牟承晋:DNS会成为IPv6的“救世主”吗

牟承晋:DNS会成为IPv6的“救世主”吗负责北美地区的美国网络地址注册管理组织ARIN,在4月26-27日第49届公共政策和会员会议上,邀请6位专家讨论了这个主题。

欢迎大家来到IT世界,在知识的湖畔探索吧!

科学自有公论,真相就是真理;网络信息空间领域科学技术的真相,并不因某些IPv6“权威”或“互联网专家”变来变去的说法,而“捉摸不定”。

牟承晋:DNS会成为IPv6的“救世主”吗

围绕“为什么互联网(Internet,下同)没有全面过渡到IPv6?”负责北美地区的美国网络地址注册管理组织ARIN,在4月26-27日第49届公共政策和会员会议上,邀请6位专家讨论了这个主题。他们是:

谷歌公司首席布道师文顿·瑟夫(Vinton G. Cerf),加拿大互联网注册机构(CIRA)首席执行官拜伦·霍兰德(Byron Holland),Hilco Streambank公司全球IPv4高级副总裁李·霍华德(Lee Howar),亚太地区网络信息中心(APNIC)首席科学家杰夫·休斯顿(Geoff Huston),阿卡迈(Akamai)公司高级网络架构师贾里德·莫赫(Jared Mauch)、MCNET-SOLUTIONS公司首席技术官布伦特·英托什(Brent McIntosh)。

ARIN总裁兼首席执行官约翰·柯伦(John Curran)主持讨论,提出了4个探索性的问题:

1)什么是“互联网全面过渡到IPv6?”对你来说意味着什么,你认为它会发生吗?

2)在完全迁移到IPv6的过程中,有哪些障碍,我们该如何解决?

3)互联网是否完全支持IPv6真的很重要吗?这是否应该成为目标?

4)作为区域互联网注册机构(RIR),ARIN 应该如何处理IPv6过渡问题?

专家们对全面过渡(IPv6)将在何时发生没有共识。杰夫·休斯顿提出:“现在利用域名实现了一些我们从未想过的技巧,数以万计的网络主机共享同一个IP地址。所以突然之间,地址就变得无关紧要了。”李·霍华德提出,“事实证明,过渡IPv6的‘尾巴’比我在10年前所预期的要更长。”约翰·柯伦在总结时说,“我们已经启动了(IPv6)市场,但是我们必须意识到现在是‘虎落平川’(we’re the tail on the dog,俚语直译:我们现在是狗尾巴)。”

当被问及域名系统(DNS)是否会是(过渡IPv6)一个障碍时,拜伦·霍兰德(Byron Holland)说:“实际上,我认为DNS会成为救世主(Savior)。”杰夫·休斯顿(Geoff Huston)认为,“DNS是互联网的未来”,“是否应用IPv6重要吗?据我所知,不重要。”

作为人造的互联网关键的基础和根本,DNS会成为IPv6的“救世主”吗?互联网协议之一IPv6是“未来互联网”吗?DNS是“互联网的未来”还是IPv6过渡是“互联网的未来”?国内外一直有人在故意混淆概念、术语和真相,别有用心地制造和传播科技迷雾。

科学自有公论,真相就是真理;网络信息空间领域科学技术的真相,并不因某些IPv6“权威”或“互联网专家”变来变去的说法,而“捉摸不定”。

本文着重谈一谈DNS。

一、DNS就是互联网

DNS是英文Domain Name System的简称,指互联网(Internet,下同)的域名系统。中文在引用DNS时,通常直接理解为“域名解析系统”(Domain name resolution system)。

2021年9月,在欧洲电子通信监管机构(BEREC)举办的“DNS开放性”主题研讨会上,亚太地区网络信息中心(APNIC)的首席科学家杰夫•休斯顿(Geoff Huston)指出,“每一位连接到互联网的网民都必须首先访问DNS,而没有选择性。事实上,这种属性从本质上定义了什么是互联网,即DNS就是互联网(The DNS is the Internet)。”

从这个意义上说,今天的国际互联网,至少包括美国BIND软件解析的DNS系统、荷兰(欧盟)自主开发的NSD软件解析的DNS系统,以及自主调整自治域和立法规范DNS解析的”俄罗斯主权互联网”(RUnet)。

