全球根域名系統布局環境分析和中國應對策略

蘇 嘉，李 原，王一雯，金 樺

（中國信息通信研究院，北京 100191）

域名系統是實現幾乎所有互聯網應用定位和尋址的基礎。憑借存儲所有頂級域名的權威記錄，根域名系統（由根區文件和根服務器構成）深刻影響全球互聯網的穩定運行，是最關鍵的互聯網基礎設施。然而，根區文件高度集中管理，根/鏡像服務器地理上密集部署，為全球互聯網安全帶來巨大挑戰[1-6]。

2014年以來，在美國政府有條件放棄對IANA監管權政策的推動下，全球根管理格局和根技術架構都經歷了微妙變化，并逐步成為全球聚焦熱點。在我國，中央領導高度重視當前爭取根自主管理的機遇和挑戰，把掌握根服務器和根區文件管控權上升到保障國家網絡空間安全的戰略高度。因此，從根管理政策、服務器部署技術和鏡像部署3方面，深入探討全球根域名系統布局環境及發展趨勢，是支撐相關部門理清全球根系統發展脈絡，把握轉型機遇，推動實現多方共享根系統管理的前提和保證。

1 根域名系統及其管理模式的演進

1.1 根服務器分布的歷史沿革

在互聯網最初發展階段，每臺主機通過配置定期更新的Hosts文件實現全網解析。為應對互聯網規模擴張，20世紀80年代IETF發布了RFC1034和RFC1035標準，成為構建分布式、層次化DNS系統的技術基礎。

根域名系統正是在此基礎上發展起來的。到1997年全球共部署13個根服務器，受到DNS報文長度限制無法繼續擴展。為突破根節點數量限制，提供快速、穩定、安全的根解析服務，2002年以來多個根廣泛采用Anycast技術大規模擴張根鏡像節點，目前達到400余根節點，初步形成覆蓋全球各大洲的大規模、分布式根域名解析網絡（見表1）。

表1 根/鏡像服務器全球分布統計

1.2 根管理模式分析及影響因素

根系統管理由“服務器管理”和“根區文件管理”兩部分構成。“服務器管理”是由13個運營機構開展網絡、服務器等硬件和解析系統、安全保障等軟件環境的維護。“根區文件管理”是對加載在根服務器上的頂級域尋址文件的控制，是轉移互聯網管理權，變革全球“根管理格局”和“互聯網治理格局”的核心（見圖1）。

圖1 全球根區文件管理主體和流程

全球根管理基本格局是美國政府主導的2份合同確定：第一，美國電信和信息管理局NTIA與ICANN簽訂合同，授權ICANN履行IANA職能；第二，NTIA與Verisign簽訂合同，授權Verisign開展根區文件運營維護。通過上述2份合同，任何對于根區文件的增加、修改和刪除操作，都要經過3個步驟：

1）ICANN審核相關申請是否符合相關域名政策，若無誤則提交NTIA。

2）NTIA審核ICANN是否正確完成工作，授權后將請求提交Verisign。

3）Verisign檢查該請求的技術正確性（如域名服務器是否在線等），將相關條目注入根區數據庫并向13個根服務器分發。

在法律關系的限制下，美國政府對根區文件運營者ICANN和維護商Verisign都具有話語權，實現了美國政府對根系統的單邊控制權。三主體及其相互制約關系共同形成了當前根區管理模式，也是推動根區管理去美國政府化的重要切入點。

1.3 變更根管理權的機遇與挑戰

由于美國政府掌握修訂根區文件的最終審批權，世界各國都面臨美國刪除、篡改和劫持本國頂級域的風險，國際社會對美國壟斷根管理權普遍不滿，要求改變美國控制全球互聯網最終解釋權的呼聲越來越高。多方壓力下，2014年初美國商務部宣布2015年9月將有條件放棄對IANA的監管權。

在具體操作層面，成立了IANA職能管理權移交協調工作組（ICG），從兼容性、互操作性方面評估域名、IP地址和協議參數3個社群所提出的移交方案，整合后遞交NTIA審議。其中，域名職能跨社群工作組（CWG）方案與轉移根管理權密切相關。若移交進程順利開展，將在一定程度上改變美國單邊治理局面，但是移交面臨巨大不確定性風險：

第一，CWG方案尚未解決關鍵問題，影響ICG整體方案進度，預計9月前難以順利完成方案整合、公眾評議、NTIA評議等諸多流程。

第二，確定ICANN問責機制是與IANA管理權移交相互關聯的進程，但進展緩慢影響了整體協調推進。

第三，憑借NTIA提出的4項原則及美國互聯網產業強大實力，移交過程完全由美國主導完成，存在諸多不可控因素。

綜上，預計移交方案難以按時完成（見圖2）并獲得各利益相關方及美國政府的一致認可。考慮到IANA職能合同到期后還可續簽2次（每次2年），未來2～4年面臨根管理方案從NTIA單邊向全球多方共治過渡的重要機遇。

