互联网自治域名体系的构造及其自主性研究

2012-12-23 06:00刁玉平刁永平
深圳大学学报(理工版) 2012年4期
关键词:后缀域名服务器

刁玉平,廖 铭,刁永平

1)广东商学院信息学院,广州510320;2)中国移动广州分公司,广州510630;3)中国电信广州研究院,广州510630

互联网系统的核心之一是其根域名服务器,现全球共有13 个根域名服务器,其中唯一的主根域名服务器一直由美国控制,可用来监控他国网络使用情况[1-2]. 作为重要战略资源的互联网日益受到各国重视. 为减少因使用国际域名引起的安全风险,打破互联网垄断势在必行[3-4].

1 现有域名体系分析

域名系统(domain name system,DNS)为互联网主机分配域名和IP 地址. 用户使用域名,该系统就会通过DNS 服务器应答域名服务查询,自动把域名转为IP 地址[5-8].

现有互联网域名层次结构如图1[5],它是一种由最多255 个字符128 层组织域组成的有层次结构的计算机和网络服务命名空间系统. 该树形结构可用森林和树相互递归的定义来描述[9]

其中,Root 是树的根节点;F 是包含多棵树的森林,且F = (Ti| i =1,2,…),Ti= (ri,Fi),Ti为根Root的第i 棵子树.

由于DNS 的Root 为空,则

在某种意义上,自建根域名服务器是维护国家互联网安全的唯一办法,但这既有成本问题,也有技术可操作性要求,在现有域名体系下难以实现.

图1 互联网现有域名层次结构示意图Fig.1 Current Internet domain name hierarchy

2 自治域名体系构造

域名解析是控制各网站的核心. 拥有自己的根域名服务器,域名解析将不再经由境外域名服务器提供服务,对国防安全、经济建设尤为重要[10].因此需要在每个自治IP 网络(autonomous internet protocol network,AIP network)实现自治的域名体系. 据此实现的自治互联网(autonomous internet)必须架构安全可扩展;互联网自治的改造尽可能最小;互联网自治的过渡平滑可行. AIP 域名主要规则定义如下:

规则1 每个自治IP 网络本身具有完整的域名系统,支持本自治IP 网络内部域名地址转换;本网内域名按传统方式解释.

可见,每个自治IP 网络都有1 个与本身独立域名系统对应的域名树,包括1 个独立的根节点及自主管理和定义的子树. 对于自治IP 网络A,B,…,其域名树分别表示为

其中,aTree,aRoot,aF,aTi分别表示自治IP 网络A 域名树的树、根节点、森林和子树;并以此类推.

规则2 每个自治IP 网络都具有区别于其他自治IP 网络的名称编号,以此作为本网域名被外部引用时缺省的网络域名后缀. 任意网络节点的网内域名加上本自治IP 网络的网络域名后缀就形成了该网络节点的网际域名.

每个自治IP 网络的域名体系对外是可见的,且以虚拟的超级树的一个子树形式存在. 这样就为各自治IP 网络间互相进行域名解释访问提供了可能.设对于自治IP 网络A,B,…,其网络域名后缀记为

虚拟的超级树记为

其中,Tree',Root',aF',bF' 分别表示虚拟的超级树的树,根节点,其下的虚拟自治IP 网络A 域名树的森林,虚拟自治IP 网络B 域名树的森林;以此类推. 每棵子树是各自治IP 网络的虚拟网际域名树

其中,aTree',Root',aF',aTi' 分别表示虚拟超级树下自治IP 网络A 的虚拟网际域名树的树、根节点、森林和子树;式(7)变量定义以此类推. 同理

规则3 跨自治IP 网络通信时,访问外网节点必须使用其网际域名,即在该外网节点网内域名后添加其缺省的网络域名后缀.

