蘇 嘉，李 原，王一雯，金 樺

（中國(guó)信息通信研究院，北京 100191）

域名系統(tǒng)是實(shí)現(xiàn)幾乎所有互聯(lián)網(wǎng)應(yīng)用定位和尋址的基礎(chǔ)。憑借存儲(chǔ)所有頂級(jí)域名的權(quán)威記錄，根域名系統(tǒng)（由根區(qū)文件和根服務(wù)器構(gòu)成）深刻影響全球互聯(lián)網(wǎng)的穩(wěn)定運(yùn)行，是最關(guān)鍵的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。然而，根區(qū)文件高度集中管理，根/鏡像服務(wù)器地理上密集部署，為全球互聯(lián)網(wǎng)安全帶來巨大挑戰(zhàn)[1-6]。

2014年以來，在美國(guó)政府有條件放棄對(duì)IANA監(jiān)管權(quán)政策的推動(dòng)下，全球根管理格局和根技術(shù)架構(gòu)都經(jīng)歷了微妙變化，并逐步成為全球聚焦熱點(diǎn)。在我國(guó)，中央領(lǐng)導(dǎo)高度重視當(dāng)前爭(zhēng)取根自主管理的機(jī)遇和挑戰(zhàn)，把掌握根服務(wù)器和根區(qū)文件管控權(quán)上升到保障國(guó)家網(wǎng)絡(luò)空間安全的戰(zhàn)略高度。因此，從根管理政策、服務(wù)器部署技術(shù)和鏡像部署3方面，深入探討全球根域名系統(tǒng)布局環(huán)境及發(fā)展趨勢(shì)，是支撐相關(guān)部門理清全球根系統(tǒng)發(fā)展脈絡(luò)，把握轉(zhuǎn)型機(jī)遇，推動(dòng)實(shí)現(xiàn)多方共享根系統(tǒng)管理的前提和保證。

1 根域名系統(tǒng)及其管理模式的演進(jìn)

1.1 根服務(wù)器分布的歷史沿革

在互聯(lián)網(wǎng)最初發(fā)展階段，每臺(tái)主機(jī)通過配置定期更新的Hosts文件實(shí)現(xiàn)全網(wǎng)解析。為應(yīng)對(duì)互聯(lián)網(wǎng)規(guī)模擴(kuò)張，20世紀(jì)80年代IETF發(fā)布了RFC1034和RFC1035標(biāo)準(zhǔn)，成為構(gòu)建分布式、層次化DNS系統(tǒng)的技術(shù)基礎(chǔ)。

根域名系統(tǒng)正是在此基礎(chǔ)上發(fā)展起來的。到1997年全球共部署13個(gè)根服務(wù)器，受到DNS報(bào)文長(zhǎng)度限制無法繼續(xù)擴(kuò)展。為突破根節(jié)點(diǎn)數(shù)量限制，提供快速、穩(wěn)定、安全的根解析服務(wù)，2002年以來多個(gè)根廣泛采用Anycast技術(shù)大規(guī)模擴(kuò)張根鏡像節(jié)點(diǎn)，目前達(dá)到400余根節(jié)點(diǎn)，初步形成覆蓋全球各大洲的大規(guī)模、分布式根域名解析網(wǎng)絡(luò)（見表1）。

表1 根/鏡像服務(wù)器全球分布統(tǒng)計(jì)

1.2 根管理模式分析及影響因素

根系統(tǒng)管理由“服務(wù)器管理”和“根區(qū)文件管理”兩部分構(gòu)成。“服務(wù)器管理”是由13個(gè)運(yùn)營(yíng)機(jī)構(gòu)開展網(wǎng)絡(luò)、服務(wù)器等硬件和解析系統(tǒng)、安全保障等軟件環(huán)境的維護(hù)?！案鶇^(qū)文件管理”是對(duì)加載在根服務(wù)器上的頂級(jí)域?qū)ぶ肺募目刂?，是轉(zhuǎn)移互聯(lián)網(wǎng)管理權(quán)，變革全球“根管理格局”和“互聯(lián)網(wǎng)治理格局”的核心（見圖1）。

