蘇 嘉，李 原，王一雯，金 樺

（中國信息通信研究院，北京 100191）

域名系統(tǒng)是實現(xiàn)幾乎所有互聯(lián)網(wǎng)應(yīng)用定位和尋址的基礎(chǔ)。憑借存儲所有頂級域名的權(quán)威記錄，根域名系統(tǒng)（由根區(qū)文件和根服務(wù)器構(gòu)成）深刻影響全球互聯(lián)網(wǎng)的穩(wěn)定運行，是最關(guān)鍵的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。然而，根區(qū)文件高度集中管理，根/鏡像服務(wù)器地理上密集部署，為全球互聯(lián)網(wǎng)安全帶來巨大挑戰(zhàn)[1-6]。

2014年以來，在美國政府有條件放棄對IANA監(jiān)管權(quán)政策的推動下，全球根管理格局和根技術(shù)架構(gòu)都經(jīng)歷了微妙變化，并逐步成為全球聚焦熱點。在我國，中央領(lǐng)導(dǎo)高度重視當(dāng)前爭取根自主管理的機遇和挑戰(zhàn)，把掌握根服務(wù)器和根區(qū)文件管控權(quán)上升到保障國家網(wǎng)絡(luò)空間安全的戰(zhàn)略高度。因此，從根管理政策、服務(wù)器部署技術(shù)和鏡像部署3方面，深入探討全球根域名系統(tǒng)布局環(huán)境及發(fā)展趨勢，是支撐相關(guān)部門理清全球根系統(tǒng)發(fā)展脈絡(luò)，把握轉(zhuǎn)型機遇，推動實現(xiàn)多方共享根系統(tǒng)管理的前提和保證。

1 根域名系統(tǒng)及其管理模式的演進

1.1 根服務(wù)器分布的歷史沿革

在互聯(lián)網(wǎng)最初發(fā)展階段，每臺主機通過配置定期更新的Hosts文件實現(xiàn)全網(wǎng)解析。為應(yīng)對互聯(lián)網(wǎng)規(guī)模擴張，20世紀80年代IETF發(fā)布了RFC1034和RFC1035標(biāo)準，成為構(gòu)建分布式、層次化DNS系統(tǒng)的技術(shù)基礎(chǔ)。

根域名系統(tǒng)正是在此基礎(chǔ)上發(fā)展起來的。到1997年全球共部署13個根服務(wù)器，受到DNS報文長度限制無法繼續(xù)擴展。為突破根節(jié)點數(shù)量限制，提供快速、穩(wěn)定、安全的根解析服務(wù)，2002年以來多個根廣泛采用Anycast技術(shù)大規(guī)模擴張根鏡像節(jié)點，目前達到400余根節(jié)點，初步形成覆蓋全球各大洲的大規(guī)模、分布式根域名解析網(wǎng)絡(luò)（見表1）。

表1 根/鏡像服務(wù)器全球分布統(tǒng)計

1.2 根管理模式分析及影響因素

根系統(tǒng)管理由“服務(wù)器管理”和“根區(qū)文件管理”兩部分構(gòu)成?！胺?wù)器管理”是由13個運營機構(gòu)開展網(wǎng)絡(luò)、服務(wù)器等硬件和解析系統(tǒng)、安全保障等軟件環(huán)境的維護?！案鶇^(qū)文件管理”是對加載在根服務(wù)器上的頂級域?qū)ぶ肺募目刂?，是轉(zhuǎn)移互聯(lián)網(wǎng)管理權(quán)，變革全球“根管理格局”和“互聯(lián)網(wǎng)治理格局”的核心（見圖1）。

圖1 全球根區(qū)文件管理主體和流程

全球根管理基本格局是美國政府主導(dǎo)的2份合同確定：第一，美國電信和信息管理局NTIA與ICANN簽訂合同，授權(quán)ICANN履行IANA職能；第二，NTIA與Verisign簽訂合同，授權(quán)Verisign開展根區(qū)文件運營維護。通過上述2份合同，任何對于根區(qū)文件的增加、修改和刪除操作，都要經(jīng)過3個步驟：

