淺議互聯網基礎資源服務架構課件

淺議互聯網基礎資源服務架構淺議互聯網基礎資源服務架構1互聯網（TCP/IP網絡）的內在矛盾冷戰(zhàn)催生的簡化的、無需鏈路控制的、缺乏安全和信用機制網絡，發(fā)展為支撐全球化的、跨邊界的、與社會經濟活動緊密融合的復雜環(huán)境。簡化的、邊界明晰的、用戶互信的 >> 全球化的、無界的、緊密融合的互聯網（TCP/IP網絡）的內在矛盾冷戰(zhàn)催生的簡化的、無需鏈2互聯網基礎資源的分配模式DNSIP地址CANTP和管理架構樹 便狀 于結 自構 頂的 向業(yè) 下務 的體 管系 控互聯網基礎資源的分配模式DNSIP地址CANTP和管理3互聯網基礎資源的服務架構用戶端第三方代理資源管理者互聯網基礎資源的服務架構用戶端第三方代理資源管理者4互聯網基礎資源管理和服務的內在矛盾終極目標：用戶端、第三方代理、資源管理者三方的權力平衡資源管理者自頂向下的逐級分配和控制原則唯一、精確、完整、真實最后一公里的本地管轄和商業(yè)利益訴求安全可控服務水平SLA客戶價值用戶體驗和個性化需求例子：來電號碼助手資源管理者第三方服務者用戶互聯網基礎資源管理和服務的內在矛盾終極目標：用戶端、第三方代5IP地址管理及服務淺議互聯網基礎資源服務架構演進IP地址管理及服務淺議互聯網基礎資源服務架構演進6NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶IP地址-全球分配體系NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶7IP地址全球管理模式滯后70年代，IP地址最初只在美國科研機構和大學內分配80年代至90年代互聯網向歐洲和亞洲擴展，在歐洲核子研究中心（CERN）網絡協(xié)調機構的基礎上形成了以歐洲互聯網信息中心（RIPE

NCC），在亞洲互聯網先發(fā)國家日本和澳大利亞的網絡社群內形成了亞太互聯網信息中心（APNIC），同時非洲、拉美以及北美本土的IP地址分配服務也在萌芽醞釀。美國政府在1998年強勢宣布其對IANA的管理權，在加強對域名根服務器系統(tǒng)的管控力度同時，對互聯網IP地址社群做出了妥協(xié)，非洲、拉美和北美社群加快成立各自的IP地址分配機構（ARFINIC、LANIC、ARIN）。在IP地址分配業(yè)務上，五大洲地址分配機構為注冊在各地區(qū)的獨立法人，并不隸屬于IANA。IANA僅對超大快IP地址進行大洲級的分配，五大機構對本地區(qū)內的終端用戶進行實際IP地址分配，享有很大的自主運營和政策權，且自發(fā)成立了地址協(xié)調聯盟機構NRO，獨立于ICANN/IANA體系。IP地址全球管理模式滯后70年代，IP地址最初只在美國科研機8五大RIR的政策差異性RIPE

