DNSSEC技術(shù)發(fā)展及影響分析

崔淑田，劉 越

（1.中國(guó)人民大學(xué)經(jīng)濟(jì)學(xué)院 北京100872；2.工業(yè)和信息化部電信研究院 北京100191）

1 DNS及其面臨的安全問題

1.1 DNS簡(jiǎn)介

域名系統(tǒng)（domain name system，DNS）是互聯(lián)網(wǎng)上最為重要的關(guān)鍵基礎(chǔ)設(shè)施之一，完成域名到IP地址的映射，具有較高的查詢和管理效率，方便人們使用各種網(wǎng)絡(luò)應(yīng)用[1]。DNS服務(wù)發(fā)展迅速，已經(jīng)成為全球最大也是最為成功的分布式數(shù)據(jù)庫(kù)系統(tǒng)。

域名體系采用反向樹形結(jié)構(gòu)，其頂層為根域名，在書寫域名時(shí)默認(rèn)為省略；根域名之下為頂級(jí)域名，頂級(jí)域包括國(guó)家和地區(qū)頂級(jí)域 （country code top level domain，ccTLD）和通用頂級(jí)域（generic top level domain，gTLD）；域名注冊(cè)人可在頂級(jí)域下注冊(cè)二級(jí)或二級(jí)以下的域名。將一條從葉到根的路徑上的各級(jí)名稱用“.”分隔連綴起來，就構(gòu)成一個(gè)獨(dú)一無二的完整域名，這棵逆向樹就稱為域名空間，域名則是存放在被稱為資源記錄（resource record，RR）的數(shù)據(jù)結(jié)構(gòu)中。

域名空間被分成若干個(gè)區(qū)（zone），每個(gè)區(qū)按其管轄范圍擁有域名空間相應(yīng)部分的完整信息。每個(gè)區(qū)必須指定一個(gè)主 （primary/master）DNS域名服務(wù)器來負(fù)責(zé)本區(qū)內(nèi)的域名解析，資源記錄就保存在域名服務(wù)器的zone文件中。輔助DNS服務(wù)器從具有該區(qū)授權(quán)的域名服務(wù)器 （通常是主DNS服務(wù)器）上獲得所在區(qū)的數(shù)據(jù)，并通過定期查詢主DNS服務(wù)器以保證所存儲(chǔ)的區(qū)數(shù)據(jù)為最新版本。主服務(wù)器和輔助服務(wù)器統(tǒng)稱為權(quán)威DNS服務(wù)器。

通過分層結(jié)構(gòu)和分級(jí)授權(quán)機(jī)制，DNS分布地DNS采用客戶機(jī)/服務(wù)器機(jī)制進(jìn)行域名解析的查詢和應(yīng)答。域名服務(wù)器作為服務(wù)器端，為客戶端完成DNS分布式數(shù)據(jù)的存儲(chǔ)和解析，包含各級(jí)權(quán)威服務(wù)器和緩存服務(wù)器。解析器位于客戶端，負(fù)責(zé)執(zhí)行解析請(qǐng)求，即接受來自客戶端應(yīng)用程序的DNS查詢請(qǐng)求，向域名服務(wù)器發(fā)送查詢請(qǐng)求，并負(fù)責(zé)接收域名服務(wù)器的返回信息，將結(jié)果發(fā)給客戶端的應(yīng)用程序。各級(jí)域名服務(wù)器和解析器構(gòu)成了DNS的基礎(chǔ)設(shè)施。

1.2 DNS的安全問題

DNS協(xié)議是至關(guān)重要的互聯(lián)網(wǎng)基礎(chǔ)協(xié)議，已被廣泛使用。但作為Internet的早期協(xié)議，DNS被設(shè)計(jì)為建立在互信模型基礎(chǔ)之上的開放體系結(jié)構(gòu)，缺乏適當(dāng)?shù)男畔⒈Ｗo(hù)和認(rèn)證機(jī)制。由于DNS對(duì)于互聯(lián)網(wǎng)的重要性以及自身的脆弱性，針對(duì)DNS的攻擊近年來呈現(xiàn)上升的趨勢(shì)，其安全性不容樂觀。DNS面臨的主要威脅、安全目標(biāo)和相應(yīng)的國(guó)際互聯(lián)網(wǎng)工程任務(wù)組（IETF）安全規(guī)范如表1所示[2]。

