从“国家网络主权”谈——基于国家联盟的自治根域名解析体系

标签:安全网络国家

访客:23109  发表于:2014-11-27 13:00:27

上世纪八十年代初,美国在美军网络ARPANET基础上启动建设了基于TCP/IP协议的因特网(INTERNET),随后作为奉献给世界的礼物向国际社会开放。随着因特网的高度开放,世界各国纷纷投入巨大的人力、物力、财力,将因特网位于本国的部分建设成国家信息技术基础设施,这一举措使得因特网成为了真正的国际互联网。国际互联网在世界各国的推动下以空前的速度发展壮大,成为国家信息通讯的重要技术平台,是国家经济、社会活动所依赖的重要支柱。因此,世界各国对本国互联网的管理主权提出了明确的诉求。

2013年6月24日,第6次联合国大会发布了A/68/98文件,通过了联合国“从国际安全的角度来看信息和电信领域发展政府专家组”所形成的决议。决议第20条内容是:“国家主权和源自主权的国际规范和原则适用于国家进行的信息通讯技术活动,以及国家在其领土内对信息通讯技术基础设施的管辖权。”本条款的本质就是承认国家的“网络主权”。

一、关于国家“网络主权”

从法理的角度来看,作为主权,需要确保其4个基本权利:即平等权、独立权、自卫权与管辖权。作为全球互联互通的互联网而言,自卫权与管辖权目前是明确的。就自卫权而言,美国等国家建立了网络战部队,其目的当然是要保护本国的网络主权不受侵犯,保护本国的网络基础设施与运行在互联网上的信息系统不受打击;就管辖权而言,各国都对本国的网络行为依据本国国情制定了相关的法律与法规,他国对本国的互联网治理行为不容干涉已成为共识。

就平等权而言,目前的国际互联网域名分配与管理格局对各国来说并不平等,实际上是各国与“国际互联网域名与IP地址分配机构(ICANN)”签约所形成,是一种“出租方”与“承租方”的关系;而ICANN是1998年10月在美国加州成立的非营利机构,受美国商务部的管理。从这个意义上讲,依据“ICANN | ccTLD Sponsorship Agreement(.cn ccTLD)”协议,由中国负责“.cn”这个顶级域名的管理,相当于中国与美国签订国家级顶级域名解析分配协议,其实两者之间并不具有平等关系。

目前,美国政府宣布2015年9月份可以视情况将ICANN交给一个国际组织管理。如果这一承诺确实兑现,在最理想的情况下,可以视为各国把部分管理权力让渡给这个ICANN机构的国际组织,从而保证各国在互联网域名分配方面的平等性。

就独立权而言,除了美国之外,各国实际上并不具备对本国互联网独立运行的能力,这是因为国际互联网的域名解析体系采取的是中心式分层管理模式,使得各国互联网的运行从域名解析的角度高度依赖于位于美国的原根域名解析服务器。所谓中心式,是指所有的域名解析过程都是从根域名开始自顶向下,从而根域名解析服务器成为整个国际互联网的控制点,任何在互联网上的访问行为通常都脱离不了根域名解析服务器的授权;所谓分层,是在顶级域名(如 .cn,.kr,.com,.info)体系之下,还可以形成二级、三级直至多级域名定义体系,使得各国可以管理本国的低层域名解析行为,但这些都依赖于其顶级域名的合理存在。

二、关于中心式域名解析体系对国家互联网的威胁

就具体的域名解析过程来说,在网络当中设置了大量的递归解析服务器用于直接受理网络用户的域名解析请求,通过负载均衡提高解析效率。但这些递归解析服务器主要是依靠保存来自权威域名解析服务器的解析结果来提供给请求解析的用户,仅仅是承担着负载均衡与缓存的作用。对于在缓存中没有记录的、或记录过期的域名解析请求,递归服务器还需要从国际根域名解析服务器开始逐层请求解析,从而形成了国际互联网被集中控制的客观效果。就是说,国际根域名服务器决定了各级域名的存在性及逐层解析能力。原理上,根域名解析服务器还可以对请求解析的源IP地址作限制,例如拒绝响应来自某个国家内IP地址的域名解析请求。