NCC雖名為歐洲互聯網信息中心，但是其業(yè)務政策已經向全球開放，不限于歐洲，任何國家的終端用戶都可以RIPE

NCC申請IP地址，也可以攜帶地址轉移到APNIC等其他四家機構。北美ARIN本質上也是歐洲模式，允許自由分配和轉移，但在外圍設計包裝了更多政策門檻，屬于“半自由”。亞太APNIC和拉美LANIC只為本地區(qū)服務，不允許其它地區(qū)用戶申請，但允許用戶攜帶地址轉移。非洲AFRINIC既不允許其它地區(qū)用戶申請，也不允許用戶攜地址轉移出去，最為封閉。五大RIR的政策差異性RIPENCC雖名為歐洲互聯網信息中9政策差異性帶來的IP地址流動隨著全球IPv4地址的耗盡，各地區(qū)互聯網發(fā)展規(guī)模及網民數量的不平衡，引發(fā)了如下現狀：大量新興互聯網國家（典型如中國）公司機構采用各種辦法向其他大洲IP地址管理機構申請，最常見的方式是在各洲當地國家注冊一批子公司或殼公司，已本地公司的名義申請、向原IP地址持有者發(fā)起溢價購買，待買入IP地址后，再轉移回母公司所在地區(qū)，或者根本不轉移直接在全球進行路由廣播。我國對IP地址的管理較為嚴格，IP地址非備案不得用來廣播和使用，備案系統(tǒng)需要應對這種趨勢（除了傳統(tǒng)的APNIC會員地址、CNNIC會員地址、工信部地址聯盟會員地址外的碎片化國際來源IP地址）。IP地址的全球流動和碎片化也進一步擴大了IP地址使用(運營商路由)過程中的安全威脅，引出了RPKI和BGPSEC技術。政策差異性帶來的IP地址流動隨著全球IPv4地址的耗盡，各地10IP地址認證的缺失導致BGP路由安全問題IP地址認證的缺失導致BGP路由安全問題11IP地址安全新技術：RPKI及BGPSEC五大機構無法阻止資本流動帶來的IP地址使用權流動和應用流動，采用新型安全認證技術手段RPKI來確保IP地址的所有者和使用者一致；而新型安全認證技術有可能進一步加大五大機構的獨立性，沖擊到IANA作為最高分配者和協(xié)調者的地位。IP地址安全新技術：RPKI及BGPSEC五大機構無法阻止資12RPKI體系結構RPKI體系結構13RPKI的風險和機遇RPKI引發(fā)了RIR和IANA的矛盾，未來互聯網治理的新熱點RPKI引入了“IP地址根”概念，RIR從IP地址分配機構變成了IP地址認證機構RPKI把IP地址路由技術風險轉移成為RIR的管理風險RPKI要求ISP運營商的域間路由器進行升級，并搭建單獨的認證系統(tǒng)我國科研工作者貢獻提出支持本地認證的RPSTIR方案和原型系統(tǒng)ICANN與NRO之間，各國本地RPSTIR與NRO

RPKI服務器之間的關系有待厘清RPKI的風險和機遇RPKI引發(fā)了RIR和IANA的矛盾，未14淺議互聯網基礎資源服務架構演進域名系統(tǒng)及根服務器體系淺議互聯網基礎資源服務架構演進域名系統(tǒng)及根服務器體系15全球互聯網域名體系及管理架構ICANN（The

Internet

CorporationforAssigned

Names

and

Numbers

互聯網名稱與數字地址分配機構）負責IP地址的分配、頂級域名（TLD）的管理、以及根服務器管理。國家和地區(qū)頂級域，屬于主權范圍，政府授權，自行管理通用頂級域，由ICANN批準，并與注冊管理機構簽署協(xié)議授權其運營和管理新通用頂級域，ICANN適時全面開放多語種頂級域，并采取政策、技術、市場等多手段全面控制。“.”ccTLDgTLD.CN.DE .UK….COM.NET.ORG…英文IDN.中國.香港…(254個)NewgTLD英文IDN.？.公司 .網絡 .政務 .公益 ….？全球互聯網域名體系及管理架構ICANN（TheIntern16域名體系是通過最頂層的管理者逐級授權而不斷延伸生長出的一棵數據樹。作為這棵數的樹根，域名根系統(tǒng)理論上具最高的數據管理權。域名系統(tǒng)及域名根服務器的重要性域名體系是通過最頂層的管理者逐級授權而不斷延伸生長出的一棵數17根區(qū)數據管理（PTI/IANA)記錄頂級域服務器名稱及其IP地址的對應關系，完成根區(qū)文件的修訂和編輯，是IANA的核心職能。根區(qū)文件需要寫入根區(qū)數據庫服務器并分發(fā)給所有的根服務器，根區(qū)數據庫不對外公開提供解析服務，相當于被隱藏的主根（或稱母根）。根服務器根服務器依據根區(qū)文件提供頂級域信息提供解析服務，并可根據需要與各國各地區(qū)的本地托管機構合作設立鏡像服務器。根服務器運行機構負責管理各自的根服務器，相互之間獨立且地位平等，均以志愿者方式提供解析服務，與ICANN基于相互信任關系進行合作，但與ICANN互不隸屬。ABCDEFGHIJKLM根區(qū)文件VeriSignDeNIC…各頂級域管理機構 根區(qū)數據管理機構 根服務器運行機構 鏡像合作機構 網絡運行商

CNNIC 域名根系統(tǒng)功能結構劃分根區(qū)數據管理（PTI/IANA)ABCDEF18DNS：RFC1034

1035名字空間分級自治君上之君、非我之君臣下之臣、非我之臣DNS：RFC10341035名字空間分級自治19DNS：RFC1034

1035ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

Server查詢訪問依靠代理選擇、授權、代議DNS：RFC10341035ComputerISPRe20DNS設計初衷被扭曲ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