被美国媒体称为“全球30万黑客”卷入的俄罗斯乌克兰网络战争正在进行时,美国的互联网科技与资本大佬联手对俄罗斯实施“断服”,美国决定扩充网络部队,美国拉欧盟和50多个国家及台湾签署《未来互联网宣言》,美国为首的北约接受韩国加入网络防御中心,等等,一再表明,美国始终没有放弃“同一个世界、同一张互联网”的霸权主张。

事实不断地证明,伦敦经济和政治科学研究院(LSE)2009年3月19日“中国与域名系统”研究报告中的观点,一语破的,即域名系统DNS是典型的“固有政治性”(inherently political)技术;试图改变域名系统DNS政治化的行动,缺少约束力;摆脱DNS技术的固有政治性,取决于新标准和体系结构的变革。

事实更进一步证明,DNS构成了互联网基本功能所依赖的全球网络寻址机制和虚拟化服务(如“内容推送网络”CDN)的关键核心基础。随着互联网技术和应用的快速发展,域名系统DNS的作用不仅在于其重要性和安全性,而且凸显其指挥和控制的权属所在。

截至2022年3月23日,美国联邦通讯委员会(FCC)撤销中国5家国有电信运营商“214条款”授权的命令,全部生效。这意味着,对1994年全功能接入美国互联网的中国公众网络,以及无论采用IPv4或IPv6协议依附在互联网上的虚拟叠加网络,都将随时被断网,即被断开互联网最基础的DNS链接,断开互联网根域名服务器系统的寻址机制和对虚拟化服务的基础支撑。

特朗普政府的国务卿蓬佩奥宣布的“清洁网络”计划,早已公开、明确地说明:“清洁网络运营商”,就是要确保中华人民共和国(PRC)的电信运营商不与美国电信网络连接。这类公司对美国国家安全构成威胁,不应提供来往美国的国际电信服务。

“对美国国家安全构成威胁”,就是美国对中国的的政治!

二、DNS域名系统

DNS包括域名注册、域名应用协议、域名解析层次化服务、域名服务器软件、以及通信网络(Networks)等所组成的生态系统,构成了信息和通信技术以及服务(ICTS)供应链。因此,DNS是互联网“多个系统中的系统”(System of Systems),是互联网“多利益相关方”都高度重视(和抢占)的关键的基础和根本。

1、域名解析

DNS实际上是一个分布式数据库,其层次化结构与UNIX的文件系统结构相类似,呈现为倒置的“树形”,根在顶端。

域名的构成和解析遵循“自右向左”的规则有序流动运行,依次为根域名、顶级(一级)域名、权威(二级)域名、子(三级、四级等)域名,以“.”为区分。例如,“www.icbc.com.cn”就是一个三级域名。

美国高度重视、严密控制DNS层次化的树状体系域名解析,从来不允许任何可逆可变可移动的情况发生。

根据“DNS专业术语”(RFC 8499,2019-1)的定义,DNS“节点”(Instance)是在任播(Anycast)路由中,允许多个DNS服务器具有相同的IP地址,其中的每一个服务器(集群)被称为是一个“节点”;这样的DNS域名服务器节点,又被称为“任播节点”。

2008年开始,所有的根域名服务器应用“任播”技术,实现了根域名服务器“多系统中的系统”(System of Systems)转型,提供更为快捷的服务。因此,全球互联网不再是13个根域名服务器,而是13个根域名服务器系统的集成。

13个根域名系统的总节点数量的增加或减少是动态变化的。例如,借助“任播”(Anycast)技术,截至2021年4月20日,互联网13个根域名服务器系统由全球1,091个地理分布地点和1,379个服务器分布节点组成(配置既定的IPv4和IPv6地址),分布节点曾增加设置到1,469个。

分布节点(Instance)的属性“本地”(Local)与“全球”(Global)的差别在于该节点的可用性。

由12家机构管理的13个根域名系统(A-M)统一服务于“根区文件”(Zoon File),包括所有持续更新的注册授权顶级域名。12家机构可以独立地决定其管理和运营的系统在全球设置的分布节点。

以下是13个根域名系统与管理者的列表(截至2021年4月20日),其中,威瑞信(VeriSign)负责管理A根和J根2个根域名系统:

以下是截至2021年11月8日,8个根域名系统在中国节点分布的列表:

请注意,任何1个根域名服务器及其相应的任何1个任播站点或节点,都不会是一两台电脑、或几台机柜组成,而是根据服务对象与规模(目标及目标群)需求,配置必须和充裕的算力保障设计和构建的服务器(数据机柜)集群,其中,支撑服务器集群构成算力的核心是算法。

2、DNS协议族

1983年11月,域名系统DNS的概念和设施、实现和规范(RFC 882,RFC 883)被正式提出。

1986年1月14日成立的互联网工程任务組(IETF),负责制定和推广自愿采纳的互联网标准和规范,特別是构成TCP/IP协议族的标准。目前,涉及DNS且与TCP/IP四层架构和协议相关的RFC包括7种类别的299个协议(标准)。

3、顶级域名

根域名的服务区块(Zone)是顶级域名。也就是说,仅当注册和启用了顶级域名,根域名系统才有可用性和可服务性。对根域名区块文件(Zone File)的授权和管理以及根域名系统的服务,目前仅面向1,588个顶级(或一级)域名。注册顶级(或一级)域名需要得到ICANN的批准和授权。

1985年1月1日,“.com,.net,.org,.edu,.gov,.mil”6个顶级域名首先被注册,标志着根域名系统的正式运行。其中,“.com,.net,.org”被称为通用顶级域名,“.edu,.gov,.mil”被作为专用顶级域名。

美国国家顶级域名“.us”的注册时间是1985年2月15日;中国国家顶级域名“.cn”的注册时间是1990年11月28日。

目前,顶级域名被分为7 种类型:

在现实应用中,大量注册的域名是二级(或权威)域名,即单位机构、企业公司、网站网点的名称,例如:“ccb.com”。

威瑞信报告,截至2021年6月,全球注册的二级域名数量为3.673亿个;其中,属于通用顶级域名(gTLD)1.81亿个,占比49.3%。

4、DNS主导软件

1984年,在第一个根域名服务器上运营的系统软件被称为“JEEVES”,由保罗•莫卡佩特斯(Paul Mockapetris)设计和开发。同时,由美国国防部国防高级研究计划局(DARPA)资助、伯克利大学(4个研究生)研发、在1984年5月发布的第一个DNS软件版本,被称为“BIND”。之后,美国陆军弹道实验室的道格•金斯顿(Doug Kingston)和迈克•穆斯(Mike Muuss),对BIND软件代码作了重大修改,于1985年被用于美国陆军弹道实验室的H根域名服务器。或许H根可以被认为是DNS域名解析的主根。

在美国国土安全部的资助下,从结构设计修改到代码全面更新,BIND被彻底升级改变。2000年9月,互联网软件联盟公司(ISC)发布新的BIND主版本(BIND 9), 沿用至今:从2004年1月28日发布版本9.0.0到2021年9月15日发布版本9.17.18,18年间共发布了673个子版本(子版本的生命周期一般为一年),包括软件升级、缺陷修改和漏洞补丁。

BIND以其先发优势,并以提供免费软件和开源代码的“推销推广”模式,在市场应用的占有率(据称)超过90%,也被业内作为“事实上的标准”(de facto standard)。必须注意,BIND的“免费软件”不等同于“开源代码”,不应混淆。

2002年5月,荷兰的NLnet Lab发布自主研发的DNS软件,称为“NSD”,2003年2月在“K”根域名服务器启用,替代了“BIND”。目前,有(D、H、K、L)4个根域名服务器系统采用了“NSD”。

此外,2021年3月,美国国家安全局(NSA)发布所研发的新的DNS软件,称为“防护性DNS”(pDNS),目前主要用于军用网络和国防基础设施(DIB)网络。从“DNS就是互联网”的意义上说,这应该也是一个可以独立解析运行的系统。

5、DNS供应链

根域名系统DNS的ICTS供应链的简化关系如下图:

1)ICANN与IETF是并行关系,或IETF对技术规范的研发与对数字资源的授权和管理,并没有直接的关联性;

2)威瑞信等12个根域名系统运营管理单位,并不完全服从于ICANN,其中包括NTIA代表美国政府在事实上所施加的影响力;

3)IETF的DNS标准和规范,仅仅是DNS软件实现中的代码最小集合(即实现DNS软件协议栈的代码有足够的“自由裁量”空间,因不同的软件协议栈开发商而异);

4)形形色色的虚拟运营商可以变通“马甲”,改变或颠覆DNS的应用模式和方式。如:基于DNS的内容推送网络(CDN);

