基于区块链的用户侧域名数据分享机制

1、基于区块链的用户侧域名数据分享机制技术创新，变革未来互联网基础资源及服务体系互联网基础资源及服务互联网基础信息IP服务、DNS服务、WEB证书、NTP服务等互联网物理设施基础网络、传输设备、互联设备、接入系统等支撑网络实体（Cyber Entity）开展实际业务应用所必须 的码号占用/释放、相互寻找识别、路选定位、验证信用 信息等功能。以地址分配和路由为代表的IP服务 以域名注册和查询为代表的DNS服务 以证书发放为代表的CA服务以时间溯源和同步为代表的NTP服务互联网重要的逻辑基础设施互联网的中枢神经系统和调度支撑系统。互联网基础资源，是支撑互联网上层应用算力、码号、协议、标准等要素的总和。

2、 从这个定义出发广义上涵盖了传统的互联网物理基础设施（机房空间、网络带宽、计算存储、CDN等）狭义上针对以域名、IP、证书、时间为主的数字对象及其逻辑服务设施也面向未来拥抱诸如分布式账本/区块链、开源代码等新兴要素。互联网业务应用电子商务、电子政务、网络游戏、视频通讯互联网基础资源的分配模式树状结构的业务体系和管理架构，便于自顶向下的管控DNSIP地址NTPCA互联网基础资源的服务架构用户端第三方代理资源管理者互联网基础资源管理和服务的内在矛盾终极目标：用户端、第三方代理、资源管理者三方的权力平衡资源管理者自顶向下的逐级分配和控制原则唯一、精确、完整、真实最后一公里的本地管辖和商业利益诉求安全

3、可控服务水平SLA客户商业价值用户体验和个性化需求例子：来电号码助手资源管理者第三方 服务者用户域名体系的困局和破局域名协议及系统的诞生1969，ARPAnet，去中心分布式包交换加利福尼亚大学洛杉矶分校斯坦福研究院加利福尼亚大学圣芭芭拉分校犹他州大学1983，TCP/IP，ARPAnet与MILnetUDP1980RFC 768IPv41981RFC 791TCPv41981RFC793SMTP1982RFC 821DNS1983RFC 882 883POP1984RFC 918NTP1985RFC 9581986，NSFnet与ARPAnet1990，NSFnet，.DNSRFC 1034

4、 1035DNSRFC 1034 1035Computer Stub ResolverISPRecursive Resolver Cache SeverRegistrationAuthoritative Server名字空间分级自治君上之君、非我之君臣下之臣、非我之臣查询访问依靠代理选择、授权、代议DNS EcosystemCaitlin Tubergen - Juan Carlos Namis | Webinar 27 May 2015/slide/5706398/Where isPublic DNSDNS设计初衷被挑战和改变Computer Stub ResolverISPRecursiv

5、e Resolver Cache SeverRegistrationAuthoritative ServerBusiness Recursive Resolver123用户(应用软件)电信运营商ICANN注册局体系(域名所有者)DNS的商业运行模式不合理设计中，递归服务者和权威服务者，利益一致 实际中，递归服务者和权威服务者，各行其道流量变现 数据变现注册费 交易费用户侧域名协议扩展RFC8484 传输协议：从UDP到TCP到HTTPSRFC7706 数据管理：用本地缓存替代云端数据RFC8198 选择性输出：加强自主判断提升查询效率用户侧技术对域名服务及治理的影响解构现有域名体系，促进去中心

6、化多方共治治理形态促进了域名社群、CA社群、WEB社区的交流和融合一直以来的域名管理和服务体系，侧重于围绕域名权威树构建的数据管理者生态。这个生态主要包括 ICANN/IANA、各国ccTLD管理者、各gTLD管理者。而域名的实际使用者（终端用户）和用户侧服务提供 者（运营商和递归服务器）在这个生态中少有话语权和存在感。这种不平衡的设计，直接决定了域名滥用、 多语种等问题无法得到有效解决，因为最直接的利益相关者被排除在生态之外。DoH的出现，为改进和改造固有生态提供了新的机遇。一方面，DoH使得以浏览器为代表的WEB应用开发 者进入，引入了新型的递归服务提供者；另一方面，也因此管理HTTP协议

