全球根域名系统布局环境分析和中国应对策略

苏 嘉，李 原，王一雯，金 桦

（中国信息通信研究院，北京 100191）

域名系统是实现几乎所有互联网应用定位和寻址的基础。凭借存储所有顶级域名的权威记录，根域名系统（由根区文件和根服务器构成）深刻影响全球互联网的稳定运行，是最关键的互联网基础设施。然而，根区文件高度集中管理，根/镜像服务器地理上密集部署，为全球互联网安全带来巨大挑战[1-6]。

2014年以来，在美国政府有条件放弃对IANA监管权政策的推动下，全球根管理格局和根技术架构都经历了微妙变化，并逐步成为全球聚焦热点。在我国，中央领导高度重视当前争取根自主管理的机遇和挑战，把掌握根服务器和根区文件管控权上升到保障国家网络空间安全的战略高度。因此，从根管理政策、服务器部署技术和镜像部署3方面，深入探讨全球根域名系统布局环境及发展趋势，是支撑相关部门理清全球根系统发展脉络，把握转型机遇，推动实现多方共享根系统管理的前提和保证。

1 根域名系统及其管理模式的演进

1.1 根服务器分布的历史沿革

在互联网最初发展阶段，每台主机通过配置定期更新的Hosts文件实现全网解析。为应对互联网规模扩张，20世纪80年代IETF发布了RFC1034和RFC1035标准，成为构建分布式、层次化DNS系统的技术基础。

根域名系统正是在此基础上发展起来的。到1997年全球共部署13个根服务器，受到DNS报文长度限制无法继续扩展。为突破根节点数量限制，提供快速、稳定、安全的根解析服务，2002年以来多个根广泛采用Anycast技术大规模扩张根镜像节点，目前达到400余根节点，初步形成覆盖全球各大洲的大规模、分布式根域名解析网络（见表1）。

表1 根/镜像服务器全球分布统计

1.2 根管理模式分析及影响因素

根系统管理由“服务器管理”和“根区文件管理”两部分构成。“服务器管理”是由13个运营机构开展网络、服务器等硬件和解析系统、安全保障等软件环境的维护。“根区文件管理”是对加载在根服务器上的顶级域寻址文件的控制，是转移互联网管理权，变革全球“根管理格局”和“互联网治理格局”的核心（见图1）。

图1 全球根区文件管理主体和流程

全球根管理基本格局是美国政府主导的2份合同确定：第一，美国电信和信息管理局NTIA与ICANN签订合同，授权ICANN履行IANA职能；第二，NTIA与Verisign签订合同，授权Verisign开展根区文件运营维护。通过上述2份合同，任何对于根区文件的增加、修改和删除操作，都要经过3个步骤：

1）ICANN审核相关申请是否符合相关域名政策，若无误则提交NTIA。

2）NTIA审核ICANN是否正确完成工作，授权后将请求提交Verisign。

3）Verisign检查该请求的技术正确性（如域名服务器是否在线等），将相关条目注入根区数据库并向13个根服务器分发。

在法律关系的限制下，美国政府对根区文件运营者ICANN和维护商Verisign都具有话语权，实现了美国政府对根系统的单边控制权。三主体及其相互制约关系共同形成了当前根区管理模式，也是推动根区管理去美国政府化的重要切入点。

1.3 变更根管理权的机遇与挑战

由于美国政府掌握修订根区文件的最终审批权，世界各国都面临美国删除、篡改和劫持本国顶级域的风险，国际社会对美国垄断根管理权普遍不满，要求改变美国控制全球互联网最终解释权的呼声越来越高。多方压力下，2014年初美国商务部宣布2015年9月将有条件放弃对IANA的监管权。

在具体操作层面，成立了IANA职能管理权移交协调工作组（ICG），从兼容性、互操作性方面评估域名、IP地址和协议参数3个社群所提出的移交方案，整合后递交NTIA审议。其中，域名职能跨社群工作组（CWG）方案与转移根管理权密切相关。若移交进程顺利开展，将在一定程度上改变美国单边治理局面，但是移交面临巨大不确定性风险：

第一，CWG方案尚未解决关键问题，影响ICG整体方案进度，预计9月前难以顺利完成方案整合、公众评议、NTIA评议等诸多流程。

第二，确定ICANN问责机制是与IANA管理权移交相互关联的进程，但进展缓慢影响了整体协调推进。

第三，凭借NTIA提出的4项原则及美国互联网产业强大实力，移交过程完全由美国主导完成，存在诸多不可控因素。

综上，预计移交方案难以按时完成（见图2）并获得各利益相关方及美国政府的一致认可。考虑到IANA职能合同到期后还可续签2次（每次2年），未来2～4年面临根管理方案从NTIA单边向全球多方共治过渡的重要机遇。

