网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

主页 > 业界资讯 > 网络渗透测试

从“国家网络主权”谈 基于国家联盟的自治根域

    上世纪八十年代初,美国在美军网络ARPANET基础上启动建设了基于TCP/IP协议的因特网(INTERNET),随后作为奉献给世界的礼物向国际社会开放。随着因特网的高度开放,世界各国纷纷投入巨大的人力、物力、财力,将因特网位于本国的部分建设成国家信息技术基础设施,这一举措使得因特网成为了真正的国际互联网。国际互联网在世界各国的推动下以空前的速度发展壮大,成为国家信息通讯的重要技术平台,是国家经济、社会活动所依赖的重要支柱。因此,世界各国对本国互联网的管理主权提出了明确的诉求。

    2013年6月24日,第6次联合国大会发布了A/68/98文件,通过了联合国“从国际安全的角度来看信息和电信领域发展政府专家组”所形成的决议。决议第20条内容是:“国家主权和源自主权的国际规范和原则适用于国家进行的信息通讯技术活动,以及国家在其领土内对信息通讯技术基础设施的管辖权。”本条款的本质就是承认国家的“网络主权”。

    一、关于国家“网络主权”

    从法理的角度来看,作为主权,需要确保其4个基本权利:即平等权、独立权、自卫权与管辖权。作为全球互联互通的互联网而言,自卫权与管辖权目前是明确的。就自卫权而言,美国等国家建立了网络战部队,其目的当然是要保护本国的网络主权不受侵犯,保护本国的网络基础设施与运行在互联网上的信息系统不受打击;就管辖权而言,各国都对本国的网络行为依据本国国情制定了相关的法律与法规,他国对本国的互联网治理行为不容干涉已成为共识。

    就平等权而言,目前的国际互联网域名分配与管理格局对各国来说并不平等,实际上是各国与“国际互联网域名与IP地址分配机构(ICANN)”签约所形成,是一种“出租方”与“承租方”的关系;而ICANN是1998年10月在美国加州成立的非营利机构,受美国商务部的管理。从这个意义上讲,依据“ICANN | ccTLD Sponsorship Agreement(.cn ccTLD)”协议,由中国负责“.cn”这个顶级域名的管理,相当于中国与美国签订国家级顶级域名解析分配协议,其实两者之间并不具有平等关系。

    目前,美国政府宣布2015年9月份可以视情况将ICANN交给一个国际组织管理。如果这一承诺确实兑现,在最理想的情况下,可以视为各国把部分管理权力让渡给这个ICANN机构的国际组织,从而保证各国在互联网域名分配方面的平等性。

    就独立权而言,除了美国之外,各国实际上并不具备对本国互联网独立运行的能力,这是因为国际互联网的域名解析体系采取的是中心式分层管理模式,使得各国互联网的运行从域名解析的角度高度依赖于位于美国的原根域名解析服务器。所谓中心式,是指所有的域名解析过程都是从根域名开始自顶向下,从而根域名解析服务器成为整个国际互联网的控制点,任何在互联网上的访问行为通常都脱离不了根域名解析服务器的授权;所谓分层,是在顶级域名(如 .cn,.kr,.com,.info)体系之下,还可以形成二级、三级直至多级域名定义体系,使得各国可以管理本国的低层域名解析行为,但这些都依赖于其顶级域名的合理存在。

    二、关于中心式域名解析体系对国家互联网的威胁

    就具体的域名解析过程来说,在网络当中设置了大量的递归解析服务器用于直接受理网络用户的域名解析请求,通过负载均衡提高解析效率。但这些递归解析服务器主要是依靠保存来自权威域名解析服务器的解析结果来提供给请求解析的用户,仅仅是承担着负载均衡与缓存的作用。对于在缓存中没有记录的、或记录过期的域名解析请求,递归服务器还需要从国际根域名解析服务器开始逐层请求解析,从而形成了国际互联网被集中控制的客观效果。就是说,国际根域名服务器决定了各级域名的存在性及逐层解析能力。原理上,根域名解析服务器还可以对请求解析的源IP地址作限制,例如拒绝响应来自某个国家内IP地址的域名解析请求。

    由于域名解析中心式管理模式的存在,使得各国互联网不具备只凭借自身也能够独立运行的能力。在这种体系架构下,域名解析存在着两种风险。一种是本国域名被封杀的风险,即只要在原根域名解析服务器中删除该国的顶级域名注册记录,即可让世界各国都无法访问这个国家域名下的网站,在这种情况下,该域名的多层解析体系也会跟着土崩瓦解。就是说,如果美国决定抛弃哪个国家的互联网,只要简单修改原根域名解析数据,被抛弃的国家基本上无还手之力。据报道,伊拉克、利比亚的顶级域名曾经先后被从原根域名解析服务器中抹掉了数天。这是一种“一国互联网体系被从国际互联网社会抹掉的风险”,我们姑且称之为“利比亚式风险”。

(责任编辑:admin)