中国域名服务体系安全管理研究.docVIP

国家域名服务体系安全评估报告 中国互联网络信息中心 CNNIC 目 录 1前言 4 1.1 DNS介绍 4 1.1.1域名系统基本概念 4 1.1.2域名解析的流程 4 1.1.3 域名系统的重要作用 6 1.2中国域名服务体系定义 11 1.3中国域名服务体系分类 11 1.3.1域名根服务系统 11 1.3.2顶级域名服务系统 12 1.3.2 其他各级域名服务系统 13 1.3.3 递归域名服务系统 13 1.4评估方法 14 1.4.1 技术手段 14 1.4.2 分析方法 15 2域名根服务系统 16 2.1现有问题 16 2.2建议 17 3 顶级域名服务系统 18 3.1CNNIC管理的CN国家顶级域名服务系统 18 3.1.1安全现状 18 3.1.2存在的问题 22 3.1.3解决建议 23 3.2 CERNET管理的国家顶级域名服务节点 24 3.2.1 现状及问题 24 3.2.2建议 25 3.3 COM等境外顶级域名服务系统 25 3.3.1存在问题 25 3.3.2解决方法 26 4其他各级域名服务系统 27 4.1 CNNIC管理的COM.CN等CN二级域名服务系统 27 4.2 CERNET管理的EDU.CN域名服务系统 27 4.4注册管理机构管理的域名服务系统 28 4.4.1现状及问题 28 4.4.2解决建议 29 4.5各行业自我管理的域名服务系统 30 4.5.1现状及问题 30 4.5.2解决建议 31 5递归域名服务系统 31 5.1问题及现状 31 5.2建议 32 6其他国家关于域名服务体系的状况比较 33 6.1.域名服务软件研发 33 6.2.技术标准化 34 6.3.运行部署 34 7 总结 35 7.1 问题汇总 35 7.1.1 对域名根服务系统无管理权 35 7.1.2 域名服务系统软件几乎全部依赖境外软件 35 7.1.3 域名服务的运行管理标准不统一 36 7.1.4 域名服务缺乏统一的管理、监控和分析 36 7.1.5 对COM等境外顶级域的监管难度大 36 7.2 解决建议 37 附件一、域名服务器部署状况调查表 40  1前言 1.1 DNS介绍 1.1.1域名系统基本概念 域名系统（Domain Name System，DNS）是一项基础的网络服务，其主要作用是完成从域名到IP地址的翻译转换，负责实现互联网绝大多数应用的实际寻址过程。作为Internet重要的基础设施，除基本的域名服务外，DNS在网络流量均衡、移动IP等方面也有着重要的应用。一般来说，绝大多数的网络访问行为都会使用到DNS服务。由于DNS联结着互联网网络层和应用层，DNS成为互联网应用的神经中枢。 DNS服务器从功能上可以分为两部分，即权威服务器和递归服务器构成。权威服务器负责管理和维护域名以及IP地址相关的数据，形成一个分布式的数据库，从而为用户提供信息，而且这个分布式的数据库在逻辑上形成一个树形的上下级授权体系。递归服务器负责处理上网用户的查询行为，帮助其从权威服务器获取相关信息。 1.1.2域名解析的流程 DNS的结构是一棵树形结构，由根域（Root Domain）、顶级域（Top Level Domain），以及多级子域名（Subdomain）组成，如图1所示。 图1 DNS的树形结构 在这些级别中，最顶级的域划分为基于国家代码的顶级域（ccTLD）和通用顶级域(gTLD)两类。如中国负责管理的.CN域名属于ccTLD范畴。 DNS域名解析服务流程表示在图2中。DNS的一次解析涉及到各级DNS系统，包括本地递归DNS服务器，各级权威服务器，以及根。 图2 DNS名字解析流程 由于DNS使用了缓存（cache）技术，通过用户在本地使用的递归服务器来缓存查询结果，从而优化查询性能以及减轻权威服务器的查询压力。 1.1.3 域名系统的重要作用 如果域名系统出现故障，互联网的各项应用包括浏览网站、发送邮件、下载文件等都将不能使用，互联网将陷于瘫痪，因此域名系统也称为互联网的中枢神经。 根据中国互联网络信息中心统计，域名查询量以年均近100%的速度激增。随着未来各种互联网应用的快速开展，可以预见域名查询量将会远远超过电话交换的数量，域名系统的稳定性和性能将极大的影响到互联网的稳定性，进而影响到我国信息化基础设施的稳定和安全。 DNS通过提供分布式的数据管理、提供用户查询服务等影响到互联网应用的全部过程。随着越来越多的网络应用开始依赖于域名系统，DNS在互联网中所处的位置决定了域名系统在国家信息化产业链中是一个基本的和必须的保障性设施，这体现在以下三个方面： 首先，域名系统是整个互联网应用的一个基础性服务