欢迎访问西安十进制网络科技有限公司!

loadding...
西安十进制网络科技有限公司

咨询电话:029-89870870

通知公告

通知公告 您的位置: 首页 > 新闻中心 > 通知公告

邱实 牟承晋:域名系统DNS安全的正本清源

2021-10-17 102 收藏 返回列表

20211017/57b15fc02c87c37ac3ffd0d75fa459a5.png

互联网(Internet,下同)域名系统DNS的起源,可以追溯到上世纪80年代初。当时互联网的管理,仅仅是少数专业计算机工程师的专长,标准化似乎不过是一个技术性和协调性的问题, 以协调连接到互联网的计算机主机数量的增长。今天,DNS构成了互联网基本功能所依赖的全球网络寻址机制和虚拟化服务(如“内容推送网络”CDN)的关键核心基础。


随着互联网技术和应用的快速发展,域名系统DNS的作用不仅在于其重要性和安全性,而且凸显其指挥和控制权。2019年2月1日,互联网史上第一次DNS“执行日”(Flag Day),亚太地区网络信息中心(APNIC)明确指出,开始了“无缝过渡到下一个30年的DNS时代”。

然而,不论是DNS的“无缝过渡”还是颠覆演变,都是时序性和积累性的渐进过程,并非一蹴而就。DNS的历史(前世)与现状(今生),存在着错综复杂的关联关系及其深层影响,鲜为人知,不可不知。

2009年3月19日,伦敦经济和政治科学研究院(LSE)发表了一份研究报告,题为“中国与域名系统”,其中:

Ø 强调,域名系统DNS是典型的“固有政治性”(inherently political)技术;

Ø 指出,试图改变域名系统DNS政治化的行动,缺少约束力;

Ø 认为,摆脱DNS技术的固有政治性,取决于新标准和体系结构的变革。


这份12年前关于DNS研究报告的分析和观点与DNS演进的现实和趋势,再一次佐证了“技术第一定律”(The First Law of Technology):技术没有好与不好之分,但也不是中立的。

因此,客观地了解和认识DNS的发展历史,既为精髓精华的传承、开拓创新的依托,也是在斗争和竞争中至关重要的环境条件和影响要素(亦是知彼知己之必须)。

综合相关的权威开源信息(但不限于),针对三个关键(或被混淆)的问题:

1)“互联网初期,美国政府对根域名的控制几乎不存在”;

2)“2016年域名监管权被移交,美国政府无法控制”;

3)根域名的决策权与域名应用的执行权是否一致?


所涉事实和叙事分析(Narrative Analysis),旨在澄清“以偏概全”,并作为DNS安全的前世今生之参考存照。通过举一反三,有助于从战略思维的视角,进一步研究和学习、挖掘和探讨DNS安全与技术演进的统筹发展。
一、相关机构的简要背景

● 美国国家电信和信息管理局(简称NTIA),成立于1978年,隶属于商务部,是联邦政府的行政部门,依照美国法律就电信和信息政策问题向总统提出建议。NTIA的计划和决策,主要集中在扩大美国的宽带互联网接入和采用,对所有用户推广频谱的使用,并确保互联网继续成为持续创新和经济增长的引擎。

● 互联网域名与数字地址分配机构(简称ICANN),是1998年9月18日在美国加利福尼亚州注册的非营利组织,主要由互联网协会(Internet Society,简称ISOC)的成员组成,目的是接管包括管理域名和IP地址的分配等与互联网相关的工作,这些工作曾由其它组织(如IANA)代表美国政府执行和实施。尽管美国政府宣布,2016年10月1日正式将互联网域名的管辖权转交给ICANN,但是,ICANN仍受美国法律约束和政府管辖。

● 互联网数字分配机构(简称IANA),正式成立于1988年12月。实际上,IANA在1972年已非正式地建立,为改进阿帕网(ARPAnet)的各种技术功能,提供技术支持。从1998年到2016年,IANA成为ICANN的一个职能机构;2016年,IANA的职能被调整为协调某些技术性关键因素,以保障互联网的平稳运行;对域名等管理和运营的主要业务转交给ICANN的下属机构“公共技术标识符”(Public Technical Identifiers)

● 公共技术标识符(简称PTI),是ICANN的附属机构,负责运营互联网数字分配机构(IANA)原有的各项职能。据ICANN“公共技术标识符(PTI)2021-2024财年战略规划草案”(2020-4-20),PTI的《章程》要求该机构拥有自己的战略规划,这一要求使得PTI无需浮于较为宽泛的ICANN《战略规划》之上,而能够细致深入地编制详细的IANA相关目标。

二、互联网初期,美国政府对根域名的控制几乎不存在?