表1 DNS事務(wù)及其所面臨的威脅、安全目標(biāo)和IETF安全規(guī)范

2 DNSSEC技術(shù)及其安全性能分析

2.1 DNSSEC概述

DNS安全擴(kuò)展（domain name system security extension，DNSSEC）協(xié)議是IETF開發(fā)的，提供了一種通過軟件來驗(yàn)證DNS數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中未被更改的方式。DNSSEC的研究始于20世紀(jì)90年代，1999年IETF發(fā)布RFC 2535[3]，提出了以公鑰密碼機(jī)制為基礎(chǔ)的DNSSEC實(shí)施解決方案。DNSSEC協(xié)議通過使用公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）在原有的DNS基礎(chǔ)上添加數(shù)字簽名（digital signature），對(duì)通過DNS體系內(nèi)部的信息同時(shí)提供權(quán)限認(rèn)證和信息完整性驗(yàn)證，能夠部分地解決DNS存在的安全問題。

DNSSEC的主要功能有3項(xiàng)：

·提供數(shù)據(jù)來源驗(yàn)證——DNS數(shù)據(jù)來自正確的域名服務(wù)器；

·提供數(shù)據(jù)完整性驗(yàn)證——數(shù)據(jù)在傳輸過程中沒有任何更改；

·提供否定存在驗(yàn)證——對(duì)否定應(yīng)答報(bào)文提供驗(yàn)證信息。

基于DNSSEC的域名解析過程，服務(wù)器端將把簽名信息和查詢到的DNS原始信息一起發(fā)送給客戶端。由于簽名信息無法偽造，客戶端通過驗(yàn)證應(yīng)答報(bào)文中的簽名信息即可判斷接收到的信息是否安全。

2.2 DNSSEC的工作原理

采用DNSSEC機(jī)制的DNS服務(wù)器 （一般是區(qū)內(nèi)的主服務(wù)器）首先基于公鑰加密系統(tǒng)產(chǎn)生一對(duì)密鑰，其中一個(gè)為公鑰，另一個(gè)為私鑰。公鑰對(duì)外進(jìn)行公開發(fā)布，任何人均可獲得并使用；私鑰由主服務(wù)器的管理員或管理機(jī)構(gòu)負(fù)責(zé)保管，嚴(yán)格對(duì)外保密。

DNS服務(wù)器用私鑰對(duì)返回給查詢方的資源記錄（RR）進(jìn)行數(shù)字簽名得到一個(gè)新的資源記錄（RRSIG），并將經(jīng)過簽名的RRSIG與未經(jīng)簽名的RR作為應(yīng)答報(bào)文一起發(fā)送給提出查詢請(qǐng)求的客戶端或解析器。RRSIG中還包含有公鑰或數(shù)字簽名算法的代碼。收到應(yīng)答報(bào)文的客戶端或解析器可以利用公鑰和加密算法對(duì)收到的RR進(jìn)行加密運(yùn)算，可以得到一個(gè)計(jì)算出來的RRSIG，將其與所收到報(bào)文中的RRSIG進(jìn)行比對(duì)，如果二者相同，則通過了對(duì)簽名者的認(rèn)證并驗(yàn)證了數(shù)據(jù)的完整性，即應(yīng)答報(bào)文中的RR是真的，否則就說明收到的RR是假的。

在DNSSEC的實(shí)際運(yùn)行中，每個(gè)區(qū)需要雙重密鑰[4]，第一對(duì)密鑰用來對(duì)區(qū)內(nèi)的DNS資源記錄進(jìn)行簽名，稱為區(qū)簽名密鑰（ZSK）；第二對(duì)密鑰用來對(duì)包含密鑰（如ZSK）的資源記錄（DNSKEY）進(jìn)行簽名，稱為密鑰簽名密鑰（KSK）。在DNSSEC中，解析器必須信任所收到的公鑰，才能用其進(jìn)行解密從而驗(yàn)證數(shù)據(jù)的完整性。解析器首先用KSK公鑰驗(yàn)證DNSKEY，然后用ZSK公鑰來驗(yàn)證數(shù)據(jù)。因此，KSK公鑰成為DNSSEC的關(guān)鍵入口。如果解析器信任它所使用的KSK公鑰，則這個(gè)KSK公鑰就稱為這個(gè)解析器的信任錨（trust anchor）。啟用DNSSEC的區(qū)（或稱簽名區(qū)）將自己的KSK公鑰交給父區(qū)，由父區(qū)用自己的ZSK私鑰對(duì)其進(jìn)行簽名；同樣地，父區(qū)也可以將自己的KSK私鑰交由自己的父區(qū)，由其用ZSK私鑰進(jìn)行簽名。這樣的過程稱為安全授權(quán)，當(dāng)這個(gè)過程向上到達(dá)信任錨的時(shí)候，就形成了一條信任鏈（trust chain）。由于DNS所具有的層級(jí)結(jié)構(gòu)，根區(qū)位于最頂端，且具有唯一性，因此根區(qū)的KSK公鑰就自然而然地成為所有區(qū)的信任錨。這樣，當(dāng)一條信任鏈一直通達(dá)根區(qū)時(shí)，表明這條鏈上的各級(jí)區(qū)域都是可以信任的，能夠用根區(qū)的KSK公鑰對(duì)其進(jìn)行簽名驗(yàn)證從而確保數(shù)據(jù)來源的可靠性和數(shù)據(jù)本身的完整性。在理想情況下，如果所有的區(qū)都部署了DNSSEC，則解析器只需保存作為信任錨的根區(qū)KSK公鑰就可以依次進(jìn)行驗(yàn)證，確保自己確實(shí)是從需要的DNS服務(wù)器那里得到了應(yīng)答報(bào)文。