ServerBusinessRecursive

ResolverDNS設計初衷被扭曲ComputerStubResol21DNSSEC在權威域名樹領域的安全擴展90年代后期，IETF成立了工作組專門研究DNSSEC安全擴展協(xié)議（DNSSecurity

Extensions），利用經典的加密算法和簽名機制，完善了原有DNS體系的不足之處，從而形成一整套的DNSSEC解決方案。DNSSEC賦予了根服務器一個新的角色，即，作為驗證證書簽名有效性的最高節(jié)點（通常被稱作信任錨），進一步推升了根服務器作為全球互聯網核心基礎設施的重要性。全球的互聯網域名用戶，不僅依賴根系統(tǒng)完成域名解析，而且不得不依賴根系統(tǒng)對域名的完整性、真實性進行驗證。在無法保證域名訪問路徑可控的情況下，通用應用密碼學PKI體系來加強數據可控。DNSSEC在權威域名樹領域的安全擴展90年代后期，IETF22DOH/DOT在最后一公里用戶側的安全擴展DNSover

HTTPSDNSover

TLSDoH&

DoTDOH/DOT在最后一公里用戶側的安全擴展DNSover23DNSSEC和DoH/DoT對本地DNS服務的機遇和挑戰(zhàn)DNSSEC引發(fā)的遞歸本地根方案RFC7706運營商擁有了合規(guī)合理的介入根管理的技術手段DoH/DoT對運營商域名服務的旁路沖擊已有商業(yè)域名服務瀏覽器甚至應用APP都可以嵌入DoH/DoT功能DNSSEC和DoH/DoT對本地DNS服務的機遇和挑戰(zhàn)DN24CA證書WEB應用的管理模式變化淺議互聯網基礎資源服務架構演進CA證書WEB應用的管理模式變化淺議互聯網基礎資源服務架構演25Web

PKI

信任模型及結構性缺陷圖https連接的建立過程（正常）圖https連接的建立過程（中間人攻擊）WebPKI信任模型及結構性缺陷圖https連接的建立過26CertificateTransparency信任模型對現有的SSL證書系統(tǒng)的補充，并非替代CT信任模型有三部分組成：Certificate

Log 證書日志Certificate

Monitor

證書監(jiān)控Certificate

Auditor 證書審計CertificateTransparency信任模型對現27CT應用目標CT并不能阻止CA簽發(fā)錯誤或虛假證書，但是它能讓人們清楚看到CA簽發(fā)所有證書，從而使檢測這些證書的過程變得相對容易CA難以錯發(fā)證書公開、實時性的監(jiān)督和審計，確定證書是否錯發(fā)用戶能夠識別惡意／錯誤證書CT應用目標CT并不能阻止CA簽發(fā)錯誤或虛假證書，但是它能讓28對CT及Web

PKI的發(fā)散思考CT機制出發(fā)點是通過引入審計，從而分散CA的權力瀏覽器等終端的支持行業(yè)CT聯盟（準入機制？）安全密碼算法DoH

+

CT ？！如果未來DoH成為重要的DNS用戶側實現方式如果CT成為通用技術和安全模式域名問題疊加證書管理問題，證書成為基礎資源的基礎資源IETF協(xié)議工作的泛PKI化對CT及WebPKI的發(fā)散思考CT機制出發(fā)點是通過引入審計29謝謝謝謝30淺議互聯網基礎資源服務架構淺議互聯網基礎資源服務架構31互聯網（TCP/IP網絡）的內在矛盾冷戰(zhàn)催生的簡化的、無需鏈路控制的、缺乏安全和信用機制網絡，發(fā)展為支撐全球化的、跨邊界的、與社會經濟活動緊密融合的復雜環(huán)境。簡化的、邊界明晰的、用戶互信的 >> 全球化的、無界的、緊密融合的互聯網（TCP/IP網絡）的內在矛盾冷戰(zhàn)催生的簡化的、無需鏈32互聯網基礎資源的分配模式DNSIP地址CANTP和管理架構樹 便狀 于結 自構 頂的 向業(yè) 下務 的體 管系 控互聯網基礎資源的分配模式DNSIP地址CANTP和管理33互聯網基礎資源的服務架構用戶端第三方代理資源管理者互聯網基礎資源的服務架構用戶端第三方代理資源管理者34互聯網基礎資源管理和服務的內在矛盾終極目標：用戶端、第三方代理、資源管理者三方的權力平衡資源管理者自頂向下的逐級分配和控制原則唯一、精確、完整、真實最后一公里的本地管轄和商業(yè)利益訴求安全可控服務水平SLA客戶價值用戶體驗和個性化需求例子：來電號碼助手資源管理者第三方服務者用戶互聯網基礎資源管理和服務的內在矛盾終極目標：用戶端、第三方代35IP地址管理及服務淺議互聯網基礎資源服務架構演進IP地址管理及服務淺議互聯網基礎資源服務架構演進36NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶IP地址-全球分配體系NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶37IP地址全球管理模式滯后70年代，IP地址最初只在美國科研機構和大學內分配80年代至90年代互聯網向歐洲和亞洲擴展，在歐洲核子研究中心（CERN）網絡協(xié)調機構的基礎上形成了以歐洲互聯網信息中心（RIPE