由规则1 和规则3 可知,一个自治IP 网络完整的域名体系应包括内部域名解释及与外部域名解释互通. 故根据规则2,一个完整的自治域名体系包括各自治IP 网络内部独立域名树和所有关联网络域名体系的整体虚拟超级树的集合. 如对于自治IP网络A,其

图2 为本研究设计的自治互联网域名层次结构图. 可见,每个自治IP 网络如A,B,…,其都具有互不干涉的完整域名系统,不同自治IP 网络内节点域名甚至可重复. 对于内部域名www. yahoo.com,其网际域名如为www.yahoo.com.A 就表示是自治IP 网络A 中的域名节点. 在每个自治域名层次结构树中都增加一级域名nx(i),以映射代表本自治IP 网络可访问的其他自治IP 网络域名树. 如当nx(i)= B 时,表示可访问其他自治IP 网络B.

互联网的自治域名体系具有自主性和可扩展性. 又因网际域名与内部域名(传统域名)的定义语法一样,所以用户使用模式亦不变.

图2 互联网自治域名体系域名层次结构示意图Fig.2 Autonomous Internet domain name hierarchy

3 自治域名体系实现

3.1 自治域名系统构建

由互联网自治域名体系,构造互联网自治的域名系统如图3. 每个自治IP 网络都拥有独立根域名服务器,负责该自治IP 网络所有域名解析工作.人们默认自治IP 网络中其他合法DNS 服务器都指向这些根域名服务器. 这些为实现自治域名系统而增加的根域名服务器与现有根域名服务器,或其他域名服务器的功能一致.

图3 互联网自治域名系统的构建及转换Fig.3 Autonomous Internet DNS construction and transformation

由于每个自治IP 网络都相当于传统互联网,其内部域名解释和通信不改变. 唯一改变是跨自治IP 网络通信时,域名需增加目的自治IP 网络的网络域名后缀. 故在每个自治IP 网络中会增加一个AIP DNS GW (自治IP 网络DNS 网关)的设备,用以支持跨自治IP 网络的域名解释. 一方面,它把本网的跨自治IP 网络域名解释请求转发到目的自治IP 网络,并在接收到域名解释结果后再返回给请求方;另则,它接受外网对本自治IP 网络的跨网域名解释请求,在用传统方式得到本网DNS 域名解释结果后反馈给外网请求方.

互联网自治域名系统可通过新建、升级、改造甚至单边行动的方式来实现. 理想情况是全球互联网可协调一致地进行互联网自治改造. 若无法达成一致,各国可独立搭建自治IP 网络并通过原有链路联接到互联网,或任意两国之间协议搭建自治IP网络并进行互联. 单边行动工作需在每个自治IP网络内,与现有互联网(核心部分)之间增加一个“改造前自治IP 网络DNS 网关”设备. “改造前自治IP 网络DNS 网关”与普通AIP DNS GW 唯一不同的是,需对来自现有互联网(核心部分)的域名主动为其添加网际域名后缀.

3.2 AIP DNS GW 的实现机理

实现跨自治IP 网络域名解释的关键是实现AIP DNS GW. AIP DNS GW 本质上是一个域名服务器.假设自治IP 网络B 的网络域名后缀为CHN,另一自治IP 网络A 的网络域名后缀为ENG,则AIP DNS GW B 的实现机理为

虽然AIP DNS GW 的实现机理与普通域名服务器的实现略有不同,但两者域名查询的输入和输出完全相同,所以自治域名体系中所有域名服务器都使用现有的域名解释协议提供域名解释服务,不需改变域名解释的协议.

3.3 自治域名系统配置

为实现自治域名体系,每个自治IP 网络中的自治域名系统除根据需要增加本自治IP 网络的根域名服务器和AIP DNS GW 外,其域名服务器还需进行配置调整.

根域名服务器除了要有本自治IP 网络的一级域名外,还要提供影射其他自治IP 网络的网际域名配置,并指向本自治IP 网络的AIP DNS GW. 其他域名服务器(包括AIP DNS GW)的根域名服务器指向都配置为直接指向本自治IP 网络的根域名服务器. 另外,AIP DNS GW 还要提供针对其他自治IP 网络的网际域名配置,用以在跨网域名解释时指向其他自治IP 网络的AIP DNS GW.

