互聯網自治的改造實現*

刁玉平，廖 銘，刁永平

(1.廣東商學院信息學院 廣州510320；2.中國移動集團公司廣東有限公司廣州分公司 廣州510630；3.中國電信股份有限公司廣東研究院 廣州 510630)

1 引言

互聯網系統的核心之一是支撐它運轉的域名服務體系。由于互聯網發源于美國，因此美國一直保持著對互聯網域名及根服務器的控制。在提供域名解析的多級服務器中，處于最頂端的13臺域名根服務器，均由美國政府授權的ICANN統一管理。

互聯網已經在世界范圍內得到了巨大的發展，互聯網作為重要的戰略資源已經日益為世界各國所重視。所以打破互聯網的壟斷控制權，實現互聯網自治，切實保障網絡安全和信息安全就成為非常嚴峻、緊迫的問題。本文將提供一種不改變現有協議、不改變用戶使用模式，無過渡期甚至可以單邊行動來實現互聯網自治的技術。

2 互聯網自治現狀的分析

當今的互聯網歸根結底是單極系統，雖然其分布式網絡系統提供了大部分的網絡自主自治特性，但是關鍵的域名服務采用集權控制方式。

DNS（domain name system/domain name service，域 名系統/域名服務），為互聯網上的主機分配域名地址和IP地址。用戶使用域名地址，該系統就會自動把域名地址轉為 IP地址。執行域名服務的服務器稱為域名服務器，通過域名服務器來應答域名服務的查詢。

互聯網現有域名層次結構如圖1所示，是一種由最多255個字符128層組織域組成的有層次結構的計算機和網絡服務命名空間系統。根域名服務器授權派生出各個層次的域名服務器，非本地域名的域名解釋服務請求缺省都需要經由根域名服務器。現在全世界一共有13個根服務器，其中一個是主根服務器。眾所周知，域名是網站的第一個關鍵，域名解析是控制各網站的核心。通過控制根服務器，可以控制全球各種域名及各地區的域名解釋服務，甚至還可以對其他國家的網絡使用情況進行監控。

在某種意義上，使用國際域名都是不安全的。國際域名的管理現狀就是美國擁有著管理權，根據得到的互聯網DNS解析的相關數據，中國網民的訪問習慣和訪問信息以及網站的解析信息完全暴露于美國公司的監視之下。這對中國的國家安全是非常大的威脅。造成這種現象的原因與互聯網的發展歷史有關，并不是單純的技術先進性問題。

要想維護國家的互聯網安全，唯一的出路就是自建根域名服務器，實現互聯網自治。這其中既有成本的問題也有技術可操作性的問題，在目前現有域名體系下來說是不可能的。所以在現有的域名體系下，互聯網自治是美國以外世界各國的禁區。

3 自治互聯網技術

3.1 自治互聯網的設計目標

要想維護國家互聯網安全，必須實現互聯網自治，擁有自己的根域名服務器，域名解析不再經由境外域名服務器提供服務，這對于現代化的國防、經濟等都非常重要。

自治互聯網技術必須從互聯網現實出發，不改變現有協議、不改變用戶使用模式，無過渡期甚至可以單邊行動來實現互聯網自治的改造。同時，自治互聯網的設計必須是架構安全可擴展，互聯網自治的改造盡可能最小，互聯網自治的過渡平滑可行。

為實現互聯網自治的目標，本文的自治互聯網技術將通過現有域名體系構造出自主自治的可擴展域名體系和層次結構，使每個自治IP網絡都有獨立自主的互聯網域名及根域名服務器；提供自治IP網絡系統內部和跨自治IP網絡系統的域名解釋機制，內部域名解析不再經由自治IP網絡系統外的域名服務器提供服務。

3.2 自治互聯網域名體系

根據自治互聯網的目標，可以設計出如圖2所示的自治互聯網域名層次結構。每個自治IP網絡如A、B…，本身具有完整的整套域名系統并且互不干涉，每個自治IP網絡都相當于現在傳統的互聯網，其內部域名解釋和通信都不會有改變。跨自治IP網絡通信時，需要采用網際域名，即在傳統域名后面加上一個網絡域名后綴以標示指定自治IP網絡內的域名節點，如www.yahoo.com。B就表示是自治IP網絡B中的域名節點。為此，在每個自治域名層次結構樹中都增加ex(i)的頂級域名，以映射代表本自治IP網絡可以通達的其他自治IP網絡域名樹。當ex(i)=B時，表示可以通達的其他自治IP網絡B。因此，在每個自治IP網絡中會增加一個稱為 “自治IP網絡域名服務器網關”的設備 AIP DNS GW，以支持跨自治IP網絡的域名解釋。

