于世梁

(中共江西省委党校，江西 南昌 330003)

美国为了防止其军事系统在战争爆发时遭到打击而瘫痪，于1969年由美国国防部高级研究计划署(ARPA:AdvancedResearchProjectsAgency)开始尝试开发一个称为“阿帕网”(ARPANet:The AdvancedResearchProjectsAgencyNetwork)的计算机网络。最初的阿帕网由美国西海岸的4个节点，即加州大学洛杉矶分校(UCLA)，斯坦福研究院(SRI)，加州大学圣巴巴拉分校(UCSB)和犹他大学(UTAH)构成。当这个实验性的计算机网络表现出越来越优越的性能和作用时，加入阿帕网的组织和机构越来越多。1983年，美国国防部将阿帕网向民用领域开放，这一举措使阿帕网发展成为今天的国际互联网。

对于普通用户而言，互联网是一个充满神奇魅力的虚拟世界，因为只要有一台电脑和一根网线，用户就能进入无所不能的网络世界，而你却不知道所看到的东西它身在何处。事实上，互联网的运作不仅有相应的机构进行管理，而且还必须有相应的软件和硬件作为支撑。“根域名服务器”就是支撑整个互联网运作最重要的基础设施之一。

一、相关概念界定

1．域名和IP地址。

和电话必须拥有唯一的号码才能连入电话系统一样，计算机必须被赋予一个唯一标识才能接入互联网，这个标识就是“IP地址”。IP地址由32位二进制数组成，例如，“百度”的IP地址表达成十进制形式是:202．108．22．5。由于数字型的 IP地址很难记住，不便于使用，所以访问网络时经常使用由一组字符组成的“域名”来表示IP地址，例如，“百度”的域名为:www．baidu．com。

IP地址和域名表示的是互联网中的同一台计算机，就像电话号码和它的拥有者的名字往往表示同一个电话一样。但由于IP地址才是互联网上计算机的唯一标识，所以当用域名访问网络时，必须将域名翻译成IP地址后才能在互联网中找到对应的计算机。

把域名翻译成IP地址的软件称为“域名系统”(DNS:DomainNameServer)。域名系统是一个分布式数据库系统，它采用树形结构和分级授权的域名管理机制，将主机域名的管理授权给各级的域名服务器，形成一个分层结构。在这个分层结构中，最顶层的称为“根域”，随后是处于不同层级的“子域”。

一个完整的主机域名是从最下面的子域到根域的名字由点“．”连接而成的字符串。例如，北京大学网站的域名是:www．pku．edu．cn，在这个域名中，cn为顶级域名，edu．cn 为二级域名，pku．edu．cn为三级域名，www．pku．edu．cn为主机名。图 1为互联网中域名结构示意图[1][P339]。

图1 互联网中域名结构示意图

2．域名解析。

将域名翻译成IP地址的过程称为“域名解析”。网络访问能否成功，关键是域名能否被成功解析，即找到域名对应的IP地址。域名解析是通过互联网中的“域名服务器”(DNS服务器)来完成的。

域名服务器是装有域名系统的主机，它除负责管理维护某个域名的权威数据外，还接受来自互联网中有关域名的查询请求。域名服务器分为本地域名服务器(LocalNameServers)和根域名服务器(RootNameServers)。本地域名服务器上存储着域名到IP地址对应关系的缓存数据，用于提供快速的域名解析服务。而根域名服务器保存着通用顶级域名(GTLD:GenericTopLevelDomain)和国家及地区顶级域名(CCTLD:CountryCodeTop LevelDomain)的数据。如常用的COM(商业/企业)、NET(商业/网络)、ORG(非盈利组织)等都属于通用顶级域名。而US(美国)、UK(英国)、CN(中国)、HK(香港)等属于国家及地区顶级域名。

域名解析过程是从本地域名服务器开始的。如果本地域名服务器上有要查询的记录，就立即将查询到的主机IP地址返回给发出请求的客户端。如果本地域名服务器上没有该主机的记录，域名服务器就会向互联网上最顶层的根域名服务器发出查询请求，此时查询将沿着根域二级域三级域四级域的顺序进行。如果找到了要查询的主机IP地址，该地址将作为对查询的响应逐级上传，沿着域名服务请求走过的路径回传到最初发出请求的客户端，整个域名解析过程结束。域名解析过程如图 2 所示[1][P340]。

图2 域名的解析过程

在域名解析过程中，根域名服务器决定了某一个二级域名下所有主机域名的解析。由此可见，根域名服务器是互联网中最重要的基础设施之一。

3．根域名服务器。

在域名系统的分层树型结构中，处于最顶层的域名服务器是根域名服务器。由于受到域名解析协议中数据包大小的限制，根域名服务器最多只能有13台，他们使用英文字母A至M来命名。在13台根域名服务器中包括主根服务器(A)1个，设在美国弗吉尼亚州的杜勒斯，辅根服务器(B至M)12个，其中美国有9个，英国、瑞典、日本各1个。全球13台域名根服务器位置以及IP地址[2]如下表所示:

