基于CNWW3區(qū)塊鏈網絡的域名體系

李東云，白 杰，吳先鋒

(傲為信息技術(江蘇)有限公司，江蘇 南京 210000)

0 引言

域名系統(tǒng)[1](Domain Name System，DNS)是現(xiàn)有Web2.0時代互聯(lián)網最基礎的服務之一，其提供了將域名解析為真實IP地址的功能，如將www.baidu.com的域名解析為機器可識別的IP地址：180.101.49.12。同時，DNS也是其他重要的互聯(lián)網服務的域名和信息核心內容目錄，提供維護、查詢、校驗等功能，如郵件服務中的郵件交換器記錄(Mail Exchanger Record，MX records)，發(fā)送驗證標準中的域名密鑰識別郵件標準(Domain Keys Identified Mail，DKIM)，發(fā)信者策略架構(Sender Policy Framework，SPF)，基于域名的消息驗證報告和一致性標準(Domain-based Message Authentication,Reporting & Conformance，DMARC)，域名所有權驗證的TXT記錄(Text record，TXT)，甚至是安全外殼公鑰指紋記錄(Secure Shell Fingerprints，SSHFP[2])。目前一些智能DNS服務，如阿里云、AWS等，可以靈活地根據(jù)客戶端的情況返回對應的解析IP地址，從而提高客戶端應用的性能和可靠性。

DNS作為互聯(lián)網服務的基礎目錄數(shù)據(jù)服務，提供了域名解析、安全驗證、服務查詢等一系列功能，目前的各種網絡服務，如網站、郵件、導航、支付等，都依賴于DNS系統(tǒng)提供的相應服務。

1 DNS的工作機制

當用戶使用瀏覽器/應用訪問一個域名，如www.baidu.com，系統(tǒng)會遵循一系列的步驟進行相應域名解析工作，將該域名轉化為機器可識別的IP地址。圖1為域名服務的一個基本流程圖。

圖1 DNS域名服務基本流程圖

相應的步驟如下：

(1)請求信息

當用戶嘗試訪問特定域名時，系統(tǒng)會首先從本地的DNS緩存(Cache)中查詢該域名對應的地址是否已經有緩存(且未過期)，如果有的話，則直接使用緩存進行后續(xù)的網絡通信，否則將發(fā)起域名解析請求。

(2)請求網絡服務供應商(Resolver——域名解析服務器)進行域名解析

如用戶本地無DNS緩存，系統(tǒng)將向其網絡服務供應商(ISP)提供的域名解析服務器(Resolver)進行遞歸解析。同樣地，這些解析服務器也會有相應的DNS緩存，大部分的解析請求都會通過已有的緩存結果直接返回給用戶系統(tǒng)。在實際網絡中，多個ISP往往會共用相同的域名解析服務器。但是也有一些公司和機構，會維護自有的解析服務器，同時也對外提供服務，如谷歌公共DNS(Google Public DNS)、OpenDNS等。

(3)查詢根域名服務器

如果遍歷ISP對應的域名解析服務也無法獲取到對應的域名信息，則該解析請求會被域名解析服務器向根域名服務器請求對應的域名信息。目前全球有13個根域名服務器，997個服務實例接受該類型的服務[3]。根域名服務器并不會直接向域名解析服務器返回對應的域名信息，而是將根據(jù)請求的域名信息，將請求轉向對應的頂級域名服務器(Top-Level Domain name servers，TLD)[4]，如.com、.cn等TLD域名服務器。

(4)查詢TLD服務器

根域名服務器根據(jù)請求的域名信息，將該請求轉向對應的頂級域名服務器——TLD，每一個TLD，比如.com、.cn等，均擁有一系列的服務器提供對應的查詢服務。但是和根域名服務器類似，其并沒有真正對應域名的詳細信息，而是作為代理服務器，將用戶的請求轉向該域名對應的權威域名服務器。

(5)查詢權威域名服務器

TLD服務器根據(jù)請求內容(如二級域名信息)，將請求查詢轉向負責此特定域的權威域名服務器。這些權威名稱服務器知曉請求域名的所有信息，這些信息存儲在自身的DNS記錄中。有許多類型的記錄，每個記錄包含不同類型的信息，如IP地址。因此權威名稱服務器查詢并返回對應的IP地址記錄(A記錄)。某些權威域名服務器會有一些智能化的處理，可以分析傳入的DNS查詢并返回對發(fā)起查詢的請求更高效的響應，從而提高客戶端的可靠性和效率。

