架构可扩展的自治互联网实现

2023-09-25 16:34:58 浏览数 (2)

1 引言

互联网作为重要的战略资源已经日益为世界各国所重视。互联网最早起源于美国国防部高级研究计划署DARPA的ARPAnet,早期主要是限于美国国内的科研机构、政府机构和它的盟国范围内使用。但现在互联网已经在世界范围内得到了巨大的发展,网络的开放性和全球化,促进了人类知识的共享和经济的全球化,但也使得网络安全和信息安全成为非常严峻的问题。互联网创造了一个奇迹,但在奇迹背后,存在着日益突出的问题,给人们提出了极大的挑战。

互联网系统的核心是它的域名根服务器,尽管现在网络很发达,但实际上支撑这个互联网运转的根服务器数量相当的有限。简单来说,网民在访问一个网址的时候,要经过一个由网址到IP的转换过程,而这个过程是通过访问DNS,也就是域名服务器来完成的。由于互联网的发展由美国开始,因此美国一直保持着对互联网域名及根服务器的控制。在提供域名解析的多级服务器中,处于最顶端的是13台域名根服务器,均由美国政府授权的ICANN统一管理。[1-4]

美国掌握着制定规则和系统运行最核心的东西,在网络系统上拥有绝对的权利。为了减少使用国际域名的安全风险,只有打破美国对互联网的垄断控制权,这也是包括我国在内的全球众多国家的一致看法。本文将提供一种既不需要从现在有根域名服务器的国家移植(美国不会给,别的国家也不富裕),也不需要互联网的底层支持技术发生彻底革命,就可以拥有自己的根域名服务器,实现互联网自治的技术。[5-7]

2 互联网自治的禁区

DNS,Domain Name System或者Domain Name Service(域名系统或者域名服务),为Internet上的主机分配域名地址和IP地址。用户使用域名地址,该系统就会自动把域名地址转为 IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器,通过DNS服务器来应答域名服务的查询。

图1、互联网现有域名层次结构图

互联网现有域名层次结构图如图1所示,是一种由最多255个字符128层组织域组成的有层次结构的计算机和网络服务命名空间系统。现在全世界一共有13个根服务器,其中一个是主根服务器。这些根服务器一直由美国控制。美国可以通过控制根服务器,达到控制全球各种域名的目的,而且还可以对其他国家的网络使用情况进行监控。

在某种意义上,使用国际域名都是不安全的。国际域名的管理现状就是美国拥有着管理权,根据得到的互联网DNS解析的相关数据,中国网民的访问习惯和访问信息以及网站的解析信息完全暴露于美国公司的监视之下。这对中国的国家安全是非常大的威胁。造成这种现象的原因与互联网的发展历史有关,并不是单纯的技术先进性问题。要想维护国家互联网安全,唯一的出路就是自建域名根服务器,这其中既有成本的问题也有技术可操作性的问题,在目前现有的域名体系下来说是不可能的。所以在现有的域名体系下,互联网自治是美国以外世界各国的禁区。

3 自治互联网

3.1 自治互联网的目标

众所周知,域名是网站的第一个关键,域名解析是控制各网站的核心。IPV6只能解决码号资源问题,国家安全问题还要靠其他的附加技术实现。要想维护国家互联网安全,必须拥有自己的根域名服务器,域名解析将不再经由境外域名服务器提供服务,对于现代化的国防、经济等,都非常重要。

同时,我们希望自治互联网的架构是安全的、可扩展的;互联网自治的改造是尽可能最小的;互联网自治的过渡是可行的、平滑的。

3.2 自治互联网的域名体系

根据以上自治互联网的目标,其域名主要规则定义如下:

n 每个自治IP网络本身具有完整的整套域名系统,支持本自治IP网络内部域名地址转换;本网网内域名解释按照传统方式。

n 每个自治IP网络都具有区别于其它自治IP网络的名称编号,并以此作为本网域名被外部引用时的缺省的网络域名后缀。任何一个网络节点的网内域名加上本自治IP网络的网络域名后缀就形成了该网络节点的网际域名。

n 跨自治IP网络通信时,访问外网节点必须使用其网际域名,即在该外网节点网内域名后面添加其缺省的网络域名后缀;

