朱國(guó)庫(kù)+++蔣文保

【 摘 要 】 域名服務(wù)器提供域名和IP地址的轉(zhuǎn)換服務(wù)，是Internet中最為關(guān)鍵的基礎(chǔ)設(shè)施之一。目前根域名服務(wù)器集中式的管理和組織方式無(wú)法避免地對(duì)世界上大多數(shù)國(guó)家的網(wǎng)絡(luò)造成安全威脅。針對(duì)集中式的組織方式存在用戶(hù)隱私被監(jiān)控、訪問(wèn)重定向、服務(wù)中斷等安全問(wèn)題，論文提出了一種去中心化的網(wǎng)絡(luò)域名服務(wù)系統(tǒng)模型DDNS（Decentralized Domain Name System），在此模型基礎(chǔ)上設(shè)計(jì)了分布式一致性算法。分布式一致性算法用于根域名服務(wù)器的去中心化和狀態(tài)同步，集群內(nèi)的事務(wù)請(qǐng)求通過(guò)投票方式?jīng)Q定，該事務(wù)通過(guò)后會(huì)在各節(jié)點(diǎn)上提交。

【 關(guān)鍵詞 】 根域名服務(wù)器；域名解析；去中心化；分布式一致性；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)主權(quán)

A Decentralized Domain Name System for the Network

Zhu Guo-ku Jiang Wen-bao

（School of Information Management， Beijing Information Science and Technology University Beijing 100192）

【 Abstract 】 DNS is an essential component of the functionality of the Internet， and it provides a distributeddirectoryservice to translate domain names to the numerical IP addresses. The centralized management of the root servers takes an inevitable security risk to the most of the countries connected to the Internet where personal online privacy is being monitored by the root server， and the visitcan be redirected，also the service can be terminated. In this paper， adecentralized domain name system named DDNS（DecentralizedDomain Name System） is proposed， and in this model a consensus algorithm is designed to decentralize the master server， andthe transaction request on the cluster need to be voted by all the nodes instead of updating from the masters resource records. While the proposal is admitted by more than half of the active nodes， the transaction will be accomplished on each of them.

【 Keywords 】 root dns server； address resolution； decentralized system； distributed consensus； network security； network sovereignty

1 引言

Internet根域名服務(wù)器通常有三類(lèi)：主根域名服務(wù)器、從根域名服務(wù)器和鏡像根域名服務(wù)器[2]。從根域名服務(wù)器定期從隱藏主根域名服務(wù)器同步根區(qū)文件[1]，鏡像根域名服務(wù)器是從根域名服務(wù)器的鏡像。編號(hào)為A～M的13個(gè)根域名服務(wù)器，其中10個(gè)在美國(guó)，2個(gè)在歐洲，1個(gè)在日本。根域名服務(wù)器一旦停止服務(wù)、發(fā)布虛假信息或者篡改消息實(shí)現(xiàn)訪問(wèn)的重定向，大量Internet用戶(hù)將無(wú)法正常訪問(wèn)域名[2]。我國(guó)于2003年起開(kāi)始引入鏡像根，分別于2003年、2005年和2007年引入了F根、I根和J根三個(gè)鏡像根[1]，鏡像根域名服務(wù)器提升域名解析效率的同時(shí)，還需將解析的細(xì)節(jié)傳送到根域名服務(wù)器上，網(wǎng)絡(luò)用戶(hù)的信息私密無(wú)法得到保護(hù)[3]。另外，主根域名服務(wù)器如果屏蔽指定的域名，則它們的地址將無(wú)法解析。據(jù)報(bào)道，伊拉克、利比亞的頂級(jí)域名曾經(jīng)先后被從根域名服務(wù)服務(wù)器中抹掉了數(shù)天，這樣即可讓世界各國(guó)都無(wú)法訪問(wèn)這個(gè)國(guó)家域名下的網(wǎng)站，在這種情況下，該域名的多層解析體系也會(huì)跟著土崩瓦解[6]。根域名服務(wù)器集中式的組織和管理方式無(wú)法擺脫美國(guó)的控制，無(wú)法避免地對(duì)世界上大多數(shù)國(guó)家的網(wǎng)絡(luò)造成潛在的安全威脅。

