抗量子域名系统:全面的系统级研究
域名系统(DNS)作为互联网基础设施的核心组成部分,其基础协议仍面临量子计算攻击的潜在威胁。随着具备密码破译能力的量子计算机逐渐成为现实威胁,确保后量子时代的DNS机密性、真实性与完整性已成为当务之急。该研究团队针对三种广泛部署的DNS安全机制(DNSSEC、DNS-over-TLS(DoT)和DNS-over-HTTPS(DoH))展开了全面的系统级研究,提出“后量子密码学DNS”(PQC-DNS)统一框架,用于在传统密码体系、后量子密码体系及混合密码配置下评估DNS安全性。该工作基于开放量子安全(OQS)工具库,将基于格与哈希的原语集成至BIND9和TLS 1.3协议栈中,构建了形式化的性能与威胁模型,并量化分析了后量子密钥封装与数字签名对端到端DNS解析的影响。容器化测试平台的实验结果表明:基于格的原语(如模块化格密钥封装机制MLKEM)和Falcon签名方案具有可行的延迟与资源消耗特征,而SPHINCS+等哈希类方案会显著增加报文体积与处理开销。该研究还揭示了包括协议降级风险、数据分片漏洞及拒绝服务放大攻击等安全隐忧,为部署抗量子DNS提供了实践指南,为保障后量子时代互联网核心协议安全作出重要贡献。
