(中國信息通信研究院工業(yè)互聯(lián)網(wǎng)與物聯(lián)網(wǎng)研究所，北京 100191)

0 引言

隨著互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等成為“新型基礎(chǔ)設(shè)施”[1]，域名系統(tǒng)(DNS)作為互聯(lián)網(wǎng)的核心系統(tǒng)也成為當今全球重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施之一，其中根是域名解析的中樞[2]，其高效穩(wěn)定運行對于提高我國互聯(lián)網(wǎng)絡(luò)性能、增強網(wǎng)絡(luò)安全系數(shù)具有重要意義。隨著5G通信以及物聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展，域名系統(tǒng)承載的解析壓力越來越大，世界各國紛紛開始引入根鏡像服務(wù)器以增強解析性能。為此，ICANN于2020年發(fā)布了《Recommendations for ICANN’s Root Name Service Strategy and Implementation》[3]，對全球根鏡像的部署策略提出了建議方案，提議增加根鏡像部署數(shù)量，尤其是在域名解析需求量大、域名解析性能差的地區(qū)增加部署，并強調(diào)要注重域名系統(tǒng)的安全，提議建設(shè)域名相關(guān)監(jiān)測系統(tǒng)。

2019年之前，我國對根鏡像的引入并無規(guī)劃，引入的根鏡像全部設(shè)立在北京等發(fā)達城市，地區(qū)分布極不均衡。2019年起，工業(yè)和信息化部開始對根鏡像引入機構(gòu)進行審批監(jiān)管[4]，并將根鏡像的引入納入信息化發(fā)展規(guī)劃之中。中國信息通信研究院依托國家頂級節(jié)點對根鏡像的部署進行規(guī)劃布局，根鏡像引入部署開啟初步規(guī)劃舉措，但是仍缺乏科學有效的引入和部署依據(jù)和方案。因此，通過借鑒ICANN的相關(guān)建議，針對現(xiàn)階段境內(nèi)根鏡像服務(wù)器引入后存在的問題進行分析總結(jié)，提出適合我國的根鏡像引入原則，從多維度收集相關(guān)數(shù)據(jù)指標并建立計算模型，計算得出建議結(jié)果。

1 根解析服務(wù)概述

DNS是互聯(lián)網(wǎng)的核心系統(tǒng)之一，主要實現(xiàn)域名到IP地址的轉(zhuǎn)換，是數(shù)字時代的重要網(wǎng)絡(luò)入口和人機交互標識[5]，如果DNS系統(tǒng)出現(xiàn)故障，互聯(lián)網(wǎng)的各類應(yīng)用，如瀏覽網(wǎng)絡(luò)、發(fā)送文件、下載文件等都將無法使用。如圖1(a)和(b)所示，DNS系統(tǒng)以倒置的樹狀結(jié)構(gòu)分層級部署，采用根、頂級域、二級域等分層授權(quán)和解析機制運轉(zhuǎn)。根服務(wù)器是域名解析查詢的起點，位于DNS系統(tǒng)的最高層，儲存了頂級域名服務(wù)器的地址信息，將來自用戶(通過遞歸服務(wù)器發(fā)起)的查詢請求指向正確的頂級域名服務(wù)器，如果離開了根服務(wù)器，域名解析服務(wù)體系就無法正常運轉(zhuǎn)。

互聯(lián)網(wǎng)發(fā)展早期由于技術(shù)限制，全球根域名服務(wù)器總數(shù)為13個(編號依次為A到M)，由12個相互獨立的境外機構(gòu)管理運行，分布在美國(10個)以及荷蘭(1個)、瑞典(1個)和日本(1個)，我國沒有根服務(wù)器[6]。

隨著互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，全球域名解析量持續(xù)快速增長，域名解析的性能、安全等面臨著越來越高的要求，根服務(wù)器的負擔也隨之越來越重，僅13個根服務(wù)器很難支撐如此龐大的解析數(shù)據(jù)量。為緩解根服務(wù)器的解析壓力，提升全球各地區(qū)的解析能力和互聯(lián)網(wǎng)訪問體驗，各個國家、地區(qū)或者組織機構(gòu)可以通過與12家根運行機構(gòu)達成合作，引入某類根的根鏡像服務(wù)器[6]。所有根服務(wù)器同步更新相同的根區(qū)數(shù)據(jù)文件，根鏡像服務(wù)器與其所屬根服務(wù)器使用相同的IP地址并提供相同的根解析服務(wù)功能，共同構(gòu)成DNS系統(tǒng)最高層次連接點，如圖2所示。其中，遞歸服務(wù)器會根據(jù)RTT等算法[7]選擇解析時延最短的某類根或者根鏡像為自己服務(wù)。

