[计算机网络]：DNSSEC原理( 五 ) _dns

用-时，会自动生成-文件和dsset-开头的两个文件，分别存储着KSK的记录和DS记录。作为区的管理员，你需要把这两个文件发送给.net的管理员，.net的管理员需要把这两条记录增加到.net区中，并且用.net的密钥重新签名。
. 86400 IN NS .
86400 DS 15480 5 1 (
6C17 )
86400 RRSIG DS 5 2(
234 23912 net.
……
= )
如果你的上一级域名服务器还没有配置，你不得不另找其他方式了，比如，把上述两个文件提交到一些公开的trust 数据库中发布(如上面介绍过的)，或者直接交给愿意相信你的解析服务器的管理员，配置到他们的trust 文件中。
4 的布署
互联网工程技术领域普遍认为是增强互联网基础设施安全非常关键的一步，比如，美国国土安全部发起了布署计划，美国网络空间国家战略安全明确要求布署。的大规模布署还可能解决其他的安全问题，比如密钥的分发和安全的电子邮件。
尽管互联网工程界认为非常重要，但是大规模的布署仍然非常谨慎。巴西 (.br)、保加利亚 (.bg)、捷克 (.cz)、波多黎各 (.pr) 和瑞典 (.se), 很早就开始了在他们国家的顶级域名上布署，IANA在2007年开始在一个根域名服务器上进行签名试验。许多机构在的布署上付出了巨大的努力，具体请参见[9] 。
在ICANN和的推动下，2010年7月所有13个根域名服务器都用对根域签名完毕且投入运营[10] 。顶级域名（如.org, .net等）也在计划之中，有些国家级的顶级域名服务器（如.cz、.jp、.us、.fr等）已经完成了这一任务。
国际上一些大的ISP已经开始布署支持的解析服务器，以保护他们接入用户的安全，美国公司是其中的先驱者之一。
5 总结与展望
本文概要介绍了的目标、原理、基本配置与当前的布署情况。由于篇幅和作者的经验、精力有限，无法对一些细节展开讨论，感兴趣的读者可以阅读后面的参考文献。
作者认为如果能够普遍布署，可能给互联网的安全体系产生重大的影响；因为有了的数字签名，把DNS作为密钥分发的PKI在很多应用场合已经具有了可行性。它不仅仅可以加强DNS系统本身的安全，作为网络的基础设施，还给其他的应用、特别是端到端的移动通信、IPv6网络环境的安全问题提供新的解决办法。
但是作者也认为，离这一目标的实现还有很长的路要走。一方面自身的协议还在发展，另一方面其他的应用要想利用的机制还需要大规模的研究试验和最后的标准化。另外，在某些国家是否会遭遇政策性的阻碍，也是个未知数。
尽管如此，因为DNS对互联网实在太重要了；如果是通往一个安全可靠的互联网基础设施的必由之路（目前作者还没有看到可以替代的其他解决方案），为此所付出的代价，也是别无选择的。
6 参考文献
[1]Lowe,,L. . The Great DNS Wall of China，21, 2007. ~/work/nds/final.pdf
[2] RFC 2065, Name, 1997.
[3] RFC 2535, Name,1999,
[4] RFC 4033, DNSand ,2005,
[5] ,for the DNS,2005,
[6] ,for the DNS,2005,
[7] ,DNS()of ,2008,
[8] Paul ,Liu, DNS and BIND 5th , O’ , 2008
[9] ,Name,
[10] Root, 2010,