(6)解析域名記錄

域名解析服務器從權威域名服務器處獲取到了請求對應的信息，會根據(jù)信息的有效時間(Time-to-Live，TTL)將其緩存在本地，在TTL超時之前，如有其相同域名的解析請求，則會直接返回緩存的信息。同時，域名解析服務器在超時之前，也可以通過主動刷新的機制，重復步驟(3)～(5)更新本地的緩存信息。

(7)返回域名信息

域名解析服務器將解析信息返回給用戶系統(tǒng)后，用戶系統(tǒng)會將該信息緩存并使用其結果進行相應的應用和服務通信，在TTL超時之前，如用戶系統(tǒng)再次請求相同的域名服務，則無需向域名解析服務器進行請求，直接使用本地緩存即可。需要注意的是，用戶系統(tǒng)在用戶沒有請求的時候，即便緩存已經超時，也不會主動進行解析信息刷新。

2 DNS的問題

DNS作為一個有著幾十年歷史的互聯(lián)網基礎服務，有著非常多的優(yōu)點，也隨著技術和網絡的進步，有著顯著的升級和改進，但是一些深層次的問題并沒有得到根本的改變，其自身存在著一些最基本的問題。

(1)中心化多層級系統(tǒng)問題

作為互聯(lián)網基礎性的支持架構，DNS的根域名服務器實質上是由ICANN[5]——一個非盈利性組織所控制的，同時，該組織本質上可由美國政府完全控制。因此，這一方式對于參與和提供網絡服務的各方而言，都存在極大的風險——被ICANN進行限制和屏蔽。同時，DNS作為一個多層級依賴的系統(tǒng)，在中間某個層級出現(xiàn)故障或受到攻擊時(如DDOS攻擊)，存在整個系統(tǒng)崩潰的風險，現(xiàn)實中這種情況也出現(xiàn)過多次[6]，往往會帶來嚴重影響，造成嚴重損失。

(2)安全性問題

DNS請求在通常情況下不會攜帶發(fā)起者的用戶或其他特征信息，因此相關服務端接收到的請求中，往往只會包含一個請求IP地址信息，所以DNS服務經常被用于相關的網絡攻擊和黑客活動中。通過大量發(fā)送DNS請求，阻塞相關的服務端，導致服務端無法響應正常的解析請求，從而影響整個網絡服務安全，這就是常見的DDoS攻擊。同時，多種安全驗證服務也依賴DNS服務，如SSHFP等，所以在攻擊DNS服務時，也可以進一步獲取用戶秘鑰等信息，從而造成更為嚴重的后果。

(3)DNS劫持等帶來的安全風險

主從等級模式的DNS服務體系，在服務器被劫持的情況下，用戶正常的解析請求有可能被轉向非法的地址，從而達到劫持用戶訪問非法地址的內容。對于用戶信息數(shù)據(jù)和個人財產，都有可能造成嚴重的損失。

對于各國尤其是大國而言，網絡安全和獨立性是非常重要的。在經濟建設和人民生產生活中，對于國民性基礎網絡平臺和應用，如果出現(xiàn)根域名服務器，或者頂級域名服務器被干擾、屏蔽、甚至極端情況下的中斷，都會嚴重影響生產和生活，對社會和國家造成不可估量的嚴重損失。

3 基于區(qū)塊鏈去中心化DNS解決方案

區(qū)塊鏈(Blockchain)是一個分布式數(shù)字賬本，按時間順序排列和記錄所有類型的數(shù)據(jù)、交易、合約等內容。它是一種分布式賬本，通過密碼學和計算機科學技術，使得賬本數(shù)據(jù)易于追溯，可跟蹤，透明且不可變。該技術的主要特征是去中心化，信息分布在系統(tǒng)中的不同節(jié)點上。節(jié)點對網絡中發(fā)生的交易進行驗證和記錄，并全網同步相關的交易和記錄。由于信息不存儲于單一的中心服務器，因此很難將其刪除或更改。區(qū)塊鏈是一個中心化維護的數(shù)據(jù)庫，其中每個交易事務以數(shù)據(jù)區(qū)塊的形式記錄，并且它包含鏈接到前一個塊的時間戳。這意味著一旦數(shù)據(jù)區(qū)塊進入系統(tǒng)，它就是不可改變的。從這些特性來說，區(qū)塊鏈技術是一種安全、可靠和穩(wěn)定的技術，可以用于解決和確保數(shù)據(jù)、信息和交易安全性、真實性和唯一性。