1）ICANN審核相關(guān)申請是否符合相關(guān)域名政策，若無誤則提交NTIA。

2）NTIA審核ICANN是否正確完成工作，授權(quán)后將請求提交Verisign。

3）Verisign檢查該請求的技術(shù)正確性（如域名服務(wù)器是否在線等），將相關(guān)條目注入根區(qū)數(shù)據(jù)庫并向13個根服務(wù)器分發(fā)。

在法律關(guān)系的限制下，美國政府對根區(qū)文件運營者ICANN和維護商Verisign都具有話語權(quán)，實現(xiàn)了美國政府對根系統(tǒng)的單邊控制權(quán)。三主體及其相互制約關(guān)系共同形成了當(dāng)前根區(qū)管理模式，也是推動根區(qū)管理去美國政府化的重要切入點。

1.3 變更根管理權(quán)的機遇與挑戰(zhàn)

由于美國政府掌握修訂根區(qū)文件的最終審批權(quán)，世界各國都面臨美國刪除、篡改和劫持本國頂級域的風(fēng)險，國際社會對美國壟斷根管理權(quán)普遍不滿，要求改變美國控制全球互聯(lián)網(wǎng)最終解釋權(quán)的呼聲越來越高。多方壓力下，2014年初美國商務(wù)部宣布2015年9月將有條件放棄對IANA的監(jiān)管權(quán)。

在具體操作層面，成立了IANA職能管理權(quán)移交協(xié)調(diào)工作組（ICG），從兼容性、互操作性方面評估域名、IP地址和協(xié)議參數(shù)3個社群所提出的移交方案，整合后遞交NTIA審議。其中，域名職能跨社群工作組（CWG）方案與轉(zhuǎn)移根管理權(quán)密切相關(guān)。若移交進程順利開展，將在一定程度上改變美國單邊治理局面，但是移交面臨巨大不確定性風(fēng)險：

第一，CWG方案尚未解決關(guān)鍵問題，影響ICG整體方案進度，預(yù)計9月前難以順利完成方案整合、公眾評議、NTIA評議等諸多流程。

第二，確定ICANN問責(zé)機制是與IANA管理權(quán)移交相互關(guān)聯(lián)的進程，但進展緩慢影響了整體協(xié)調(diào)推進。

第三，憑借NTIA提出的4項原則及美國互聯(lián)網(wǎng)產(chǎn)業(yè)強大實力，移交過程完全由美國主導(dǎo)完成，存在諸多不可控因素。

綜上，預(yù)計移交方案難以按時完成（見圖2）并獲得各利益相關(guān)方及美國政府的一致認可?？紤]到IANA職能合同到期后還可續(xù)簽2次（每次2年），未來2～4年面臨根管理方案從NTIA單邊向全球多方共治過渡的重要機遇。

2 根域名系統(tǒng)部署技術(shù)的發(fā)展

2.1 根服務(wù)器部署技術(shù)面臨變革需求

RFC1034和RFC1035奠定了包含根服務(wù)器在內(nèi)的域名系統(tǒng)技術(shù)基礎(chǔ)。默認情況下，DNS協(xié)議基于UDP報文傳輸，且報文尺寸限制在512 byte以內(nèi)，當(dāng)大于512 byte時采用TCP傳輸。出于安全穩(wěn)定運行的考慮，512 byte的DNS UDP響應(yīng)消息中最多能容納13個根服務(wù)器，為實現(xiàn)根服務(wù)器廣泛分布，保證系統(tǒng)安全穩(wěn)定運行，采用Anycast技術(shù)面向全球部署鏡像節(jié)點。

圖2 IANA職能移交時間表

隨著互聯(lián)網(wǎng)新技術(shù)和新業(yè)務(wù)的不斷發(fā)展演進，根服務(wù)器部署技術(shù)面臨變革需求，相關(guān)技術(shù)也在不斷推進實施中。第一，IPv6地址尺寸是IPv4地址的4倍，只要增加2個根的IPv6地址信息，DNS響應(yīng)報文尺寸將超過上限，若記錄13個根IPv6地址，響應(yīng)報文將增加到811 byte，遠超出512 byte的限制。第二，DNSSEC大幅增加DNS響應(yīng)報文尺寸，僅采用一種簽名算法生成RRSIG資源記錄，DNSSEC響應(yīng)報文尺寸將增加到7～10倍。第三，隨著物聯(lián)網(wǎng)蓬勃發(fā)展，擺脫當(dāng)前根解析系統(tǒng)，構(gòu)筑安全自主的物聯(lián)網(wǎng)標(biāo)識解析體系也逐漸成為全球關(guān)注的熱點。