圖1 域名系統(tǒng)結(jié)構(gòu)及解析過程示例

圖2 根鏡像的功能示意圖

當某地引入某個根鏡像之后，一般而言，該地的遞歸服務(wù)器和根解析服務(wù)之間的路由路徑變短，降低了流量劫持風險，其遞歸服務(wù)器的根解析時延會降低，根解析服務(wù)的質(zhì)量會提高。

2 我國根鏡像服務(wù)器應(yīng)用現(xiàn)狀

為了全面了解域名根的部署和服務(wù)現(xiàn)狀，一方面通過在31省三大運營商(中國電信、中國移動、中國聯(lián)通)網(wǎng)絡(luò)中部署的主動監(jiān)測節(jié)點(共計93個)，探測得到各類根對我國的服務(wù)范圍及服務(wù)性能等數(shù)據(jù)，另一方面利用相關(guān)網(wǎng)站的數(shù)據(jù)對各類根的信息進行了匯總分析。

我國至今獲批根鏡像數(shù)量達到14個[4]，包括F、I、J、K、L共5類，由中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC) 、中國信息通信研究院(CAICT) 、互聯(lián)網(wǎng)域名系統(tǒng)國家工程研究中心(ZDNS)和阿里巴巴(Alibaba)4家引入機構(gòu)負責運行管理和維護，如表1所示。

隨著各根鏡像的逐步引入，我國境內(nèi)根服務(wù)解析性能得到了明顯提升。然而，和美國等發(fā)達國家相比，我國的根服務(wù)器部署規(guī)模仍有待提高。目前，我國根鏡像服務(wù)器的引入部署現(xiàn)狀有如下特點。第一，根鏡像引入數(shù)量不足。如圖3所示，從IANA的www.root-servers.org網(wǎng)站[6]得到的統(tǒng)計數(shù)據(jù)顯示，當前全球范圍內(nèi)部署根服務(wù)器數(shù)量不少于中國的國家共有18個，美國的根鏡像數(shù)量更是高達我國根鏡像數(shù)量的20倍。然而，根據(jù)stats.dns.icann.org網(wǎng)站[8]的統(tǒng)計數(shù)據(jù)，我國對根解析服務(wù)的解析查詢量和美國相當，位于世界前兩名。根鏡像數(shù)量與解析查詢量不成比例。

來源：IANA, www.root-servers.org，中國信息通信研究院整理圖3 全球各國根鏡像數(shù)量及排名

第二，根鏡像引入類型較少。我國境內(nèi)根鏡像只有F、I、J、K、L共5種，而據(jù)IANA www.root-servers.org網(wǎng)站的相關(guān)信息，美、德、日、法等發(fā)達國家均有不少于10種類型的境內(nèi)根解析服務(wù)，如圖4所示。

第三，境內(nèi)根鏡像服務(wù)范圍有限。為了解各根鏡像的實際服務(wù)省區(qū)，利用前述93個主動監(jiān)測節(jié)點對境內(nèi)已引入根鏡像服務(wù)器的服務(wù)范圍進行了測算。根據(jù)測算結(jié)果可知，現(xiàn)階段各根鏡像服務(wù)器主要服務(wù)部署該根鏡像的網(wǎng)絡(luò)，對其它運營商網(wǎng)絡(luò)只是選擇性提供支持，并且其服務(wù)在本運營商網(wǎng)內(nèi)并不一定覆蓋所有省份，如表2所示。

第四，境內(nèi)根解析效果仍不理想，解析時延較長，解析出境流量較大。根據(jù)中國信息通信研究院2015年的測算結(jié)果[9]，美國等發(fā)達國家對域名根的平均訪問時延大都在幾十毫秒左右，而2020年針對我國對各域名根平均訪問時延絕的統(tǒng)計計算結(jié)果顯示，我國對各域名根的平均解析時延大部分都在200 ms左右，如圖5所示。由圖5分析還可以看出，已引入根鏡像(F、I、J、K、L)的平均解析時延明顯低于未引入根鏡像的平均解析時延。圖6顯示了我國訪問全球各根服務(wù)器的日均請求量，其中淺色代表根解析日均出境流量，深色代表根解析日均境內(nèi)流量。根據(jù)圖6中的根解析出境和境內(nèi)查詢流量數(shù)據(jù)計算可知，我國總體的域名根解析訪問出境流量占比高達40%?？梢姡捎诟R像個數(shù)較少，服務(wù)覆蓋范圍不全，我國的根解析出境流量較大。

