由于缺乏固有的安全性，许多组织的域名系统 (DNS) 服务器屡屡遭到入侵，从而引发一系列恶意行为，包括缓存中毒、重定向电话、中间人攻击以窃取密码、重新路由电子邮件、拒绝服务攻击等。

域名系统安全扩展 (DNSSEC) 通过对 DNS 记录进行数字签名来保护 DNS 服务器层次结构，以确保收到的消息与发送的消息相同。

DNS 服务器安全需要强密钥安全

DNSSEC 本质上实现了公钥基础设施 (PKI)，以提供 DNS 服务器之间的安全通信方法。作为 PKI，DNSSEC 需要一些新程序，例如密钥生成、签名和密钥管理。但是，尽管 DNSSEC 具有所有潜在优势，但预期的收益并不能得到保证，因为 DNSSEC 引入的资源记录保存在未加密的文件中。

只有当整个 DNSSEC 基础设施得到全面保护时，组织才能开始充分享受 DNSSEC 的好处。为此，他们需要具备以下能力：

• 安全数字签名。DNS消息需要进行数字签名，以确保DNS服务的有效性。

• 控制访问。组织需要确保只有授权的客户和内部员工才能访问敏感应用程序和数据。

• 维护应用程序完整性。所有相关的应用程序代码和流程都需要得到保护，以确保完整性并禁止未经授权的应用程序执行。

• 扩展以适应高容量处理。由于 DNS 更新非常频繁，DNSSEC 基础设施需要提供所需的性能和可扩展性，以确保始终及时处理。

使用硬件安全模块实现 DNS 服务器安全

为了确保 DNS 服务的有效性，DNSSEC 采用公钥加密技术对 DNS 消息进行数字签名。为了实现所需的安全性，对私有签名密钥进行强有力的保护至关重要。如果密钥及其相应的数字证书被泄露，DNS 层次结构中的信任链就会被破坏，导致整个系统失效。这就是 硬件安全模块 (HSM) 发挥作用的地方。

HSM 是专用系统，可从物理和逻辑上保护数字签名的核心加密密钥和加密处理。HSM 支持以下功能：

• 生命周期管理，包括密钥生成、分发、轮换、存储、终止和归档。

• 加密处理，具有将加密处理与应用服务器隔离和卸载的双重好处。

通过将加密密钥存储在集中式强化设备中，HSM 可以消除将这些资产存放在分散、安全性较差的平台上所带来的风险。此外，这种集中化可以显著简化安全管理。

用于 DNSSEC 的 Thales HSM：

• 支持 DNSSEC Anchor Trust 系统

• 根和整个 DNS 层次结构的密钥安全 - ZSK 和 KSK

• 强大的加密引擎减轻了 DNS 服务器的加密负担

• 多种 HSM 可满足多种 DNSSEC 要求

• 标准 API 包括 PKCS#11、Java、MS CAPI

• 提供经过 FIPS 验证和通用标准认证的型号

• 与领先的 DNS 平台集成，例如 OpenDNSSEC、BIND 9.7、FreeBSD