為了保證和查詢相應(yīng)的資源記錄是確實(shí)不存在，而不是在傳輸過程中被刪除，DNSSEC機(jī)制提供了一個(gè)驗(yàn)證資源記錄不存在的方法。它生成一個(gè)特殊類型的資源記錄：NSEC（nert secure）。NSEC記錄中包含了域區(qū)文件中它的所有者相鄰的下一個(gè)記錄以及它的所有者所擁有的資源記錄類型。這個(gè)特殊的資源記錄類型會(huì)和它自身的簽名一起被發(fā)送到查詢的發(fā)起者。通過驗(yàn)證這個(gè)簽名，一個(gè)啟用了DNSSEC的域名服務(wù)器就可以檢測(cè)到這個(gè)域區(qū)中存在哪些域名以及此域名中存在哪些資源記錄類型。

為了保護(hù)資源記錄中的通配符不被錯(cuò)誤的擴(kuò)展，DNSSEC會(huì)對(duì)比已驗(yàn)證的通配符記錄和NSEC記錄從而來驗(yàn)證名稱服務(wù)器在生成應(yīng)答時(shí)的通配符擴(kuò)展是正確的。

2.3 DNSSEC的安全性分析

DNSSEC所使用的PKI是基于非對(duì)稱密碼學(xué)設(shè)計(jì)的，其密鑰具有這樣的性質(zhì)：用公鑰加密的文件只能用私鑰解密，而私鑰加密的文件只能用公鑰解密。公鑰和私鑰成對(duì)產(chǎn)生，相互具有唯一性；而且由于非對(duì)稱密碼的技術(shù)特點(diǎn)，加密簡(jiǎn)單方便，解密則只能通過最為原始的窮舉法對(duì)密鑰（私鑰）進(jìn)行猜測(cè)，而不能在已知公鑰和加密結(jié)果 （在DNSSEC中是數(shù)據(jù)經(jīng)過ZSK加密后得到的RRSIG和密鑰經(jīng)過KSK簽名后得到的DNSKEY）的前提下通過推導(dǎo)得出私鑰。

DNSSEC的安全性取決于PKI所用密鑰的安全性。由于PKI所具有的密碼學(xué)性質(zhì)，PKI的保密性 （或稱安全強(qiáng)度）取決于密鑰（一個(gè)二進(jìn)制序列）的位數(shù)，位數(shù)越長(zhǎng)，意味著破解所花費(fèi)的時(shí)間或者消耗的計(jì)算資源越多，因而安全強(qiáng)度越大，保密性越好。

根據(jù)有關(guān)信息安全標(biāo)準(zhǔn)的建議，DNSSEC選擇了RSA/SHA-n這一最為常用的PKI算法[4]，即首先將要傳送的數(shù)據(jù)通過SHA-n算法進(jìn)行安全散列變換，然后利用RSA算法生成的公鑰進(jìn)行數(shù)字簽名。隨著時(shí)間的推移，計(jì)算能力不斷提高，為了防止被破解，密鑰的位數(shù)將逐漸加長(zhǎng)（如表2所示）。