名称 位置 IP 地址A INTERNI．NET(美国弗吉尼亚州)198．41．0．4 B 美国信息科学研究所(美国加利弗尼亚州)128．9．0．107 C PSINet公司(美国弗吉尼亚州)192．33．4．12 D 马里兰大学(美国马里兰州)128．8．10．90 E 美国航空航天管理局(美国加利弗尼亚州)192．203．230．10 F 因特网软件联盟(美国加利弗尼亚州)192．5．5．241 G 美国国防部网络信息中心(美国弗吉尼亚州)192．112．36．4 H 美国陆军研究所(美国马里兰州)128．63．2．53 I Autonomica公司(瑞典斯德哥尔摩)192．36．148．17 J 威瑞信(VeriSign)公司(美国弗吉尼亚州)192．58．128．30 K RIPENCC(英国伦敦)192．0．14．129 L IANA(美国弗吉尼亚州)198．32．64．12 M WIDEProject(日本东京)

这13台根域名服务器，保存着通用顶级域名(GTLD)和国家及地区顶级域名(CCTLD)，它们由美国商务部授权的互联网名称与数字地址分配机构(ICANN:TheInternetCorporationforAssigned NamesandNumbers)统一管理。每个顶级域名由ICANN授权给某个注册机构进行具体的管理，例如COM和NET域名的注册和管理机构是美国的威瑞信(VeriSign)公司，而CN域名的注册和管理机构是中国互联网络信息中心(CNNIC)。

二、根域名服务器与国家网络信息安全

按照域名解析流程，在层级式域名解析体系中，处于最顶层的是根域名服务器，它负责管理世界各国的域名信息;根域名服务器下面是顶级域名服务器，存储着相关域名管理机构的数据库;再下一级是域名数据库和互联网服务提供商(ISP:InternetServiceProvider)的缓存服务器[2]。尽管在根域名服务器中没有存储每个域名的具体信息，但其中储存了负责每个域(如 COM、NET、ORG、CN等)的解析域名服务器的地址信息。

通过上面对域名解析过程的分析可知，如果提供接入服务的本地域名服务器上没有保存某个域名到IP地址对应关系的缓存数据，则域名转化为IP地址的请求，都必须经过根域名服务器的指引才能到达相应的域名服务器找到对应的IP地址。所以，从理论上来说，无论是COM形式的域名，还是CN形式的域名，都必须经过根域名服务器才能顺利地实现域名的解析。所以，根域名服务器在互联网中处于十分重要的地位。

从某种意义上说，根域名服务器就是互联网的命脉，如果这13台根域名服务器中的某一台或几台出现故障，或遭到黑客攻击而停止服务，则域名解析有可能无法进行，那些依靠这些域名系统支持的互联网应用和服务将停止工作。

2002年10月21日，13台根域名服务器遭受到了有史以来规模最大的一次网络攻击。在大约1个小时的时间内，黑客调用了上千台“僵尸”计算机(“僵尸”计算机指被黑客利用参与网络攻击的计算机)对根域名服务器进行了攻击，导致其中的9台丧失了对网络通信的处理能力，网络出现局部瘫痪。

2007年2月5日晚，13个根域名服务器中的3个遭受到黑客的攻击，其中包括运行“ORG”域名的根域名服务器和美国国防部运行的一个根域名服务器。尽管这次攻击事件没有对互联网应用造成太大的影响，但根域名服务器的安全问题引起了全球网络安全专家的关注。

2010年1月12日7时左右，“百度”首页出现大面积的访问故障，全国绝大多数地区均无法访问“百度”网站，直至中午12时访问才陆续恢复。事后调查发现，出现这次事故的原因是美国负责“百度”域名解析的根域名服务器遭到了黑客攻击。

由于美国在互联网建设和发展中所处的先天优势，使得它拥有全球13个根域名服务器中的1个主根服务器和9个辅根服务器。1998年10月，美国商务部组建了互联网名称与数字地址分配机构(ICANN)，负责根域名服务器的管理，包括IP地址的空间分配、协议标识符的指派、顶级域名的管理等。尽管ICANN为一家非营利机构，但美国商务部却拥有最终否决权。美国商务部曾经承诺，当ICANN满足一定条件时将放弃最终的否决权，并将最后的期限定为2006年。然而，2005年7月1日，美国政府宣布，美国商务部将继续与ICANN签订合约，将无限期保留对13台根域名服务器的管理权。