上世纪70年代,阿帕网(ARPAnet)是一个小规模的网络,仅是数百台计算机主机之间的通信,通过一个文件“HOSTS.TXT”就完成了域名与地址的映射。但是,在应用TCP/IP之后,ARPAnet的规模快速增长,“HOSTS.TXT”文件管理模式的不可扩展,成为瓶颈。为此,ARPAnet的管理者(美国国防部国防高级研究计划局,简称DARPA)特许调研和开发一个管理域名系统,以替代“HOSTS.TXT”的文件管理模式。

● 乔恩•波斯特尔(Jon Postel)是一位著名的美国计算机科学家,从上世纪70年代,以服务于ARPAnet开始,创建了域名系统DNS,并组织制定了IANA的职能,为互联网的发展做出了重大的贡献。波斯特尔通过近30年的无私奉献,在事实上奠定了管理互联网基础设施中的关键核心DNS的权威性,被誉为是互联网的“上帝”。

1997年1月,在完成了建立互联网的13个根域名服务器和从“A”到“M”的编号之后,波斯特尔开始与根服务器运营商合作,测试使用其他的根域名服务器(不限于“A”根)作为根区的授权。但是,1998年1月,波斯特尔为此受到美国总统科学顾问伊拉•马加齐纳(Ira Magaziner)的威胁:“你将永远不能在互联网上工作”(You'll never work on the Internet again)。显然,域名根的控制权明确地受美国政府掌控,而不是来自于技术社区;并清楚地表明,DNS战争(War)的一个步骤,是拥有对顶级域名(TLD)的控制权。

在马加齐纳的威胁下,波斯特尔不得不结束多年的工作和努力。此后10个月(1998年10月16日),乔恩•波斯特尔即去世,享年仅55 岁。

● 2016年3月17日,美国众议院能源与商务委员会的通信和技术小组委员会举行听证会,主题是“IANA的私有化”(Privatizing the Internet Assigned Number Authority)。对此,能源与商务委员会向众议院提交了一份备忘录,其中披露:

1)(克林顿)总统在1997年首次指示商务部长,将DNS的治理转移到私营部门,以增强竞争并促进国际合作。一年后,商务部(NTIA)发布了一份白皮书(1998-6-10),概述美国政府“将允许私营企业在DNS管理方面发挥领导作用。”

2)IANA职能之一,是管理域名系统的“根区”(root zone)文件(即顶级域名的主文件),并基于与商务部的合约,协调IP地址的分配。该合约确保按照美国政府的意旨,正确执行所有顶级域的域名与地址的更改和分发,这些功能对于DNS的持续运行至关重要。

3)在IANA 职能中,NTIA仅保留了批准对授权根区文件进行更改的程序性作用。鉴于与IANA的合约截至2016年9月30日,NTIA与威瑞信(Verisign)签署了合作协议,由威瑞信按照该协议实际维护和实施对授权根区块文件的更改。

目前,NTIA网站上的公开网页“与威瑞信的合作协议”载明:威瑞信根据与美国政府签订的第NCR 92-18742号合作协议,管理授权的根区文件。威瑞信的职责包括按照建议的改变,编辑根区文件,并发布该文件,然后将该文件(通过“A”根域名服务器)分发给其他的根服务器运营商。

以NTIA与威瑞信的“合作协议”为基础,从1998年10月1日到2018年10月26日,NTIA与威瑞信签署了26个公开的修正和补充协议(连续的补充协议编号从第10号到第35号)。

● 根据威瑞信提交给美国证券交易委员会(SEC)的2015 年度财务报告,其中包括:

1)由商务部代表美国政府监督DNS。商务部与ICANN签订了一项新协议,称为《承诺确认书》(AOC),自2009年10月1日起生效。根据该《承诺确认书》,商务部是对ICANN绩效持续审查和问责的主体之一。

2)ICANN的作用,是作为多利益攸关方系统中的协调核心,商务部与ICANN之间的《承诺确认书》不具约束力。

3)美国政府的作用,是通过NTIA协调DNS重要方面的管理,包括IANA功能和域名根区的DNS管理。

以上事实充分说明,美国政府对根域名的管辖权和控制力。所谓“互联网初期,美国政府对根域名的控制几乎不存在”,以及“政府相信技术社区,技术社区相信Jon Postel”的假说,并不成立、不真实,且具有极大的误导性。

三、2016年域名监管权被移交,美国政府无法控制?


