淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)課件

淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)1互聯(lián)網(wǎng)（TCP/IP網(wǎng)絡(luò)）的內(nèi)在矛盾冷戰(zhàn)催生的簡(jiǎn)化的、無(wú)需鏈路控制的、缺乏安全和信用機(jī)制網(wǎng)絡(luò)，發(fā)展為支撐全球化的、跨邊界的、與社會(huì)經(jīng)濟(jì)活動(dòng)緊密融合的復(fù)雜環(huán)境。簡(jiǎn)化的、邊界明晰的、用戶互信的 >> 全球化的、無(wú)界的、緊密融合的互聯(lián)網(wǎng)（TCP/IP網(wǎng)絡(luò)）的內(nèi)在矛盾冷戰(zhàn)催生的簡(jiǎn)化的、無(wú)需鏈2互聯(lián)網(wǎng)基礎(chǔ)資源的分配模式DNSIP地址CANTP和管理架構(gòu)樹 便狀 于結(jié) 自構(gòu) 頂?shù)?向業(yè) 下務(wù) 的體 管系 控互聯(lián)網(wǎng)基礎(chǔ)資源的分配模式DNSIP地址CANTP和管理3互聯(lián)網(wǎng)基礎(chǔ)資源的服務(wù)架構(gòu)用戶端第三方代理資源管理者互聯(lián)網(wǎng)基礎(chǔ)資源的服務(wù)架構(gòu)用戶端第三方代理資源管理者4互聯(lián)網(wǎng)基礎(chǔ)資源管理和服務(wù)的內(nèi)在矛盾終極目標(biāo)：用戶端、第三方代理、資源管理者三方的權(quán)力平衡資源管理者自頂向下的逐級(jí)分配和控制原則唯一、精確、完整、真實(shí)最后一公里的本地管轄和商業(yè)利益訴求安全可控服務(wù)水平SLA客戶價(jià)值用戶體驗(yàn)和個(gè)性化需求例子：來(lái)電號(hào)碼助手資源管理者第三方服務(wù)者用戶互聯(lián)網(wǎng)基礎(chǔ)資源管理和服務(wù)的內(nèi)在矛盾終極目標(biāo)：用戶端、第三方代5IP地址管理及服務(wù)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)IP地址管理及服務(wù)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)6NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶IP地址-全球分配體系NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶7IP地址全球管理模式滯后70年代，IP地址最初只在美國(guó)科研機(jī)構(gòu)和大學(xué)內(nèi)分配80年代至90年代互聯(lián)網(wǎng)向歐洲和亞洲擴(kuò)展，在歐洲核子研究中心（CERN）網(wǎng)絡(luò)協(xié)調(diào)機(jī)構(gòu)的基礎(chǔ)上形成了以歐洲互聯(lián)網(wǎng)信息中心（RIPE

NCC），在亞洲互聯(lián)網(wǎng)先發(fā)國(guó)家日本和澳大利亞的網(wǎng)絡(luò)社群內(nèi)形成了亞太互聯(lián)網(wǎng)信息中心（APNIC），同時(shí)非洲、拉美以及北美本土的IP地址分配服務(wù)也在萌芽醞釀。美國(guó)政府在1998年強(qiáng)勢(shì)宣布其對(duì)IANA的管理權(quán)，在加強(qiáng)對(duì)域名根服務(wù)器系統(tǒng)的管控力度同時(shí)，對(duì)互聯(lián)網(wǎng)IP地址社群做出了妥協(xié)，非洲、拉美和北美社群加快成立各自的IP地址分配機(jī)構(gòu)（ARFINIC、LANIC、ARIN）。在IP地址分配業(yè)務(wù)上，五大洲地址分配機(jī)構(gòu)為注冊(cè)在各地區(qū)的獨(dú)立法人，并不隸屬于IANA。IANA僅對(duì)超大快IP地址進(jìn)行大洲級(jí)的分配，五大機(jī)構(gòu)對(duì)本地區(qū)內(nèi)的終端用戶進(jìn)行實(shí)際IP地址分配，享有很大的自主運(yùn)營(yíng)和政策權(quán)，且自發(fā)成立了地址協(xié)調(diào)聯(lián)盟機(jī)構(gòu)NRO，獨(dú)立于ICANN/IANA體系。IP地址全球管理模式滯后70年代，IP地址最初只在美國(guó)科研機(jī)8五大RIR的政策差異性RIPE

