìn)行簡單分析，并簡單探討其對(duì)我國的影響。

　　【關(guān)鍵詞】電子技術(shù)與軟件工程,DNSSEC技術(shù),在我國的發(fā)展,影響探討

　　1 DNSSEC技術(shù)簡介及其所面臨的安全問題

　　1.1 DNSSEC概述

　　DNSSEC指的是DNS安全擴(kuò)展協(xié)議，其是由IETF所開發(fā)的，能夠提供一種通過軟件來驗(yàn)證DNS數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中沒有被更改的方式，關(guān)于 DNSSEC技術(shù)的研究從上個(gè)世紀(jì)90年代就已經(jīng)開始，期間提出的應(yīng)用公鑰基礎(chǔ)設(shè)施在原有的DNS的基礎(chǔ)之上添加數(shù)字簽名的形式，對(duì)通過DNS體系內(nèi)部信息能夠同時(shí)提供權(quán)限認(rèn)證及信息完整性驗(yàn)證，這能夠很好的解決DNS的中存在的安全性問題，其主要功能表現(xiàn)為：(1)能夠提供否定存在的驗(yàn)證，為否定應(yīng)答報(bào)文提供驗(yàn)證信息;(2)能夠提供數(shù)據(jù)的完整性驗(yàn)證，所有數(shù)據(jù)在傳輸?shù)倪^程中沒有出現(xiàn)相關(guān)的更改;(3)能夠提供數(shù)據(jù)的來源驗(yàn)證，DNS數(shù)據(jù)都來自于正確的域名服務(wù)器。

　　1.2 DNSSEC技術(shù)的工作原理

　　應(yīng)用DNSSEC技術(shù)的DNS服務(wù)器首先基于公鑰加密系統(tǒng)產(chǎn)生一對(duì)密鑰，一個(gè)為公鑰一個(gè)為私鑰，其中公鑰是對(duì)外公布的，任何人都能夠使用，而私鑰則是由主服務(wù)器的管理機(jī)構(gòu)或者是管理員負(fù)責(zé)保管的，對(duì)外是嚴(yán)格保密的，DNS服務(wù)器在實(shí)際的工作過程中，其主要是應(yīng)用私鑰對(duì)返回給查詢方的記錄資源實(shí)施數(shù)字簽名，在此基礎(chǔ)上得到一個(gè)新的資源記錄，并能夠?qū)⒔?jīng)過簽名的資源記錄和沒有經(jīng)過簽名的資源記錄作為應(yīng)答報(bào)文一同發(fā)送至提出查詢請(qǐng)求的解析器或者客戶端，在資源記錄中還包括有數(shù)字簽名算法的代碼及公鑰，解析器或者客戶端在受到應(yīng)答報(bào)文之后，能夠應(yīng)用加密算法或者公鑰來對(duì)所收到的資源記錄進(jìn)行加密運(yùn)算，從而得到一個(gè)計(jì)算出來的新的資源記錄，并會(huì)將其與所收?qǐng)?bào)文中的新的資源記錄進(jìn)行對(duì)比，如果兩組相同，那么就通過了對(duì)簽名者的認(rèn)真，并驗(yàn)證了數(shù)據(jù)的完整性，也就是說應(yīng)答報(bào)文中的資源記錄是真實(shí)的，如果二者不同，那么就說明所受到的資源記錄是假的。

　　將DNSSEC技術(shù)應(yīng)用于DNS中，其每個(gè)區(qū)域都需要進(jìn)行雙重的密鑰，其中第一對(duì)的密鑰主要是用來對(duì)區(qū)域中的DNS資源記錄事實(shí)簽名，將其稱之為區(qū)簽名密鑰，第二對(duì)密鑰主要是用來對(duì)包含密鑰的資源記錄進(jìn)行簽名，將其稱之為密鑰簽名密鑰，在DNSSEC技術(shù)中，只有解析器對(duì)其所收到的公鑰信任，才能將其應(yīng)用于解密工作中，以便于對(duì)數(shù)據(jù)的完整性進(jìn)行驗(yàn)證，在解析器的解密工作中，先應(yīng)用密鑰簽名密鑰的公鑰來對(duì)包含密鑰的資源記錄實(shí)施驗(yàn)證，再應(yīng)用區(qū)域簽名密鑰公鑰來實(shí)施數(shù)據(jù)驗(yàn)證，所以密鑰簽名密鑰公式是DNSSEC的關(guān)鍵入口，如果解析器對(duì)其應(yīng)用的密鑰簽名密鑰充分的信任，那么就將該密鑰簽名密鑰稱作是解析器的信任錨，啟用DNSSEC的區(qū)會(huì)將其自身的密鑰簽名密鑰的公鑰交給其父區(qū)，由其父區(qū)應(yīng)用自身的區(qū)簽名密鑰對(duì)其實(shí)施簽名，另一方面，父區(qū)也可以將自身的密鑰簽名密鑰的私鑰交給自己的父區(qū)，由其應(yīng)用區(qū)簽名密鑰來實(shí)施簽名，將該過程中稱之為密鑰授權(quán)，一旦該過程向上達(dá)到信任錨的時(shí)候，就形成了信任鏈，如果一條信任鏈能夠一直通達(dá)到根區(qū)，就說明這條鏈上的各級(jí)區(qū)域都是可以信任的，可以應(yīng)用根區(qū)的密鑰簽名密鑰對(duì)其實(shí)施簽名驗(yàn)證，以便于保證數(shù)據(jù)來源的可靠性及數(shù)據(jù)本身的完整性，在理想情形下，如果所有區(qū)域中都部署有DNSSEC，那么解析器工作過程中只需要保存作為信任錨根區(qū)的密鑰簽名密鑰的公鑰就可以實(shí)現(xiàn)依次的驗(yàn)證，從而保證其確實(shí)是從需要的DNS服務(wù)器中獲得了應(yīng)答報(bào)文。