2016年10月1日,美国政府正式将对域名系统的监管权移交ICANN,从而(在表面上)结束了对互联网核心资源近20年的单边垄断。

然而,据“政客”(POLITICO)网站2018年1月23日报道,从新近获得的文件获悉,特朗普总统挑选的商务部高管私下向共和党参议员保证,他将考虑推翻奥巴马政府放弃美国对互联网监管的决定。

2017年夏季,时任美国商务部国家电信和信息管理局(NTIA)局长大卫•雷德尔(David Redl),向参议员特德•克鲁兹(Ted Cruz)和迈克•李(Mike Lee)做出了上述承诺。这两位参议员曾谴责:转移对互联网的控制权,是一种可能赋予独裁政府权力的馈赠。特朗普还攻击了前总统奥巴马对互联网控制权的移交,称是一个“愚蠢”的决定,把“互联网交给了外国人”。

● “网络中立”(Net Neutrality)是值得注意和反思的一个案例。哥伦比亚大学媒介法教授吴修铭(Tim Wu)于2003年提出的“网络中立”术语,是描述互联网服务提供商(ISP)平等对待互联网上所有数据的原则,不会因用户、内容、网站、平台、应用程序、附属设备类型或通信方式而区别对待,或不同收费。

但是,“网络中立”从学术界(政策与经济)的讨论和商界(网络运营商ISP与网络服务商ASP)的争论,引发了政界(美国两党)的角斗,并在相关的政策和行动上出现重大反复。

2015年4月13日,美国联邦通信委员会(FCC)发布了开放式互联网(“网络中立”)的命令,将之前归类为信息服务的互联网接入,重新归类为公共电信服务,即公用事业。

特朗普就任美国总统后,决定废除网络中立性规则。2017年12月14日,FCC通过废除网络中立性规则的决议,放宽对大型电信公司的监管,使得这些公司对于网络拥有更大的操控权,将互联网接入又再次归类为信息服务。

2018年5月10日,FCC宣布,2015年的“网络中立”规则将于6月11日失效,新规定要求互联网服务提供商(ISP)告知消费者是否会阻止网络接入或限速传输内容,或提供收费的“快车道”(Fast Lanes)

2018年5月16日,美国参议院以52对47票表决通过,推翻FCC废除网络中立性规则的决议,暂时阻止即将于6月生效的政策。

2018年6月11日,由于美国众议院未能根据“国会审查法”(CRA)采取行动,FCC的新规则生效。

2019年4月,美国众议院通过了“保障宽带互联网用户平等访问在线内容”的拯救互联网法案,但未获得美国参议院的通过。

从这个案例可见,“网络中立”看似是一个互联网管理和治理的问题,但是“被政治化”后,就具有了显著的复杂性和不确定性。

另一方面,对根域名DNS监管权的移交,并不在于表象:

● 虽然ICANN是非营利的民间组织(代表多利益攸关方),但是ICANN在美国注册,受美国法律的管辖和政府的制约。

● 虽然IANA是乔恩•波斯特尔(Jon Postel)建立的,但是NTIA一直对IANA的行为“拥有最终决定权”;如果ICANN做了美国政府不喜欢的事,NTIA可以介入并干涉(即“knock it on the head”)

● 虽然威瑞信与ICANN之间签署了管理域名系统的合约,但是威瑞信与NTIA之间也有合约。一旦合约之间出现矛盾或冲突,威瑞信作为独立的运营商,有自主裁量权,“鹿死谁手”尚不可知。

因此,“2016年IANA监管权移交,美国政府无法控制”的推断,似一厢情愿的假设(或愿望);事实上,随着美国政府强化与完善“数据武器化”的进程和趋势,对域名系统的监管权存在着多重的不确定性和可变因素,将何从何去,还须拭目以待。

四、根域名的决策权与域名应用的执行权是否一致?


