中国互联网信息中心主任毛伟
4月15日消息,中国互联网信息中心主任毛伟今天表示,CN域名已经成为了我国主要的域名,以CN为主的网站已经达到130万家,占我国网站总数的70%,目前重要的网站也是选用CN域名作为主域名。
毛伟还介绍,从域名的节点来看,我国每天域名解析的数量超过了13亿次,峰值达到了23亿次,而前5年域名的解析量大概只有13亿次的规模,所以互联网在中国发展非常快。
谈到域名安全的问题,毛伟表示,国家顶级域名对一个国家来说是很重要的,联合国信息社会小组认为,一个国家对本国国家顶级域名的管理决策不受他国干涉,一个国家针对本国域名的相关决策体现出的合理利益应得到尊重、维护及明确。
此外,中国、德国、英国、美国、韩国、日本、新加坡七个国家互联网络信息中心负责人2007年在北京签署《北京宣言》,联合发表声明,共同合作应对信息社会的挑战与机遇,分享互联网建设与管理经验。而《北京宣言》中重要的一条就是认为域名系统构成了国家互联网的核心设施。(田英雷)
以下为中国互联网信息中心主任毛伟做主题为“构建下一代互联网可信域名服务系统”的演讲:
主持人:下午的会议更加精彩,温家宝总理今年在两会当中第一次提了三网融合。“网络融合”像我们今天的题目,IPv6互联网和移动互联网这样的题目,对于我国未来的信息产业领域的发展,具有非常重要的意义。刚才我们讲到温家宝总理在今年的两会期间政府工作报告首次提到了这样的问题,所以我认为咱们今天的会议,具有非常重要的意义。
今天,由于上午的时间耽误了一点,下午的会议从现在开始。希望我们的嘉宾讲话尽量简练一些。
首先,今天下午有请发言嘉宾是中国互联网信息中心主任毛伟先生,他演讲的题目是“构建下一代互联网可信域名服务系统”,有请毛主任。
毛伟:各位嘉宾,大家下午好。
下面,我来开始我的演讲,我的题目是“构建下一代互联网可信域名服务系统”。大概会讲这几个方面的内容,首先会介绍一下域名的重要性。然后,会把我们当前可信服务域名的情况给大家说一下。第三会讲讲当前我们国家服务域名服务体系面临的困难和挑战是什么?最后,第四个部分是我们如何构建下一代可信域名服务系统的想法给大家讲讲。
域名服务是支撑了互联网的运行,互联网上各种各样的应用都是以域名为基础的。它相当于是互联网的基础设施,相当于互联网的纯净系统。据调查,全球大概有1100万DNS的服务器,组成了我们树状的域名的系统,每天在完成上千亿次的DNS的查询,这个量是非常惊人的。我记得在以前美国的统计,当时的交换量是当时电话的三倍以上。同时,域名服务系统也是成功的分布式的查询系统,非常健壮、高效。所以新的应用涉及到查询的时候,他们也喜欢把域名技术作为他们查询的支撑。比如说互联网大家用了RFID的查询,或者是另外的一些查询都是以域名作为基础来做的。
前不久工信部的奚国华副部长做了比喻,所以,安全转换是非常重要的。
一个国家对本国国家顶级域名也是很重要的,联合国信息社会说一个国家对本国国家顶级域名的管理决策不受他国干涉。一个国家针对本国ccTLD的相关决策来体现的合理利益,应得到尊重、维护及明确。大家有共识,《北京宣言》,认为域名系统构成了国家互联网的核心设施,而核心设施又成了域名的重要地位。所以,我们这样定义的原因就来源于此。
ccTLD发展的情况简单地讲讲,目前我国在高速增长,成为了最大的国家顶级域,仅次于com成为全球第二大顶级域。我想互联网的应用水平会进一步的提升。
从现在来看,CN域名已经成为了我国主要的域名,以CN为主的网站已经超过了70%,重要的网站也是选用CN域名作为他们的主域名。这是域名的数字,从域名的节点来看,每天访问的数量超过了13亿次,峰值达到了23亿次。前5年我们域名的解析量大概只有13亿次的规模,所以这在中国发展很快。