基于區(qū)塊鏈域名解析服務(Blockchain Name Service，BNS)，目前有多種，如Namecoin[7]、Ethereum Name Service(ENS)[8]、Handshake[9]等，各種方式解決了一些問題，但是方案本身在實際應用和落地時，均存在許多問題需要改善和解決。其中，有些解決方案嘗試采用全新的域名解決方案來替換現(xiàn)有的DNS系統(tǒng)，對于現(xiàn)有系統(tǒng)完全不兼容，如Namecoin，這些解決方案注定是無法成熟和推廣的。

3.1 ENS

ENS又名以太坊名稱服務，是一種基于以太坊區(qū)塊鏈網絡，采用智能合約機制實現(xiàn)的去中心化、開放和可擴展的域名系統(tǒng)。ENS的工作是將可讀的域名(如“alice.eth”)映射到機器可讀的地址標識，例如以太坊賬號地址、合約地址、文件地址元數(shù)據(jù)等。ENS的“反向解析”能力，可以將規(guī)范命名或接口等元數(shù)據(jù)與以太坊地址相關聯(lián)。ENS與DNS具有相似的目標，但由于以太坊區(qū)塊鏈網絡的功能和限制，因此二者具有明顯不同的架構。與DNS一樣，ENS在稱為域的點分隔層名稱系統(tǒng)上運行，域的所有者可以完全控制相關子域。相對于DNS，ENS大幅減少了基礎架構的復雜性，智能合約就可以取代Go Daddy[10]等注冊機構角色。由于這一功能簡單到只需要一個智能合約，任何人可以依據(jù)注冊機構的規(guī)則來創(chuàng)建子域名。解析器扮演翻譯角色，將名字轉換成哈希地址和以太坊地址。ENS的基礎架構如圖2所示。

圖2 ENS基礎框架圖

其解析過程也和DNS類似，通過多級轉發(fā)的方式，最終獲得對應的域名信息。

3.2 Handshake

Handshake采用了一種與DNS兼容的去中心化的、無權限的域名協(xié)議，其中每個參與節(jié)點都在驗證并負責管理根區(qū)域，目的是創(chuàng)建現(xiàn)有證書頒發(fā)機構的替代方案。其實現(xiàn)是基于UTXO模型的一條公鏈，后者是采用比特幣區(qū)塊鏈網絡，但與比特幣核心不同的一種全節(jié)點軟件。

Handshake公鏈網絡內的共識協(xié)議會替代ICANN根服務器。傳統(tǒng)上而言，域名解析服務器會指向根域名服務器來定位IP地址。用了Handshake，域名解析服務器會指向一個權威服務器，而后者會將需求提交給區(qū)塊鏈網絡，而不是ICANN的根域文件。

同時，Handshake域名擁有者可以創(chuàng)建相應的加密代碼，然后用這個加密代碼創(chuàng)建簽名。這一過程自然會代替掉當前互聯(lián)網世界中的證書授權機構，如Verisign等。

3.3 小結

總的來說，Handshake通過簡化支付認證解決域名解析問題，具有區(qū)塊鏈原生屬性，ENS利用以太坊區(qū)塊鏈智能管理兩個中心化頂級域名(.eth和.luxe)。二者從不同的角度提供了基于區(qū)塊鏈的域名解決方案，同時在方案中也考慮兼容現(xiàn)有的DNS體系，目的還是最終取代現(xiàn)有的DNS系統(tǒng)，但是二者還是存在不少問題。

4 當前BNS存在的問題

(1)技術不成熟

目前存在的多種BNS解決方案中，普遍存在技術不成熟、缺陷較多、故障較多的情況。同時，對于現(xiàn)有DNS系統(tǒng)的兼容性也不足，因此大規(guī)模的推廣和應用還有較多的問題需要解決。

(2)開發(fā)成本高

區(qū)塊鏈開發(fā)生態(tài)的不成熟，導致相關系統(tǒng)的開發(fā)、測試、運營、維護等工作都存在大量的手工操作，對于開發(fā)人員的水平和技能要求較高，從而提高了相應的開發(fā)成本。

(3)性能較低

無論是Handshake，還是ENS，或是其他的解決方案，限于現(xiàn)有區(qū)塊鏈網絡的性能瓶頸，對于支持每天訪問次數(shù)超過數(shù)十億的DNS服務來說，是無法滿足真實需求的。同時，區(qū)塊鏈網絡的共識機制，決定了請求的響應往往會比較慢，這對于網絡服務的體驗也是非常不友好的。

