-阿里云×CAICT中国信通院×清華大学网络科学与网络空间研究院 DNS+ 发展 白皮书 (2023年) "DNS+"DevelopmentWhitePaper 阿里云计算有限公司 中国信息通信研究院 清华大学网络科学与网络空间研究院 编写作者 染卓宋林健 陈剑刘志辉 刘保君丰道 马晨迪马永 孙俊哲沈建伟 嵇叶楠 孙宛月 张建光李贤达 张晓军赵华 注:白皮书编写团队由来自阿里云计算有限公司,中国信息通信研究院和清华大学的专家和学者组成 2 专家观点 在白皮书的策划、讨论和编撰期间,白皮书编撰小组通过线下研讨会、线上邮件和会议互动的方式与行业知名专家学者进行沟通,共商DNS+的发展观点和建议。下面收录了多位专家对“DNS+”发展提出的观点和建议 互联网已经渗透到社会经济的方方面面,影响我们每一天的生活与工作,域名解析系统 (DNS)默默无闻地起到对每一次网络访问的引领作用。DNS从诞生到现在经历了用户数激增、 域名数暴涨、新业务涌现、安全性凸显等挑战,尽管DNS的体系架构也在不断演进,但新的应用 场景与生态对DNS的考验有增无减,例如互联网进入到IPv6主导的时代,云计算及人工智能兴起对DNS提出了更高要求,国际形势的不确定性触发人们对DNS治理体系安全合理性的反思等,DNS持续创新尤有必要。本书以“DNS+"来概括DNS面对的新课题及发展应对的走向,也期待有志之士加入DNS研究与应用创新的行列。 邬贺铨中国工程院院土 DNS演进的成功和失败将是这一努力的起点,但跳出“DNS盒子”思考并认识到演进是持续不停的 也很重要。 PaulMockapetris互联网名人堂成员,1983年发明了域名系统(DNS),被人们称为“DNS之父” 域名系统(DNS)是互联网被遗忘的基石,几乎所有的应用都依赖于它的稳定与安全,DNS也 ,DNS也经常成为各种攻击的目标,域名资源也常成为恶意攻击和非法产业滥用的对象。DNS 随着互联网长期的演进发展中变得更加安全,所承载的功能和信任已经远远超过互联网先驱设 计者的初裹。特别是在云计算时代,“DNS+”意味看更多的机会、更大的责任;“网络异域,风险同 天”,一个安全的网络空间命运共同体,需要各国的政府、产业界和学术界的共同协作和努力。 段海新清华大学教授 以域名为核心的互联网关键基础资源是互联网发展的基础,其所承载服务的网站平台、核心系统、数字资产难以计数,是保障数字经济发展的重要根基。随着网络空间和实体经济的进一步融合,网络基础资源和公共服务体系正在迎来变革。面对新需求和新挑战,我国积极布局新型网络基础设施建设,构建了面向工业互联网基础资源的“工业互联网标识解析体系”以及面向价值互联网基础资源的“星火·链网”区块链基础设施。新的融合型基础资源和服务体系将成为数字经济时代产业服务的关键底座。 谢家贵中国信息通信研究院工业互联网和物联网研究所总工程师 的提出会促进以DNS域名为纽带的互联网行业应用,推动DNS行业进一步进行技术创新,为互联网DNS生态系统的不断演进提供新动能,有利于确保DNS作为互联网关键基础设施更好地支持未来的数字化需求和挑战,推动互联网行业发展。 姚健康IETF互联网架构委员会(IAB)委员 域名系统是互联网的关键资源与重要设施,在其数十年的演进中,在基本功能之上又不断延伸出新的能力,发挥出新的作用,关系着互联网的持续创新发展与安全稳定运行,也是互联网治理中备受关注的焦点领域。当前,域名系统安全与治理面临着新的挑战,同时也为网络安全和治理提供了有力抓手和工具,需要政产学研用各方形成合力,推动域名系统的技术、产业、应用、政策等研究与实践不断深化扩展,在更好保障域名安全的基础上,使得域名为国家网络安全与治理贡献更多价值。刘越中国信息通信研究院安全研究所副所长,正高级工程师 本白皮书很全面地介绍了“DNS+”的概念,也详细阐释了“DNS+”在新技术、新商业、新治理 三个方面体现出鲜明特征,这项工作非常有价值,希望这项工作能持续做下去。