『尊米网』域名资讯平台

在本文中，我们将了解域名系统安全协议(DNSSEC)是怎样为域名系统(DNS)带来更高程度安全性的，以及为什么还没有在全球范围内对域名系统安全协议(DNSSEC)进行部署呢?

在前面的文章中，我曾经对域名系统(DNS)的工作原理以及关键网络/互联网服务中存在的固有安全漏洞进行过详细的分析说明。在本文中，我们将了解域名系统安全协议(DNSSEC)是怎样为域名系统(DNS)带来更高程度安全性的，以及为什么还没有在全球范围内对域名系统安全协议(DNSSEC)进行部署呢?在这之前，你可以做什么事情以便提高域名系统(DNS)在信息传输过程中的安全性呢?

虽然域名系统安全协议(DNSSEC)支持个人名称解析和区域传输模式，但在本文的介绍中我将侧重于前者。

域名系统安全协议(DNSSEC)的概况

域名系统安全协议(DNSSEC)(域名系统安全协议(DNSSEC))是一整套安全规则，用来确保域名系统(DNS)内部信息的安全，并在提供权限认证功能的同时保证信息的完整。它同时使用非对称与对称式的加密模式对资源记录(RR)和区域传输模式分别进行了处理。为了确保解析器得到信息的真实性，域名系统安全协议(DNSSEC)提供了以下方面的功能(来自Wikipedia.org网站)：

· 域名系统(DNS)数据的原生认证

· 数据完整性检测

· 拒绝存在认证

通过一套新的资源记录(RR)类型设置这些功能被加入到现有的域名系统(DNS)框架中，包括了(来自nominet.org.uk网站)：

· 域名系统(DNS)密钥(DNSKEY)包含了位于一个安全区中用来对数据进行数字签名的公共密钥。

·下一代SECure(NSEC)显示了各区之间的间隔。它们将被使用在域名系统安全协议(DNSSEC)认为属于“拒绝存在认证”的网络地址上。

·单笔资源记录(RRSIG)包含了整个区域内所有的资源记录，DNSKEY和NSEC也被包括在内。对于区域内的资源记录设置来说，单笔资源记录具有权威性存在着对应的关系。(资源记录设置，包含了所有相同名称、类型和时间的资源记录，同一个资源记录里所有的设置采用的数字签名是相同的)

指定签名(DS)的资源记录包含了关键子区域的哈希值。它们将被用来为域名系统安全协议(DNSSEC)完整保护的核心建立信任链。