第三届未来网络发展大会
网络全球 决胜未来
谢谢大家,我是中国互联网信息中心延志伟,我们今天讨论未来网络的时候,不管是协议层面创新还是整个互联网体系架构方面的创新,我们总逃脱不了一个需求,就是对网络通信的高效安全的支撑,通信的过程一定要对资源进行标识,对资源进行命令和管理,DNS是互联网使用最广泛的服务,所以我的这个报告主题就是我们从DNS入手看一下,未来网络创新应用对标识服务提出什么需求,哪些需求是DNS正在满足,有的就面临挑战。
首先我们看一下抽象什么是名字,名字和标识就是在特定的条件下,这个可能是时间、空间或者是范围,用来唯一标识一个对象,可能是人、可能是机、可能是物,在协议体系下用来组织和标识网络资源的服务。主要的运营模式大家很了解,我们人能熟知的名字映射成机器人识别的IP地址,互联网发展的早期DNS不是与生俱来,一开始我们用手工的方式映射到文本文件,现在的还保存TST文件,通过迅速增长我们发现手工维护文档的难度越来越高,这个信息会动态的变化,30年前左右的时候提出来这个系统,实际上是现在TC与IP互联网协议体系下面最早的协议。
随着我们对名字服务功能和性能要求不断提高,我们作为一个主阵地提出大量的机制,也成立了诸多标准化研究组,最后没有显示出来,2017年的9月实现了(英文),探索去中心化下的名字服务,伴随区块链技术的发展。
在DNS协议体系我们把名字作为一个映射管理映射信息,这个信息叫做资源记录,我们通常见到的资源记录就是A记录和4A记录,对应就是IP地址和(英文),我们名字是转接的重要接口,这些都做不同类型的转接。我们看到经过30年的发展现在DNS规模很巨大,在制定光核心的标准,专门针对DNS核心标准超过260多项,如果考虑跟其他协议相关与DNS有关的标准更多了,而且支持了这个资源机构类型,能够存储数据类型,我们现在广泛使用是30多种,全世界基本上有一个探测的数据,处理这个服务器的规模在1500万台/(套)。
从名字空间角度来看,我们的紧急域名1500多,大致分为两类,一类是(英文),国家和地区,像我们中国就是CN,1200是通用.COM,下面数量有3.5亿,为了支持域名系统整个业务逻辑发展,我们可以分成两条线,如果一个用想要一个名字要注册,通过注册商联系一个注册局,通过协议申请一个名字,这是一个名字的注册过程,还有就是域名的解析,我们得到一个名字对应IP地址,通过权威服务器解析,这是解析的流程。
我们简单看一下解析的过程有两个特点,第一个名字空间角度用分级授权,从根到顶级到二级,保证每一层的独立性和名字空间可扩展,还有就是结构分离,我们权威服务器当做服务的提供者,他是是提供者和服务者相独立的。
我们前面简单回顾一下DNS的现状,实际即便从现在的应用层角度来看,我们的标识体系不光是DNS一种,延伸出来有很多标识机制,这些标识机制背后有不同的组织在推动和主导,我们单从服务,就是应用层这个角度的标识来看的话,这些标识机制的话我们还是可以分成两类,第一是传统的DNS,EPC(英文)推动,另外一类就是(英文)标识。
我们就看一下,实际上从现在的规模来看,我们最近几年可能看到就是工业互联网在我国的发展,(英文)从原来做DOI数据对象的这种标识已经在工业互联网领域,在我们国家尝试运用,在全球角度来讲DNS系列的标识,应用范围还是最广泛的,我们有必要看一下,DNS发展30多年,提出大量的功能和性能扩展,对于我们未来网络创新应用发展中新的标识服务的需求,是不是能满足。
我们分成五个方面分析,第一个安全、第二移动、第三个基础设施、第四个标识、第五个效率,我们选择的场景为什么泛在物联网,他主要的挑战在哪里呢?实际上大量的设备和数据都需要标识和管理,我们就选择物联网,这是很宏大的场景下面应用有什么挑战。
第一个是安全,说到安全名字服务对应的安全可以分成两个层次,第一个名字本身服务的安全,名字服务受到攻击,刚才专家提到去年亚马逊名字服务劫持导致虚拟货币大量劫持,还有就是DNS劫持,这是名字服务本身面临的风险。
