6.1 DNSSEC機制和操作

6.1 DNSSEC機制和操作

DNSSEC機制包括兩個主要過程：簽名和驗證。簽名過程主要是支持DNSSEC的域名服務器利用私鑰對資源記錄進行數字簽名，數字簽名及其相關信息保存在一個RRSIG中；驗證過程是支持DNSSEC的解析服務器利用得到的域名服務器的公鑰，驗證資源記錄的簽名。

支持DNSSEC的解析服務器通過以下兩種方式獲得域名服務器的公鑰：一是通過預先配置在解析服務器中的信任錨，二是通過正常的DNS解析方式。在第二種方式中，公鑰被保存在DNSKEY中，為保證獲得公鑰的真實性，該公鑰還需要由一個經過認證的、預先配置的密鑰簽名，即密鑰簽名密鑰（KSK）。因此，支持DNSSEC的解析服務器為了驗證簽名，需要形成一個從域名服務器公鑰到密鑰簽名密鑰的信任鏈，同時，解析服務器至少需要配置一個信任錨。

如果配置的信任錨是區簽名密鑰（ZSK），那么解析服務器就可以鑒別域名服務器數據的真實性和完整性；如果配置的信任錨是密鑰簽名密鑰（KSK），那么解析服務器就可以驗證域名服務器公鑰的真實性和完整性。

DNSSEC協議要求符合YD/T 2586-2013的要求。DNSSEC過程包含域名服務器操作和解析器操作。實施DNSSEC的域名服務器應支持EDNS0擴展，并支持TCP53端口的查詢請求。

域名服務器操作如下：

a) 密鑰的生成；

b) 私鑰的安全存儲；

c) 公鑰的發布；

d) 區簽名；

e) 密鑰輪轉（變換密鑰）；

f) 區重簽名。

解析器操作如下：

a) 配置信任錨；

b) 創建信任鏈和簽名驗證。