(中国信息通信研究院工业互联网与物联网研究所，北京 100191)

0 引言

随着互联网、工业互联网、物联网等成为“新型基础设施”[1]，域名系统(DNS)作为互联网的核心系统也成为当今全球重要网络基础设施之一，其中根是域名解析的中枢[2]，其高效稳定运行对于提高我国互联网络性能、增强网络安全系数具有重要意义。随着5G通信以及物联网等技术的飞速发展，域名系统承载的解析压力越来越大，世界各国纷纷开始引入根镜像服务器以增强解析性能。为此，ICANN于2020年发布了《Recommendations for ICANN’s Root Name Service Strategy and Implementation》[3]，对全球根镜像的部署策略提出了建议方案，提议增加根镜像部署数量，尤其是在域名解析需求量大、域名解析性能差的地区增加部署，并强调要注重域名系统的安全，提议建设域名相关监测系统。

2019年之前，我国对根镜像的引入并无规划，引入的根镜像全部设立在北京等发达城市，地区分布极不均衡。2019年起，工业和信息化部开始对根镜像引入机构进行审批监管[4]，并将根镜像的引入纳入信息化发展规划之中。中国信息通信研究院依托国家顶级节点对根镜像的部署进行规划布局，根镜像引入部署开启初步规划举措，但是仍缺乏科学有效的引入和部署依据和方案。因此，通过借鉴ICANN的相关建议，针对现阶段境内根镜像服务器引入后存在的问题进行分析总结，提出适合我国的根镜像引入原则，从多维度收集相关数据指标并建立计算模型，计算得出建议结果。

1 根解析服务概述

DNS是互联网的核心系统之一，主要实现域名到IP地址的转换，是数字时代的重要网络入口和人机交互标识[5]，如果DNS系统出现故障，互联网的各类应用，如浏览网络、发送文件、下载文件等都将无法使用。如图1(a)和(b)所示，DNS系统以倒置的树状结构分层级部署，采用根、顶级域、二级域等分层授权和解析机制运转。根服务器是域名解析查询的起点，位于DNS系统的最高层，储存了顶级域名服务器的地址信息，将来自用户(通过递归服务器发起)的查询请求指向正确的顶级域名服务器，如果离开了根服务器，域名解析服务体系就无法正常运转。

互联网发展早期由于技术限制，全球根域名服务器总数为13个(编号依次为A到M)，由12个相互独立的境外机构管理运行，分布在美国(10个)以及荷兰(1个)、瑞典(1个)和日本(1个)，我国没有根服务器[6]。

随着互联网、工业互联网的快速发展，全球域名解析量持续快速增长，域名解析的性能、安全等面临着越来越高的要求，根服务器的负担也随之越来越重，仅13个根服务器很难支撑如此庞大的解析数据量。为缓解根服务器的解析压力，提升全球各地区的解析能力和互联网访问体验，各个国家、地区或者组织机构可以通过与12家根运行机构达成合作，引入某类根的根镜像服务器[6]。所有根服务器同步更新相同的根区数据文件，根镜像服务器与其所属根服务器使用相同的IP地址并提供相同的根解析服务功能，共同构成DNS系统最高层次连接点，如图2所示。其中，递归服务器会根据RTT等算法[7]选择解析时延最短的某类根或者根镜像为自己服务。

图1 域名系统结构及解析过程示例

图2 根镜像的功能示意图

当某地引入某个根镜像之后，一般而言，该地的递归服务器和根解析服务之间的路由路径变短，降低了流量劫持风险，其递归服务器的根解析时延会降低，根解析服务的质量会提高。

2 我国根镜像服务器应用现状

为了全面了解域名根的部署和服务现状，一方面通过在31省三大运营商(中国电信、中国移动、中国联通)网络中部署的主动监测节点(共计93个)，探测得到各类根对我国的服务范围及服务性能等数据，另一方面利用相关网站的数据对各类根的信息进行了汇总分析。

我国至今获批根镜像数量达到14个[4]，包括F、I、J、K、L共5类，由中国互联网络信息中心(CNNIC) 、中国信息通信研究院(CAICT) 、互联网域名系统国家工程研究中心(ZDNS)和阿里巴巴(Alibaba)4家引入机构负责运行管理和维护，如表1所示。

