全球DNSSEC部署进程加快

2008年卡明斯基事件的出现使DNS欺骗攻击受到了前所未有的重视，在美国及ICANN的大力推动下，全球域名安全扩展（DNSSEC）协议部署进程明显加快，根区、顶级域和二级及二级以下各个层面的部署在过去几年中均取得了较大进展。 
 

（1）根区DNSSEC部署完成，信任锚正式启用。2010年6月16日，ICANN在位于美国东部弗吉尼亚州卡尔佩帕（Culpeper）的一个数据中心举行根区密钥生成仪式，生成并储存了第一个将用于互联网根区安全的密钥（KSK）。7月12日，ICANN在位于美国西部加利福尼亚州的埃尔塞贡多（El Segundo）举行第二次密钥生成仪式。7月15日，ICANN发布根区的信任锚（KSK公钥），DNS根服务器运营商将可以正式对根区利用实际密钥进行签名，这意味着签名根区（即应用DNSSEC的根区）已正式启动。根据ICANN的计划，根区密钥将每年生成四次，并且分别在位于美国东部和西部的两个中心进行，互为备份。此外，ICANN还设置了密钥生成系统的备份机制，可以在两个中心都发生问题时进行系统恢复，重新生成密钥。 
 

（2）顶级域部署进程加快，DNSSEC获主要国家和地区认可。根据ICANN统计，截至2012年7月17日，互联网域名根区记录中共有314个顶级域（其中包括11个多语种测试顶级域），其中已经完成DNSSEC部署的顶级域占顶级域总数的30.9%（如不包含多语种测试顶级域时，比例为28.4%）。在国家和地区顶级域方面，249个ASCII码ccTLD中，已经正式运行DNSSEC的达到63个，部署但尚未完成根签的有6个，不仅西方主要发达国家投入运行，而且巴西、印度等发展中国家也已加入部署行列；32个多语种国家和地区顶级域中，已完成DNSSEC部署的有5个，其中中国台湾的“.台湾”和“.台灣”两顶级域以及韩国的“.한국”顶级域已正式运行，斯里兰卡的两个多语种顶级域尚未完成根签。在通用顶级域方面，包括“.COM/.NET/.ORG/.INFO/.BIZ”等五大顶级域在内的12个通用顶级域已经正式运行DNSSEC，在全部23个通用顶级域中超过半数。 
 

（3）域名服务机构着手降低技术门槛，推动DNSSEC部署。为进一步加快DNSSEC的部署速度，域名注册管理机构和服务机构也在想尽办法降低用户使用DNSSEC技术的门槛。如“.EU”推出了实施自动签名的简化DNSSEC签名服务。通过该项服务，域名注册服务机构可按需求选择需要DNSSEC签名的域名，后台系统将自动完成DNSSEC签名服务。一些拥有部署和运行经验的域名服务机构纷纷推出DNSSEC解决方案和技术服务，推动二级和二级以下域名的DNSSEC部署进程。在各级各类域名服务机构的推动下，进入2010年以来，部署DNSSEC的区的数量出现了快速增长，几乎是呈直线上升。截至2012年7月17日，全球已有37191个区能运行DNSSEC，约为2009年底的6.2倍。捷克国家顶级域“.CZ”是DNSSEC部署的成功典范，目前约有36.5%（即34.8万）的“.CZ”域名启用了DNSSEC服务，2011年这一数字仅为17%；预计到2012年底使用DNSSEC服务的“.CZ”域名数量将达到40万。 
 

【分析】
 

DNSSEC是IETF开发的DNS安全扩展协议，使用公钥基础设施（Public Key Infrastructure，PKI）在原有的DNS基础上添加数字签名（digital signature），对通过DNS体系内部的信息同时提供权限认证和信息完整性验证，较为有效地防止DNS欺骗，大大增强了DNS解析过程的安全性，是目前比较完善的DNS安全解决方案。 
 

从当前国际上的发展情况来看，DNSSEC作为保障域名体系安全的一项技术正在获得越来越广泛的认可和应用，这有助于增强DNS的安全性，减少政府、商业机构和广大用户所受的网络安全威胁，促进电子政务、电子商务和各类网络应用的发展。 
 

需要指出，由于DNSSEC的信任机制，一旦全球DNSSEC部署完毕，根区的信任锚就成为DNS安全解析的入口或起点。根据与美国商务部签署的有关合同，ICANN和VeriSign公司参与根区DNSSEC部署进程并负责根区密钥的管理。这意味着已经掌握了DNS根区管理权和绝大多数根域名服务器的美国，借着提高DNS安全的名义，通过DNSSEC进一步增强其对互联网关键资源管理权的控制，将继续保持对其他国家的优势地位。
 

除去政治和安全目标外，部署DNSSEC需要利用先进密码技术并进行大量的软硬件升级，也将有利于掌握核心技术的国家与企业扩大其在网络和信息安全的影响力，继续占据技术和市场的领先地位。