淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)課件

淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)1互聯(lián)網(wǎng)（TCP/IP網(wǎng)絡(luò)）的內(nèi)在矛盾冷戰(zhàn)催生的簡化的、無需鏈路控制的、缺乏安全和信用機(jī)制網(wǎng)絡(luò)，發(fā)展為支撐全球化的、跨邊界的、與社會經(jīng)濟(jì)活動緊密融合的復(fù)雜環(huán)境。簡化的、邊界明晰的、用戶互信的 >> 全球化的、無界的、緊密融合的互聯(lián)網(wǎng)（TCP/IP網(wǎng)絡(luò)）的內(nèi)在矛盾冷戰(zhàn)催生的簡化的、無需鏈2互聯(lián)網(wǎng)基礎(chǔ)資源的分配模式DNSIP地址CANTP和管理架構(gòu)樹 便狀 于結(jié) 自構(gòu) 頂?shù)?向業(yè) 下務(wù) 的體 管系 控互聯(lián)網(wǎng)基礎(chǔ)資源的分配模式DNSIP地址CANTP和管理3互聯(lián)網(wǎng)基礎(chǔ)資源的服務(wù)架構(gòu)用戶端第三方代理資源管理者互聯(lián)網(wǎng)基礎(chǔ)資源的服務(wù)架構(gòu)用戶端第三方代理資源管理者4互聯(lián)網(wǎng)基礎(chǔ)資源管理和服務(wù)的內(nèi)在矛盾終極目標(biāo)：用戶端、第三方代理、資源管理者三方的權(quán)力平衡資源管理者自頂向下的逐級分配和控制原則唯一、精確、完整、真實最后一公里的本地管轄和商業(yè)利益訴求安全可控服務(wù)水平SLA客戶價值用戶體驗和個性化需求例子：來電號碼助手資源管理者第三方服務(wù)者用戶互聯(lián)網(wǎng)基礎(chǔ)資源管理和服務(wù)的內(nèi)在矛盾終極目標(biāo)：用戶端、第三方代5IP地址管理及服務(wù)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)IP地址管理及服務(wù)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)6NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶IP地址-全球分配體系NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶7IP地址全球管理模式滯后70年代，IP地址最初只在美國科研機(jī)構(gòu)和大學(xué)內(nèi)分配80年代至90年代互聯(lián)網(wǎng)向歐洲和亞洲擴(kuò)展，在歐洲核子研究中心（CERN）網(wǎng)絡(luò)協(xié)調(diào)機(jī)構(gòu)的基礎(chǔ)上形成了以歐洲互聯(lián)網(wǎng)信息中心（RIPE

NCC），在亞洲互聯(lián)網(wǎng)先發(fā)國家日本和澳大利亞的網(wǎng)絡(luò)社群內(nèi)形成了亞太互聯(lián)網(wǎng)信息中心（APNIC），同時非洲、拉美以及北美本土的IP地址分配服務(wù)也在萌芽醞釀。美國政府在1998年強(qiáng)勢宣布其對IANA的管理權(quán)，在加強(qiáng)對域名根服務(wù)器系統(tǒng)的管控力度同時，對互聯(lián)網(wǎng)IP地址社群做出了妥協(xié)，非洲、拉美和北美社群加快成立各自的IP地址分配機(jī)構(gòu)（ARFINIC、LANIC、ARIN）。在IP地址分配業(yè)務(wù)上，五大洲地址分配機(jī)構(gòu)為注冊在各地區(qū)的獨立法人，并不隸屬于IANA。IANA僅對超大快IP地址進(jìn)行大洲級的分配，五大機(jī)構(gòu)對本地區(qū)內(nèi)的終端用戶進(jìn)行實際IP地址分配，享有很大的自主運營和政策權(quán)，且自發(fā)成立了地址協(xié)調(diào)聯(lián)盟機(jī)構(gòu)NRO，獨立于ICANN/IANA體系。IP地址全球管理模式滯后70年代，IP地址最初只在美國科研機(jī)8五大RIR的政策差異性RIPE

