一、前言

DNS作為互聯(lián)網(wǎng)的“電話簿”，承擔(dān)域名解析的核心職能。然而，DNS設(shè)計(jì)初期的開放性導(dǎo)致其長(zhǎng)期暴露于多種安全威脅中。例如在邊界路由廣播協(xié)議（Border Gateway Protocol, BGP）路由劫持中，攻擊者通過(guò)偽造BGP路由宣告，將合法流量重定向至惡意節(jié)點(diǎn)；在DNS緩存投毒攻擊中，攻擊者通過(guò)注入偽造DNS響應(yīng)污染遞歸服務(wù)器緩存；在DNS中間人攻擊中，攻擊者劫持DNS查詢鏈路以竊取或篡改數(shù)據(jù)。

DNSSEC通過(guò)數(shù)字簽名機(jī)制驗(yàn)證數(shù)據(jù)完整性，但仍存在一定的局限性，一是信任模型過(guò)度集中化，依賴根密鑰（Key Signing Key，KSK）和電子認(rèn)證（Certificate Authority，CA）機(jī)構(gòu)，存在單點(diǎn)失效風(fēng)險(xiǎn)；二是部署情況不均衡，根據(jù)ICANN公布的DNSSEC部署統(tǒng)計(jì)情況，截至2025年2月，92.93%的頂級(jí)域（Top Level Domain，TLD）和65.32%的國(guó)家頂級(jí)域名（Country Code Top Level Domain，ccTLD）部署了DNSSEC ，但是由于遞歸服務(wù)器支持度不高，截至2023年年底，國(guó)內(nèi)僅1.6%的遞歸服務(wù)器支持DNSSEC認(rèn)證，DNSSEC認(rèn)證鏈并不完整；三是跨層防御缺失，現(xiàn)有的DNSSEC無(wú)法應(yīng)對(duì)BGP劫持與DNS投毒的協(xié)同攻擊。

此外，RPKI通過(guò)資源證書（Resource Certification，RC）驗(yàn)證BGP路由宣告的合法性，在路由層安全中取得顯著成效。RPKI的核心思想實(shí)現(xiàn)了資源所有權(quán)與公鑰的強(qiáng)綁定，為DNS安全提供了跨層協(xié)同的可能。

本報(bào)告通過(guò)對(duì)RPKI和DNSSEC驗(yàn)證方法的結(jié)合，創(chuàng)新性地提出首個(gè)基于RPKI與DNSSEC融合的分層式安全模型，實(shí)現(xiàn)資源所有權(quán)與域名身份的雙因子認(rèn)證。通過(guò)設(shè)計(jì)動(dòng)態(tài)權(quán)重驗(yàn)證算法，降低跨層驗(yàn)證開銷，并構(gòu)建聯(lián)合證書機(jī)制，抵御路由-DNS協(xié)同攻擊，為部署應(yīng)用奠定理論和實(shí)踐基礎(chǔ)。

二、研究現(xiàn)狀

本節(jié)介紹DNSSEC優(yōu)化研究、RPKI應(yīng)用情況和跨層安全機(jī)制等三個(gè)方面研究現(xiàn)狀。

（一）DNSSEC優(yōu)化研究

近年來(lái)，國(guó)內(nèi)外學(xué)術(shù)領(lǐng)域針對(duì)DNSSEC的優(yōu)化研究主要集中在技術(shù)改進(jìn)、配置優(yōu)化、安全增強(qiáng)及應(yīng)用擴(kuò)展等方面，如利用DNSSEC和DNS over TLS (DoT)來(lái)增強(qiáng)DNS安全性的解決方案，實(shí)現(xiàn)對(duì)DNS緩存中毒的有效防護(hù)；有文獻(xiàn)針對(duì)全球范圍內(nèi)遞歸服務(wù)器DNSSEC配置情況進(jìn)行大規(guī)模探測(cè)和分析，為遞歸側(cè)廣泛部署提供指導(dǎo)；有研究人員提出基于區(qū)塊鏈的DNSSEC信任分散方案，利用區(qū)塊鏈技術(shù)對(duì)DNSSEC中心化程度過(guò)高的問(wèn)題進(jìn)行了探索解決，但未解決路由層攻擊。

（二）RPKI應(yīng)用情況

近年來(lái)，隨著RPKI在全球范圍內(nèi)部署規(guī)模的不斷提升，其對(duì)路由系統(tǒng)防護(hù)能力已逐漸得到普遍業(yè)內(nèi)認(rèn)可。有研究發(fā)現(xiàn)，RPKI的認(rèn)證與DNS有著相互依賴的關(guān)系，主要是通過(guò)DNS系統(tǒng)完成RPKI的認(rèn)證尋址，但是存在大量不匹配的情況。當(dāng)前，RPKI主要應(yīng)用與路由安全防護(hù)，現(xiàn)有工作尚未系統(tǒng)化研究RPKI與DNS安全的結(jié)合。