NCC雖名為歐洲互聯(lián)網(wǎng)信息中心，但是其業(yè)務(wù)政策已經(jīng)向全球開放，不限于歐洲，任何國(guó)家的終端用戶都可以RIPE

NCC申請(qǐng)IP地址，也可以攜帶地址轉(zhuǎn)移到APNIC等其他四家機(jī)構(gòu)。北美ARIN本質(zhì)上也是歐洲模式，允許自由分配和轉(zhuǎn)移，但在外圍設(shè)計(jì)包裝了更多政策門檻，屬于“半自由”。亞太APNIC和拉美LANIC只為本地區(qū)服務(wù)，不允許其它地區(qū)用戶申請(qǐng)，但允許用戶攜帶地址轉(zhuǎn)移。非洲AFRINIC既不允許其它地區(qū)用戶申請(qǐng)，也不允許用戶攜地址轉(zhuǎn)移出去，最為封閉。五大RIR的政策差異性RIPENCC雖名為歐洲互聯(lián)網(wǎng)信息中9政策差異性帶來(lái)的IP地址流動(dòng)隨著全球IPv4地址的耗盡，各地區(qū)互聯(lián)網(wǎng)發(fā)展規(guī)模及網(wǎng)民數(shù)量的不平衡，引發(fā)了如下現(xiàn)狀：大量新興互聯(lián)網(wǎng)國(guó)家（典型如中國(guó)）公司機(jī)構(gòu)采用各種辦法向其他大洲IP地址管理機(jī)構(gòu)申請(qǐng)，最常見的方式是在各洲當(dāng)?shù)貒?guó)家注冊(cè)一批子公司或殼公司，已本地公司的名義申請(qǐng)、向原IP地址持有者發(fā)起溢價(jià)購(gòu)買，待買入IP地址后，再轉(zhuǎn)移回母公司所在地區(qū)，或者根本不轉(zhuǎn)移直接在全球進(jìn)行路由廣播。我國(guó)對(duì)IP地址的管理較為嚴(yán)格，IP地址非備案不得用來(lái)廣播和使用，備案系統(tǒng)需要應(yīng)對(duì)這種趨勢(shì)（除了傳統(tǒng)的APNIC會(huì)員地址、CNNIC會(huì)員地址、工信部地址聯(lián)盟會(huì)員地址外的碎片化國(guó)際來(lái)源IP地址）。IP地址的全球流動(dòng)和碎片化也進(jìn)一步擴(kuò)大了IP地址使用(運(yùn)營(yíng)商路由)過(guò)程中的安全威脅，引出了RPKI和BGPSEC技術(shù)。政策差異性帶來(lái)的IP地址流動(dòng)隨著全球IPv4地址的耗盡，各地10IP地址認(rèn)證的缺失導(dǎo)致BGP路由安全問(wèn)題IP地址認(rèn)證的缺失導(dǎo)致BGP路由安全問(wèn)題11IP地址安全新技術(shù)：RPKI及BGPSEC五大機(jī)構(gòu)無(wú)法阻止資本流動(dòng)帶來(lái)的IP地址使用權(quán)流動(dòng)和應(yīng)用流動(dòng)，采用新型安全認(rèn)證技術(shù)手段RPKI來(lái)確保IP地址的所有者和使用者一致；而新型安全認(rèn)證技術(shù)有可能進(jìn)一步加大五大機(jī)構(gòu)的獨(dú)立性，沖擊到IANA作為最高分配者和協(xié)調(diào)者的地位。IP地址安全新技術(shù)：RPKI及BGPSEC五大機(jī)構(gòu)無(wú)法阻止資12RPKI體系結(jié)構(gòu)RPKI體系結(jié)構(gòu)13RPKI的風(fēng)險(xiǎn)和機(jī)遇RPKI引發(fā)了RIR和IANA的矛盾，未來(lái)互聯(lián)網(wǎng)治理的新熱點(diǎn)RPKI引入了“IP地址根”概念，RIR從IP地址分配機(jī)構(gòu)變成了IP地址認(rèn)證機(jī)構(gòu)RPKI把IP地址路由技術(shù)風(fēng)險(xiǎn)轉(zhuǎn)移成為RIR的管理風(fēng)險(xiǎn)RPKI要求ISP運(yùn)營(yíng)商的域間路由器進(jìn)行升級(jí)，并搭建單獨(dú)的認(rèn)證系統(tǒng)我國(guó)科研工作者貢獻(xiàn)提出支持本地認(rèn)證的RPSTIR方案和原型系統(tǒng)ICANN與NRO之間，各國(guó)本地RPSTIR與NRO