2 根域名系统部署技术的发展

2.1 根服务器部署技术面临变革需求

RFC1034和RFC1035奠定了包含根服务器在内的域名系统技术基础。默认情况下，DNS协议基于UDP报文传输，且报文尺寸限制在512 byte以内，当大于512 byte时采用TCP传输。出于安全稳定运行的考虑，512 byte的DNS UDP响应消息中最多能容纳13个根服务器，为实现根服务器广泛分布，保证系统安全稳定运行，采用Anycast技术面向全球部署镜像节点。

图2 IANA职能移交时间表

随着互联网新技术和新业务的不断发展演进，根服务器部署技术面临变革需求，相关技术也在不断推进实施中。第一，IPv6地址尺寸是IPv4地址的4倍，只要增加2个根的IPv6地址信息，DNS响应报文尺寸将超过上限，若记录13个根IPv6地址，响应报文将增加到811 byte，远超出512 byte的限制。第二，DNSSEC大幅增加DNS响应报文尺寸，仅采用一种签名算法生成RRSIG资源记录，DNSSEC响应报文尺寸将增加到7～10倍。第三，随着物联网蓬勃发展，摆脱当前根解析系统，构筑安全自主的物联网标识解析体系也逐渐成为全球关注的热点。

2.2 根体系架构变革思路分析

为应对技术和业务不断发展的诉求，以及共享根管理权的呼声，业内不断提出多项调整根系统架构的技术方案，在拓展DNS报文尺寸、重构解析系统等方面都有所进展，其中部分方案已在具体部署中得到实施，成为变革根系统架构的基础。

1）拓展DNS报文长度

IETF提出了EDNS0机制，通过在DNS消息中增加字段，允许DNS请求者公布其UDP数据包大小，通知服务器自己可接收的UDP数据报文的最大数据容量，避免采用TCP重传带来的效率下降或通信失败。

2）重构解析系统

构建物联网终端标识解析体系引起全球关注，除利用DNS协议或者基于现有DNS系统部署物联网解析系统外，也涌现出构建全新的根解析架构，例如Handle系统在全球部署4个根，根间独立、平等、协同运行，每个根可自主实施本国根区管理，通过根间合作完成跨国寻址。

3）改良根解析系统

在根服务器可扩展和根区文件安全传输等技术基础上，2014年全球产业各方（包括我国CNNIC、ZDNS、BII等）密集提出多项关于拓展全球根系统的建议，其中不乏革命性变革的技术方案，虽然各项技术的可行性尚未形成定论，但充分体现出全球调整根体系架构的强烈意愿及发展方向。例如：Google提出递归服务器缓存全部根区文件，是对当前根镜像架构的极大拓展，使传统意义上根镜像服务器及其管理权向递归层面延伸；方滨兴院士提出借鉴自治域间路由对等扩散的思路，建立国家级顶级域名联盟，采用“域名对等扩散”方法通过可信通道交换TLD信息，增强我国自治根域名解析系统健壮性。

3 我国根镜像服务器建设和服务水平分析

3.1 我国根解析性能和镜像部署水平的国际对比

2003年以来，我国已陆续引入4个根的多镜像节点，其中两个F根镜像服务器分别接入中国电信和CNNIC网络，J根镜像服务器接入联通网络，I根和L根接入CNNIC网络。然而，我国根镜像部署进程缓慢，在引入规模、解析质量和辐射范围等方面落后于国际水平。解析性能对比分析详见表2。

资产与经营方面，目前城投集团的资产经营主要集中在房屋拍卖、房屋出租、广告经营、房产开发等几个方面，虽有一定成效，但层面不够宽，挖掘不够深，走得不够远.加强盈利能力，转变发展模式，创造新的赢利点，投入更多的精力在资产经营管理上，积极占有城市资源，探索适合自己的商业模式.

表2 解析性能对比分析

第一，全球根及其镜像节点的全球分布极不均衡，美国镜像节点数量是中国的15倍，巴西、德国、日本、法国、澳大利亚、加拿大等国的根镜像节点数量是中国的2～3倍。

第二，节点密集程度直接影响解析性能，根据TEAM CYMRU监测结果，各国对不同根解析的时延差异极大。我国平均根解析性能远低于发达国家，其中未引入根的访问性能远低于发达国家水平，已引入根的性能也普遍低于发达国家水平。

第三，各国部署根/镜像节点定位和国际辐射范围存在显著差异。以F根为例，日本、北美和欧洲交换中心F根镜像节点服务范围非常广泛（如图3所示）。在中国、印度和澳大利亚互联网物理连接故障时，新加坡为3国提供J根解析的冗余保障。我国引入的镜像仅服务于国内特定网络范围，与我国互联网在东南亚地区甚至全球的影响力极不相称。