表2 DNSSEC所用的PKI算法及安全強(qiáng)度

2.4 部署DNSSEC的主要影響

DNSSEC提供了端到端的完整性和真實(shí)性簽名驗(yàn)證，能夠較為有效地防止DNS欺騙，大大增強(qiáng)了DNS解析過程的安全性，是目前比較完善的DNS安全解決方案。從當(dāng)前國(guó)際上的發(fā)展情況來看，DNSSEC作為保障域名體系安全的一項(xiàng)技術(shù)正在獲得越來越廣泛的認(rèn)可和應(yīng)用，這有助于增強(qiáng)DNS的安全性，減少政府、商業(yè)機(jī)構(gòu)和廣大用戶所受到的網(wǎng)絡(luò)安全威脅，促進(jìn)電子政務(wù)、電子商務(wù)和各類網(wǎng)絡(luò)應(yīng)用的發(fā)展。

但同時(shí)也需要看到，由于DNSSEC的信任機(jī)制，一旦全球DNSSEC部署完畢，根區(qū)的信任錨就成為DNS安全解析的入口或起點(diǎn)。根據(jù)與美國(guó)政府簽署的有關(guān)合同，注冊(cè)在美國(guó)的互聯(lián)網(wǎng)域名地址分配機(jī)構(gòu)ICANN和VeriSign公司參與根區(qū)DNSSEC部署進(jìn)程并負(fù)責(zé)根區(qū)密鑰的管理。這意味著已經(jīng)掌握了DNS根區(qū)管理權(quán)和絕大多數(shù)根域名服務(wù)器的美國(guó)，借提高DNS安全的名義，通過DNSSEC進(jìn)一步增強(qiáng)其對(duì)互聯(lián)網(wǎng)關(guān)鍵資源管理權(quán)的控制，將繼續(xù)保持其優(yōu)勢(shì)地位。根區(qū)DNSSEC部署及管理架構(gòu)如圖1所示。

除去政治和安全目標(biāo)外，部署DNSSEC需要利用先進(jìn)密碼技術(shù)并進(jìn)行大量的軟硬件升級(jí)，將有利于掌握核心技術(shù)的國(guó)家與企業(yè)擴(kuò)大其在網(wǎng)絡(luò)和信息安全的影響力，繼續(xù)占據(jù)技術(shù)和市場(chǎng)的領(lǐng)先地位。

3 DNSSEC的部署進(jìn)程和發(fā)展趨勢(shì)

3.1 DNSSEC部署工作近年來推進(jìn)較快

1999年RFC 2535發(fā)布后的近10年間，DNSSEC受限于技術(shù)、成本、網(wǎng)絡(luò)性能等多方面因素的影響，一直未得到各方面的充分重視，部署進(jìn)展緩慢。2008年Kaminsky漏洞的發(fā)布轟動(dòng)了業(yè)界，而利用這一漏洞所發(fā)起的DNS緩存中毒攻擊數(shù)量及其造成的損失近年來也在大幅度上升。DNSSEC作為解決這一漏洞的主要辦法因而受到了廣泛重視，開始進(jìn)入大規(guī)模部署階段，且呈現(xiàn)加速之勢(shì)。

（1）根區(qū)DNSSEC部署完成，信任錨正式啟用

2010年6月16日，ICANN在位于美國(guó)東部弗吉尼亞州卡爾佩帕（Culpeper）的一個(gè)數(shù)據(jù)中心舉行根區(qū)密鑰生成儀式，生成并存儲(chǔ)了第一個(gè)將用于互聯(lián)網(wǎng)根區(qū)安全的密鑰（KSK）。7月12日，ICANN在位于美國(guó)西部加利福尼亞州的埃爾塞貢多（El Segundo）舉行第二次密鑰生成儀式。7月15日，ICANN發(fā)布根區(qū)的信任錨（KSK公鑰），DNS根服務(wù)器運(yùn)營(yíng)商將可以正式對(duì)根區(qū)利用實(shí)際密鑰進(jìn)行簽名，這意味著簽名根區(qū)（即應(yīng)用DNSSEC的根區(qū)）已正式啟動(dòng)。根據(jù)ICANN的計(jì)劃，根區(qū)密鑰將每年生成4次，并且分別在位于美國(guó)東部和西部的兩個(gè)中心進(jìn)行，互為備份。此外，ICANN還設(shè)置了密鑰生成系統(tǒng)的備份機(jī)制，可以在兩個(gè)中心都發(fā)生問題時(shí)進(jìn)行系統(tǒng)恢復(fù)，重新生成密鑰。

