第46次ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構）大會于2013年4月7日至11日在北京召開，來自全球各地的逾兩千位互聯(lián)網(wǎng)精英就互聯(lián)網(wǎng)相關議題進行了深入探討，其中DNSSEC（The Domain Name System Security Extensions，域名系統(tǒng)安全擴展）是其中的一項重點研討議題。DNSSEC研討會的時長超過六個小時，共有幾十位全球DNSSEC專家就DNSSEC的發(fā)展現(xiàn)狀及最新熱點進行了研討，由此可見全球互聯(lián)網(wǎng)界對于域名安全問題的重視。

首先來簡要回顧一下互聯(lián)網(wǎng)域名安全問題的由來。在互聯(lián)網(wǎng)發(fā)展的早期，互聯(lián)網(wǎng)的先驅者為了方便互聯(lián)網(wǎng)用戶上網(wǎng)而設計了一個相對簡單的域名系統(tǒng)（Domain Name System，DNS），該系統(tǒng)實現(xiàn)了易于識記的字符串（即域名）與不便于記憶的IP地址（一組十進制數(shù)字）之間的映射，極大地方便了互聯(lián)網(wǎng)用戶訪問各類以域名作為標識的網(wǎng)絡資源（如網(wǎng)站等）。早期的域名解析系統(tǒng)沒有采取任何安全措施，它在一個可信的、純凈的環(huán)境里可以運行得很好，但是今天的互聯(lián)網(wǎng)環(huán)境異常復雜，充斥著各種欺詐和攻擊，DNS協(xié)議的脆弱性也就浮出水面。近年來，域名系統(tǒng)頻頻遭遇域名劫持、拒絕服務攻擊、緩存中毒等各類網(wǎng)絡攻擊，給互聯(lián)網(wǎng)用戶的上網(wǎng)安全帶來了嚴重威脅。

為提升DNS系統(tǒng)的安全性，國際標準化組織IETF（Internet Engineering Task Force，因特網(wǎng)工程任務組）從上世紀九十年代起開始著手制定DNS安全擴展方面的標準，這就是前述的DNSSEC。DNSSEC的原理并不復雜，它主要通過為DNS中的數(shù)據(jù)添加數(shù)字簽名信息，使得客戶端在得到應答消息后可以通過檢查此簽名信息來判斷應答數(shù)據(jù)是否權威和真實，從而為DNS數(shù)據(jù)提供數(shù)據(jù)來源驗證和數(shù)據(jù)完整性檢驗，可以防止針對DNS的相關攻擊。但DNSSEC的安全是建立在秘鑰的安全之上的，一旦秘鑰泄露，安全就無從談起。為確保秘鑰的安全，DNSSEC一般要求定期進行秘鑰的輪轉，這就帶來信息更新的問題。因而“動態(tài)”DNSSEC相關問題仍有很大的研究和改善空間，這也是本次DNSSEC研討會的一個重點話題。相關專家提供了最新的解決方案，如新增一種名為“CDS”（Children Domain Signature，子域數(shù)字簽名）的資源記錄，以實現(xiàn)秘鑰輪轉后相關信息的自動更新，而這些信息的更新之前只能采用帶外方式來實現(xiàn)。DNS系統(tǒng)的最大功能在于其實現(xiàn)了域名到IP地址的正向映射，其實DNS系統(tǒng)也提供了IP地址到域名的反向映射，而且這種反向映射能提供一定程度的安全性。與正向域的DNSSEC部署不同，反向域的DNSSEC部署還涉及到地址分配機構，流程相對復雜，因而如何對反向域進行DNSSEC升級改造是本次ICANN DNSSEC研討會的又一重點。此外，本次研討會還進一步討論了基于DNSSEC的應用，即如何將DNSSEC作為一種公共信息安全基礎設施，來為其它網(wǎng)絡應用提供安全服務。

總之，DNSSEC就像一道堅固的盾牌，能有效防止域名劫持、緩存中毒等各類DNS安全問題，確保DNS系統(tǒng)的安全運行。但目前DNSSEC在全球范圍內的部署應用還不盡如人意，本次ICANN DNSSEC研討會的召開必將進一步推動DNSSEC在全球范圍內的部署和普及，最終構筑起一道堅固的DNS安全之盾，將全球互聯(lián)網(wǎng)帶入一個更為安全、可信的新時代。（文/中國互聯(lián)網(wǎng)絡信息中心 鄧光青）