5)美国国家安全局(NSA)以及国家网信安全与基础设施安全局(CISA),对DNS软件技术的研发和应用有相当的(需求化)引导力和(武器化)影响力,如:BIND软件有专用和定制的版本,有别于公共开放的免费版本。

在根域名系统的生态环境中,如果说,ICANN拥有对数字资源(域名、IP地址和ASN自治系统编号)以及根域名管理的决策权,那么在应用和服务中的域名执行权或另当别论。

三、DNS的监管与治理

1、根域名服务器

1984年,互联网的第一个根域名服务器建立,仅服务于美国国防部的ARPAnet网。

1985年,根域名服务器增加为4个,分别托管在美国信息科学研究院(ISI,2个)、斯坦福国际研究所(SRI)、美国陆军弹道实验室(BRL)。

1987年,根域名服务器增加到7个,服务扩展到美国的ARPAnet(研发和测试网)、MILnet(军用网)、NSFnet(国家科学基金网)、SURAnet(美国东南地区高校网)、BARRnet(美国西部硅谷地区研究网)、NASA-Science(美国国家航空航天局科研网)。

1995年,即中国全功能接入美国互联网的次年,根域名服务器增加到9个,服务扩展到北欧科研教育网(NORDUnet,诺顿网),并对根域名服务器从“A”到“I”重命名,。

► 1997年,对于美国和中国来说,是几乎同步发展互联网的重要一年。美国在DNS技术上成就、完善了互联网,中国提供了互联网应用的大市场:

▲ 1997年1月,美国新增加从“J”到“M”4个根域名服务器,至此,建成了互联网13个根域名服务器以及落实了从“A”到“M”的重新编号,完成了互联网域名系统的整体架构部署。同年1月1日,中国的人民网接入互联网。

▲ 1997年5月,“K”根域名服务器,从美国转移到英国伦敦的互联网交换中心(LINX),之后又被转移到荷兰阿姆斯特丹(自治系统AS 25152),由欧洲互联网协调中心(RIPE NCC)管理和运营。同年6月3日,中国互联网络信息中心(CNNIC)组建。

▲ 1997年 8月,美国将“M”根域名服务器,转移到日本东京(自治系统AS 7500)。同年10月,中国公用计算机互联网(CHINANET)与中国科技网(CSTNET)、中国教育和科研计算机网(CERNET)、中国金桥信息网(CHINAGBN)实现互联互通。

▲ 请注意,由于DNS数据报文采用UDP传输协议,数据包长度为512字节;IPv4地址长度为32字节,13个根域名的IPv4地址占用416字节(被嵌入在DNS报文中),仅剩96字节为DNS数据和信息,故成为限制互联网最多设置13个根域名服务器的主要原因。

但这并不能说明,IPv6地址长度为128字节,就可以增加根域名服务器。事实上,经过30余年的过渡试验,IPv6仍然只是依附于、服从于IPv4既有的13个根域名服务器(系统)架构,并没有建立起“纯IPv6”的根域名服务器(系统),目前也没有替代IPv4的任何技术和应用可能。

2、根域名镜像服务器

根域名镜像服务器(Instance)分为全网(Global)和本地(Local)两种类型。网上内容完全相同而且同步更新的两个或多个服务器,除主机服务器外,其余都是镜像服务器。

镜像服务器在业界又被称为“实例”,实例之间不相互联接,可以基于Web或基于命令行单独控制或管理。

在每个根域名服务器的节点列表中,一些实例被标记为“全网”,一些则被标记为“本地”。实例标记表明该镜像服务器的应用范围。镜像服务器应用范围由该实例的路由方式(运行于TCP上的自治系统的边界网关路由协议 BGP)决定和限定。

全网实例,允许路由通告在全球互联网上播发,即互联网上的任何路由器都可以知道通达(链接)该实例的路由路径。对于特定的来源,该实例的既定路由可能不是最佳路由,可以选择其它实例作为目的地(经由地)。所有根域名服务器运营商都必须至少有一个全网实例为全球互联网提供服务。

本地实例,路由通告仅限于连接的网络。例如,该实例可能仅对一个网络运营商(ISP)可见,或者对于在特定交换点连接的ISP可见。而对于其他(或远程)的域名解析请求将无法查看和查询。某些根域名服务器运营商还可能根据自己与合作伙伴的需求,选择部署本地实例。