RPKI服務(wù)器之間的關(guān)系有待厘清RPKI的風(fēng)險(xiǎn)和機(jī)遇RPKI引發(fā)了RIR和IANA的矛盾，未14淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)域名系統(tǒng)及根服務(wù)器體系淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)域名系統(tǒng)及根服務(wù)器體系15全球互聯(lián)網(wǎng)域名體系及管理架構(gòu)ICANN（The

Internet

CorporationforAssigned

Names

and

Numbers

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）負(fù)責(zé)IP地址的分配、頂級(jí)域名（TLD）的管理、以及根服務(wù)器管理。國(guó)家和地區(qū)頂級(jí)域，屬于主權(quán)范圍，政府授權(quán)，自行管理通用頂級(jí)域，由ICANN批準(zhǔn)，并與注冊(cè)管理機(jī)構(gòu)簽署協(xié)議授權(quán)其運(yùn)營(yíng)和管理新通用頂級(jí)域，ICANN適時(shí)全面開放多語(yǔ)種頂級(jí)域，并采取政策、技術(shù)、市場(chǎng)等多手段全面控制?！?”ccTLDgTLD.CN.DE .UK….COM.NET.ORG…英文IDN.中國(guó).香港…(254個(gè))NewgTLD英文IDN.？.公司 .網(wǎng)絡(luò) .政務(wù) .公益 ….？全球互聯(lián)網(wǎng)域名體系及管理架構(gòu)ICANN（TheIntern16域名體系是通過(guò)最頂層的管理者逐級(jí)授權(quán)而不斷延伸生長(zhǎng)出的一棵數(shù)據(jù)樹。作為這棵數(shù)的樹根，域名根系統(tǒng)理論上具最高的數(shù)據(jù)管理權(quán)。域名系統(tǒng)及域名根服務(wù)器的重要性域名體系是通過(guò)最頂層的管理者逐級(jí)授權(quán)而不斷延伸生長(zhǎng)出的一棵數(shù)17根區(qū)數(shù)據(jù)管理（PTI/IANA)記錄頂級(jí)域服務(wù)器名稱及其IP地址的對(duì)應(yīng)關(guān)系，完成根區(qū)文件的修訂和編輯，是IANA的核心職能。根區(qū)文件需要寫入根區(qū)數(shù)據(jù)庫(kù)服務(wù)器并分發(fā)給所有的根服務(wù)器，根區(qū)數(shù)據(jù)庫(kù)不對(duì)外公開提供解析服務(wù)，相當(dāng)于被隱藏的主根（或稱母根）。根服務(wù)器根服務(wù)器依據(jù)根區(qū)文件提供頂級(jí)域信息提供解析服務(wù)，并可根據(jù)需要與各國(guó)各地區(qū)的本地托管機(jī)構(gòu)合作設(shè)立鏡像服務(wù)器。根服務(wù)器運(yùn)行機(jī)構(gòu)負(fù)責(zé)管理各自的根服務(wù)器，相互之間獨(dú)立且地位平等，均以志愿者方式提供解析服務(wù)，與ICANN基于相互信任關(guān)系進(jìn)行合作，但與ICANN互不隸屬。ABCDEFGHIJKLM根區(qū)文件VeriSignDeNIC…各頂級(jí)域管理機(jī)構(gòu) 根區(qū)數(shù)據(jù)管理機(jī)構(gòu) 根服務(wù)器運(yùn)行機(jī)構(gòu) 鏡像合作機(jī)構(gòu) 網(wǎng)絡(luò)運(yùn)行商