图2、自治互联网域名层次结构图

据此,可以设计出如图2所示的自治互联网域名层次结构图。可以看到,每个自治IP网络如A、B……,本身具有完整的整套域名系统并且互不干涉,不同自治IP网络内节点域名甚至可以重复如域名为www.yahoo.com。跨自治IP网络通信时,需要采用网际域名,即在传统域名后面加上一个网络域名后缀以标示指定自治IP网络内的域名节点,如www.yahoo.com.A或者www.yahoo.com.B就分别表示是自治IP网络A还是自治IP网络B中的域名节点。为此,在每个自治域名层次结构树中都增加ex(i)的顶级域名,以映射代表本自治IP网络可以通达的其它自治IP网络域名树。当ex(i)=A时,表示可以通达的其它自治IP网络A,当ex(i)=B时,表示可以通达的其它自治IP网络B。

自治互联网的域名体系具有自主、可扩展的特点。

3.3 自治互联网的架构

根据自治互联网的域名体系,可以构造出自治互联网的网络架构,如图3所示。每个自治IP网络可以有多个根服务器,负责该自治网的所有的互联网域名解析工作。域名解析方式仍然采用"集中 分散解析"的方式,自治IP网络中其它合法的DNS服务器默认都是指向这些根服务器。

图3、自治互联网架构

由于每个自治IP网络都相当于现在传统的互联网,其内部域名解释和通信都不会有改变。唯一的改变是跨自治IP网络通信时,域名需要增加目的自治IP网络的网络域名后缀。所以,在每个自治IP网络中会增加一个称为“自治IP网络DNS网关的设备” AIP DNS GW以支持跨自治IP网络的域名解释。一方面,把本网的跨自治IP网络域名解释请求转发到目的自治IP网络,接收到域名解释结果后返回给请求方;另一方面,接受外网对本自治IP网络的跨网域名解释请求,在依据传统的方式得到本网DNS域名解释结果后反馈给外网请求方。

自治互联网的域名解释具体实现如下:

自治IP网络本网内域名解释

自治IP网络本网内域名解释按照传统方式进行。如在图3示,同一自治IP网络内的域名为Na1(其IP地址为Ga1)的主机要与域名为Na3的主机进行通信,源主机Na1将首先向DNS A发出域名查询请求。这是一个传统的DNS域名解释的过程,具体步骤如下:

ü 第一步:源主机Na1提出域名Na3的解析请求,并将该请求发送给本地的域名服务器。

ü 第二步:当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。

ü 第三步:如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给本自治IP网络的根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域,如CN)的主域名服务器的地址。

ü 第四步:本地服务器再向上一步骤中所返回的域名服务器发送请求,然后收到该请求的服务器查询其缓存,返回与此请求所对应的记录或相关的下级的域名服务器的地址。本地域名服务器将返回的结果保存到缓存。

ü 第五步:重复第四步,直到找到正确的纪录,即Na3的IP地址Ga3。

ü 第六步:本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给源主机Na1。

这样,获得目的主机的IP地址后,域名为Na1(其IP地址为Ga1)的主机就可以与域名为Na3(其IP地址为Ga3)的主机进行通信了。图4为自治IP网络内部域名解释过程示例。

图4、自治IP网络内部域名解释过程

跨自治IP网络的域名解释

跨自治IP网络的域名解释需要提供目标网络节点的网际域名。如在图3示,自治IP网络A中域名为Na1(其IP地址为Ga1)的主机要与自治IP网络B中域名为Nb2的主机进行通信,源主机Na1将首先向本网DNS A发出域名查询请求。这是一个跨自治IP网络的域名解释过程,具体步骤如下:

ü 第一步:源主机Na1提出域名Nb2.B的解析请求,并将该请求发送给本地的域名服务器。

ü 第二步:当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。

ü 第三步:如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给本自治IP网络的根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询顶级域(本自治IP网络A的根的一个子域,这里是B,影射另一个自治IP网络B的域名体系)的主域名服务器的地址,即AIP DNS GW A的地址。

ü 第四步:本地服务器再向上一步骤中所返回的域名服务器AIP DNS GW A发送请求:

1) 收到该请求的服务器AIP DNS GW A查询其缓存,返回与此请求相对应的记录;

2) 如果AIP DNS GW A查询其缓存未发现对应的记录,则AIP DNS GW A就直接把请求发给自治IP网络B的AIP DNS GW B;

3) AIP DNS GW B查询其缓存,返回与此请求相对应的记录;否则就把请求解释的网际域名Nb2.B去掉本自治IP网络的网络域名后缀B后,把其中的网内域名部分Nb2的域名解释请求发给本自治IP网络的根域名服务器,然后根域名服务器再返回给AIP DNS GW B一个所查询域(根的子域,如CN)的主域名服务器的地址;

