朱國庫+++蔣文保

【 摘 要 】 域名服務(wù)器提供域名和IP地址的轉(zhuǎn)換服務(wù)，是Internet中最為關(guān)鍵的基礎(chǔ)設(shè)施之一。目前根域名服務(wù)器集中式的管理和組織方式無法避免地對世界上大多數(shù)國家的網(wǎng)絡(luò)造成安全威脅。針對集中式的組織方式存在用戶隱私被監(jiān)控、訪問重定向、服務(wù)中斷等安全問題，論文提出了一種去中心化的網(wǎng)絡(luò)域名服務(wù)系統(tǒng)模型DDNS（Decentralized Domain Name System），在此模型基礎(chǔ)上設(shè)計了分布式一致性算法。分布式一致性算法用于根域名服務(wù)器的去中心化和狀態(tài)同步，集群內(nèi)的事務(wù)請求通過投票方式?jīng)Q定，該事務(wù)通過后會在各節(jié)點上提交。

【 關(guān)鍵詞 】 根域名服務(wù)器；域名解析；去中心化；分布式一致性；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)主權(quán)

A Decentralized Domain Name System for the Network

Zhu Guo-ku Jiang Wen-bao

（School of Information Management， Beijing Information Science and Technology University Beijing 100192）

【 Abstract 】 DNS is an essential component of the functionality of the Internet， and it provides a distributeddirectoryservice to translate domain names to the numerical IP addresses. The centralized management of the root servers takes an inevitable security risk to the most of the countries connected to the Internet where personal online privacy is being monitored by the root server， and the visitcan be redirected，also the service can be terminated. In this paper， adecentralized domain name system named DDNS（DecentralizedDomain Name System） is proposed， and in this model a consensus algorithm is designed to decentralize the master server， andthe transaction request on the cluster need to be voted by all the nodes instead of updating from the masters resource records. While the proposal is admitted by more than half of the active nodes， the transaction will be accomplished on each of them.

【 Keywords 】 root dns server； address resolution； decentralized system； distributed consensus； network security； network sovereignty

1 引言

Internet根域名服務(wù)器通常有三類：主根域名服務(wù)器、從根域名服務(wù)器和鏡像根域名服務(wù)器[2]。從根域名服務(wù)器定期從隱藏主根域名服務(wù)器同步根區(qū)文件[1]，鏡像根域名服務(wù)器是從根域名服務(wù)器的鏡像。編號為A～M的13個根域名服務(wù)器，其中10個在美國，2個在歐洲，1個在日本。根域名服務(wù)器一旦停止服務(wù)、發(fā)布虛假信息或者篡改消息實現(xiàn)訪問的重定向，大量Internet用戶將無法正常訪問域名[2]。我國于2003年起開始引入鏡像根，分別于2003年、2005年和2007年引入了F根、I根和J根三個鏡像根[1]，鏡像根域名服務(wù)器提升域名解析效率的同時，還需將解析的細節(jié)傳送到根域名服務(wù)器上，網(wǎng)絡(luò)用戶的信息私密無法得到保護[3]。另外，主根域名服務(wù)器如果屏蔽指定的域名，則它們的地址將無法解析。據(jù)報道，伊拉克、利比亞的頂級域名曾經(jīng)先后被從根域名服務(wù)服務(wù)器中抹掉了數(shù)天，這樣即可讓世界各國都無法訪問這個國家域名下的網(wǎng)站，在這種情況下，該域名的多層解析體系也會跟著土崩瓦解[6]。根域名服務(wù)器集中式的組織和管理方式無法擺脫美國的控制，無法避免地對世界上大多數(shù)國家的網(wǎng)絡(luò)造成潛在的安全威脅。

