互聯(lián)網(wǎng)自治的改造實現(xiàn)*

刁玉平，廖 銘，刁永平

(1.廣東商學(xué)院信息學(xué)院 廣州510320；2.中國移動集團(tuán)公司廣東有限公司廣州分公司 廣州510630；3.中國電信股份有限公司廣東研究院 廣州 510630)

1 引言

互聯(lián)網(wǎng)系統(tǒng)的核心之一是支撐它運轉(zhuǎn)的域名服務(wù)體系。由于互聯(lián)網(wǎng)發(fā)源于美國，因此美國一直保持著對互聯(lián)網(wǎng)域名及根服務(wù)器的控制。在提供域名解析的多級服務(wù)器中，處于最頂端的13臺域名根服務(wù)器，均由美國政府授權(quán)的ICANN統(tǒng)一管理。

互聯(lián)網(wǎng)已經(jīng)在世界范圍內(nèi)得到了巨大的發(fā)展，互聯(lián)網(wǎng)作為重要的戰(zhàn)略資源已經(jīng)日益為世界各國所重視。所以打破互聯(lián)網(wǎng)的壟斷控制權(quán)，實現(xiàn)互聯(lián)網(wǎng)自治，切實保障網(wǎng)絡(luò)安全和信息安全就成為非常嚴(yán)峻、緊迫的問題。本文將提供一種不改變現(xiàn)有協(xié)議、不改變用戶使用模式，無過渡期甚至可以單邊行動來實現(xiàn)互聯(lián)網(wǎng)自治的技術(shù)。

2 互聯(lián)網(wǎng)自治現(xiàn)狀的分析

當(dāng)今的互聯(lián)網(wǎng)歸根結(jié)底是單極系統(tǒng)，雖然其分布式網(wǎng)絡(luò)系統(tǒng)提供了大部分的網(wǎng)絡(luò)自主自治特性，但是關(guān)鍵的域名服務(wù)采用集權(quán)控制方式。

DNS（domain name system/domain name service，域 名系統(tǒng)/域名服務(wù)），為互聯(lián)網(wǎng)上的主機分配域名地址和IP地址。用戶使用域名地址，該系統(tǒng)就會自動把域名地址轉(zhuǎn)為 IP地址。執(zhí)行域名服務(wù)的服務(wù)器稱為域名服務(wù)器，通過域名服務(wù)器來應(yīng)答域名服務(wù)的查詢。

互聯(lián)網(wǎng)現(xiàn)有域名層次結(jié)構(gòu)如圖1所示，是一種由最多255個字符128層組織域組成的有層次結(jié)構(gòu)的計算機和網(wǎng)絡(luò)服務(wù)命名空間系統(tǒng)。根域名服務(wù)器授權(quán)派生出各個層次的域名服務(wù)器，非本地域名的域名解釋服務(wù)請求缺省都需要經(jīng)由根域名服務(wù)器。現(xiàn)在全世界一共有13個根服務(wù)器，其中一個是主根服務(wù)器。眾所周知，域名是網(wǎng)站的第一個關(guān)鍵，域名解析是控制各網(wǎng)站的核心。通過控制根服務(wù)器，可以控制全球各種域名及各地區(qū)的域名解釋服務(wù)，甚至還可以對其他國家的網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控。

在某種意義上，使用國際域名都是不安全的。國際域名的管理現(xiàn)狀就是美國擁有著管理權(quán)，根據(jù)得到的互聯(lián)網(wǎng)DNS解析的相關(guān)數(shù)據(jù)，中國網(wǎng)民的訪問習(xí)慣和訪問信息以及網(wǎng)站的解析信息完全暴露于美國公司的監(jiān)視之下。這對中國的國家安全是非常大的威脅。造成這種現(xiàn)象的原因與互聯(lián)網(wǎng)的發(fā)展歷史有關(guān)，并不是單純的技術(shù)先進(jìn)性問題。

要想維護(hù)國家的互聯(lián)網(wǎng)安全，唯一的出路就是自建根域名服務(wù)器，實現(xiàn)互聯(lián)網(wǎng)自治。這其中既有成本的問題也有技術(shù)可操作性的問題，在目前現(xiàn)有域名體系下來說是不可能的。所以在現(xiàn)有的域名體系下，互聯(lián)網(wǎng)自治是美國以外世界各國的禁區(qū)。

3 自治互聯(lián)網(wǎng)技術(shù)