由于域名解析中心式管理模式的存在,使得各国互联网不具备只凭借自身也能够独立运行的能力。在这种体系架构下,域名解析存在着两种风险。一种是本国域名被封杀的风险,即只要在原根域名解析服务器中删除该国的顶级域名注册记录,即可让世界各国都无法访问这个国家域名下的网站,在这种情况下,该域名的多层解析体系也会跟着土崩瓦解。就是说,如果美国决定抛弃哪个国家的互联网,只要简单修改原根域名解析数据,被抛弃的国家基本上无还手之力。据报道,伊拉克、利比亚的顶级域名曾经先后被从原根域名解析服务器中抹掉了数天。这是一种“一国互联网体系被从国际互联网社会抹掉的风险”,我们姑且称之为“利比亚式风险”。

另一种情况是无法接入国际互联网风险,即只要原根域名解析服务器及其所有从服务器、镜像服务器拒绝为一个国家的所有递归解析服务器的IP地址提供根域名解析服务,依赖这个国家递归解析服务器的网络用户就会因无法获得域名解析服务而无法上网。传言历史上索马里曾遭遇过这种封杀。这是一种“一国网络用户被限制到互联网上访问的风险”,我们姑且称之为“索马里式风险”。

当然,还有一种可能出现断网的极端情况,就是切断一个国家的互联网通往国际社会的所有网络通道。在这种情况下,依赖国际根域名解析体系的互联网在这个国家内部也同样无法运转。当然,封杀一个国家的互联网,需要所有直接连向这个国家互联网的那些国家的配合才能完成,这就如同美国的全球导弹防御系统一样,需要组织其他国家才能包围一个国家。这是一种“一国互联网被切断成为孤岛的风险”,我们姑且称之为“八国联军式风险”。

三、维护网络独立权的应对之策

从技术上说,顶级域名分为两个部分,一是gTLD,涉及的是通用顶级域名,例如.info、.pro、.com等;二是ccTLD,涉及的是国家地区顶级域名,如.cn、.jp、.kr等。人们既可以申请通用域名,也可以申请国家地区域名,差别在于谁来保护用户的利益。申请通用域名的人需要依赖企业来保护自己的利益,如VeriSign公司负责维护.com顶级域名的解析;而申请国别域名的人则可以依靠政府来保护。

可以将通用顶级域名当作非政府组织范畴,而国家地区代码域名则作为网络独立权的涉猎范畴。当然,一旦美国也认可网络独立权的时候,他们自然会把通用顶级域名列入到美国的网络独立权体系之内。

如上所述,我们需要应对的是三种风险:一是防范本国顶级域名被从原根域名服务器中抹掉的“利比亚式风险”,这就需要打破中心制根域名解析体系,采取去中心化的根域名解析体系的手段,以达到不受原根域名解析服务器唯一控制的目的。二是防范本国递归域名解析服务器群被根域名解析服务器群拒绝解析而无法访问国际互联网的“索马里式风险”,这就需要借助其他方式迂回访问根域名解析服务器,以达到获得根域名解析服务器解析信息的目的。三是防范本国被彻底从国际互联网中孤立的“八国联军式风险”,这就需要构建本国自身的域名解析体系,在本国内形成域名解析服务的自治解析体系。

针对上述三个风险,相比而言,第一种风险最容易实施,因为只要简单从原根域名解析服务器中抹掉指定国家的顶级域名注册记录即可。因此,应对“利比亚式风险”最为迫切。但是,构建去中心化的域名解析体系尽管技术上并不复杂,可是其涉及面很广,最需周密设计。

第二种风险实施起来并不容易。目前尽管只有一个原根及12个从根,但还有百余个镜像根,不像过去那样容易操纵所有根域名解析服务器来拒绝对某一国家的递归解析服务器所提出的解析请求。而且,网民自身也可以轻易地应对这种风险,因为网民只要选择境外未被封杀的递归解析服务器即可化解这一危机,例如选择8.8.8.8。当然,通过镜像获取原根域名解析服务器解析信息的方法,也是一种做法,但显然不如直接公告选择境外未被封杀的服务器来得更为简单,更为有效。

第三种风险应该说很难出现。只要一国在对外网络通路直连方面选择多国通道,尤其是选择友好国家的通路,就很难被他国所组织封杀。当然,做好应对这种封杀的方法也是十分重要的,这就是建立本国自治根域名解析体系,让国内各递归域名解析服务器直接指向本国的根域名解析服务器。而本国的根域名解析服务器的信息来源只能是历史信息,但国内信息必须是实时备份缓存。这是考虑到国内大量服务器采用通用顶级域名,因此需要通过缓存的方式来保存对位于境内的权威域名服务器的注册记录。当然,要求国内服务器同时注册境内、境外两个域名是根本的解决问题之道。