（三）跨層安全機(jī)制

考慮到DNSSEC逐層數(shù)字簽名認(rèn)證的復(fù)雜性，有研究人員提出基于PKI的DNS安全防護(hù)方案，通過(guò)采用CA證書的DNS防護(hù)方案，使用證書來(lái)驗(yàn)證數(shù)據(jù)的完整性，避免使用DNSSEC本身的簽名鏈進(jìn)行驗(yàn)證，有效減少各層權(quán)威DNS服務(wù)器的存儲(chǔ)開銷并降低DNS解析響應(yīng)延遲。探索并初步實(shí)現(xiàn)了DNS跨層安全機(jī)制的優(yōu)化方案，但依賴CA機(jī)構(gòu)，難以防御證書偽造。還有研究人員同樣研究了互聯(lián)網(wǎng)上基于區(qū)塊鏈和PKI的認(rèn)證方式，并對(duì)物聯(lián)網(wǎng)應(yīng)用前景進(jìn)行了探索。

三、LRICM模型設(shè)計(jì)

基于RPKI和DNSSEC驗(yàn)證模式，本文提出分層式資源-身份聯(lián)合認(rèn)證模型（LRICM），設(shè)計(jì)聯(lián)合證書用于RPKI和DNSSEC聯(lián)合驗(yàn)證。LRICM采用分層設(shè)計(jì)，主要包括資源綁定層、聯(lián)合驗(yàn)證層和動(dòng)態(tài)策略層三層。

（一）聯(lián)合證書設(shè)計(jì)

聯(lián)合證書（Joint Certificate，JC）基于ASN.1格式擴(kuò)展，主要涵蓋了RPKI資源證書、DNSSEC公鑰、區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)（Regional Internet Registry，RIR）簽發(fā)簽名、域名注冊(cè)商簽名以及證書有效期等字段，具備全鏈條完成路由和DNSSEC驗(yàn)證的基本能力。

（二）資源綁定層

資源綁定層實(shí)現(xiàn)了對(duì)RPKI證書和DNSSEC簽名的聯(lián)合認(rèn)證，本層中輸入元素為：RPKI證書（IP前綴、ASN）、DNSSEC信任鏈（DNSKEY、RRSIG），通過(guò)聯(lián)合簽名后輸出：聯(lián)合證書（JC），包含RIR與域名注冊(cè)商的雙簽名，確保DNS響應(yīng)同時(shí)滿足“資源合法性”（IP地址歸屬）與“身份合法性”（域名所有權(quán)），防御路由劫持與DNS緩存投毒攻擊。

（三）聯(lián)合驗(yàn)證層

聯(lián)合驗(yàn)證層對(duì)資源綁定層生成的JC證書進(jìn)行驗(yàn)證，遞歸服務(wù)器通過(guò)輕量級(jí)的驗(yàn)證協(xié)議并行驗(yàn)證RPKI證書鏈與DNSSEC信任鏈，并引入動(dòng)態(tài)權(quán)重算法優(yōu)化驗(yàn)證效率，減少傳統(tǒng)DNSSEC多級(jí)信任鏈的開銷，同時(shí)避免RPKI證書鏈遞歸驗(yàn)證的延遲。

（四）動(dòng)態(tài)策略層

動(dòng)態(tài)策略層基于可拓云理論構(gòu)建威脅評(píng)估模型，根據(jù)聯(lián)合驗(yàn)證層驗(yàn)證結(jié)果實(shí)現(xiàn)對(duì)驗(yàn)證策略的動(dòng)態(tài)調(diào)整，實(shí)現(xiàn)跨層攻擊的實(shí)時(shí)阻斷，若檢測(cè)到高風(fēng)險(xiǎn)，則觸發(fā)臨時(shí)緩存隔離或跨層告警聯(lián)動(dòng)

四、總結(jié)與討論

（一）理論貢獻(xiàn)與跨層安全范式創(chuàng)新

本文提出的分層式資源-身份聯(lián)合認(rèn)證模型（LRICM）通過(guò)融合RPKI與DNSSEC的信任機(jī)制，構(gòu)建了“資源-身份”雙因子認(rèn)證的跨層安全框架。這一理論突破體現(xiàn)在以下三方面。

1.信任模型的去中心化重構(gòu)

傳統(tǒng)DNSSEC依賴集中式根密鑰（KSK）和CA機(jī)構(gòu)，而LRICM通過(guò)RPKI的分布式資源證書體系，將信任錨點(diǎn)分散至區(qū)域互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（RIR）與域名注冊(cè)商。這一設(shè)計(jì)不僅避免了單點(diǎn)失效風(fēng)險(xiǎn)，還通過(guò)聯(lián)合證書（JC）的雙簽名機(jī)制實(shí)現(xiàn)了跨層信任的協(xié)同驗(yàn)證。與區(qū)塊鏈DNSSEC方案相比，LRICM無(wú)需全局共識(shí)的復(fù)雜計(jì)算，顯著降低了信任維護(hù)的開銷。

