1、浅议互联网基础资源服务架构浅议互联网基础资源服务架构互联网互联网(TCP/IP网络网络)的内的内在在矛盾矛盾 冷战催生的简化的、无需链路控制的、缺乏安全和信用机制网络,发展为支撑 全球化的、跨边界的、与社会经济活动紧密融合的复杂环境。简化的、边界明晰的、用户互信简化的、边界明晰的、用户互信的的全球化的、无界的、紧密融全球化的、无界的、紧密融合合的的互联网基础资源的分配互联网基础资源的分配模模式式DNSDNSI IP P地址地址CACANTP和和 管管 理理 架架 构构树树便便状状于于结结自自构构顶顶的的向向业业下下务务的的体体管管系系控控互联网基础资源的服务互联网基础资源的服务架架构构用户端用
2、户端第三方代理第三方代理资源管理者资源管理者互联网基础资源管理和互联网基础资源管理和服服务的务的内内在矛盾在矛盾终极目标:用户端、第三方代理、资源管理者三方的权力平终极目标:用户端、第三方代理、资源管理者三方的权力平衡衡 资源管理者自顶向下的逐级分配和资源管理者自顶向下的逐级分配和控控制原则制原则 唯一、精确、完整、真实 最后一公里的本地管辖和商业利益最后一公里的本地管辖和商业利益诉诉求求 安全可控 服务水平SLA 客户价值用户体验和个性化需求用户体验和个性化需求 例子:来电号码助手例子:来电号码助手资源管资源管理者理者第三方服第三方服 务者务者用户用户IP地址管理及服务地址管理及服务浅浅议互
3、联网基础资源服议互联网基础资源服务务架构架构演演进进NIRLIRLIRISP用户ISPISP用户用户用户用户用户IP地地址址-全球分配体系全球分配体系IP地址全球管理模式滞后地址全球管理模式滞后 70年代,IP地址最初只在美国科研机构和大学内分配 80年代至90年代互联网向欧洲和亚洲扩展,在欧洲核子研究中心(CERN)网络协调机构的基础上形成了以 欧洲互联网信息中心(RIPE NCC),在亚洲互联网先发国家日本和澳大利亚的网络社群内形成了亚太互联 网信息中心(APNIC),同时非洲、拉美以及北美本土的IP地址分配服务也在萌芽酝酿。美国政府在1998年强势宣布其对IANA的管理权,在加强对域名根
4、服务器系统的管控力度同时,对互联网IP 地址社群做出了妥协,非洲、拉美和北美社群加快成立各自的IP地址分配机构(ARFINIC、LANIC、ARIN)。在在IP地址分配业务上,五大洲地址地址分配业务上,五大洲地址分分配机配机构构为注为注册册在各在各地地区的区的独独立法立法人人,并,并不不隶属隶属于于IANA。IANA仅仅对对超超 大快大快IP地址进行大洲级的分配,五地址进行大洲级的分配,五大大机构机构对对本地本地区区内的内的终终端用端用户户进行进行实实际际IP地地址分址分配配,享,享有有很大很大的的自自主运主运 营和政策权,且自发成立了地址协营和政策权,且自发成立了地址协调调联盟联盟机机构构N
5、RO,独立于独立于ICANN/IANA体体系。系。五大五大RIR的政策差异性的政策差异性 RIPE NCC虽名为欧洲互联网信息中心,但是其业务政策已经向全球开放,不限于欧洲,任何国家的终端用户 都可以RIPE NCC申请IP地址,也可以携带地址转移到APNIC等其他四家机构。北美ARIN本质上也是欧洲模式,允许自由分配和转移,但在外围设计包装了更多政策门槛,属于“半自由”。亚太APNIC和拉美LANIC只为本地区服务,不允许其它地区用户申请,但允许用户携带地址转移。非洲AFRINIC既不允许其它地区用户申请,也不允许用户携地址转移出去,最为封闭。政策差异性带来的政策差异性带来的IP地地址址流流