CNNIC 域名根系統(tǒng)功能結(jié)構(gòu)劃分根區(qū)數(shù)據(jù)管理（PTI/IANA)ABCDEF18DNS：RFC1034

1035名字空間分級(jí)自治君上之君、非我之君臣下之臣、非我之臣DNS：RFC10341035名字空間分級(jí)自治19DNS：RFC1034

1035ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

Server查詢?cè)L問(wèn)依靠代理選擇、授權(quán)、代議DNS：RFC10341035ComputerISPRe20DNS設(shè)計(jì)初衷被扭曲ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

ServerBusinessRecursive

ResolverDNS設(shè)計(jì)初衷被扭曲ComputerStubResol21DNSSEC在權(quán)威域名樹領(lǐng)域的安全擴(kuò)展90年代后期，IETF成立了工作組專門研究DNSSEC安全擴(kuò)展協(xié)議（DNSSecurity

Extensions），利用經(jīng)典的加密算法和簽名機(jī)制，完善了原有DNS體系的不足之處，從而形成一整套的DNSSEC解決方案。DNSSEC賦予了根服務(wù)器一個(gè)新的角色，即，作為驗(yàn)證證書簽名有效性的最高節(jié)點(diǎn)（通常被稱作信任錨），進(jìn)一步推升了根服務(wù)器作為全球互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施的重要性。全球的互聯(lián)網(wǎng)域名用戶，不僅依賴根系統(tǒng)完成域名解析，而且不得不依賴根系統(tǒng)對(duì)域名的完整性、真實(shí)性進(jìn)行驗(yàn)證。在無(wú)法保證域名訪問(wèn)路徑可控的情況下，通用應(yīng)用密碼學(xué)PKI體系來(lái)加強(qiáng)數(shù)據(jù)可控。DNSSEC在權(quán)威域名樹領(lǐng)域的安全擴(kuò)展90年代后期，IETF22DOH/DOT在最后一公里用戶側(cè)的安全擴(kuò)展DNSover

HTTPSDNSover

TLSDoH&

DoTDOH/DOT在最后一公里用戶側(cè)的安全擴(kuò)展DNSover23DNSSEC和DoH/DoT對(duì)本地DNS服務(wù)的機(jī)遇和挑戰(zhàn)DNSSEC引發(fā)的遞歸本地根方案RFC7706運(yùn)營(yíng)商擁有了合規(guī)合理的介入根管理的技術(shù)手段DoH/DoT對(duì)運(yùn)營(yíng)商域名服務(wù)的旁路沖擊已有商業(yè)域名服務(wù)瀏覽器甚至應(yīng)用APP都可以嵌入DoH/DoT功能DNSSEC和DoH/DoT對(duì)本地DNS服務(wù)的機(jī)遇和挑戰(zhàn)DN24CA證書WEB應(yīng)用的管理模式變化淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)CA證書WEB應(yīng)用的管理模式變化淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演25Web

PKI

信任模型及結(jié)構(gòu)性缺陷圖https連接的建立過(guò)程（正常）圖https連接的建立過(guò)程（中間人攻擊）WebPKI信任模型及結(jié)構(gòu)性缺陷圖https連接的建立過(guò)26CertificateTransparency信任模型對(duì)現(xiàn)有的SSL證書系統(tǒng)的補(bǔ)充，并非替代CT信任模型有三部分組成：Certificate