2.動(dòng)態(tài)驗(yàn)證機(jī)制的效率優(yōu)化

本文提出的動(dòng)態(tài)權(quán)重算法通過(guò)實(shí)時(shí)感知網(wǎng)絡(luò)狀態(tài)（如丟包率、延遲波動(dòng)），動(dòng)態(tài)調(diào)整RPKI與DNSSEC的驗(yàn)證權(quán)重，在保證安全性的前提下降低了驗(yàn)證延遲，為高并發(fā)場(chǎng)景下的實(shí)時(shí)防御提供了新思路。

3.威脅響應(yīng)策略的自適應(yīng)性

基于可拓云理論的威脅評(píng)估模型，通過(guò)隸屬度函數(shù)量化系統(tǒng)狀態(tài)與理想值的偏離程度，實(shí)現(xiàn)了從“靜態(tài)規(guī)則驅(qū)動(dòng)”到“動(dòng)態(tài)數(shù)據(jù)驅(qū)動(dòng)”的響應(yīng)模式轉(zhuǎn)變。例如，當(dāng)檢測(cè)到延遲突增時(shí)，系統(tǒng)自動(dòng)觸發(fā)緩存隔離而非簡(jiǎn)單丟棄請(qǐng)求，從而在阻斷攻擊的同時(shí)最大限度保障合法用戶的可用性。

（二） 實(shí)踐意義與行業(yè)應(yīng)用前景

LRICM的設(shè)計(jì)緊密貼合實(shí)際網(wǎng)絡(luò)需求，其核心優(yōu)勢(shì)體現(xiàn)在可部署性與兼容性上。

1.增量部署的可行性

通過(guò)擴(kuò)展DNS EDNS0字段攜帶聯(lián)合證書（JC），LRICM無(wú)需大規(guī)模改造現(xiàn)有DNS基礎(chǔ)設(shè)施即可實(shí)現(xiàn)漸進(jìn)式部署。這一特性尤其適用于全球互聯(lián)網(wǎng)的異構(gòu)環(huán)境，可緩解因協(xié)議升級(jí)滯后導(dǎo)致的安全風(fēng)險(xiǎn)。

2.關(guān)鍵基礎(chǔ)設(shè)施的防護(hù)升級(jí)

在金融、能源等敏感領(lǐng)域，BGP劫持與DNS投毒的協(xié)同攻擊已造成多起重大安全事件。LRICM的雙因子認(rèn)證機(jī)制可有效識(shí)別偽造Anycast節(jié)點(diǎn)與惡意DNS響應(yīng)。

3.政策與標(biāo)準(zhǔn)化的推動(dòng)作用

LRICM的聯(lián)合證書機(jī)制為ICANN與RIR的協(xié)同治理提供了技術(shù)參考。例如，可通過(guò)修訂RFC標(biāo)準(zhǔn)明確RIR與域名注冊(cè)商的聯(lián)合簽名流程，或制定資源證書的匿名化規(guī)范。

（三）未來(lái)研究方向

基于當(dāng)前研究的成果與不足，未來(lái)工作可從以下方向展開：

1.多指標(biāo)融合的威脅評(píng)估

當(dāng)前模型主要依賴DNS查詢延遲與證書撤銷率，未來(lái)可整合更多威脅指標(biāo)（如AS路徑?jīng)_突頻率），構(gòu)建多維風(fēng)險(xiǎn)評(píng)估體系。例如，通過(guò)圖神經(jīng)網(wǎng)絡(luò)建模BGP與DNS的交互關(guān)系，提升復(fù)雜攻擊的早期預(yù)警能力。

2.輕量級(jí)隱私保護(hù)方案

探索基于同態(tài)加密的聯(lián)合證書驗(yàn)證技術(shù)，使遞歸服務(wù)器能夠在密文狀態(tài)下完成資源-身份匹配。

3.自動(dòng)化部署工具鏈開發(fā)

設(shè)計(jì)開源工具包（如Ansible模塊或Kubernetes Operator），自動(dòng)化完成RPKI證書簽發(fā)、DNSSEC密鑰同步與策略配置。工具鏈可集成至主流云平臺(tái)，降低中小企業(yè)的部署門檻。

作者簡(jiǎn)介：

李漢明，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向?yàn)橛蛎踩W(wǎng)絡(luò)安全和工程規(guī)劃。

趙琦，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心副高級(jí)工程師，主要研究方向?yàn)橛蛎踩W(wǎng)絡(luò)安全和工程規(guī)劃。

林靜，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向?yàn)橛蛎踩⒕W(wǎng)絡(luò)安全和工程規(guī)劃。

劉欣，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向?yàn)橛蛎踩W(wǎng)絡(luò)安全和工程規(guī)劃。

何爍，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向?yàn)橛蛎踩W(wǎng)絡(luò)安全和工程規(guī)劃。

李健，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向?yàn)橛蛎踩W(wǎng)絡(luò)安全和工程規(guī)劃。

謝杰靈，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向?yàn)镈NS，網(wǎng)絡(luò)安全和工程規(guī)劃。