圖1 全球根區(qū)文件管理主體和流程

全球根管理基本格局是美國(guó)政府主導(dǎo)的2份合同確定：第一，美國(guó)電信和信息管理局NTIA與ICANN簽訂合同，授權(quán)ICANN履行IANA職能；第二，NTIA與Verisign簽訂合同，授權(quán)Verisign開展根區(qū)文件運(yùn)營(yíng)維護(hù)。通過上述2份合同，任何對(duì)于根區(qū)文件的增加、修改和刪除操作，都要經(jīng)過3個(gè)步驟：

1）ICANN審核相關(guān)申請(qǐng)是否符合相關(guān)域名政策，若無誤則提交NTIA。

2）NTIA審核ICANN是否正確完成工作，授權(quán)后將請(qǐng)求提交Verisign。

3）Verisign檢查該請(qǐng)求的技術(shù)正確性（如域名服務(wù)器是否在線等），將相關(guān)條目注入根區(qū)數(shù)據(jù)庫(kù)并向13個(gè)根服務(wù)器分發(fā)。

在法律關(guān)系的限制下，美國(guó)政府對(duì)根區(qū)文件運(yùn)營(yíng)者ICANN和維護(hù)商Verisign都具有話語權(quán)，實(shí)現(xiàn)了美國(guó)政府對(duì)根系統(tǒng)的單邊控制權(quán)。三主體及其相互制約關(guān)系共同形成了當(dāng)前根區(qū)管理模式，也是推動(dòng)根區(qū)管理去美國(guó)政府化的重要切入點(diǎn)。

1.3 變更根管理權(quán)的機(jī)遇與挑戰(zhàn)

由于美國(guó)政府掌握修訂根區(qū)文件的最終審批權(quán)，世界各國(guó)都面臨美國(guó)刪除、篡改和劫持本國(guó)頂級(jí)域的風(fēng)險(xiǎn)，國(guó)際社會(huì)對(duì)美國(guó)壟斷根管理權(quán)普遍不滿，要求改變美國(guó)控制全球互聯(lián)網(wǎng)最終解釋權(quán)的呼聲越來越高。多方壓力下，2014年初美國(guó)商務(wù)部宣布2015年9月將有條件放棄對(duì)IANA的監(jiān)管權(quán)。

在具體操作層面，成立了IANA職能管理權(quán)移交協(xié)調(diào)工作組（ICG），從兼容性、互操作性方面評(píng)估域名、IP地址和協(xié)議參數(shù)3個(gè)社群所提出的移交方案，整合后遞交NTIA審議。其中，域名職能跨社群工作組（CWG）方案與轉(zhuǎn)移根管理權(quán)密切相關(guān)。若移交進(jìn)程順利開展，將在一定程度上改變美國(guó)單邊治理局面，但是移交面臨巨大不確定性風(fēng)險(xiǎn)：

第一，CWG方案尚未解決關(guān)鍵問題，影響ICG整體方案進(jìn)度，預(yù)計(jì)9月前難以順利完成方案整合、公眾評(píng)議、NTIA評(píng)議等諸多流程。

第二，確定ICANN問責(zé)機(jī)制是與IANA管理權(quán)移交相互關(guān)聯(lián)的進(jìn)程，但進(jìn)展緩慢影響了整體協(xié)調(diào)推進(jìn)。

第三，憑借NTIA提出的4項(xiàng)原則及美國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)強(qiáng)大實(shí)力，移交過程完全由美國(guó)主導(dǎo)完成，存在諸多不可控因素。

綜上，預(yù)計(jì)移交方案難以按時(shí)完成（見圖2）并獲得各利益相關(guān)方及美國(guó)政府的一致認(rèn)可?？紤]到IANA職能合同到期后還可續(xù)簽2次（每次2年），未來2～4年面臨根管理方案從NTIA單邊向全球多方共治過渡的重要機(jī)遇。

