從“國家網絡主權”談基于國家聯盟的自治根域名解析體係

2014-11-27 13:26:03

 

方濱興 中國工程院院士

 

 上世紀八十年代初,美國在美軍網絡ARPANET基礎上啟動建設了基于TCP/IP協議的因特網(INTERNET),隨後作為奉獻給世界的禮物向國際社會開放。隨著因特網的高度開放,世界各國紛紛投入巨大的人力、物力、財力,將因特網位于本國的部分建設成國家信息技術基礎設施,這一舉措使得因特網成為了真正的國際互聯網。國際互聯網在世界各國的推動下以空前的速度發展壯大,成為國家資訊通訊的重要技術平臺,是國家經濟、社會活動所依賴的重要支柱。因此,世界各國對本國互聯網的管理主權提出了明確的訴求。

 

  2013年6月24日,第6次聯合國大會發布了A/68/98文件,通過了聯合國“從國際安全的角度來看資訊和電信領域發展政府專家組”所形成的決議。決議第20條內容是:“國家主權和源自主權的國際規范和原則適用于國家進行的資訊通訊技術活動,以及國家在其領土內對資訊通訊技術基礎設施的管轄權。”本條款的本質就是承認國家的“網絡主權”。

 

  一、關于國家“網絡主權”

 

  從法理的角度來看,作為主權,需要確保其4個基本權利:即平等權、獨立權、自衛權與管轄權。作為全球互聯互通的互聯網而言,自衛權與管轄權目前是明確的。就自衛權而言,美國等國家建立了網絡戰部隊,其目的當然是要保護本國的網絡主權不受侵犯,保護本國的網絡基礎設施與運作在互聯網上的資訊係統不受打擊;就管轄權而言,各國都對本國的網絡行為依據本國國情制定了相關的法律與法規,他國對本國的互聯網治理行為不容干涉已成為共識。

 

  就平等權而言,目前的國際互聯網域名分配與管理格局對各國來説並不平等,實際上是各國與“國際互聯網域名與IP地址分配機構(ICANN)”簽約所形成,是一種“出租方”與“承租方”的關係;而ICANN是1998年10月在美國加州成立的非營利機構,受美國商務部的管理。從這個意義上講,依據“ICANN | ccTLD Sponsorship Agreement(.cn ccTLD)”協議,由中國負責“.cn”這個頂級域名的管理,相當于中國與美國簽訂國家級頂級域名解析分配協議,其實兩者之間並不具有平等關係。

 

  目前,美國政府宣布2015年9月份可以視情況將ICANN交給一個國際組織管理。如果這一承諾確實兌現,在最理想的情況下,可以視為各國把部分管理權力讓渡給這個ICANN機構的國際組織,從而保證各國在互聯網域名分配方面的平等性。

 

  就獨立權而言,除了美國之外,各國實際上並不具備對本國互聯網獨立運作的能力,這是因為國際互聯網的域名解析體係採取的是中心式分層管理模式,使得各國互聯網的運作從域名解析的角度高度依賴于位于美國的原根域名解析伺服器。所謂中心式,是指所有的域名解析過程都是從根域名開始自頂向下,從而根域名解析伺服器成為整個國際互聯網的控制點,任何在互聯網上的訪問行為通常都脫離不了根域名解析伺服器的授權;所謂分層,是在頂級域名(如 .cn,.kr,.com,.info)體係之下,還可以形成二級、三級直至多級域名定義體係,使得各國可以管理本國的低層域名解析行為,但這些都依賴于其頂級域名的合理存在。

 

  二、關于中心式域名解析體係對國家互聯網的威脅

 

  就具體的域名解析過程來説,在網絡當中設置了大量的遞歸解析伺服器用于直接受理網絡用戶的域名解析請求,通過負載均衡提高解析效率。但這些遞歸解析伺服器主要是依靠保存來自權威域名解析伺服器的解析結果來提供給請求解析的用戶,僅僅是承擔著負載均衡與暫存的作用。對于在暫存中沒有記錄的、或記錄過期的域名解析請求,遞歸伺服器還需要從國際根域名解析伺服器開始逐層請求解析,從而形成了國際互聯網被集中控制的客觀效果。就是説,國際根域名伺服器決定了各級域名的存在性及逐層解析能力。原理上,根域名解析伺服器還可以對請求解析的源IP地址作限制,例如拒絕響應來自某個國家內IP地址的域名解析請求。

 

