域名系统（Domain Name System,DNS）是互联网的一项基础服务,提供了域名到IP地址的转换。DNS系统设计之初是在可信的环境里运行,但如今互联网环境复杂,使得DNS协议的脆弱性显现出来。因此本文总结了DNS系统的安全问题,大致可以分为两类:一是DNS协议存在的安全漏洞;二是DNS系统结构极度中心化造成的权利滥用风险。针对上述问题,本文提出并仿真实现了一种带取证分析扩展的DNS安全扩展系统,以及一种可扩展的分布式DNS系统。本文的研究工作及成果主要有以下几点:1)详细分析了DNS系统面临的安全挑战,梳理DNS系统应对安全挑战的技术演进路线。包括传统DNS系统的安全性扩展技术,以及新型分布式DNS系统架构设计这两方面的技术发展和成果。定量分析了传统DNS系统被攻击者成功实施缓存中毒攻击的概率。2)分析DNS安全扩展（Domain Name System Security Extensions,DNSSEC）推广与应用中存在的问题,指出在DNSSEC部署时增强取证分析功能的必要性。提出了一种带取证分析扩展的DNSSEC系统的方案。搭建环境仿真实现了该方案,实现了DNSSEC系统部署和异常数据提取。3)提出了一种结合了联盟链Hyperledger Fabric和分布式文件系统IPFS（Inter Planetary File System）技术的可扩展性分布式DNS系统。其中,针对组织的重要域名以交易方式,永久地、安全地计入超级账本,实现链上域名管理。而组织内部的机构、团队和个人所的域名称为扩展域名,采用分布式存储的方式,实现链下域名管理。论文仿真实现了该链上域名/链下扩展域名相结合的DNS系统。同时对两类域名的域名注册和域名解析的处理流程进行了详细说明。4)为了保障扩展域名的安全性,对链下扩展域名数据文件的内容以及内容标识符CID（Content-ID）进行数字签名,并为签名验证建立了信任链体系。论文给出了信任链处理过程以及链上和链下所存储的数据结构。最后对包含信任链机制的可扩展分布式DNS系统进行了仿真实现,通过功能测试证明了整个方案的可行性。