DNSSEC将公钥体系引入DNS,实现了对数据的完整性、数据来源等验证,有效地保护了域名服务体系的安全.采用扩展的有限自动机对DNSSEC域名解析过程进行了形式化描述,引入DNSKEY,DS,NSEC3信任关系来刻画信任链建立中的信任传递过程.在此基础上,提出了DNSSEC域名解析的量化分析方法,并评估了影响其解析成功率的主要因素.分析发现,DNSSEC解析成功率与递归服务器的响应率基本呈线性关系,而信任链的长度对解析成功率的影响有限,为了保持较高的解析成功率,每级的权威服务器应部署3台以上,DNSSEC请求过程的成功率和DNSSEC验证过程中对特定资源的请求成功率应达到60%以上.上述结论对...

• 出版日期2012
• 单位中国科学院计算技术研究所; 中国科学院大学