第二基于名字的,以前僵尸网络控制有IP地址,就绑定动态的IP地址,我们看到2016年的时候,全世界最大的服务商遭受了有史以来最大的(英文),当时就造成了很多我们熟知的这些互联网提供商终端的问题,包括(英文)、包括CNN的网站,他流量分析很多流量通过物联网设备发起的,而且通过僵尸网络控制,他动态变化名字和动态地址进行攻击,第二类攻击基于名字攻击。
针对这个安全问题从产业界和标准化的角度一直做这样的工作,包括提出DNS对他进行数据来源的验证,还有DNS的隐私保护,然后混合进来应用层的角度提供这种端到端的隐私保护。但是我们看一下这里面最关键的,或者是最基础的DNS安全保护机制就是(英文),DNSSEC在DNS基础上加上(英文),客户端响应的时候能够一级级回溯过去,证明从可信的数据源来的,这在1997年就有了,这个应用情况是非常弱。
我这个数据是上个月的,从(英文)公布的顶级域名来看1500多都签了(英文),但是对下一级的名字来说,包括我们通常最常见的(英文)这三个顶级域名不足1%,即便我们一直推动DNSSEC的部署,在权威的层面部署率是非常低,所以它一个看起来很完美的安全解决,名字完全符合这样信任体系,在过程中是非常不成功。
最主要的原因是回到刚才看到的域名注册的过程,现在域名注册是非常僵化,注册人需要一个注册商再到注册局去做,你注册域名从注册商注册有可能不托管这个注册商,即便托管这里可能跟注册局没有交换的接口,或者是注册人之间不提供接口,管理信息是非常大的挑战,截至目前为止我们看到有影响。
第二个方面是本地化,我可以把本地化分成两个维度的问题,第一个是服务的本地化,还是提高效率,提高性能,这个方面实际是DNS非常适合做本地化,无论是从地规做本地化,这实际上都是很方便的,包括在根的层面,我们看到近几年一直做优化,包括提出来的方案,在这个层面可以直接的解析你存在和不存在的信息,不需要你去问这个就能去一步到位访问这个信息。
还有方面的本地化是语言方面的本地化,我们提到物联网的时候,我们希望对物进行更直接、更人性化的控制,但是实际上巧合的是DNS做很多的工作能够满足这样的需求,(英文)实际上在1996年我们叫做国际化运营的工作,现在为止我们涵盖所有的语言都能够在名字这个空间支持,而且1500多个(英文)中文、韩文、日文都可以在里面解析。
我下面列了一个,对我们中文来说的话,这种国际化的运营带来巨大的挑战就是安全,以前的时候我们用的域名都是字母+数字,相对来说很直白,但是用中文域名问题是仿冒和钓鱼,域名很容易从音、兴义多种维度混淆,对检测也是一个双刃剑的问题。
另外一个方面是移动,我们传统互联网问题从移动IP层解决这个问题,这里面也有DNS的工作,我们DNS主要发现移动服务的节点,包括加强代理,但是这个前提是我们在现在的网络里面去做移动还是把网络位置当做一个对象,可是我们在很多现在新兴的应用场景里面我列了是一个车联网的车联网场景里面,我们需要对通信、移动属性,我不仅仅需要IP地址,还需要地理的位置,南京市未来小镇每一个街,我们要访问这个信息,而且我需要直接访问这个信息,我需要名字层面做一些工作,我需要在IT层面推动,我做智能交通的治理,要聪明自层面管理这些信息。
下面方面和基础设施无论,我们传统DNS解析需要地规做结果,需要权威的来源,需要完整的基础设施做支撑,实际上很多物联网场景里面没有这样的地规服务器,怎么做名字解析呢?苹果公司大概在五六年前做DNS的破绽协议,做基于DNS的服务发现,在本地局域网的方式进行名字的解析,但是可惜的是现在的方案只能在单链路的情况下,多个链路需要和传统基础设施结合。
最后一个方面也是现在DNS经常遭受大家攻击一个方面就是效率,这个方面DNS情况很糟糕,不光是从名字注册的过程,注册逻辑非常复杂,效率很低下,从解析的层面我们看这个图,就是一个名字在地规上面没有缓急,我们通过二级权威解析,效率非常低,地规有缓冲,这个缓冲非常大,这是一个两面性的问题,从正面意义上有缓冲可以提高效率,负面的意义我们今天在说确定性的时延或者是稳定的时延,如果有缓冲,你缓冲不可能缓冲所有的数据,而不可能全新的数据,你从这个解析一个域名的时候、两个域名的时候时延差距很大,有缓冲很快就能得到响应,没有缓冲要经过复杂的过程。