來源：IANA, www.root-servers.org，中國信息通信研究院整理圖4 全球主要國家根鏡像類型數(shù)量

表2 境內(nèi)根鏡像服務(wù)省份數(shù)量及運營商網(wǎng)絡(luò)

來源：中國信息通信研究院圖5 我國三大運營商遞歸訪問全球各根服務(wù)器的平均時延

來源：中國信息通信研究院注：由于I根部署在中國科技網(wǎng)，而探測只包含三大運營商網(wǎng)絡(luò)，因此I根的境內(nèi)解析流量在圖7中顯示為0。圖6 我國訪問全球各根服務(wù)器的出境及境內(nèi)日均請求量

第五，境內(nèi)根鏡像部署在各省區(qū)分布不均衡。表3顯示了我國各省區(qū)根鏡像的個數(shù)。由表3可知，我國有近一半根鏡像服務(wù)器分布在華北地區(qū)，遠超經(jīng)濟和網(wǎng)絡(luò)發(fā)達的華東和華南地區(qū)，且東北地區(qū)的根鏡像引入數(shù)量為0。顯然，這不利于我國信息網(wǎng)絡(luò)建設(shè)的全面發(fā)展。

鑒于以上問題，我國需借鑒國際經(jīng)驗，建立符合中國國情的根鏡像引入和部署策略。在根鏡像引入方面，進一步增加根鏡像引入數(shù)量，并結(jié)合當前解析的實際情況選擇適合引入的根鏡像類型，并為此廣泛開展交流與合作；在根鏡像部署方面，需要依據(jù)全國解析現(xiàn)狀，選擇合適的省份和運營商網(wǎng)絡(luò)，并需考慮全國協(xié)同、均衡發(fā)展。此外，為保障DNS系統(tǒng)的安全運行，需建立相關(guān)監(jiān)測系統(tǒng)，為網(wǎng)絡(luò)強國建設(shè)的順利開展保駕護航。

表3 境內(nèi)根鏡像省區(qū)分布

3 根鏡像引入部署的總體原則

根據(jù)前述調(diào)研和分析，我國未來根鏡像的引入和部署應(yīng)遵循以下指導(dǎo)原則。

(1)增加根鏡像引入數(shù)量

隨著5G通信技術(shù)和物聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，新的通用頂級域(gTLD)、帶有嵌入式域名網(wǎng)頁以及網(wǎng)絡(luò)設(shè)備的不斷增加，根解析請求越來越大，近年來世界各國都紛紛開始積極引入根鏡像服務(wù)器。考慮到我國在互聯(lián)網(wǎng)中的國際地位，以及境內(nèi)業(yè)務(wù)的實際需求，根服務(wù)器的解析性能需要進一步增加。

(2)豐富根鏡像引入類型

由前述分析可知，我國已引入根鏡像類型和未引入根鏡像類型相比，解析時延顯著降低、出境流量顯著減少。因此，為縮小我國和發(fā)達國家之間的差距，需進一步加強交流和合作，盡可能引入更多類型的根鏡像服務(wù)器，以增強域名根解析效果，加大域名根解析服務(wù)的安全冗余度。

(3)均衡根鏡像省區(qū)和網(wǎng)絡(luò)分布

由于最初我國根鏡像的引入和部署缺乏科學合理的規(guī)劃，各省區(qū)根鏡像服務(wù)器的部署分布和服務(wù)范圍很不均衡，為此需在未來加強根鏡像服務(wù)器的規(guī)劃，使得域名根解析服務(wù)更加全面、高效、均衡。此外，為了三大運營商網(wǎng)絡(luò)的均衡健康發(fā)展，還需要考慮根鏡像部署運營商網(wǎng)絡(luò)方面的均衡。