7、的W3C与管理域名的ICANN发 生了工作职能发生了交集；再者，证书管理问题引入了CA体系。可以预计，未来域名生态的多样化将随着 新技术的发展和应用而不断升级。强化了各国政府和最后一公里运营者的本地管辖权 蕴含甚至激化了多边和多方的内在矛盾用户侧技术对域名服务及治理的影响解构现有域名体系，促进去中心化多方共治治理形态促进了域名社群、CA社群、WEB社区的交流和融合强化了各国政府和最后一公里运营者的本地管辖权在RFC7706之前，虽然我国电信运营商没有公开提出成文的标准规范，但在实践中，也摸索出类似于 RFC7706的方案思路，发展出对递归服务器缓存的直接管理方案。RFC7706的出现使得域名服

8、务最后一公 里的运营者（电信运营商）和管理者（政府主管部门）获得了一个合法合理的介入渠道和管理抓手，客观 上强化了本地管辖权，形成了化解权威域名树管理风险的对冲能力。蕴含甚至激化了多边和多方的内在矛盾用户侧技术对域名服务及治理的影响解构现有域名体系，促进去中心化多方共治治理形态促进了域名社群、CA社群、WEB社区的交流和融合强化了各国政府和最后一公里运营者的本地管辖权 蕴含甚至激化了多边和多方的内在矛盾传统的域名管理体系是以ICANN/IANA为首的多利益相关方体系，本地电信运营商及政府这些多方角色处 在在域名生态的边缘。而DoH、RFC7706、RFC7706等用户侧协议的出现，赋予了用户侧

9、域名服务提供者 和管理者以更直接的服务能力和更大的管理权力，形成了对传统ICANN管理体系的潜在的冲击能力。 ICANN一直强调域名服务的完整性、一致性和透明性，并利用DNSSEC协议来强化这一管理诉求。但诸多 用户侧协议或多或少地都降低了这种数据透明性，使得用户侧域名服务本身可能发展为黑盒。全局透明与 本地安全的矛盾将如何化解，值得多方达标和多边代表共同探索共同研究。以技术改进促治理体系变革互联网核心资源治理体系的内在矛盾回避用户侧服务交付生态，仅在等级制数据管理生态中寻求AT-SSRROOT用户应用:喃TLDTLDTLDSLDSLDSLDSLDSLDSLDSLDSLDSLD递归递归递归用户

10、应用:喃用户应用:喃AliceBob应用:喃域名生态呈现明显的义务和权利不对等技术机理上，用户依赖于递归服务而非权威服务，其承担了99%以上的解析负载产业链条上，递归服务自成体系，游离于以域名注册业务为中心的商业链条之外治理参与上，递归服务提供者在ICANN体系中的参与度很低RMSBobBobBobBob递归21互联网核心资源治理体系的“再平衡”思路ROOTTLDTLDTLDSLDSLDSLDSLDSLDSLDSLDSLDSLD递m递m递m递m RMS以递归服务为切入点突破现有体系利益格局递归服务是面向终端用户实现最后一公里实际信息交付的主体递归服务是实施当地网络治理政策和落实安全管控措施的抓

11、手以ISP为主要代表的递归服务者是撬动现有治理体系的重要杠杆ISP已经是ICANN-ASO生态的利益相关方，也是IETF的重要成员类型113022IETF核心域名RFCs以区块链为技术手段构探索AT-SSR实现途径区块链技术以分布式计算、加解密、智能合约三大技术特征为核心，其创新的分布式、去中介化的信任体系改变了传统互联 网依托中心化机构，建立和维护信任的机制，解决数据管理过程的不可信，实现透明性、可审计性、安全性。递归递归递归递归研究治理ISP商用 递归园区 宽带学术 研究管理策略下发 多方安全计算技术本质是基于区块链的域名缓存分布式账本体系将数据治理重点由管理权置换为解释权递归服务机构为运行主体，递归域名缓存记录为数据主体支持域名研究机构和治理机构在链内发布域名应用分析及安全管控规则支持不同运行主体对同一域名应用差异化的域名管控规则递归链保存全量历史记录可供长期追溯新型的用户侧核心资源服务行业联盟方案 TTLDTLDTLDSLDSLDSLDSLDSLDSLDSLDSLDSLD递归递归递归递归 MSBobBob以促进和提升用户侧递归域名服务为主旨，是对既有ICANN生态的有益补充以递归服务机构、研究机构和监管机构为主要成员，乐见注册局/注册商加入与ICANN、IETF、ISOC、W3C等机构开放合