服务质量我们有承诺,现在从注册、Whois、查询这样的质量都达到了99%以上,解析服务是达到了100%的可靠性。这些指标已经达到了全球一流的水平。
在这里面,我们2004年也设置了IPv6的节点,目前IPv6的查询也比较大,达到了咨询采用量10%,这也反应了互联网当中对IPv6访问的潜在的需求。这是一些运行的情况。但是也会有问题,问题也比较多,下面可以介绍一下。
从一个域名的查询来看是分级进行的,我这边大致分成了四级,一个是CN的顶级服务器,第三是权威服务器,第四是递归服务器。我们也在中国设置了镜像。根系统是我们自己来做,权威服务器是由企业自己来做,或者是他委托域名注册服务商帮他来进行代维维护,另外电信运营商会提供域名的解析服务。这些服务大家在使用互联网的时候你感觉不到,你查询了网页用户是没有感受的,他只感觉到这个出来了,就表示这个解析成功了。
可以看到,我们域名的软件是来自于国外软件,没有系统保障。还有是域名的系统运行,从国家来看没有相应的规范或者是行业标准,这样的风险应该是比较高的。我们前不久做了一个网上的调查,发现69家重要的一些机构,他们的域名的服务器的运行情况,安全风险很高,全国大概有4万多个服务器在进行运行,这里面有大部分的问题有安全的问题。
在顶级服务器对CN来讲,我们曾经在2003年2月22日的时候,曾经受到了一个攻击,使我们的系统发生了故障,使得人民网、新浪
网这样的网站都不能访问。国际上很多,说一点我们附近的情况,像香港的域名在2004年出现问题之后,包括汇丰银行这样的网站都访问不到了,像韩国这样的域名都出现了问题。域名服务器安全事件还是有。
权威服务器是在域名注册商那里运行,有一些域名注册商管理的数量甚至超过了百万,管理的网站数也是数以十万计,他们出了问题也会影响到正常网站的访问。这样的问题大概在2006、2007、2008都出现了问题。
在递归服务器这一块主要是在电信运行商层面上,我们看到比如说在网通、电信的递归服务器出现了问题,都造成了大面积互联网的访问都出现了问题。而且国家计算机应急中心也公布过一些相应的公告,对这样的问题提出了相应的警告。
我说了这三个层面上刚才举了例子,顶级、递归、权威服务器都有问题,根服务器有没有问题?我曾经记得在2000年左右的时候,全球13个根有人对他集中进行攻击,最后造成引起拥塞,网络访问不到。后面出现了对根服务器进行镜像,这样的话根服务器的问题才进行了一定程度的解决。所以安全事件是时有发生的。
同时,域名系统面临了技术挑战,比如说域名解析系统的漏洞,我们可以对DNS的缓存注入一些虚假的记录。数据包进行拦截,或者是数据包进行拦截,这样的话是访问一个网站,如果去一个假的工商网站,这样的话会造成你经济上的一些损失。另外还有一点像注册系统的攻击,域名信息的修改,要通过注册商的注册系统,注册商的系统一旦修改了之后,运营商会采取劫持的情况。我曾经记得国内的一家著名网站,注册的是.com的域名,当时被修改了之后被指到了黑客的网站是黄色的网站。这样的话造成我们的著名网站大概有2天的时间不能正常访问。这是域名系统自身的一些问题。
最近的ICANN也在全球协调,域名发生的攻击。因为域名在缓存的时间和TTL的有效期是几天的时间。这个域名的时间非常短,是因为IP地址在不断地变换,通过拦截截至了网络,我们对这样的恶性域名进行了将近2千个的解析。
另外,在下一代互联网过渡的时候,我们对域名也有一些要求,比如说地址空间增加了之后,我们要求有更加的安全可靠。还有IPv4、IPv6过渡的时候,我们希望有安全的支持,包括解析上有新的要求,会有一些新的需求。