(4)完善根鏡像引入部署監(jiān)管體系

域名根服務(wù)是確?；ヂ?lián)網(wǎng)正常運轉(zhuǎn)的基礎(chǔ)服務(wù)，其出現(xiàn)的任何異常情況都會對我國互聯(lián)網(wǎng)產(chǎn)生巨大影響，為此需要對根服務(wù)在制度和技術(shù)上采取相關(guān)策略進行監(jiān)測和管理，確保境內(nèi)根鏡像服務(wù)的安全穩(wěn)定運行，為我國互聯(lián)網(wǎng)平穩(wěn)健康發(fā)展保駕護航。

4 根鏡像引入數(shù)量和類型建議

4.1 建議未來5年我國再引入15個左右根鏡像

隨著近幾年根鏡像服務(wù)器在全球范圍內(nèi)的加速部署，全球范圍的根鏡像節(jié)點數(shù)量大大增加。圖7顯示了全球根鏡像歷年數(shù)量變化和復(fù)合年增長率變化(CAGR)，由圖可知，2015年底，全球根鏡像的數(shù)量僅為516個，到2020年底已增長到1367個，復(fù)合年增長率(CAGR)達到21.5%。可見，近年來隨著5G等網(wǎng)絡(luò)技術(shù)的快速發(fā)展，各國紛紛加快了根鏡像的引入步伐。鑒于境內(nèi)根鏡像解析時延和出境解析流量較大，考慮我國在全球互聯(lián)網(wǎng)地位，推薦未來5年我國再引入大約15個鏡像，在數(shù)量上擠進全球前十。

來源：IANA, www.root-servers.org，中國信息通信研究院整理圖7 全球根鏡像數(shù)量變化和增長情況

4.2 建議優(yōu)先引入境內(nèi)未部署的M和E根的根鏡像服務(wù)器

由圖5分析可知，我國用戶訪問M根和E根的平均時延相對于其他未引入的鏡像根要低。這是由于M根鏡像主要部署在日韓兩國，距離我國較近，而E根全球部署節(jié)點數(shù)量較多。由圖7分析可知，由于境內(nèi)對M和E根鏡像的訪問時延較低，遞歸服務(wù)器一般會選取解析時延低的根鏡像優(yōu)先訪問，因此我國對M和E根鏡像的日均訪問量較高。因此，為豐富我國境內(nèi)根鏡像類型并提升境內(nèi)根解析服務(wù)效果，推薦優(yōu)先引入未部署的M和E根的根鏡像服務(wù)器。同時，考慮到我國與12個根運行機構(gòu)合作以及根鏡像服務(wù)器的申請難度有所不同，可以根據(jù)實際情況靈活采取根鏡像引入策略。

5 根鏡像省區(qū)和網(wǎng)絡(luò)部署建議

由前述分析可知，現(xiàn)階段我國根鏡像服務(wù)器分布省區(qū)很不均勻，域名根解析效果仍不理想，考慮到還需要保證根鏡像在運營商網(wǎng)絡(luò)中分布均衡，需科學優(yōu)化我國未來的根鏡像規(guī)劃布局。為此，需綜合考慮域名根解析需求量、網(wǎng)絡(luò)建設(shè)和安全服務(wù)能力以及地區(qū)和網(wǎng)絡(luò)均衡性等多種因素，建立科學合理的計算模型，以確定根鏡像服務(wù)器部署的省份和網(wǎng)絡(luò)。

5.1 根鏡像省區(qū)和網(wǎng)絡(luò)部署原則

為確定根鏡像服務(wù)器部署的省份和運營商網(wǎng)絡(luò)，需首先設(shè)定一個總體原則來指導(dǎo)多源數(shù)據(jù)的調(diào)研、采集和模型的建立。本模型的總體原則如下。

高黎貢山北段東、西坡捕食線蟲真菌分布格局研究……王家亮，劉碩然，周漢宇，房以好，肖 文，楊曉燕（87）

(1)優(yōu)先在互聯(lián)網(wǎng)發(fā)展領(lǐng)先、經(jīng)濟發(fā)達的省區(qū)部署根鏡像服務(wù)。由于經(jīng)濟發(fā)展迅速、互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)達的省份對域名解析服務(wù)的需求量更大，因而在這些地方優(yōu)先部署可以更加有效地提升我國整體的域名根解析服務(wù)效果。

(2)優(yōu)先在國家標識解析頂級節(jié)點、新型互聯(lián)網(wǎng)交換中心、國家級互聯(lián)網(wǎng)骨干直聯(lián)點等網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施中部署根鏡像服務(wù)?；ヂ?lián)網(wǎng)拓撲結(jié)構(gòu)中的距離和重要節(jié)點和地理位置中的距離和重要城市并不相同，網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施部署的地方往往有更廣泛的服務(wù)范圍，更良好的網(wǎng)絡(luò)環(huán)境，因此可優(yōu)先考慮在這些地方部署根鏡像服務(wù)。

