DNSsec详解：安全扩展与报文改动

DNSsec是网络安全协议的重要组成部分，它主要用于保护域名系统(DNS)的安全性和完整性。这个PPT详细讲解了DNSsec的主要改动和扩展，旨在增强DNS体系的安全措施。 首先，DNSsec对CNAME记录进行了调整。传统的DNS规定，CNAME记录的主体为别名，其资源数据包含了指向规范域名的引用。然而，为了确保安全，DNSsec引入了RRSIG（资源记录签名信息）与CNAME关联，这意味着每个CNAME记录都需要有相应的签名，以验证其来源的真实性。 其次，DNSsec扩展了客户端和服务器的功能。服务器需要生成、存储和在响应中包含如DNSKEY（用于签名验证）、DS（验证DNSKEY有效性）和NSEC（确认资源记录不存在）等安全相关的记录。客户端则增加了对这些新记录的处理能力，包括验证资源记录的有效性，获取和解析DS记录，以及处理NSEC以确认域或记录的存在性。 在DNS报文方面，DNSsec引入了额外的标志和字段，如QR（查询/响应标志）、Opcode（操作码）、AA（授权标志）、TC（截断标志）、RD（递归请求标志）、RA（递归可用标志）、Z（保留位）和RCODE（响应代码）。这些扩展增强了报文的可靠性和安全性，比如AD（可信数据）和CD（取消检查）位，分别用于表明资源记录是否经过服务器认证和客户端自选认证策略。 此外，DNSsec利用DNS扩展机制EDNSO（扩展DNS查询包）来处理因资源记录增多导致的报文长度问题。其中，OPT（Options）伪资源记录被引入，用于传递传输层信息，优化报文结构。在OPT记录中，"Z"字段的第一比特被用来标记DO（请求验证）位，这允许客户端请求DNSsec验证。 总结来说，DNSsec通过修改CNAME记录、增强客户端和服务器功能、扩展DNS报文标志和引入OPT记录，有效地提升了DNS的安全性和信任度，防止了虚假数据的注入，为网络环境提供了更为坚实的基础。