中國(guó)工程院方濱興院士提出的一個(gè)“域名對(duì)等擴(kuò)散”的方法，讓各個(gè)頂級(jí)域名所有者向其他國(guó)家級(jí)根域名掌握者報(bào)告其頂級(jí)域名服務(wù)器的地址信息，文獻(xiàn)[6]中比較了“應(yīng)急根域名解析”模式和“自主根域名解析”模式，“應(yīng)急”模式缺乏平時(shí)的運(yùn)行考驗(yàn)，而且所采取的技術(shù)過(guò)于復(fù)雜，很難保證在需要的時(shí)候能夠有效使用；而“自主”模式作為常態(tài)運(yùn)行，根域名解析服務(wù)器的負(fù)載能力可以在日常運(yùn)行的監(jiān)控中不斷擴(kuò)充，可以使得運(yùn)行過(guò)程得到長(zhǎng)期有效的考驗(yàn)[6]。本文認(rèn)為在國(guó)際根域名服務(wù)器客觀存在的情況下，“域名對(duì)等擴(kuò)散”體系下的“自主根”和國(guó)際根域名服務(wù)器處于一種混合的工作模式，“自主根域名解析”將目前由中心式的根域名解析體系引起的管理權(quán)問(wèn)題轉(zhuǎn)移到了頂級(jí)域名服務(wù)器，如果.com一類(lèi)的國(guó)際頂級(jí)域名服務(wù)器不將權(quán)威的信息交換給“自主根域名解析”模式下的自主根，自主根會(huì)受到很大的限制；另外，在“自主”模式下，如果國(guó)際根域名服務(wù)器對(duì)部分地址信息封殺，文獻(xiàn)[6]中提到的“利比亞式風(fēng)險(xiǎn)”也還是存在的，因此我們認(rèn)為這也只是一種過(guò)渡性改良方案。所以，從長(zhǎng)遠(yuǎn)角度考慮，本文提出了一種能真正維護(hù)主權(quán)、體現(xiàn)各國(guó)平等的理想方案，就是使用一種去中心化的域名解析系統(tǒng)，這樣才能真正落實(shí)主權(quán)在我、不受制于人的原則。

本文以DNS（Domain Name System）為研究背景，在層次樹(shù)狀結(jié)構(gòu)的基礎(chǔ)上進(jìn)一步研究，提出了一種去中心化的網(wǎng)絡(luò)域名服務(wù)系統(tǒng)DDNS（Decentralized Domain Name System）模型和相應(yīng)算法，在Paxos[4]算法的基礎(chǔ)上設(shè)計(jì)分布式一致性算法組織根域名服務(wù)器，分級(jí)分區(qū)域地管理所有的域名。根區(qū)的事務(wù)請(qǐng)求要得到過(guò)半根節(jié)點(diǎn)的投票才能通過(guò)，從而不再依賴(lài)于主根域名服務(wù)器，DDNS可以支持國(guó)家網(wǎng)絡(luò)主權(quán)的理念，確保各個(gè)根域名服務(wù)器掌握者的網(wǎng)絡(luò)獨(dú)立權(quán)。

2 設(shè)計(jì)思路

首先，為了便于區(qū)分DDNS網(wǎng)絡(luò)域名服務(wù)系統(tǒng)的自組織網(wǎng)絡(luò)部分和被管理網(wǎng)絡(luò)部分，本文將DDNS劃分為一個(gè)骨干區(qū)域和若干非骨干區(qū)域。骨干區(qū)域由根域名服務(wù)器組成，去除主根的綁定，采用去中心化的設(shè)計(jì)思路；被管理網(wǎng)絡(luò)由域名解析過(guò)程查詢(xún)時(shí)依賴(lài)于根域名服務(wù)器的頂級(jí)域名服務(wù)器和權(quán)限域名服務(wù)器組成。域名解析過(guò)程保持現(xiàn)有體系下遞歸查詢(xún)和迭代查詢(xún)。在域名注冊(cè)管理上，各個(gè)國(guó)家可以建立平等的域名注冊(cè)管理機(jī)構(gòu)和根域名服務(wù)器運(yùn)行機(jī)構(gòu)。這種去中心的分層管理模式依賴(lài)于本國(guó)的根域名服務(wù)器，各個(gè)根域名服務(wù)器之間保持狀態(tài)一致性。

