6.7 創建信任鏈和簽名驗證

創建信任鏈，以一個或多個開始就被信任的公鑰（或公鑰的散列值）作為信任鏈的起點即信任錨，從而信任鏈中的上一個節點為下一個節點的公鑰散列值進行數字簽名，保證信任鏈中的每一個公鑰都是真實的。

各域區可通過父域的新人授權來構建信任鏈，則信任鏈從父域開始，依此往前，如果根域也是安全的，則信任鏈可從根域開始；若父域不安全，通過子區的KSK授權，則信任鏈從子區開始。

對RRSIG的驗證通過獲得域名服務器的公鑰，驗證RRSIG的真實性和完整性，對DNSKEY公鑰的驗證，從上一級域名服務器查詢DS資源記錄，獲得公鑰

本文章首發在網安wangan.com 網站上。