NCC雖名為歐洲互聯(lián)網(wǎng)信息中心，但是其業(yè)務(wù)政策已經(jīng)向全球開放，不限于歐洲，任何國家的終端用戶都可以RIPE

NCC申請IP地址，也可以攜帶地址轉(zhuǎn)移到APNIC等其他四家機(jī)構(gòu)。北美ARIN本質(zhì)上也是歐洲模式，允許自由分配和轉(zhuǎn)移，但在外圍設(shè)計包裝了更多政策門檻，屬于“半自由”。亞太APNIC和拉美LANIC只為本地區(qū)服務(wù)，不允許其它地區(qū)用戶申請，但允許用戶攜帶地址轉(zhuǎn)移。非洲AFRINIC既不允許其它地區(qū)用戶申請，也不允許用戶攜地址轉(zhuǎn)移出去，最為封閉。五大RIR的政策差異性RIPENCC雖名為歐洲互聯(lián)網(wǎng)信息中9政策差異性帶來的IP地址流動隨著全球IPv4地址的耗盡，各地區(qū)互聯(lián)網(wǎng)發(fā)展規(guī)模及網(wǎng)民數(shù)量的不平衡，引發(fā)了如下現(xiàn)狀：大量新興互聯(lián)網(wǎng)國家（典型如中國）公司機(jī)構(gòu)采用各種辦法向其他大洲IP地址管理機(jī)構(gòu)申請，最常見的方式是在各洲當(dāng)?shù)貒易砸慌庸净驓す荆驯镜毓镜拿x申請、向原IP地址持有者發(fā)起溢價購買，待買入IP地址后，再轉(zhuǎn)移回母公司所在地區(qū)，或者根本不轉(zhuǎn)移直接在全球進(jìn)行路由廣播。我國對IP地址的管理較為嚴(yán)格，IP地址非備案不得用來廣播和使用，備案系統(tǒng)需要應(yīng)對這種趨勢（除了傳統(tǒng)的APNIC會員地址、CNNIC會員地址、工信部地址聯(lián)盟會員地址外的碎片化國際來源IP地址）。IP地址的全球流動和碎片化也進(jìn)一步擴(kuò)大了IP地址使用(運營商路由)過程中的安全威脅，引出了RPKI和BGPSEC技術(shù)。政策差異性帶來的IP地址流動隨著全球IPv4地址的耗盡，各地10IP地址認(rèn)證的缺失導(dǎo)致BGP路由安全問題IP地址認(rèn)證的缺失導(dǎo)致BGP路由安全問題11IP地址安全新技術(shù)：RPKI及BGPSEC五大機(jī)構(gòu)無法阻止資本流動帶來的IP地址使用權(quán)流動和應(yīng)用流動，采用新型安全認(rèn)證技術(shù)手段RPKI來確保IP地址的所有者和使用者一致；而新型安全認(rèn)證技術(shù)有可能進(jìn)一步加大五大機(jī)構(gòu)的獨立性，沖擊到IANA作為最高分配者和協(xié)調(diào)者的地位。IP地址安全新技術(shù)：RPKI及BGPSEC五大機(jī)構(gòu)無法阻止資12RPKI體系結(jié)構(gòu)RPKI體系結(jié)構(gòu)13RPKI的風(fēng)險和機(jī)遇RPKI引發(fā)了RIR和IANA的矛盾，未來互聯(lián)網(wǎng)治理的新熱點RPKI引入了“IP地址根”概念，RIR從IP地址分配機(jī)構(gòu)變成了IP地址認(rèn)證機(jī)構(gòu)RPKI把IP地址路由技術(shù)風(fēng)險轉(zhuǎn)移成為RIR的管理風(fēng)險RPKI要求ISP運營商的域間路由器進(jìn)行升級，并搭建單獨的認(rèn)證系統(tǒng)我國科研工作者貢獻(xiàn)提出支持本地認(rèn)證的RPSTIR方案和原型系統(tǒng)ICANN與NRO之間，各國本地RPSTIR與NRO

