站长吧

未来的域名系统(DNS)

站长吧 域名 2022-05-10 24

作者: 邱实,网络信息安全技术专家;

牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任

来源:昆仑策网,昆仑策研究院

美国、欧盟等4月28日发布的《未来互联网宣言》(以下简称《宣言》)中,所“承诺的原则”之一,是“保护和加强多利益相关方的治理方式”。

美国的相关互联网(Internet,下同)机构,一直围绕“多利益相关方的治理”,构成了支持美国处于战略和技术制高点的模式以及互联网治理的先发优势和固有方法。

“互联网名称与数字地址分配机构”(ICANN)成立于1998年9月18日,是“多利益相关方”(multistakeholder)的组织,其目的是接管包括域名、IP 地址和自治系统编码等互联网数字资源的分配和管理及其相关工作,而这些工作曾由其他组织代表美国政府实施。ICANN仍受美国政府管理和美国法律管辖,美国是控制、攫取互联网利益的幕后和最大的获取者。

依据章程,ICANN所设立的“政府咨询委员会”(简称GAC),是在“多利益相关方”组织结构中代表政府和政府间组织(IGO)的观点,主要职责是就公共政策问题向ICANN提供建议,尤其是在ICANN的活动或政策与国家法律或国际协议之间可能存在相互作用的情况下。但是,GAC没有决策权和表决权。

ICANN对全球互联网数字资源的分配和管理等相关工作,又被划分为五个(地理)区域及其管理机构(简称RIR):

非洲区(管理机构AFRINIC);

亚太区(管理机构APNIC);

北美区(管理机构ARIN);

拉美区(管理机构LACNIC);

欧洲区(管理机构RIPE NCC)。

图1 全球互联网被划分为五个区域

中国属于“亚太区”(APNIC),中东地区属于“非洲区”(AFRINIC)。

“互联网数字分配机构”(IANA)是一个标准制定组织,负责监督全球IP地址和自治系统编码的分配、域名系统(DNS)中的根域名的区块管理,以及与互联网协议符号和互联网号码的相关工作,是隶属于ICANN的职能之一。

同时,IANA与互联网工程任务组(IETF)和RFC(征求意见文档)编辑团队保持密切联系,负责分配作为RFC文档发布的“互联网协议(Internet Protocols)”中,所使用名称和号码在全球的唯一性。

IANA(和ICANN)与IETF的松散联盟关联关系主要在于:

ANA通过IETF发布的“互联网协议”中的参数,为IETF和整个互联网社群提供服务。

IANA(和ICANN)也是IETF工作进程的用户,即依赖于IETF中创建的一些“互联网协议”;例如,“可扩展资源配置协议”(EPP)成为“通用顶级域名”(gTLD)注册管理机构与ICANN认可的域名注册商之间交互的核心。

IANA、IETF等被统称为“I*”合作伙伴,是松散的互联网联盟组织,包括地区互联网注册管理机构(RIR)、互联网架构委员会(IAB)、IETF、万维网联盟(W3C)、互联网协会(ISOC)和ICANN,都参与了互联网治理的讨论与联盟以及组织间的沟通与合作。

图2 ICANN和IANA与IETF(和ISOC等)的松散联盟关联关系

备注-1:“I*”联盟是“多利益相关方”的组织结构。

备注-2:“互联网协议”(Internet Protocols),指的是互联网所有现行标准、拟议规范、实践实验的通信协议(和征求意见),而不仅仅是“IPv4”或“IPv6”,且不应被(人为地)混淆或误导。

备注-3:“互联网协议”(Internet Protocols)是一个“族”,与互联网数字资源(如域名、地址、自治系统编码)紧密相关。

一、DNS的产业动态信息

1月6日,ICANN发布了修改后的一项行动措施:“域名系统(DNS)安全和域名查询安全的知识共享与梯度化规范”(Knowledge-Sharing and Instantiating Norms for DNS and Naming Security),简称“KINDNS”,发音被定义为“Kindness”(友好、包容的意思)。

“KINDNS”是一个框架制定计划,侧重于互联网中最重要的运行安全最佳方案,即DNS安全最佳方案的具体实例。ICANN将与DNS技术社区合作,共同商定一组明确规范,并以指南的形式支持各类运营商都能采纳的DNS安全生态系统;然后,在全球互联网推广应用。

ICANN在未来五年的战略目标是,侧重于促进DNS安全生态系统及其相关的最佳方案;特别是强调需要提高DNS的安全性以及采用全球开放标准和最佳方案。这些战略目标与促进更强大的DNS生态系统的使命相结合,促进了正在开发一个新的规范框架,以积极推广DNS运行最佳方案,鼓励运营商采用且帮助推广应用。DNS本身以及支持DNS运行的所有安全措施都将基于开放标准。

与安全的典型情况相同,使所有DNS运营商与在DNS生态系统中的服务商在同一级别实现安全功能,一直具有挑战性。小型运营商往往是努力跟随着安全措施的不断发展,而大型运营商选择和实施的安全措施只会对其业务目标更有意义。因此,“KINDNS”计划是制定一个简单但有效的框架,有助于形形色色的各类DNS运营商(无论其规模),可以自愿和轻松地遵从DNS协议的演变和产业所确定的最佳方案,以获得更好的安全性和更有效的DNS运行。