3.1 自治互聯(lián)網(wǎng)的設(shè)計目標(biāo)

要想維護(hù)國家互聯(lián)網(wǎng)安全，必須實現(xiàn)互聯(lián)網(wǎng)自治，擁有自己的根域名服務(wù)器，域名解析不再經(jīng)由境外域名服務(wù)器提供服務(wù)，這對于現(xiàn)代化的國防、經(jīng)濟(jì)等都非常重要。

自治互聯(lián)網(wǎng)技術(shù)必須從互聯(lián)網(wǎng)現(xiàn)實出發(fā)，不改變現(xiàn)有協(xié)議、不改變用戶使用模式，無過渡期甚至可以單邊行動來實現(xiàn)互聯(lián)網(wǎng)自治的改造。同時，自治互聯(lián)網(wǎng)的設(shè)計必須是架構(gòu)安全可擴(kuò)展，互聯(lián)網(wǎng)自治的改造盡可能最小，互聯(lián)網(wǎng)自治的過渡平滑可行。

為實現(xiàn)互聯(lián)網(wǎng)自治的目標(biāo)，本文的自治互聯(lián)網(wǎng)技術(shù)將通過現(xiàn)有域名體系構(gòu)造出自主自治的可擴(kuò)展域名體系和層次結(jié)構(gòu)，使每個自治IP網(wǎng)絡(luò)都有獨立自主的互聯(lián)網(wǎng)域名及根域名服務(wù)器；提供自治IP網(wǎng)絡(luò)系統(tǒng)內(nèi)部和跨自治IP網(wǎng)絡(luò)系統(tǒng)的域名解釋機制，內(nèi)部域名解析不再經(jīng)由自治IP網(wǎng)絡(luò)系統(tǒng)外的域名服務(wù)器提供服務(wù)。

3.2 自治互聯(lián)網(wǎng)域名體系

根據(jù)自治互聯(lián)網(wǎng)的目標(biāo)，可以設(shè)計出如圖2所示的自治互聯(lián)網(wǎng)域名層次結(jié)構(gòu)。每個自治IP網(wǎng)絡(luò)如A、B…，本身具有完整的整套域名系統(tǒng)并且互不干涉，每個自治IP網(wǎng)絡(luò)都相當(dāng)于現(xiàn)在傳統(tǒng)的互聯(lián)網(wǎng)，其內(nèi)部域名解釋和通信都不會有改變。跨自治IP網(wǎng)絡(luò)通信時，需要采用網(wǎng)際域名，即在傳統(tǒng)域名后面加上一個網(wǎng)絡(luò)域名后綴以標(biāo)示指定自治IP網(wǎng)絡(luò)內(nèi)的域名節(jié)點，如www.yahoo.com。B就表示是自治IP網(wǎng)絡(luò)B中的域名節(jié)點。為此，在每個自治域名層次結(jié)構(gòu)樹中都增加ex(i)的頂級域名，以映射代表本自治IP網(wǎng)絡(luò)可以通達(dá)的其他自治IP網(wǎng)絡(luò)域名樹。當(dāng)ex(i)=B時，表示可以通達(dá)的其他自治IP網(wǎng)絡(luò)B。因此，在每個自治IP網(wǎng)絡(luò)中會增加一個稱為 “自治IP網(wǎng)絡(luò)域名服務(wù)器網(wǎng)關(guān)”的設(shè)備 AIP DNS GW，以支持跨自治IP網(wǎng)絡(luò)的域名解釋。

自治互聯(lián)網(wǎng)的域名體系具有自主、可擴(kuò)展的特點。

3.3 自治互聯(lián)網(wǎng)域名解釋流程

3.3.1自治IP網(wǎng)絡(luò)本網(wǎng)內(nèi)域名解釋

自治IP網(wǎng)絡(luò)本網(wǎng)內(nèi)域名解釋按照傳統(tǒng)方式進(jìn)行。如圖3所示，比如同一自治IP網(wǎng)絡(luò)內(nèi)的域名為Na1（其IP地址為Ga1）的主機要與域名為Na3=www.yahoo.com的主機進(jìn)行通信，源主機Na1將首先向DNS發(fā)出域名查詢請求。這是一個傳統(tǒng)的DNS域名解釋過程，為了與跨自治IP網(wǎng)絡(luò)的域名解釋對比，具體步驟簡述如下。