RPKI服務(wù)器之間的關(guān)系有待厘清RPKI的風(fēng)險和機(jī)遇RPKI引發(fā)了RIR和IANA的矛盾，未14淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)域名系統(tǒng)及根服務(wù)器體系淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)域名系統(tǒng)及根服務(wù)器體系15全球互聯(lián)網(wǎng)域名體系及管理架構(gòu)ICANN（The

Internet

CorporationforAssigned

Names

and

Numbers

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）負(fù)責(zé)IP地址的分配、頂級域名（TLD）的管理、以及根服務(wù)器管理。國家和地區(qū)頂級域，屬于主權(quán)范圍，政府授權(quán)，自行管理通用頂級域，由ICANN批準(zhǔn)，并與注冊管理機(jī)構(gòu)簽署協(xié)議授權(quán)其運營和管理新通用頂級域，ICANN適時全面開放多語種頂級域，并采取政策、技術(shù)、市場等多手段全面控制。“.”ccTLDgTLD.CN.DE .UK….COM.NET.ORG…英文IDN.中國.香港…(254個)NewgTLD英文IDN.？.公司 .網(wǎng)絡(luò) .政務(wù) .公益 ….？全球互聯(lián)網(wǎng)域名體系及管理架構(gòu)ICANN（TheIntern16域名體系是通過最頂層的管理者逐級授權(quán)而不斷延伸生長出的一棵數(shù)據(jù)樹。作為這棵數(shù)的樹根，域名根系統(tǒng)理論上具最高的數(shù)據(jù)管理權(quán)。域名系統(tǒng)及域名根服務(wù)器的重要性域名體系是通過最頂層的管理者逐級授權(quán)而不斷延伸生長出的一棵數(shù)17根區(qū)數(shù)據(jù)管理（PTI/IANA)記錄頂級域服務(wù)器名稱及其IP地址的對應(yīng)關(guān)系，完成根區(qū)文件的修訂和編輯，是IANA的核心職能。根區(qū)文件需要寫入根區(qū)數(shù)據(jù)庫服務(wù)器并分發(fā)給所有的根服務(wù)器，根區(qū)數(shù)據(jù)庫不對外公開提供解析服務(wù)，相當(dāng)于被隱藏的主根（或稱母根）。根服務(wù)器根服務(wù)器依據(jù)根區(qū)文件提供頂級域信息提供解析服務(wù)，并可根據(jù)需要與各國各地區(qū)的本地托管機(jī)構(gòu)合作設(shè)立鏡像服務(wù)器。根服務(wù)器運行機(jī)構(gòu)負(fù)責(zé)管理各自的根服務(wù)器，相互之間獨立且地位平等，均以志愿者方式提供解析服務(wù)，與ICANN基于相互信任關(guān)系進(jìn)行合作，但與ICANN互不隸屬。ABCDEFGHIJKLM根區(qū)文件VeriSignDeNIC…各頂級域管理機(jī)構(gòu) 根區(qū)數(shù)據(jù)管理機(jī)構(gòu) 根服務(wù)器運行機(jī)構(gòu) 鏡像合作機(jī)構(gòu) 網(wǎng)絡(luò)運行商

CNNIC 域名根系統(tǒng)功能結(jié)構(gòu)劃分根區(qū)數(shù)據(jù)管理（PTI/IANA)ABCDEF18DNS：RFC1034

1035名字空間分級自治君上之君、非我之君臣下之臣、非我之臣DNS：RFC10341035名字空間分級自治19DNS：RFC1034

1035ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

Server查詢訪問依靠代理選擇、授權(quán)、代議DNS：RFC10341035ComputerISPRe20DNS設(shè)計初衷被扭曲ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

ServerBusinessRecursive

ResolverDNS設(shè)計初衷被扭曲ComputerStubResol21DNSSEC在權(quán)威域名樹領(lǐng)域的安全擴(kuò)展90年代后期，IETF成立了工作組專門研究DNSSEC安全擴(kuò)展協(xié)議（DNSSecurity