镜像服务器是分担主机负载的服务器,好像照镜子似地同步映射经过主机服务器的数据信息,能看得见、却未必“留得住”,也未必完整。因为镜像服务器的映射,受制于所镜像的主机,主机有什么,才能镜像什么,不可能也不容许有任何异动、更改或变通。

必须注意,DNS的“任播节点”不能被认为或作为是域名的“镜像点”;托管“任播节点”是有条件的,相关方必须签署“保密协议”(NDA)。

3、根域名服务器控制

成立于1978年隶属商务部的美国国家电信和信息管理局(NTIA),是联邦政府的行政部门。NTIA的计划和决策,主要集中在扩大美国的宽带互联网接入和采用,对所有用户推广频谱的使用,并确保互联网继续成为持续创新和经济增长的引擎。

NTIA网站上公开的“与威瑞信的合作协议”载明:威瑞信根据与美国政府签订的第NCR 92-18742号合作协议,管理授权的根区文件。威瑞信的职责包括:按照建议的改变,编辑根区文件,并发布该文件,然后将该文件(通过A根域名服务器)分发给其他的根域名服务器运营商。

如此看来,A根域名服务器在13个根域名服务器中的地位和作用,相当于母根或主根,或是母根与子根、主根与辅根合为一体的复合根、契合根。也有一种说法,H根是母根,A根是主根,或可作为参考。

A根几十年不变地在美国政府和军队的强力保护下,由美国威瑞信公司管理。其中一项主要的功能,就是每24小时向其它12个根域名服务器系统分发、推送顶级域名的权威更新,以保证全球DNS域名解析实时运行的一致性和唯一性。世界各国(包括中国)依照互联网布局设立的任何根(包括世界各地所有的根域名镜像服务器),都必须、也只能追随A根实时同步更新、协调和被支配,也就是受制于A根。否则,或将引起全网(包括中国本地互联网)的运行严重混乱,甚至发生大面积堵塞、阻滞而中断,不能(或无法)正常服务。

以NTIA与威瑞信的“合作协议”为基础,从1998年10月1日到2018年10月26日,NTIA与威瑞信签署了26个公开的修正和补充协议。根据威瑞信提交给美国证券交易委员会(SEC)的2015年度财务报告,其中明确表述:

1)由商务部代表美国政府监督DNS。根据商务部与ICANN签订的2009年10月1日起生效的《承诺确认书》(AOC),商务部是对ICANN绩效持续审查和问责的主体之一。

2)ICANN的作用,是作为多利益相关方中的协调核心,上述《承诺确认书》对其不具有约束力。

3)美国政府的作用,是通过NTIA协调DNS重要方面的管理,包括互联网数字分配机构(IANA)的功能和根域名区的DNS管理。

关键在于,上述所有根域名(无论母根、主根、辅根)、根域名系统(主机与镜像的分布、设立和运行控制系统)、IPv4和IPv6协议,都是美国制定的互联网的网络术语、专有功能和特定元素。互联网的网络主权,包括命名权、管辖权、设计规划权、规则确定权、运行主导权、路由支配权、数据控制权,以及域名地址的分配与租用权、根域名镜像服务器节点的分布与协调权等等,都只能是美国说了算。美国以外的任何国家(包括中国、日本、欧洲各国等)和组织机构(包括联合国、ISO/IEC、ITU等)都说了不算。

母根(Female Root),是指互联网全网的源生根。沿革阿帕网演进重构的美军网是互联网的核心网、发源网、网中网、主导网(主网),“母根”应掩藏在美军绝对控制和提供高度安全保障的“主网”之中。

主根(taproot),互联网的直接根、母根的直连根。A根被认为是互联网13个根中的主根,其它12个根是辅根(Auxiliary root),如设日本的M根就是辅根。

美国政府精心策划与构建了对13个根域名系统母根、主根、辅根的管辖权(法权体制)和控制力(治理机制),不容其他任何国家、组织和个人悖逆与改变。

四、DNS何去何从?