自治互聯網的域名體系具有自主、可擴展的特點。

3.3 自治互聯網域名解釋流程

3.3.1自治IP網絡本網內域名解釋

自治IP網絡本網內域名解釋按照傳統方式進行。如圖3所示，比如同一自治IP網絡內的域名為Na1（其IP地址為Ga1）的主機要與域名為Na3=www.yahoo.com的主機進行通信，源主機Na1將首先向DNS發出域名查詢請求。這是一個傳統的DNS域名解釋過程，為了與跨自治IP網絡的域名解釋對比，具體步驟簡述如下。

（1）源主機Na1提出域名Na3的解析請求，并將該請求通過本機的解釋器發送給本地域名服務器。

（2）本地域名服務器根據收到的請求，查詢本地緩存返回查詢的結果，如果沒有記錄就把請求發給本自治IP網絡的根域名服務器。

（3）本自治IP網絡的根域名服務器返回給本地域名服務器一個所查詢域(根域名的子域，如COM)的主域名服務器的地址。

（4）本地域名服務器再向步驟（3）中所返回的域名服務器地址發送請求，然后收到該請求的域名服務器查詢其緩存返回對應的記錄或者相關的下級的域名服務器的地址。

（5）本地域名服務器重復步驟（4），直到找到正確的紀錄，即Na3的IP地址Ga3。然后把結果緩存并返回給源主機Na1。

這樣，獲得目的主機的IP地址后，域名為Na1（其IP地址為Ga1）的主機就可以與域名為Na3（其IP地址為Ga3）的主機進行通信了。圖3為自治IP網絡內部域名解釋過程示意。

3.3.2 跨自治IP網絡的域名解釋

跨自治IP網絡的域名解釋需要提供目標網絡節點的網際域名。如圖4所示，自治IP網絡A中域名為Na1（其IP地址為Ga1）的主機要與自治IP網絡B中域名為Nb2=www.yahoo.com（即網際域名為www.yahoo.com.B）的主機進行通信，源主機Na1將首先向本網DNS A發出域名查詢請求。這是一個跨自治IP網絡的域名解釋過程，具體步驟簡述如下。

（1）源主機Na1提出網際域名 Nb2.B的解析請求，并將該請求通過本機的解釋器發送給本地域名服務器。

（2）本地域名服務器根據收到的請求，查詢本地緩存返回查詢的結果，如果沒有記錄就把請求發給本自治IP網絡的根域名服務器。

（3）本自治IP網絡的根域名服務器返回給本地域名服務器一個所查詢頂級域(本自治IP網絡A的根域名的一個子域，這里是B，影射另一個自治IP網絡B的域名體系)的主域名服務器的地址，即AIP DNS GW A的地址。

（4）本地域名服務器再向步驟（3）中所返回的域名服務器AIP DNS GW A的地址發送請求：

①本自治IP網絡的域名服務器網關AIP DNS GW A根據收到的請求，查詢本地緩存返回查詢的結果，如果沒有記錄就直接把請求發給自治IP網絡B的域名服務器網關AIP DNS GW B；

②自治IP網絡B的域名服務器網關AIP DNS GW B根據收到的請求，查詢本地緩存返回查詢的結果；如果沒有記錄就把請求解釋的網際域名Nb2.B去掉本自治IP網絡的網絡域名后綴.B后，把其中的網內域名部分Nb2的域名解釋請求發給本自治IP網絡B的根域名服務器；

③自治IP網絡B的根域名服務器返回給AIP DNS GW B一個所查詢域 (自治IP網絡B的根域名的子域，如COM)的主域名服務器的地址；

④自治IP網絡B的域名服務器網關AIP DNS GW B再向③中所返回的域名服務器地址發送請求，然后收到該請求的域名服務器查詢其緩存返回對應的記錄或者相關的下級的域名服務器的地址；

⑤自治IP網絡B的域名服務器網關AIP DNS GW B重復④，直到找到正確的紀錄，即Nb2的IP地址Gb2；

⑥自治IP網絡B的域名服務器網關AIP DNS GW B把返回的結果中網內域名Nb2添加本自治IP網絡的網絡域名后綴后變成網際域名Nb2.B的解釋結果保存到緩存，同時將該結果返回給AIP DNS GW A。

（5）本自治IP網絡的AIP DNS GW A把返回的結果保存到緩存，同時將該結果返回給本地域名服務器。

（6）本地域名服務器把返回的結果保存到緩存，同時將結果返回給源主機Na1。

這樣，獲得目的主機的IP地址后，自治IP網絡A中域名為Na1（其IP地址為Ga1）的主機就可以與自治IP網絡B中域名為Nb2（其IP地址為Gb2）的主機進行通信了。圖4為自治IP網絡之間域名解釋過程示意。