图3 F根/镜像辐射范围（截图）

图3中，编号4，6，10，17，23，30，33，36，41，44，45，52，53，56，58为欧洲节点；编号5，29，32，37，40，42，49，59，60为北美节点；编号9，19，46，57为南美节点；编号11，12，20，24，25，27，35，43，47，48，51，55为亚洲节点；编号22，34为非洲节点。

3.2 我国根镜像国内服务水平分析

我国访问各根的解析时延取决于所访问根节点的地理位置和网络位置。国内的F、J和L镜像支持电信、联通、鹏博士用户访问，移动/铁通访问香港交换中心的F和I根镜像以及北美的J和L镜像。而我国主导运营商主要访问日本、香港、台湾的I根镜像，国内I镜像服务少量用户。由于我国访问的F、I、J、L节点主要分布于亚洲地区，且网间互通带宽较高，因此4个根服务性能明显优于其他海外节点，相对而言，访问欧美根节点的性能较差，美国根解析时延在200 ms以上，见表3。

从国内性能解析分布来看，根解析性能与根节点接入网络和部署地点密切相关。以联通L根镜像覆盖和服务情况（见图4）为例，移动/铁通访问美国节点的解析性能较差，达200 ms以上，电信和鹏博士3月访问法国节点，解析性能远差于9月访问国内节点。

表3 我国访问各根节点分布和性能统计

3.3 镜像网络覆盖能力的深度分析

目前，我国已引入根镜像节点并未实现对境内各运营商以及周边地区的广泛服务，存在不同程度的访问盲区现象。这主要是根运营管理机构和根引入机构调整路由通告策略所致，限制了根节点的服务范围。

图4 我国各运营商L根解析性能统计

1）根管理机构的路由策略

2）运营商的路由策略

根镜像引入企业也可能有针对性地选择通告根地址前缀的网络范围，例如，考虑到需向主导运营商支付流量结算费用，引入根镜像的中小运营企业可能不向主导运营商通告。接入香港交换中心的运营商能够得到部分根的优质服务，移动和铁通优先选择香港节点。

4 推进我国构建自主根系统的策略思考

伴随美国移交IANA监管权，我国面临争取根自主的历史机遇。在此背景下，加强我国根发展策略的顶层设计，坚持“根管理权积极竞争”和“根镜像科学部署”两条主线并重，以提升我国根解析性能和逐步掌握互联网控制权为总体发展目标，推动我国以多样化方式访问、部署根镜像服务器，增强我国在全球互联网治理领域的国际话语权。

第一，加强根部署技术和管理模式的创新研究，并提出可行方案，积极应对全球根域名系统变革。转型期在共享根管理权和拓展根数量方面存在很多机会，鼓励科研单位、企业加强关键技术和管理权转移方案的研究，以协会、联盟等模式推动各方形成合力，提出可行方案。

第二，充分利用IETF、ICANN等渠道和平台，加强国际合作交流，增强我国在互联网治理领域的影响力和话语权。融入国际根架构调整、根管理、根运行维护、支撑资助等机构发起的多层次活动，并展开深度沟通合作，争取在相关国际机构发出我国的声音，先参与、再发声，逐步形成我国的影响力。积极向IETF提交并参与讨论根架构调整相关技术草案，根管理政策制定方面积极参与到RSSAC咨询委员会，充分参与根移交方案制定过程，在新方案关于根区内容管理、政治监管、根运行维护等方面充分体现我国利益。

第三，完善我国根镜像的合理引进和部署策略，提升我国网络安全、解析性能和我国网络国际地位。分析研究各根的镜像引入要求，积极与根管理机构沟通，制定符合我国实情的根镜像服务器路由策略。从引入镜像类型、部署地点和企业选择出发，落实根服务器科学合理部署，提升我国根覆盖范围和解析服务稳定性。同时，以各电信运营企业国际互联互通整体战略为基础，重点考虑接入部分重点国际交换中心，实现与未广泛推广镜像的根对等互联，推动我国根访问性能整体优化。此外，通过升级或引入Global节点等方式，我国引入根镜像适度对国外用户开放解析服务，逐步提升我国互联网的国际价值。

[1] 方滨兴.从“国家网络主权”谈基于国家联盟的自治根域名解析体系[J].信息安全与通信保密，2014（12）：35-38.

[2] 任晓峰.构建广电宽带网络域名服务系统平台[J].电视技术，2015，39（2）：27-29.

[3] 李原.我国根域名解析服务监测与分析[C]//第十七届全国青年通信学术年会论文集.北京：国防工业出版社编辑部，2012：408-412.

[4] 何跃鹰.互联网规制研究-基于国家网络空间安全战略[D].北京：北京邮电大学，2012.

[6] 曲瀚.根域名服务性能测量和研究[C]//中国通信学会信息通信网络技术委员会2011年年会论文集（上册）.[S.l.]：中国通信学会，2011：435-441.