1.一個基于開源DNS軟件的自證根實現方法，所述自證根為一個根區數據本身可自證來源真實性的安全DNS加密方案，自證根主要包含三個設計目標：

一、膠水簽名：對膠水記錄添加來自頂級域權威的數字簽名，令根區膠水記錄來源可公開驗證；自證根在開源DNS軟件bind中實現服務器端膠水簽名；

二、公鑰釘：解析器采用公鑰白名單或首用信任的方法來獲得頂級域公鑰；

三、雙重簽名：當頂級域密鑰滾動時，新的頂級域公鑰證書需要來自根權威和頂級域權威的兩個簽名；

水簽名、公鑰釘以及雙重簽名在開源DNS軟件bind中實現的；

于，自證根在開源DNS軟件bind中實現服務器端膠水簽名的過程包括：

(1)服務器配置：

(1.1)先進行頂級域服務器的配置，包含配置系統環境、配置頂級域區文件、配置named服務器中的選項；其中，配置頂級域區文件的步驟如下：

(1.1.1)建立區文件，添加TTL記錄、頂級域SOA記錄、頂級域NS記錄和對應的A記錄；

(1.1.2)使用dnssec-keygen工具生成頂級域DNSKEY記錄(DNSKEY記錄包含KSK和ZSK密鑰)，將生成的密鑰添加到所述頂級域區文件中；

(1.1.3)使用dnssec-signzone工具生成對頂級域區文件進行簽名，生成相關記錄的RRSIG和NSEC記錄，所述的相關記錄包含根區的膠水記錄；

(1.2)再進行根服務器的配置，因為根服務器的區文件中的頂級域DS記錄需要在完成頂級域服務器配置后才能獲得；

根服務器的配置包含配置系統環境、配置區文件、配置named服務器中的options；其中，區文件內容除包含根區本身的TTL記錄、SOA記錄、NS記錄和名稱服務器對應的A記錄外，還需要加入頂級域NS記錄和頂級域名稱服務器對應的A記錄，以及頂級域區文件簽名成功后生成的DS記錄；

(2)信任鏈合成，其過程為：

(2.1)建立根服務器的區文件時添加頂級域密鑰；

(2.2)對根區文件進行簽名后，生成頂級域NSEC記錄；

(2.3)在簽名后的根區文件中，添加頂級域DNSKEY記錄的簽名和NS記錄的簽名，生成一條由根到頂級域的信任鏈；

(3)查詢驗證，

在遞歸解析器上向根服務器查詢頂級域NS記錄，并進行DNSSEC驗證，驗證成功即得到一條由根到頂級域的完整信任鏈，其過程具體包括：

(3.1)配置遞歸解析器，開啟遞歸選項，配置信任錨為根服務器的KSK；

(3.2)在遞歸解析器中，使用dig工具向根服務器查詢頂級域NS記錄，并使用sigchase選項進行DNSSEC驗證。