随着各根镜像的逐步引入，我国境内根服务解析性能得到了明显提升。然而，和美国等发达国家相比，我国的根服务器部署规模仍有待提高。目前，我国根镜像服务器的引入部署现状有如下特点。第一，根镜像引入数量不足。如图3所示，从IANA的www.root-servers.org网站[6]得到的统计数据显示，当前全球范围内部署根服务器数量不少于中国的国家共有18个，美国的根镜像数量更是高达我国根镜像数量的20倍。然而，根据stats.dns.icann.org网站[8]的统计数据，我国对根解析服务的解析查询量和美国相当，位于世界前两名。根镜像数量与解析查询量不成比例。

来源：IANA, www.root-servers.org，中国信息通信研究院整理图3 全球各国根镜像数量及排名

第二，根镜像引入类型较少。我国境内根镜像只有F、I、J、K、L共5种，而据IANA www.root-servers.org网站的相关信息，美、德、日、法等发达国家均有不少于10种类型的境内根解析服务，如图4所示。

第三，境内根镜像服务范围有限。为了解各根镜像的实际服务省区，利用前述93个主动监测节点对境内已引入根镜像服务器的服务范围进行了测算。根据测算结果可知，现阶段各根镜像服务器主要服务部署该根镜像的网络，对其它运营商网络只是选择性提供支持，并且其服务在本运营商网内并不一定覆盖所有省份，如表2所示。

第四，境内根解析效果仍不理想，解析时延较长，解析出境流量较大。根据中国信息通信研究院2015年的测算结果[9]，美国等发达国家对域名根的平均访问时延大都在几十毫秒左右，而2020年针对我国对各域名根平均访问时延绝的统计计算结果显示，我国对各域名根的平均解析时延大部分都在200 ms左右，如图5所示。由图5分析还可以看出，已引入根镜像(F、I、J、K、L)的平均解析时延明显低于未引入根镜像的平均解析时延。图6显示了我国访问全球各根服务器的日均请求量，其中浅色代表根解析日均出境流量，深色代表根解析日均境内流量。根据图6中的根解析出境和境内查询流量数据计算可知，我国总体的域名根解析访问出境流量占比高达40%。可见，由于根镜像个数较少，服务覆盖范围不全，我国的根解析出境流量较大。

来源：IANA, www.root-servers.org，中国信息通信研究院整理图4 全球主要国家根镜像类型数量

表2 境内根镜像服务省份数量及运营商网络

来源：中国信息通信研究院图5 我国三大运营商递归访问全球各根服务器的平均时延

来源：中国信息通信研究院注：由于I根部署在中国科技网，而探测只包含三大运营商网络，因此I根的境内解析流量在图7中显示为0。图6 我国访问全球各根服务器的出境及境内日均请求量

第五，境内根镜像部署在各省区分布不均衡。表3显示了我国各省区根镜像的个数。由表3可知，我国有近一半根镜像服务器分布在华北地区，远超经济和网络发达的华东和华南地区，且东北地区的根镜像引入数量为0。显然，这不利于我国信息网络建设的全面发展。

鉴于以上问题，我国需借鉴国际经验，建立符合中国国情的根镜像引入和部署策略。在根镜像引入方面，进一步增加根镜像引入数量，并结合当前解析的实际情况选择适合引入的根镜像类型，并为此广泛开展交流与合作；在根镜像部署方面，需要依据全国解析现状，选择合适的省份和运营商网络，并需考虑全国协同、均衡发展。此外，为保障DNS系统的安全运行，需建立相关监测系统，为网络强国建设的顺利开展保驾护航。

表3 境内根镜像省区分布

3 根镜像引入部署的总体原则

根据前述调研和分析，我国未来根镜像的引入和部署应遵循以下指导原则。

(1)增加根镜像引入数量

随着5G通信技术和物联网技术的不断发展，新的通用顶级域(gTLD)、带有嵌入式域名网页以及网络设备的不断增加，根解析请求越来越大，近年来世界各国都纷纷开始积极引入根镜像服务器。考虑到我国在互联网中的国际地位，以及境内业务的实际需求，根服务器的解析性能需要进一步增加。