1、DNS安全扩展

随着域名解析系统DNS的安全问题和风险日益突出,IETF自2005年持续发布一组“域名系统DNS安全扩展”(DNSSEC)的标准和规范。

2018年10月12日零点(北京时间),ICANN在全球互联网范围实施了域名根区密钥翻转(KSK,密钥签名密钥),更换用于验证DNSSEC响应一致性的单一信任根,这是互联网历史上的第一次。

但是至今,DNSSEC的应用远低于预期。其中,技术上的原因包括:DNSSEC的数字签名,增加了DNS解析响应数据包的字节数,使得大多数的DNS解析响应数据包保持在512个字节的UDP传输限制之下,越来越具有挑战性。同时,为保持DNS规范不变,超过512字节的数据包可以被截断,并切换到TCP以获取大于512个字节的域名解析响应,潜在地降低了DNS的效率(以及增加了时延和数据包被碎片化的程度)。

因此,现实中DNSSEC的部署和应用被“分层分段”。例如,根域名和顶级域名的解析服务采用了DNSSEC,而权威域名以及递归域名服务器和用户终端的域名解析服务基本上不采用DNSSEC。

APNIC的首席科学家杰夫·休斯顿(Geoff Huston)认为, 目前的状态表明,DNSSEC是应用失败的典型案例之一。

根据APNIC的测量统计,截至 2022年5月6日,DNSSEC在全球的平均验证率为29.91%,其中:

IPv6和IPv4技术上的互不操作性(即“互不兼容”),是互联网安全问题关键的基础和根本症结之一,虽然同属于互联网协议(不同版本),同样采用和依赖互联网的13个根域名服务器系统控制运行,仍然存在大量潜在的不稳定因素和未知安全风险,无法预判,防不胜防,必须进行必要和必须的实际运行(并行)操作实验和验证,探索可能的解决办法,这需要付出难以估量的经济成本和安全代价,或得不偿失。

2、“雪人计划”

2015年6月,ICANN推出美国专家保罗(Paul Vixie)和日本WIDE机构提议的“雪人计划”(译自日文“雪だるまプラン”,英文译作“Yeti DNS Project”)。

“雪人计划”是进行IPv4、IPv6域名空间并行测试的实验项目。ICANN以“雪人”DNSSEC密钥标识,测试M根范围所有的重启、复位设定(Reset),不提供替代的域名空间,仅仅是改变(增加)了M根域名系统解析的委派信息。

美国专业人士承认,这个在测试环境中暂时的、允许失败的前期技术测试项目,既不是“技术原型”的实验,更不是生产环境中的根域名服务器系统的部署,不是“IPv6根域名服务器假设的新格局”,且已经在2017年12月底结束。

美国专业人士明确指出,“雪人计划”的测试和实验证明:

1)IPv6的“主根服务器”不是真正完全独立的主根服务器,而是在IPv4的主根服务器之下的测试性服务器。从技术上看,“雪人计划”新增的25个IPv6根服务器的地位,事实上低于13个IPv4根服务器。

2)所谓中国的IPv6“主根服务器”,受美国的IPv4主根服务器和F根服务器的控制、监视。“IPv4的根服务器对IPv6的根服务器依然拥有解释权。”“即便未来中国有了IPv6的根服务器,也并不意味着中国就能起到主导作用。”

3)IPv6的安全性能不如IPv4。IPv4的地址可以动态分配,IPv6每一个网站都只有一个确定的静态地址,便于被精准定位、精准打击。因此,美国政府和美军都不使用IPv6,故意推给中国耗费大量人力物力财力建设试验性的IPv6系统。

4)“雪人计划”没有试图进行“域名空间分叉”,所有测试都是基于IPv4架构下的拓展,并非“另起炉灶”重新建立一套新的域名管理系统和根域名服务器。也就是说,无论IPv4还是IPv6,全球互联网的总枢纽、数据交换中心、主干网、主根服务器、Web总站仍然在美国,由美国的企业建设、控制和管理。同时,IPv6和“雪人计划”根本没有解决、也不可能解决中国的互联网安全问题。

简言之,美国拥有无论IPv4还是IPv6域名空间的全部主权。美国政府、美国政客、美国政治不容任何国家、任何组织、任何个人改变和动摇美国“一网独霸世界”,已经是全球人所共知的网络常识、科学常识、政治常识。

3、DNS相关技术发展状况

1)2022年1月以来,ICANN广泛宣传一项经过修改的行动措施:“域名系统(DNS)安全和域名查询安全的知识共享与梯度化规范”(Knowledge-Sharing and Instantiating Norms for DNS and Naming Security),简称“KINDNS”。

