DNSSEC的加入

　　DNSSEC（Domain Name System Security Extensions ，DNS 安全扩展）就是为了解决DNS 信息安全的问题，它采用非对称密钥的签名认证机制来认证消息的来源。从理论上来说，DNSSEC可以解决DNS信息安全问题，因为现有的运算能力无法在私钥更换之前破解私钥。DNSSEC给解析服务器提供了防止受骗的武器，即一种可以验证应答信息真实性和完整性的机制。“DNS 是一个巨大无比的网络地图，导引冲浪者的航线，而

　　DNSSEC则相当于灯塔，保证航行的安全。”相关人士表示。

　　DNSSEC 有其优点也有缺点，在推出的若干年中，存在不少争议。从1997年第一个有关DNSSEC的标准RFC2065发布，中间经过几次修订使其更加可用。直到现在DNSSEC 的标准仍在发展过程中。迫于DNS安全问题的日趋严重化，负责管理互联网的非赢利组织ICANN 设置了一个推动时间表。2010 年5 月5 日，互联网史上又一个重要的日子，全球13台DNS根服务器升级到支持DNSSEC 的版本。

　　目前，各个国家基本上都意识到DNSSEC对于互联网体系的重要性，也在一层一层往下部署。ICANN正在全面部署DNSSEC，它为用户DNS 查询的每一步增加一个数字签名验证，以防止第三方伪造DNS数据。

　　相关专家表示，作为一种“打补丁”的方式，DNSSEC不可能尽善尽美，但这是解决互联网域名欺骗目前来看最有效的方式。如果DNS能够普遍部署，将对互联网的安全体系产生重大的影响，因为有了DNSSEC的数字签名，把DNS作为密钥分发的PKI在很多应用场合已经具有了可行性。它不仅可以加强DNS本身的安全，还给其他的应用，特别是端到端的移动通信、IPv6网络环境的安全问题提供新的解决方案。

　　ICANN 或许是受了《指环王》的启发，它制定了一项计划——当DNSSEC崩溃，分布在全世界的7个人将拿着密钥，来到美国的一个秘密数据中心合作解开DNSSEC的根密钥，重建DNSSEC。7个人只需5位就能破解根密钥——这种加密方法被称为Shamir's Secret Sharing——密钥被分成几部分，每一部分都独一无二，其中几部分或全部联合起来就能解密密钥。

　　不过，DNSSEC的部署挑战很多。首先是部署难度大。DNSSEC的公钥发布要求有一个信任链。根被认为可信并签名，然后顶级域要把自身的公钥的hash值，也就是DS记录放到根。以此类推二级域要把DS记录放到顶级域。以COM.CN举例说明，首先根签名，然后CN区的运行者要把DS记录放到根，之后COM.CN要把DS记录放到CN区中。这样递归查询服务器逐级认证公钥的可信性，直到COM.CN区的公钥是可信的，然后递归查询服务器用这个公钥来验证COM.CN区的权威服务器的应答。可以看到，如果CN不签名即使COM.CN想签名也是徒劳的，因此在短时间内要想达到所有区都签名不现实。

　　其次，容量膨胀导致成本增加。由于采用签名认证机制，每个记录都要有一个签名记录RRSIG记录，根据统计计算区数据要膨胀10 倍（这个值和密钥长度相关），相应的通信量也要膨胀10倍。这样现有的服务器和网络都要升级。显然这样做成本很高。

　　第三，管理难度大。由于要定期签名，增加系统的复杂性，相应的管理成本增加了很多。需要购置新的管理软件。

　　总之，DNSSEC部署和实施是一个复杂，全球性的系统工程。DNSSEC的实施，非技术方面的问题大于技术方面，特别是对现有DNS体系的向下兼容性方面，是DNSSEC实施成败的关键。

　　当然，DNSSEC显然在解决一些问题的时候还带来了另外一些问题。如，DNSSEC 一个争议和担忧就是过强的流量放大效应，此效应将造成更大规模的DDoS攻击。不过这似乎也并非无药可医，相关人士表示，解决的可能方案是采用类似P2P的技术，以分布式和冗余性抗击DDoS攻击，也提高了DNSSEC的鲁棒性。