Log 證書日志Certificate

Monitor

證書監(jiān)控Certificate

Auditor 證書審計(jì)CertificateTransparency信任模型對(duì)現(xiàn)27CT應(yīng)用目標(biāo)CT并不能阻止CA簽發(fā)錯(cuò)誤或虛假證書，但是它能讓人們清楚看到CA簽發(fā)所有證書，從而使檢測(cè)這些證書的過(guò)程變得相對(duì)容易CA難以錯(cuò)發(fā)證書公開、實(shí)時(shí)性的監(jiān)督和審計(jì)，確定證書是否錯(cuò)發(fā)用戶能夠識(shí)別惡意／錯(cuò)誤證書CT應(yīng)用目標(biāo)CT并不能阻止CA簽發(fā)錯(cuò)誤或虛假證書，但是它能讓28對(duì)CT及Web

PKI的發(fā)散思考CT機(jī)制出發(fā)點(diǎn)是通過(guò)引入審計(jì)，從而分散CA的權(quán)力瀏覽器等終端的支持行業(yè)CT聯(lián)盟（準(zhǔn)入機(jī)制？）安全密碼算法DoH

+

CT ？！如果未來(lái)DoH成為重要的DNS用戶側(cè)實(shí)現(xiàn)方式如果CT成為通用技術(shù)和安全模式域名問(wèn)題疊加證書管理問(wèn)題，證書成為基礎(chǔ)資源的基礎(chǔ)資源IETF協(xié)議工作的泛PKI化對(duì)CT及WebPKI的發(fā)散思考CT機(jī)制出發(fā)點(diǎn)是通過(guò)引入審計(jì)29謝謝謝謝30淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)31互聯(lián)網(wǎng)（TCP/IP網(wǎng)絡(luò)）的內(nèi)在矛盾冷戰(zhàn)催生的簡(jiǎn)化的、無(wú)需鏈路控制的、缺乏安全和信用機(jī)制網(wǎng)絡(luò)，發(fā)展為支撐全球化的、跨邊界的、與社會(huì)經(jīng)濟(jì)活動(dòng)緊密融合的復(fù)雜環(huán)境。簡(jiǎn)化的、邊界明晰的、用戶互信的 >> 全球化的、無(wú)界的、緊密融合的互聯(lián)網(wǎng)（TCP/IP網(wǎng)絡(luò)）的內(nèi)在矛盾冷戰(zhàn)催生的簡(jiǎn)化的、無(wú)需鏈32互聯(lián)網(wǎng)基礎(chǔ)資源的分配模式DNSIP地址CANTP和管理架構(gòu)樹 便狀 于結(jié) 自構(gòu) 頂?shù)?向業(yè) 下務(wù) 的體 管系 控互聯(lián)網(wǎng)基礎(chǔ)資源的分配模式DNSIP地址CANTP和管理33互聯(lián)網(wǎng)基礎(chǔ)資源的服務(wù)架構(gòu)用戶端第三方代理資源管理者互聯(lián)網(wǎng)基礎(chǔ)資源的服務(wù)架構(gòu)用戶端第三方代理資源管理者34互聯(lián)網(wǎng)基礎(chǔ)資源管理和服務(wù)的內(nèi)在矛盾終極目標(biāo)：用戶端、第三方代理、資源管理者三方的權(quán)力平衡資源管理者自頂向下的逐級(jí)分配和控制原則唯一、精確、完整、真實(shí)最后一公里的本地管轄和商業(yè)利益訴求安全可控服務(wù)水平SLA客戶價(jià)值用戶體驗(yàn)和個(gè)性化需求例子：來(lái)電號(hào)碼助手資源管理者第三方服務(wù)者用戶互聯(lián)網(wǎng)基礎(chǔ)資源管理和服務(wù)的內(nèi)在矛盾終極目標(biāo)：用戶端、第三方代35IP地址管理及服務(wù)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)IP地址管理及服務(wù)淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)36NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶IP地址-全球分配體系NIRLIRLIRISP用戶ISPISP用戶用戶用戶用戶用戶37IP地址全球管理模式滯后70年代，IP地址最初只在美國(guó)科研機(jī)構(gòu)和大學(xué)內(nèi)分配80年代至90年代互聯(lián)網(wǎng)向歐洲和亞洲擴(kuò)展，在歐洲核子研究中心（CERN）網(wǎng)絡(luò)協(xié)調(diào)機(jī)構(gòu)的基礎(chǔ)上形成了以歐洲互聯(lián)網(wǎng)信息中心（RIPE

