一、前言

DNS作為互聯網的“電話簿”，承擔域名解析的核心職能。然而，DNS設計初期的開放性導致其長期暴露于多種安全威脅中。例如在邊界路由廣播協議（Border Gateway Protocol, BGP）路由劫持中，攻擊者通過偽造BGP路由宣告，將合法流量重定向至惡意節點；在DNS緩存投毒攻擊中，攻擊者通過注入偽造DNS響應污染遞歸服務器緩存；在DNS中間人攻擊中，攻擊者劫持DNS查詢鏈路以竊取或篡改數據。

DNSSEC通過數字簽名機制驗證數據完整性，但仍存在一定的局限性，一是信任模型過度集中化，依賴根密鑰（Key Signing Key，KSK）和電子認證（Certificate Authority，CA）機構，存在單點失效風險；二是部署情況不均衡，根據ICANN公布的DNSSEC部署統計情況，截至2025年2月，92.93%的頂級域（Top Level Domain，TLD）和65.32%的國家頂級域名（Country Code Top Level Domain，ccTLD）部署了DNSSEC ，但是由于遞歸服務器支持度不高，截至2023年年底，國內僅1.6%的遞歸服務器支持DNSSEC認證，DNSSEC認證鏈并不完整；三是跨層防御缺失，現有的DNSSEC無法應對BGP劫持與DNS投毒的協同攻擊。

此外，RPKI通過資源證書（Resource Certification，RC）驗證BGP路由宣告的合法性，在路由層安全中取得顯著成效。RPKI的核心思想實現了資源所有權與公鑰的強綁定，為DNS安全提供了跨層協同的可能。

本報告通過對RPKI和DNSSEC驗證方法的結合，創新性地提出首個基于RPKI與DNSSEC融合的分層式安全模型，實現資源所有權與域名身份的雙因子認證。通過設計動態權重驗證算法，降低跨層驗證開銷，并構建聯合證書機制，抵御路由-DNS協同攻擊，為部署應用奠定理論和實踐基礎。

二、研究現狀

本節介紹DNSSEC優化研究、RPKI應用情況和跨層安全機制等三個方面研究現狀。

（一）DNSSEC優化研究

近年來，國內外學術領域針對DNSSEC的優化研究主要集中在技術改進、配置優化、安全增強及應用擴展等方面，如利用DNSSEC和DNS over TLS (DoT)來增強DNS安全性的解決方案，實現對DNS緩存中毒的有效防護；有文獻針對全球范圍內遞歸服務器DNSSEC配置情況進行大規模探測和分析，為遞歸側廣泛部署提供指導；有研究人員提出基于區塊鏈的DNSSEC信任分散方案，利用區塊鏈技術對DNSSEC中心化程度過高的問題進行了探索解決，但未解決路由層攻擊。

（二）RPKI應用情況

近年來，隨著RPKI在全球范圍內部署規模的不斷提升，其對路由系統防護能力已逐漸得到普遍業內認可。有研究發現，RPKI的認證與DNS有著相互依賴的關系，主要是通過DNS系統完成RPKI的認證尋址，但是存在大量不匹配的情況。當前，RPKI主要應用與路由安全防護，現有工作尚未系統化研究RPKI與DNS安全的結合。

（三）跨層安全機制

考慮到DNSSEC逐層數字簽名認證的復雜性，有研究人員提出基于PKI的DNS安全防護方案，通過采用CA證書的DNS防護方案，使用證書來驗證數據的完整性，避免使用DNSSEC本身的簽名鏈進行驗證，有效減少各層權威DNS服務器的存儲開銷并降低DNS解析響應延遲。探索并初步實現了DNS跨層安全機制的優化方案，但依賴CA機構，難以防御證書偽造。還有研究人員同樣研究了互聯網上基于區塊鏈和PKI的認證方式，并對物聯網應用前景進行了探索。

三、LRICM模型設計

基于RPKI和DNSSEC驗證模式，本文提出分層式資源-身份聯合認證模型（LRICM），設計聯合證書用于RPKI和DNSSEC聯合驗證。LRICM采用分層設計，主要包括資源綁定層、聯合驗證層和動態策略層三層。

（一）聯合證書設計

聯合證書（Joint Certificate，JC）基于ASN.1格式擴展，主要涵蓋了RPKI資源證書、DNSSEC公鑰、區域互聯網注冊管理機構（Regional Internet Registry，RIR）簽發簽名、域名注冊商簽名以及證書有效期等字段，具備全鏈條完成路由和DNSSEC驗證的基本能力。

（二）資源綁定層

資源綁定層實現了對RPKI證書和DNSSEC簽名的聯合認證，本層中輸入元素為：RPKI證書（IP前綴、ASN）、DNSSEC信任鏈（DNSKEY、RRSIG），通過聯合簽名后輸出：聯合證書（JC），包含RIR與域名注冊商的雙簽名，確保DNS響應同時滿足“資源合法性”（IP地址歸屬）與“身份合法性”（域名所有權），防御路由劫持與DNS緩存投毒攻擊。