2 根域名系統部署技術的發展

2.1 根服務器部署技術面臨變革需求

RFC1034和RFC1035奠定了包含根服務器在內的域名系統技術基礎。默認情況下，DNS協議基于UDP報文傳輸，且報文尺寸限制在512 byte以內，當大于512 byte時采用TCP傳輸。出于安全穩定運行的考慮，512 byte的DNS UDP響應消息中最多能容納13個根服務器，為實現根服務器廣泛分布，保證系統安全穩定運行，采用Anycast技術面向全球部署鏡像節點。

圖2 IANA職能移交時間表

隨著互聯網新技術和新業務的不斷發展演進，根服務器部署技術面臨變革需求，相關技術也在不斷推進實施中。第一，IPv6地址尺寸是IPv4地址的4倍，只要增加2個根的IPv6地址信息，DNS響應報文尺寸將超過上限，若記錄13個根IPv6地址，響應報文將增加到811 byte，遠超出512 byte的限制。第二，DNSSEC大幅增加DNS響應報文尺寸，僅采用一種簽名算法生成RRSIG資源記錄，DNSSEC響應報文尺寸將增加到7～10倍。第三，隨著物聯網蓬勃發展，擺脫當前根解析系統，構筑安全自主的物聯網標識解析體系也逐漸成為全球關注的熱點。

2.2 根體系架構變革思路分析

為應對技術和業務不斷發展的訴求，以及共享根管理權的呼聲，業內不斷提出多項調整根系統架構的技術方案，在拓展DNS報文尺寸、重構解析系統等方面都有所進展，其中部分方案已在具體部署中得到實施，成為變革根系統架構的基礎。

1）拓展DNS報文長度

IETF提出了EDNS0機制，通過在DNS消息中增加字段，允許DNS請求者公布其UDP數據包大小，通知服務器自己可接收的UDP數據報文的最大數據容量，避免采用TCP重傳帶來的效率下降或通信失敗。

2）重構解析系統

構建物聯網終端標識解析體系引起全球關注，除利用DNS協議或者基于現有DNS系統部署物聯網解析系統外，也涌現出構建全新的根解析架構，例如Handle系統在全球部署4個根，根間獨立、平等、協同運行，每個根可自主實施本國根區管理，通過根間合作完成跨國尋址。

3）改良根解析系統

在根服務器可擴展和根區文件安全傳輸等技術基礎上，2014年全球產業各方（包括我國CNNIC、ZDNS、BII等）密集提出多項關于拓展全球根系統的建議，其中不乏革命性變革的技術方案，雖然各項技術的可行性尚未形成定論，但充分體現出全球調整根體系架構的強烈意愿及發展方向。例如：Google提出遞歸服務器緩存全部根區文件，是對當前根鏡像架構的極大拓展，使傳統意義上根鏡像服務器及其管理權向遞歸層面延伸；方濱興院士提出借鑒自治域間路由對等擴散的思路，建立國家級頂級域名聯盟，采用“域名對等擴散”方法通過可信通道交換TLD信息，增強我國自治根域名解析系統健壯性。

3 我國根鏡像服務器建設和服務水平分析

3.1 我國根解析性能和鏡像部署水平的國際對比

2003年以來，我國已陸續引入4個根的多鏡像節點，其中兩個F根鏡像服務器分別接入中國電信和CNNIC網絡，J根鏡像服務器接入聯通網絡，I根和L根接入CNNIC網絡。然而，我國根鏡像部署進程緩慢，在引入規模、解析質量和輻射范圍等方面落后于國際水平。解析性能對比分析詳見表2。

資產與經營方面，目前城投集團的資產經營主要集中在房屋拍賣、房屋出租、廣告經營、房產開發等幾個方面，雖有一定成效，但層面不夠寬，挖掘不夠深，走得不夠遠.加強盈利能力，轉變發展模式，創造新的贏利點，投入更多的精力在資產經營管理上，積極占有城市資源，探索適合自己的商業模式.

表2 解析性能對比分析

第一，全球根及其鏡像節點的全球分布極不均衡，美國鏡像節點數量是中國的15倍，巴西、德國、日本、法國、澳大利亞、加拿大等國的根鏡像節點數量是中國的2～3倍。

第二，節點密集程度直接影響解析性能，根據TEAM CYMRU監測結果，各國對不同根解析的時延差異極大。我國平均根解析性能遠低于發達國家，其中未引入根的訪問性能遠低于發達國家水平，已引入根的性能也普遍低于發達國家水平。

第三，各國部署根/鏡像節點定位和國際輻射范圍存在顯著差異。以F根為例，日本、北美和歐洲交換中心F根鏡像節點服務范圍非常廣泛（如圖3所示）。在中國、印度和澳大利亞互聯網物理連接故障時，新加坡為3國提供J根解析的冗余保障。我國引入的鏡像僅服務于國內特定網絡范圍，與我國互聯網在東南亞地區甚至全球的影響力極不相稱。