（1）源主機Na1提出域名Na3的解析請求，并將該請求通過本機的解釋器發(fā)送給本地域名服務(wù)器。

（2）本地域名服務(wù)器根據(jù)收到的請求，查詢本地緩存返回查詢的結(jié)果，如果沒有記錄就把請求發(fā)給本自治IP網(wǎng)絡(luò)的根域名服務(wù)器。

（3）本自治IP網(wǎng)絡(luò)的根域名服務(wù)器返回給本地域名服務(wù)器一個所查詢域(根域名的子域，如COM)的主域名服務(wù)器的地址。

（4）本地域名服務(wù)器再向步驟（3）中所返回的域名服務(wù)器地址發(fā)送請求，然后收到該請求的域名服務(wù)器查詢其緩存返回對應(yīng)的記錄或者相關(guān)的下級的域名服務(wù)器的地址。

（5）本地域名服務(wù)器重復(fù)步驟（4），直到找到正確的紀(jì)錄，即Na3的IP地址Ga3。然后把結(jié)果緩存并返回給源主機Na1。

這樣，獲得目的主機的IP地址后，域名為Na1（其IP地址為Ga1）的主機就可以與域名為Na3（其IP地址為Ga3）的主機進(jìn)行通信了。圖3為自治IP網(wǎng)絡(luò)內(nèi)部域名解釋過程示意。

3.3.2 跨自治IP網(wǎng)絡(luò)的域名解釋

跨自治IP網(wǎng)絡(luò)的域名解釋需要提供目標(biāo)網(wǎng)絡(luò)節(jié)點的網(wǎng)際域名。如圖4所示，自治IP網(wǎng)絡(luò)A中域名為Na1（其IP地址為Ga1）的主機要與自治IP網(wǎng)絡(luò)B中域名為Nb2=www.yahoo.com（即網(wǎng)際域名為www.yahoo.com.B）的主機進(jìn)行通信，源主機Na1將首先向本網(wǎng)DNS A發(fā)出域名查詢請求。這是一個跨自治IP網(wǎng)絡(luò)的域名解釋過程，具體步驟簡述如下。

（1）源主機Na1提出網(wǎng)際域名 Nb2.B的解析請求，并將該請求通過本機的解釋器發(fā)送給本地域名服務(wù)器。

（2）本地域名服務(wù)器根據(jù)收到的請求，查詢本地緩存返回查詢的結(jié)果，如果沒有記錄就把請求發(fā)給本自治IP網(wǎng)絡(luò)的根域名服務(wù)器。

（3）本自治IP網(wǎng)絡(luò)的根域名服務(wù)器返回給本地域名服務(wù)器一個所查詢頂級域(本自治IP網(wǎng)絡(luò)A的根域名的一個子域，這里是B，影射另一個自治IP網(wǎng)絡(luò)B的域名體系)的主域名服務(wù)器的地址，即AIP DNS GW A的地址。

（4）本地域名服務(wù)器再向步驟（3）中所返回的域名服務(wù)器AIP DNS GW A的地址發(fā)送請求：

①本自治IP網(wǎng)絡(luò)的域名服務(wù)器網(wǎng)關(guān)AIP DNS GW A根據(jù)收到的請求，查詢本地緩存返回查詢的結(jié)果，如果沒有記錄就直接把請求發(fā)給自治IP網(wǎng)絡(luò)B的域名服務(wù)器網(wǎng)關(guān)AIP DNS GW B；

②自治IP網(wǎng)絡(luò)B的域名服務(wù)器網(wǎng)關(guān)AIP DNS GW B根據(jù)收到的請求，查詢本地緩存返回查詢的結(jié)果；如果沒有記錄就把請求解釋的網(wǎng)際域名Nb2.B去掉本自治IP網(wǎng)絡(luò)的網(wǎng)絡(luò)域名后綴.B后，把其中的網(wǎng)內(nèi)域名部分Nb2的域名解釋請求發(fā)給本自治IP網(wǎng)絡(luò)B的根域名服務(wù)器；

③自治IP網(wǎng)絡(luò)B的根域名服務(wù)器返回給AIP DNS GW B一個所查詢域 (自治IP網(wǎng)絡(luò)B的根域名的子域，如COM)的主域名服務(wù)器的地址；