Leslie Lamport提出的Paxos算法是一種一致性算法，世界上其他的分布一致性算法都是Paxos算法的改進(jìn)或者簡(jiǎn)化版本[5]。首先，本文在Paxos算法基礎(chǔ)上設(shè)計(jì)了分布式一致性算法用于骨干區(qū)根域名服務(wù)器的事務(wù)更新。骨干區(qū)的每一次事務(wù)請(qǐng)求要先發(fā)起操作提議，提議要通知到每一個(gè)根域名服務(wù)器節(jié)點(diǎn)上。當(dāng)本次提議收到過(guò)半根節(jié)點(diǎn)的投票同意后，本次事務(wù)請(qǐng)求會(huì)在每一個(gè)根域名服務(wù)器上提交，即每一次的提議要么在所有根域名服務(wù)器上都應(yīng)用，要么都不應(yīng)用。為了保證各個(gè)根節(jié)點(diǎn)上執(zhí)行的事務(wù)是順序一致的，每一次的提議都會(huì)有編號(hào)pId（Proposal Id），編號(hào)是逐次遞增的。假設(shè)當(dāng)前已通過(guò)的最大提議編號(hào)是N，則之后進(jìn)入投票表決的提議編號(hào)一定是大于N的。

第二步，當(dāng)骨干區(qū)域有多個(gè)根域名服務(wù)器節(jié)點(diǎn)同時(shí)對(duì)同一條記錄發(fā)起事務(wù)請(qǐng)求時(shí)，并且它們將要操作的對(duì)象的value值不相同，這里會(huì)產(chǎn)生沖突。因此引入一個(gè)Leader的概念，每個(gè)根節(jié)點(diǎn)的提議都要先發(fā)送到Leader的隊(duì)列當(dāng)中，再由Leader順序地對(duì)每個(gè)提議向其他根節(jié)點(diǎn)（Follower）發(fā)起投票。在Leader收到過(guò)半根節(jié)點(diǎn)的同意回復(fù)后，Leader再將該提議的確認(rèn)通知發(fā)送到每一個(gè)根節(jié)點(diǎn)上，再由各根節(jié)點(diǎn)來(lái)提交該事務(wù)。集群初始化時(shí)最先啟動(dòng)的節(jié)點(diǎn)作為L(zhǎng)eader，如果出現(xiàn)Leader宕機(jī)，存活的根節(jié)點(diǎn)會(huì)依據(jù)提議編號(hào)的大小和根節(jié)點(diǎn)唯一標(biāo)識(shí)（ID）的大小兩個(gè)因素來(lái)投票選舉出新的Leader。

以上兩步都是要保證每一個(gè)操作事務(wù)和事務(wù)提交的順序是一致的，保證各根節(jié)點(diǎn)的副本和狀態(tài)的一致性。客戶(hù)端連接到任意一臺(tái)根域名服務(wù)器，查詢(xún)到的頂級(jí)域名信息都是一致的，即客戶(hù)端單一視圖。

上述兩個(gè)步驟將是本文的研究重點(diǎn)。

為了確保域名的自主可控，本文考慮在DDNS框架的基礎(chǔ)上設(shè)計(jì)規(guī)則來(lái)限制根域名服務(wù)器對(duì)頂級(jí)域名的操作權(quán)限，國(guó)家頂級(jí)域名和本國(guó)的底層域名的操作提議只能在本國(guó)的域名注冊(cè)管理和運(yùn)行機(jī)構(gòu)上提交，各個(gè)根域名服務(wù)器節(jié)點(diǎn)都不會(huì)同意和接受某個(gè)根節(jié)點(diǎn)對(duì)其管轄范圍外的域名的操作提議。針對(duì).com、