Extensions），利用經(jīng)典的加密算法和簽名機(jī)制，完善了原有DNS體系的不足之處，從而形成一整套的DNSSEC解決方案。DNSSEC賦予了根服務(wù)器一個新的角色，即，作為驗證證書簽名有效性的最高節(jié)點（通常被稱作信任錨），進(jìn)一步推升了根服務(wù)器作為全球互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施的重要性。全球的互聯(lián)網(wǎng)域名用戶，不僅依賴根系統(tǒng)完成域名解析，而且不得不依賴根系統(tǒng)對域名的完整性、真實性進(jìn)行驗證。在無法保證域名訪問路徑可控的情況下，通用應(yīng)用密碼學(xué)PKI體系來加強(qiáng)數(shù)據(jù)可控。DNSSEC在權(quán)威域名樹領(lǐng)域的安全擴(kuò)展90年代后期，IETF22DOH/DOT在最后一公里用戶側(cè)的安全擴(kuò)展DNSover

HTTPSDNSover

TLSDoH&

DoTDOH/DOT在最后一公里用戶側(cè)的安全擴(kuò)展DNSover23DNSSEC和DoH/DoT對本地DNS服務(wù)的機(jī)遇和挑戰(zhàn)DNSSEC引發(fā)的遞歸本地根方案RFC7706運營商擁有了合規(guī)合理的介入根管理的技術(shù)手段DoH/DoT對運營商域名服務(wù)的旁路沖擊已有商業(yè)域名服務(wù)瀏覽器甚至應(yīng)用APP都可以嵌入DoH/DoT功能DNSSEC和DoH/DoT對本地DNS服務(wù)的機(jī)遇和挑戰(zhàn)DN24CA證書WEB應(yīng)用的管理模式變化淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)CA證書WEB應(yīng)用的管理模式變化淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演25Web

PKI

信任模型及結(jié)構(gòu)性缺陷圖https連接的建立過程（正常）圖https連接的建立過程（中間人攻擊）WebPKI信任模型及結(jié)構(gòu)性缺陷圖https連接的建立過26CertificateTransparency信任模型對現(xiàn)有的SSL證書系統(tǒng)的補(bǔ)充，并非替代CT信任模型有三部分組成：Certificate

Log 證書日志Certificate

Monitor

證書監(jiān)控Certificate

Auditor 證書審計CertificateTransparency信任模型對現(xiàn)27CT應(yīng)用目標(biāo)CT并不能阻止CA簽發(fā)錯誤或虛假證書，但是它能讓人們清楚看到CA簽發(fā)所有證書，從而使檢測這些證書的過程變得相對容易CA難以錯發(fā)證書公開、實時性的監(jiān)督和審計，確定證書是否錯發(fā)用戶能夠識別惡意／錯誤證書CT應(yīng)用目標(biāo)CT并不能阻止CA簽發(fā)錯誤或虛假證書，但是它能讓28對CT及Web

PKI的發(fā)散思考CT機(jī)制出發(fā)點是通過引入審計，從而分散CA的權(quán)力瀏覽器等終端的支持行業(yè)CT聯(lián)盟（準(zhǔn)入機(jī)制？）安全密碼算法DoH

