1、域名空間,1,2,域名解析過(guò)程,域名管理機(jī)構(gòu),3,安全隱患,4,防護(hù)措施,5,新機(jī)制的探索,6,交 流 內(nèi) 容,域名空間,DNS系統(tǒng)采用樹(shù)形結(jié)構(gòu)和分級(jí)授權(quán)的域名管理機(jī)制 Domain Name System Structure and Delegation (RFC 1591, March 1994) Internet Domain Name System Structure and Delegation (ICP-1, May 1999) 目前，一些原本是ccTLD的域，如.tv、.cc和.sh等都逐漸上升為gTLD（或當(dāng)做gTLD使用）,“.”,infTLD,ccTLD（252個(gè)）,gTL

2、D （20個(gè)）,.asia .cat .jobs .mobi .tel .travel,.cn .jp .af .de .mx .tv,.arpa,.biz .info .name .pro .aero .coop .museum,.com .net .org .int .gov .mil .edu,IDN,11個(gè),數(shù)據(jù)來(lái)源：/domains/root/db/#,根服務(wù)器的種類(lèi)與分布,域名根服務(wù)器三類(lèi)：主服務(wù)器、從服務(wù)器、鏡像服務(wù)器 主服務(wù)器負(fù)責(zé)維護(hù)ROOT ZONE文件；全球共有1個(gè)主根服務(wù)器(隱藏，網(wǎng)絡(luò)上不可見(jiàn)的) 從服務(wù)器定期從主服務(wù)器復(fù)制ROOT Z

3、ONE文件信息。全球共有13個(gè)從根服務(wù)器/domains/root/db 鏡像服務(wù)器是從服務(wù)器的鏡像，這些分布在各地的鏡像服務(wù)器與從服務(wù)器配置為一個(gè)任播組。鏡像服務(wù)器分布在全球10多個(gè)國(guó)家和地區(qū),根服務(wù)器的管理,所有根服務(wù)器均由美國(guó)政府授權(quán)的互聯(lián)網(wǎng)名字與編號(hào)分配機(jī)構(gòu)（ICANN）統(tǒng)一管理，負(fù)責(zé)全球的域名根服務(wù)器、域名體系和IP地址的管理。 ICANN的管理工作根據(jù)其與美國(guó)商務(wù)部達(dá)成的諒解備忘錄的內(nèi)容進(jìn)行。 對(duì)根服務(wù)器的具體管理與維護(hù)工作，則由ICANN以簽署協(xié)議的方式委托給一些組織或公司來(lái)完成。,/maps/root-s

4、ervers.htm,根服務(wù)器的配置,最早根服務(wù)器基本上是32位的計(jì)算機(jī)，隨著硬件性能的提高，目前根服務(wù)器的硬件設(shè)施正從32位的計(jì)算機(jī)向64位的計(jì)算機(jī)過(guò)渡（2004年年底基本過(guò)渡完畢） 根服務(wù)器基本采用雙機(jī)熱備份的工作方式，并且根服務(wù)器的網(wǎng)絡(luò)出口（鏈路與路由）至少有兩條（雙歸屬） 目前，在13個(gè)根服務(wù)器中只有K根服務(wù)器采用的NSD域名管理軟件，其余大部分采用BIND軟件。,通用頂級(jí)域(gTLD)基本情況,目前gTLD一共包括20個(gè)頂級(jí)域（77 + 6） 一類(lèi)是非受限注冊(cè)域名，任何人均可以提出對(duì)這些域名的申請(qǐng)。這些域名包.com、.net、.org、.biz、.info、.name等。 另一類(lèi)是

5、受限注冊(cè)域名，只有特定的組織提供特定的身份證明文件，才可以對(duì)這些域名提出申請(qǐng)。這些域名包括.edu、.gov、.int、.mil、.aero、.coop、.museum等。 以.int域?yàn)槔?，申?qǐng)者必須是滿足RFC1591中要求的受?chē)?guó)際條約約束的國(guó)際間組織。每一個(gè)組織只能申請(qǐng)一個(gè).int下的域名，并且域名申請(qǐng)與注冊(cè)是不收費(fèi)的。,gTLD服務(wù)器的管理與運(yùn)行現(xiàn)狀,對(duì)非受限注冊(cè)的gTLD（通用頂級(jí)域名）的注冊(cè)、維護(hù)、管理，在1999年9月以前由ICANN委托美國(guó)網(wǎng)絡(luò)解決方案公司（NSI）來(lái)獨(dú)家代理。 在1999年9月以后，ICANN對(duì)gTLD的管理機(jī)制進(jìn)行了改革： 打破了NSI對(duì)gTLD的注冊(cè)、維護(hù)