NCC），在亞洲互聯(lián)網(wǎng)先發(fā)國(guó)家日本和澳大利亞的網(wǎng)絡(luò)社群內(nèi)形成了亞太互聯(lián)網(wǎng)信息中心（APNIC），同時(shí)非洲、拉美以及北美本土的IP地址分配服務(wù)也在萌芽醞釀。美國(guó)政府在1998年強(qiáng)勢(shì)宣布其對(duì)IANA的管理權(quán)，在加強(qiáng)對(duì)域名根服務(wù)器系統(tǒng)的管控力度同時(shí)，對(duì)互聯(lián)網(wǎng)IP地址社群做出了妥協(xié)，非洲、拉美和北美社群加快成立各自的IP地址分配機(jī)構(gòu)（ARFINIC、LANIC、ARIN）。在IP地址分配業(yè)務(wù)上，五大洲地址分配機(jī)構(gòu)為注冊(cè)在各地區(qū)的獨(dú)立法人，并不隸屬于IANA。IANA僅對(duì)超大快IP地址進(jìn)行大洲級(jí)的分配，五大機(jī)構(gòu)對(duì)本地區(qū)內(nèi)的終端用戶進(jìn)行實(shí)際IP地址分配，享有很大的自主運(yùn)營(yíng)和政策權(quán)，且自發(fā)成立了地址協(xié)調(diào)聯(lián)盟機(jī)構(gòu)NRO，獨(dú)立于ICANN/IANA體系。IP地址全球管理模式滯后70年代，IP地址最初只在美國(guó)科研機(jī)38五大RIR的政策差異性RIPE

NCC雖名為歐洲互聯(lián)網(wǎng)信息中心，但是其業(yè)務(wù)政策已經(jīng)向全球開放，不限于歐洲，任何國(guó)家的終端用戶都可以RIPE