2022年3月10日,在ICANN的第73届视频年会(ICANN 73)上,同属非洲区管理机构AFRINIC的中东地区代表,就“DNSSEC的数字签名和验证”发表一项“声明”(或“陈述”,Statement)强调:DNS对于确保网络服务的连续性至关重要,有缺陷或无效的DNS服务会对任何机构和组织(包括客户、合作伙伴或雇员)的体验产生负面影响,并影响电子商务应用,导致收益损失,破坏品牌形象,披露2021年因DNS遭受攻击,直接导致 63%的机构和组织断网停服;建议明确DNSSEC部署和应用中的“投资回报率”(ROI)以及关于延迟部署和应用DNSSEC的“风险损失率”(ROR)。

2022年5月19日,ICANN做出官方答复,承认DNS安全运行对于互联网的整体稳定性和弹性的重要性被认同,这正是 ICANN使命的核心;表示该声明提出的一系列建议,与ICANN“五年战略计划”和“中东及周边国家地区的五年计划”相一致,即与ICANN的区域性目标相关;明确ICANN的区域性目标包括:

——通过与多利益相关方的合作支持,以发展技术能力和建立区域性技术专家网络;

——通过参与多利益相关方的工作,识别和缓解DNS面临的安全威胁。

“多利益相关方”,事实上是通过政府与民营企业的合作,构筑新的排他性竞争“门槛”,并且利益或既得利益各取所需。美国拉着欧盟和50多个国家及台湾4月28日共同签署发表的《未来互联网宣言》中提出的“原则”之一,即“保护和加强多利益相关方(multi-stakeholder)的治理方法”。

2)DNS的技术和服务正在发生根本性的变化,不仅是在底层协议(和关键技术),而且是在治理模式上的结盟和管理手段上的加强。

基于“UDP”协议的新一代网络数据传输协议“QUIC”协议,被称为是可与“TCP”协议相媲美的一项颠覆性创新。

2022年5月11日,IETF发布更新的“基于专用QUIC连接的DNS”的标准化进程中的版本RFC 9250;5月20日,IETF更新了基于“UDP”协议标准化过程中的第二版。

4、关注提示

1)ICANN分配和管理的全球互联网数字资源主要包括:顶级域名、IP 地址和ASN自治系统编号。虽然全球DNSSEC的平均验证率(29.91%)与IPv6的平均应用率(31.22%)接近,但是ICANN构建和推进的是“DNS”(KINDNS框架),并没有试图去打造一个全球IPv6应用的生态系统,难道有意识地“厚此薄彼”?!

2)DNS非强制性的技术标准由IETF制定,但DNS的数字资源(如顶级域名授权和端口分配)是ICANN(和IANA)管理,ICANN构建“KINDNS框架”为IETF的标准及相关技术研发,搭建(抢占)了全球互联网的一个“先发优势”平台。

3)虽然目前ICANN仍然在维护DNSSEC,但是当“基于 QUIC的DNS(简称“DOQ”)成为标准,或将取代DNSSEC。换言之,DNSSEC仅仅是过渡性的,亦或是“尸位素餐”。

梳理域名系统DNS,一个直观且简单的演变是:DNS从作为互联网“电话簿”(文件系统)的初始创意,早已成为互联网的“中枢”(指挥和控制系统)与“制高点”(定位和重定向的导航系统)。

5、结语

DNS安全,既不止于“漏洞型”,也不限于“骚扰性”,而是具备明确清晰的战略性和系统性,成为前所未有的斗争和竞争的焦点之一,即“谁掌控DNS,谁就拥有互联网”。

互联网(internet)是人造的,是人类集体智慧的创造成果,是随着人类知识文化和科学技术的不断升华继往开来、与时俱进的系统创新。尤其是在DNS域名系统及其安全技术的演进发展道路上,没有捷径,没有“一招鲜包打天下”,也没有一劳永逸“亘古不变”的技术诀窍。

DNS是互联网关键的基础和根本。IPv4、IPv6都只是互联网的一项协议。

DNS域名系统的创新不会仅仅是基于经验的一项技术编程,更是一个生态系统工程,包含动态的供应链以及潜在的政治、经济、外交、军事战略与策略的谋划。

(作者系昆仑策研究院高级研究员,中国移动通信联合会国际战略研究中心主任;来源:昆仑策网【原创】,修订发布;图片来自网络,侵删)

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/49750.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信