网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

主页 > 业界资讯 > 网络渗透测试

从“国家网络主权”谈 基于国家联盟的自治根域(4)

    “国家级顶级域名联盟”方案可以与现存方案共存。就是说,本国内的所有递归域名解析服务器可以分成两类,一类仍然采用原来的方法直接指向国际根域名解析服务器,称之为“原递归服务器”;另一类则直接指向本国根域名解析服务器,称之为“新递归服务器”。由此,使用“原递归服务器”的用户实际上就是采用原有的域名解析体系;使用“新递归服务器”的用户实际上就是采用“国家级顶级域名联盟”的域名解析体系。在推广过程中,“新递归服务器”可以逐渐扩充,开始时只是参与测试的用户选用这种模式,随着这种模式的成熟,“新递归服务器”不断扩充,不断鼓励网民选用“新递归服务器”作为域名解析的配置。当然,更为有效的模式是用户在首选DNS与辅助DNS的配置中,分别选择“原递归服务器”和“新递归服务器”,以便提高解析的可靠性。

    五、与“应急根域名解析”模式的比较

    目前,人们对“索马里式风险”与“八国联军式风险”关注的比较多,因此提出了“应急根域名解析”模式。这种模式是指采取对根域名服务器解析数据库进行日常备份,在出现所有三种风险时,将国际根域名服务器的地址重定向到特定的应急替代服务器中,由该服务器进行解析,以确保本国的互联网能够正常运转。

    比较“应急根域名解析”模式与“国家级顶级域名联盟”模式之间的差异,显然后者占有明显的优势。一是“应急”模式是应急态,平时不能启用,因缺乏平时的运行考验,很难保证在需要的时候能够有效使用,尤其是根域名解析系统是否能承受大负荷缺乏实验检验;而“联盟”模式作为常态运行,平时就可以同步使用,根域名解析服务器的负载能力可以在日常运行的监控中不断扩充,可以使得运行过程得到长期有效的考验。二是“应急”模式所采取的技术过于复杂,地址重定向的可靠性缺少百分之百的把握;而“联盟”模式改动仅是递归服务器指向本国根域名解析服务器,没有技术门槛,属于常规的域名解析手段,不存在技术障碍。三是“应急”模式缺少必要的铺垫,用户缺少感知、配合与磨合的机会,很难保证有效;而“联盟”模式因为属于与传统的域名解析系统长期同时并行使用,从而可以逐渐被用户所接受,所以不存在任何使用过程中的障碍。四是“应急”模式由于需要构建庞大的重定向体系,投资巨大;而“联盟”模式只需要建设根域名解析服务器、四个数据库及安全可信的交换通道,且在建设之初国家根域名解析服务器的解析量极小,所以估计投资只是“应急”模式的一个零头。五是“应急”模式采取的是守势,如同颈带铁环“引颈就戮”,静等屠刀出鞘;“联盟”模式采取的是攻势,就是告诉世人,如果再有国家被根域名解析服务器抹去其顶级域名信息,那所有感到威胁的国家就会加入联盟,不再参与以根域名解析服务器为中心的域名解析体系,从而不再让根域名服务器掣肘联盟成员国互联网的运行。这种做法的更为重要的意义在于是支持“网络主权”的理念,确保网络独立权。

    六、结论

    “联盟”模式的常态使用可以首先建立起国家根域名解析体系,一方面同友好国家交换根域名信息以建立“本地交换解析数据库”,一方面通过复制的方法获得“国际域名解析数据库”的信息;同时,先选择少量递归服务器指向国家根域名解析服务器进行试点,在试点成功后可以让更多的递归服务器指向国家根服务器。而网民可以自主选择递归解析服务器,选择“原递归服务器”就属于传统的解析模式;选择“新递归服务器”就属于“联盟”的解析模式。由此,选择权交给网民,网民也就可以不为此争论孰是孰非,随意选择使用哪种模式,既可以平滑过渡,也可以在出现三种风险之一的情况下,选择“自主”解析模式来应对风险。(中国工程院院士,方滨兴)

(责任编辑:admin)