NCC申請(qǐng)IP地址，也可以攜帶地址轉(zhuǎn)移到APNIC等其他四家機(jī)構(gòu)。北美ARIN本質(zhì)上也是歐洲模式，允許自由分配和轉(zhuǎn)移，但在外圍設(shè)計(jì)包裝了更多政策門檻，屬于“半自由”。亞太APNIC和拉美LANIC只為本地區(qū)服務(wù)，不允許其它地區(qū)用戶申請(qǐng)，但允許用戶攜帶地址轉(zhuǎn)移。非洲AFRINIC既不允許其它地區(qū)用戶申請(qǐng)，也不允許用戶攜地址轉(zhuǎn)移出去，最為封閉。五大RIR的政策差異性RIPENCC雖名為歐洲互聯(lián)網(wǎng)信息中39政策差異性帶來(lái)的IP地址流動(dòng)隨著全球IPv4地址的耗盡，各地區(qū)互聯(lián)網(wǎng)發(fā)展規(guī)模及網(wǎng)民數(shù)量的不平衡，引發(fā)了如下現(xiàn)狀：大量新興互聯(lián)網(wǎng)國(guó)家（典型如中國(guó)）公司機(jī)構(gòu)采用各種辦法向其他大洲IP地址管理機(jī)構(gòu)申請(qǐng)，最常見的方式是在各洲當(dāng)?shù)貒?guó)家注冊(cè)一批子公司或殼公司，已本地公司的名義申請(qǐng)、向原IP地址持有者發(fā)起溢價(jià)購(gòu)買，待買入IP地址后，再轉(zhuǎn)移回母公司所在地區(qū)，或者根本不轉(zhuǎn)移直接在全球進(jìn)行路由廣播。我國(guó)對(duì)IP地址的管理較為嚴(yán)格，IP地址非備案不得用來(lái)廣播和使用，備案系統(tǒng)需要應(yīng)對(duì)這種趨勢(shì)（除了傳統(tǒng)的APNIC會(huì)員地址、CNNIC會(huì)員地址、工信部地址聯(lián)盟會(huì)員地址外的碎片化國(guó)際來(lái)源IP地址）。IP地址的全球流動(dòng)和碎片化也進(jìn)一步擴(kuò)大了IP地址使用(運(yùn)營(yíng)商路由)過(guò)程中的安全威脅，引出了RPKI和BGPSEC技術(shù)。政策差異性帶來(lái)的IP地址流動(dòng)隨著全球IPv4地址的耗盡，各地40IP地址認(rèn)證的缺失導(dǎo)致BGP路由安全問(wèn)題IP地址認(rèn)證的缺失導(dǎo)致BGP路由安全問(wèn)題41IP地址安全新技術(shù)：RPKI及BGPSEC五大機(jī)構(gòu)無(wú)法阻止資本流動(dòng)帶來(lái)的IP地址使用權(quán)流動(dòng)和應(yīng)用流動(dòng)，采用新型安全認(rèn)證技術(shù)手段RPKI來(lái)確保IP地址的所有者和使用者一致；而新型安全認(rèn)證技術(shù)有可能進(jìn)一步加大五大機(jī)構(gòu)的獨(dú)立性，沖擊到IANA作為最高分配者和協(xié)調(diào)者的地位。IP地址安全新技術(shù)：RPKI及BGPSEC五大機(jī)構(gòu)無(wú)法阻止資42RPKI體系結(jié)構(gòu)RPKI體系結(jié)構(gòu)43RPKI的風(fēng)險(xiǎn)和機(jī)遇RPKI引發(fā)了RIR和IANA的矛盾，未來(lái)互聯(lián)網(wǎng)治理的新熱點(diǎn)RPKI引入了“IP地址根”概念，RIR從IP地址分配機(jī)構(gòu)變成了IP地址認(rèn)證機(jī)構(gòu)RPKI把IP地址路由技術(shù)風(fēng)險(xiǎn)轉(zhuǎn)移成為RIR的管理風(fēng)險(xiǎn)RPKI要求ISP運(yùn)營(yíng)商的域間路由器進(jìn)行升級(jí)，并搭建單獨(dú)的認(rèn)證系統(tǒng)我國(guó)科研工作者貢獻(xiàn)提出支持本地認(rèn)證的RPSTIR方案和原型系統(tǒng)ICANN與NRO之間，各國(guó)本地RPSTIR與NRO

RPKI服務(wù)器之間的關(guān)系有待厘清RPKI的風(fēng)險(xiǎn)和機(jī)遇RPKI引發(fā)了RIR和IANA的矛盾，未44淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)域名系統(tǒng)及根服務(wù)器體系淺議互聯(lián)網(wǎng)基礎(chǔ)資源服務(wù)架構(gòu)演進(jìn)域名系統(tǒng)及根服務(wù)器體系45全球互聯(lián)網(wǎng)域名體系及管理架構(gòu)ICANN（The