2 根域名系統(tǒng)部署技術(shù)的發(fā)展

2.1 根服務(wù)器部署技術(shù)面臨變革需求

RFC1034和RFC1035奠定了包含根服務(wù)器在內(nèi)的域名系統(tǒng)技術(shù)基礎(chǔ)。默認(rèn)情況下，DNS協(xié)議基于UDP報(bào)文傳輸，且報(bào)文尺寸限制在512 byte以內(nèi)，當(dāng)大于512 byte時(shí)采用TCP傳輸。出于安全穩(wěn)定運(yùn)行的考慮，512 byte的DNS UDP響應(yīng)消息中最多能容納13個(gè)根服務(wù)器，為實(shí)現(xiàn)根服務(wù)器廣泛分布，保證系統(tǒng)安全穩(wěn)定運(yùn)行，采用Anycast技術(shù)面向全球部署鏡像節(jié)點(diǎn)。

圖2 IANA職能移交時(shí)間表

隨著互聯(lián)網(wǎng)新技術(shù)和新業(yè)務(wù)的不斷發(fā)展演進(jìn)，根服務(wù)器部署技術(shù)面臨變革需求，相關(guān)技術(shù)也在不斷推進(jìn)實(shí)施中。第一，IPv6地址尺寸是IPv4地址的4倍，只要增加2個(gè)根的IPv6地址信息，DNS響應(yīng)報(bào)文尺寸將超過上限，若記錄13個(gè)根IPv6地址，響應(yīng)報(bào)文將增加到811 byte，遠(yuǎn)超出512 byte的限制。第二，DNSSEC大幅增加DNS響應(yīng)報(bào)文尺寸，僅采用一種簽名算法生成RRSIG資源記錄，DNSSEC響應(yīng)報(bào)文尺寸將增加到7～10倍。第三，隨著物聯(lián)網(wǎng)蓬勃發(fā)展，擺脫當(dāng)前根解析系統(tǒng)，構(gòu)筑安全自主的物聯(lián)網(wǎng)標(biāo)識(shí)解析體系也逐漸成為全球關(guān)注的熱點(diǎn)。

2.2 根體系架構(gòu)變革思路分析

為應(yīng)對(duì)技術(shù)和業(yè)務(wù)不斷發(fā)展的訴求，以及共享根管理權(quán)的呼聲，業(yè)內(nèi)不斷提出多項(xiàng)調(diào)整根系統(tǒng)架構(gòu)的技術(shù)方案，在拓展DNS報(bào)文尺寸、重構(gòu)解析系統(tǒng)等方面都有所進(jìn)展，其中部分方案已在具體部署中得到實(shí)施，成為變革根系統(tǒng)架構(gòu)的基礎(chǔ)。

1）拓展DNS報(bào)文長(zhǎng)度

IETF提出了EDNS0機(jī)制，通過在DNS消息中增加字段，允許DNS請(qǐng)求者公布其UDP數(shù)據(jù)包大小，通知服務(wù)器自己可接收的UDP數(shù)據(jù)報(bào)文的最大數(shù)據(jù)容量，避免采用TCP重傳帶來的效率下降或通信失敗。

2）重構(gòu)解析系統(tǒng)

構(gòu)建物聯(lián)網(wǎng)終端標(biāo)識(shí)解析體系引起全球關(guān)注，除利用DNS協(xié)議或者基于現(xiàn)有DNS系統(tǒng)部署物聯(lián)網(wǎng)解析系統(tǒng)外，也涌現(xiàn)出構(gòu)建全新的根解析架構(gòu)，例如Handle系統(tǒng)在全球部署4個(gè)根，根間獨(dú)立、平等、協(xié)同運(yùn)行，每個(gè)根可自主實(shí)施本國(guó)根區(qū)管理，通過根間合作完成跨國(guó)尋址。

3）改良根解析系統(tǒng)

在根服務(wù)器可擴(kuò)展和根區(qū)文件安全傳輸?shù)燃夹g(shù)基礎(chǔ)上，2014年全球產(chǎn)業(yè)各方（包括我國(guó)CNNIC、ZDNS、BII等）密集提出多項(xiàng)關(guān)于拓展全球根系統(tǒng)的建議，其中不乏革命性變革的技術(shù)方案，雖然各項(xiàng)技術(shù)的可行性尚未形成定論，但充分體現(xiàn)出全球調(diào)整根體系架構(gòu)的強(qiáng)烈意愿及發(fā)展方向。例如：Google提出遞歸服務(wù)器緩存全部根區(qū)文件，是對(duì)當(dāng)前根鏡像架構(gòu)的極大拓展，使傳統(tǒng)意義上根鏡像服務(wù)器及其管理權(quán)向遞歸層面延伸；方濱興院士提出借鑒自治域間路由對(duì)等擴(kuò)散的思路，建立國(guó)家級(jí)頂級(jí)域名聯(lián)盟，采用“域名對(duì)等擴(kuò)散”方法通過可信通道交換TLD信息，增強(qiáng)我國(guó)自治根域名解析系統(tǒng)健壯性。

