于世梁

(中共江西省委黨校，江西 南昌 330003)

美國為了防止其軍事系統(tǒng)在戰(zhàn)爭爆發(fā)時遭到打擊而癱瘓，于1969年由美國國防部高級研究計劃署(ARPA:AdvancedResearchProjectsAgency)開始嘗試開發(fā)一個稱為“阿帕網(wǎng)”(ARPANet:The AdvancedResearchProjectsAgencyNetwork)的計算機網(wǎng)絡。最初的阿帕網(wǎng)由美國西海岸的4個節(jié)點，即加州大學洛杉磯分校(UCLA)，斯坦福研究院(SRI)，加州大學圣巴巴拉分校(UCSB)和猶他大學(UTAH)構(gòu)成。當這個實驗性的計算機網(wǎng)絡表現(xiàn)出越來越優(yōu)越的性能和作用時，加入阿帕網(wǎng)的組織和機構(gòu)越來越多。1983年，美國國防部將阿帕網(wǎng)向民用領域開放，這一舉措使阿帕網(wǎng)發(fā)展成為今天的國際互聯(lián)網(wǎng)。

對于普通用戶而言，互聯(lián)網(wǎng)是一個充滿神奇魅力的虛擬世界，因為只要有一臺電腦和一根網(wǎng)線，用戶就能進入無所不能的網(wǎng)絡世界，而你卻不知道所看到的東西它身在何處。事實上，互聯(lián)網(wǎng)的運作不僅有相應的機構(gòu)進行管理，而且還必須有相應的軟件和硬件作為支撐?！案蛎掌鳌本褪侵握麄€互聯(lián)網(wǎng)運作最重要的基礎設施之一。

一、相關概念界定

1．域名和IP地址。

和電話必須擁有唯一的號碼才能連入電話系統(tǒng)一樣，計算機必須被賦予一個唯一標識才能接入互聯(lián)網(wǎng)，這個標識就是“IP地址”。IP地址由32位二進制數(shù)組成，例如，“百度”的IP地址表達成十進制形式是:202．108．22．5。由于數(shù)字型的 IP地址很難記住，不便于使用，所以訪問網(wǎng)絡時經(jīng)常使用由一組字符組成的“域名”來表示IP地址，例如，“百度”的域名為:www．baidu．com。

IP地址和域名表示的是互聯(lián)網(wǎng)中的同一臺計算機，就像電話號碼和它的擁有者的名字往往表示同一個電話一樣。但由于IP地址才是互聯(lián)網(wǎng)上計算機的唯一標識，所以當用域名訪問網(wǎng)絡時，必須將域名翻譯成IP地址后才能在互聯(lián)網(wǎng)中找到對應的計算機。

把域名翻譯成IP地址的軟件稱為“域名系統(tǒng)”(DNS:DomainNameServer)。域名系統(tǒng)是一個分布式數(shù)據(jù)庫系統(tǒng)，它采用樹形結(jié)構(gòu)和分級授權(quán)的域名管理機制，將主機域名的管理授權(quán)給各級的域名服務器，形成一個分層結(jié)構(gòu)。在這個分層結(jié)構(gòu)中，最頂層的稱為“根域”，隨后是處于不同層級的“子域”。

一個完整的主機域名是從最下面的子域到根域的名字由點“．”連接而成的字符串。例如，北京大學網(wǎng)站的域名是:www．pku．edu．cn，在這個域名中，cn為頂級域名，edu．cn 為二級域名，pku．edu．cn為三級域名，www．pku．edu．cn為主機名。圖 1為互聯(lián)網(wǎng)中域名結(jié)構(gòu)示意圖[1][P339]。

圖1 互聯(lián)網(wǎng)中域名結(jié)構(gòu)示意圖

2．域名解析。

將域名翻譯成IP地址的過程稱為“域名解析”。網(wǎng)絡訪問能否成功，關鍵是域名能否被成功解析，即找到域名對應的IP地址。域名解析是通過互聯(lián)網(wǎng)中的“域名服務器”(DNS服務器)來完成的。

域名服務器是裝有域名系統(tǒng)的主機，它除負責管理維護某個域名的權(quán)威數(shù)據(jù)外，還接受來自互聯(lián)網(wǎng)中有關域名的查詢請求。域名服務器分為本地域名服務器(LocalNameServers)和根域名服務器(RootNameServers)。本地域名服務器上存儲著域名到IP地址對應關系的緩存數(shù)據(jù)，用于提供快速的域名解析服務。而根域名服務器保存著通用頂級域名(GTLD:GenericTopLevelDomain)和國家及地區(qū)頂級域名(CCTLD:CountryCodeTop LevelDomain)的數(shù)據(jù)。如常用的COM(商業(yè)/企業(yè))、NET(商業(yè)/網(wǎng)絡)、ORG(非盈利組織)等都屬于通用頂級域名。而US(美國)、UK(英國)、CN(中國)、HK(香港)等屬于國家及地區(qū)頂級域名。