这样的话,我们想域名系统是下一代互联网上最重要的技术设施,在新的形势下要应对挑战。在规模、安全性等一些新的应用上,这些方面要对域名系统提出更高的要求。所以,我们需要尽快建设下一代互联网可信的域名服务器的系统。最近,发改委启动了新的CN域名的系统,我们也承担了建设下一代互联网可信域名系统的项目,我把下面的情况也给大家介绍一下。总体来讲可能有一些要求海量、快速等等。我会介绍两个点,跟各位今后的部署实施和网上有一定的关系,因为整个系统的建设涉及面比较宽,我不做一一的介绍。
刚才我也说过,整个域名的解析系统的话是分级进行的,我写了四个层级。刚才介绍了顶级域名的情况。要想整个域名的安全性不是一个层面解决就可以了,而且是需要几个层面都需要去努力解决才可以建立起这么一套安全的运维服务体系。所以,我们希望在权威服务器,主要是在服务机构这边和重要的企业这边自己维护的域名。还有递归服务器主要是电信运营商这边希望他们来升级。
所以,我们把系统设计完成之后,会主动地部署在一些要害部门,我们有需求地提出来,把一些重要的域名系统。我们部署的下一代互联网可信的域名服务系统,把这些点可以部署到需求的这些方。
另外,我们可以实现国内域名解析体系的DNSSEC的系统,在网上的时候我们的域名可能会被修改。本来我查工商的网站,能指出来到哪个IP去。但是在网络传输的时候被人攻击,被人改了,想去真正的工商网站,但是被改了,这是数据传输的验证。另外是数据否定存在的验证,这就需要部署DNSSEC来解决。
部署整个的DNSSEC之后,我们开销是很大的,区域文件会有很大的膨胀。在现有的设备可能也不支持DNSSEC协议的扩展,当时我们可能做的UDP,有一些网关会对这个有限制。查询的时候,除了做域名之外,还要进行验证,这样的话查询的流量、开销非常大。还有相应的软件支持,技术怎么做,这都是挑战,这需要各个方面一起来做。因为查询的时候是从本地的服务器一级一级来查,认证也是一级一级认证,也需要从根到本地的服务器四个层级一起配合,甚至包括了客户端的配置支持,才可以支持整个DNSSEC的服务链,才能实现DNSSEC的查询。比如说根这一块,大家要信任,要配置到本地的DNSSEC服务器里面去。这块完了之后,我要把功要上到上一级的权威服务器里面存起来,这形成了整个的供应链。这件事情涉及到方方面面,我们部署的时候专门要做技术培训,也邀请大家的一些公司里面,或者是自己的技术人员来参加我们的技术培训,来更好的顺利部署这件事情。所以,我今天讲可信域名服务系统要工作的事情主要是这两条。
另外我们也有很多的工作,比如说刚才说到我们希望研究和改进针对其他名字空间的可信域名系统和可信的解决方案,可能需要对地址的标识和位置的信息进行分离。或者是对移动IP,或者是Multi-homing的支持,这对我们的域名进行改动,因为域名是最成功的分布式的常用式的,经过了验证,对下一代互联网的发展可能提供了支持。同时,我们针对其他国家的标准去修订。很重要的一点是我们要运行管理和安全服务相关的技术标准和规范,这样的规范要发布出来,刚才我提到但村就中国来讲就有4万多台套的域名服务其的系统,掌握在各式各样的机构里面,必然会带来很多的安全隐患,这也是我们做的重要事情。
总结,域名系统好比互联网的信令系统,是互联网的基础设施。互联网应用和安全现状,对域名系统提出挑战。下一代互联网协议和应用,对域名系统提出新的需求。作为互联网的基础设施,建设面向下一代互联网的安全可信的域名服务系统对于我国下一代互联网建设、运营和发展是十分必要的,而且是急需的。
中国互联网网络信息中心作为国家域名注册管理机构,基于这些方面我们也有专长,也希望帮助大家支持大家一起来推动下一代互联网可信域名的建立,支撑我国下一代互联网的建设和运营,积极推动下一代互联网相关产业化和具体的应用。
我的演讲就到这里,谢谢。