3 我國(guó)根鏡像服務(wù)器建設(shè)和服務(wù)水平分析

3.1 我國(guó)根解析性能和鏡像部署水平的國(guó)際對(duì)比

2003年以來，我國(guó)已陸續(xù)引入4個(gè)根的多鏡像節(jié)點(diǎn)，其中兩個(gè)F根鏡像服務(wù)器分別接入中國(guó)電信和CNNIC網(wǎng)絡(luò)，J根鏡像服務(wù)器接入聯(lián)通網(wǎng)絡(luò)，I根和L根接入CNNIC網(wǎng)絡(luò)。然而，我國(guó)根鏡像部署進(jìn)程緩慢，在引入規(guī)模、解析質(zhì)量和輻射范圍等方面落后于國(guó)際水平。解析性能對(duì)比分析詳見表2。

資產(chǎn)與經(jīng)營(yíng)方面，目前城投集團(tuán)的資產(chǎn)經(jīng)營(yíng)主要集中在房屋拍賣、房屋出租、廣告經(jīng)營(yíng)、房產(chǎn)開發(fā)等幾個(gè)方面，雖有一定成效，但層面不夠?qū)?，挖掘不夠深，走得不夠遠(yuǎn).加強(qiáng)盈利能力，轉(zhuǎn)變發(fā)展模式，創(chuàng)造新的贏利點(diǎn)，投入更多的精力在資產(chǎn)經(jīng)營(yíng)管理上，積極占有城市資源，探索適合自己的商業(yè)模式.

表2 解析性能對(duì)比分析

第一，全球根及其鏡像節(jié)點(diǎn)的全球分布極不均衡，美國(guó)鏡像節(jié)點(diǎn)數(shù)量是中國(guó)的15倍，巴西、德國(guó)、日本、法國(guó)、澳大利亞、加拿大等國(guó)的根鏡像節(jié)點(diǎn)數(shù)量是中國(guó)的2～3倍。

第二，節(jié)點(diǎn)密集程度直接影響解析性能，根據(jù)TEAM CYMRU監(jiān)測(cè)結(jié)果，各國(guó)對(duì)不同根解析的時(shí)延差異極大。我國(guó)平均根解析性能遠(yuǎn)低于發(fā)達(dá)國(guó)家，其中未引入根的訪問性能遠(yuǎn)低于發(fā)達(dá)國(guó)家水平，已引入根的性能也普遍低于發(fā)達(dá)國(guó)家水平。

第三，各國(guó)部署根/鏡像節(jié)點(diǎn)定位和國(guó)際輻射范圍存在顯著差異。以F根為例，日本、北美和歐洲交換中心F根鏡像節(jié)點(diǎn)服務(wù)范圍非常廣泛（如圖3所示）。在中國(guó)、印度和澳大利亞互聯(lián)網(wǎng)物理連接故障時(shí)，新加坡為3國(guó)提供J根解析的冗余保障。我國(guó)引入的鏡像僅服務(wù)于國(guó)內(nèi)特定網(wǎng)絡(luò)范圍，與我國(guó)互聯(lián)網(wǎng)在東南亞地區(qū)甚至全球的影響力極不相稱。

圖3 F根/鏡像輻射范圍（截圖）

圖3中，編號(hào)4，6，10，17，23，30，33，36，41，44，45，52，53，56，58為歐洲節(jié)點(diǎn)；編號(hào)5，29，32，37，40，42，49，59，60為北美節(jié)點(diǎn)；編號(hào)9，19，46，57為南美節(jié)點(diǎn)；編號(hào)11，12，20，24，25，27，35，43，47，48，51，55為亞洲節(jié)點(diǎn)；編號(hào)22，34為非洲節(jié)點(diǎn)。