（2）頂級(jí)域部署進(jìn)程加快，DNSSEC獲主要國(guó)家和地區(qū)認(rèn)可

在問卷中怎樣選擇護(hù)士這個(gè)職業(yè)的調(diào)查，其結(jié)果顯示有57.1%是通過父母選擇的。因此推測(cè)可能是由于一年級(jí)的學(xué)生剛?cè)胄?duì)于護(hù)士這個(gè)職業(yè)還比較懵懂，認(rèn)識(shí)比較模糊。而通過在校一年級(jí)二年級(jí)三年級(jí)的接觸和學(xué)習(xí)，逐步對(duì)護(hù)理行業(yè)有更清晰的認(rèn)識(shí)和理解，所以其整個(gè)認(rèn)同度是逐漸增加的。但又發(fā)現(xiàn)四年級(jí)的同學(xué)認(rèn)同度又回歸到二年級(jí)的水平，可能是由于其鄰近實(shí)習(xí)有實(shí)習(xí)焦慮或其他相關(guān)因素的影響。

根據(jù) ICANN的統(tǒng)計(jì)[5]，截至 2012年7月 17日，互聯(lián)網(wǎng)根區(qū)記錄中共有314個(gè)頂級(jí)域 （其中包括11個(gè)多語種測(cè)試頂級(jí)域）。已經(jīng)完成DNSSEC部署的頂級(jí)域占頂級(jí)域總數(shù)的30.9%（不包含多語種測(cè)試頂級(jí)域時(shí)，比例為28.4%）。在國(guó)家和地區(qū)頂級(jí)域方面，249個(gè)ASCⅡ碼ccTLD中，已經(jīng)正式運(yùn)行DNSSEC的達(dá)到63個(gè)，部署但尚未完成根簽的有6個(gè)，不僅西方主要發(fā)達(dá)國(guó)家投入運(yùn)行，而且巴西、印度等發(fā)展中國(guó)家也已加入部署行列；32個(gè)多語種國(guó)家和地區(qū)頂級(jí)域中，已完成DNSSEC部署的僅有5個(gè)，其中中國(guó)臺(tái)灣的“.臺(tái)灣”和“.臺(tái)灣”兩頂級(jí)域以及韓國(guó)的“. ”頂級(jí)域已正式運(yùn)行，斯里蘭卡的兩個(gè)多語種頂級(jí)域尚未完成根簽。在通用頂級(jí)域方面，包括“.COM/.NET/.ORG/.INFO/.BIZ”等五大頂級(jí)域在內(nèi)的12個(gè)通用頂級(jí)域已經(jīng)正式運(yùn)行DNSSEC，在全部22個(gè)通用頂級(jí)域中超過半數(shù)。

（3）域名服務(wù)機(jī)構(gòu)著手降低技術(shù)門檻，推動(dòng)DNSSEC部署

為進(jìn)一步加快DNSSEC的部署速度，域名注冊(cè)管理機(jī)構(gòu)和服務(wù)機(jī)構(gòu)也在想盡辦法降低用戶使用DNSSEC技術(shù)的門檻。如“.EU”推出了實(shí)施自動(dòng)簽名的簡(jiǎn)化DNSSEC簽名服務(wù)。通過該項(xiàng)服務(wù)，域名注冊(cè)服務(wù)機(jī)構(gòu)可按需求選擇需要DNSSEC簽名的域名，后臺(tái)系統(tǒng)將自動(dòng)完成DNSSEC簽名服務(wù)。一些擁有部署和運(yùn)行經(jīng)驗(yàn)的域名服務(wù)機(jī)構(gòu)紛紛推出DNSSEC解決方案和技術(shù)服務(wù)，推動(dòng)二級(jí)和二級(jí)以下域名的DNSSEC部署進(jìn)程。在各級(jí)各類域名服務(wù)機(jī)構(gòu)的推動(dòng)下，進(jìn)入2010年以來，部署DNSSEC的區(qū)的數(shù)量出現(xiàn)了快速增長(zhǎng)，幾乎是呈直線上升。截至2012年7月17日[6]，全球已有37 191個(gè)區(qū)能運(yùn)行DNSSEC，約為2009年底的6.2倍。捷克國(guó)家頂級(jí)域“.CZ”是DNSSEC部署的成功典范，目前約有36.5%（即34.8萬）的 “.CZ”域名啟用了DNSSEC服務(wù)，2011年這一數(shù)字僅為17%；預(yù)計(jì)2012年底使用DNSSEC服務(wù)的“.CZ”域名數(shù)量達(dá)到40萬個(gè)。