(2)丰富根镜像引入类型

由前述分析可知，我国已引入根镜像类型和未引入根镜像类型相比，解析时延显著降低、出境流量显著减少。因此，为缩小我国和发达国家之间的差距，需进一步加强交流和合作，尽可能引入更多类型的根镜像服务器，以增强域名根解析效果，加大域名根解析服务的安全冗余度。

(3)均衡根镜像省区和网络分布

由于最初我国根镜像的引入和部署缺乏科学合理的规划，各省区根镜像服务器的部署分布和服务范围很不均衡，为此需在未来加强根镜像服务器的规划，使得域名根解析服务更加全面、高效、均衡。此外，为了三大运营商网络的均衡健康发展，还需要考虑根镜像部署运营商网络方面的均衡。

(4)完善根镜像引入部署监管体系

域名根服务是确保互联网正常运转的基础服务，其出现的任何异常情况都会对我国互联网产生巨大影响，为此需要对根服务在制度和技术上采取相关策略进行监测和管理，确保境内根镜像服务的安全稳定运行，为我国互联网平稳健康发展保驾护航。

4 根镜像引入数量和类型建议

4.1 建议未来5年我国再引入15个左右根镜像

随着近几年根镜像服务器在全球范围内的加速部署，全球范围的根镜像节点数量大大增加。图7显示了全球根镜像历年数量变化和复合年增长率变化(CAGR)，由图可知，2015年底，全球根镜像的数量仅为516个，到2020年底已增长到1367个，复合年增长率(CAGR)达到21.5%。可见，近年来随着5G等网络技术的快速发展，各国纷纷加快了根镜像的引入步伐。鉴于境内根镜像解析时延和出境解析流量较大，考虑我国在全球互联网地位，推荐未来5年我国再引入大约15个镜像，在数量上挤进全球前十。

来源：IANA, www.root-servers.org，中国信息通信研究院整理图7 全球根镜像数量变化和增长情况

4.2 建议优先引入境内未部署的M和E根的根镜像服务器

由图5分析可知，我国用户访问M根和E根的平均时延相对于其他未引入的镜像根要低。这是由于M根镜像主要部署在日韩两国，距离我国较近，而E根全球部署节点数量较多。由图7分析可知，由于境内对M和E根镜像的访问时延较低，递归服务器一般会选取解析时延低的根镜像优先访问，因此我国对M和E根镜像的日均访问量较高。因此，为丰富我国境内根镜像类型并提升境内根解析服务效果，推荐优先引入未部署的M和E根的根镜像服务器。同时，考虑到我国与12个根运行机构合作以及根镜像服务器的申请难度有所不同，可以根据实际情况灵活采取根镜像引入策略。

5 根镜像省区和网络部署建议

由前述分析可知，现阶段我国根镜像服务器分布省区很不均匀，域名根解析效果仍不理想，考虑到还需要保证根镜像在运营商网络中分布均衡，需科学优化我国未来的根镜像规划布局。为此，需综合考虑域名根解析需求量、网络建设和安全服务能力以及地区和网络均衡性等多种因素，建立科学合理的计算模型，以确定根镜像服务器部署的省份和网络。

5.1 根镜像省区和网络部署原则

为确定根镜像服务器部署的省份和运营商网络，需首先设定一个总体原则来指导多源数据的调研、采集和模型的建立。本模型的总体原则如下。

高黎贡山北段东、西坡捕食线虫真菌分布格局研究……王家亮，刘硕然，周汉宇，房以好，肖 文，杨晓燕（87）

(1)优先在互联网发展领先、经济发达的省区部署根镜像服务。由于经济发展迅速、互联网产业发达的省份对域名解析服务的需求量更大，因而在这些地方优先部署可以更加有效地提升我国整体的域名根解析服务效果。

(2)优先在国家标识解析顶级节点、新型互联网交换中心、国家级互联网骨干直联点等网络重要基础设施中部署根镜像服务。互联网拓扑结构中的距离和重要节点和地理位置中的距离和重要城市并不相同，网络重要基础设施部署的地方往往有更广泛的服务范围，更良好的网络环境，因此可优先考虑在这些地方部署根镜像服务。

(3)在解析性能低、网络质量差的省份和网络部署根镜像。为了让我国各省市的网络基础设施建设综合、健康发展，域名根解析性能差的省市和网络节点也需要考虑部署根镜像服务器，从而带动我国各省区网络全面发展。