用户使用时可区别地采用自治IP 网络内部域名访问内部IP 节点,采用网际域名访问外部其他自治IP 网络的IP 节点;或者统一采用网际域名访问自治IP 网络内部/外部的IP 节点.

3.4 自治域名系统运行验证

采用文献[10]开发的AIP DNS GW 网络设备,按照图3 搭建自治域名系统并进行适当的系统配置,从AIP network A 内主机Na1 发起域名解释请求进行自治域名系统运行验证,结果如表1. 由表1 可见,测试结果符合自治域名体系的设计预期.

表1 自治域名系统域名解释验证Table 1 Autonomous DNS resolution test

4 自治域名体系的自主性研究

设网络NB发起的所有域名请求事件B 概率为P(B),其中需到NB外获取域名解释的事件Ex的条件概率为

对于现有互联网NA,NB为互联网的一个子网,整个互联网共用一套域名体系,可认为是唯一的自治网络;根域名服务器为NA唯一拥有,除极少量的本地域名请求可本地解释外,大部分权威域名解释需通过NA根域名服务器进行. 设网络NB到NA的所有域名请求事件为A,故NB域名请求中需要到子网NB外,即NA根域名服务器获取域名解释的概率为

设根据自治互联网的域名体系,将NB改造为自治IP 网络NB,如图3. 自治IP 网络NB的根域名服务器可负责该自治IP 网络几乎所有的域名解析.自治IP 网络NB所有域名请求需到NB外(在这里是自治IP 网络NA中)获取跨网域名解释的事件Ex的条件概率为

其中,ex(i)为网络NB到外部其他自治IP 网络Nnx(i)的域名请求事件. 同理,对于有n 个自治IP 网络的情形,自治IP 网络NB所有域名请求中需到NB外获取跨网域名解释的事件Ex的条件概率为

式(11)假设自治互联网间跨网域名解释具有类似的概率分布.

无论外部是一个自治IP 网络NA,还是改造为n个自治IP 网络,自治IP 网络NB所有域名请求需到NB外获取跨网域名解释的事件Ex的条件概率基本可认为是不变的. 故由式(10)和式(11)可得

对于自治IP 网络NB,有P2(B)= Pn(B)= 1,ex(a)B = ex(a). 故由式(12)得

P2(ex(a))为只有两个自治互联网时所有跨网域名解释请求概率. 按照经验,设自治IP 网络总的域名解释请求数与向网外发起的域名请求数之比为集线比Tr,则有

根据式(9)和式(15),可得网络NB到NA的域名解释请求概率表,如表2. 由表2 可见,在现有互联网(n = 1)中,各网络的域名解释几乎完全依赖于互联网NA;而当各自治IP 网络采用自治域名体系后,它们对原有互联网NA或其他自治IP 网络的依赖程度迅速降低,表明自治IP 网络采用自治域名体系后自主性可大幅提高,对任何其他自治IP 网络的依赖也随之减弱. 图4 显示了跨网域名解释概率对数曲面图.

综上,我们选取n=1 000 及Tr =1 000 为中间取值,以步长200 向两边取值,获得了合理的自治互联网络相关性Pn(ex(a))取值样例如表3. 同时给出相应的曲面图如图5,可清楚了解自治网络间的相关性选项,并根据需要选取相应的Tr 和n,从而获得合理需要的自治互联网.