  由于域名解析中心式管理模式的存在,使得各國互聯網不具備只憑借自身也能夠獨立運作的能力。在這種體係架構下,域名解析存在著兩種風險。一種是本國域名被封殺的風險,即只要在原根域名解析伺服器中刪除該國的頂級域名注冊記錄,即可讓世界各國都無法訪問這個國家域名下的網站,在這種情況下,該域名的多層解析體係也會跟著土崩瓦解。就是説,如果美國決定拋棄哪個國家的互聯網,只要簡單修改原根域名解析數據,被拋棄的國家基本上無還手之力。據報道,伊拉克、利比亞的頂級域名曾經先後被從原根域名解析伺服器中抹掉了數天。這是一種“一國互聯網體係被從國際互聯網社會抹掉的風險”,我們姑且稱之為“利比亞式風險”。

 

  另一種情況是無法接入國際互聯網風險,即只要原根域名解析伺服器及其所有從伺服器、鏡像伺服器拒絕為一個國家的所有遞歸解析伺服器的IP地址提供根域名解析服務,依賴這個國家遞歸解析伺服器的網絡用戶就會因無法獲得域名解析服務而無法上網。傳言歷史上索馬利曾遭遇過這種封殺。這是一種“一國網絡用戶被限制到互聯網陳情問的風險”,我們姑且稱之為“索馬利式風險”。

 

  當然,還有一種可能出現斷網的極端情況,就是切斷一個國家的互聯網通往國際社會的所有網絡通道。在這種情況下,依賴國際根域名解析體係的互聯網在這個國家內部也同樣無法運轉。當然,封殺一個國家的互聯網,需要所有直接連向這個國家互聯網的那些國家的配合才能完成,這就如同美國的全球導彈防禦係統一樣,需要組織其他國家才能包圍一個國家。這是一種“一國互聯網被切斷成為孤島的風險”,我們姑且稱之為“八國聯軍式風險”。

 

  三、維護網絡獨立權的應對之策

 

  從技術上説,頂級域名分為兩個部分,一是gTLD,涉及的是通用頂級域名,例如.info、.pro、.com等;二是ccTLD,涉及的是國家地區頂級域名,如.cn、.jp、.kr等。人們既可以申請通用域名,也可以申請國家地區域名,差別在于誰來保護用戶的利益。申請通用域名的人需要依賴企業來保護自己的利益,如VeriSign公司負責維護.com頂級域名的解析;而申請國別域名的人則可以依靠政府來保護。

  

  可以將通用頂級域名當作非政府組織范疇,而國家地區代碼域名則作為網絡獨立權的涉獵范疇。當然,一旦美國也認可網絡獨立權的時候,他們自然會把通用頂級域名列入到美國的網絡獨立權體係之內。

 

  如上所述,我們需要應對的是三種風險:一是防范本國頂級域名被從原根域名伺服器中抹掉的“利比亞式風險”,這就需要打破中心制根域名解析體係,採取去中心化的根域名解析體係的手段,以達到不受原根域名解析伺服器唯一控制的目的。二是防范本國遞歸域名解析伺服器群被根域名解析伺服器群拒絕解析而無法訪問國際互聯網的“索馬利式風險”,這就需要借助其他方式迂回訪問根域名解析伺服器,以達到獲得根域名解析伺服器解析資訊的目的。三是防范本國被徹底從國際互聯網中孤立的“八國聯軍式風險”,這就需要構建本國自身的域名解析體係,在本國內形成域名解析服務的自治解析體係。

 

  針對上述三個風險,相比而言,第一種風險最容易實施,因為只要簡單從原根域名解析伺服器中抹掉指定國家的頂級域名注冊記錄即可。因此,應對“利比亞式風險”最為迫切。但是,構建去中心化的域名解析體係盡管技術上並不復雜,可是其涉及面很廣,最需周密設計。

 

  第二種風險實施起來並不容易。目前盡管只有一個原根及12個從根,但還有百余個鏡像根,不像過去那樣容易操縱所有根域名解析伺服器來拒絕對某一國家的遞歸解析伺服器所提出的解析請求。而且,網民自身也可以輕易地應對這種風險,因為網民只要選擇境外未被封殺的遞歸解析伺服器即可化解這一危機,例如選擇8.8.8.8。當然,通過鏡像獲取原根域名解析伺服器解析資訊的方法,也是一種做法,但顯然不如直接公告選擇境外未被封殺的伺服器來得更為簡單,更為有效。

 

  第三種風險應該説很難出現。只要一國在對外網絡通路直連方面選擇多國通道,尤其是選擇友好國家的通路,就很難被他國所組織封殺。當然,做好應對這種封殺的方法也是十分重要的,這就是建立本國自治根域名解析體係,讓國內各遞歸域名解析伺服器直接指向本國的根域名解析伺服器。而本國的根域名解析伺服器的資訊來源只能是歷史資訊,但國內資訊必須是實時備份暫存。這是考慮到國內大量伺服器採用通用頂級域名,因此需要通過暫存的方式來保存對位于境內的權威域名伺服器的注冊記錄。當然,要求國內伺服器同時注冊境內、境外兩個域名是根本的解決問題之道。

