所以,我们把系统设计完成之后,会主动地部署在一些要害部门,我们有需求地提出来,把一些重要的域名系统。我们部署的下一代互联网可信的域名服务系统,把这些点可以部署到需求的这些方。 另外,我们可以实现国内域名解析体系的DNSSEC的系统,在网上的时候我们的域名可能会被修改。本来我查工商的网站,能指出来到哪个IP去。但是在网络传输的时候被人攻击,被人改了,想去真正的工商网站,但是被改了,这是数据传输的验证。另外是数据否定存在的验证,这就需要部署DNSSEC来解决。 部署整个的DNSSEC之后,我们开销是很大的,区域文件会有很大的膨胀。在现有的设备可能也不支持DNSSEC协议的扩展,当时我们可能做的UDP,有一些网关会对这个有限制。查询的时候,除了做域名之外,还要进行验证,这样的话查询的流量、开销非常大。还有相应的软件支持,技术怎么做,这都是挑战,这需要各个方面一起来做。因为查询的时候是从本地的服务器一级一级来查,认证也是一级一级认证,也需要从根到本地的服务器四个层级一起配合,甚至包括了客户端的配置支持,才可以支持整个DNSSEC的服务链,才能实现DNSSEC的查询。比如说根这一块,大家要信任,要配置到本地的DNSSEC服务器里面去。这块完了之后,我要把功要上到上一级的权威服务器里面存起来,这形成了整个的供应链。这件事情涉及到方方面面,我们部署的时候专门要做技术培训,也邀请大家的一些公司里面,或者是自己的技术人员来参加我们的技术培训,来更好的顺利部署这件事情。所以,我今天讲可信域名服务系统要工作的事情主要是这两条。 另外我们也有很多的工作,比如说刚才说到我们希望研究和改进针对其他名字空间的可信域名系统和可信的解决方案,可能需要对地址的标识和位置的信息进行分离。或者是对移动IP,或者是Multi-homing的支持,这对我们的域名进行改动,因为域名是最成功的分布式的常用式的,经过了验证,对下一代互联网的发展可能提供了支持。同时,我们针对其他国家的标准去修订。很重要的一点是我们要运行管理和安全服务相关的技术标准和规范,这样的规范要发布出来,刚才我提到但村就中国来讲就有4万多台套的域名服务其的系统,掌握在各式各样的机构里面,必然会带来很多的安全隐患,这也是我们做的重要事情。 总结,域名系统好比互联网的信令系统,是互联网的基础设施。互联网应用和安全现状,对域名系统提出挑战。下一代互联网协议和应用,对域名系统提出新的需求。作为互联网的基础设施,建设面向下一代互联网的安全可信的域名服务系统对于我国下一代互联网建设、运营和发展是十分必要的,而且是急需的。 中国互联网网络信息中心作为国家域名注册管理机构,基于这些方面我们也有专长,也希望帮助大家支持大家一起来推动下一代互联网可信域名的建立,支撑我国下一代互联网的建设和运营,积极推动下一代互联网相关产业化和具体的应用。 我的演讲就到这里,谢谢。 责任编辑:米尊 |