2.2 根體系架構(gòu)變革思路分析

為應(yīng)對技術(shù)和業(yè)務(wù)不斷發(fā)展的訴求，以及共享根管理權(quán)的呼聲，業(yè)內(nèi)不斷提出多項調(diào)整根系統(tǒng)架構(gòu)的技術(shù)方案，在拓展DNS報文尺寸、重構(gòu)解析系統(tǒng)等方面都有所進展，其中部分方案已在具體部署中得到實施，成為變革根系統(tǒng)架構(gòu)的基礎(chǔ)。

1）拓展DNS報文長度

IETF提出了EDNS0機制，通過在DNS消息中增加字段，允許DNS請求者公布其UDP數(shù)據(jù)包大小，通知服務(wù)器自己可接收的UDP數(shù)據(jù)報文的最大數(shù)據(jù)容量，避免采用TCP重傳帶來的效率下降或通信失敗。

2）重構(gòu)解析系統(tǒng)

構(gòu)建物聯(lián)網(wǎng)終端標(biāo)識解析體系引起全球關(guān)注，除利用DNS協(xié)議或者基于現(xiàn)有DNS系統(tǒng)部署物聯(lián)網(wǎng)解析系統(tǒng)外，也涌現(xiàn)出構(gòu)建全新的根解析架構(gòu)，例如Handle系統(tǒng)在全球部署4個根，根間獨立、平等、協(xié)同運行，每個根可自主實施本國根區(qū)管理，通過根間合作完成跨國尋址。

3）改良根解析系統(tǒng)

在根服務(wù)器可擴展和根區(qū)文件安全傳輸?shù)燃夹g(shù)基礎(chǔ)上，2014年全球產(chǎn)業(yè)各方（包括我國CNNIC、ZDNS、BII等）密集提出多項關(guān)于拓展全球根系統(tǒng)的建議，其中不乏革命性變革的技術(shù)方案，雖然各項技術(shù)的可行性尚未形成定論，但充分體現(xiàn)出全球調(diào)整根體系架構(gòu)的強烈意愿及發(fā)展方向。例如：Google提出遞歸服務(wù)器緩存全部根區(qū)文件，是對當(dāng)前根鏡像架構(gòu)的極大拓展，使傳統(tǒng)意義上根鏡像服務(wù)器及其管理權(quán)向遞歸層面延伸；方濱興院士提出借鑒自治域間路由對等擴散的思路，建立國家級頂級域名聯(lián)盟，采用“域名對等擴散”方法通過可信通道交換TLD信息，增強我國自治根域名解析系統(tǒng)健壯性。

3 我國根鏡像服務(wù)器建設(shè)和服務(wù)水平分析

3.1 我國根解析性能和鏡像部署水平的國際對比

2003年以來，我國已陸續(xù)引入4個根的多鏡像節(jié)點，其中兩個F根鏡像服務(wù)器分別接入中國電信和CNNIC網(wǎng)絡(luò)，J根鏡像服務(wù)器接入聯(lián)通網(wǎng)絡(luò)，I根和L根接入CNNIC網(wǎng)絡(luò)。然而，我國根鏡像部署進程緩慢，在引入規(guī)模、解析質(zhì)量和輻射范圍等方面落后于國際水平。解析性能對比分析詳見表2。

資產(chǎn)與經(jīng)營方面，目前城投集團的資產(chǎn)經(jīng)營主要集中在房屋拍賣、房屋出租、廣告經(jīng)營、房產(chǎn)開發(fā)等幾個方面，雖有一定成效，但層面不夠?qū)挘诰虿粔蛏?，走得不夠遠.加強盈利能力，轉(zhuǎn)變發(fā)展模式，創(chuàng)造新的贏利點，投入更多的精力在資產(chǎn)經(jīng)營管理上，積極占有城市資源，探索適合自己的商業(yè)模式.