“KINDNS”计划的第一个目标,是权威域名以及递归和终端域名解析服务的DNS运营商和DNS软件提供商,该计划的参与者将自愿承诺遵守共同商定的规范,并在各自服务的范围内担当“推广使者”(goodwill ambassadors)。参与者越多,强大且安全的DNS生态系统的覆盖面就会越大。无疑,最终将是“多利益相关方”限制竞争对手的门槛被设置得更高,其利益也被最大化。

“KINDNS”措施计划的关键要素和里程碑如下:

1)致力于确定关键的DNS运行安全最佳方案;

2)规范化最佳方案及其实施指南;

3)为该措施计划构建(多语言)专用网站;

4)赞助商和运营商将被注册作为初期的支持者;

5)开发措施计划的自我评估工具;

6)针对DNS的关键安全指标开发检测平台;

7)建立和维护一个活跃的社区以支持和发展该计划。

二、DNS的区域产业信息

5月16 - 18日,ICANN将主办“2022年中东地区域名系统 (DNS)论坛”(Middle East DNS Forum 2022),简称“MEDNSF”。该论坛汇集了专家和利益相关的各方(参见图1),旨在讨论全球域名市场的最新发展以及加强中东地区DNS产业的方式,并提供了解DNS相关标准和技术的新发展、更好地认识ICANN在塑造未来互联网方面的作用,以及探索如何参与其中的机会。其中研讨的主题包括:

1)需要关注的技术趋势;

2)关于ICANN的“KINDNS”计划;

3)分散式(去中心化)的域名系统;

4)中东和非洲的DNSSEC实施经验;

5)从区域视角观察域名产业;

6)DNS安全威胁;

7)立法与数据隐私保护法;

8)DNS递归和终端域名解析服务的格局;

9)域名的重要程度能否促进国际化域名(IDN)的发展?

图3 “2022年中东地区域名系统(DNS)论坛”的议程

三、参考观点

ICANN、IANA、IETF、ISOC等“I*”联盟伙伴,都是“多利益相关方”的组织(参见图2),也是《宣言》中,“保护和加强多利益相关方的治理方式”的既得利益者。

图4 ICANN官网的标识

显而易见,当前(乃至今后相当长的一段时间)竞争和斗争的焦点是“互联网的管理模式和治理方式”,不仅是难以调和的价值观问题,而且直接影响制订技术路线和制定技术标准;以至于“同一个世界,同一个互联网”,必须是有(政治)“承诺”和(技术)“遵从”为前提条件,即互联网的“开放、共享、自由”已是有条件的了,且必须继续维护、保持、强化“美国回来了”、“美国利益最大化”!

因此,应该清楚地认识和意识到(但不限于):

1)1983年11月发布的RFC 882域名系统(DNS)的规范,主要是用于支持美国国防部“阿帕网”(ARPAnet)的电子邮件和终端主机;但是,DNS迄今已得到显著的演进,包括基于HTTPS(以安全为目标的互联网传输通道)的DNS(DoH)和基于QUIC(新的基于UDP低时延的互联网传输层协议)的DNS(DoQ)。但是,全球DNS的实际应用状况不尽相同,既有运营商和服务商的自由选择,也有区域产业的差异使然。因而,ICANN希望通过“KINDNS”计划尽可能地统一全球互联网的DNS,亦即维护“多利益相关方”的治理模式和方法。

2)域名系统(DNS)包括域名注册、域名应用协议、域名解析层次化服务、域名服务器软件、以及通信网络(Networks)等所组成的生态系统,即是信息和通信技术以及服务(ICTS)供应链。因此,DNS是互联网中的“多个系统中的系统”(System of Systems),也是“多利益相关方”都高度重视(和抢占)DNS的主要原因之一。

3)虽然DNS是众多“互联网协议”之一,但是DNS的演进触发对多个网络协议的修改和扩展,例如:HTTP/3。同样,“IPv6”仅仅是“互联网协议”之一,解决和优化“IPv6”的固有问题,也涉及到协议的创新以及对多个网络协议的修改和扩展,例如:“分段路由”(SRv6)。

综上,如果说美国、欧盟等发布的《未来互联网宣言》,是互联网(暨网络信息空间)的“战车”(威慑选边、胁迫站队);那么,当前正在进行的DNS和IPv6技术演变与系统性治理模式加固,则是(落实和推进)《宣言》的“车轮”。

众所周知,在认知事物时总是存在“幸存者偏差”(Survival Bias),“别让那些幸存者‘害’了你,这个世界远比你想象的复杂很多,看不见的弹痕才是最致命的!”进而,在数字化时代避免或缓解“认知偏差”(Cognitive Biases)就必须彻底摒弃惯性思维以及过度自信(或自恋),且知彼知己、明辨慎思、三思而后行(Thinking about Thinking),不可或缺。

因此,在制订和评估关键的技术路线时,“术无谋则必败”至关重要,非常重要,万万不可以一管之见(甚至一己之私)而盲目跟随、盲从误导,更不容让渡主权、不容丧失底线、不容自欺欺人(自觉或不自觉地被绑在未来互联网治理“战车”的“车轮”上)。

最新发布