基于IPv6的安全可信的域名系统

1、基于IPv6的安全可信的域名系统 中网公司中网公司 邢志杰邢志杰 20201212年年4 4月月 互联网基础资源 互联网应用互联网应用 数字家电数字家电 物联网物联网 三网融合三网融合 SaaS 域名服务系统 IP 地址管理 IP、域名等互联网 基础资源链接底层物 理设施和上层业务应 用。 任何通信链接都需 要依赖IP地址和域名 完成标识、定位和路 由。 互联网基础资源案 安全保障，将直接影将直接影 响到互联网的稳定响到互联网的稳定 运行、安全通讯和运行、安全通讯和 可信应用。可信应用。 域名服务体系的基本架构 ROOTROOT ComCom CNCN 根服务器 顶级域名服务器 SohuSoh

2、u 其他各级域名服务器 ZDNSZDNS SinaSina baidubaidu 递归递归 递归服务器递归服务器 递归递归 权威服务器权威服务器 用户应用 域名服务 根域名服务器根域名服务器，全球共，全球共1313个个 根服务器，根服务器，200200多个镜像服务多个镜像服务 器，我国有器，我国有3 3个镜像服务器。个镜像服务器。 主要由运营商、ISP等 基础网络运营商提供 主要由各网站自建、注册 服务商免费服务为主 互联网域名系统IPV6进程按照根、顶级域名和各级权威、递归服务的次序开始 顶级域名服务器，分为通用顶级域名服务器，分为通用 顶级域（顶级域（gTLDgTLD）和国家顶级）和国家顶

3、级 域（域（ccTLDccTLD），由商业公司），由商业公司 和非盈利组织性质的和非盈利组织性质的域名注域名注 册管理机构册管理机构运行管理。运行管理。 . ROOT New gTLDs IDN ccTLDs .brand .generic .city .acronym .gIDNs .region .communit y . . . 中国中国 . . 新gTLD计划 快车道计划 .name .gov .mobi .asia .arp a .edu .com .cat .jobs .travel .museum .net .tel .org .int .info .biz .mil .aero

4、 .pro .post .coop .jp .br .nl .eg .eu .mx .cc .cv .dm .hr .py .ru .sg .pt .va .ws .nz .au .mo .kr .jm .tv .be .cl .is .tr .cn 互联网域名系统正在发展重大变化 New New gtldgtld计划和计划和IDNIDN快车道计划使未来快车道计划使未来3 3年内年内全全球顶级域名超过球顶级域名超过10001000个个 IPV6 DNSSEC IDN 互联网域名系统正在发生重大变化 IPV6IPV6、DNSSECDNSSEC、IDNIDN是下一代互联网域名系统的三大核心技术是下

5、一代互联网域名系统的三大核心技术 IPV6演进过程中DNS国际标准现状 DNS Extensions to Support IP Version 6 (RFC3596) DNS64: DNS Extensions for Network Address Translation from IPv6 Clients to IPv4 Servers (RFC6147) Common Misbehavior Against DNS Queries for IPv6 Addresses (RFC4074) 已制定国际标准已制定国际标准 正在制定的国际标准正在制定的国际标准 IPv6 AAAA DNS W

6、hitelisting Implications (draft-ietf-v6ops-v6- aaaa-whitelisting-implications-03) EDNS0 Option for Indicating AAAA Record Synthesis and Format (draft- korhonen-edns0-synthesis-flag-02) Some Considerations on the Load- Balancer for NAT64 draft-wang-behave- nat64-load-balancer-0 全球顶级域名IPV6支持情况 85.0% 的

7、TLD具备支持IPv6的域名服务器； 82.4% 的 TLD在根服务器里已经安装IPv6 glue记录； 顶级域名数量 支持IPV 6 顶级域占比 数据来源：ICANN43届大会 我国下一代互联网域名体系推进历程 根域名服务器大部 分支持IPv6； 2004年.CN根服 务器宣布支持IPv6 CNNIC首次完成自主 软硬件域名系统研发 .CN启动DNSSEC部 署工作 根服务器完成 DNSSEC部署 IPv6加速商用 递归服务和二 级权威服务环 节部署 DNSSEC 推进产业化推进产业化 行业推进行业推进 国际合作国际合作 标准研究标准研究 政策研究政策研究 基础设施基础设施 地址数量（/8s

8、） IANA池 RIR池 中国国家顶级域名IPV6支持情况 .CN.CN提供提供IPvIPv6 6服务：服务： IPv6解析 2004年11月23日，.CN提供IPv6解析； 10个全球解析节点中3个支持双栈（北京、香港、加利福尼亚） 2008年提供IPv6注册； 2008年提供IPv6 Whois； “十一五”下一代互联网域名系统建设情况 根 .CN, .中国 公司，企业，政府，域名注册商 ISP,LAN,网络接入等 顶级节点10个 全球分布(CNGI骨干城市优先) 示范节点10个 域名查询量前10大域名服务机构 示范节点7个 电信，联通，移动，科技网，教 育网，长城网，经贸网 发改委“下一

9、代互联网可信域名服务系统产业化”项目发改委“下一代互联网可信域名服务系统产业化”项目 国家顶级域名解析系统 支持IPv6，兼容IPv4 支持DNSSEC 部署自主研发的高性能域名服务系统，实现安全、可控、客观的基本特征 建设内容建设内容 国家 顶级 各级 权威 递归服务器 “十二五”下一代互联网域名系统建设规划 现网商用试点阶段现网商用试点阶段 全面商用部署阶段全面商用部署阶段 电信运营企业、 域名托管服务企 业、顶级域运营 机构、域名注册 服务机构的域名 服务器基本支持基本支持 IPv6 访问与解析 电信运营企业、 域名托管服务 企业、顶级域 运营机构、域 名注册服务机 构的域名服务 器全面