1983年11月,域名系统DNS的概念和设施以及实现和规范(RFC 882,RFC 883)被正式提出,主要的贡献者是乔恩•波斯特尔(Jon Postel)和保罗•莫卡佩特斯(Paul Mockapetris)。自此,域名系统DNS的技术被不断地完善和扩展。目前,涉及DNS且与TCP/IP四层架构和协议相关的RFC有299个。

1986年1月14日成立的互联网工程任务組(简称IETF),是一个开放研究和建议互联网标准的非营利组织,并负责制定和推广自愿采纳的互联网标准和规范,特別是构成TCP/IP协议族的标准。IETF沒有正式会员资格的要求,所有参与者和管理者都是志愿者。

经由IETF审核和编号后发布的RFC(征求意见),是系列的技术文档和档案,目前包括7 种类别:
邱实 牟承晋:域名系统DNS安全的正本清源(图2)

备注-1:在1986年之前,互联网技术文档是以“互联网实验记录”(简称IEN)的系列编号发布,乔恩•波斯特尔(Jon Postel)是所发布技术文档的主要编辑。IETF成立之后,转为RFC编号。

1)域名系统的基本结构

域名系统DNS是一个分布式数据库,其层次化结构与UNIX的文件系统结构相类似(图1),呈现为倒置的“树形”,根在顶端。
邱实 牟承晋:域名系统DNS安全的正本清源(图3)
【图1 域名系统DNS结构与UNIX文件系统结构】

域名的构成和解析遵循“自右向左”的规则,依次为根域名、顶级(一级)域名、权威(二级)域名、子(三级、四级等)域名,以“.”为区分。例如,“www.icbc.com.cn”是一个三级域名。

2)互联网根域名服务器的建立过程

● 1984年,第一个根域名服务器在南加州大学的信息科学研究院(ISI)建立,当时仅是服务于ARPAnet。

● 1985年,根域名服务器的数量增加为4个,分别托管在信息科学研究院(ISI,2个)、斯坦福国际研究所(SRI)、美国陆军弹道实验室(BRL)

● 1987年,根域名的服务扩展到ARPAnet(研发和测试网)、MILnet(军用网)、NSFnet(国家科学基金网)、SURAnet(美国东南地区高校网)、BARRnet(美国西部硅谷地区研究网)、NASA-Science(美国国家航空航天局科研网),使根域名服务器的数量增加到7个,新增根域名服务器的托管单位是:美国马里兰大学、美国国家航空航天局和美国空军。

● 1995年,根域名服务器的数量增加到9个,扩展到北欧科研教育网(NORDUnet,诺顿网),并对根域名服务器作了重命名,从“A”到“I”。

● 1997年1月,新增加4个根域名服务器(从“J”到“M”)。至此,建立了互联网13个根域名服务器,完成了部署。

备注-2:1997年5月,根域名“K”被从美国转移到英国伦敦互联网交换中心(LINX),之后又被转移到荷兰阿姆斯特丹(自治系统AS 25152),由欧洲互联网协调中心(RIPE NCC)管理和运营。

备注-3:1997年8月,根域名“M”被从美国转移到日本东京(自治系统AS 7500)。

备注-4:由于DNS数据报文采用UDP传输协议,数据包长度为512字节;IPv4地址长度为32字节,13个根域名的IPv4 地址占用416字节(被嵌入在DNS报文中),使仅剩96字节为DNS数据和信息,故成为限制互联网最多设置13个根域名服务器的主要原因。

备注-5:自2008年,所有的根域名服务器应用“任播”(Anycast)技术,实现了根域名服务器作为“多系统中的系统”(System of Systems)的转型,即13个根域名服务器可以分别和自主地在全球建立托管的根域名服务器站点(Site)和节点(Instance),共享同一IP地址,提供更为快捷的服务。因此,不再是13个根域名服务器,而是13个根域名系统。例如,“A”根域名系统有16个站点(城市)和52个节点(服务器);其中,在德国法兰克福的1个站点有10个节点(服务器)。