表2 解析性能對比分析

第一，全球根及其鏡像節(jié)點的全球分布極不均衡，美國鏡像節(jié)點數(shù)量是中國的15倍，巴西、德國、日本、法國、澳大利亞、加拿大等國的根鏡像節(jié)點數(shù)量是中國的2～3倍。

第二，節(jié)點密集程度直接影響解析性能，根據(jù)TEAM CYMRU監(jiān)測結(jié)果，各國對不同根解析的時延差異極大。我國平均根解析性能遠低于發(fā)達國家，其中未引入根的訪問性能遠低于發(fā)達國家水平，已引入根的性能也普遍低于發(fā)達國家水平。

第三，各國部署根/鏡像節(jié)點定位和國際輻射范圍存在顯著差異。以F根為例，日本、北美和歐洲交換中心F根鏡像節(jié)點服務(wù)范圍非常廣泛（如圖3所示）。在中國、印度和澳大利亞互聯(lián)網(wǎng)物理連接故障時，新加坡為3國提供J根解析的冗余保障。我國引入的鏡像僅服務(wù)于國內(nèi)特定網(wǎng)絡(luò)范圍，與我國互聯(lián)網(wǎng)在東南亞地區(qū)甚至全球的影響力極不相稱。

圖3 F根/鏡像輻射范圍（截圖）

圖3中，編號4，6，10，17，23，30，33，36，41，44，45，52，53，56，58為歐洲節(jié)點；編號5，29，32，37，40，42，49，59，60為北美節(jié)點；編號9，19，46，57為南美節(jié)點；編號11，12，20，24，25，27，35，43，47，48，51，55為亞洲節(jié)點；編號22，34為非洲節(jié)點。

3.2 我國根鏡像國內(nèi)服務(wù)水平分析

我國訪問各根的解析時延取決于所訪問根節(jié)點的地理位置和網(wǎng)絡(luò)位置。國內(nèi)的F、J和L鏡像支持電信、聯(lián)通、鵬博士用戶訪問，移動/鐵通訪問香港交換中心的F和I根鏡像以及北美的J和L鏡像。而我國主導(dǎo)運營商主要訪問日本、香港、臺灣的I根鏡像，國內(nèi)I鏡像服務(wù)少量用戶。由于我國訪問的F、I、J、L節(jié)點主要分布于亞洲地區(qū)，且網(wǎng)間互通帶寬較高，因此4個根服務(wù)性能明顯優(yōu)于其他海外節(jié)點，相對而言，訪問歐美根節(jié)點的性能較差，美國根解析時延在200 ms以上，見表3。

從國內(nèi)性能解析分布來看，根解析性能與根節(jié)點接入網(wǎng)絡(luò)和部署地點密切相關(guān)。以聯(lián)通L根鏡像覆蓋和服務(wù)情況（見圖4）為例，移動/鐵通訪問美國節(jié)點的解析性能較差，達200 ms以上，電信和鵬博士3月訪問法國節(jié)點，解析性能遠差于9月訪問國內(nèi)節(jié)點。

表3 我國訪問各根節(jié)點分布和性能統(tǒng)計

3.3 鏡像網(wǎng)絡(luò)覆蓋能力的深度分析

目前，我國已引入根鏡像節(jié)點并未實現(xiàn)對境內(nèi)各運營商以及周邊地區(qū)的廣泛服務(wù)，存在不同程度的訪問盲區(qū)現(xiàn)象。這主要是根運營管理機構(gòu)和根引入機構(gòu)調(diào)整路由通告策略所致，限制了根節(jié)點的服務(wù)范圍。

圖4 我國各運營商L根解析性能統(tǒng)計

1）根管理機構(gòu)的路由策略

2）運營商的路由策略

根鏡像引入企業(yè)也可能有針對性地選擇通告根地址前綴的網(wǎng)絡(luò)范圍，例如，考慮到需向主導(dǎo)運營商支付流量結(jié)算費用，引入根鏡像的中小運營企業(yè)可能不向主導(dǎo)運營商通告。接入香港交換中心的運營商能夠得到部分根的優(yōu)質(zhì)服務(wù)，移動和鐵通優(yōu)先選擇香港節(jié)點。

