日前,由“网安一哥”奇安信组织召开的BCS 2020大会进入技术日,在技术日召开的互联网基础资源论坛上,针对当下互联网治理领域比较关注的域名系统(DNS)根服务器的治理问题,邀请了ICANN根服务器系统咨询委员会(RSSAC)主席,国际互联网标准化组织IETF前主席Fred Baker,以及ICANN CTO办公室的首席技术专家 Paul Hoffman做权威讲解。同时,针对DNS安全领域热议的技术话题DNSSEC、DNS加密、区块链域名数据等,还邀请了多位业内知名专家进行分享。
DNS是互联网重要的基础服务,它是几乎所有应用安全可靠运行的基础。根据EfficientIP的统计,全球79%的组织都遭受过DNS攻击。因此,DNS在网络安全防御中的重要性不言而喻。
在过去十几年中,互联网工程任务组(IETF)已经对根区文件的信息做出了一些优化与改进。其中一项极为重要的变化是,使用基于数字签名技术的域名系统安全扩展(简称DNSSEC)来确保根区数据无法被篡改。目前根区及几乎所有顶级域都已支持DNSSEC。提到根服务器系统的顶层设计,Fred Baker介绍了11条基本原则,包括维护一个全球统一的名字空间,IANA是根区数据的唯一来源,根服务器运行机构必须保持透明、独立、公正、诚实可信并致力于维护公共利益。关于根服务器系统的未来演进,RSSAC已经提出一个治理模型,他介绍了其基本理念“首先,希望避免利益冲突;其次,希望做到职能分离;最后,希望尽最大限度做到透明可问责(accountability)。”
“目前全球有超过1000个根服务器提供服务,它们由12家根服务器运行机构管理,对应着13个根服务器标识(identities,A到 M)。对于每个根服务器运行管理机构,在选择服务器类型、DNS软件、以及选取根服务器节点的部署位置等方面,均保持着高度独立。”ICANN CTO办公室首席技术专家Paul Hoffman称,“所有的根服务器运行管理机构都承诺,应当为数以百万计的递归解析服务器提供可靠的域名解析服务,提供一致、正确的应答响应内容。”
一直以来域名管理和服务体系,侧重于围绕域名权威树构建的数据管理者生态,而域名的实际使用者和用户侧服务提供者在这个生态中少有话语权和存在感,这种不平衡的设计直接决定了域名滥用、多语种等问题无法得到有效解决。对此,伏羲智库CTO王伟认为,“以区块链为技术手段构探索AT-SSR实现途径,其技术本质是基于区块链的域名缓存分布式账本体系,将数据治理重点由管理权置换为解释权。”
“域名系统DNS不断适应和满足新的技术应用发展与新政策的要求,是互联网资源定位、流量 调度、服务高可用、网络安全策略实施不可或缺的核心基础设施和抓手。” 阿里云网络高级架构师宋林健认为,“从安全角度看,在IoT和云时代普通企业已经不具备能力与攻击者对抗,大型的云厂商具有更多的网络资源、云计算弹性、业务理解和对抗经验、大数据智能化的方案来应对安全的新挑战。”他还提到,站在国家网络基础设施的角度,互联网域名和标识解析系统的安全稳定值得大家携手共建,应在保持互联互通的前提下,加强域名解析生态“内循环”。
清华大学网研院博士后刘保君称,“随着工业界的强力推进,近年来DNS加密技术在全球的部署与应用,进展颇为迅速。我们鼓励互联网用户积极使用DNS加密协议,保护域名查询的安全与隐私。”
中国电信云堤高级工程师余启明分享了在PASSIVE DNS建设过程中的三点经验体会,第一,警惕拿来主义;第二,它山之石,可以攻玉;第三,要尊重过去,敬畏未来。“未来,互联网的数据将不仅仅是生产要素,而是企业乃至社会很重要的资产,过去电信运营商更多侧重于DNS和数据系统的运营上,在数据本身的认知和使用上存在很多盲点,有理解上的偏差,未来,我们对各种形式的交流合作保持开放的态度。”
据悉,以“内生安全,从安全框架开始”为主题的BCS 2020将为期10天,大会由“网安一哥”奇安信集团主办,以“全球网络安全 倾听北京声音”为立意,着眼数字化、网络化、智能化的时代背景,充分发挥北京科技之都、创新之都的资源优势,聚焦当前与未来网络安全产业发展、国际合作、资本创投、前沿技术、新场景应用和人才培养,搭建政、产、企、资、学、用等多方参与的世界级交流合作平台。