.org這類(lèi)的國(guó)際頂級(jí)域名，也按照DDNS的去中心化思路來(lái)組織國(guó)際頂級(jí)域名服務(wù)器。

3 框架設(shè)計(jì)

3.1 相關(guān)概念

骨干區(qū)域：DDNS的中心區(qū)域，該區(qū)域由非骨干區(qū)域中深度最小的根域名服務(wù)器組成。骨干區(qū)域內(nèi)所有的域名服務(wù)器組成一張無(wú)向圖。所有的域名服務(wù)器之間都存在物理鏈路并且可以相互通信。如圖1中的A、B、C、D所示的根域名服務(wù)器節(jié)點(diǎn)組成了骨干區(qū)域。

非骨干區(qū)域：骨干區(qū)域以外的區(qū)域稱(chēng)為非骨干區(qū)域。各非骨干區(qū)域內(nèi)部的拓?fù)浣Y(jié)構(gòu)為一棵樹(shù)，該樹(shù)的根節(jié)點(diǎn)就是本非骨干區(qū)域連接骨干區(qū)域的根域名服務(wù)器。如圖1所示，頂級(jí)域名服務(wù)器和權(quán)限域名服務(wù)器等節(jié)點(diǎn)組成了非骨干區(qū)域A。本文使用骨干域名服務(wù)節(jié)點(diǎn)名稱(chēng)+“”的方式描述非骨干區(qū)域。

Leader：骨干區(qū)域內(nèi)所有操作提議的唯一調(diào)度者和處理者，在任一時(shí)刻不存在多于1個(gè)的Leader，Leader角色并不與某個(gè)骨干節(jié)點(diǎn)永久綁定，在Leader無(wú)法連通后，骨干區(qū)會(huì)重新選舉出新的Leader。

Follower：骨干區(qū)域內(nèi)除Leader外存活的節(jié)點(diǎn)，接收來(lái)自客戶(hù)端的操作請(qǐng)求，并將請(qǐng)求轉(zhuǎn)發(fā)給Leader，還參與Leader發(fā)起的提議投票，在檢測(cè)不到Leader心跳后投票重選Leader。

3.2 DDNS模型建模

下面將給出DDNS模型的相關(guān)定義。

定義1. 域名服務(wù)器節(jié)點(diǎn)D，節(jié)點(diǎn)的屬性可以用一個(gè)五元組來(lái)表示：

D=，

其中，id是節(jié)點(diǎn)D唯一標(biāo)識(shí)；n是D節(jié)點(diǎn)名稱(chēng)； isBackbone標(biāo)識(shí)該D節(jié)點(diǎn)是否為根域名服務(wù)器節(jié)點(diǎn)，isBackbone取值1標(biāo)識(shí)骨干節(jié)點(diǎn)，取值0標(biāo)識(shí)非骨干節(jié)點(diǎn)；role取值L標(biāo)識(shí)Leader，取值F標(biāo)識(shí)Follower；pid是節(jié)點(diǎn)上最新的提議編號(hào)。

定義2. 提議Proposal，其數(shù)據(jù)結(jié)構(gòu)為以下三元組：

Proposal=，

其中，pId為提議編號(hào)；key為操作對(duì)象；value為操作對(duì)象的值。

定義3. Proposal選票，其數(shù)據(jù)結(jié)構(gòu)為以下二元組：

VOTE_Proposal=，

其中，id為當(dāng)前節(jié)點(diǎn)的全局唯一數(shù)字標(biāo)識(shí)；vote取值Y表示同意，vote取值N表示否定。

定義4. Leader選票，其數(shù)據(jù)結(jié)構(gòu)為以下三元組：

VOTE_LEADER=，

其中，id為當(dāng)前節(jié)點(diǎn)的全局唯一數(shù)字標(biāo)識(shí)；pId為當(dāng)前節(jié)點(diǎn)最新的提議編號(hào)；electionId為當(dāng)前節(jié)點(diǎn)進(jìn)行投票的輪次。