圖3 F根/鏡像輻射范圍（截圖）

圖3中，編號4，6，10，17，23，30，33，36，41，44，45，52，53，56，58為歐洲節點；編號5，29，32，37，40，42，49，59，60為北美節點；編號9，19，46，57為南美節點；編號11，12，20，24，25，27，35，43，47，48，51，55為亞洲節點；編號22，34為非洲節點。

3.2 我國根鏡像國內服務水平分析

我國訪問各根的解析時延取決于所訪問根節點的地理位置和網絡位置。國內的F、J和L鏡像支持電信、聯通、鵬博士用戶訪問，移動/鐵通訪問香港交換中心的F和I根鏡像以及北美的J和L鏡像。而我國主導運營商主要訪問日本、香港、臺灣的I根鏡像，國內I鏡像服務少量用戶。由于我國訪問的F、I、J、L節點主要分布于亞洲地區，且網間互通帶寬較高，因此4個根服務性能明顯優于其他海外節點，相對而言，訪問歐美根節點的性能較差，美國根解析時延在200 ms以上，見表3。

從國內性能解析分布來看，根解析性能與根節點接入網絡和部署地點密切相關。以聯通L根鏡像覆蓋和服務情況（見圖4）為例，移動/鐵通訪問美國節點的解析性能較差，達200 ms以上，電信和鵬博士3月訪問法國節點，解析性能遠差于9月訪問國內節點。

表3 我國訪問各根節點分布和性能統計

3.3 鏡像網絡覆蓋能力的深度分析

目前，我國已引入根鏡像節點并未實現對境內各運營商以及周邊地區的廣泛服務，存在不同程度的訪問盲區現象。這主要是根運營管理機構和根引入機構調整路由通告策略所致，限制了根節點的服務范圍。

圖4 我國各運營商L根解析性能統計

1）根管理機構的路由策略

2）運營商的路由策略

根鏡像引入企業也可能有針對性地選擇通告根地址前綴的網絡范圍，例如，考慮到需向主導運營商支付流量結算費用，引入根鏡像的中小運營企業可能不向主導運營商通告。接入香港交換中心的運營商能夠得到部分根的優質服務，移動和鐵通優先選擇香港節點。

4 推進我國構建自主根系統的策略思考

伴隨美國移交IANA監管權，我國面臨爭取根自主的歷史機遇。在此背景下，加強我國根發展策略的頂層設計，堅持“根管理權積極競爭”和“根鏡像科學部署”兩條主線并重，以提升我國根解析性能和逐步掌握互聯網控制權為總體發展目標，推動我國以多樣化方式訪問、部署根鏡像服務器，增強我國在全球互聯網治理領域的國際話語權。

第一，加強根部署技術和管理模式的創新研究，并提出可行方案，積極應對全球根域名系統變革。轉型期在共享根管理權和拓展根數量方面存在很多機會，鼓勵科研單位、企業加強關鍵技術和管理權轉移方案的研究，以協會、聯盟等模式推動各方形成合力，提出可行方案。

第二，充分利用IETF、ICANN等渠道和平臺，加強國際合作交流，增強我國在互聯網治理領域的影響力和話語權。融入國際根架構調整、根管理、根運行維護、支撐資助等機構發起的多層次活動，并展開深度溝通合作，爭取在相關國際機構發出我國的聲音，先參與、再發聲，逐步形成我國的影響力。積極向IETF提交并參與討論根架構調整相關技術草案，根管理政策制定方面積極參與到RSSAC咨詢委員會，充分參與根移交方案制定過程，在新方案關于根區內容管理、政治監管、根運行維護等方面充分體現我國利益。

第三，完善我國根鏡像的合理引進和部署策略，提升我國網絡安全、解析性能和我國網絡國際地位。分析研究各根的鏡像引入要求，積極與根管理機構溝通，制定符合我國實情的根鏡像服務器路由策略。從引入鏡像類型、部署地點和企業選擇出發，落實根服務器科學合理部署，提升我國根覆蓋范圍和解析服務穩定性。同時，以各電信運營企業國際互聯互通整體戰略為基礎，重點考慮接入部分重點國際交換中心，實現與未廣泛推廣鏡像的根對等互聯，推動我國根訪問性能整體優化。此外，通過升級或引入Global節點等方式，我國引入根鏡像適度對國外用戶開放解析服務，逐步提升我國互聯網的國際價值。

[1] 方濱興.從“國家網絡主權”談基于國家聯盟的自治根域名解析體系[J].信息安全與通信保密，2014（12）：35-38.

[2] 任曉峰.構建廣電寬帶網絡域名服務系統平臺[J].電視技術，2015，39（2）：27-29.

[3] 李原.我國根域名解析服務監測與分析[C]//第十七屆全國青年通信學術年會論文集.北京：國防工業出版社編輯部，2012：408-412.

[4] 何躍鷹.互聯網規制研究-基于國家網絡空間安全戰略[D].北京：北京郵電大學，2012.

[6] 曲瀚.根域名服務性能測量和研究[C]//中國通信學會信息通信網絡技術委員會2011年年會論文集（上冊）.[S.l.]：中國通信學會，2011：435-441.