于世梁

(中共江西省委黨校，江西 南昌 330003)

美國為了防止其軍事系統(tǒng)在戰(zhàn)爭爆發(fā)時(shí)遭到打擊而癱瘓，于1969年由美國國防部高級研究計(jì)劃署(ARPA:AdvancedResearchProjectsAgency)開始嘗試開發(fā)一個(gè)稱為“阿帕網(wǎng)”(ARPANet:The AdvancedResearchProjectsAgencyNetwork)的計(jì)算機(jī)網(wǎng)絡(luò)。最初的阿帕網(wǎng)由美國西海岸的4個(gè)節(jié)點(diǎn)，即加州大學(xué)洛杉磯分校(UCLA)，斯坦福研究院(SRI)，加州大學(xué)圣巴巴拉分校(UCSB)和猶他大學(xué)(UTAH)構(gòu)成。當(dāng)這個(gè)實(shí)驗(yàn)性的計(jì)算機(jī)網(wǎng)絡(luò)表現(xiàn)出越來越優(yōu)越的性能和作用時(shí)，加入阿帕網(wǎng)的組織和機(jī)構(gòu)越來越多。1983年，美國國防部將阿帕網(wǎng)向民用領(lǐng)域開放，這一舉措使阿帕網(wǎng)發(fā)展成為今天的國際互聯(lián)網(wǎng)。

對于普通用戶而言，互聯(lián)網(wǎng)是一個(gè)充滿神奇魅力的虛擬世界，因?yàn)橹灰幸慌_(tái)電腦和一根網(wǎng)線，用戶就能進(jìn)入無所不能的網(wǎng)絡(luò)世界，而你卻不知道所看到的東西它身在何處。事實(shí)上，互聯(lián)網(wǎng)的運(yùn)作不僅有相應(yīng)的機(jī)構(gòu)進(jìn)行管理，而且還必須有相應(yīng)的軟件和硬件作為支撐?！案蛎?wù)器”就是支撐整個(gè)互聯(lián)網(wǎng)運(yùn)作最重要的基礎(chǔ)設(shè)施之一。

一、相關(guān)概念界定

1．域名和IP地址。

和電話必須擁有唯一的號碼才能連入電話系統(tǒng)一樣，計(jì)算機(jī)必須被賦予一個(gè)唯一標(biāo)識(shí)才能接入互聯(lián)網(wǎng)，這個(gè)標(biāo)識(shí)就是“IP地址”。IP地址由32位二進(jìn)制數(shù)組成，例如，“百度”的IP地址表達(dá)成十進(jìn)制形式是:202．108．22．5。由于數(shù)字型的 IP地址很難記住，不便于使用，所以訪問網(wǎng)絡(luò)時(shí)經(jīng)常使用由一組字符組成的“域名”來表示IP地址，例如，“百度”的域名為:www．baidu．com。

IP地址和域名表示的是互聯(lián)網(wǎng)中的同一臺(tái)計(jì)算機(jī)，就像電話號碼和它的擁有者的名字往往表示同一個(gè)電話一樣。但由于IP地址才是互聯(lián)網(wǎng)上計(jì)算機(jī)的唯一標(biāo)識(shí)，所以當(dāng)用域名訪問網(wǎng)絡(luò)時(shí)，必須將域名翻譯成IP地址后才能在互聯(lián)網(wǎng)中找到對應(yīng)的計(jì)算機(jī)。

把域名翻譯成IP地址的軟件稱為“域名系統(tǒng)”(DNS:DomainNameServer)。域名系統(tǒng)是一個(gè)分布式數(shù)據(jù)庫系統(tǒng)，它采用樹形結(jié)構(gòu)和分級授權(quán)的域名管理機(jī)制，將主機(jī)域名的管理授權(quán)給各級的域名服務(wù)器，形成一個(gè)分層結(jié)構(gòu)。在這個(gè)分層結(jié)構(gòu)中，最頂層的稱為“根域”，隨后是處于不同層級的“子域”。

一個(gè)完整的主機(jī)域名是從最下面的子域到根域的名字由點(diǎn)“．”連接而成的字符串。例如，北京大學(xué)網(wǎng)站的域名是:www．pku．edu．cn，在這個(gè)域名中，cn為頂級域名，edu．cn 為二級域名，pku．edu．cn為三級域名，www．pku．edu．cn為主機(jī)名。圖 1為互聯(lián)網(wǎng)中域名結(jié)構(gòu)示意圖[1][P339]。