10、支持全面支持IPv6 访问与解析 （四）网络与信息安全保障 “加强网络地址及域名系统的规划 和管理” （二）重点产品研发及产业化 认证鉴权、域名解析域名解析、地址分配查询、 网络管理、客户服务、融合计费等支撑系统 “建设并利用好下一代互联网国家工程国家工程 实验室实验室和国家工程研究中心，使其成为 产业共性技术研发创新平台” “加强与国际标准化及基础资源管理等组织的 合作，推动建立更加科学合理的IP地址分配、 网络域名管理以及互联网治理机制。” “十二五”发展路线图和时间表 建设基于IPV6的安全可信的域名系统 “加强网络与信息安全保障，强化网络加强网络与信息安全保障，强化网络 地址及域名系统

11、的规划和管理，全面提地址及域名系统的规划和管理，全面提 升下一代互联网安全性和可信性。升下一代互联网安全性和可信性。” - 国务院：加快发展我国下一代互联网产业 全面支持全面支持IPV6IPV6 DNSSECDNSSEC IDNIDN 域名云服务域名云服务 面向面向IPV6IPV6域名系统域名系统 相关标准制定相关标准制定 支持支持IPVIPV6 6 DNSSECDNSSEC IDNIDN域名核心技术域名核心技术 域名云服务域名云服务 商用商用DNSDNS与与DDIDDI设备设备 行业标准制定行业标准制定 核心技术研发核心技术研发 中网下一代互联网可信域名系统战略部署 全面支持全面支持IPV6

12、IPV6 DNSSECDNSSEC IDNIDN 的商用的商用DNSDNS DHCPDHCP IPIP管理设备管理设备 中网联合CNNIC推进国内标准制定 域名系统安全防护检测要求 域名系统安全防护技术要求 域名系统运行总体技术要求 域名系统权威服务器运行技术要求 域名系统递归服务器运行技术要求 域名服务安全框架技术要求 IPv6网络域名服务技术要求 域名系统授权体系技术要求 公共域名解析系统安全标准 已发布“域名运行技术规范”已发布“域名运行技术规范” 正在制定正在制定 DNS扩展支持IPv6技术要求 用于IPv6客户端到IPv4服务器的地址 转换的DNS64技术要求 IPv4向IPv6过渡

13、过程中的DNS服务器 实现和配置技术要求 域名注册系统安全防护检测要求 域名注册系统安全防护要求 域名注册协议可扩展供应技术要求 域名注册协议主机供应技术要求 域名注册协议域名供应技术要求 域名注册协议联系人供应技术要求 。 推动标准，分享经验，带动行业安全水平整体提升推动标准，分享经验，带动行业安全水平整体提升 满足下一代可信域名服务的商用软硬件系统 高性能商用设备；高性能商用设备； 安全加固，支持安全加固，支持DNSSECDNSSEC； 简单易用简单易用GUIGUI ZDNS-R 递归服务器递归服务器 ZDNS-A 权威服务器权威服务器 ZDNS-AM流量监控与分析流量监控与分析 全球首家

14、通过全球首家通过 IPvIPv6 6 ReadyReady认认 证的商用证的商用DNSDNS 设备；设备； 满足下一代可信域名服务的企业核心网络服务 Microsoft AD E-mail ERP, CRM, eCommerce Intranet, Extranet Wireless VoIP Web会议 ZDDI “简化的“简化的 IT IT 体验”体验” “融合管理，“融合管理， 可视化运营”可视化运营” 简化网络架构，有效减少企业IT投入 安全高可用，保证核心网络服务不中断 可视化集中管理，有效提高企业运维效率 支持下一代网络技术，帮助企业实现向未来网络的平滑演进 满足下一代可信域名服务

15、的商用域名云服务平台 增强的业务功能增强的业务功能 简单的、集中的域名管理方案； 友好易用的GUI，详细实用的DNS审计和报告； 健壮、安全的DNS架构，可以抵御大规模的DDOS攻 击；保证业务不中断； 基于BGP+Anycast技术，实现跨网的快速智能解析； 香港节点 美国节点 英国节点 A 全球分布节点，海量处理能力全球分布节点，海量处理能力； 减少DNS业务交付时间，随需购买，降低成 本和风险； B 增强的下一代互联网技术：增强的下一代互联网技术： 支持DNSSEC，安全增强； 支持IPv6&DNS64，轻松实现IPv6过渡； 支持IDN； C 现有部署节点（一期）：中国电信、中国联通、

16、中国移动、教育网、科技网、香港、 美国、英国； （二期：16-20个节点； 监测节点：若干，根据需求持续增加） 北京市北京市 “祥云工程”“祥云工程” 中网ZDNS域名云服务纳入 “祥云工程” 我国首个互联网域名系统工程研究中心 其目标是“研究互联网域名核心技术，通过市场“研究互联网域名核心技术，通过市场 机制实现产业化，着力解决域名基础设施重要性机制实现产业化，着力解决域名基础设施重要性 和域名安全事故频发的结构性矛盾，促进域名及和域名安全事故频发的结构性矛盾，促进域名及 至互联网产业发展”至互联网产业发展”。 中网公司承建国内首家互联中网公司承建国内首家互联 网域名系统工程研究中心网域名系统工程研究中心 北京市发改委高技术处费翔处长和中网董事 长毛伟共同为工程研究中心揭牌 携手共建域名生态圈 “加强网络与信息安全保障，强化网络地址及域名系统的规划和加强网络与信息安全保障，强化网络地址及域名系统的规划和 管理，全面提升下一代互联网安全