(3)在解析性能低、網(wǎng)絡(luò)質(zhì)量差的省份和網(wǎng)絡(luò)部署根鏡像。為了讓我國各省市的網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)綜合、健康發(fā)展，域名根解析性能差的省市和網(wǎng)絡(luò)節(jié)點也需要考慮部署根鏡像服務(wù)器，從而帶動我國各省區(qū)網(wǎng)絡(luò)全面發(fā)展。

(4)各省區(qū)已部署根鏡像的網(wǎng)絡(luò)不建議再引入新的鏡像服務(wù)器。由于其服務(wù)范圍一致，一般沒有必要重復(fù)引入。比如北京聯(lián)通已經(jīng)引入了某根鏡像服務(wù)器，未來不再考慮在北京聯(lián)通部署根鏡像，如必要在北京建立新的根鏡像服務(wù)器，可以考慮在北京移動和北京電信部署。

(5)鼓勵運營商開放本網(wǎng)引入根鏡像的訪問權(quán)限，并在本網(wǎng)無法訪問某類根鏡像時，優(yōu)先他網(wǎng)已引入的該類根鏡像。由表2可知，運營商引入的根鏡像僅服務(wù)本網(wǎng)，甚至本網(wǎng)本省，這導(dǎo)致我國引入的根鏡像無法實現(xiàn)服務(wù)效用最大化，需要優(yōu)化。

5.2 根鏡像省區(qū)和網(wǎng)絡(luò)部署測算指標

為了測算并確定根鏡像引入部署的省份和運營商網(wǎng)絡(luò)，依照上述原則，搜集了相關(guān)基礎(chǔ)數(shù)據(jù)指標并進行了歸類，包括服務(wù)需求程度指標、網(wǎng)絡(luò)建設(shè)及安全能力指標以及均衡因子指標三類。

5.2.1 服務(wù)需求程度指標

根據(jù)服務(wù)需求程度，提出7大指標要素。表4介紹了各省級運營商對引入根鏡像服務(wù)需求程度的數(shù)據(jù)指標、權(quán)重因子和對應(yīng)指標的意義。

表4中，a1、a2、a3為根鏡像解析的直接影響量，而a4、a5、a6、a7為根鏡像解析的間接影響量。因此a1、a2、a3之間相加，a4、a5、a6、a7之間相加。兩組加和之間可以通過相乘的方式，表示間接指標對直接指標的潛在影響大小。將各項指標歸一化后，根據(jù)其所占比重，得到各省的三大運營商網(wǎng)絡(luò)對各類根的服務(wù)需求程度(X1)為

(1)

其中，a1，a2，a3，a5均為運營商上報數(shù)據(jù)。

5.2.2 網(wǎng)絡(luò)建設(shè)及安全能力指標

根據(jù)各省各運營商的網(wǎng)絡(luò)建設(shè)能力以及安全防護能力，提出了各省綜合網(wǎng)絡(luò)傳輸能力和各省三大基礎(chǔ)中國電信企業(yè)安全防護建設(shè)能力兩大因素。表5說明了這兩大因素針對的數(shù)據(jù)指標、權(quán)重因子和對應(yīng)指標的意義。將各項指標歸一化后，根據(jù)其所占比重，得到各省的網(wǎng)絡(luò)建設(shè)即安全能力指標(X2)為：

X2=j1×b1+j2×b2

(2)

其中b2為運營商根據(jù)上報數(shù)據(jù)，上報的數(shù)據(jù)為工信部對各省各運營商的測試評估分數(shù)結(jié)果。

5.2.3 均衡因子指標

根鏡像部署不僅僅是為了達到理論計算最佳效果，還需要考慮各省區(qū)部協(xié)同發(fā)展，以及各運營商間的利益權(quán)衡等。為了更均衡地引入部署根鏡像的分布，設(shè)定如下資源均衡因子，提升根鏡像引入的均衡性：

表4 服務(wù)需求程度指標說明

(1)不重復(fù)引入因子(X3)

已引入根鏡像的省份運營商網(wǎng)絡(luò)不再考慮引入根鏡像服務(wù)器，因此設(shè)置不重復(fù)引入因子X3的值為：

(3)