圖1 互聯(lián)網(wǎng)中域名結(jié)構(gòu)示意圖

2．域名解析。

將域名翻譯成IP地址的過程稱為“域名解析”。網(wǎng)絡(luò)訪問能否成功，關(guān)鍵是域名能否被成功解析，即找到域名對應(yīng)的IP地址。域名解析是通過互聯(lián)網(wǎng)中的“域名服務(wù)器”(DNS服務(wù)器)來完成的。

域名服務(wù)器是裝有域名系統(tǒng)的主機(jī)，它除負(fù)責(zé)管理維護(hù)某個(gè)域名的權(quán)威數(shù)據(jù)外，還接受來自互聯(lián)網(wǎng)中有關(guān)域名的查詢請求。域名服務(wù)器分為本地域名服務(wù)器(LocalNameServers)和根域名服務(wù)器(RootNameServers)。本地域名服務(wù)器上存儲(chǔ)著域名到IP地址對應(yīng)關(guān)系的緩存數(shù)據(jù)，用于提供快速的域名解析服務(wù)。而根域名服務(wù)器保存著通用頂級域名(GTLD:GenericTopLevelDomain)和國家及地區(qū)頂級域名(CCTLD:CountryCodeTop LevelDomain)的數(shù)據(jù)。如常用的COM(商業(yè)/企業(yè))、NET(商業(yè)/網(wǎng)絡(luò))、ORG(非盈利組織)等都屬于通用頂級域名。而US(美國)、UK(英國)、CN(中國)、HK(香港)等屬于國家及地區(qū)頂級域名。

域名解析過程是從本地域名服務(wù)器開始的。如果本地域名服務(wù)器上有要查詢的記錄，就立即將查詢到的主機(jī)IP地址返回給發(fā)出請求的客戶端。如果本地域名服務(wù)器上沒有該主機(jī)的記錄，域名服務(wù)器就會(huì)向互聯(lián)網(wǎng)上最頂層的根域名服務(wù)器發(fā)出查詢請求，此時(shí)查詢將沿著根域二級域三級域四級域的順序進(jìn)行。如果找到了要查詢的主機(jī)IP地址，該地址將作為對查詢的響應(yīng)逐級上傳，沿著域名服務(wù)請求走過的路徑回傳到最初發(fā)出請求的客戶端，整個(gè)域名解析過程結(jié)束。域名解析過程如圖 2 所示[1][P340]。

圖2 域名的解析過程

在域名解析過程中，根域名服務(wù)器決定了某一個(gè)二級域名下所有主機(jī)域名的解析。由此可見，根域名服務(wù)器是互聯(lián)網(wǎng)中最重要的基礎(chǔ)設(shè)施之一。

3．根域名服務(wù)器。

在域名系統(tǒng)的分層樹型結(jié)構(gòu)中，處于最頂層的域名服務(wù)器是根域名服務(wù)器。由于受到域名解析協(xié)議中數(shù)據(jù)包大小的限制，根域名服務(wù)器最多只能有13臺(tái)，他們使用英文字母A至M來命名。在13臺(tái)根域名服務(wù)器中包括主根服務(wù)器(A)1個(gè)，設(shè)在美國弗吉尼亞州的杜勒斯，輔根服務(wù)器(B至M)12個(gè)，其中美國有9個(gè)，英國、瑞典、日本各1個(gè)。全球13臺(tái)域名根服務(wù)器位置以及IP地址[2]如下表所示:

名稱 位置 IP 地址A INTERNI．NET(美國弗吉尼亞州)198．41．0．4 B 美國信息科學(xué)研究所(美國加利弗尼亞州)128．9．0．107 C PSINet公司(美國弗吉尼亞州)192．33．4．12 D 馬里蘭大學(xué)(美國馬里蘭州)128．8．10．90 E 美國航空航天管理局(美國加利弗尼亞州)192．203．230．10 F 因特網(wǎng)軟件聯(lián)盟(美國加利弗尼亞州)192．5．5．241 G 美國國防部網(wǎng)絡(luò)信息中心(美國弗吉尼亞州)192．112．36．4 H 美國陸軍研究所(美國馬里蘭州)128．63．2．53 I Autonomica公司(瑞典斯德哥爾摩)192．36．148．17 J 威瑞信(VeriSign)公司(美國弗吉尼亞州)192．58．128．30 K RIPENCC(英國倫敦)192．0．14．129 L IANA(美國弗吉尼亞州)198．32．64．12 M WIDEProject(日本東京)

