1. Introduction (简介)

本文档介绍了域名系统安全扩展 (Domain Name System Security Extensions, DNSSEC)。本文档及其两个配套文档 ([RFC4034] 和 [RFC4035]) 更新、澄清并完善了 [RFC2535] 及其前身中定义的安全扩展。这些安全扩展包括一组新的资源记录类型 (resource record types) 以及对现有 DNS 协议 ([RFC1035]) 的修改。新记录和协议修改在本文档中并未完全描述, 但在第 10 节概述的一系列文档中进行了描述。第 3 节和第 4 节更详细地描述了安全扩展的能力和局限性。第 5 节讨论了文档集的范围。第 6、7、8 和 9 节讨论了这些安全扩展对解析器 (resolvers)、存根解析器 (stub resolvers)、区域 (zones) 和名称服务器 (name servers) 的影响。

本文档及其两个配套文档废止了 [RFC2535]、[RFC3008]、[RFC3090]、[RFC3445]、[RFC3655]、[RFC3658]、[RFC3755]、[RFC3757] 和 [RFC3845]。本文档集还更新了但并未废止 [RFC1034]、[RFC1035]、[RFC2136]、[RFC2181]、[RFC2308]、[RFC3225]、[RFC3007]、[RFC3597] 以及 [RFC3226] 中涉及 DNSSEC 的部分。

DNS 安全扩展为 DNS 数据提供源认证 (origin authentication) 和完整性保护 (integrity protection), 以及公钥分发 (public key distribution) 的手段。这些扩展不提供机密性 (confidentiality)。