即，當某省運營商網(wǎng)絡(luò)已經(jīng)引入根鏡像服務(wù)器時，不再考慮在該省運營商網(wǎng)絡(luò)引入根鏡像服務(wù)器。

(2)運營商均衡因子(X4)

為了保證引入根鏡像后能夠讓三大運營商之間的根鏡像數(shù)量較為均衡，當前引入根鏡像數(shù)量越多的運營商，運營商均衡因子的值越小，因此設(shè)置運營商均衡因子的值為

(4)

其中，root_num_in_operator表示每個運營商的根鏡像個數(shù)，root_num表示全國根鏡像總個數(shù)。

(3)省區(qū)均衡因子(X5)

我國省區(qū)可劃分為華南、華北、華東、華中、西南、西北、東北七個區(qū)域，由于每個省區(qū)包含的省份個數(shù)不同，某個省區(qū)平均每個省份已引入部署的根鏡像數(shù)量越多，其對應(yīng)的省區(qū)均衡因子越小，因此省區(qū)均衡因子的值為：

(5)

其中，root_num_in_zone表示某省區(qū)引入的根鏡像個數(shù)，province_num_in_zone表示該省區(qū)包含省區(qū)個數(shù)，兩者做商表示某省區(qū)平均各省引入的根鏡像個數(shù)。

(4)國家重要基礎(chǔ)設(shè)施因子(X6)

本規(guī)劃重點考慮國家標識解析頂級節(jié)點、新型互聯(lián)網(wǎng)交換中心以及國家級互聯(lián)網(wǎng)骨干直聯(lián)點幾類基礎(chǔ)設(shè)施。如果某個省份建有國家重要基礎(chǔ)設(shè)施，則該省份有相應(yīng)的基礎(chǔ)設(shè)施因子值。因此，當某省份建設(shè)有國家標識解析頂級節(jié)點時，對應(yīng)的X6增加0.5，否則X6的值不增加；當某省份建設(shè)有新型互聯(lián)網(wǎng)交換中心時，對應(yīng)的X6增加0.25，否則不增加；當某省份建設(shè)有國家級互聯(lián)網(wǎng)骨干直連點時，對應(yīng)的X6增加0.25，否則不增加。因此，國家重要基礎(chǔ)設(shè)施因子的值為：

(6)

5.3 根鏡像省區(qū)和網(wǎng)絡(luò)部署計算模型

由于模型建立涉及的數(shù)據(jù)指標多、數(shù)據(jù)量大，而且需要根據(jù)實際情況對模型進行動態(tài)調(diào)整，因此模型建立既要合理又不應(yīng)過于復(fù)雜。結(jié)合實際經(jīng)驗，采用歸一化計算和動態(tài)加權(quán)的方法[17]對根鏡像引進部署方案進行建模。根據(jù)服務(wù)需求程度、部署建設(shè)能力和四類均衡因子設(shè)定的模型的總體計算公式如下：

(7)

其中β1、β2、β3、β4、β5、β6分別為X1、X2、X3、X4、X5、X6的權(quán)重系數(shù)，N的值為省份和運營商的組合種類數(shù)量。由于考慮在31個省3個運營商引入根鏡像，因此N=31×3，即N=93。

表5 部署建設(shè)模型說明

5.4 根鏡像省區(qū)和網(wǎng)絡(luò)部署結(jié)果分析

表6為該模型計算結(jié)果中排名前15的部署方案。從省份角度，前15名方案中包含了如江西、江蘇、四川、上海、廣東這種網(wǎng)絡(luò)發(fā)展水平較高地區(qū)，還包括寧夏、遼寧、甘肅、陜西等偏遠地區(qū)，符合服務(wù)需求程度和網(wǎng)絡(luò)建設(shè)及安全能力以及省區(qū)均衡原則。

表7從省區(qū)角度展示了TOP15方案實施前后，各省區(qū)根鏡像個數(shù)。根據(jù)表7分析可知，前15名方案實施完畢后，所有七省區(qū)都部署有根鏡像，并且和省區(qū)中省份個數(shù)及其網(wǎng)絡(luò)發(fā)展程度大致匹配。