四、建立基于国家顶级域名联盟的自治根域名解析体系

解决“利比亚式风险”的核心要点是域名解析体系的去中心化。但是,根据Zooko的三角猜想,采取去中心化域名解析体系要么会像QQ空间那样导致域名的全局性冲突,要么就需要像比特币那样必须放弃自行选择域名命名的权利。显然这两种方式都不是在现行体制下可以被接受的。因此,我们必须接受ICANN组织作为中心的客观存在,但是,ICANN的中心化只是表现在名字分配之上,以确保不会出现名字冲突。

在域名解析过程中,可以采用类似自治域间路由对等扩散的思路,构造一个“域名对等扩散”的方法,让各个顶级域名所有者不仅仅是向原根报告其解析服务器的地址信息,还向其他国家级根域名掌控者报告其顶级域名服务器的地址信息。同时,对各国家级根域名解析系统来说,直接交换过来的顶级域名解析服务器的地址信息显然比通过原根所转告的信息要更为可信。由此,那些对外发布自身顶级域名解析服务器地址信息的国家就不再会被国际根域名服务器所封杀。

首先,国家建设自治根域名解析系统,接收来自本国递归域名服务器的解析请求。国家自治根域名解析系统的数据库信息来自三个渠道:一是来自本国顶级域名的注册信息;二是来自其他国家的顶级域名交换信息;在上述信息不具备的情况下(例如通用顶级域名),采用来自国家原根域名解析数据库的信息,相当于对原根解析信息的镜像或者缓存。

其次,需要建设四个数据库,其中,主数据库是用于提供解析服务的“国家级根域名解析数据库”;再就是接受本国顶级域名注册信息的“本地注册数据库”、保存来自国际根域名解析服务器的“国际根域名镜像信息库”、保存接收自各国家级顶级域名解析服务器所对等扩散地址信息的“本地交换解析信息库”。

第三,构建国家级顶级域名联盟,吸收愿意构建本国自治根域名体系的国家甚至企业(如VeriSign)加入。联盟内的成员之间协商顶级域名解析服务器地址信息的交换协议,并以全互联的方式相互通过可信通道交换相应的信息。在这种情况下,ICANN可以看做联盟内的超级成员,因为各个顶级域名解析服务器仍然向ICANN提交自身的解析服务器地址信息,同时各国的根域名解析服务器也从ICANN的根域名服务器中获取包括通用顶级域名在内的解析服务器地址信息。同时,ICANN还承担域名分配管理工作。

联盟内可以设立超级盟友。超级盟友之间不仅相互交换本国的顶级域名解析服务器地址信息,还可以相互之间代为提供解析请求,以便在超级盟友被国际根域名解析服务器拒绝提供服务时代为提供解析服务。

在这种情况下,可以把两种极端情况看成两个极端特例:一个极端特例是联盟内只有本国与ICANN存在,只有本国可以向国际根域名解析服务器注册本国顶级域名信息,并从国际根域名解析服务器获取解析信息。此时,本国根域名解析服务器数据库中只有两类数据,一类是本国注册的顶级域名解析服务器地址信息,一类是来自于国际根域名解析服务器所提供的信息。在这种情况下,国家级自治根域名解析体系至少能够实现对基于本国顶级域名体系的自行解析。也就是说,有了这种运行模式,在出现“八国联军式风险”时本国互联网仍然可以运转。如果国家级根域名解析服务器数据库保存有国际根域名解析服务器的全部信息镜像,同时也能够应对“索马里式风险”。

另一种极端特例是各国都加入了联盟,在这种情况下,只有.net、.mobi 、.pro 这类gTLD域名还由国际顶级域名解析服务器来解析,但.in、.kr、.de等ccTLD 国别域名是靠交换而来。甚至不排除一些通用顶级域名也像非政府组织一样,主动要求参与到交换体系中,例如负责维护.com的VeriSign公司也愿意以交换的形式与各国进行域名地址扩散。在这种情况下,联盟成员所属的顶级域名就能够防范“利比亚式风险”。

由此,在两个极端情况之间,只要联盟内有成员存在,整个体系就自然可以运行起来,不仅联盟成员国可以防范住“八国联军式风险”,借助超级盟友,成员国还能防范住“索马里式风险”;在出现“利比亚式风险”时,联盟内成员仍然能够访问被国际根服务器抹除的成员国。所以,“国家级顶级域名联盟”方案能够同时应对三种域名解析的风险。