這13臺(tái)根域名服務(wù)器，保存著通用頂級域名(GTLD)和國家及地區(qū)頂級域名(CCTLD)，它們由美國商務(wù)部授權(quán)的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN:TheInternetCorporationforAssigned NamesandNumbers)統(tǒng)一管理。每個(gè)頂級域名由ICANN授權(quán)給某個(gè)注冊機(jī)構(gòu)進(jìn)行具體的管理，例如COM和NET域名的注冊和管理機(jī)構(gòu)是美國的威瑞信(VeriSign)公司，而CN域名的注冊和管理機(jī)構(gòu)是中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)。

二、根域名服務(wù)器與國家網(wǎng)絡(luò)信息安全

按照域名解析流程，在層級式域名解析體系中，處于最頂層的是根域名服務(wù)器，它負(fù)責(zé)管理世界各國的域名信息;根域名服務(wù)器下面是頂級域名服務(wù)器，存儲(chǔ)著相關(guān)域名管理機(jī)構(gòu)的數(shù)據(jù)庫;再下一級是域名數(shù)據(jù)庫和互聯(lián)網(wǎng)服務(wù)提供商(ISP:InternetServiceProvider)的緩存服務(wù)器[2]。盡管在根域名服務(wù)器中沒有存儲(chǔ)每個(gè)域名的具體信息，但其中儲(chǔ)存了負(fù)責(zé)每個(gè)域(如 COM、NET、ORG、CN等)的解析域名服務(wù)器的地址信息。

通過上面對域名解析過程的分析可知，如果提供接入服務(wù)的本地域名服務(wù)器上沒有保存某個(gè)域名到IP地址對應(yīng)關(guān)系的緩存數(shù)據(jù)，則域名轉(zhuǎn)化為IP地址的請求，都必須經(jīng)過根域名服務(wù)器的指引才能到達(dá)相應(yīng)的域名服務(wù)器找到對應(yīng)的IP地址。所以，從理論上來說，無論是COM形式的域名，還是CN形式的域名，都必須經(jīng)過根域名服務(wù)器才能順利地實(shí)現(xiàn)域名的解析。所以，根域名服務(wù)器在互聯(lián)網(wǎng)中處于十分重要的地位。

從某種意義上說，根域名服務(wù)器就是互聯(lián)網(wǎng)的命脈，如果這13臺(tái)根域名服務(wù)器中的某一臺(tái)或幾臺(tái)出現(xiàn)故障，或遭到黑客攻擊而停止服務(wù)，則域名解析有可能無法進(jìn)行，那些依靠這些域名系統(tǒng)支持的互聯(lián)網(wǎng)應(yīng)用和服務(wù)將停止工作。

2002年10月21日，13臺(tái)根域名服務(wù)器遭受到了有史以來規(guī)模最大的一次網(wǎng)絡(luò)攻擊。在大約1個(gè)小時(shí)的時(shí)間內(nèi)，黑客調(diào)用了上千臺(tái)“僵尸”計(jì)算機(jī)(“僵尸”計(jì)算機(jī)指被黑客利用參與網(wǎng)絡(luò)攻擊的計(jì)算機(jī))對根域名服務(wù)器進(jìn)行了攻擊，導(dǎo)致其中的9臺(tái)喪失了對網(wǎng)絡(luò)通信的處理能力，網(wǎng)絡(luò)出現(xiàn)局部癱瘓。

2007年2月5日晚，13個(gè)根域名服務(wù)器中的3個(gè)遭受到黑客的攻擊，其中包括運(yùn)行“ORG”域名的根域名服務(wù)器和美國國防部運(yùn)行的一個(gè)根域名服務(wù)器。盡管這次攻擊事件沒有對互聯(lián)網(wǎng)應(yīng)用造成太大的影響，但根域名服務(wù)器的安全問題引起了全球網(wǎng)絡(luò)安全專家的關(guān)注。