4) AIP DNS GW B再向上一步骤中所返回的域名服务器发送请求,然后收到该请求的服务器查询其缓存,返回与此请求相对应的记录或相关的下级的域名服务器的地址。AIP DNS GW B将返回的结果保存到缓存。

5) 重复4),直到找到正确的纪录,即Nb2的IP地址Gb2。

6) AIP DNS GW B把返回的结果中网内域名Nb2添加本自治IP网络的网络域名后缀后变成网际域名Nb2.B的解释结果保存到缓存,以备下一次使用,同时还将该结果返回给AIP DNS GW A。

ü 第五步:AIP DNS GW A把返回的结果保存到缓存,以备下一次使用,同时还将该结果返回给本地域名服务器。

ü 第六步:本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给源主机Na1。

这样,获得目的主机的IP地址后,自治IP网络A中域名为Na1(其IP地址为Ga1)的主机就可以与自治IP网络B中域名为Nb2(其IP地址为Gb2)的主机进行通信了。图5为自治IP网络之间域名解释过程示例。

图5、自治IP网络之间域名解释过程

4 互联网自治的改造和过渡

4.1互联网的分治

为了实现互联网的自治,对于现有的互联网需要首先要进行互联网的分治。每个准备自治的IP网络需要对自治域内的网内域名进行聚合收敛,同时逐步与自治域以外的域名进行分隔。

目前,中国互联网中心专门设置了多台域名服务器,专门用于.cn域名下行政、科研及国防网站的域名解析,而这基本是在中国政府的监管之下的。中国在争取对根域名服务器管理权的同时,一定要逐步降低对COM等境外域名的依赖程度,中国互联网整体的安全性和强壮性才能得以提高。这样,也才有利于互联网的分治,并最终走向互联网的自治。

4.2 互联网的自治

新建的自治IP网络:搭建全新的自治IP网络,新建工作除了包括IP节点网络的构建、独立的网络域名服务体系的构建外,还需要根据自治互联网域名层次结构在每个自治IP网络中增加一个称为“自治IP网络DNS网关”的设备AIP DNS GW以支持跨自治IP网络的网际域名解释。

升级为自治IP网络:现有互联网的部分区域(非核心部分)升级为一个新的自治IP网络,升级工作主要包括增加本自治IP网络内的根域名服务器以构建独立的域名服务体系,以及增加本自治IP网络DNS网关设备AIP DNS GW以支持跨自治IP网络的网际域名解释。

改造为自治IP网络:现有互联网(核心部分)改造为一个自治IP网络,改造工作主要是增加本自治IP网络DNS网关设备AIP DNS GW以支持跨自治IP网络的网际域名解释。

单边行动:理想的情况是全球互联网可以协调一致地进行互联网自治的改造。但是,如果无法协商一致或者无法协调一致地行动,任何一个国家都可以独立搭建自治IP网络并通过原有链路联接到互联网或者任何两个国家之间都可以协议搭建自治IP网络并进行互联。单边行动工作稍微有点不同:一方面,升级工作主要包括增加本自治IP网络内的根域名服务器以构建独立的域名服务体系,以及增加本自治IP网络DNS网关设备AIP DNS GW以支持跨自治IP网络的网际域名解释;另一方面,在现有互联网(核心部分)能够改造为一个自治IP网络之前,需要在每个自治IP网络与现有互联网(核心部分)之间增加一个改造前“自治IP网络DNS网关”设备AIP DNS GW,以代替本来需要在现有互联网(核心部分)改造为一个自治IP网络所需的改造工作,以支持跨自治IP网络与现有互联网(核心部分)的网际域名解释。改造前“自治IP网络DNS网关”与普通AIP DNS GW唯一的不同是,需要对来自现有互联网(核心部分)的域名主动为其添加网际域名后缀。

5 结论

要想维护国家互联网安全,必须打破互联网的垄断控制权,拥有自己的根域名服务器,这对于现代化的国防、经济等,都非常重要。本文提供了一种既不需要从现在有根域名服务器的国家移植,也不需要互联网的底层支持技术发生彻底革命,就可以拥有完全独立自主的根域名服务器,实现互联网自治的技术。同时,自治互联网的架构安全可扩展;互联网自治的改造极小;互联网自治的过渡平滑可行,甚至可以单边行动实现。

0 人点赞