在这种方案中,联盟成员国只需要各自建设一个根域名解析服务器,在该服务器中建设一组数据库,包括“国家级根域名解析数据库”、“本地注册数据库”、“国际根域名镜像信息库”、“本地交换解析信息库”,建设联盟成员根域名解析服务器之间的可信交换通道。再就是各递归域名解析服务器需要指向国家级根域名解析服务器,而不是指向国际根。显然,这种方案的改动是非常小的。

“国家级顶级域名联盟”方案可以与现存方案共存。就是说,本国内的所有递归域名解析服务器可以分成两类,一类仍然采用原来的方法直接指向国际根域名解析服务器,称之为“原递归服务器”;另一类则直接指向本国根域名解析服务器,称之为“新递归服务器”。由此,使用“原递归服务器”的用户实际上就是采用原有的域名解析体系;使用“新递归服务器”的用户实际上就是采用“国家级顶级域名联盟”的域名解析体系。在推广过程中,“新递归服务器”可以逐渐扩充,开始时只是参与测试的用户选用这种模式,随着这种模式的成熟,“新递归服务器”不断扩充,不断鼓励网民选用“新递归服务器”作为域名解析的配置。当然,更为有效的模式是用户在首选DNS与辅助DNS的配置中,分别选择“原递归服务器”和“新递归服务器”,以便提高解析的可靠性。

五、与“应急根域名解析”模式的比较

目前,人们对“索马里式风险”与“八国联军式风险”关注的比较多,因此提出了“应急根域名解析”模式。这种模式是指采取对根域名服务器解析数据库进行日常备份,在出现所有三种风险时,将国际根域名服务器的地址重定向到特定的应急替代服务器中,由该服务器进行解析,以确保本国的互联网能够正常运转。

比较“应急根域名解析”模式与“国家级顶级域名联盟”模式之间的差异,显然后者占有明显的优势。一是“应急”模式是应急态,平时不能启用,因缺乏平时的运行考验,很难保证在需要的时候能够有效使用,尤其是根域名解析系统是否能承受大负荷缺乏实验检验;而“联盟”模式作为常态运行,平时就可以同步使用,根域名解析服务器的负载能力可以在日常运行的监控中不断扩充,可以使得运行过程得到长期有效的考验。二是“应急”模式所采取的技术过于复杂,地址重定向的可靠性缺少百分之百的把握;而“联盟”模式改动仅是递归服务器指向本国根域名解析服务器,没有技术门槛,属于常规的域名解析手段,不存在技术障碍。三是“应急”模式缺少必要的铺垫,用户缺少感知、配合与磨合的机会,很难保证有效;而“联盟”模式因为属于与传统的域名解析系统长期同时并行使用,从而可以逐渐被用户所接受,所以不存在任何使用过程中的障碍。四是“应急”模式由于需要构建庞大的重定向体系,投资巨大;而“联盟”模式只需要建设根域名解析服务器、四个数据库及安全可信的交换通道,且在建设之初国家根域名解析服务器的解析量极小,所以估计投资只是“应急”模式的一个零头。五是“应急”模式采取的是守势,如同颈带铁环“引颈就戮”,静等屠刀出鞘;“联盟”模式采取的是攻势,就是告诉世人,如果再有国家被根域名解析服务器抹去其顶级域名信息,那所有感到威胁的国家就会加入联盟,不再参与以根域名解析服务器为中心的域名解析体系,从而不再让根域名服务器掣肘联盟成员国互联网的运行。这种做法的更为重要的意义在于是支持“网络主权”的理念,确保网络独立权。

六、结论

“联盟”模式的常态使用可以首先建立起国家根域名解析体系,一方面同友好国家交换根域名信息以建立“本地交换解析数据库”,一方面通过复制的方法获得“国际域名解析数据库”的信息;同时,先选择少量递归服务器指向国家根域名解析服务器进行试点,在试点成功后可以让更多的递归服务器指向国家根服务器。而网民可以自主选择递归解析服务器,选择“原递归服务器”就属于传统的解析模式;选择“新递归服务器”就属于“联盟”的解析模式。由此,选择权交给网民,网民也就可以不为此争论孰是孰非,随意选择使用哪种模式,既可以平滑过渡,也可以在出现三种风险之一的情况下,选择“自主”解析模式来应对风险。







































(中国工程院院士,方滨兴)

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");