4 推進我國構(gòu)建自主根系統(tǒng)的策略思考

伴隨美國移交IANA監(jiān)管權(quán)，我國面臨爭取根自主的歷史機遇。在此背景下，加強我國根發(fā)展策略的頂層設(shè)計，堅持“根管理權(quán)積極競爭”和“根鏡像科學(xué)部署”兩條主線并重，以提升我國根解析性能和逐步掌握互聯(lián)網(wǎng)控制權(quán)為總體發(fā)展目標(biāo)，推動我國以多樣化方式訪問、部署根鏡像服務(wù)器，增強我國在全球互聯(lián)網(wǎng)治理領(lǐng)域的國際話語權(quán)。

第一，加強根部署技術(shù)和管理模式的創(chuàng)新研究，并提出可行方案，積極應(yīng)對全球根域名系統(tǒng)變革。轉(zhuǎn)型期在共享根管理權(quán)和拓展根數(shù)量方面存在很多機會，鼓勵科研單位、企業(yè)加強關(guān)鍵技術(shù)和管理權(quán)轉(zhuǎn)移方案的研究，以協(xié)會、聯(lián)盟等模式推動各方形成合力，提出可行方案。

第二，充分利用IETF、ICANN等渠道和平臺，加強國際合作交流，增強我國在互聯(lián)網(wǎng)治理領(lǐng)域的影響力和話語權(quán)。融入國際根架構(gòu)調(diào)整、根管理、根運行維護、支撐資助等機構(gòu)發(fā)起的多層次活動，并展開深度溝通合作，爭取在相關(guān)國際機構(gòu)發(fā)出我國的聲音，先參與、再發(fā)聲，逐步形成我國的影響力。積極向IETF提交并參與討論根架構(gòu)調(diào)整相關(guān)技術(shù)草案，根管理政策制定方面積極參與到RSSAC咨詢委員會，充分參與根移交方案制定過程，在新方案關(guān)于根區(qū)內(nèi)容管理、政治監(jiān)管、根運行維護等方面充分體現(xiàn)我國利益。

第三，完善我國根鏡像的合理引進和部署策略，提升我國網(wǎng)絡(luò)安全、解析性能和我國網(wǎng)絡(luò)國際地位。分析研究各根的鏡像引入要求，積極與根管理機構(gòu)溝通，制定符合我國實情的根鏡像服務(wù)器路由策略。從引入鏡像類型、部署地點和企業(yè)選擇出發(fā)，落實根服務(wù)器科學(xué)合理部署，提升我國根覆蓋范圍和解析服務(wù)穩(wěn)定性。同時，以各電信運營企業(yè)國際互聯(lián)互通整體戰(zhàn)略為基礎(chǔ)，重點考慮接入部分重點國際交換中心，實現(xiàn)與未廣泛推廣鏡像的根對等互聯(lián)，推動我國根訪問性能整體優(yōu)化。此外，通過升級或引入Global節(jié)點等方式，我國引入根鏡像適度對國外用戶開放解析服務(wù)，逐步提升我國互聯(lián)網(wǎng)的國際價值。

[1] 方濱興.從“國家網(wǎng)絡(luò)主權(quán)”談基于國家聯(lián)盟的自治根域名解析體系[J].信息安全與通信保密，2014（12）：35-38.

[2] 任曉峰.構(gòu)建廣電寬帶網(wǎng)絡(luò)域名服務(wù)系統(tǒng)平臺[J].電視技術(shù)，2015，39（2）：27-29.

[3] 李原.我國根域名解析服務(wù)監(jiān)測與分析[C]//第十七屆全國青年通信學(xué)術(shù)年會論文集.北京：國防工業(yè)出版社編輯部，2012：408-412.

[4] 何躍鷹.互聯(lián)網(wǎng)規(guī)制研究-基于國家網(wǎng)絡(luò)空間安全戰(zhàn)略[D].北京：北京郵電大學(xué)，2012.

[6] 曲瀚.根域名服務(wù)性能測量和研究[C]//中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2011年年會論文集（上冊）.[S.l.]：中國通信學(xué)會，2011：435-441.