5 CNWW3[11]公鏈的BNS解決方案——CNS

對于現(xiàn)有DNS和BNS解決方案存在的問題，Web2.0和Web3.0的融合需求，域名系統(tǒng)需要提供的服務等內容，需要有一個完整的綜合解決方案。基于CNWW3公鏈網絡體系，通過應用該公鏈體系的能力和特性，提供有效的解決方案CNS(CNWW3 Name System)。該方案兼容現(xiàn)有DNS解決方案，同時也有效地提供了去中心化的能力，維護網絡的中立性原則，同時，也能有效地保障社會和國家的網絡安全。

5.1 子鏈方式提供BNS服務，兼容DNS體系

通過CNWW3子鏈體系[12]，基于CNWW3公鏈創(chuàng)建CNS子鏈，該子鏈繼承公鏈相關特性，具有和公鏈完整的雙向跨鏈能力。在CNS子鏈體系中，其完成如下工作：

(1)初始化并部署根域名智能合約；

(2)部署CNS相關注冊登記、查詢、更新等智能合約(TLD和二級域名智能合約)；

(3)執(zhí)行CNS相關注冊登記、查詢、更新等智能合約(TLD和二級域名智能合約)；

(4)存儲并路由相關域名記錄；

(5)通過I節(jié)點(具有DNS權威域名服務器功能，域名解析服務器功能和CNS子鏈功能的節(jié)點)，完成和傳統(tǒng)DNS系統(tǒng)的雙向兼容。

子鏈系統(tǒng)如圖3所示。

圖3 CNS子鏈架構圖

在CNS子鏈中，通過交易觸發(fā)智能合約的執(zhí)行，完成去中心化的域名注冊登記、查詢、更新等操作。對于傳統(tǒng)DNS系統(tǒng)，通過I節(jié)點，便捷地完成對于CNS域名的查詢操作；反之，CNWW3公鏈中的應用，如果需要訪問DNS體系中的網絡的話，也可以便捷地通過CNS子鏈中的I節(jié)點完成傳統(tǒng)的DNS解析工作。

階段性而言，在CNS子鏈中，并不會開放當前ICANN中已有的TLD頂級域名注冊登記，但是通過節(jié)點I，以及CNWW3公鏈的IPFS網絡，在CNS子鏈中可以進行DNS系統(tǒng)的分布式鏡像服務，將相關DNS數(shù)據(jù)進行備份和存儲，從而避免因DNS網絡的故障導致無法訪問的問題。

未來CNS子鏈可以作為現(xiàn)有DNS網絡的一個升級替換網絡，無論是傳統(tǒng)的DNS系統(tǒng)，還是基于區(qū)塊鏈的BNS系統(tǒng)，均可以統(tǒng)一由CNS子鏈網絡提供相應的服務。

5.2 智能合約提供管理功能

未來CNS子鏈中，通過多級分層的智能合約完整地提供BNS的能力，合約層級展示如圖4所示。

圖4 CNS多級智能合約體系圖

其中，根域名智能合約為CNS子鏈的原生智能合約，該合約部署在CNS子鏈的第一個數(shù)據(jù)區(qū)塊中，主要完成如下工作：

(1)管理和維護TLD頂級域名；

(2)孵化和部署TLD頂級域名智能合約；

(3)提供TLD頂級域名智能合約路由。

TLD頂級域名智能合約主要完成如下工作：

(1)管理和維護應用域名；

(2)孵化和部署應用智能合約；

(3)提供應用智能合約路由。

應用域名智能合約主要完成如下工作：

(1)管理和維護應用域名數(shù)據(jù)——BNS數(shù)據(jù)；

(2)提供BNS數(shù)據(jù)的查詢功能；

(3)提供BNS數(shù)據(jù)的更新功能。

BNS數(shù)據(jù)的組成格式包含如下內容：

(1)三級域名相關信息(所有者信息，區(qū)塊鏈地址，如公鑰信息，智能合約地址或者其他地址，TTL信息，驗證鑒權信息，或存儲DNS根域文件在IPFS網絡中的存儲地址)；

(2)四級及四級以上域名相關信息(所有者信息，區(qū)塊鏈地址，如公鑰信息，智能合約地址或者其他地址，TTL信息，驗證鑒權信息，或存儲DNS根域文件在IPFS網絡中的存儲地址)；

(3)BNS數(shù)據(jù)在邏輯上是樹形關系，但是出于存儲、搜索和處理的便利性，采用了扁平化的存儲方式。同時，多個BNS之間可以存在互相引用的關系。

通過多級分層的合約設計，上級合約管理下級合約，下級合約相關信息的變更需要通過上次合約的執(zhí)行才能完成，同時通過去中心化的IPFS網絡的支持，使得CNS真正具有中立、安全和可靠性的支持，最大限度地保障服務可用性和穩(wěn)定性。