同时,我们也看到我们访问一个域名的时候,我们访问一个百度点COM,我得到IP地址可以访问它,但是实际情况并不是这样,我们打开一个网页需要访问很多资源,包括CSS,包括API、包括图片,包括是网易、新浪包含大量数据的跟其他应用接口网站的时候,我们就发现DNS查询的效率非常不宜,而且据通知打开一个页面DNS占到流量的3%以上,我们一直觉得域名得到的IP地址,中间的交互流程很多,这块我们一直做一个工作,希望在名字的组织和管理这个层面,让他能够更优化,或者有更优化的途径,我上面访问这个的时候,我关联了很多与我有关的名字,我再名字管理就把它放在一个数据里面,用户访问我可以把关联一次性响应提高这个效率。
前面我们讲DNS的效率实际上都是最简单逻辑下的DNS的解析,我们把这个过程添加进来,我们发现过程复杂了非常多倍,而且这个(英文)管理模式复杂先不说,这个数据包因为有很多签名的信息,而且需要经过更多交互过程,对效率的降低是成倍的。我们其实可以看到DNS在这30多年来发展过程中不停的在功能、性能上拓展,产生了数量巨大的标准文稿,实际上仍然面临巨大应用方面的挑战,特别是对于自动化、智能化应用场景,灵活应用场景传统僵化的管理模式有巨大的挑战,我们看到随着新技术或者是新的网络架构出现,对传统的DNS和名字管理模式也好、应用方式也罢有推动的契机。
第一个区块链,区块链在名字解决很多问题,还是资源管理,区块链当成可信的方式,把名字当成一个资产,对名字资产进行管理。因为大家觉得它能够解决KPI模式下部署要求高、管理模式复杂的问题,DNS传统从美国管理方式诞生,即便经过了智能的转移,还是以美国为核心的管理体系里,大家天天呼吁互联网治理,我们现在所呼吁的公开、公平、公正、透明的治理模式是不冲突的。
区块链发展我们看到有很多项目或者是方案被提出来,有些这些方案针对特定的TLD民族进行管理,有些已经开始尝试,通过区块链解决这个,跟TLD这个层面管理,实际上从我个人的观点来看,可能现在的方案还存在很多欠缺,或者是很多的问题,比如如何去兼容当前的业务逻辑和服务体系,或者是如何寻找去中心化和中心化这个平衡点,但是我觉得有一个积极的作用,至少创造一个可能,我们现在的DNS管理体系,僵化、通信化的管理体系创造一种可能,可能未来管理TLD并不是用区块链,有可能现在考虑去中心化,多方共治的模式,这是区块链在名字管理方面一个积极作用。
第二个就是信息中心网络,因为其实刚才很多教授提到未来网络,对名字产生最冲击是信息网络,我们通信经过IP的,我们需要通信的时候是我们为什么要用DNS,我们用名字解析IP地址建立连接,用户并不关心数据资源或者是我请求从哪里来,我关心是我需要,我有没有得到这个内容,信息中心网络在学术界大概也是在10年前左右被大家提出来,他的模式就是把中间的IP层取代掉,用内容的名字取代。
通信过程只是一个内容的名字,用户只需要发起一个名字,内容名字就被用来路由器寻找对应的数据,大家有没有想过一个问题,我怎么知道我找到的东西是什么名字,即便现在为止我们可以看到NDN发展几十年有很多应用场景,始终没有解决这个问题,我怎么知道我要的东西是什么名字,这些名字如果数据发生转移名字关联和关系,授权关系怎样建立,是不是又变成我们现在的(英文),或者是中心化、层次化授权的体系,这些问题我觉得还是难度挺大的。
我们可以看到现在DNS实际上因为他的基础设施,他的服务规模,他的产业结构已经有非常大的基础,我们在考虑未来网络这些应用的时候,对内容、对数据进行服务,对内容进行标识,提供名字服务的时候我们还是会借鉴DNS,我们不管成功还是不成功的经验都会对我们设计新的服务体系或者是新的服务,甚至于说新的通信网络架构都会有一定的借鉴意义,如果大家有一些做这方面研究工作的时候也可以关注一下这些方向。
以上是我分享的内容,谢谢大家。