(4)各省区已部署根镜像的网络不建议再引入新的镜像服务器。由于其服务范围一致，一般没有必要重复引入。比如北京联通已经引入了某根镜像服务器，未来不再考虑在北京联通部署根镜像，如必要在北京建立新的根镜像服务器，可以考虑在北京移动和北京电信部署。

(5)鼓励运营商开放本网引入根镜像的访问权限，并在本网无法访问某类根镜像时，优先他网已引入的该类根镜像。由表2可知，运营商引入的根镜像仅服务本网，甚至本网本省，这导致我国引入的根镜像无法实现服务效用最大化，需要优化。

5.2 根镜像省区和网络部署测算指标

为了测算并确定根镜像引入部署的省份和运营商网络，依照上述原则，搜集了相关基础数据指标并进行了归类，包括服务需求程度指标、网络建设及安全能力指标以及均衡因子指标三类。

5.2.1 服务需求程度指标

根据服务需求程度，提出7大指标要素。表4介绍了各省级运营商对引入根镜像服务需求程度的数据指标、权重因子和对应指标的意义。

表4中，a1、a2、a3为根镜像解析的直接影响量，而a4、a5、a6、a7为根镜像解析的间接影响量。因此a1、a2、a3之间相加，a4、a5、a6、a7之间相加。两组加和之间可以通过相乘的方式，表示间接指标对直接指标的潜在影响大小。将各项指标归一化后，根据其所占比重，得到各省的三大运营商网络对各类根的服务需求程度(X1)为

(1)

其中，a1，a2，a3，a5均为运营商上报数据。

5.2.2 网络建设及安全能力指标

根据各省各运营商的网络建设能力以及安全防护能力，提出了各省综合网络传输能力和各省三大基础中国电信企业安全防护建设能力两大因素。表5说明了这两大因素针对的数据指标、权重因子和对应指标的意义。将各项指标归一化后，根据其所占比重，得到各省的网络建设即安全能力指标(X2)为：

X2=j1×b1+j2×b2

(2)

其中b2为运营商根据上报数据，上报的数据为工信部对各省各运营商的测试评估分数结果。

5.2.3 均衡因子指标

根镜像部署不仅仅是为了达到理论计算最佳效果，还需要考虑各省区部协同发展，以及各运营商间的利益权衡等。为了更均衡地引入部署根镜像的分布，设定如下资源均衡因子，提升根镜像引入的均衡性：

表4 服务需求程度指标说明

(1)不重复引入因子(X3)

已引入根镜像的省份运营商网络不再考虑引入根镜像服务器，因此设置不重复引入因子X3的值为：

(3)

即，当某省运营商网络已经引入根镜像服务器时，不再考虑在该省运营商网络引入根镜像服务器。

(2)运营商均衡因子(X4)

为了保证引入根镜像后能够让三大运营商之间的根镜像数量较为均衡，当前引入根镜像数量越多的运营商，运营商均衡因子的值越小，因此设置运营商均衡因子的值为

(4)

其中，root_num_in_operator表示每个运营商的根镜像个数，root_num表示全国根镜像总个数。

(3)省区均衡因子(X5)

我国省区可划分为华南、华北、华东、华中、西南、西北、东北七个区域，由于每个省区包含的省份个数不同，某个省区平均每个省份已引入部署的根镜像数量越多，其对应的省区均衡因子越小，因此省区均衡因子的值为：

(5)

其中，root_num_in_zone表示某省区引入的根镜像个数，province_num_in_zone表示该省区包含省区个数，两者做商表示某省区平均各省引入的根镜像个数。

(4)国家重要基础设施因子(X6)

本规划重点考虑国家标识解析顶级节点、新型互联网交换中心以及国家级互联网骨干直联点几类基础设施。如果某个省份建有国家重要基础设施，则该省份有相应的基础设施因子值。因此，当某省份建设有国家标识解析顶级节点时，对应的X6增加0.5，否则X6的值不增加；当某省份建设有新型互联网交换中心时，对应的X6增加0.25，否则不增加；当某省份建设有国家级互联网骨干直连点时，对应的X6增加0.25，否则不增加。因此，国家重要基础设施因子的值为：

(6)