6、、管理的獨(dú)家壟斷局面，gTLD的注冊(cè)權(quán)力下放，引入競(jìng)爭(zhēng)機(jī)制。注冊(cè)人可以自由選擇任何一家經(jīng)過(guò)ICANN評(píng)估認(rèn)可，并與ICANN簽訂委托協(xié)議的域名注冊(cè)者進(jìn)行域名注冊(cè) 將域名爭(zhēng)議的調(diào)處權(quán)力外放給世界知識(shí)產(chǎn)權(quán)組織（WIPO）,.com/.net服務(wù)器的基本情況,目前，.com/.net的注冊(cè)、維護(hù)、管理由Verisign公司來(lái)負(fù)責(zé) .com/.net服務(wù)器全球共有13個(gè)，分別被放置在美國(guó)（8個(gè)）、英國(guó)（1個(gè)）、瑞典（1個(gè)）、荷蘭（1個(gè)）、日本（1個(gè)）和香港（1個(gè)）。,國(guó)家代碼類(lèi)頂級(jí)域（ccTLD）基本情況,目前，國(guó)家代碼類(lèi)頂級(jí)域一共有252個(gè)，分別對(duì)應(yīng)不同的國(guó)家和地區(qū)。 這些ccTLD域名也分為兩類(lèi)：

7、受限注冊(cè)域名與非受限注冊(cè)域名 對(duì)非受限注冊(cè)域名，任何人在任何地方均可注冊(cè)，如英國(guó)、丹麥、以色列、南非等； 對(duì)于受限注冊(cè)域名，需要憑地區(qū)身份或特定的法律文書(shū)注冊(cè)，如中國(guó)、日本、法國(guó)等100個(gè)國(guó)家和地區(qū)。,ccTLD服務(wù)器的管理與運(yùn)行現(xiàn)狀,對(duì)ccTLD（國(guó)別代碼頂級(jí)域名）的注冊(cè)、維護(hù)、管理原來(lái)由各國(guó)或地區(qū)的網(wǎng)絡(luò)信息中心來(lái)管理。 目前ccTLD的域名管理權(quán)力也在下放，將由各個(gè)國(guó)家或地區(qū)來(lái)授權(quán)一些機(jī)構(gòu)來(lái)負(fù)責(zé)其本區(qū)域的域名注冊(cè)、維護(hù)和管理工作。 在ccTLD域中.de和.uk域名注冊(cè)數(shù)量分別排在第一位和第二位。 我國(guó).cn服務(wù)器目前有7臺(tái)，分布在國(guó)內(nèi)4個(gè)不同的地點(diǎn)，全部由CNNIC控制。,.cn服務(wù)器的

8、部署,清華大學(xué)-教育網(wǎng),CNNIC自己的地址,基礎(chǔ)服務(wù)頂級(jí)域（infTLD）基本情況,在DNS域名系統(tǒng)中有一個(gè)特殊的頂級(jí)域：.arpa，它最早服務(wù)于美國(guó)軍方 在2000年它被重新詮釋為“Address and Routing Parameter Area” 用來(lái)支持一些互聯(lián)網(wǎng)上的基礎(chǔ)服務(wù)，如反向域名解析、IPV6域名解析、ENUM服務(wù)等 在.arpa頂級(jí)域下，目前有五個(gè)二級(jí)域，它們是：、、、、,,反向地址解析時(shí)的地址表示形式有兩種： 一種是用 “.”分隔的半字節(jié)16進(jìn)制數(shù)字格式，低位地

9、址在前，高位地址在后，域后綴是“IP6.INT.”。 另一種是二進(jìn)制串格式，以“”，域后綴是“IP6.ARPA.”。 半字節(jié)16進(jìn)制數(shù)字格式與“AAAA”對(duì)應(yīng)，是對(duì)IPv4的簡(jiǎn)單擴(kuò)展。 二進(jìn)制串格式與“A6”記錄對(duì)應(yīng)，可以支持地址層次特性每一級(jí)的授權(quán)用“DNAME”記錄。,,IETF的ENUM標(biāo)準(zhǔn)（RFC 2916）中建議在頂級(jí)域“”下存儲(chǔ)E.164號(hào)碼，用來(lái)在DNS中提供ENUM這種架構(gòu)性服務(wù)。 原來(lái)arpa服務(wù)器只有9臺(tái)，美國(guó)之外只有瑞典有1臺(tái)；2002年10月份美國(guó)商務(wù)部的批準(zhǔn)arpa服務(wù)器數(shù)目增加到目前的12臺(tái)，根服務(wù)器中除J以外都提供arpa解析服

10、務(wù)。 大部分根服務(wù)器可直接返回域名服務(wù)器記錄，減少了一級(jí)解析，提高的解析速度。 “.”服務(wù)器（共6個(gè)，其中一個(gè)為CNNIC管理） “.6.8.”（共2個(gè)，全部為CNNIC管理）,域名解析過(guò)程,DNS域名的解析采用客戶(hù)機(jī)/服務(wù)器模式 若在域名緩存中也沒(méi)有查詢(xún)到指定的記錄，則存在兩種查詢(xún)方式： 一種是迭代查詢(xún)（iterative） 另一種是遞歸查詢(xún)（recursive），又稱(chēng)轉(zhuǎn)寄查詢(xún)。,迭代查詢(xún)（iterative）,遞歸查詢(xún)（recursive）,Resolver, ?,root-server, A ?,“去問(wèn).com服務(wù)器

