DNS(Domain Name System，域名系统)[1][2]是重要的互联网基础设施，主要功能是将主机名映射为IP地址。DNS协议自身的安全缺陷使得它面临很多安全威胁。为了弥补DNS协议缺陷并抵御DNS安全威胁，人们开始考虑使用加密技术来增强DNS的安全性，并最终推动成为IETF标准协议DNSSEC(DNS SecurityExtensions，DNS安全扩展协议)[3][4][5]。它能够提供数据源认证和数据完整性保护，从而抵御大多数现有的DNS攻击[6]，并已经开始在根区和全球十多个项级域得到部署。CN顶级域作为全球较大的几个国家顶级域之一，服务节点分布在全球4个国家，域名注册量和解析量都较为庞大。经过相关测试发现，部署现有的DNSSEC协议将会面临一些较为重要的问题，包括区文件规模过度膨胀、网络流量剧增、服务性能下降、更易遭受DoS攻击等。因此，在CN节点实际实施DNSSEC之前，针对DNSSEC给现有DNS服务系统可能带来的影响进行评估，并提出相应的对策是非常有价值的研究内容。　　 本文以此为背景，对CN域下13个真实的区文件进行了DNSSEC签名及加载，并对区文件规模、加载区文件所需时间、所需内存及CPU资源等参数在签名前后的变化进行了测试，以此来评估DNSSEC的部署给当前DNS服务器系统资源带来的影响及挑战；接着深入分析和总结了DNSSEC在部署时将要面临的关键问题；之后详细介绍和研究了两种有望弥补DNSSEC部署缺陷的DNS安全解决方案--DNSCurve[7][8]和SK-DNSSEC[9]，在深入分析和比较两种方案优劣势的基础上，分别评估了它们与DNSSEC进行联合部署的可能性以及所带来的好处。基于以上研究以及CN顶级节点自身的特点，我们针对DNSSEC在CN顶级节点上的部署提出了一种混合部署方案，即在域名授权空间的高层部署PK-DNSSEC(即通常意义上的DNSSEC)，在低层部署SK-DNSSEC。该方案有助于增强DNS系统的安全性，减轻域名系统中各层DNS服务器的负担，减少网络流量，从而缓解DNSSEC的部署对DNS服务器系统资源的挑战以及对服务性能的影响，有助于推进DNSSEC在全球的大规模部署。