DNSSEC协议逐层数字签名的分层结构牵涉到复杂的多次手工滚动交换密钥，造成其在互联网上的实际部署率很低。基于PKI的DNS安全防护方案，开发了一个验证程序，基于私有云搭建测试环境进行仿真测试，针对DNS记录的数据响应延迟和存储消耗两个指标与DNSSEC方案进行比较，结果表明，采用CA证书的DNS防护方案能有效减少各层权威DNS服务器的存储开销并降低DNS解析响应延迟。

• 单位
  扬州职业大学