4 主要功能和流程

骨干區(qū)域內(nèi)，F(xiàn)ollower的提議只能發(fā)給Leader，Leader對(duì)提議可以發(fā)起全體的投票，Leader發(fā)起的提議的編號(hào)為當(dāng)前pId加1，各節(jié)點(diǎn)只會(huì)同意大于當(dāng)前pId的提議，包括已表決通過(guò)的和未來(lái)的，每個(gè)節(jié)點(diǎn)的pId會(huì)隨著提議的通過(guò)不斷地更新，處理流程如下：

①骨干節(jié)點(diǎn)接收到客戶(hù)端的操作請(qǐng)求后，向Leader提交編號(hào)為（pId+1）的事務(wù)操作提議；

②Leader檢查沒(méi)有收到過(guò)編號(hào)大于pId+1的請(qǐng)求后向所有Follower節(jié)點(diǎn)通知該提議，并獲得Follower的投票；

③在Leader收到過(guò)半骨干節(jié)點(diǎn)的同意票后，Leader向所有Follower節(jié)點(diǎn)發(fā)出該提議的事務(wù)提交通知；

④Follower收到Leader的事務(wù)提交通知后，在本節(jié)點(diǎn)上執(zhí)行該提議，并將本機(jī)的pId更新為（pId+1），并通知Leader已提交事務(wù)。

上述流程舉例如下：假設(shè)有5個(gè)根節(jié)點(diǎn)<1， A， 1， F， 8>，<2， B， 1， L， 8>，<3， C， 1， F， 8>，<4， D， 1， F， 7>，<5， E， 1， F， 7>，B節(jié)點(diǎn)為L(zhǎng)eader。客戶(hù)端向C發(fā)起將com的地址改為ip1的請(qǐng)求，步驟如圖2所示。

Follower和Leader之間的心跳檢測(cè)是基于超時(shí)機(jī)制的。當(dāng)一個(gè)Follower超過(guò)一定的時(shí)間沒(méi)有收到Leader的響應(yīng)，它就懷疑Leader發(fā)生故障并啟動(dòng)選舉過(guò)程。Leader出現(xiàn)故障后，整個(gè)骨干區(qū)域進(jìn)入恢復(fù)模式，暫停對(duì)外服務(wù)，在重新選舉出新的Leader后，并當(dāng)骨干區(qū)域內(nèi)有過(guò)半的根節(jié)點(diǎn)與新的Leader完成狀態(tài)同步，結(jié)束恢復(fù)模式，處理流程如下：

①節(jié)點(diǎn)初始化選票，將選票送入本機(jī)發(fā)送隊(duì)列，由發(fā)送器取出并發(fā)送到其他每個(gè)節(jié)點(diǎn)的接收器，接收器會(huì)將選票寫(xiě)入節(jié)點(diǎn)的接收隊(duì)列；

②每個(gè)節(jié)點(diǎn)從本機(jī)的接收隊(duì)列讀取選票，記為vote2；

③本機(jī)選票，記為vote1，當(dāng)e1小于e2時(shí)，清空本機(jī)的接收隊(duì)列，并重新初始化本機(jī)選票，轉(zhuǎn)④；當(dāng)e2小于e1時(shí)，忽略vote2，轉(zhuǎn)②；當(dāng)e1等于e2時(shí)，進(jìn)④；

④當(dāng)P1小于P2時(shí)，更新本節(jié)點(diǎn)的選票為；當(dāng)P1等于P2時(shí)，判斷i2是否大于i1，當(dāng)i2大于i1時(shí)，更新本節(jié)點(diǎn)的選票為；選票更新后送入本機(jī)發(fā)送隊(duì)列；