4 互聯網自治的改造實現

4.1 互聯網的分治

為了實現互聯網的自治，對于現有的互聯網需要首先要進行互聯網的分治。每個準備自治的IP網絡需要對自治域內的網內域名進行聚合收斂，同時逐步與自治域以外的域名進行分隔。

中國互聯網目前只有CN域名的解釋基本是在中國政府的監管之下的。中國在爭取對根域名服務器管理權的同時，一定要逐步降低對COM、NET等境外域名的依賴程度，中國互聯網整體的安全性和強壯性才能得以提高。這樣，也才有利于互聯網的分治，并最終走向互聯網的自治。

4.2 互聯網的自治

（1）新建的自治IP網絡

搭建全新的自治IP網絡，新建工作除了包括IP節點網絡的構建、獨立網絡域名服務體系的構建外，還需要根據自治互聯網域名層次結構在每個自治IP網絡中增加一個稱為“自治IP網絡DNS網關”的設備AIP DNS GW以支持跨自治IP網絡的網際域名解釋。

（2）升級為自治IP網絡

現有互聯網的部分區域（非核心部分）升級為一個新的自治IP網絡，升級工作主要包括增加本自治IP網絡內的根域名服務器以構建獨立的域名服務體系以及增加本自治IP網絡DNS網關設備AIP DNS GW以支持跨自治IP網絡的網際域名解釋。

（3）改造為自治IP網絡

現有互聯網（核心部分）改造為一個自治IP網絡，改造工作主要是增加本自治IP網絡DNS網關設備AIP DNS GW以支持跨自治IP網絡的網際域名解釋。

（4）單邊行動

理想的情況是全球互聯網可以協調一致地進行互聯網自治的改造。但是，如果無法協商一致或者無法協調一致地行動，任何一個國家都可以獨立搭建自治IP網絡并通過原有鏈路連接到互聯網或者任何兩個國家之間都可以協議搭建自治IP網絡并進行互聯。單邊行動工作稍微有點不同：一方面，升級工作主要包括增加本自治IP網絡內的根域名服務器以構建獨立的域名服務體系以及增加本自治IP網絡DNS網關設備AIP DNS GW以支持跨自治IP網絡的網際域名解釋；另一方面，在現有互聯網（核心部分）能夠改造為一個自治IP網絡之前，需要在每個自治IP網絡與現有互聯網（核心部分）之間增加一個改造前“自治IP網絡DNS網關”設備AIP DNS GW，以代替本來需要在現有互聯網（核心部分）改造為一個自治IP網絡所需的改造工作，以支持跨自治IP網絡與現有互聯網（核心部分）的網際域名解釋。改造前“自治IP網絡DNS網關”與普通AIP DNS GW唯一的不同是，需要對來自現有互聯網（核心部分）的域名主動為其添加網際域名后綴。圖5為單邊行動中的自治互聯網示意。

5 結束語

擁有自己的根域名服務器，對于打破互聯網的壟斷控制權，維護國家互聯網安全都非常重要。本文提供的自治互聯網技術既不需要從現在有根域名服務器的國家移植，也不需要互聯網的底層支持技術發生徹底革命，就可以擁有完全獨立自主的根域名服務器，實現互聯網自治。同時，自治互聯網的架構安全可擴展；互聯網自治的改造極小；互聯網自治的過渡平滑可行，甚至可以單邊行動實現。

自治互聯網的關鍵技術已經得以開發驗證實現。互聯網自治的改造實現將足以改變國際互聯網的戰略格局。

1 Mockapetris P V.Domain Names-Concepts and Facilities.Request for Comments 1034.Internet Engineering Task Force,1987

2 Mockapetris P.Domain Names:Implementation and Specification.RFC1035,1987

3 Castro S,Wessels D,Fomenkov M,et al.A day at the root of the internet.ACM SIGCOMM Computer Communications Review,2008

4 Brownlee N,Claffy K,Nemeth E.DNS Root/gTLD performance mea-surements.Proceeding of Passive and Active Measurement Workshop(PAM),2001

5 林闖,雷蕾．下一代互聯網體系結構研究．計算機學報,2007(5):693～711

6 刁永平,刁玉平,廖銘.自治互聯網的實現.中國:201010277181.4,2010-12-15

7 刁玉平,廖銘,刁永平.互聯網架構關鍵資源可擴展研究.中山大學學報自然版,2011,50(6):53～57