Internet

CorporationforAssigned

Names

and

Numbers

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）負(fù)責(zé)IP地址的分配、頂級(jí)域名（TLD）的管理、以及根服務(wù)器管理。國(guó)家和地區(qū)頂級(jí)域，屬于主權(quán)范圍，政府授權(quán)，自行管理通用頂級(jí)域，由ICANN批準(zhǔn)，并與注冊(cè)管理機(jī)構(gòu)簽署協(xié)議授權(quán)其運(yùn)營(yíng)和管理新通用頂級(jí)域，ICANN適時(shí)全面開放多語(yǔ)種頂級(jí)域，并采取政策、技術(shù)、市場(chǎng)等多手段全面控制?！?”ccTLDgTLD.CN.DE .UK….COM.NET.ORG…英文IDN.中國(guó).香港…(254個(gè))NewgTLD英文IDN.？.公司 .網(wǎng)絡(luò) .政務(wù) .公益 ….？全球互聯(lián)網(wǎng)域名體系及管理架構(gòu)ICANN（TheIntern46域名體系是通過(guò)最頂層的管理者逐級(jí)授權(quán)而不斷延伸生長(zhǎng)出的一棵數(shù)據(jù)樹。作為這棵數(shù)的樹根，域名根系統(tǒng)理論上具最高的數(shù)據(jù)管理權(quán)。域名系統(tǒng)及域名根服務(wù)器的重要性域名體系是通過(guò)最頂層的管理者逐級(jí)授權(quán)而不斷延伸生長(zhǎng)出的一棵數(shù)47根區(qū)數(shù)據(jù)管理（PTI/IANA)記錄頂級(jí)域服務(wù)器名稱及其IP地址的對(duì)應(yīng)關(guān)系，完成根區(qū)文件的修訂和編輯，是IANA的核心職能。根區(qū)文件需要寫入根區(qū)數(shù)據(jù)庫(kù)服務(wù)器并分發(fā)給所有的根服務(wù)器，根區(qū)數(shù)據(jù)庫(kù)不對(duì)外公開提供解析服務(wù)，相當(dāng)于被隱藏的主根（或稱母根）。根服務(wù)器根服務(wù)器依據(jù)根區(qū)文件提供頂級(jí)域信息提供解析服務(wù)，并可根據(jù)需要與各國(guó)各地區(qū)的本地托管機(jī)構(gòu)合作設(shè)立鏡像服務(wù)器。根服務(wù)器運(yùn)行機(jī)構(gòu)負(fù)責(zé)管理各自的根服務(wù)器，相互之間獨(dú)立且地位平等，均以志愿者方式提供解析服務(wù)，與ICANN基于相互信任關(guān)系進(jìn)行合作，但與ICANN互不隸屬。ABCDEFGHIJKLM根區(qū)文件VeriSignDeNIC…各頂級(jí)域管理機(jī)構(gòu) 根區(qū)數(shù)據(jù)管理機(jī)構(gòu) 根服務(wù)器運(yùn)行機(jī)構(gòu) 鏡像合作機(jī)構(gòu) 網(wǎng)絡(luò)運(yùn)行商

CNNIC 域名根系統(tǒng)功能結(jié)構(gòu)劃分根區(qū)數(shù)據(jù)管理（PTI/IANA)ABCDEF48DNS：RFC1034

1035名字空間分級(jí)自治君上之君、非我之君臣下之臣、非我之臣DNS：RFC10341035名字空間分級(jí)自治49DNS：RFC1034

1035ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

Server查詢?cè)L問(wèn)依靠代理選擇、授權(quán)、代議DNS：RFC10341035ComputerISPRe50DNS設(shè)計(jì)初衷被扭曲ComputerStub

ResolverISPRecursive

ResolverCacheSeverRegistrationAuthoritative

ServerBusinessRecursive

ResolverDNS設(shè)計(jì)初衷被扭曲ComputerStubResol51DNSSEC在權(quán)威域名樹領(lǐng)域的安全擴(kuò)展90年代后期，IETF成立了工作組專門研究DNSSEC安全擴(kuò)展協(xié)議（DNSSecurity

Extensions），利用經(jīng)典的加密算法和簽名機(jī)制，完善了原有DNS體系的不足之處，從而形成一整套的DNSSEC解決方案。DNSSEC賦予了根服務(wù)器一個(gè)新的角色，即，作為驗(yàn)證證書簽名有效性的最高節(jié)點(diǎn)（通常被稱作信任錨），進(jìn)一步推升了根服務(wù)器作為全球互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施的重要性。全球的互聯(lián)網(wǎng)域名用戶，不僅依賴根系統(tǒng)完成域名解析，