建议不仅在域名工 作圈和互联网技术圈进行发布,也利用公众号和其它渠道(包括多语种)做好“DNS+”的宣传普及 工作,以吸引行业对域名系统最新发展的关注,在人才培养、技术完善与创新、新型应用场景、安 全与治理,以及国际合作等多个方面得到更好的发展。马严北京邮电大学教授 阿里巴巴集团是较早布局DNS基础设施的企业,从规模化支撑电商业务、云计算的底座服务再到服务企业数字化转型,DNS发展的历程里,我们亲历了DNS互联互通能力在深度和广度上的持续变革,应用的规模化和多业态交织并进,正如在发生的,云计算、工业互联网、区块链和IPv6 等新技术和新业态融合渗透到数字化生活的方方面面。万物互联,寻址先行,以DNS为代表的各种网络标识服务是应用访问入口,关系到互联互通的技术演进、业务发展和生态治理,“DNS+应运而生,为产学研用提供一个新视角。梁卓阿里云DNS团队负责人 CONTENTS "DNS+"DevelopmentWhitePaper 前言 1"DNS+"E的概念 2"DNS+"现状和发展 10(一)规模化和高质量发展 11(二)平台化和安全保障 13(三)多业态融合和创新发展 14(四)技术普惠和生态共建 3"DNS+"产学研动态 16(一)我国"DNS+"建设发展 17(二)数字化转型实践 26(三)安全研究成果 32(四)技术标准工作 36(五)治理相关进展 4结语 前言 “十四五”期间是推进信息通信行业高质量发展、建设网络强国和数字 中国的关键时期。域名系统(DNS:DomainNameSystem)作为网络互联 互通关键基础设施,是网络资源寻址调度的入口,存储着海量用户上网访问数据,在网络安全和数学化治理中扮演看关键角色。欧盟、美国等国家针对DNS安全稳定和互联互通方面提出了具体行动计划。我国在《“十四五”信息通信行业发展规划》,《“十四五”软件和信息技术服务业发展规划》中也明确提出“加强公共域名服务安全保障能力建设”,“推进域名、标识等基础资源管理与服务的软件研发”等要求。 DNS已提出整四十年,期间互联网的规模、技术和应用发生了巨变,云 计算,工业互联网、区块链和IPv6等技术的逐渐发展,DNS在万物互联融合 服务方面的公共基础属性逐渐增强,以DNS为代表的各种网络标识服务的技术手段也不断发展,并趋于技术一体化、平台普惠化、治理的多样化 在此背景下,阿里云邀请并组建专家组讨论并提出了“DNS+”,即以 DNS体系为主,包含多种网络标识服务的广义网络生态概念。《“DNS+"发展白皮书(2023)》为认识“DNS+在新技术、新业态和新治理的发展视角 提供了框架,为更好理解、协调和推动该领域产学研用环节与当今蓬勃的数 字化深度结合,在新的发展机遇下各方加强共识、共享和共建为我国数字化 高质量发展贡献力量。 TheConceptof"DNs+" "DNS+"的概念 是管理和运行域名和IP资源的互联网关键基础设施,是人们访问互联网的入口,被誉为互联网的“中枢神经系统”,攸关 互联网安全稳定运行,也是支撑各国经济社会运行和推动数字经济发展的重要基础 域名(DomainName)的概念是DNS之父保罗·莫卡派乔斯(PaulMockapetris)在1983年RFC882中提出,距今已 有四十年。在过去四十年中,互联网的规模、技术和应用发生了翻天覆地的变化,而互联网标识、寻址这个领域依然是 DNS起到主要的作用。尤其是在近十年来看,DNS以其优秀的扩展能力和开放性,适应互联网的发展需求并不断地增加新的功能定位,支撑了当下数字经济蓬勃发展。 那么,什么是DNS?DNS常常被比喻成互联网的电话薄,存储着互联网上域名和服务地址的关系。当用户要访问一 IPv6)返回给用户,完成用户和服务的连接,如图1所示。 ② DNSRootserver www.example.com 5 UserLocalDNS ③ "com"TLDserver ④ example.com" DNSserver WebAPPlicationServer 图1域名解析的流程 从网络体系架构的视角看,DNS是一个网络通信协议,也是一个网络基础组件为网络连接提供域名和IP的查找功能,其特征是以网络连接为中心。当新型的移动互联网和云计算出现,为DNS提供的新应用场景和提出更高的要求,DNS不再只是服务于网络连接,而是围绕应用创建和部署为中心,其中应用即包括移动互联网应用,云计算产品,以及云原生应用等。在这个阶段,大型云计算平台为DNS服务提供了更高的弹性、高可用能力,DNS由网络基础功能演变为 通过APl可集成的PaaS/SaaS服务 7 传统企业自建/租用公共云集成混合云 IT基础设施同城双中心 云计算 专有云 多云+IDC 原生混合云 IDC 两地三中心云原生 融合超融合架构 DNS IT基础设施以应用为中心以融合为中心 DNS协议、CT模块DNS服务云化云端一体、智联万物 DNS+互联网资源DNS+各种云服务DNS+多云与IDC融合 图2DNS功能定位的演变 根据中国信通院2022年7月发布的《中国混合云用户发展调查报告》,企业IT基础设施的建设已经进入到“多云+传统IDC”融合的新阶段。DNS作为应用访问的第一跳,需要解决“公共云+专有云+传统IDC”等异构环境IT资源的全局性互联互通和统一调度,DNS开始围绕数字资产融合统管,服务融合场景下IT数字资产管理 当前,互联网已经成为数字经济领域,像水和电一样的关键信息基础设施,各类借助域名和DNS进行网络恶意攻击、域名滥用和诈骗活动的风险持续扩大,越来越多人开始关注和参与网络空间安全和治理领域的工作。这既涉及到全球域名,IP和基础设施资源管理政策,也涉及到区域性、平台型域名系统安全研究和治理。DNS成为国家关键信息基础 设施的重要组成部分,DNS在网络空间安全和治理方面的重要性日益凸显。 因此在这样的背景下,我们认为以DNS体系为主的泛IP寻址解析体系将持续在新技术、新业态、新治理三个领域 融合发展,与当今蓬勃的数字化深度结合,进入“DNS+”时代。图3描述了DNS为核心和起点,向新技术、新业态和新治 理三个生态维度的融合扩散,发展出的新的话题、功能和角色。具体来说,“DNS+”在新技术、新商业、新治理三个方面 体现出鲜明特征。 域名注册 IDN/中文域名 gTLD/ccTLD IDC建站运营和备案 域名托管 威胁情报 物联网标识 应用 DNS+ 新治理 许可 域名滥用 /反诈 DNS漏洞管理根区/镜像 Web3DNS4EU 新技术 区块链 DANE/DMARC 工业互联网IPv6云计算大数据 标识 CDNDIDWeb3 Handle/OID/VAA 图3“DNS+”在新技术、新业态和新治理的生态 8 在新技术方面,“DNS+”与云计算为代表的新型数字化技术融合创新。云计算、区块链、工业互联网和人工智能为代表的新型数字化技术不断地融入和改造人们的数字生活。一方面DNS很好的支撑包括移动互联网、5G、区块链,算力调度等各种新型数字化应用场景;一方面新型数字化技术也被应用在更好构建平台化的DNS,为DNS提供稳定高可 用、智能化、被集成、安全防护、支持多业态,以及平台一体化能力。例如与大数据技术结合生成实时域名安全情报,更 及时地拦截恶意域名;与各种加密传输技术结合,DNS变得更加注重数据隐私保护;与测量和可视化技术结合,让DNS业务具备可观测性。工业互联网标识解析体系和基于区块链的创新体系,进一步延伸DNS+的应用概念。 在这个领域活跃发挥作用的有技术标准组织,例如IETF、W3C、CCSA;有技术开源开放社区,如DNS-OARC、ISC (如BIND)、CNCF(如CoreDNS);也有产学研用比较突出的各类创新公司和研究机构。 在新业态方面,“DNS+融入和服务干行白业,助力数学化进程。随看数字化的升级,越来越多的企业将平台化的 DNS能力,融入到自身的数字化平台,通过API将平台化的DN