6、动动 随着全随着全球球IPv4地址的耗尽地址的耗尽,各地各地区区互联互联网网发展发展规规模及模及网网民数民数量量的不的不平平衡,衡,引引发了发了如如下现下现状状:大量新兴互联网国家(典型如中国)公司机构采用各种办法向其他大洲IP地址管理机构申请,最 常见的方式是在各洲当地国家注册一批子公司或壳公司,已本地公司的名义申请、向原IP地址持 有者发起溢价购买,待买入IP地址后,再转移回母公司所在地区,或者根本不转移直接在全球进 行路由广播。我国对IP地址的管理较为严格,IP地址非备案不得用来广播和使用,备案系统需要应对这种趋势(除了传统的APNIC会员地址、CNNIC会员地址、工信部地址联盟会员地址
7、外的碎片化国际来源IP地址)。IP地址的全球流动和碎片化也进一地址的全球流动和碎片化也进一步步扩大扩大了了IP地地址址使用使用(运营运营商商路由路由)过过程程中的中的安安全威全威胁胁,引,引出出了了RPKI和和BGPSEC技术技术。IP地址认证的缺失导致地址认证的缺失导致BGP路路由由安全安全问问题题IP地址安全新技术地址安全新技术:RPKI及及BGPSEC 五大机构无法阻止资本流动带来的IP地 址使用权流动和应用流动,采用新型 安全认证技术手段RPKI来确保IP地址 的所有者和使用者一致;而新型安全认证技术有可能进一步加 大五大机构的独立性,冲击到IANA作 为最高分配者和协调者的地位。RP
8、KI体系结构体系结构RPKI的风险和机遇的风险和机遇 RPKI引发了RIR和IANA的矛盾,未来互联网治理的新热点 RPKI引入了“IP地址根”概念,RIR从IP地址分配机构变成了IP地址认证机构 RPKI把IP地址路由技术风险转移成为RIR的管理风险 RPKI要求ISP运营商的域间路由器进行升级,并搭建单独的认证系统 我国科研工作者贡献提出支持本地认 证的RPSTIR方案和原型系统 ICANN与NRO之间,各国本地 RPSTIR与NRO RPKI服务器之间的关 系有待厘清浅浅议互联网基础资源服议互联网基础资源服务务架构架构演演进进域名系统及根服务器体系域名系统及根服务器体系全球互联网域名体系
9、及全球互联网域名体系及管管理架理架构构ICANN(The Internet Corporation for Assigned Names and Numbers 互联网名称与数字地址分配机构)负责IP地址的分配、顶级域名(TLD)的管理、以及根服务器管理。国家和地区国家和地区顶级顶级域域,属于主权范围,政府授权,自行管理通用顶级域通用顶级域,由ICANN批准,并与注册管理机构签署协议授权其运营和管理新新通用顶级域通用顶级域,ICANN适时全面开放多语种顶级域,并采取政策、技术、市场等多手段全面控制。“.”ccTLDgTLD.CN.DE.UK.COM.NET.ORG英文IDN.中国.香港(254
10、个)New gTLD英文IDN.?.公司.网络.政务.公益.?域名体系是通过最顶层的管理者逐级授权而不断延伸生长出的一棵数据树。域名体系是通过最顶层的管理者逐级授权而不断延伸生长出的一棵数据树。作为这棵数的树作为这棵数的树根根,域名根系统,域名根系统理论上理论上具最高的具最高的数据管理数据管理权权。域名系统及域名根服务域名系统及域名根服务器器的重的重要要性性 根区数据管理根区数据管理(PTI/IANA)记录顶级域服务器名称及其IP地址的对应关系,完成根区文件的修订和编辑,是IANA的核心职能。根区文件需要写入根区数据库服务器并分发给所有的根服务器,根区数据库不对外公开提供解析服务,相当于被隐藏
11、的主根(或称母根)。根服务器根服务器根服务器依据根区文件提供顶级域信息提供解析服务,并可根据需要与各国各地区的本地托管机构合作设立 镜像服务器。根服务器运行机构负责管理各自的根服务器,相互之间独立且地位平等,均以志愿者方式提供解析服务,与ICANN基于相互信任关系进行合作,但与ICANN互不隶属。A B CDE F G H I J K LM根区文件VeriSignDeNIC各顶级域管理机构根区数据管理机构根服务器运行机构镜像合作机构网络运行商 CNNIC域名根系统功能结构划域名根系统功能结构划分分DNS:RFC 1034 1035名字空间分级自治名字空间分级自治君上之君、非我之君臣下之臣、非我
