网络的不断发展使得信息安全成为网络应用不可缺少的技术基础，网络信息系统需要保护其真实性、保密性、完整性以及可追究性。公钥密码技术是信息安全的核心技术，它给电子商务的发展带来了光明的前景，但公钥密码技术存在密钥归属问题。PKI是基于公钥密码技术解决信息安全问题的一套完整的解决方案，它采用证书管理公钥，通过第三方的可信任机构-认证中心CA(CertificateAuthority)，把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起，形成证书链在Internet上验证用户的身份。然而PKI系统中存在大量的问题，并不能满足所有的应用需求。　　 DNS(Domain Name System，域名系统)是重要的互联网基础设施，通过域名解析系统将主机名映射到IP地址。实际上，DNS是Internet上的一个标准机制，用来发布和访问关于主机的各种信息，而不只是地址。主机名只是这个分布式数据库的一个索引，Internet上的任何实体标识，无论其语法和结构如何，都可以转化成域名空间中的一个名字。DNSSEC是DNS安全扩展，是由IETF提供的一系列DNS安全认证的机制，它可以解决DNS系统中的除了DOS和DDOS以外的大部分安全问题，目前已经大范围部署。在DNSSEC保证数据完整性和真实性的前提下，通过在DNS中存储身份和公钥信息，成为发布公钥信息的一种手段，可以解决公钥密码技术中的密钥归属问题。　　 本文在DNSSEC全面部署、DNS系统可以安全稳定运行的前提下，利用DNSSEC的信任锚点，设计一种简单、灵活的公钥发布机制，各种安全协议都能使用这些密钥信息进行实体的安全通信。该机制可以独立工作，也可以作为PKI的附加验证方式。本文在DNS服务器ZEBRA-0.2上实现对该机制的支持，同时设计一套简单客户端接口API和一个邮件客户端的应用实例。