表2 跨网域名解释概率Table 2 Probability of DNS resolution between AIP networks

图4 跨网域名解释概率对数曲面图Fig.4 Logarithmic probability surface of DNS resolution between AIP networks

图5 自治网络间的相关性曲面图Fig.5 Correlation surface between AIP networks

表3 放大100 万倍自治网络间的相关性Table 3 Million times of correlation surface between AIP networks

结 语

通过现有域名体系的树形结构,构造自主自治的可扩展域名体系,提供以自治IP 网络为单位的新型可扩展网络架构. 结合互联网现状,尝试提供一种采用单边行动就可拥有完全独立自主的根域名服务器,实现互联网自治的技术. 通过概率分析对域名体系的自主性进行了研究. 研究表明,自治网络可降低对原有互联网或其他自治网络的依赖,即自治IP 网络采用自治域名体系后自主性可大大提高. 该技术有望打破互联网的垄断控制,有利维护国家互联网的战略安全.

/References:

[1]CAO Rui,WU Jian-ping,XU Ming-wei. Research on Internet naming [J]. Journal of Software,2009(2):363-374.(in Chinese)曹 锐,吴建平,徐明伟. 互联网命名问题研究[J]. 软件学报,2009(2):363-374.

[2]JI Cheng,LI Xiao-dong,YUAN Jian,et al. Analysis of domain name queries based on the k-means algorithm[J]. Journal of Tsinghua University:Science and Technology,2010,50(4):601-604,608.(in Chinese)季 成,李晓东,袁 坚,等. 基于k-means 算法的DNS 查询模式分析[J]. 清华大学学报:自然科学版,2010,50(4):601-604,608.

[3]LIN Chuan,LEI Lei. Research on next generation Internet architecture [J]. Chinese Journal of Computers,2007,30(5):694-711.(in Chinese)林 闯,雷 蕾. 下一代互联网体系结构研究[J].计算机学报,2007,30(5):693-711.

[4]LUO Jun-zhou,HAN Zhi-geng,WANG Liang-min. Trustworthy and controllable network architecture and protocol framework [J]. Chinese Journal of Computers,2009,32(3):391-404.(in Chinese)罗军舟,韩志耕,王良民. 一种可信可控的网络体系及协议结构[J]. 计算机学报,2009,32(3):391-404.

[5]RFC 1034. Domain Names Concepts and Facilities [S].1987.

[6]RFC 1035. Domain Names:Implementation and Specification [S]. 1987.

[7]WANG Feng,WANG En-hai,QIAN Hua-lin. Research of DNS and keyword services request distribution [J].Computer Engineering,2006,32(5):15-17. (in Chinese)王 峰,王恩海,钱华林. DNS 与关键词服务请求分布研究[J]. 计算机工程,2006,32(5):15-17.

[8]YUCHI Xue-biao,LI Xiao-dong,YAN Bao-ping,et al.Internet usage measurements in DNS services [J]. Computer Engineering and Applications,2009,45(34):85-88.(in Chinese)尉迟学彪,李晓东,阎保平,等. DNS 服务中的Internet 访问行为测量研究[J]. 计算机工程与应用,2009,45(34):85-88.

[9]YAN Wei-min,WU Wei-min. Data Structure [M]. 2nd ed. Beijing:Tsinghua University Press,1992:118-120.(in Chinese)严蔚敏,吴伟民. 数据结构[M]. 2 版. 北京:清华大学出版社,1992:118-120.

[10]DIAO Yong-ping,LIAO Ming,DIAO Yu-ping. Realization of Autonomous Internet:China,201010277181.4[P]. 2010-12-15.(in Chinese)刁永平,廖 铭,刁玉平. 自治互联网的实现:201010277181.4 [P]. 2010-12-15.

猜你喜欢
后缀域名服务器
通信控制服务器(CCS)维护终端的设计与实现
Combosquatting域名抢注的测量研究
如何购买WordPress网站域名及绑定域名
中国服务器市场份额出炉
得形忘意的服务器标准
计算机网络安全服务器入侵与防御
河北霸州方言后缀“乎”的研究
TalKaholic话痨
说“迪烈子”——关于辽金元时期族名后缀问题
一种基于后缀排序快速实现Burrows-Wheeler变换的方法