5.3 根镜像省区和网络部署计算模型

由于模型建立涉及的数据指标多、数据量大，而且需要根据实际情况对模型进行动态调整，因此模型建立既要合理又不应过于复杂。结合实际经验，采用归一化计算和动态加权的方法[17]对根镜像引进部署方案进行建模。根据服务需求程度、部署建设能力和四类均衡因子设定的模型的总体计算公式如下：

(7)

其中β1、β2、β3、β4、β5、β6分别为X1、X2、X3、X4、X5、X6的权重系数，N的值为省份和运营商的组合种类数量。由于考虑在31个省3个运营商引入根镜像，因此N=31×3，即N=93。

表5 部署建设模型说明

5.4 根镜像省区和网络部署结果分析

表6为该模型计算结果中排名前15的部署方案。从省份角度，前15名方案中包含了如江西、江苏、四川、上海、广东这种网络发展水平较高地区，还包括宁夏、辽宁、甘肃、陕西等偏远地区，符合服务需求程度和网络建设及安全能力以及省区均衡原则。

表7从省区角度展示了TOP15方案实施前后，各省区根镜像个数。根据表7分析可知，前15名方案实施完毕后，所有七省区都部署有根镜像，并且和省区中省份个数及其网络发展程度大致匹配。

表6 模型计算TOP15结果部署方案

表8从运营商角度展示了TOP15方案实施前后，各省区根镜像个数。从运营商角度分析可知，由于中国移动和中国电信现阶段引入根镜像数量较少，而这两个运营商的网络质量又较好，因此中国移动和中国电信出现次数较多，中国联通网络引入根镜像数量较少。

6 我国根镜像服务监管建议

鉴于根服务器对于域名解析系统的重要地位，一旦发生对域名根服务的恶行攻击事件，整个域名解析体系就无法正常运转，后果不堪设想。因此必须从制度上设立引入门槛，从技术上部署监测系统，双重保证根服务的安全、稳定运行。

6.1 从制度角度进行监管

(1)设立根服务器系统治理推进小组

根服务器系统治理推进小组负责统筹考虑域名基础设施建设规划，包括推进和境外根镜像运行机构协调根镜像服务器的引入合作，以及牵头开展域名根镜像相关的研究和审查等工作，增强我国对域名根镜像等网络基础资源的支撑能力，支持《工业互联网创新发展行动计划(2021-2023》[18]的实施。其工作机制如图8所示。

表8 TOP15方案实施后各运营商包含根镜像个数

表7 TOP15方案实施后各省区包含根镜像个数

来源：中国信息通信研究院图8 根服务器系统治理推进小组工作机制

(2)明确许可审批要求，完善监管流程

根镜像审批要求可依据《工业互联网创新发展行动计划(2021-2023》[18]和“十四五”规划任务[19]，并借鉴各根服务器运行机构的要求制定实施细则，进一步明确许可我国根镜像批复要求。此外，还需要考虑设立对根镜像引入机构的定期审查机制，对境内不符合规范的根镜像引入机构，责令免除其在一段时间内的根镜像运维工作。根镜像服务器的审批监管流程如图10所示。

来源：中国信息通信研究院图10 审批监管流程

6.2 从技术角度进行监管

除了制度方面的保证外，还可以通过建立互联网域名运行监测平台从技术角度监测我国域名解析服务的运行状况。当前，中国信息通信研究院已开展建立了互联网运行监测平台，通过分布全球的监测节点主动探测和域名解析流量被动分析，建立域名体系长效监测分析机制和预警处置能力，对全网根、顶级域、重点域名等互联网重要权威解析服务进行监测、分析、评估，实现对全网互联网基础设施的异常告警和态势感知，保障互联网基础设施正常运行，维护网络安全，保护民生。

7 结束语

结合我国现阶段根镜像引入分布现状，借鉴国际推荐方案，全面地分析并提出了符合我国国情的根镜像引入部署总体原则，并针对每个原则提出了合理的规划建议。在确立根镜像部署省份和网络时，由于考虑因素较多，采用归一化计算和动态加权的方法对根镜像引进部署方案进行建模，得出了合理的部署方案，对我国未来引入部署根镜像具有很好的参考借鉴意义。当然，随着我国互联网域名解析服务规模增长，网络结构的持续优化以及互联网安全稳定运行的要求不断提升，还需要结合实际情况对根镜像引入指导方案进行动态评估调整，不断完善。