NCC），在亞洲互聯網先發(fā)國家日本和澳大利亞的網絡社群內形成了亞太互聯網信息中心（APNIC），同時非洲、拉美以及北美本土的IP地址分配服務也在萌芽醞釀。美國政府在1998年強勢宣布其對IANA的管理權，在加強對域名根服務器系統(tǒng)的管控力度同時，對互聯網IP地址社群做出了妥協(xié)，非洲、拉美和北美社群加快成立各自的IP地址分配機構（ARFINIC、LANIC、ARIN）。在IP地址分配業(yè)務上，五大洲地址分配機構為注冊在各地區(qū)的獨立法人，并不隸屬于IANA。IANA僅對超大快IP地址進行大洲級的分配，五大機構對本地區(qū)內的終端用戶進行實際IP地址分配，享有很大的自主運營和政策權，且自發(fā)成立了地址協(xié)調聯盟機構NRO，獨立于ICANN/IANA體系。IP地址全球管理模式滯后70年代，IP地址最初只在美國科研機38五大RIR的政策差異性RIPE

NCC雖名為歐洲互聯網信息中心，但是其業(yè)務政策已經向全球開放，不限于歐洲，任何國家的終端用戶都可以RIPE

NCC申請IP地址，也可以攜帶地址轉移到APNIC等其他四家機構。北美ARIN本質上也是歐洲模式，允許自由分配和轉移，但在外圍設計包裝了更多政策門檻，屬于“半自由”。亞太APNIC和拉美LANIC只為本地區(qū)服務，不允許其它地區(qū)用戶申請，但允許用戶攜帶地址轉移。非洲AFRINIC既不允許其它地區(qū)用戶申請，也不允許用戶攜地址轉移出去，最為封閉。五大RIR的政策差異性RIPENCC雖名為歐洲互聯網信息中39政策差異性帶來的IP地址流動隨著全球IPv4地址的耗盡，各地區(qū)互聯網發(fā)展規(guī)模及網民數量的不平衡，引發(fā)了如下現狀：大量新興互聯網國家（典型如中國）公司機構采用各種辦法向其他大洲IP地址管理機構申請，最常見的方式是在各洲當地國家注冊一批子公司或殼公司，已本地公司的名義申請、向原IP地址持有者發(fā)起溢價購買，待買入IP地址后，再轉移回母公司所在地區(qū)，或者根本不轉移直接在全球進行路由廣播。我國對IP地址的管理較為嚴格，IP地址非備案不得用來廣播和使用，備案系統(tǒng)需要應對這種趨勢（除了傳統(tǒng)的APNIC會員地址、CNNIC會員地址、工信部地址聯盟會員地址外的碎片化國際來源IP地址）。IP地址的全球流動和碎片化也進一步擴大了IP地址使用(運營商路由)過程中的安全威脅，引出了RPKI和BGPSEC技術。政策差異性帶來的IP地址流動隨著全球IPv4地址的耗盡，各地40IP地址認證的缺失導致BGP路由安全問題IP地址認證的缺失導致BGP路由安全問題41IP地址安全新技術：RPKI及BGPSEC五大機構無法阻止資本流動帶來的IP地址使用權流動和應用流動，采用新型安全認證技術手段RPKI來確保IP地址的所有者和使用者一致；而新型安全認證技術有可能進一步加大五大機構的獨立性，沖擊到IANA作為最高分配者和協(xié)調者的地位。IP地址安全新技術：RPKI及BGPSEC五大機構無法阻止資42RPKI體系結構RPKI體系結構43RPKI的風險和機遇RPKI引發(fā)了RIR和IANA的矛盾，未來互聯網治理的新熱點RPKI引入了“IP地址根”概念，RIR從IP地址分配機構變成了IP地址認證機構RPKI把IP地址路由技術風險轉移成為RIR的管理風險RPKI要求ISP運營商的域間路由器進行升級，并搭建單獨的認證系統(tǒng)我國科研工作者貢獻提出支持本地認證的RPSTIR方案和原型系統(tǒng)ICANN與NRO之間，各國本地RPSTIR與NRO