+

CT ？！如果未來DoH成為重要的DNS用戶側(cè)實現(xiàn)方式如果CT成為通用技術(shù)和安全模式域名問題疊加證書管理問題，證書成為基礎(chǔ)資源的基礎(chǔ)資源IETF協(xié)議工作的泛PKI化對CT及WebPKI的發(fā)散思考CT機(jī)制出發(fā)點是通過引入審計29謝謝謝謝30淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)31互聯(lián)網(wǎng)（TCP/IP網(wǎng)絡(luò)）的內(nèi)在矛盾冷戰(zhàn)催生的簡化的、無需鏈路控制的、缺乏安全和信用機(jī)制網(wǎng)絡(luò)，發(fā)展為支撐全球化的、跨邊界的、與社會經(jīng)濟(jì)活動緊密融合的復(fù)雜環(huán)境。簡化的、邊界明晰的、用戶互信的 >> 全球化的、無界的、緊密融合的互聯(lián)網(wǎng)（TCP/IP網(wǎng)絡(luò)）的內(nèi)在矛盾冷戰(zhàn)催生的簡化的、無需鏈32互聯(lián)網(wǎng)基礎(chǔ)資源的分配模式DNSIP地址CANTP和管理架構(gòu)樹 便狀 于結(jié) 自構(gòu) 頂?shù)?向業(yè) 下務(wù) 的體 管系 控互聯(lián)網(wǎng)基礎(chǔ)資源的分配模式DNSIP地址CANTP和管理33互聯(lián)網(wǎng)基礎(chǔ)資源的服務(wù)架構(gòu)用戶端第三方代理資源管理者互聯(lián)網(wǎng)基礎(chǔ)資源的服務(wù)架構(gòu)用戶端第三方代理資源管理者34互聯(lián)網(wǎng)基礎(chǔ)資源管理和服務(wù)的內(nèi)在矛盾終極目標(biāo)：用戶端、第三方代理、資源管理者三方的權(quán)力平衡資源管理者自頂向下的逐級分配和控制原則唯一、精確、完整、真實最后一公里的本地管轄和商業(yè)利益訴求安全可控服務(wù)水平SLA客戶價值用戶體驗和個性化需求例子：來電號碼助手資源管理者第三方服務(wù)者用戶互聯(lián)網(wǎng)基礎(chǔ)資源管理和服務(wù)的內(nèi)在矛盾終極目標(biāo)：用戶端、第三方代35IP地址管理及服務(wù)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)IP地址管理及服務(wù)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)36NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶IP地址-全球分配體系NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶37IP地址全球管理模式滯后70年代，IP地址最初只在美國科研機(jī)構(gòu)和大學(xué)內(nèi)分配80年代至90年代互聯(lián)網(wǎng)向歐洲和亞洲擴(kuò)展，在歐洲核子研究中心（CERN）網(wǎng)絡(luò)協(xié)調(diào)機(jī)構(gòu)的基礎(chǔ)上形成了以歐洲互聯(lián)網(wǎng)信息中心（RIPE

NCC），在亞洲互聯(lián)網(wǎng)先發(fā)國家日本和澳大利亞的網(wǎng)絡(luò)社群內(nèi)形成了亞太互聯(lián)網(wǎng)信息中心（APNIC），同時非洲、拉美以及北美本土的IP地址分配服務(wù)也在萌芽醞釀。美國政府在1998年強(qiáng)勢宣布其對IANA的管理權(quán)，在加強(qiáng)對域名根服務(wù)器系統(tǒng)的管控力度同時，對互聯(lián)網(wǎng)IP地址社群做出了妥協(xié)，非洲、拉美和北美社群加快成立各自的IP地址分配機(jī)構(gòu)（ARFINIC、LANIC、ARIN）。在IP地址分配業(yè)務(wù)上，五大洲地址分配機(jī)構(gòu)為注冊在各地區(qū)的獨立法人，并不隸屬于IANA。IANA僅對超大快IP地址進(jìn)行大洲級的分配，五大機(jī)構(gòu)對本地區(qū)內(nèi)的終端用戶進(jìn)行實際IP地址分配，享有很大的自主運營和政策權(quán)，且自發(fā)成立了地址協(xié)調(diào)聯(lián)盟機(jī)構(gòu)NRO，獨立于ICANN/IANA體系。IP地址全球管理模式滯后70年代，IP地址最初只在美國科研機(jī)38五大RIR的政策差異性RIPE