3.2 我國(guó)根鏡像國(guó)內(nèi)服務(wù)水平分析

我國(guó)訪問各根的解析時(shí)延取決于所訪問根節(jié)點(diǎn)的地理位置和網(wǎng)絡(luò)位置。國(guó)內(nèi)的F、J和L鏡像支持電信、聯(lián)通、鵬博士用戶訪問，移動(dòng)/鐵通訪問香港交換中心的F和I根鏡像以及北美的J和L鏡像。而我國(guó)主導(dǎo)運(yùn)營(yíng)商主要訪問日本、香港、臺(tái)灣的I根鏡像，國(guó)內(nèi)I鏡像服務(wù)少量用戶。由于我國(guó)訪問的F、I、J、L節(jié)點(diǎn)主要分布于亞洲地區(qū)，且網(wǎng)間互通帶寬較高，因此4個(gè)根服務(wù)性能明顯優(yōu)于其他海外節(jié)點(diǎn)，相對(duì)而言，訪問歐美根節(jié)點(diǎn)的性能較差，美國(guó)根解析時(shí)延在200 ms以上，見表3。

從國(guó)內(nèi)性能解析分布來看，根解析性能與根節(jié)點(diǎn)接入網(wǎng)絡(luò)和部署地點(diǎn)密切相關(guān)。以聯(lián)通L根鏡像覆蓋和服務(wù)情況（見圖4）為例，移動(dòng)/鐵通訪問美國(guó)節(jié)點(diǎn)的解析性能較差，達(dá)200 ms以上，電信和鵬博士3月訪問法國(guó)節(jié)點(diǎn)，解析性能遠(yuǎn)差于9月訪問國(guó)內(nèi)節(jié)點(diǎn)。

表3 我國(guó)訪問各根節(jié)點(diǎn)分布和性能統(tǒng)計(jì)

3.3 鏡像網(wǎng)絡(luò)覆蓋能力的深度分析

目前，我國(guó)已引入根鏡像節(jié)點(diǎn)并未實(shí)現(xiàn)對(duì)境內(nèi)各運(yùn)營(yíng)商以及周邊地區(qū)的廣泛服務(wù)，存在不同程度的訪問盲區(qū)現(xiàn)象。這主要是根運(yùn)營(yíng)管理機(jī)構(gòu)和根引入機(jī)構(gòu)調(diào)整路由通告策略所致，限制了根節(jié)點(diǎn)的服務(wù)范圍。

圖4 我國(guó)各運(yùn)營(yíng)商L根解析性能統(tǒng)計(jì)

1）根管理機(jī)構(gòu)的路由策略

2）運(yùn)營(yíng)商的路由策略

根鏡像引入企業(yè)也可能有針對(duì)性地選擇通告根地址前綴的網(wǎng)絡(luò)范圍，例如，考慮到需向主導(dǎo)運(yùn)營(yíng)商支付流量結(jié)算費(fèi)用，引入根鏡像的中小運(yùn)營(yíng)企業(yè)可能不向主導(dǎo)運(yùn)營(yíng)商通告。接入香港交換中心的運(yùn)營(yíng)商能夠得到部分根的優(yōu)質(zhì)服務(wù)，移動(dòng)和鐵通優(yōu)先選擇香港節(jié)點(diǎn)。

4 推進(jìn)我國(guó)構(gòu)建自主根系統(tǒng)的策略思考

伴隨美國(guó)移交IANA監(jiān)管權(quán)，我國(guó)面臨爭(zhēng)取根自主的歷史機(jī)遇。在此背景下，加強(qiáng)我國(guó)根發(fā)展策略的頂層設(shè)計(jì)，堅(jiān)持“根管理權(quán)積極競(jìng)爭(zhēng)”和“根鏡像科學(xué)部署”兩條主線并重，以提升我國(guó)根解析性能和逐步掌握互聯(lián)網(wǎng)控制權(quán)為總體發(fā)展目標(biāo)，推動(dòng)我國(guó)以多樣化方式訪問、部署根鏡像服務(wù)器，增強(qiáng)我國(guó)在全球互聯(lián)網(wǎng)治理領(lǐng)域的國(guó)際話語權(quán)。