　　1.3 DNSSEC技術(shù)的安全性分析

　　DNSSEC中應(yīng)用的公鑰基礎(chǔ)設(shè)施是基于非對(duì)稱密碼學(xué)來進(jìn)行設(shè)計(jì)的，其公鑰加密文件只能應(yīng)用私鑰來進(jìn)行解密，而私鑰加密文件只能應(yīng)用公鑰來進(jìn)行解密，私鑰與公鑰是成對(duì)產(chǎn)生的，具有非對(duì)稱密碼技術(shù)的特點(diǎn)，其安全性與公鑰基礎(chǔ)設(shè)施所用的密鑰安全性具有直接的關(guān)系，其密鑰的位數(shù)越長，其安全強(qiáng)度越大，保密性越好。

　　2 DNSSEC的部署進(jìn)程及發(fā)展趨勢(shì)

　　目前DNSSEC根區(qū)的部署已經(jīng)逐漸完成，信任錨已經(jīng)正式啟用，頂級(jí)域的部署進(jìn)程逐漸加快，域名服務(wù)機(jī)構(gòu)的技術(shù)門檻逐漸降低，這對(duì)于DNSSEC的部署具有一定的推動(dòng)作用，DNS所具有的DNSSEC信任機(jī)制及樹形結(jié)構(gòu)對(duì)于 DNSSEC部署的加快具有一定的推動(dòng)作用，并且隨著根區(qū)及主要頂級(jí)域的DNSSEC部署完畢并投入運(yùn)行，自頂向下的推動(dòng)將使得越來越多的域名接受 DNSSEC技術(shù)，隨著經(jīng)驗(yàn)的進(jìn)一步積累及相關(guān)技術(shù)的發(fā)展，其部署及運(yùn)行成本將會(huì)越來越低。

　　3 DNSSEC對(duì)我國的影響

　　DESSEC技術(shù)的應(yīng)用，為互聯(lián)網(wǎng)的運(yùn)行增加了一個(gè)新的安全手段，其對(duì)我國DNS安全性能的提升提供了新的技術(shù)與思路，DNS與DNSSEC并行為我國研究工作的開展提供了一定的時(shí)間，但是總體上來講，目前DNSSEC技術(shù)全球部署去的數(shù)量還不是很多，其實(shí)際的應(yīng)用效果還有待進(jìn)一步觀察與研究，而我國應(yīng)該為應(yīng)對(duì)其可能產(chǎn)生的影響做好準(zhǔn)備工作，積極加強(qiáng)技術(shù)的研究與相關(guān)標(biāo)準(zhǔn)的制定工作，積極開展各項(xiàng)應(yīng)用示范及試驗(yàn)，以便于積累更懂的管理經(jīng)驗(yàn)與運(yùn)營經(jīng)驗(yàn)，并要積極參與到相關(guān)的國際合作中，擴(kuò)大我國的話語權(quán)，并要積極完善我國的域名注冊(cè)管理機(jī)制，保證國內(nèi)域名的解析安全。

　　4 結(jié)語

　　DNSSEC技術(shù)對(duì)于提升域名系統(tǒng)的安全性具有積極的作用，本文就主要對(duì)其在工作原理及在我國的發(fā)展進(jìn)行了簡單分析，并簡單探討了其對(duì)我國互聯(lián)網(wǎng)發(fā)展的影響，對(duì)于相關(guān)的研究工作具有一定的參考價(jià)值。

　　參考文獻(xiàn)：

　　[1]崔淑田，劉越.DNSSEC技術(shù)發(fā)展及影響分析[J].電信科學(xué)，2012(9).

　　[2]朱剛.DNSSec技術(shù)發(fā)展及應(yīng)用展望[J].電信技術(shù)，2010(9).