 

  四、建立基于國家頂級域名聯盟的自治根域名解析體係

 

  解決“利比亞式風險”的核心要點是域名解析體係的去中心化。但是,根據Zooko的三角猜想,採取去中心化域名解析體係要麼會像QQ空間那樣導致域名的全局性衝突,要麼就需要像比特幣那樣必須放棄自行選擇域名命名的權利。顯然這兩種方式都不是在現行體制下可以被接受的。因此,我們必須接受ICANN組織作為中心的客觀存在,但是,ICANN的中心化只是表現在名字分配之上,以確保不會出現名字衝突。

 

  在域名解析過程中,可以採用類似自治域間路由對等擴散的思路,構造一個“域名對等擴散”的方法,讓各個頂級域名所有者不僅僅是向原根報告其解析伺服器的地址資訊,還向其他國家級根域名掌控者報告其頂級域名伺服器的地址資訊。同時,對各國家級根域名解析係統來説,直接交換過來的頂級域名解析伺服器的地址資訊顯然比通過原根所轉告的資訊要更為可信。由此,那些對外發布自身頂級域名解析伺服器地址資訊的國家就不再會被國際根域名伺服器所封殺。

 

  首先,國家建設自治根域名解析係統,接收來自本國遞歸域名伺服器的解析請求。國家自治根域名解析係統的數據庫資訊來自三個渠道:一是來自本國頂級域名的注冊資訊;二是來自其他國家的頂級域名交換資訊;在上述資訊不具備的情況下(例如通用頂級域名),採用來自國家原根域名解析數據庫的資訊,相當于對原根解析資訊的鏡像或者暫存。

 

  其次,需要建設四個數據庫,其中,主數據庫是用于提供解析服務的“國家級根域名解析數據庫”;再就是接受本國頂級域名注冊資訊的“本地注冊數據庫”、保存來自國際根域名解析伺服器的“國際根域名鏡像資訊庫”、保存接收自各國家級頂級域名解析伺服器所對等擴散地址資訊的“本地交換解析資訊庫”。

 

  第三,構建國家級頂級域名聯盟,吸收願意構建本國自治根域名體係的國家甚至企業(如VeriSign)加入。聯盟內的成員之間協商頂級域名解析伺服器地址資訊的交換協議,並以全互聯的方式相互通過可信通道交換相應的資訊。在這種情況下,ICANN可以看做聯盟內的超級成員,因為各個頂級域名解析伺服器仍然向ICANN提交自身的解析伺服器地址資訊,同時各國的根域名解析伺服器也從ICANN的根域名伺服器中獲取包括通用頂級域名在內的解析伺服器地址資訊。同時,ICANN還承擔域名分配管理工作。

 

  聯盟內可以設立超級盟友。超級盟友之間不僅相互交換本國的頂級域名解析伺服器地址資訊,還可以相互之間代為提供解析請求,以便在超級盟友被國際根域名解析伺服器拒絕提供服務時代為提供解析服務。

 

  在這種情況下,可以把兩種極端情況看成兩個極端特例:一個極端特例是聯盟內只有本國與ICANN存在,只有本國可以向國際根域名解析伺服器注冊本國頂級域名資訊,並從國際根域名解析伺服器獲取解析資訊。此時,本國根域名解析伺服器數據庫中只有兩類數據,一類是本國注冊的頂級域名解析伺服器地址資訊,一類是來自于國際根域名解析伺服器所提供的資訊。在這種情況下,國家級自治根域名解析體係至少能夠實現對基于本國頂級域名體係的自行解析。也就是説,有了這種運作模式,在出現“八國聯軍式風險”時本國互聯網仍然可以運轉。如果國家級根域名解析伺服器數據庫保存有國際根域名解析伺服器的全部資訊鏡像,同時也能夠應對“索馬利式風險”。

  

  另一種極端特例是各國都加入了聯盟,在這種情況下,只有.net、.mobi 、.pro 這類gTLD域名還由國際頂級域名解析伺服器來解析,但.in、.kr、.de等ccTLD 國別域名是靠交換而來。甚至不排除一些通用頂級域名也像非政府組織一樣,主動要求參與到交換體係中,例如負責維護.com的VeriSign公司也願意以交換的形式與各國進行域名地址擴散。在這種情況下,聯盟成員所屬的頂級域名就能夠防范“利比亞式風險”。

 

  由此,在兩個極端情況之間,只要聯盟內有成員存在,整個體係就自然可以運作起來,不僅聯盟成員國可以防范住“八國聯軍式風險”,借助超級盟友,成員國還能防范住“索馬利式風險”;在出現“利比亞式風險”時,聯盟內成員仍然能夠訪問被國際根伺服器抹除的成員國。所以,“國家級頂級域名聯盟”方案能夠同時應對三種域名解析的風險。