第一，加強(qiáng)根部署技術(shù)和管理模式的創(chuàng)新研究，并提出可行方案，積極應(yīng)對(duì)全球根域名系統(tǒng)變革。轉(zhuǎn)型期在共享根管理權(quán)和拓展根數(shù)量方面存在很多機(jī)會(huì)，鼓勵(lì)科研單位、企業(yè)加強(qiáng)關(guān)鍵技術(shù)和管理權(quán)轉(zhuǎn)移方案的研究，以協(xié)會(huì)、聯(lián)盟等模式推動(dòng)各方形成合力，提出可行方案。

第二，充分利用IETF、ICANN等渠道和平臺(tái)，加強(qiáng)國(guó)際合作交流，增強(qiáng)我國(guó)在互聯(lián)網(wǎng)治理領(lǐng)域的影響力和話語權(quán)。融入國(guó)際根架構(gòu)調(diào)整、根管理、根運(yùn)行維護(hù)、支撐資助等機(jī)構(gòu)發(fā)起的多層次活動(dòng)，并展開深度溝通合作，爭(zhēng)取在相關(guān)國(guó)際機(jī)構(gòu)發(fā)出我國(guó)的聲音，先參與、再發(fā)聲，逐步形成我國(guó)的影響力。積極向IETF提交并參與討論根架構(gòu)調(diào)整相關(guān)技術(shù)草案，根管理政策制定方面積極參與到RSSAC咨詢委員會(huì)，充分參與根移交方案制定過程，在新方案關(guān)于根區(qū)內(nèi)容管理、政治監(jiān)管、根運(yùn)行維護(hù)等方面充分體現(xiàn)我國(guó)利益。

第三，完善我國(guó)根鏡像的合理引進(jìn)和部署策略，提升我國(guó)網(wǎng)絡(luò)安全、解析性能和我國(guó)網(wǎng)絡(luò)國(guó)際地位。分析研究各根的鏡像引入要求，積極與根管理機(jī)構(gòu)溝通，制定符合我國(guó)實(shí)情的根鏡像服務(wù)器路由策略。從引入鏡像類型、部署地點(diǎn)和企業(yè)選擇出發(fā)，落實(shí)根服務(wù)器科學(xué)合理部署，提升我國(guó)根覆蓋范圍和解析服務(wù)穩(wěn)定性。同時(shí)，以各電信運(yùn)營(yíng)企業(yè)國(guó)際互聯(lián)互通整體戰(zhàn)略為基礎(chǔ)，重點(diǎn)考慮接入部分重點(diǎn)國(guó)際交換中心，實(shí)現(xiàn)與未廣泛推廣鏡像的根對(duì)等互聯(lián)，推動(dòng)我國(guó)根訪問性能整體優(yōu)化。此外，通過升級(jí)或引入Global節(jié)點(diǎn)等方式，我國(guó)引入根鏡像適度對(duì)國(guó)外用戶開放解析服務(wù)，逐步提升我國(guó)互聯(lián)網(wǎng)的國(guó)際價(jià)值。

[1] 方濱興.從“國(guó)家網(wǎng)絡(luò)主權(quán)”談基于國(guó)家聯(lián)盟的自治根域名解析體系[J].信息安全與通信保密，2014（12）：35-38.

[2] 任曉峰.構(gòu)建廣電寬帶網(wǎng)絡(luò)域名服務(wù)系統(tǒng)平臺(tái)[J].電視技術(shù)，2015，39（2）：27-29.

[3] 李原.我國(guó)根域名解析服務(wù)監(jiān)測(cè)與分析[C]//第十七屆全國(guó)青年通信學(xué)術(shù)年會(huì)論文集.北京：國(guó)防工業(yè)出版社編輯部，2012：408-412.

[4] 何躍鷹.互聯(lián)網(wǎng)規(guī)制研究-基于國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略[D].北京：北京郵電大學(xué)，2012.

[6] 曲瀚.根域名服務(wù)性能測(cè)量和研究[C]//中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2011年年會(huì)論文集（上冊(cè)）.[S.l.]：中國(guó)通信學(xué)會(huì)，2011：435-441.