3.2 DNSSEC部署范圍有望持續(xù)擴(kuò)大

（1）技術(shù)特點(diǎn)和運(yùn)行經(jīng)驗(yàn)積累有助于加快DNSSEC部署

由于DNS所具有的樹形結(jié)構(gòu)和DNSSEC的信任機(jī)制，任何部署了DNSSEC的區(qū)只要使用根區(qū)KSK公鑰進(jìn)行安全認(rèn)證就可以提升DNS解析的安全性，且DNSSEC已被證明是解決Kaminsky漏洞的長(zhǎng)期有效方法，因此，隨著根區(qū)和主要頂級(jí)域的DNSSEC部署完畢并投入運(yùn)行，自頂向下的推動(dòng)將使越來越多的域名接受DNSSEC。而且BIND等主流DNS解析軟件均支持DNSSEC，對(duì)用戶負(fù)擔(dān)不重?，F(xiàn)有解決方案在實(shí)踐中不斷得到檢驗(yàn)和完善，經(jīng)驗(yàn)的積累將進(jìn)一步降低部署和運(yùn)行成本。此外，域名服務(wù)機(jī)構(gòu)出于經(jīng)濟(jì)利益的考慮也將推動(dòng)域名持有人接受DNSSEC服務(wù)。近兩年部署DNSSEC的區(qū)的數(shù)量大幅快速增長(zhǎng)也顯示出這一進(jìn)程正在加速之中。

（2）新通用頂級(jí)域計(jì)劃將大力推動(dòng)頂級(jí)域DNSSEC部署

ICANN于2011年6月20日正式啟動(dòng)新通用頂級(jí)域計(jì)劃，并于2012年1月12日—5月31日接受首輪新通用頂級(jí)域申請(qǐng)。6月13日，ICANN公布了新通用頂級(jí)域的申請(qǐng)情況，共有1 154家機(jī)構(gòu)提交了1 930份新通用頂級(jí)域申請(qǐng)。根據(jù)ICANN要求，新通用頂級(jí)域申請(qǐng)機(jī)構(gòu)應(yīng)具備提供DNSSEC服務(wù)相關(guān)的技術(shù)能力，在頂級(jí)域授權(quán)前必須通過ICANN有關(guān)DNSSEC的系統(tǒng)實(shí)測(cè)工作，并向ICANN提交測(cè)試中所用的有效密鑰裝置的說明文檔以及頂級(jí)域的DNSSEC政策聲明（DPS）。預(yù)計(jì)到2015年，將完成包括本輪次申請(qǐng)的新通用頂級(jí)域在內(nèi)的全球絕大部分通用頂級(jí)域的DNSSEC的部署工作。在此帶動(dòng)下，全球頂級(jí)域DNSSEC部署速度將提速。

4 DNSSEC的問題與不足

DNSSEC能夠較為有效地防止DNS欺騙，但實(shí)施DNSSEC尚存在一些問題[7,8]。

（1）實(shí)施DNSSEC是以降低DNS查詢和響應(yīng)時(shí)間性能為代價(jià)的

數(shù)據(jù)分組比原來要大得多。由于DNSSEC在DNS報(bào)文中添加了數(shù)字簽名，并且密鑰的長(zhǎng)度會(huì)隨著時(shí)間不斷增加，因此報(bào)文長(zhǎng)度會(huì)大大增加?？紤]到DNS查詢/應(yīng)答是極為常用的互聯(lián)網(wǎng)應(yīng)用，這就會(huì)大大加重網(wǎng)絡(luò)的額外開銷，從而對(duì)網(wǎng)絡(luò)服務(wù)的性能產(chǎn)生影響。

（2）實(shí)施DNSSEC增加了DNS運(yùn)營(yíng)和使用的負(fù)擔(dān)

一方面，DNSSEC所需密鑰的產(chǎn)生和校驗(yàn)需要CPU計(jì)算能力作保障，但根據(jù)了解，2003年以前生產(chǎn)的網(wǎng)絡(luò)設(shè)備有不少不支持DNSSEC，這意味著大量DNS運(yùn)營(yíng)商都需要升級(jí)其網(wǎng)絡(luò)設(shè)備，提高DNS服務(wù)器配置（如將單處理器的DNS服務(wù)器換成多處理器的DNSSEC服務(wù)器）。同時(shí)，用戶需要更換新版軟件以改變目前DNS解析軟件僅支持手動(dòng)對(duì)DNSSEC進(jìn)行命令行操作控制的狀況。另一方面，簽名和密鑰占用的磁盤空間和存儲(chǔ)器（RAM）容量將達(dá)到它們所表示數(shù)據(jù)所占容量的10倍。因此數(shù)據(jù)庫(kù)和管理系統(tǒng)也不得不進(jìn)行相應(yīng)的升級(jí)和擴(kuò)容。

