第46次互联网名称与数字地址分配大会将在京召开

第46次ICANN（The Internet Corporation for Assigned Names and Numbers，互联网名称与数字地址分配机构）大会于2013年4月7日至11日在北京召开，来自全球各地的逾两千位互联网精英就互联网相关议题进行了深入探讨，其中DNSSEC（The Domain Name System Security Extensions，域名系统安全扩展）是其中的一项重点研讨议题。DNSSEC研讨会的时长超过六个小时，共有几十位全球DNSSEC专家就DNSSEC的发展现状及最新热点进行了研讨，由此可见全球互联网界对于域名安全问题的重视。

首先来简要回顾一下互联网域名安全问题的由来。在互联网发展的早期，互联网的先驱者为了方便互联网用户上网而设计了一个相对简单的域名系统（Domain Name System，DNS），该系统实现了易于识记的字符串（即域名）与不便于记忆的IP地址（一组十进制数字）之间的映射，极大地方便了互联网用户访问各类以域名作为标识的网络资源（如网站等）。早期的域名解析系统没有采取任何安全措施，它在一个可信的、纯净的环境里可以运行得很好，但是今天的互联网环境异常复杂，充斥着各种欺诈和攻击，DNS协议的脆弱性也就浮出水面。近年来，域名系统频频遭遇域名劫持、拒绝服务攻击、缓存中毒等各类网络攻击，给互联网用户的上网安全带来了严重威胁。

为提升DNS系统的安全性，国际标准化组织IETF（Internet Engineering Task Force，因特网工程任务组）从上世纪九十年代起开始着手制定DNS安全扩展方面的标准，这就是前述的DNSSEC。DNSSEC的原理并不复杂，它主要通过为DNS中的数据添加数字签名信息，使得客户端在得到应答消息后可以通过检查此签名信息来判断应答数据是否权威和真实，从而为DNS数据提供数据来源验证和数据完整性检验，可以防止针对DNS的相关攻击。但DNSSEC的安全是建立在秘钥的安全之上的，一旦秘钥泄露，安全就无从谈起。为确保秘钥的安全，DNSSEC一般要求定期进行秘钥的轮转，这就带来信息更新的问题。因而“动态”DNSSEC相关问题仍有很大的研究和改善空间，这也是本次DNSSEC研讨会的一个重点话题。相关专家提供了最新的解决方案，如新增一种名为“CDS”（Children Domain Signature，子域数字签名）的资源记录，以实现秘钥轮转后相关信息的自动更新，而这些信息的更新之前只能采用带外方式来实现。DNS系统的最大功能在于其实现了域名到IP地址的正向映射，其实DNS系统也提供了IP地址到域名的反向映射，而且这种反向映射能提供一定程度的安全性。与正向域的DNSSEC部署不同，反向域的DNSSEC部署还涉及到地址分配机构，流程相对复杂，因而如何对反向域进行DNSSEC升级改造是本次ICANN DNSSEC研讨会的又一重点。此外，本次研讨会还进一步讨论了基于DNSSEC的应用，即如何将DNSSEC作为一种公共信息安全基础设施，来为其它网络应用提供安全服务。

总之，DNSSEC就像一道坚固的盾牌，能有效防止域名劫持、缓存中毒等各类DNS安全问题，确保DNS系统的安全运行。但目前DNSSEC在全球范围内的部署应用还不尽如人意，本次ICANN DNSSEC研讨会的召开必将进一步推动DNSSEC在全球范围内的部署和普及，最终构筑起一道坚固的DNS安全之盾，将全球互联网带入一个更为安全、可信的新时代。（文/中国互联网络信息中心 邓光青）