域名解析過程是從本地域名服務器開始的。如果本地域名服務器上有要查詢的記錄，就立即將查詢到的主機IP地址返回給發(fā)出請求的客戶端。如果本地域名服務器上沒有該主機的記錄，域名服務器就會向互聯(lián)網(wǎng)上最頂層的根域名服務器發(fā)出查詢請求，此時查詢將沿著根域二級域三級域四級域的順序進行。如果找到了要查詢的主機IP地址，該地址將作為對查詢的響應逐級上傳，沿著域名服務請求走過的路徑回傳到最初發(fā)出請求的客戶端，整個域名解析過程結(jié)束。域名解析過程如圖 2 所示[1][P340]。

圖2 域名的解析過程

在域名解析過程中，根域名服務器決定了某一個二級域名下所有主機域名的解析。由此可見，根域名服務器是互聯(lián)網(wǎng)中最重要的基礎設施之一。

3．根域名服務器。

在域名系統(tǒng)的分層樹型結(jié)構(gòu)中，處于最頂層的域名服務器是根域名服務器。由于受到域名解析協(xié)議中數(shù)據(jù)包大小的限制，根域名服務器最多只能有13臺，他們使用英文字母A至M來命名。在13臺根域名服務器中包括主根服務器(A)1個，設在美國弗吉尼亞州的杜勒斯，輔根服務器(B至M)12個，其中美國有9個，英國、瑞典、日本各1個。全球13臺域名根服務器位置以及IP地址[2]如下表所示:

名稱 位置 IP 地址A INTERNI．NET(美國弗吉尼亞州)198．41．0．4 B 美國信息科學研究所(美國加利弗尼亞州)128．9．0．107 C PSINet公司(美國弗吉尼亞州)192．33．4．12 D 馬里蘭大學(美國馬里蘭州)128．8．10．90 E 美國航空航天管理局(美國加利弗尼亞州)192．203．230．10 F 因特網(wǎng)軟件聯(lián)盟(美國加利弗尼亞州)192．5．5．241 G 美國國防部網(wǎng)絡信息中心(美國弗吉尼亞州)192．112．36．4 H 美國陸軍研究所(美國馬里蘭州)128．63．2．53 I Autonomica公司(瑞典斯德哥爾摩)192．36．148．17 J 威瑞信(VeriSign)公司(美國弗吉尼亞州)192．58．128．30 K RIPENCC(英國倫敦)192．0．14．129 L IANA(美國弗吉尼亞州)198．32．64．12 M WIDEProject(日本東京)

這13臺根域名服務器，保存著通用頂級域名(GTLD)和國家及地區(qū)頂級域名(CCTLD)，它們由美國商務部授權(quán)的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN:TheInternetCorporationforAssigned NamesandNumbers)統(tǒng)一管理。每個頂級域名由ICANN授權(quán)給某個注冊機構(gòu)進行具體的管理，例如COM和NET域名的注冊和管理機構(gòu)是美國的威瑞信(VeriSign)公司，而CN域名的注冊和管理機構(gòu)是中國互聯(lián)網(wǎng)絡信息中心(CNNIC)。

二、根域名服務器與國家網(wǎng)絡信息安全

按照域名解析流程，在層級式域名解析體系中，處于最頂層的是根域名服務器，它負責管理世界各國的域名信息;根域名服務器下面是頂級域名服務器，存儲著相關域名管理機構(gòu)的數(shù)據(jù)庫;再下一級是域名數(shù)據(jù)庫和互聯(lián)網(wǎng)服務提供商(ISP:InternetServiceProvider)的緩存服務器[2]。盡管在根域名服務器中沒有存儲每個域名的具體信息，但其中儲存了負責每個域(如 COM、NET、ORG、CN等)的解析域名服務器的地址信息。

通過上面對域名解析過程的分析可知，如果提供接入服務的本地域名服務器上沒有保存某個域名到IP地址對應關系的緩存數(shù)據(jù)，則域名轉(zhuǎn)化為IP地址的請求，都必須經(jīng)過根域名服務器的指引才能到達相應的域名服務器找到對應的IP地址。所以，從理論上來說，無論是COM形式的域名，還是CN形式的域名，都必須經(jīng)過根域名服務器才能順利地實現(xiàn)域名的解析。所以，根域名服務器在互聯(lián)網(wǎng)中處于十分重要的地位。