（3）DNSSEC不能提供安全有效的密鑰分發(fā)通道

DNSSEC未將通信信道的安全納入考慮之中，目前只有借助于安全套接層（secure sockets layer，SSL）及傳輸層安全（transport layer security，TLS）等傳輸協(xié)議進(jìn)行密鑰分發(fā)，存在一定的安全隱患。而密鑰（私鑰）一旦丟失或被破解，則可能帶來嚴(yán)重的后果。

（4）DNSSEC 會(huì)造成“安全孤島”現(xiàn)象

由于DNSSEC不可能一夜之間部署到整個(gè)互聯(lián)網(wǎng)，而只能逐步進(jìn)行部署，因此理想情況下的信任鏈尚不能有效建立，DNS與DNSSEC仍將并行使用，那些先部署了DNSSEC的區(qū)則形成一個(gè)個(gè)的 “孤島”。這會(huì)造成兩種情況：第一，不安全的未簽名區(qū)與簽名區(qū)進(jìn)行通信時(shí)會(huì)將錯(cuò)誤信息混入其中；第二，嚴(yán)格執(zhí)行DNSSEC的區(qū)會(huì)在阻止錯(cuò)誤信息的同時(shí)將大量未應(yīng)用DNSSEC所需的信息拒之門外。

DNS所面臨的安全威脅遠(yuǎn)不止于域名欺騙，即使部署了DNSSEC也絕不是在DNS安全方面可以高枕無憂了。對(duì)于普遍存在且造成較大危害的（分布式）拒絕服務(wù)攻擊（DoS/DDoS）、對(duì)注冊(cè)服務(wù)商的域名劫持、釣魚網(wǎng)站等一系列DNS安全問題，DNSSEC并未能提供有效解決方案。而且，由于DNSSEC的報(bào)文長(zhǎng)度增加和解析過程繁復(fù)，在面臨DDoS攻擊時(shí)，DNS服務(wù)器承受的負(fù)擔(dān)更為嚴(yán)重，抵抗攻擊所需的資源要成倍增加。

5 DNSSEC對(duì)我國(guó)的影響及應(yīng)對(duì)策略建議

DNSSEC為互聯(lián)網(wǎng)增加了一個(gè)新的安全手段，對(duì)我國(guó)提升DNS安全性提供了新的技術(shù)和思路，DNS與DNSSEC并行也為我國(guó)開展研究工作留下了一定時(shí)間。但是目前全球部署DNSSEC的區(qū)的數(shù)量仍然較少，其實(shí)際效果究竟如何仍有待進(jìn)一步觀察。特別是美國(guó)主導(dǎo)DNSSEC部署進(jìn)程將有助于強(qiáng)化其對(duì)互聯(lián)網(wǎng)的單邊控制，我國(guó)應(yīng)對(duì)其可能產(chǎn)生的影響提前做好準(zhǔn)備。

（1）加強(qiáng)技術(shù)研究和標(biāo)準(zhǔn)制定工作，積極開展試驗(yàn)和應(yīng)用示范，積累運(yùn)營(yíng)和管理經(jīng)驗(yàn)

我國(guó)作為互聯(lián)網(wǎng)大國(guó)，境內(nèi)域名和域名服務(wù)器數(shù)量都以百萬計(jì)，如部署DNSSEC將面臨大規(guī)模性能升級(jí)的技術(shù)與管理困難，在技術(shù)與產(chǎn)業(yè)實(shí)力較弱的情況下更多要依賴進(jìn)口，支出巨大。因此，主管部門應(yīng)組織有關(guān)單位，積極加大對(duì)包括DNSSEC在內(nèi)的DNS安全技術(shù)的研究力度和擁有自主知識(shí)產(chǎn)權(quán)的DNS軟件研發(fā)工作，設(shè)立試驗(yàn)環(huán)境并開展應(yīng)用示范，盡早識(shí)別與解決可能出現(xiàn)的各種問題，為平滑升級(jí)做好技術(shù)準(zhǔn)備；針對(duì)部署DNSSEC涉及的密鑰產(chǎn)生與管理、密鑰分發(fā)流程、過渡機(jī)制與互聯(lián)互通等問題，推進(jìn)標(biāo)準(zhǔn)制定工作，用于指導(dǎo)和規(guī)范相關(guān)進(jìn)程，降低部署難度與成本；對(duì)我國(guó)自主建設(shè)與自行管理的國(guó)家頂級(jí)域和未來將大量出現(xiàn)的新通用頂級(jí)域的DNSSEC部署方案進(jìn)行充分研究和論證，在確保我國(guó)域名系統(tǒng)安全穩(wěn)定運(yùn)行的條件下對(duì)信任錨的可用性以及避免部署后成為“孤島”等進(jìn)行全盤考慮；針對(duì)下一代互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等產(chǎn)業(yè)的發(fā)展可能對(duì)域名系統(tǒng)提出的挑戰(zhàn)加強(qiáng)自主研發(fā)力度，爭(zhēng)取提供高效、安全的域名技術(shù)，支撐新興產(chǎn)業(yè)的健康發(fā)展。