备注-6:根据“DNS专业术语”(RFC 8499,2019-1)的定义,DNS“节点”(Instance)是任播(Anycast)路由中,允许多个DNS服务器具有相同的IP地址,其中的每一个服务器被称为是一个“节点”;这样的DNS服务器节点(如根域名服务器),又被称为“任播节点”。因此,DNS“任播节点”不能被认为或作为是域名的“镜像点”,且托管“任播节点”是有条件的,或相关方必须签署“保密协议”(NDA)

3)互联网根域名区块文件的建立和管理

由图1可见,根域名的服务区块(Zone)是顶级域名。也就是说,仅当注册和启用了顶级域名,根域名系统DNS才有可用性和可服务性。

1985年1月1日,“.com,.net,.org,.edu,.gov,.mil”6个顶级域名首先被注册,标志着根域名系统DNS的正式运行。其中,“.com,.net,.org”被称为通用顶级域名,“.edu,.gov,.mil”被作为专用顶级域名。

备注-7:美国国家顶级域名“.us”的注册时间是1985年2月15日;中国国家顶级域名“.cn”的注册时间是1990年11月28日。

目前,顶级域名被分为7 种类型:
邱实 牟承晋:域名系统DNS安全的正本清源(图4)

因此,对根域名的区块文件(Zone File)的授权和管理以及根域名系统的服务,目前仅是面向1,588个顶级(或一级)域名。

注册顶级(或一级)域名需要得到ICANN的批准和授权。而在现实的应用中,大量注册的域名是二级(或权威)域名,即是单位机构、企业公司、网站网点的名称,例如:“ccb.com”。然而,对二级域名的注册管理和服务,不属于ICANN,也不属于根域名服务系统。

威瑞信报告,截至2021年6月,全球注册的二级域名数量为3.673亿个;其中,属于通用顶级域名(gTLD)1.81亿个,占比49.3%。

4)互联网域名系统的主导软件

1984年,在第一个根域名服务器上运营的系统软件被称为“JEEVES”,由保罗•莫卡佩特斯(Paul Mockapetris)设计和开发。

同时,由国防部国防高级研究计划局(DARPA)资助,伯克利大学(4个研究生)研发,在1984年5月发布第一个DNS软件版本,被称为“BIND”。之后,由陆军弹道实验室的道格•金斯顿(Doug Kingston)和迈克•穆斯(Mike Muuss)对BIND软件代码作了重大修改,于1985年被用于美国陆军弹道实验室的根域名服务器。

尽管BIND软件的主版本在不断地完善和升级,但是对BIND软件的修修补补,仍然不能满足互联网快速发展的应用需求。在美国国土安全部的资助下,从结构设计修改到代码全面更新,BIND被彻底升级改变;2000年9月,互联网软件联盟公司(ISC)发布新BIND主版本(BIND 9), 沿用至今:从2004年1月28日发布版本9.0.0到2021年9月15发布版本9.17.18,18年间共发布673个子版本(子版本的生命周期一般为一年),包括软件升级、缺陷修改和漏洞补丁。

BIND以其先发优势,并以提供免费软件和开源代码的“推销推广”模式,在市场应用的占有率(据称)超过90%,也被业内作为“事实上的标准”(de facto standard)

备注-8:请注意,BIND的“免费软件”不等同于“开源代码”,不应混淆。

但是,2002年5月,荷兰的NLnet Lab发布自主研发的DNS软件,称为“NSD”,2003年2月在“K”根域名服务器上启用,替代了“BIND”。目前,有4个根域名系统采用了“NSD”。

此外,2021年3月,美国国家安全局(NSA)发布所研发的新DNS软件,称为“防护性DNS”(pDNS),目前主要用于军用网络和国防基础设施(DIB)网络。

5)互联网根域名系统供应链的简化关系

在根域名系统的生态环境中,如果说,ICANN具有对数字资源(域名、IP地址和自治系统编号)以及根域名管理的决策权,那么在应用和服务中的域名执行权或另当别论。

邱实 牟承晋:域名系统DNS安全的正本清源(图5)

【图2 根域名系统DNS信息通信技术及服务供应链的简化关系】


在根域名系统DNS的ICTS供应链简化关系中(图2):