從某種意義上說，根域名服務器就是互聯(lián)網(wǎng)的命脈，如果這13臺根域名服務器中的某一臺或幾臺出現(xiàn)故障，或遭到黑客攻擊而停止服務，則域名解析有可能無法進行，那些依靠這些域名系統(tǒng)支持的互聯(lián)網(wǎng)應用和服務將停止工作。

2002年10月21日，13臺根域名服務器遭受到了有史以來規(guī)模最大的一次網(wǎng)絡攻擊。在大約1個小時的時間內(nèi)，黑客調(diào)用了上千臺“僵尸”計算機(“僵尸”計算機指被黑客利用參與網(wǎng)絡攻擊的計算機)對根域名服務器進行了攻擊，導致其中的9臺喪失了對網(wǎng)絡通信的處理能力，網(wǎng)絡出現(xiàn)局部癱瘓。

2007年2月5日晚，13個根域名服務器中的3個遭受到黑客的攻擊，其中包括運行“ORG”域名的根域名服務器和美國國防部運行的一個根域名服務器。盡管這次攻擊事件沒有對互聯(lián)網(wǎng)應用造成太大的影響，但根域名服務器的安全問題引起了全球網(wǎng)絡安全專家的關注。

2010年1月12日7時左右，“百度”首頁出現(xiàn)大面積的訪問故障，全國絕大多數(shù)地區(qū)均無法訪問“百度”網(wǎng)站，直至中午12時訪問才陸續(xù)恢復。事后調(diào)查發(fā)現(xiàn)，出現(xiàn)這次事故的原因是美國負責“百度”域名解析的根域名服務器遭到了黑客攻擊。

由于美國在互聯(lián)網(wǎng)建設和發(fā)展中所處的先天優(yōu)勢，使得它擁有全球13個根域名服務器中的1個主根服務器和9個輔根服務器。1998年10月，美國商務部組建了互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)，負責根域名服務器的管理，包括IP地址的空間分配、協(xié)議標識符的指派、頂級域名的管理等。盡管ICANN為一家非營利機構(gòu)，但美國商務部卻擁有最終否決權(quán)。美國商務部曾經(jīng)承諾，當ICANN滿足一定條件時將放棄最終的否決權(quán)，并將最后的期限定為2006年。然而，2005年7月1日，美國政府宣布，美國商務部將繼續(xù)與ICANN簽訂合約，將無限期保留對13臺根域名服務器的管理權(quán)。

憑借對根域名服務器的管理權(quán)，美國可以屏蔽掉某些國家的頂級域名，使這些域名無法得到解析。通過這樣一場沒有硝煙的戰(zhàn)爭，美國可以讓一個國家在互聯(lián)網(wǎng)中瞬間消失。2003年伊拉克戰(zhàn)爭期間，美國政府就曾授意ICANN終止對伊拉克國家項級城名IQ的解析，致使所有以IQ為后綴的網(wǎng)站瞬間從互聯(lián)網(wǎng)上消失了。2004年4月，由于在頂級域名管理權(quán)問題上與美國發(fā)生分歧，利比亞頂級域名LY突然癱瘓，讓利比亞在互聯(lián)網(wǎng)世界里消失了整整4天。美國還于2008年曾切斷過古巴、朝鮮、蘇丹等國的MSN即時網(wǎng)絡通訊，使這些國家的用戶無法使用MSN。

正是由于美國對根域名服務器擁于絕對的控制權(quán)，所以互聯(lián)網(wǎng)已成為美國在全球推行其強權(quán)政治的重要工具，根服務器也成為影響國家網(wǎng)絡信息安全的重大隱患。

三、保障我國網(wǎng)絡信息安全的對策

由于13臺根域名服務器仍由美國政府授權(quán)的ICANN所掌控，所以無論這些根域名服務器放置在何處，互聯(lián)網(wǎng)最終都無法擺脫美國的控制。我國是互聯(lián)網(wǎng)發(fā)展最快的國家之一，網(wǎng)絡用戶已經(jīng)世界第一，如果哪一天美國關閉域名系統(tǒng)中的CN后綴，或?qū)⒎峙浣o中國境內(nèi)使用的IP地址取消，我國大多數(shù)的網(wǎng)站有可能瞬間癱瘓。為了保障我國的國家網(wǎng)絡信息安全，我們必須盡力設法擺脫美國對互聯(lián)網(wǎng)的制約，建立一個相對安全的網(wǎng)絡體系。