NCC雖名為歐洲互聯(lián)網(wǎng)信息中心，但是其業(yè)務(wù)政策已經(jīng)向全球開放，不限于歐洲，任何國家的終端用戶都可以RIPE

NCC申請IP地址，也可以攜帶地址轉(zhuǎn)移到APNIC等其他四家機(jī)構(gòu)。北美ARIN本質(zhì)上也是歐洲模式，允許自由分配和轉(zhuǎn)移，但在外圍設(shè)計包裝了更多政策門檻，屬于“半自由”。亞太APNIC和拉美LANIC只為本地區(qū)服務(wù)，不允許其它地區(qū)用戶申請，但允許用戶攜帶地址轉(zhuǎn)移。非洲AFRINIC既不允許其它地區(qū)用戶申請，也不允許用戶攜地址轉(zhuǎn)移出去，最為封閉。五大RIR的政策差異性RIPENCC雖名為歐洲互聯(lián)網(wǎng)信息中39政策差異性帶來的IP地址流動隨著全球IPv4地址的耗盡，各地區(qū)互聯(lián)網(wǎng)發(fā)展規(guī)模及網(wǎng)民數(shù)量的不平衡，引發(fā)了如下現(xiàn)狀：大量新興互聯(lián)網(wǎng)國家（典型如中國）公司機(jī)構(gòu)采用各種辦法向其他大洲IP地址管理機(jī)構(gòu)申請，最常見的方式是在各洲當(dāng)?shù)貒易砸慌庸净驓す荆驯镜毓镜拿x申請、向原IP地址持有者發(fā)起溢價購買，待買入IP地址后，再轉(zhuǎn)移回母公司所在地區(qū)，或者根本不轉(zhuǎn)移直接在全球進(jìn)行路由廣播。我國對IP地址的管理較為嚴(yán)格，IP地址非備案不得用來廣播和使用，備案系統(tǒng)需要應(yīng)對這種趨勢（除了傳統(tǒng)的APNIC會員地址、CNNIC會員地址、工信部地址聯(lián)盟會員地址外的碎片化國際來源IP地址）。IP地址的全球流動和碎片化也進(jìn)一步擴(kuò)大了IP地址使用(運營商路由)過程中的安全威脅，引出了RPKI和BGPSEC技術(shù)。政策差異性帶來的IP地址流動隨著全球IPv4地址的耗盡，各地40IP地址認(rèn)證的缺失導(dǎo)致BGP路由安全問題IP地址認(rèn)證的缺失導(dǎo)致BGP路由安全問題41IP地址安全新技術(shù)：RPKI及BGPSEC五大機(jī)構(gòu)無法阻止資本流動帶來的IP地址使用權(quán)流動和應(yīng)用流動，采用新型安全認(rèn)證技術(shù)手段RPKI來確保IP地址的所有者和使用者一致；而新型安全認(rèn)證技術(shù)有可能進(jìn)一步加大五大機(jī)構(gòu)的獨立性，沖擊到IANA作為最高分配者和協(xié)調(diào)者的地位。IP地址安全新技術(shù)：RPKI及BGPSEC五大機(jī)構(gòu)無法阻止資42RPKI體系結(jié)構(gòu)RPKI體系結(jié)構(gòu)43RPKI的風(fēng)險和機(jī)遇RPKI引發(fā)了RIR和IANA的矛盾，未來互聯(lián)網(wǎng)治理的新熱點RPKI引入了“IP地址根”概念，RIR從IP地址分配機(jī)構(gòu)變成了IP地址認(rèn)證機(jī)構(gòu)RPKI把IP地址路由技術(shù)風(fēng)險轉(zhuǎn)移成為RIR的管理風(fēng)險RPKI要求ISP運營商的域間路由器進(jìn)行升級，并搭建單獨的認(rèn)證系統(tǒng)我國科研工作者貢獻(xiàn)提出支持本地認(rèn)證的RPSTIR方案和原型系統(tǒng)ICANN與NRO之間，各國本地RPSTIR與NRO

RPKI服務(wù)器之間的關(guān)系有待厘清RPKI的風(fēng)險和機(jī)遇RPKI引發(fā)了RIR和IANA的矛盾，未44淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)域名系統(tǒng)及根服務(wù)器體系淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)域名系統(tǒng)及根服務(wù)器體系45全球互聯(lián)網(wǎng)域名體系及管理架構(gòu)ICANN（The