中國工程院方濱興院士提出的一個“域名對等擴散”的方法，讓各個頂級域名所有者向其他國家級根域名掌握者報告其頂級域名服務(wù)器的地址信息，文獻[6]中比較了“應(yīng)急根域名解析”模式和“自主根域名解析”模式，“應(yīng)急”模式缺乏平時的運行考驗，而且所采取的技術(shù)過于復(fù)雜，很難保證在需要的時候能夠有效使用；而“自主”模式作為常態(tài)運行，根域名解析服務(wù)器的負載能力可以在日常運行的監(jiān)控中不斷擴充，可以使得運行過程得到長期有效的考驗[6]。本文認(rèn)為在國際根域名服務(wù)器客觀存在的情況下，“域名對等擴散”體系下的“自主根”和國際根域名服務(wù)器處于一種混合的工作模式，“自主根域名解析”將目前由中心式的根域名解析體系引起的管理權(quán)問題轉(zhuǎn)移到了頂級域名服務(wù)器，如果.com一類的國際頂級域名服務(wù)器不將權(quán)威的信息交換給“自主根域名解析”模式下的自主根，自主根會受到很大的限制；另外，在“自主”模式下，如果國際根域名服務(wù)器對部分地址信息封殺，文獻[6]中提到的“利比亞式風(fēng)險”也還是存在的，因此我們認(rèn)為這也只是一種過渡性改良方案。所以，從長遠角度考慮，本文提出了一種能真正維護主權(quán)、體現(xiàn)各國平等的理想方案，就是使用一種去中心化的域名解析系統(tǒng)，這樣才能真正落實主權(quán)在我、不受制于人的原則。

本文以DNS（Domain Name System）為研究背景，在層次樹狀結(jié)構(gòu)的基礎(chǔ)上進一步研究，提出了一種去中心化的網(wǎng)絡(luò)域名服務(wù)系統(tǒng)DDNS（Decentralized Domain Name System）模型和相應(yīng)算法，在Paxos[4]算法的基礎(chǔ)上設(shè)計分布式一致性算法組織根域名服務(wù)器，分級分區(qū)域地管理所有的域名。根區(qū)的事務(wù)請求要得到過半根節(jié)點的投票才能通過，從而不再依賴于主根域名服務(wù)器，DDNS可以支持國家網(wǎng)絡(luò)主權(quán)的理念，確保各個根域名服務(wù)器掌握者的網(wǎng)絡(luò)獨立權(quán)。

2 設(shè)計思路

首先，為了便于區(qū)分DDNS網(wǎng)絡(luò)域名服務(wù)系統(tǒng)的自組織網(wǎng)絡(luò)部分和被管理網(wǎng)絡(luò)部分，本文將DDNS劃分為一個骨干區(qū)域和若干非骨干區(qū)域。骨干區(qū)域由根域名服務(wù)器組成，去除主根的綁定，采用去中心化的設(shè)計思路；被管理網(wǎng)絡(luò)由域名解析過程查詢時依賴于根域名服務(wù)器的頂級域名服務(wù)器和權(quán)限域名服務(wù)器組成。域名解析過程保持現(xiàn)有體系下遞歸查詢和迭代查詢。在域名注冊管理上，各個國家可以建立平等的域名注冊管理機構(gòu)和根域名服務(wù)器運行機構(gòu)。這種去中心的分層管理模式依賴于本國的根域名服務(wù)器，各個根域名服務(wù)器之間保持狀態(tài)一致性。

Leslie Lamport提出的Paxos算法是一種一致性算法，世界上其他的分布一致性算法都是Paxos算法的改進或者簡化版本[5]。首先，本文在Paxos算法基礎(chǔ)上設(shè)計了分布式一致性算法用于骨干區(qū)根域名服務(wù)器的事務(wù)更新。骨干區(qū)的每一次事務(wù)請求要先發(fā)起操作提議，提議要通知到每一個根域名服務(wù)器節(jié)點上。當(dāng)本次提議收到過半根節(jié)點的投票同意后，本次事務(wù)請求會在每一個根域名服務(wù)器上提交，即每一次的提議要么在所有根域名服務(wù)器上都應(yīng)用，要么都不應(yīng)用。為了保證各個根節(jié)點上執(zhí)行的事務(wù)是順序一致的，每一次的提議都會有編號pId（Proposal Id），編號是逐次遞增的。假設(shè)當(dāng)前已通過的最大提議編號是N，則之后進入投票表決的提議編號一定是大于N的。

第二步，當(dāng)骨干區(qū)域有多個根域名服務(wù)器節(jié)點同時對同一條記錄發(fā)起事務(wù)請求時，并且它們將要操作的對象的value值不相同，這里會產(chǎn)生沖突。因此引入一個Leader的概念，每個根節(jié)點的提議都要先發(fā)送到Leader的隊列當(dāng)中，再由Leader順序地對每個提議向其他根節(jié)點（Follower）發(fā)起投票。在Leader收到過半根節(jié)點的同意回復(fù)后，Leader再將該提議的確認(rèn)通知發(fā)送到每一個根節(jié)點上，再由各根節(jié)點來提交該事務(wù)。集群初始化時最先啟動的節(jié)點作為Leader，如果出現(xiàn)Leader宕機，存活的根節(jié)點會依據(jù)提議編號的大小和根節(jié)點唯一標(biāo)識（ID）的大小兩個因素來投票選舉出新的Leader。

以上兩步都是要保證每一個操作事務(wù)和事務(wù)提交的順序是一致的，保證各根節(jié)點的副本和狀態(tài)的一致性?？蛻舳诉B接到任意一臺根域名服務(wù)器，查詢到的頂級域名信息都是一致的，即客戶端單一視圖。

上述兩個步驟將是本文的研究重點。

為了確保域名的自主可控，本文考慮在DDNS框架的基礎(chǔ)上設(shè)計規(guī)則來限制根域名服務(wù)器對頂級域名的操作權(quán)限，國家頂級域名和本國的底層域名的操作提議只能在本國的域名注冊管理和運行機構(gòu)上提交，各個根域名服務(wù)器節(jié)點都不會同意和接受某個根節(jié)點對其管轄范圍外的域名的操作提議。針對.com、

.org這類的國際頂級域名，也按照DDNS的去中心化思路來組織國際頂級域名服務(wù)器。

3 框架設(shè)計

3.1 相關(guān)概念

骨干區(qū)域：DDNS的中心區(qū)域，該區(qū)域由非骨干區(qū)域中深度最小的根域名服務(wù)器組成。骨干區(qū)域內(nèi)所有的域名服務(wù)器組成一張無向圖。所有的域名服務(wù)器之間都存在物理鏈路并且可以相互通信。如圖1中的A、B、C、D所示的根域名服務(wù)器節(jié)點組成了骨干區(qū)域。

非骨干區(qū)域：骨干區(qū)域以外的區(qū)域稱為非骨干區(qū)域。各非骨干區(qū)域內(nèi)部的拓撲結(jié)構(gòu)為一棵樹，該樹的根節(jié)點就是本非骨干區(qū)域連接骨干區(qū)域的根域名服務(wù)器。如圖1所示，頂級域名服務(wù)器和權(quán)限域名服務(wù)器等節(jié)點組成了非骨干區(qū)域A。本文使用骨干域名服務(wù)節(jié)點名稱+“”的方式描述非骨干區(qū)域。

Leader：骨干區(qū)域內(nèi)所有操作提議的唯一調(diào)度者和處理者，在任一時刻不存在多于1個的Leader，Leader角色并不與某個骨干節(jié)點永久綁定，在Leader無法連通后，骨干區(qū)會重新選舉出新的Leader。

Follower：骨干區(qū)域內(nèi)除Leader外存活的節(jié)點，接收來自客戶端的操作請求，并將請求轉(zhuǎn)發(fā)給Leader，還參與Leader發(fā)起的提議投票，在檢測不到Leader心跳后投票重選Leader。