④自治IP網(wǎng)絡(luò)B的域名服務(wù)器網(wǎng)關(guān)AIP DNS GW B再向③中所返回的域名服務(wù)器地址發(fā)送請求，然后收到該請求的域名服務(wù)器查詢其緩存返回對應(yīng)的記錄或者相關(guān)的下級的域名服務(wù)器的地址；

⑤自治IP網(wǎng)絡(luò)B的域名服務(wù)器網(wǎng)關(guān)AIP DNS GW B重復(fù)④，直到找到正確的紀(jì)錄，即Nb2的IP地址Gb2；

⑥自治IP網(wǎng)絡(luò)B的域名服務(wù)器網(wǎng)關(guān)AIP DNS GW B把返回的結(jié)果中網(wǎng)內(nèi)域名Nb2添加本自治IP網(wǎng)絡(luò)的網(wǎng)絡(luò)域名后綴后變成網(wǎng)際域名Nb2.B的解釋結(jié)果保存到緩存，同時將該結(jié)果返回給AIP DNS GW A。

（5）本自治IP網(wǎng)絡(luò)的AIP DNS GW A把返回的結(jié)果保存到緩存，同時將該結(jié)果返回給本地域名服務(wù)器。

（6）本地域名服務(wù)器把返回的結(jié)果保存到緩存，同時將結(jié)果返回給源主機Na1。

這樣，獲得目的主機的IP地址后，自治IP網(wǎng)絡(luò)A中域名為Na1（其IP地址為Ga1）的主機就可以與自治IP網(wǎng)絡(luò)B中域名為Nb2（其IP地址為Gb2）的主機進(jìn)行通信了。圖4為自治IP網(wǎng)絡(luò)之間域名解釋過程示意。

4 互聯(lián)網(wǎng)自治的改造實現(xiàn)

4.1 互聯(lián)網(wǎng)的分治

為了實現(xiàn)互聯(lián)網(wǎng)的自治，對于現(xiàn)有的互聯(lián)網(wǎng)需要首先要進(jìn)行互聯(lián)網(wǎng)的分治。每個準(zhǔn)備自治的IP網(wǎng)絡(luò)需要對自治域內(nèi)的網(wǎng)內(nèi)域名進(jìn)行聚合收斂，同時逐步與自治域以外的域名進(jìn)行分隔。

中國互聯(lián)網(wǎng)目前只有CN域名的解釋基本是在中國政府的監(jiān)管之下的。中國在爭取對根域名服務(wù)器管理權(quán)的同時，一定要逐步降低對COM、NET等境外域名的依賴程度，中國互聯(lián)網(wǎng)整體的安全性和強壯性才能得以提高。這樣，也才有利于互聯(lián)網(wǎng)的分治，并最終走向互聯(lián)網(wǎng)的自治。

4.2 互聯(lián)網(wǎng)的自治

（1）新建的自治IP網(wǎng)絡(luò)

搭建全新的自治IP網(wǎng)絡(luò)，新建工作除了包括IP節(jié)點網(wǎng)絡(luò)的構(gòu)建、獨立網(wǎng)絡(luò)域名服務(wù)體系的構(gòu)建外，還需要根據(jù)自治互聯(lián)網(wǎng)域名層次結(jié)構(gòu)在每個自治IP網(wǎng)絡(luò)中增加一個稱為“自治IP網(wǎng)絡(luò)DNS網(wǎng)關(guān)”的設(shè)備AIP DNS GW以支持跨自治IP網(wǎng)絡(luò)的網(wǎng)際域名解釋。

（2）升級為自治IP網(wǎng)絡(luò)

現(xiàn)有互聯(lián)網(wǎng)的部分區(qū)域（非核心部分）升級為一個新的自治IP網(wǎng)絡(luò)，升級工作主要包括增加本自治IP網(wǎng)絡(luò)內(nèi)的根域名服務(wù)器以構(gòu)建獨立的域名服務(wù)體系以及增加本自治IP網(wǎng)絡(luò)DNS網(wǎng)關(guān)設(shè)備AIP DNS GW以支持跨自治IP網(wǎng)絡(luò)的網(wǎng)際域名解釋。

（3）改造為自治IP網(wǎng)絡(luò)

現(xiàn)有互聯(lián)網(wǎng)（核心部分）改造為一個自治IP網(wǎng)絡(luò)，改造工作主要是增加本自治IP網(wǎng)絡(luò)DNS網(wǎng)關(guān)設(shè)備AIP DNS GW以支持跨自治IP網(wǎng)絡(luò)的網(wǎng)際域名解釋。