Internet

CorporationforAssigned

Names

and

Numbers

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）負(fù)責(zé)IP地址的分配、頂級域名（TLD）的管理、以及根服務(wù)器管理。國家和地區(qū)頂級域，屬于主權(quán)范圍，政府授權(quán)，自行管理通用頂級域，由ICANN批準(zhǔn)，并與注冊管理機(jī)構(gòu)簽署協(xié)議授權(quán)其運營和管理新通用頂級域，ICANN適時全面開放多語種頂級域，并采取政策、技術(shù)、市場等多手段全面控制?！?”ccTLDgTLD.CN.DE .UK….COM.NET.ORG…英文IDN.中國.香港…(254個)NewgTLD英文IDN.？.公司 .網(wǎng)絡(luò) .政務(wù) .公益 ….？全球互聯(lián)網(wǎng)域名體系及管理架構(gòu)ICANN（TheIntern46域名體系是通過最頂層的管理者逐級授權(quán)而不斷延伸生長出的一棵數(shù)據(jù)樹。作為這棵數(shù)的樹根，域名根系統(tǒng)理論上具最高的數(shù)據(jù)管理權(quán)。域名系統(tǒng)及域名根服務(wù)器的重要性域名體系是通過最頂層的管理者逐級授權(quán)而不斷延伸生長出的一棵數(shù)47根區(qū)數(shù)據(jù)管理（PTI/IANA)記錄頂級域服務(wù)器名稱及其IP地址的對應(yīng)關(guān)系，完成根區(qū)文件的修訂和編輯，是IANA的核心職能。根區(qū)文件需要寫入根區(qū)數(shù)據(jù)庫服務(wù)器并分發(fā)給所有的根服務(wù)器，根區(qū)數(shù)據(jù)庫不對外公開提供解析服務(wù)，相當(dāng)于被隱藏的主根（或稱母根）。根服務(wù)器根服務(wù)器依據(jù)根區(qū)文件提供頂級域信息提供解析服務(wù)，并可根據(jù)需要與各國各地區(qū)的本地托管機(jī)構(gòu)合作設(shè)立鏡像服務(wù)器。根服務(wù)器運行機(jī)構(gòu)負(fù)責(zé)管理各自的根服務(wù)器，相互之間獨立且地位平等，均以志愿者方式提供解析服務(wù)，與ICANN基于相互信任關(guān)系進(jìn)行合作，但與ICANN互不隸屬。ABCDEFGHIJKLM根區(qū)文件VeriSignDeNIC…各頂級域管理機(jī)構(gòu) 根區(qū)數(shù)據(jù)管理機(jī)構(gòu) 根服務(wù)器運行機(jī)構(gòu) 鏡像合作機(jī)構(gòu) 網(wǎng)絡(luò)運行商

CNNIC 域名根系統(tǒng)功能結(jié)構(gòu)劃分根區(qū)數(shù)據(jù)管理（PTI/IANA)ABCDEF48DNS：RFC1034

1035名字空間分級自治君上之君、非我之君臣下之臣、非我之臣DNS：RFC10341035名字空間分級自治49DNS：RFC1034

1035ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

Server查詢訪問依靠代理選擇、授權(quán)、代議DNS：RFC10341035ComputerISPRe50DNS設(shè)計初衷被扭曲ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

ServerBusinessRecursive

ResolverDNS設(shè)計初衷被扭曲ComputerStubResol51DNSSEC在權(quán)威域名樹領(lǐng)域的安全擴(kuò)展90年代后期，IETF成立了工作組專門研究DNSSEC安全擴(kuò)展協(xié)議（DNSSecurity

Extensions），利用經(jīng)典的加密算法和簽名機(jī)制，完善了原有DNS體系的不足之處，從而形成一整套的DNSSEC解決方案。DNSSEC賦予了根服務(wù)器一個新的角色，即，作為驗證證書簽名有效性的最高節(jié)點（通常被稱作信任錨），進(jìn)一步推升了根服務(wù)器作為全球互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施的重要性。全球的互聯(lián)網(wǎng)域名用戶，不僅依賴根系統(tǒng)完成域名解析，