2010年1月12日7時(shí)左右，“百度”首頁出現(xiàn)大面積的訪問故障，全國絕大多數(shù)地區(qū)均無法訪問“百度”網(wǎng)站，直至中午12時(shí)訪問才陸續(xù)恢復(fù)。事后調(diào)查發(fā)現(xiàn)，出現(xiàn)這次事故的原因是美國負(fù)責(zé)“百度”域名解析的根域名服務(wù)器遭到了黑客攻擊。

由于美國在互聯(lián)網(wǎng)建設(shè)和發(fā)展中所處的先天優(yōu)勢，使得它擁有全球13個(gè)根域名服務(wù)器中的1個(gè)主根服務(wù)器和9個(gè)輔根服務(wù)器。1998年10月，美國商務(wù)部組建了互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(ICANN)，負(fù)責(zé)根域名服務(wù)器的管理，包括IP地址的空間分配、協(xié)議標(biāo)識(shí)符的指派、頂級域名的管理等。盡管ICANN為一家非營利機(jī)構(gòu)，但美國商務(wù)部卻擁有最終否決權(quán)。美國商務(wù)部曾經(jīng)承諾，當(dāng)ICANN滿足一定條件時(shí)將放棄最終的否決權(quán)，并將最后的期限定為2006年。然而，2005年7月1日，美國政府宣布，美國商務(wù)部將繼續(xù)與ICANN簽訂合約，將無限期保留對13臺(tái)根域名服務(wù)器的管理權(quán)。

憑借對根域名服務(wù)器的管理權(quán)，美國可以屏蔽掉某些國家的頂級域名，使這些域名無法得到解析。通過這樣一場沒有硝煙的戰(zhàn)爭，美國可以讓一個(gè)國家在互聯(lián)網(wǎng)中瞬間消失。2003年伊拉克戰(zhàn)爭期間，美國政府就曾授意ICANN終止對伊拉克國家項(xiàng)級城名IQ的解析，致使所有以IQ為后綴的網(wǎng)站瞬間從互聯(lián)網(wǎng)上消失了。2004年4月，由于在頂級域名管理權(quán)問題上與美國發(fā)生分歧，利比亞頂級域名LY突然癱瘓，讓利比亞在互聯(lián)網(wǎng)世界里消失了整整4天。美國還于2008年曾切斷過古巴、朝鮮、蘇丹等國的MSN即時(shí)網(wǎng)絡(luò)通訊，使這些國家的用戶無法使用MSN。

正是由于美國對根域名服務(wù)器擁于絕對的控制權(quán)，所以互聯(lián)網(wǎng)已成為美國在全球推行其強(qiáng)權(quán)政治的重要工具，根服務(wù)器也成為影響國家網(wǎng)絡(luò)信息安全的重大隱患。

三、保障我國網(wǎng)絡(luò)信息安全的對策

由于13臺(tái)根域名服務(wù)器仍由美國政府授權(quán)的ICANN所掌控，所以無論這些根域名服務(wù)器放置在何處，互聯(lián)網(wǎng)最終都無法擺脫美國的控制。我國是互聯(lián)網(wǎng)發(fā)展最快的國家之一，網(wǎng)絡(luò)用戶已經(jīng)世界第一，如果哪一天美國關(guān)閉域名系統(tǒng)中的CN后綴，或?qū)⒎峙浣o中國境內(nèi)使用的IP地址取消，我國大多數(shù)的網(wǎng)站有可能瞬間癱瘓。為了保障我國的國家網(wǎng)絡(luò)信息安全，我們必須盡力設(shè)法擺脫美國對互聯(lián)網(wǎng)的制約，建立一個(gè)相對安全的網(wǎng)絡(luò)體系。

1．完善CN下的二級域名注冊。

在目前的互聯(lián)網(wǎng)域名體系下，COM、NET等域名均由國外公司負(fù)責(zé)管理，網(wǎng)絡(luò)安全無法得保證。而CN下的域名由中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)負(fù)責(zé)管理，盡管注冊CN下的域名無法徹底擺脫美國的控制，但它至少可以規(guī)避一些來自外部的風(fēng)險(xiǎn)。這主要表現(xiàn)在三個(gè)方面:

一是可以提高域名訪問的穩(wěn)定性。在大多數(shù)情況下，CN域名主要通過國內(nèi)的域名服務(wù)器解析。由于中國互聯(lián)網(wǎng)絡(luò)信息中心在全國設(shè)置了多個(gè)負(fù)責(zé)CN域名解析的域名服務(wù)器，保證了訪問CN域名下的網(wǎng)站更為穩(wěn)定快捷。