凭借对根域名服务器的管理权，美国可以屏蔽掉某些国家的顶级域名，使这些域名无法得到解析。通过这样一场没有硝烟的战争，美国可以让一个国家在互联网中瞬间消失。2003年伊拉克战争期间，美国政府就曾授意ICANN终止对伊拉克国家项级城名IQ的解析，致使所有以IQ为后缀的网站瞬间从互联网上消失了。2004年4月，由于在顶级域名管理权问题上与美国发生分歧，利比亚顶级域名LY突然瘫痪，让利比亚在互联网世界里消失了整整4天。美国还于2008年曾切断过古巴、朝鲜、苏丹等国的MSN即时网络通讯，使这些国家的用户无法使用MSN。

正是由于美国对根域名服务器拥于绝对的控制权，所以互联网已成为美国在全球推行其强权政治的重要工具，根服务器也成为影响国家网络信息安全的重大隐患。

三、保障我国网络信息安全的对策

由于13台根域名服务器仍由美国政府授权的ICANN所掌控，所以无论这些根域名服务器放置在何处，互联网最终都无法摆脱美国的控制。我国是互联网发展最快的国家之一，网络用户已经世界第一，如果哪一天美国关闭域名系统中的CN后缀，或将分配给中国境内使用的IP地址取消，我国大多数的网站有可能瞬间瘫痪。为了保障我国的国家网络信息安全，我们必须尽力设法摆脱美国对互联网的制约，建立一个相对安全的网络体系。

1．完善CN下的二级域名注册。

在目前的互联网域名体系下，COM、NET等域名均由国外公司负责管理，网络安全无法得保证。而CN下的域名由中国互联网络信息中心(CNNIC)负责管理，尽管注册CN下的域名无法彻底摆脱美国的控制，但它至少可以规避一些来自外部的风险。这主要表现在三个方面:

一是可以提高域名访问的稳定性。在大多数情况下，CN域名主要通过国内的域名服务器解析。由于中国互联网络信息中心在全国设置了多个负责CN域名解析的域名服务器，保证了访问CN域名下的网站更为稳定快捷。

二是可以提高国家网络信息的安全性。由于COM或NET形式的域名由国外的相关机构管理，一旦国外域名公司不再为我国用户提供域名解析，这类域名的网络服务将彻底中断。而CN在国内设置了根域名镜像服务器，即使在根域名服务器中止CN域名解析这种极端情况发生时，至少能保证大多数CN下的域名在国内能正常访问。

三是在出现域名纠纷时更容易得到解决。根据国际惯例，域名纠纷的解决通常适用域名注册管理机构所在地法律。如果注册由国外机构负责管理的域名，将对解决域名纠纷带来很大的不便。而有关CN域名的纠纷将根据我国的法律解决，这样可以避免因注册国外域名而面临的国际诉讼风险。

正因如此，对于如政府网站、金融证券网站、电子商务网站等重要网站，应当注册并使用CN域名，以减少由于注册其它域名而带来的风险。

2．在IPV6技术条件下建立自己的根域名服务器。

要想彻底摆脱美国对互联网的控制，维护国家网络信息安全，最终出路就是建立自己的根域名服务器。然而，在现行的网络运行条件下，域名解析已经被美国牢牢控制，我们不可能去建立自己的根域名服务器。唯一的希望，只能寄托于下一代互联网技术IPV6。

IPV6是指互联网通信协定第6版(Internet ProtocolVersion6)，它是替代当前IPV4的下一代互联网协议版本。IPV4是目前使用的互联网通信协议，它的最大问题是可分配的IP地址太少。随着网络技术的发展，特别是物联网(TheInternetof things)时代的到来，将来我们身边的每一样东西如冰箱、彩电都需要连入互联网，而这些东西都需要有一个IP地址。IP地址的严重不足，使IPv6应运而生。

IPV6不仅可以大大扩展IP地址的数量，解决网络地址资源数量不足的问题。而且，在IPV6发展的过程中，根域名服务器设置也将随之调整，这为我们建立自己的完全独立的根域名服务器体系提供了契机。令人欣慰的是，我国政府和科技界已经看到了建立自己的根域名服务器对保障国家网络信息安全的重要性。中科院计算机网络信息中心已经开始了基于IPV6根域名服务器的研究，建立了IPV6试验网，解决了IPV6环境下设置根域名服务器的一系列关键技术。建立IPV6根域名服务器，将为我国规模化部署IPV6网络域名系统提供有力的技术支撑，对保障国家网络信息安全具有十分重要的作用。

[1]冯博琴，陈文革．计算机网络[M]．北京:高等教育出版社，2004．

[2]闵江，平淡，沧海．切断互联网可能吗?[J]．电脑爱好者，2012，(18)．