⑤統(tǒng)計(jì)本機(jī)的選票集合，如果有節(jié)點(diǎn)獲得過(guò)半的相同選票，終止投票，否則轉(zhuǎn)②；

⑥確定投票終止后，根據(jù)表決結(jié)果，更新D中的role值，退出恢復(fù)模式。

某一時(shí)刻，A和B發(fā)生故障，骨干區(qū)重選Leader，選舉示意圖如圖3所示。

從實(shí)時(shí)性角度來(lái)看，骨干節(jié)點(diǎn)間的數(shù)據(jù)同步并不是強(qiáng)一致性，是一種偽實(shí)時(shí)性。骨干節(jié)點(diǎn)之間是由物理的媒介進(jìn)行連接的，節(jié)點(diǎn)間傳遞數(shù)據(jù)存在延時(shí)。因此，在某一個(gè)時(shí)間片內(nèi)可能存在節(jié)點(diǎn)間數(shù)據(jù)的不一致，只能保證順序一致性和最終一致性。

5 結(jié)束語(yǔ)

去中心化的域名服務(wù)器組織和管理方式可以保證各個(gè)根域名服務(wù)器的狀態(tài)一致，并且有效地避免了目前DNS集中式的工作中存在的各種弊端。DDNS模型的域名解析方案不受主根域名服務(wù)器的限制，保證了根域名服務(wù)器的自主可控，即骨干區(qū)域內(nèi)任一骨干D出現(xiàn)宕機(jī)、重啟或者遭受攻擊等問(wèn)題，不影響其他骨干D連接成網(wǎng)絡(luò)。這種去中心化域名系統(tǒng)可以保證國(guó)家網(wǎng)絡(luò)信息安全不受任何單方面的骨干D的管理和控制。DDNS確保國(guó)家網(wǎng)絡(luò)主權(quán)的同時(shí)保護(hù)了網(wǎng)絡(luò)用戶(hù)的信息隱私，從根本上防止了中心式的域名解析體系對(duì)國(guó)家網(wǎng)絡(luò)安全造成的威脅。

參考文獻(xiàn)

[1] 李原，曹慧海，王安平.我國(guó)根域名解析服務(wù)監(jiān)測(cè)與分析[A].中國(guó)通信學(xué)會(huì).第十七屆全國(guó)青年通信學(xué)術(shù)年會(huì)論文集[C].中國(guó)通信學(xué)會(huì)，2012：5.

[2] 曹薊光.互聯(lián)網(wǎng)域名系統(tǒng)管理新機(jī)制的研究[J].電信網(wǎng)技術(shù)，2005，10：8-12.

[3] 楊劍.中國(guó)根域名鏡像服務(wù)器到底帶來(lái)了什么？[N].電腦報(bào)，2007-01-01A08.

[4] Leslie Lamport.The Part-Time Parliament. ACM Transactions on Computer Systems 16，2 （May 1998），133-169.

[5] 楊平安.基于Paxos算法的HDFS高可用性的研究與設(shè)計(jì)[D].華南理工大學(xué)，2012.

[6] 方濱興.從“國(guó)家網(wǎng)絡(luò)主權(quán)”談基于國(guó)家聯(lián)盟的自治根域名解析體系[J].信息安全與通信保密，2014，12：35-38.

基金項(xiàng)目：

國(guó)家自然科學(xué)基金資助項(xiàng)目（61540020）：“基于多維證據(jù)的信任評(píng)估理論、模型與關(guān)鍵機(jī)制研究”。

作者簡(jiǎn)介：

朱國(guó)庫(kù)（1992-），男，浙江人，碩士研究生；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)與信息安全。

蔣文保（1969-），男，湖南人，畢業(yè)于清華大學(xué)，博士后，北京信息科技大學(xué)信息管理學(xué)院副院長(zhǎng)，信息系統(tǒng)研究所副所長(zhǎng)，教授，碩士生導(dǎo)師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)與信息安全領(lǐng)域的科學(xué)研究、產(chǎn)品開(kāi)發(fā)、教學(xué)和管理。