二是可以提高國家網(wǎng)絡(luò)信息的安全性。由于COM或NET形式的域名由國外的相關(guān)機(jī)構(gòu)管理，一旦國外域名公司不再為我國用戶提供域名解析，這類域名的網(wǎng)絡(luò)服務(wù)將徹底中斷。而CN在國內(nèi)設(shè)置了根域名鏡像服務(wù)器，即使在根域名服務(wù)器中止CN域名解析這種極端情況發(fā)生時(shí)，至少能保證大多數(shù)CN下的域名在國內(nèi)能正常訪問。

三是在出現(xiàn)域名糾紛時(shí)更容易得到解決。根據(jù)國際慣例，域名糾紛的解決通常適用域名注冊管理機(jī)構(gòu)所在地法律。如果注冊由國外機(jī)構(gòu)負(fù)責(zé)管理的域名，將對解決域名糾紛帶來很大的不便。而有關(guān)CN域名的糾紛將根據(jù)我國的法律解決，這樣可以避免因注冊國外域名而面臨的國際訴訟風(fēng)險(xiǎn)。

正因如此，對于如政府網(wǎng)站、金融證券網(wǎng)站、電子商務(wù)網(wǎng)站等重要網(wǎng)站，應(yīng)當(dāng)注冊并使用CN域名，以減少由于注冊其它域名而帶來的風(fēng)險(xiǎn)。

2．在IPV6技術(shù)條件下建立自己的根域名服務(wù)器。

要想徹底擺脫美國對互聯(lián)網(wǎng)的控制，維護(hù)國家網(wǎng)絡(luò)信息安全，最終出路就是建立自己的根域名服務(wù)器。然而，在現(xiàn)行的網(wǎng)絡(luò)運(yùn)行條件下，域名解析已經(jīng)被美國牢牢控制，我們不可能去建立自己的根域名服務(wù)器。唯一的希望，只能寄托于下一代互聯(lián)網(wǎng)技術(shù)IPV6。

IPV6是指互聯(lián)網(wǎng)通信協(xié)定第6版(Internet ProtocolVersion6)，它是替代當(dāng)前IPV4的下一代互聯(lián)網(wǎng)協(xié)議版本。IPV4是目前使用的互聯(lián)網(wǎng)通信協(xié)議，它的最大問題是可分配的IP地址太少。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是物聯(lián)網(wǎng)(TheInternetof things)時(shí)代的到來，將來我們身邊的每一樣?xùn)|西如冰箱、彩電都需要連入互聯(lián)網(wǎng)，而這些東西都需要有一個(gè)IP地址。IP地址的嚴(yán)重不足，使IPv6應(yīng)運(yùn)而生。

IPV6不僅可以大大擴(kuò)展IP地址的數(shù)量，解決網(wǎng)絡(luò)地址資源數(shù)量不足的問題。而且，在IPV6發(fā)展的過程中，根域名服務(wù)器設(shè)置也將隨之調(diào)整，這為我們建立自己的完全獨(dú)立的根域名服務(wù)器體系提供了契機(jī)。令人欣慰的是，我國政府和科技界已經(jīng)看到了建立自己的根域名服務(wù)器對保障國家網(wǎng)絡(luò)信息安全的重要性。中科院計(jì)算機(jī)網(wǎng)絡(luò)信息中心已經(jīng)開始了基于IPV6根域名服務(wù)器的研究，建立了IPV6試驗(yàn)網(wǎng)，解決了IPV6環(huán)境下設(shè)置根域名服務(wù)器的一系列關(guān)鍵技術(shù)。建立IPV6根域名服務(wù)器，將為我國規(guī)?；渴餓PV6網(wǎng)絡(luò)域名系統(tǒng)提供有力的技術(shù)支撐，對保障國家網(wǎng)絡(luò)信息安全具有十分重要的作用。

[1]馮博琴，陳文革．計(jì)算機(jī)網(wǎng)絡(luò)[M]．北京:高等教育出版社，2004．

[2]閔江，平淡，滄海．切斷互聯(lián)網(wǎng)可能嗎?[J]．電腦愛好者，2012，(18)．