由于DNS系統自身存在一些軟件漏洞，導致其安全性能難以得到有效的保障，并且容易受到DDoS、緩存中毒、域名劫持等的攻擊，很容易導致出現部分或者網絡的癱瘓，DNSSEC技術對于提升域名系統的安全性能具有非常重要的作用，本文就主要對其在我國的發展趨勢及影響進行簡單分析探討。

　　【摘 要】DNS是域名系統的簡稱，其是互聯網上非常關鍵的基礎設施之一，對于人們應用各種網絡都具有非常重要的作用，隨著其各項技術的發展，已經逐漸發展成為全球最大也是最為成功的分布式數據庫系統，DNSSEC能夠提供一種通過軟件炎癥DNS數據在互聯網傳輸過程中沒有被更改的方式，本文就主要對其工作原理、安全性能及在我國的發展進行簡單分析，并簡單探討其對我國的影響。

　　【關鍵詞】電子技術與軟件工程,DNSSEC技術,在我國的發展,影響探討

　　1 DNSSEC技術簡介及其所面臨的安全問題

　　1.1 DNSSEC概述

　　DNSSEC指的是DNS安全擴展協議，其是由IETF所開發的，能夠提供一種通過軟件來驗證DNS數據在互聯網傳輸過程中沒有被更改的方式，關于 DNSSEC技術的研究從上個世紀90年代就已經開始，期間提出的應用公鑰基礎設施在原有的DNS的基礎之上添加數字簽名的形式，對通過DNS體系內部信息能夠同時提供權限認證及信息完整性驗證，這能夠很好的解決DNS的中存在的安全性問題，其主要功能表現為：(1)能夠提供否定存在的驗證，為否定應答報文提供驗證信息;(2)能夠提供數據的完整性驗證，所有數據在傳輸的過程中沒有出現相關的更改;(3)能夠提供數據的來源驗證，DNS數據都來自于正確的域名服務器。

　　1.2 DNSSEC技術的工作原理

　　應用DNSSEC技術的DNS服務器首先基于公鑰加密系統產生一對密鑰，一個為公鑰一個為私鑰，其中公鑰是對外公布的，任何人都能夠使用，而私鑰則是由主服務器的管理機構或者是管理員負責保管的，對外是嚴格保密的，DNS服務器在實際的工作過程中，其主要是應用私鑰對返回給查詢方的記錄資源實施數字簽名，在此基礎上得到一個新的資源記錄，并能夠將經過簽名的資源記錄和沒有經過簽名的資源記錄作為應答報文一同發送至提出查詢請求的解析器或者客戶端，在資源記錄中還包括有數字簽名算法的代碼及公鑰，解析器或者客戶端在受到應答報文之后，能夠應用加密算法或者公鑰來對所收到的資源記錄進行加密運算，從而得到一個計算出來的新的資源記錄，并會將其與所收報文中的新的資源記錄進行對比，如果兩組相同，那么就通過了對簽名者的認真，并驗證了數據的完整性，也就是說應答報文中的資源記錄是真實的，如果二者不同，那么就說明所受到的資源記錄是假的。

　　將DNSSEC技術應用于DNS中，其每個區域都需要進行雙重的密鑰，其中第一對的密鑰主要是用來對區域中的DNS資源記錄事實簽名，將其稱之為區簽名密鑰，第二對密鑰主要是用來對包含密鑰的資源記錄進行簽名，將其稱之為密鑰簽名密鑰，在DNSSEC技術中，只有解析器對其所收到的公鑰信任，才能將其應用于解密工作中，以便于對數據的完整性進行驗證，在解析器的解密工作中，先應用密鑰簽名密鑰的公鑰來對包含密鑰的資源記錄實施驗證，再應用區域簽名密鑰公鑰來實施數據驗證，所以密鑰簽名密鑰公式是DNSSEC的關鍵入口，如果解析器對其應用的密鑰簽名密鑰充分的信任，那么就將該密鑰簽名密鑰稱作是解析器的信任錨，啟用DNSSEC的區會將其自身的密鑰簽名密鑰的公鑰交給其父區，由其父區應用自身的區簽名密鑰對其實施簽名，另一方面，父區也可以將自身的密鑰簽名密鑰的私鑰交給自己的父區，由其應用區簽名密鑰來實施簽名，將該過程中稱之為密鑰授權，一旦該過程向上達到信任錨的時候，就形成了信任鏈，如果一條信任鏈能夠一直通達到根區，就說明這條鏈上的各級區域都是可以信任的，可以應用根區的密鑰簽名密鑰對其實施簽名驗證，以便于保證數據來源的可靠性及數據本身的完整性，在理想情形下，如果所有區域中都部署有DNSSEC，那么解析器工作過程中只需要保存作為信任錨根區的密鑰簽名密鑰的公鑰就可以實現依次的驗證，從而保證其確實是從需要的DNS服務器中獲得了應答報文。

　　1.3 DNSSEC技術的安全性分析

　　DNSSEC中應用的公鑰基礎設施是基于非對稱密碼學來進行設計的，其公鑰加密文件只能應用私鑰來進行解密，而私鑰加密文件只能應用公鑰來進行解密，私鑰與公鑰是成對產生的，具有非對稱密碼技術的特點，其安全性與公鑰基礎設施所用的密鑰安全性具有直接的關系，其密鑰的位數越長，其安全強度越大，保密性越好。

　　2 DNSSEC的部署進程及發展趨勢

　　目前DNSSEC根區的部署已經逐漸完成，信任錨已經正式啟用，頂級域的部署進程逐漸加快，域名服務機構的技術門檻逐漸降低，這對于DNSSEC的部署具有一定的推動作用，DNS所具有的DNSSEC信任機制及樹形結構對于 DNSSEC部署的加快具有一定的推動作用，并且隨著根區及主要頂級域的DNSSEC部署完畢并投入運行，自頂向下的推動將使得越來越多的域名接受 DNSSEC技術，隨著經驗的進一步積累及相關技術的發展，其部署及運行成本將會越來越低。

　　3 DNSSEC對我國的影響

　　DESSEC技術的應用，為互聯網的運行增加了一個新的安全手段，其對我國DNS安全性能的提升提供了新的技術與思路，DNS與DNSSEC并行為我國研究工作的開展提供了一定的時間，但是總體上來講，目前DNSSEC技術全球部署去的數量還不是很多，其實際的應用效果還有待進一步觀察與研究，而我國應該為應對其可能產生的影響做好準備工作，積極加強技術的研究與相關標準的制定工作，積極開展各項應用示范及試驗，以便于積累更懂的管理經驗與運營經驗，并要積極參與到相關的國際合作中，擴大我國的話語權，并要積極完善我國的域名注冊管理機制，保證國內域名的解析安全。

　　4 結語

　　DNSSEC技術對于提升域名系統的安全性具有積極的作用，本文就主要對其在工作原理及在我國的發展進行了簡單分析，并簡單探討了其對我國互聯網發展的影響，對于相關的研究工作具有一定的參考價值。

　　參考文獻：

　　[1]崔淑田，劉越.DNSSEC技術發展及影響分析[J].電信科學，2012(9).

　　[2]朱剛.DNSSec技術發展及應用展望[J].電信技術，2010(9).