3.2 DDNS模型建模

下面將給出DDNS模型的相關(guān)定義。

定義1. 域名服務(wù)器節(jié)點D，節(jié)點的屬性可以用一個五元組來表示：

D=，

其中，id是節(jié)點D唯一標(biāo)識；n是D節(jié)點名稱； isBackbone標(biāo)識該D節(jié)點是否為根域名服務(wù)器節(jié)點，isBackbone取值1標(biāo)識骨干節(jié)點，取值0標(biāo)識非骨干節(jié)點；role取值L標(biāo)識Leader，取值F標(biāo)識Follower；pid是節(jié)點上最新的提議編號。

定義2. 提議Proposal，其數(shù)據(jù)結(jié)構(gòu)為以下三元組：

Proposal=，

其中，pId為提議編號；key為操作對象；value為操作對象的值。

定義3. Proposal選票，其數(shù)據(jù)結(jié)構(gòu)為以下二元組：

VOTE_Proposal=，

其中，id為當(dāng)前節(jié)點的全局唯一數(shù)字標(biāo)識；vote取值Y表示同意，vote取值N表示否定。

定義4. Leader選票，其數(shù)據(jù)結(jié)構(gòu)為以下三元組：

VOTE_LEADER=，

其中，id為當(dāng)前節(jié)點的全局唯一數(shù)字標(biāo)識；pId為當(dāng)前節(jié)點最新的提議編號；electionId為當(dāng)前節(jié)點進行投票的輪次。

4 主要功能和流程

骨干區(qū)域內(nèi)，F(xiàn)ollower的提議只能發(fā)給Leader，Leader對提議可以發(fā)起全體的投票，Leader發(fā)起的提議的編號為當(dāng)前pId加1，各節(jié)點只會同意大于當(dāng)前pId的提議，包括已表決通過的和未來的，每個節(jié)點的pId會隨著提議的通過不斷地更新，處理流程如下：

①骨干節(jié)點接收到客戶端的操作請求后，向Leader提交編號為（pId+1）的事務(wù)操作提議；

②Leader檢查沒有收到過編號大于pId+1的請求后向所有Follower節(jié)點通知該提議，并獲得Follower的投票；

③在Leader收到過半骨干節(jié)點的同意票后，Leader向所有Follower節(jié)點發(fā)出該提議的事務(wù)提交通知；

④Follower收到Leader的事務(wù)提交通知后，在本節(jié)點上執(zhí)行該提議，并將本機的pId更新為（pId+1），并通知Leader已提交事務(wù)。

上述流程舉例如下：假設(shè)有5個根節(jié)點<1， A， 1， F， 8>，<2， B， 1， L， 8>，<3， C， 1， F， 8>，<4， D， 1， F， 7>，<5， E， 1， F， 7>，B節(jié)點為Leader?？蛻舳讼駽發(fā)起將com的地址改為ip1的請求，步驟如圖2所示。

Follower和Leader之間的心跳檢測是基于超時機制的。當(dāng)一個Follower超過一定的時間沒有收到Leader的響應(yīng)，它就懷疑Leader發(fā)生故障并啟動選舉過程。Leader出現(xiàn)故障后，整個骨干區(qū)域進入恢復(fù)模式，暫停對外服務(wù)，在重新選舉出新的Leader后，并當(dāng)骨干區(qū)域內(nèi)有過半的根節(jié)點與新的Leader完成狀態(tài)同步，結(jié)束恢復(fù)模式，處理流程如下：

①節(jié)點初始化選票，將選票送入本機發(fā)送隊列，由發(fā)送器取出并發(fā)送到其他每個節(jié)點的接收器，接收器會將選票寫入節(jié)點的接收隊列；