11、，它的IP地址是,gtld-server（.Com）, A ?,“去問(wèn)MYNET 服務(wù)器，它的IP地址是2”,MYNET-server, A ?,“9”,根服務(wù)器的IP地址,域名管理機(jī)構(gòu),自從上個(gè)世紀(jì)八十年代互聯(lián)網(wǎng)域名出現(xiàn)以來(lái)，國(guó)際域名管理機(jī)構(gòu)進(jìn)行了多次改革 管理機(jī)構(gòu)多次變革的實(shí)質(zhì)是：各國(guó)政府、國(guó)際組織與美國(guó)政府就全球域名管理體系控制權(quán)的爭(zhēng)奪 由于互聯(lián)網(wǎng)起源于美國(guó)ARPAnet，美國(guó)政府始終宣布其對(duì)域名管理體系有著最終的控制權(quán),域名管理機(jī)構(gòu)的起源,1989年: 因特網(wǎng)數(shù)字分配局（IANAInternet Assigned Nu

12、mbers Authority） 加州大學(xué)洛杉磯分校（UCLA）的Jon Postel開(kāi)發(fā)出域名系統(tǒng)，并完成了域名的平行管理方式向垂直樹(shù)狀管理方式的轉(zhuǎn)變。最終確定了域名體系結(jié)構(gòu)的核心。 ARPA與 Jon Postel簽訂開(kāi)發(fā)合同，在此基礎(chǔ)上形成了“因特網(wǎng)數(shù)字分配局”（Internet Assigned Numbers Authority ，即IANA），美國(guó)商務(wù)部（DOS）授權(quán)IANA對(duì)域名與IP地址進(jìn)行管理。 1995年:因特網(wǎng)協(xié)會(huì)（ISOCInternet Society）,域名管理機(jī)構(gòu)的變遷,1997年:IAHC“國(guó)際特別委員會(huì)”（IAHCInternational Ad Hoc Co

13、mmittee） 由于ITU認(rèn)為IANA沒(méi)有權(quán)利管理根服務(wù)器,1996年9月，IANA和ISOC又合作組織了“國(guó)際特別委員會(huì)”（International Ad Hoc Committee, 即IAHC），世界知識(shí)產(chǎn)權(quán)組織和國(guó)際電信聯(lián)盟也加入了活動(dòng)。 IAHC于1997年2月提出“關(guān)于類(lèi)別頂級(jí)域名的諒解備忘錄”（gTLD-MoU），提出了若干建議：增設(shè)7個(gè)新的類(lèi)別頂級(jí)域名；打破NSI域名注冊(cè)壟斷；建立國(guó)際仲裁機(jī)制，由世界知識(shí)產(chǎn)權(quán)組織解決跨國(guó)域名與商標(biāo)爭(zhēng)端。 這些建議同樣又遭到了來(lái)自不同利益群體的反對(duì)。歐洲委員會(huì)認(rèn)為這完全是一個(gè)以美國(guó)為中心的方案而予以反對(duì)，而美國(guó)政府則對(duì)國(guó)際電信聯(lián)盟（ITU）參

14、與這一活動(dòng)而不滿。,ICANN成立,1998年:因特網(wǎng)名址分配公司（ICANNInternet Corporation for Assigned Names and Numbers） 1998年6月美國(guó)商務(wù)部根據(jù)各界意見(jiàn)，發(fā)布了因特網(wǎng)名址管理政策聲明，提出了域名管理的私有化思路。 美國(guó)政府決定以IANA和ISOC為中心組織新的公司。Postel及其IAHC對(duì)此提出了嚴(yán)厲批評(píng)，指責(zé)國(guó)際互聯(lián)網(wǎng)社會(huì)將會(huì)視其為美國(guó)政府對(duì)互聯(lián)網(wǎng)主張所有權(quán)的非法企圖。為此Postel籌組了“因特網(wǎng)名址分配公司” 。 1998年11月，美國(guó)商務(wù)部承認(rèn)了ICANN，并與其簽訂了諒解備忘錄，ICANN負(fù)責(zé)IP地址空間分配、因特網(wǎng)通訊協(xié)議參數(shù)分配、域名體系管理以及根服務(wù)器系統(tǒng)管理。,ICANN改革,2001年:ICANN2.0 歐、亞許多國(guó)家政府認(rèn)為盡管互聯(lián)網(wǎng)管理將實(shí)行私有化，但是必須有政府參與的正式渠道 2001年ICANN根據(jù)各國(guó)政府參與ICANN管理工作的要求，對(duì)機(jī)構(gòu)進(jìn)行了改革，被迫設(shè)立了政府咨詢(xún)委員會(huì)（Government