（2）積極參與國(guó)際合作，擴(kuò)大話語權(quán)

DNSSEC以根區(qū)密鑰作為全球域名解析安全的信任錨，這與美國(guó)單邊控制的國(guó)際互聯(lián)網(wǎng)治理框架相關(guān)。我國(guó)應(yīng)在國(guó)際互聯(lián)網(wǎng)治理的框架下統(tǒng)籌規(guī)劃，聯(lián)合有關(guān)國(guó)家，積極推動(dòng)建立合理的國(guó)際互聯(lián)網(wǎng)治理秩序，遏制少數(shù)國(guó)家對(duì)互聯(lián)網(wǎng)關(guān)鍵資源的壟斷，爭(zhēng)取建立多邊的、民主的全球互聯(lián)網(wǎng)資源管理機(jī)制。同時(shí)，組織有關(guān)機(jī)構(gòu)和企業(yè)以適當(dāng)方式參與國(guó)際上DNS安全標(biāo)準(zhǔn)制定和軟件開發(fā)以及密碼研究工作，及時(shí)了解國(guó)際DNSSEC的進(jìn)程與部署經(jīng)驗(yàn)，通過多方合作，增強(qiáng)我國(guó)在網(wǎng)絡(luò)與信息安全領(lǐng)域的硬實(shí)力與軟實(shí)力。

（3）完善域名注冊(cè)管理機(jī)制，保障國(guó)內(nèi)域名解析安全

DNSSEC針對(duì)DNS欺騙問題提出了解決方案，對(duì)增強(qiáng)互聯(lián)網(wǎng)的域名安全有一定的積極作用，但是仍不能解決分布式拒絕服務(wù)攻擊（DDoS）、注冊(cè)端出現(xiàn)的域名失竊、域名劫持、釣魚網(wǎng)站等大量安全問題。因此，有必要進(jìn)一步健全完善互聯(lián)網(wǎng)域名管理制度，堅(jiān)持推行域名實(shí)名制注冊(cè)，完善域名注冊(cè)信息審核和備案流程；提高域名服務(wù)機(jī)構(gòu)的管理水平和責(zé)任意識(shí)并加強(qiáng)監(jiān)督檢查，及時(shí)查處域名相關(guān)的違法犯罪行為；加強(qiáng)網(wǎng)絡(luò)和信息安全的宣傳教育活動(dòng)，向公眾普及相關(guān)知識(shí)，提高用戶的自我保護(hù)意識(shí)和能力，切實(shí)保障公眾注冊(cè)域名所應(yīng)享有的正當(dāng)權(quán)益和國(guó)內(nèi)的域名解析安全。

1 毛偉.中國(guó)互聯(lián)網(wǎng)資源標(biāo)識(shí)和尋址技術(shù)研究.中國(guó)科學(xué)院計(jì)算技術(shù)研究所博士學(xué)位論文，2006

2 Chandramouli R,Rose S.Secure Domain Name System(DNS)Deployment Guide.NIST Special Publication(800-81r1),2010

3 Eastlake D.Domain Name System Security Extensions.RFC 2535,March 1999

4 ChandramouliR,Rose S.Open issues in secure DNS deployment.IEEE Security and Privacy,2009,7(5):29～35

5 TLD DNSSEC report. http://stats.research.icann.org/dns/tld_report/，2012

6 http://secspider.cs.ucla.edu/，2012

7 李馥娟.DNSSEC技術(shù)及應(yīng)用分析.計(jì)算機(jī)安全，2009(10)

8 蔡晨，明子鑒.DNSSEC技術(shù)介紹與分析.現(xiàn)代計(jì)算機(jī)（專業(yè)版），2010(8)