②每個節(jié)點從本機的接收隊列讀取選票，記為vote2；

③本機選票，記為vote1，當(dāng)e1小于e2時，清空本機的接收隊列，并重新初始化本機選票，轉(zhuǎn)④；當(dāng)e2小于e1時，忽略vote2，轉(zhuǎn)②；當(dāng)e1等于e2時，進④；

④當(dāng)P1小于P2時，更新本節(jié)點的選票為；當(dāng)P1等于P2時，判斷i2是否大于i1，當(dāng)i2大于i1時，更新本節(jié)點的選票為；選票更新后送入本機發(fā)送隊列；

⑤統(tǒng)計本機的選票集合，如果有節(jié)點獲得過半的相同選票，終止投票，否則轉(zhuǎn)②；

⑥確定投票終止后，根據(jù)表決結(jié)果，更新D中的role值，退出恢復(fù)模式。

某一時刻，A和B發(fā)生故障，骨干區(qū)重選Leader，選舉示意圖如圖3所示。

從實時性角度來看，骨干節(jié)點間的數(shù)據(jù)同步并不是強一致性，是一種偽實時性。骨干節(jié)點之間是由物理的媒介進行連接的，節(jié)點間傳遞數(shù)據(jù)存在延時。因此，在某一個時間片內(nèi)可能存在節(jié)點間數(shù)據(jù)的不一致，只能保證順序一致性和最終一致性。

5 結(jié)束語

去中心化的域名服務(wù)器組織和管理方式可以保證各個根域名服務(wù)器的狀態(tài)一致，并且有效地避免了目前DNS集中式的工作中存在的各種弊端。DDNS模型的域名解析方案不受主根域名服務(wù)器的限制，保證了根域名服務(wù)器的自主可控，即骨干區(qū)域內(nèi)任一骨干D出現(xiàn)宕機、重啟或者遭受攻擊等問題，不影響其他骨干D連接成網(wǎng)絡(luò)。這種去中心化域名系統(tǒng)可以保證國家網(wǎng)絡(luò)信息安全不受任何單方面的骨干D的管理和控制。DDNS確保國家網(wǎng)絡(luò)主權(quán)的同時保護了網(wǎng)絡(luò)用戶的信息隱私，從根本上防止了中心式的域名解析體系對國家網(wǎng)絡(luò)安全造成的威脅。

參考文獻

[1] 李原，曹慧海，王安平.我國根域名解析服務(wù)監(jiān)測與分析[A].中國通信學(xué)會.第十七屆全國青年通信學(xué)術(shù)年會論文集[C].中國通信學(xué)會，2012：5.

[2] 曹薊光.互聯(lián)網(wǎng)域名系統(tǒng)管理新機制的研究[J].電信網(wǎng)技術(shù)，2005，10：8-12.

[3] 楊劍.中國根域名鏡像服務(wù)器到底帶來了什么？[N].電腦報，2007-01-01A08.

[4] Leslie Lamport.The Part-Time Parliament. ACM Transactions on Computer Systems 16，2 （May 1998），133-169.

[5] 楊平安.基于Paxos算法的HDFS高可用性的研究與設(shè)計[D].華南理工大學(xué)，2012.

[6] 方濱興.從“國家網(wǎng)絡(luò)主權(quán)”談基于國家聯(lián)盟的自治根域名解析體系[J].信息安全與通信保密，2014，12：35-38.

基金項目：

國家自然科學(xué)基金資助項目（61540020）：“基于多維證據(jù)的信任評估理論、模型與關(guān)鍵機制研究”。

作者簡介：

朱國庫（1992-），男，浙江人，碩士研究生；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)與信息安全。

蔣文保（1969-），男，湖南人，畢業(yè)于清華大學(xué)，博士后，北京信息科技大學(xué)信息管理學(xué)院副院長，信息系統(tǒng)研究所副所長，教授，碩士生導(dǎo)師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)與信息安全領(lǐng)域的科學(xué)研究、產(chǎn)品開發(fā)、教學(xué)和管理。