Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNSSEC 概述

Junos OS 设备支持域名服务安全扩展(DNSSEC)标准。DNSSEC 是 DNS 的扩展,通过使用基于公钥的签名提供数据的身份验证和完整性验证。

在 DNSSEC 中,DNS 中的所有资源记录都使用区域所有者的私钥进行签名。DNS 解析器使用所有者的公钥验证签名。区域所有者将生成一个私钥,用于加密一组资源记录的散列。私钥存储在 RRSIG 记录中。相应的公钥存储在 DNSKEY 记录中。解析器使用公钥解密 RRSIG,并将结果与资源记录的哈希值进行比较,以验证其是否未被更改。

同样,公用 DNSKEY 的哈希存储在父区域的 DS 记录中。区域所有者将生成一个用于加密公钥哈希的私钥。私钥存储在 RRSIG 记录中。解析器将检索 DS 记录及其相应的 RRSIG 记录和公钥。通过使用 public 密钥,解析器将解密 RRSIG 记录,并将结果与公共 DNSKEY 哈希进行比较,以验证其是否未被更改。这就在了解析器和名称服务器之间建立了一链信任。