以下为中国工程院院士邬贺铨,在“网络根基 中国贡献”——第三届下一代DNS发展论坛上的主题报告:《DNS与韧性网络》摘要版。
邬贺铨院士指出,习近平总书记在2022年G20峰会上,就曾提出“我们要推动更加韧性的全球发展”。2015年,联合国机构间常设委员会(IASC)曾就“韧性”给出过一个定义,指个体、机构以及社会面对各类风险时的预防、抵御、适应与恢复的体系化能力。2021年12月,美国 NIST SP 800-160 Vol. 2 Rev. 1 提出,“网络韧性”,是指当网络资源遭遇打击、攻击或破坏时,网络资源使用者所具备的预测、承受、恢复和适应的能力。目前,网络韧性已受到了各国的普遍重视,欧盟在2022年、美国在2023年分别发布网络韧性法案与白皮书;2023年,联合国第34个国际减灾日的主题是《共同打造有韧性的未来》。
邬院士表示,互联网的韧性表现为八个方面,分别是域名解析防劫持、在断根时服务的生存性;源地址与目的地地址及域间地址的真实性;源用户与目的用户身份的可证性;路由合理、可溯源、路由必达的鲁棒性;数据不丢包、防篡改、防泄漏的可信性;网络架构的高弹性;网络基础设施的抗毁性;网络资源与服务的可用性。
从域名解析体系的演进来看,DNS(数字域名服务器)使用易记忆的域名代替用数字表示的IP地址。由递归服务器以递归方式或由客户以迭代方式从根服务器起逐级查询。因此,整个DNS系统是层次化的。邬院士指出,从1987年,建立DNS体系,RFC1034/1035起,到2023年区域根概念,即DNS4EU,其间经历了不断地演进。
围绕“DNS数据可信与根镜像服务器”“域名服务器的物理安全”“递归解析服务器与云解析DNS”“DNS递归解析服务器与本地根”“跨国韧性DNS服务的探索”“IP地址的溯源与认证”“数据流动的合规可管性”“数据路由管控与韧性保障”等方面,邬院士详细阐述了所存在的问题、应对策略,以及现状挑战。
邬院士表示,中国全功能接入互联网30年,互联网已经渗透到社会生产生活的方方面面,对网络关键基础设施的依赖越加显著,网络需要向着智简、绿色、安全、韧性发展。并强调,DNS本身是互联网的基础资源,也是接入互联网基础资源的抓手,DNS系统运行安全与韧性至关重要。邬院士指出,自DNS系统建立的30多年,DNS技术不断演进,但DNS的韧性仍然面临不少挑战,这也是DNS技术持续发展的重要推动力。近年来一些国家特别关注DNS根解析服务的本国可管理性,引发DNS体系新一轮创新。DNS的安全可信与互联网韧性安全的其它因素互为依赖,需要从地址、身份、数据、路由、传输以及物理设施等多维度共同打造安全韧性网络。