各級合約之間的關系如圖5所示。

圖5 CNS多級智能合約關系圖

5.3 快速交易和驗證保障性能

CNS子鏈架構基于CNWW3公鏈網絡進行搭建，其完整繼承了CNWW3公鏈網絡的高并發(fā)快速交易及交易驗證能力[13]。CNS子鏈網絡中，相關的智能合約均通過交易及其交易驗證的方式完成域名的注冊登記、查詢、更新等操作，通過標準的區(qū)塊鏈網絡共識算法，保障全網數(shù)據(jù)的一致性。因此，公鏈網絡的高并發(fā)快速交易及其交易驗證能力，保證了CNS子鏈網絡也具備相應的能力，從而有效改善現(xiàn)有BNS網絡性能不足的情況。

5.4 域名注冊流程

以TLD域名為例，其注冊流程描述如下：

(1)通過向根域名智能合約發(fā)起交易的方式，觸發(fā)根域名智能合約的執(zhí)行；

(2)根域名智能合約所有者，通過投票或者其他方式，決定是否接受新增該TLD域名；

(3)根域名智能合約所有者，通過向根域名智能合約發(fā)起交易的方式，選擇接受或者拒絕新增該TLD域名；

(4)如果拒絕，則第一筆交易失敗，發(fā)起方資金將返回；

(5)如果接受，則新增交易成功，根域名智能合約生成并部署一個新的TLD智能合約，同時在根域名智能合約中新增對應的記錄，指向新的TLD智能合約，從而完成新增工作。

相應的流程時序圖如圖6所示。

圖6 新增域名時序圖

應用域名的注冊，其流程與TLD域名注冊類似，只是此時是向對應的TLD智能合約發(fā)起交易，而非根域名智能合約。

5.5 域名查詢流程

以最為復雜的某個應用域名為例，查詢的流程描述如下：

(1)如已知對應應用域名的智能合約地址，則直接向該合約地址發(fā)起交易進行查詢；

(2)該應用域名智能合約查詢完成后，返回對應的BNS數(shù)據(jù)，如無記錄，則返回失敗或錯誤信息；

(3)如未知對應應用域名的智能合約地址，則通過向對應TLD域名智能合約發(fā)起交易的方式，進行應用域名的查詢；

(4)對應的TLD域名智能合約在其記錄內查找對應的應用域名，如有記錄，則查詢記錄并直接通過交易的方式發(fā)起對應應用域名智能合約的查詢；

(5)對對應應用域名智能合約進行內部查詢，取得對應的BNS數(shù)據(jù)并返回給TLD智能合約，TLD智能合約返回給查詢者；

(6)如無法查找到對應TLD域名智能合約，則以向根域名智能合約發(fā)起交易的方式，進行TLD域名的查詢；

(7)根域名智能合約查詢其記錄，確認是否有對應的TLD記錄，如無記錄，則直接告知查詢失敗；

(8)如有對應的TLD記錄，重復步驟(4)、(5)完成查詢。

相應的流程圖如圖7所示。

圖7 查詢域名流程圖

對于四級及以上域名的查詢，需要先查詢應用域名；對于TLD域名查詢，流程上和應用域名的查詢也是一致的，只是少一級智能合約的執(zhí)行而已(應用域名智能合約)。

5.6 域名更新流程

域名的更新過程相對簡單，需要注意的是，無論是根域名，還是TLD域名，或是應用域名，更新操作均需要由域名對應的所有者進行。以更新某個TLD域名為例，相應的流程描述如下：

(1)該TLD域名所有者通過交易的方式調用根域名智能合約進行更新；

(2)根域名智能合約校驗并通過更新，調用現(xiàn)有的TLD智能合約，進行相應的信息更新；

(3)TLD智能合約完成相應更新，并返回相應的結果；

(4)根域名智能合約記錄相應更新結果，完成更新操作。

相應的流程時序圖示如圖8所示。

圖8 更新域名時序圖

6 結論

DNS作為現(xiàn)代網絡服務中的基礎性框架，有著特殊重要的地位。但是現(xiàn)有的DNS存在眾多的缺陷和不足，現(xiàn)有的區(qū)塊鏈解決方案BNS能有效地解決諸如安全、去中心化、網絡中立等問題，但是又存在現(xiàn)有體系不兼容、技術不成熟、效率低下等問題。基于CNWW3公鏈網絡，創(chuàng)造性地提出采用子鏈方式融合現(xiàn)有DNS體系，通過公鏈的快速交易和驗證能力保障性能，同時依賴公鏈的安全性和完整的開發(fā)生態(tài)，降低開發(fā)門檻，加快技術普及。