（三）聯合驗證層

聯合驗證層對資源綁定層生成的JC證書進行驗證，遞歸服務器通過輕量級的驗證協議并行驗證RPKI證書鏈與DNSSEC信任鏈，并引入動態權重算法優化驗證效率，減少傳統DNSSEC多級信任鏈的開銷，同時避免RPKI證書鏈遞歸驗證的延遲。

（四）動態策略層

動態策略層基于可拓云理論構建威脅評估模型，根據聯合驗證層驗證結果實現對驗證策略的動態調整，實現跨層攻擊的實時阻斷，若檢測到高風險，則觸發臨時緩存隔離或跨層告警聯動

四、總結與討論

（一）理論貢獻與跨層安全范式創新

本文提出的分層式資源-身份聯合認證模型（LRICM）通過融合RPKI與DNSSEC的信任機制，構建了“資源-身份”雙因子認證的跨層安全框架。這一理論突破體現在以下三方面。

1.信任模型的去中心化重構

傳統DNSSEC依賴集中式根密鑰（KSK）和CA機構，而LRICM通過RPKI的分布式資源證書體系，將信任錨點分散至區域互聯網注冊機構（RIR）與域名注冊商。這一設計不僅避免了單點失效風險，還通過聯合證書（JC）的雙簽名機制實現了跨層信任的協同驗證。與區塊鏈DNSSEC方案相比，LRICM無需全局共識的復雜計算，顯著降低了信任維護的開銷。

2.動態驗證機制的效率優化

本文提出的動態權重算法通過實時感知網絡狀態（如丟包率、延遲波動），動態調整RPKI與DNSSEC的驗證權重，在保證安全性的前提下降低了驗證延遲，為高并發場景下的實時防御提供了新思路。

3.威脅響應策略的自適應性

基于可拓云理論的威脅評估模型，通過隸屬度函數量化系統狀態與理想值的偏離程度，實現了從“靜態規則驅動”到“動態數據驅動”的響應模式轉變。例如，當檢測到延遲突增時，系統自動觸發緩存隔離而非簡單丟棄請求，從而在阻斷攻擊的同時最大限度保障合法用戶的可用性。

（二） 實踐意義與行業應用前景

LRICM的設計緊密貼合實際網絡需求，其核心優勢體現在可部署性與兼容性上。

1.增量部署的可行性

通過擴展DNS EDNS0字段攜帶聯合證書（JC），LRICM無需大規模改造現有DNS基礎設施即可實現漸進式部署。這一特性尤其適用于全球互聯網的異構環境，可緩解因協議升級滯后導致的安全風險。

2.關鍵基礎設施的防護升級

在金融、能源等敏感領域，BGP劫持與DNS投毒的協同攻擊已造成多起重大安全事件。LRICM的雙因子認證機制可有效識別偽造Anycast節點與惡意DNS響應。

3.政策與標準化的推動作用

LRICM的聯合證書機制為ICANN與RIR的協同治理提供了技術參考。例如，可通過修訂RFC標準明確RIR與域名注冊商的聯合簽名流程，或制定資源證書的匿名化規范。

（三）未來研究方向

基于當前研究的成果與不足，未來工作可從以下方向展開：

1.多指標融合的威脅評估

當前模型主要依賴DNS查詢延遲與證書撤銷率，未來可整合更多威脅指標（如AS路徑沖突頻率），構建多維風險評估體系。例如，通過圖神經網絡建模BGP與DNS的交互關系，提升復雜攻擊的早期預警能力。

2.輕量級隱私保護方案

探索基于同態加密的聯合證書驗證技術，使遞歸服務器能夠在密文狀態下完成資源-身份匹配。

3.自動化部署工具鏈開發

設計開源工具包（如Ansible模塊或Kubernetes Operator），自動化完成RPKI證書簽發、DNSSEC密鑰同步與策略配置。工具鏈可集成至主流云平臺，降低中小企業的部署門檻。

作者簡介：

李漢明，中國互聯網絡信息中心工程師，主要研究方向為域名安全，網絡安全和工程規劃。

趙琦，中國互聯網絡信息中心副高級工程師，主要研究方向為域名安全，網絡安全和工程規劃。

林靜，中國互聯網絡信息中心工程師，主要研究方向為域名安全、網絡安全和工程規劃。

劉欣，中國互聯網絡信息中心工程師，主要研究方向為域名安全，網絡安全和工程規劃。

何爍，中國互聯網絡信息中心工程師，主要研究方向為域名安全，網絡安全和工程規劃。

李健，中國互聯網絡信息中心工程師，主要研究方向為域名安全，網絡安全和工程規劃。

謝杰靈，中國互聯網絡信息中心工程師，主要研究方向為DNS，網絡安全和工程規劃。