DNSSEC的工作原理和作用-天威诚信

流星星

DNSSEC的工作原理和作用-天威诚信
. U' i  r' P3 a7 _/ D( r
8 y5 B* R$ A2 c" N: q0 J% ?
    1、什么是DNSSEC
! t- R2 |+ `) E0 C
    DNSSEC是“Domain Name System Security Extensions”的缩写，代表域名系统安全扩展，允许域名所有者对DNS记录进行数字签名，签名DNS记录的私有签名密钥通常仅由合法域名所有者持有，因此可防止未经授权的第三方修改DNS条目。

  d3 D& C3 z9 n; P1 o8 T5 K, f    DNSSEC是由IETF提供的一系列DNS安全认证的机制，诞生于1997年，已经列入互联网标准化文档（参考RFC 4033、RFC 4034、RFC 4035）
6 _+ |& |0 \* D8 K: K# \5 O
    2、DNSSEC的作用是什么

7 ?6 L" g* z1 J6 Y    DNSSEC 通过使用公钥加密来为授权区域数据进行数字签名，让互联网社区免受伪造 DNS 数据的危害。DNSSEC 验证能够向用户确保数据来自规定的来源，并且在传输过程中未遭修改。DNSSEC 还可以证明某个域名不存在。
% P9 w+ m, n; p) @" G( B% V
    尽管 DNSSEC 增强了 DNS 的安全性，但也不是一种全面的解决方案。它不能抵御分布式拒绝服务 (DDoS) 攻击，不能确保信息交换的机密性，不能加密网站数据以及防止 IP 地址欺骗和网络钓鱼。要使互联网更加安全，其他层次的防护也至关重要，例如 DDoS 攻击缓解、安全情报、安全套接字层 (SSL) 加密和站点验证，以及双重验证。这些机制应当与 DNSSEC 组合使用。

% W% @) e, k# Q+ B1 q    3、DNSSEC的工作原理是什么？

    数字证书管理中心据悉，在 DNSSEC 中，每个区域都有一个公钥/私钥对。区域公钥使用 DNS 发布，区域私钥通过离线方式安全、妥善的保管。区域私钥会为该区域中的个人 DNS 数据签名，同时创建同样由 DNS 发布的数字签名。DNSSEC 采用严格的信任模型，这条信任链贯穿了父区域和子区域。高等级（父）区域会为低等级（子）区域签署或担保公钥。这些区域的授权名称服务器可由注册商、ISP、web 托管公司或网站运营商（注册人）自己管理。

    当最终用户想访问网站时，用户操作系统中的根解析器会向 ISP 处的递归名称服务器请求域名记录。服务器请求该记录后，还会请求与该区域对应的 DNSSEC 密钥。该密钥允许服务器验证其接收的信息是否与授权名称服务器上的记录一致。

    数字证书中心认为如果递归名称服务器确定地址记录已被授权名称服务器发送并且在传输过程中未遭修改，递归名称服务器就会解析该域名，之后用户就可以访问该网站。上述过程称为验证。如果地址记录被更改或者不是来自规定的来源，那么递归名称服务器就不会允许用户访问欺诈地址。DNSSEC 还可以证明某个域名不存在。

0 z% U- F$ }: n( T/ p