2021-4-10 | 互联网
1互联网系统的核心之一是支撑它运转的域名服务体系。由于互联网发源于美国,因此美国一直保持着对互联网域名及根服务器的控制。在提供域名解析的多级服务器中,处于最顶端的13台域名根服务器,均由美国政府授权的ICANN统一管理。
互联网已经在世界范围内得到了巨大的发展,互联网作为重要的战略资源已经日益为世界各国所重视。所以打破互联网的垄断控制权,实现互联网自治,切实保障网络安全和信息安全就成为非常严峻、紧迫的问题。本文将提供一种不改变现有协议、不改变用户使用模式,无过渡期甚至可以单边行动来实现互联网自治的技术。
2互联网自治现状的分析
当今的互联网归根结底是单极系统,虽然其分布式网络系统提供了大部分的网络自主自治特性,但是关键的域名服务采用集权控制方式。
DNS(domainnamesystem/domainnameservice,域名系统/域名服务),为互联网上的主机分配域名地址和IP地址。用户使用域名地址,该系统就会自动把域名地址转为IP地址。执行域名服务的服务器称为域名服务器,通过域名服务器来应答域名服务的查询。
互联网现有域名层次结构如图1所示,是一种由最多255个字符128层组织域组成的有层次结构的计算机和网络服务命名空间系统。根域名服务器授权派生出各个层次的域名服务器,非本地域名的域名解释服务请求缺省都需要经由根域名服务器。现在全世界一共有13个根服务器,其中一个是主根服务器。众所周知,域名是网站的第一个关键,域名解析是控制各网站的核心。通过控制根服务器,可以控制全球各种域名及各地区的域名解释服务,甚至还可以对其他国家的网络使用情况进行监控。
在某种意义上,使用国际域名都是不安全的。国际域名的管理现状就是美国拥有着管理权,根据得到的互联网DNS解析的相关数据,中国网民的访问习惯和访问信息以及网站的解析信息完全暴露于美国公司的监视之下。这对中国的国家安全是非常大的威胁。造成这种现象的原因与互联网的发展历史有关,并不是单纯的技术先进性问题。
要想维护国家的互联网安全,唯一的出路就是自建根域名服务器,实现互联网自治。这其中既有成本的问题也有技术可操作性的问题,在目前现有域名体系下来说是不可能的。所以在现有的域名体系下,互联网自治是美国以外世界各国的禁区。
3自治互联网技术
3.1自治互联网的设计目标
要想维护国家互联网安全,必须实现互联网自治,拥有自己的根域名服务器,域名解析不再经由境外域名服务器提供服务,这对于现代化的国防、经济等都非常重要。
自治互联网技术必须从互联网现实出发,不改变现有协议、不改变用户使用模式,无过渡期甚至可以单边行动来实现互联网自治的改造。同时,自治互联网的设计必须是架构安全可扩展,互联网自治的改造尽可能最小,互联网自治的过渡平滑可行。
为实现互联网自治的目标,本文的自治互联网技术将通过现有域名体系构造出自主自治的可扩展域名体系和层次结构,使每个自治IP网络都有独立自主的互联网域名及根域名服务器;提供自治IP网络系统内部和跨自治IP网络系统的域名解释机制,内部域名解析不再经由自治IP网络系统外的域名服务器提供服务。
3.2自治互联网域名体系
根据自治互联网的目标,可以设计出如图2所示的自治互联网域名层次结构。每个自治IP网络如A、B…,本身具有完整的整套域名系统并且互不干涉,每个自治IP网络都相当于现在传统的互联网,其内部域名解释和通信都不会有改变。跨自治IP网络通信时,需要采用网际域名,即在传统域名后面加上一个网络域名后缀以标示指定自治IP网络内的域名节点,如www.yahoo.com。B就表示是自治IP网络B中的域名节点。为此,在每个自治域名层次结构树中都增加ex(i)的顶级域名,以映射代表本自治IP网络可以通达的其他自治IP网络域名树。当ex(i)=B时,表示可以通达的其他自治IP网络B。因此,在每个自治IP网络中会增加一个称为“自治IP网络域名服务器网关”的设备AIPDNSGW,以支持跨自治IP网络的域名解释。
自治互联网的域名体系具有自主、可扩展的特点。
3.3自治互联网域名解释流程
3.3.1自治IP网络本网内域名解释
自治IP网络本网内域名解释按照传统方式进行。如图3所示,比如同一自治IP网络内的域名为Na1(其IP地100址为Ga1)的主机要与域名为Na3=www.yahoo.com的主机进行通信,源主机Na1将首先向DNS发出域名查询请求。
这是一个传统的DNS域名解释过程,为了与跨自治IP网络的域名解释对比,具体步骤简述如下。
(1)源主机Na1提出域名Na3的解析请求,并将该请求通过本机的解释器发送给本地域名服务器。
(2)本地域名服务器根据收到的请求,查询本地缓存返回查询的结果,如果没有记录就把请求发给本自治IP网络的根域名服务器。
(3)本自治IP网络的根域名服务器返回给本地域名服务器一个所查询域(根域名的子域,如COM)的主域名服务器的地址。
(4)本地域名服务器再向步骤(3)中所返回的域名服务器地址发送请求,然后收到该请求的域名服务器查询其缓存返回对应的记录或者相关的下级的域名服务器的地址。
(5)本地域名服务器重复步骤(4),直到找到正确的纪录,即Na3的IP地址Ga3。然后把结果缓存并返回给源主机Na1。这样,获得目的主机的IP地址后,域名为Na1(其IP地址为Ga1)的主机就可以与域名为Na3(其IP地址为Ga3)的主机进行通信了。图3为自治IP网络内部域名解释过程示意。