（4）單邊行動

理想的情況是全球互聯(lián)網(wǎng)可以協(xié)調(diào)一致地進(jìn)行互聯(lián)網(wǎng)自治的改造。但是，如果無法協(xié)商一致或者無法協(xié)調(diào)一致地行動，任何一個國家都可以獨立搭建自治IP網(wǎng)絡(luò)并通過原有鏈路連接到互聯(lián)網(wǎng)或者任何兩個國家之間都可以協(xié)議搭建自治IP網(wǎng)絡(luò)并進(jìn)行互聯(lián)。單邊行動工作稍微有點不同：一方面，升級工作主要包括增加本自治IP網(wǎng)絡(luò)內(nèi)的根域名服務(wù)器以構(gòu)建獨立的域名服務(wù)體系以及增加本自治IP網(wǎng)絡(luò)DNS網(wǎng)關(guān)設(shè)備AIP DNS GW以支持跨自治IP網(wǎng)絡(luò)的網(wǎng)際域名解釋；另一方面，在現(xiàn)有互聯(lián)網(wǎng)（核心部分）能夠改造為一個自治IP網(wǎng)絡(luò)之前，需要在每個自治IP網(wǎng)絡(luò)與現(xiàn)有互聯(lián)網(wǎng)（核心部分）之間增加一個改造前“自治IP網(wǎng)絡(luò)DNS網(wǎng)關(guān)”設(shè)備AIP DNS GW，以代替本來需要在現(xiàn)有互聯(lián)網(wǎng)（核心部分）改造為一個自治IP網(wǎng)絡(luò)所需的改造工作，以支持跨自治IP網(wǎng)絡(luò)與現(xiàn)有互聯(lián)網(wǎng)（核心部分）的網(wǎng)際域名解釋。改造前“自治IP網(wǎng)絡(luò)DNS網(wǎng)關(guān)”與普通AIP DNS GW唯一的不同是，需要對來自現(xiàn)有互聯(lián)網(wǎng)（核心部分）的域名主動為其添加網(wǎng)際域名后綴。圖5為單邊行動中的自治互聯(lián)網(wǎng)示意。

5 結(jié)束語

擁有自己的根域名服務(wù)器，對于打破互聯(lián)網(wǎng)的壟斷控制權(quán)，維護(hù)國家互聯(lián)網(wǎng)安全都非常重要。本文提供的自治互聯(lián)網(wǎng)技術(shù)既不需要從現(xiàn)在有根域名服務(wù)器的國家移植，也不需要互聯(lián)網(wǎng)的底層支持技術(shù)發(fā)生徹底革命，就可以擁有完全獨立自主的根域名服務(wù)器，實現(xiàn)互聯(lián)網(wǎng)自治。同時，自治互聯(lián)網(wǎng)的架構(gòu)安全可擴(kuò)展；互聯(lián)網(wǎng)自治的改造極小；互聯(lián)網(wǎng)自治的過渡平滑可行，甚至可以單邊行動實現(xiàn)。

自治互聯(lián)網(wǎng)的關(guān)鍵技術(shù)已經(jīng)得以開發(fā)驗證實現(xiàn)。互聯(lián)網(wǎng)自治的改造實現(xiàn)將足以改變國際互聯(lián)網(wǎng)的戰(zhàn)略格局。

1 Mockapetris P V.Domain Names-Concepts and Facilities.Request for Comments 1034.Internet Engineering Task Force,1987

2 Mockapetris P.Domain Names:Implementation and Specification.RFC1035,1987

3 Castro S,Wessels D,Fomenkov M,et al.A day at the root of the internet.ACM SIGCOMM Computer Communications Review,2008

4 Brownlee N,Claffy K,Nemeth E.DNS Root/gTLD performance mea-surements.Proceeding of Passive and Active Measurement Workshop(PAM),2001

5 林闖,雷蕾．下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)研究．計算機學(xué)報,2007(5):693～711

6 刁永平,刁玉平,廖銘.自治互聯(lián)網(wǎng)的實現(xiàn).中國:201010277181.4,2010-12-15

7 刁玉平,廖銘,刁永平.互聯(lián)網(wǎng)架構(gòu)關(guān)鍵資源可擴(kuò)展研究.中山大學(xué)學(xué)報自然版,2011,50(6):53～57