1．完善CN下的二級域名注冊。

在目前的互聯(lián)網(wǎng)域名體系下，COM、NET等域名均由國外公司負責管理，網(wǎng)絡安全無法得保證。而CN下的域名由中國互聯(lián)網(wǎng)絡信息中心(CNNIC)負責管理，盡管注冊CN下的域名無法徹底擺脫美國的控制，但它至少可以規(guī)避一些來自外部的風險。這主要表現(xiàn)在三個方面:

一是可以提高域名訪問的穩(wěn)定性。在大多數(shù)情況下，CN域名主要通過國內(nèi)的域名服務器解析。由于中國互聯(lián)網(wǎng)絡信息中心在全國設置了多個負責CN域名解析的域名服務器，保證了訪問CN域名下的網(wǎng)站更為穩(wěn)定快捷。

二是可以提高國家網(wǎng)絡信息的安全性。由于COM或NET形式的域名由國外的相關機構(gòu)管理，一旦國外域名公司不再為我國用戶提供域名解析，這類域名的網(wǎng)絡服務將徹底中斷。而CN在國內(nèi)設置了根域名鏡像服務器，即使在根域名服務器中止CN域名解析這種極端情況發(fā)生時，至少能保證大多數(shù)CN下的域名在國內(nèi)能正常訪問。

三是在出現(xiàn)域名糾紛時更容易得到解決。根據(jù)國際慣例，域名糾紛的解決通常適用域名注冊管理機構(gòu)所在地法律。如果注冊由國外機構(gòu)負責管理的域名，將對解決域名糾紛帶來很大的不便。而有關CN域名的糾紛將根據(jù)我國的法律解決，這樣可以避免因注冊國外域名而面臨的國際訴訟風險。

正因如此，對于如政府網(wǎng)站、金融證券網(wǎng)站、電子商務網(wǎng)站等重要網(wǎng)站，應當注冊并使用CN域名，以減少由于注冊其它域名而帶來的風險。

2．在IPV6技術(shù)條件下建立自己的根域名服務器。

要想徹底擺脫美國對互聯(lián)網(wǎng)的控制，維護國家網(wǎng)絡信息安全，最終出路就是建立自己的根域名服務器。然而，在現(xiàn)行的網(wǎng)絡運行條件下，域名解析已經(jīng)被美國牢牢控制，我們不可能去建立自己的根域名服務器。唯一的希望，只能寄托于下一代互聯(lián)網(wǎng)技術(shù)IPV6。

IPV6是指互聯(lián)網(wǎng)通信協(xié)定第6版(Internet ProtocolVersion6)，它是替代當前IPV4的下一代互聯(lián)網(wǎng)協(xié)議版本。IPV4是目前使用的互聯(lián)網(wǎng)通信協(xié)議，它的最大問題是可分配的IP地址太少。隨著網(wǎng)絡技術(shù)的發(fā)展，特別是物聯(lián)網(wǎng)(TheInternetof things)時代的到來，將來我們身邊的每一樣東西如冰箱、彩電都需要連入互聯(lián)網(wǎng)，而這些東西都需要有一個IP地址。IP地址的嚴重不足，使IPv6應運而生。

IPV6不僅可以大大擴展IP地址的數(shù)量，解決網(wǎng)絡地址資源數(shù)量不足的問題。而且，在IPV6發(fā)展的過程中，根域名服務器設置也將隨之調(diào)整，這為我們建立自己的完全獨立的根域名服務器體系提供了契機。令人欣慰的是，我國政府和科技界已經(jīng)看到了建立自己的根域名服務器對保障國家網(wǎng)絡信息安全的重要性。中科院計算機網(wǎng)絡信息中心已經(jīng)開始了基于IPV6根域名服務器的研究，建立了IPV6試驗網(wǎng)，解決了IPV6環(huán)境下設置根域名服務器的一系列關鍵技術(shù)。建立IPV6根域名服務器，將為我國規(guī)?；渴餓PV6網(wǎng)絡域名系統(tǒng)提供有力的技術(shù)支撐，對保障國家網(wǎng)絡信息安全具有十分重要的作用。

[1]馮博琴，陳文革．計算機網(wǎng)絡[M]．北京:高等教育出版社，2004．

[2]閔江，平淡，滄海．切斷互聯(lián)網(wǎng)可能嗎?[J]．電腦愛好者，2012，(18)．