《表1 各安全模型技术对比》
目前,域名领域主要的安全模型有基于签名技术的DNSSEC以及基于加密技术的DoT、DoH等。其中DNSSEC通过数字签名实施来源性验证,通过数字摘要连接父子节点信任链,可保障递归解析器和权威解析器间的数据安全。但部署DNSSEC后,数据仍然明文传输,无法解决隐私保护问题。DoT等安全模型通过桩解析器和递归解析器的加密传输解决用户端和递归解析器链路上的DNS劫持问题,但无法实现各权威节点的信任传递,因此不能覆盖标识解析全流程。本文模型基于加密传输技术,通过加密过程的身份认证实现权威节点的信任传递,可实现标识解析全流程加密传输,保障用户隐私和数据完整性。各模型具体对比如表1所示。
图表编号 | XD00134294200 严禁用于非法目的 |
---|---|
绘制时间 | 2020.04.01 |
作者 | 左鹏、贺智谋、袁梦、张海阔、杨卫平 |
绘制单位 | 中国互联网络信息中心、中国互联网络信息中心、中国互联网络信息中心、中国互联网络信息中心、中国互联网络信息中心 |
更多格式 | 高清、无水印(增值服务) |