RPKI服務器之間的關系有待厘清RPKI的風險和機遇RPKI引發(fā)了RIR和IANA的矛盾，未44淺議互聯網基礎資源服務架構演進域名系統(tǒng)及根服務器體系淺議互聯網基礎資源服務架構演進域名系統(tǒng)及根服務器體系45全球互聯網域名體系及管理架構ICANN（The

Internet

CorporationforAssigned

Names

and

Numbers

互聯網名稱與數字地址分配機構）負責IP地址的分配、頂級域名（TLD）的管理、以及根服務器管理。國家和地區(qū)頂級域，屬于主權范圍，政府授權，自行管理通用頂級域，由ICANN批準，并與注冊管理機構簽署協(xié)議授權其運營和管理新通用頂級域，ICANN適時全面開放多語種頂級域，并采取政策、技術、市場等多手段全面控制?！?”ccTLDgTLD.CN.DE .UK….COM.NET.ORG…英文IDN.中國.香港…(254個)NewgTLD英文IDN.？.公司 .網絡 .政務 .公益 ….？全球互聯網域名體系及管理架構ICANN（TheIntern46域名體系是通過最頂層的管理者逐級授權而不斷延伸生長出的一棵數據樹。作為這棵數的樹根，域名根系統(tǒng)理論上具最高的數據管理權。域名系統(tǒng)及域名根服務器的重要性域名體系是通過最頂層的管理者逐級授權而不斷延伸生長出的一棵數47根區(qū)數據管理（PTI/IANA)記錄頂級域服務器名稱及其IP地址的對應關系，完成根區(qū)文件的修訂和編輯，是IANA的核心職能。根區(qū)文件需要寫入根區(qū)數據庫服務器并分發(fā)給所有的根服務器，根區(qū)數據庫不對外公開提供解析服務，相當于被隱藏的主根（或稱母根）。根服務器根服務器依據根區(qū)文件提供頂級域信息提供解析服務，并可根據需要與各國各地區(qū)的本地托管機構合作設立鏡像服務器。根服務器運行機構負責管理各自的根服務器，相互之間獨立且地位平等，均以志愿者方式提供解析服務，與ICANN基于相互信任關系進行合作，但與ICANN互不隸屬。ABCDEFGHIJKLM根區(qū)文件VeriSignDeNIC…各頂級域管理機構 根區(qū)數據管理機構 根服務器運行機構 鏡像合作機構 網絡運行商

CNNIC 域名根系統(tǒng)功能結構劃分根區(qū)數據管理（PTI/IANA)ABCDEF48DNS：RFC1034

1035名字空間分級自治君上之君、非我之君臣下之臣、非我之臣DNS：RFC10341035名字空間分級自治49DNS：RFC1034

1035ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

Server查詢訪問依靠代理選擇、授權、代議DNS：RFC10341035ComputerISPRe50DNS設計初衷被扭曲ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

ServerBusinessRecursive

ResolverDNS設計初衷被扭曲ComputerStubResol51DNSSEC在權威域名樹領域的安全擴展90年代后期，IETF成立了工作組專門研究DNSSEC安全擴展協(xié)議（DNSSecurity

Extensions），利用經典的加密算法和簽名機制，完善了原有DNS體系的不足之處，從而形成一整套的DNSSEC解決方案。DNSSEC賦予了根服務器一個新的角色，即，作為驗證證書簽名有效性的最高節(jié)點（通常被稱作信任錨），進一步推升了根服務器作為全球互聯網核心基礎設施的重要性。全球的互聯網域名用戶，不僅依賴根系統(tǒng)完成域名解析，