 

  在這種方案中,聯盟成員國只需要各自建設一個根域名解析伺服器,在該伺服器中建設一組數據庫,包括“國家級根域名解析數據庫”、“本地注冊數據庫”、“國際根域名鏡像資訊庫”、“本地交換解析資訊庫”,建設聯盟成員根域名解析伺服器之間的可信交換通道。再就是各遞歸域名解析伺服器需要指向國家級根域名解析伺服器,而不是指向國際根。顯然,這種方案的改動是非常小的。

 

  “國家級頂級域名聯盟”方案可以與現存方案共存。就是説,本國內的所有遞歸域名解析伺服器可以分成兩類,一類仍然採用原來的方法直接指向國際根域名解析伺服器,稱之為“原遞歸伺服器”;另一類則直接指向本國根域名解析伺服器,稱之為“新遞歸伺服器”。由此,使用“原遞歸伺服器”的用戶實際上就是採用原有的域名解析體係;使用“新遞歸伺服器”的用戶實際上就是採用“國家級頂級域名聯盟”的域名解析體係。在推廣過程中,“新遞歸伺服器”可以逐漸擴充,開始時只是參與測試的用戶選用這種模式,隨著這種模式的成熟,“新遞歸伺服器”不斷擴充,不斷鼓勵網民選用“新遞歸伺服器”作為域名解析的配置。當然,更為有效的模式是用戶在首選DNS與輔助DNS的配置中,分別選擇“原遞歸伺服器”和“新遞歸伺服器”,以便提高解析的可靠性。

 

  五、與“應急根域名解析”模式的比較

 

  目前,人們對“索馬利式風險”與“八國聯軍式風險”關注的比較多,因此提出了“應急根域名解析”模式。這種模式是指採取對根域名伺服器解析數據庫進行日常備份,在出現所有三種風險時,將國際根域名伺服器的地址重定向到特定的應急替代伺服器中,由該伺服器進行解析,以確保本國的互聯網能夠正常運轉。

 

  比較“應急根域名解析”模式與“國家級頂級域名聯盟”模式之間的差異,顯然後者佔有明顯的優勢。一是“應急”模式是應急態,平時不能啟用,因缺乏平時的運作考驗,很難保證在需要的時候能夠有效使用,尤其是根域名解析係統是否能承受大負荷缺乏實驗檢驗;而“聯盟”模式作為常態運作,平時就可以同步使用,根域名解析伺服器的負載能力可以在日常運作的監控中不斷擴充,可以使得運作過程得到長期有效的考驗。二是“應急”模式所採取的技術過于復雜,地址重定向的可靠性缺少百分之百的把握;而“聯盟”模式改動僅是遞歸伺服器指向本國根域名解析伺服器,沒有技術門檻,屬于常規的域名解析手段,不存在技術障礙。三是“應急”模式缺少必要的鋪墊,用戶缺少感知、配合與磨合的機會,很難保證有效;而“聯盟”模式因為屬于與傳統的域名解析係統長期同時並行使用,從而可以逐漸被用戶所接受,所以不存在任何使用過程中的障礙。四是“應急”模式由于需要構建龐大的重定向體係,投資巨大;而“聯盟”模式只需要建設根域名解析伺服器、四個數據庫及安全可信的交換通道,且在建設之初國家根域名解析伺服器的解析量極小,所以估計投資只是“應急”模式的一個零頭。五是“應急”模式採取的是守勢,如同頸帶鐵環“引頸就戮”,靜等屠刀出鞘;“聯盟”模式採取的是攻勢,就是告訴世人,如果再有國家被根域名解析伺服器抹去其頂級域名資訊,那所有感到威脅的國家就會加入聯盟,不再參與以根域名解析伺服器為中心的域名解析體係,從而不再讓根域名伺服器掣肘聯盟成員國互聯網的運作。這種做法的更為重要的意義在于是支援“網絡主權”的理念,確保網絡獨立權。

 

  六、結論

 

  “聯盟”模式的常態使用可以首先建立起國家根域名解析體係,一方面同友好國家交換根域名資訊以建立“本地交換解析數據庫”,一方面通過復制的方法獲得“國際域名解析數據庫”的資訊;同時,先選擇少量遞歸伺服器指向國家根域名解析伺服器進行試點,在試點成功後可以讓更多的遞歸伺服器指向國家根伺服器。而網民可以自主選擇遞歸解析伺服器,選擇“原遞歸伺服器”就屬于傳統的解析模式;選擇“新遞歸伺服器”就屬于“聯盟”的解析模式。由此,選擇權交給網民,網民也就可以不為此爭論孰是孰非,隨意選擇使用哪種模式,既可以平滑過渡,也可以在出現三種風險之一的情況下,選擇“自主”解析模式來應對風險。