表6 模型計算TOP15結(jié)果部署方案

表8從運營商角度展示了TOP15方案實施前后，各省區(qū)根鏡像個數(shù)。從運營商角度分析可知，由于中國移動和中國電信現(xiàn)階段引入根鏡像數(shù)量較少，而這兩個運營商的網(wǎng)絡(luò)質(zhì)量又較好，因此中國移動和中國電信出現(xiàn)次數(shù)較多，中國聯(lián)通網(wǎng)絡(luò)引入根鏡像數(shù)量較少。

6 我國根鏡像服務(wù)監(jiān)管建議

鑒于根服務(wù)器對于域名解析系統(tǒng)的重要地位，一旦發(fā)生對域名根服務(wù)的惡行攻擊事件，整個域名解析體系就無法正常運轉(zhuǎn)，后果不堪設(shè)想。因此必須從制度上設(shè)立引入門檻，從技術(shù)上部署監(jiān)測系統(tǒng)，雙重保證根服務(wù)的安全、穩(wěn)定運行。

6.1 從制度角度進行監(jiān)管

(1)設(shè)立根服務(wù)器系統(tǒng)治理推進小組

根服務(wù)器系統(tǒng)治理推進小組負責統(tǒng)籌考慮域名基礎(chǔ)設(shè)施建設(shè)規(guī)劃，包括推進和境外根鏡像運行機構(gòu)協(xié)調(diào)根鏡像服務(wù)器的引入合作，以及牽頭開展域名根鏡像相關(guān)的研究和審查等工作，增強我國對域名根鏡像等網(wǎng)絡(luò)基礎(chǔ)資源的支撐能力，支持《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023》[18]的實施。其工作機制如圖8所示。

表8 TOP15方案實施后各運營商包含根鏡像個數(shù)

表7 TOP15方案實施后各省區(qū)包含根鏡像個數(shù)

來源：中國信息通信研究院圖8 根服務(wù)器系統(tǒng)治理推進小組工作機制

(2)明確許可審批要求，完善監(jiān)管流程

根鏡像審批要求可依據(jù)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023》[18]和“十四五”規(guī)劃任務(wù)[19]，并借鑒各根服務(wù)器運行機構(gòu)的要求制定實施細則，進一步明確許可我國根鏡像批復(fù)要求。此外，還需要考慮設(shè)立對根鏡像引入機構(gòu)的定期審查機制，對境內(nèi)不符合規(guī)范的根鏡像引入機構(gòu)，責令免除其在一段時間內(nèi)的根鏡像運維工作。根鏡像服務(wù)器的審批監(jiān)管流程如圖10所示。

來源：中國信息通信研究院圖10 審批監(jiān)管流程

6.2 從技術(shù)角度進行監(jiān)管

除了制度方面的保證外，還可以通過建立互聯(lián)網(wǎng)域名運行監(jiān)測平臺從技術(shù)角度監(jiān)測我國域名解析服務(wù)的運行狀況。當前，中國信息通信研究院已開展建立了互聯(lián)網(wǎng)運行監(jiān)測平臺，通過分布全球的監(jiān)測節(jié)點主動探測和域名解析流量被動分析，建立域名體系長效監(jiān)測分析機制和預(yù)警處置能力，對全網(wǎng)根、頂級域、重點域名等互聯(lián)網(wǎng)重要權(quán)威解析服務(wù)進行監(jiān)測、分析、評估，實現(xiàn)對全網(wǎng)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的異常告警和態(tài)勢感知，保障互聯(lián)網(wǎng)基礎(chǔ)設(shè)施正常運行，維護網(wǎng)絡(luò)安全，保護民生。

7 結(jié)束語

結(jié)合我國現(xiàn)階段根鏡像引入分布現(xiàn)狀，借鑒國際推薦方案，全面地分析并提出了符合我國國情的根鏡像引入部署總體原則，并針對每個原則提出了合理的規(guī)劃建議。在確立根鏡像部署省份和網(wǎng)絡(luò)時，由于考慮因素較多，采用歸一化計算和動態(tài)加權(quán)的方法對根鏡像引進部署方案進行建模，得出了合理的部署方案，對我國未來引入部署根鏡像具有很好的參考借鑒意義。當然，隨著我國互聯(lián)網(wǎng)域名解析服務(wù)規(guī)模增長，網(wǎng)絡(luò)結(jié)構(gòu)的持續(xù)優(yōu)化以及互聯(lián)網(wǎng)安全穩(wěn)定運行的要求不斷提升，還需要結(jié)合實際情況對根鏡像引入指導(dǎo)方案進行動態(tài)評估調(diào)整，不斷完善。