12、之臣DNS:RFC 1034 1035ComputerStub ResolverISPRecursive Resolver Cache SeverRegistrationAuthoritative Server查询访问依靠代理查询访问依靠代理选择、授权、代议DNS设计初衷设计初衷被被扭曲扭曲Computer Stub ResolverISPRecursive Resolver Cache SeverRegistrationAuthoritative ServerBusiness Recursive ResolverDNSSEC在在权威权威域域名树名树领领域的域的安安全全扩展扩展 90年代后期,
13、IETF成立了工作组专门 研究DNSSEC安全扩展协议(DNS Security Extensions),利用经典的 加密算法和签名机制,完善了原有 DNS体系的不足之处,从而形成一整 套的DNSSEC解决方案。DNSSEC赋予了根服务器一个新的角色,即,作为验证证书签名有效性的最高节点(通常被称作 信任锚),进一步推升了根服务器作为全球互联网核心基础设施的重要性。全球的互联网域名用 户,不仅依赖根系统完成域名解析,而且不得不依赖根系统对域名的完整性、真实性进行验证。在无法保证域名访问路径可控的情况下,通用应用密码学PKI体系来加强数据可控。DOH/DOT在最后一公在最后一公里里用户用户侧侧的
14、安的安全全扩展扩展 DNS over HTTPS DNS over TLSDoH&DoTDNSSEC和和DoH/DoT对本对本地地DNS服服务的务的机机遇和遇和挑挑战战 DNSSEC引发的递归本地根方案引发的递归本地根方案RFC7706 运营商拥有了合规合理的介入根管理的技术手段 DoH/DoT对运营商域名服务的旁路对运营商域名服务的旁路 冲击已有商业域名服务 浏览器甚至应用APP都可以嵌入DoH/DoT功能CA证证书书W E B 应用的管理模式变化应用的管理模式变化浅浅议互联网基础资源服议互联网基础资源服务务架构架构演演进进Web PKI 信任模型及结构性缺陷信任模型及结构性缺陷图 http
15、s连接的建立过程(正常)图 https连接的建立过程(中间人攻击)Certificate Transparency信信任模型任模型对现有的对现有的SSL证书系统的补充,并非替证书系统的补充,并非替代代CT信任模型有三部分组成:信任模型有三部分组成:1.Certificate Log证书日志2.Certificate Monitor 证书监控3.Certificate Auditor证书审计CT应用目标应用目标CT并不能阻止并不能阻止CA签发错误或虚假证书,但是它能让人们清楚看到签发错误或虚假证书,但是它能让人们清楚看到CA签签发发 所有证书,从而使检测这些证书的过程变得相对容易所有证书,从而使检测这些证书的过程变得相对容易 CA难以错发证书 公开、实时性的监督和审计,确定证书是否错发 用户能够识别恶意错误证书对对CT及及Web PKI的发散思考的发散思考 CT机制出发点是通过引入机制出发点是通过引入审审计,计,从从而分而分散散CA的的权权力力 浏览器等终端的支持 行业CT联盟(准入机制?)安全密码算法 DoH+CT?!?!如果未来DoH成为重要的DNS用户侧实现方式 如果CT成为通用技术和安全模式 域名问题叠加证书管理问题,证书成为基础资源的基础资源 IETF协议工作的泛PKI化谢谢谢谢