1)ICANN与IETF是并行关系,或IETF对技术规范的研发与对数字资源的授权和管理,并没有直接的关联性(即是并行);

2)威瑞信等12个根域名系统运营单位并不是完全地服从于ICANN,其中包括NTIA代表美国政府在事实上所施加的影响力;

3)IETF的DNS标准和规范,仅仅是DNS软件实现中的代码最小集合(即实现DNS软件协议栈的代码有足够的“自由裁量”空间,因不同的软件协议栈开发商而异);

4)形形色色的虚拟运营商可以变通的“马甲”改变或颠覆DNS的应用模式和方式,例如:基于DNS的内容推送网络(CDN);

5)美国国家安全局(NSA)以及国家网信安全与基础设施安全局(CISA),对DNS软件技术的研发和应用有相当的(需求化)引导力和(武器化)影响力,例如:BIND软件有专用和定制版本,有别于公共开放的免费版本。


因此, “美国政府对根域名的控制几乎不存在”的假说,以及“美国政府无法控制(根域名)”的假设,确实是牵强附会的“想当然”,且是安全技术“演进发展”的错误前提。这是不争的事实!

6)为什么对互联网根域名系统的治理是“烈性酒”?

保罗•维克西(Paul Vixie)是一位美国计算机科学家,他的技术贡献包括:域名系统DNS协议设计和实现DNS稳健的运行机制,以及开源软件原理和方法。

1994年,维克西创建了“互联网软件联盟”(ISC)公司,并于2004年更名为“互联网系统联盟”(ISC)公司。

1998年,ISC接管了BIND软件的维护和开发(至今)。

2005年11月,维克西向隶属于ICANN 的“根服务器系统顾问委员会”(RSSAC)建议,建立一个“备用域名根区”(alternate root zone),以添加某些新功能(如国际化域名、IPv6和DNSSEC);他呼吁,这并非域名空间的“分裂”(Forking),且不改变根域名运营商、ICANN和美国商务部的职能和作用。他的建议未被采纳。

2016年3月,维克西如是说:“备用根域名服务是互联网治理的‘烈性酒’(third rail):如果你碰它,你就死定了。”故此,维克西认为,互联网治理应是公开和透明的“平滑过渡”(Steady as she goes)

但是,在域名系统DNS安全的“前世今生”演变发展过程中,始终伴随着的并不仅仅是技术性问题,更重要的是存在着“固有政治性”影响和挑战;特别重要的问题是,在前所未有的斗争和竞争中,战略错误是最致命的错误。
五、观点归纳

域名系统DNS的一个直观且简单的演变是:DNS从被作为互联网的“电话簿”(文件系统),演变为互联网的“中枢”(指挥和控制系统)与“制高点”(定位和重定向的导航系统)。

鉴于DNS的功能和作用以及根本属性,从其诞生到今生,美国政府及其相关机构,从未改变和放松所拥有的(显式或隐式)监管权。

DNS安全,既不止于“漏洞型”,也不限于“骚扰性”,而是具备明确清晰的战略性和系统性,成为前所未有的斗争和竞争的焦点之一,即“谁掌控DNS,谁就拥有互联网”。DNS治理及其技术演变发展的正本清源,不可或缺,不容偏颇。

1996年6月,互联网体系结构委员会(简称IAB)向全球互联网社区表达和传递了明确的信息(RFC 1958):“几年前似乎不可侵犯的原则今天已被弃用,今天看来神圣的原则明天就会被弃用,不断变化的原则也许应是互联网长期存在的唯一原则。”

因而,互联网安全技术(包括DNS)的演进发展,应是健康良性、旁征博引,厚积薄发、承上启下,既为精髓精华的传承,也是开拓创新的依托;在(DNS)安全技术演进发展的道路上,没有捷径,没有“银弹”(一招鲜),没有“最好”,只有更好。

“互联网是有记忆的!”对此,不仅网信业界专职专业人士,而且所有网民用户(“互联网人”),都必须心明眼亮。

在奥斯威辛集中营纪念馆的墙壁上铭刻着:“忘记历史必将重蹈覆辙”(The one who does not remember history is bound to live through it again)。警钟长鸣,发人深省。
(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。来源:昆仑策网【原创】,作者授权首发)


你觉得这篇文章怎么样?

0 0

标签: