互联网的治理改造

互联网的治理改造

 

1互联网系统的核心之一是支撑它运转的域名服务体系。由于互联网发源于美国,因此美国一直保持着对互联网域名及根服务器的控制。在提供域名解析的多级服务器中,处于最顶端的13台域名根服务器,均由美国政府授权的ICANN统一管理。   互联网已经在世界范围内得到了巨大的发展,互联网作为重要的战略资源已经日益为世界各国所重视。所以打破互联网的垄断控制权,实现互联网自治,切实保障网络安全和信息安全就成为非常严峻、紧迫的问题。本文将提供一种不改变现有协议、不改变用户使用模式,无过渡期甚至可以单边行动来实现互联网自治的技术。   2互联网自治现状的分析   当今的互联网归根结底是单极系统,虽然其分布式网络系统提供了大部分的网络自主自治特性,但是关键的域名服务采用集权控制方式。   DNS(domainnamesystem/domainnameservice,域名系统/域名服务),为互联网上的主机分配域名地址和IP地址。用户使用域名地址,该系统就会自动把域名地址转为IP地址。执行域名服务的服务器称为域名服务器,通过域名服务器来应答域名服务的查询。   互联网现有域名层次结构如图1所示,是一种由最多255个字符128层组织域组成的有层次结构的计算机和网络服务命名空间系统。根域名服务器授权派生出各个层次的域名服务器,非本地域名的域名解释服务请求缺省都需要经由根域名服务器。现在全世界一共有13个根服务器,其中一个是主根服务器。众所周知,域名是网站的第一个关键,域名解析是控制各网站的核心。通过控制根服务器,可以控制全球各种域名及各地区的域名解释服务,甚至还可以对其他国家的网络使用情况进行监控。   在某种意义上,使用国际域名都是不安全的。国际域名的管理现状就是美国拥有着管理权,根据得到的互联网DNS解析的相关数据,中国网民的访问习惯和访问信息以及网站的解析信息完全暴露于美国公司的监视之下。这对中国的国家安全是非常大的威胁。造成这种现象的原因与互联网的发展历史有关,并不是单纯的技术先进性问题。   要想维护国家的互联网安全,唯一的出路就是自建根域名服务器,实现互联网自治。这其中既有成本的问题也有技术可操作性的问题,在目前现有域名体系下来说是不可能的。所以在现有的域名体系下,互联网自治是美国以外世界各国的禁区。   3自治互联网技术   3.1自治互联网的设计目标   要想维护国家互联网安全,必须实现互联网自治,拥有自己的根域名服务器,域名解析不再经由境外域名服务器提供服务,这对于现代化的国防、经济等都非常重要。   自治互联网技术必须从互联网现实出发,不改变现有协议、不改变用户使用模式,无过渡期甚至可以单边行动来实现互联网自治的改造。同时,自治互联网的设计必须是架构安全可扩展,互联网自治的改造尽可能最小,互联网自治的过渡平滑可行。   为实现互联网自治的目标,本文的自治互联网技术将通过现有域名体系构造出自主自治的可扩展域名体系和层次结构,使每个自治IP网络都有独立自主的互联网域名及根域名服务器;提供自治IP网络系统内部和跨自治IP网络系统的域名解释机制,内部域名解析不再经由自治IP网络系统外的域名服务器提供服务。   3.2自治互联网域名体系   根据自治互联网的目标,可以设计出如图2所示的自治互联网域名层次结构。每个自治IP网络如A、B…,本身具有完整的整套域名系统并且互不干涉,每个自治IP网络都相当于现在传统的互联网,其内部域名解释和通信都不会有改变。跨自治IP网络通信时,需要采用网际域名,即在传统域名后面加上一个网络域名后缀以标示指定自治IP网络内的域名节点,如www.yahoo.com。B就表示是自治IP网络B中的域名节点。为此,在每个自治域名层次结构树中都增加ex(i)的顶级域名,以映射代表本自治IP网络可以通达的其他自治IP网络域名树。当ex(i)=B时,表示可以通达的其他自治IP网络B。因此,在每个自治IP网络中会增加一个称为“自治IP网络域名服务器网关”的设备AIPDNSGW,以支持跨自治IP网络的域名解释。   自治互联网的域名体系具有自主、可扩展的特点。   3.3自治互联网域名解释流程   3.3.1自治IP网络本网内域名解释   自治IP网络本网内域名解释按照传统方式进行。如图3所示,比如同一自治IP网络内的域名为Na1(其IP地100址为Ga1)的主机要与域名为Na3=www.yahoo.com的主机进行通信,源主机Na1将首先向DNS发出域名查询请求。   这是一个传统的DNS域名解释过程,为了与跨自治IP网络的域名解释对比,具体步骤简述如下。   (1)源主机Na1提出域名Na3的解析请求,并将该请求通过本机的解释器发送给本地域名服务器。   (2)本地域名服务器根据收到的请求,查询本地缓存返回查询的结果,如果没有记录就把请求发给本自治IP网络的根域名服务器。   (3)本自治IP网络的根域名服务器返回给本地域名服务器一个所查询域(根域名的子域,如COM)的主域名服务器的地址。   (4)本地域名服务器再向步骤(3)中所返回的域名服务器地址发送请求,然后收到该请求的域名服务器查询其缓存返回对应的记录或者相关的下级的域名服务器的地址。   (5)本地域名服务器重复步骤(4),直到找到正确的纪录,即Na3的IP地址Ga3。然后把结果缓存并返回给源主机Na1。这样,获得目的主机的IP地址后,域名为Na1(其IP地址为Ga1)的主机就可以与域名为Na3(其IP地址为Ga3)的主机进行通信了。图3为自治IP网络内部域名解释过程示意。#p#分页标题#e#   3.3.2跨自治IP网络的域名解释   跨自治IP网络的域名解释需要提供目标网络节点的网际域名。如图4所示,自治IP网络A中域名为Na1(其IP地址为Ga1)的主机要与自治IP网络B中域名为Nb2=www.yahoo.com(即网际域名为www.yahoo.com.B)的主机进行通信,源主机Na1将首先向本网DNSA发出域名查询请求。这是一个跨自治IP网络的域名解释过程,具体步骤简述如下。   (1)源主机Na1提出网际域名Nb2.B的解析请求,并将该请求通过本机的解释器发送给本地域名服务器。   (2)本地域名服务器根据收到的请求,查询本地缓存返回查询的结果,如果没有记录就把请求发给本自治IP网络的根域名服务器。   (3)本自治IP网络的根域名服务器返回给本地域名服务器一个所查询顶级域(本自治IP网络A的根域名的一个子域,这里是B,影射另一个自治IP网络B的域名体系)的主域名服务器的地址,即AIPDNSGWA的地址。   (4)本地域名服务器再向步骤(3)中所返回的域名服务器AIPDNSGWA的地址发送请求:①本自治IP网络的域名服务器网关AIPDNSGWA根据收到的请求,查询本地缓存返回查询的结果,如果没有记录就直接把请求发给自治IP网络B的域名服务器网关AIPDNSGWB;②自治IP网络B的域名服务器网关AIPDNSGWB根据收到的请求,查询本地缓存返回查询的结果;如果没有记录就把请求解释的网际域名Nb2.B去掉本自治IP网络的网络域名后缀.B后,把其中的网内域名部分Nb2的域名解释请求发给本自治IP网络B的根域名服务器;③自治IP网络B的根域名服务器返回给AIPDNSGWB一个所查询域(自治IP网络B的根域名的子域,如COM)的主域名服务器的地址;④自治IP网络B的域名服务器网关AIPDNSGWB再向③中所返回的域名服务器地址发送请求,然后收到该请求的域名服务器查询其缓存返回对应的记录或者相关的下级的域名服务器的地址;⑤自治IP网络B的域名服务器网关AIPDNSGWB重复④,直到找到正确的纪录,即Nb2的IP地址Gb2;⑥自治IP网络B的域名服务器网关AIPDNSGWB把返回的结果中网内域名Nb2添加本自治IP网络的网络域名后缀后变成网际域名Nb2.B的解释结果保存到缓存,同时将该结果返回给AIPDNSGWA。   (5)本自治IP网络的AIPDNSGWA把返回的结果保存到缓存,同时将该结果返回给本地域名服务器。   (6)本地域名服务器把返回的结果保存到缓存,同时将结果返回给源主机Na1。这样,获得目的主机的IP地址后,自治IP网络A中域名为Na1(其IP地址为Ga1)的主机就可以与自治IP网络B中域名为Nb2(其IP地址为Gb2)的主机进行通信了。图4为自治IP网络之间域名解释过程示意。   4互联网自治的改造实现   4.1互联网的分治   为了实现互联网的自治,对于现有的互联网需要首先要进行互联网的分治。每个准备自治的IP网络需要对自治域内的网内域名进行聚合收敛,同时逐步与自治域以外的域名进行分隔。   中国互联网目前只有CN域名的解释基本是在中国政府的监管之下的。中国在争取对根域名服务器管理权的同时,一定要逐步降低对COM、NET等境外域名的依赖程度,中国互联网整体的安全性和强壮性才能得以提高。这样,也才有利于互联网的分治,并最终走向互联网的自治。   4.2互联网的自治   (1)新建的自治IP网络   搭建全新的自治IP网络,新建工作除了包括IP节点网络的构建、独立网络域名服务体系的构建外,还需要根据自治互联网域名层次结构在每个自治IP网络中增加一个称为“自治IP网络DNS网关”的设备AIPDNSGW以支持跨自治IP网络的网际域名解释。   (2)升级为自治IP网络   现有互联网的部分区域(非核心部分)升级为一个新的自治IP网络,升级工作主要包括增加本自治IP网络内的根域名服务器以构建独立的域名服务体系以及增加本自治IP网络DNS网关设备AIPDNSGW以支持跨自治IP网络的网际域名解释。   (3)改造为自治IP网络   现有互联网(核心部分)改造为一个自治IP网络,改造工作主要是增加本自治IP网络DNS网关设备AIPDNSGW以支持跨自治IP网络的网际域名解释。   (4)单边行动   理想的情况是全球互联网可以协调一致地进行互联网自治的改造。但是,如果无法协商一致或者无法协调一致地行动,任何一个国家都可以独立搭建自治IP网络并通过原有链路连接到互联网或者任何两个国家之间都可以协议搭建自治IP网络并进行互联。单边行动工作稍微有点不同:一方面,升级工作主要包括增加本自治IP网络内的根域名服务器以构建独立的域名服务体系以及增加本自治IP网络DNS网关设备AIPDNSGW以支持跨自治IP网络的网际域名解释;另一方面,在现有互联网(核心部分)能够改造为一个自治IP网络之前,需要在每个自治IP网络与现有互联网(核心部分)之间增加一个改造前“自治IP网络DNS网关”设备AIPDNSGW,以代替本来需要在现有互联网(核心部分)改造为一个自治IP网络所需的改造工作,以支持跨自治IP网络与现有互联网(核心部分)的网际域名解释。改造前“自治IP网络DNS网关”与普通AIPDNSGW唯一的不同是,需要对来自现有互联网(核心部分)的域名主动为其添加网际域名后缀。图5为单边行动中的自治互联网示意。   5结束语   拥有自己的根域名服务器,对于打破互联网的垄断控制权,维护国家互联网安全都非常重要。本文提供的自治互联网技术既不需要从现在有根域名服务器的国家移植,也不需要互联网的底层支持技术发生彻底革命,就可以拥有完全独立自主的根域名服务器,实现互联网自治。同时,自治互联网的架构安全可扩展;互联网自治的改造极小;互联网自治的过渡平滑可行,甚至可以单边行动实现。#p#分页标题#e#   自治互联网的关键技术已经得以开发验证实现。互联网自治的改造实现将足以改变国际互联网的战略格局。