基于IPv6的安全可信的域名系统中网公司邢志杰2012年4月互联网基础资源互联网应用数字家电物联网三网融合SaaS域名服务系统IP地址管理IP、域名等互联网基础资源链接底层物理设施和上层业务应用。任何通信链接都需要依赖IP地址和域名完成标识、定位和路由。互联网基础资源案安全保障,将直接影响到互联网的稳定运行、安全通讯和可信应用。域名服务体系的基本架构ROOTComCN根服务器顶级域名服务器…Sohu其他各级域名服务器…ZDNSSina…baidu递归递归服务器递归权威服务器…用户应用域名服务根域名服务器,全球共13个根服务器,200多个镜像服务器,我国有3个镜像服务器。•主要由运营商、ISP等基础网络运营商提供•主要由各网站自建、注册服务商免费服务为主互联网域名系统IPV6进程按照根、顶级域名和各级权威、递归服务的次序开始顶级域名服务器,分为通用顶级域(gTLD)和国家顶级域(ccTLD),由商业公司和非盈利组织性质的域名注册管理机构运行管理。…….ROOTNewgTLDsIDNccTLDs.brand.generic.city.acronym.gIDNs.region.community.ﺍﺭﺎﻣﺍﺕ.рфﻮﻌﺴﻟﺍﺔﻳﺩﺼﻣﺭ.中国.சிங்கப்.ไทย新gTLD计划快车道计划.name.gov.mobi.asia.arpa.edu.com.cat.jobs.travel.museum.net.tel.org.int.info.biz.mil.aero.pro.post.coop.jp.br.nl.eg.eu.mx.cc.cv.dm.hr.py.ru.sg.pt.va.ws.nz.au.mo.kr.jm.tv.be.cl.is.tr.cn互联网域名系统正在发展重大变化Newgtld计划和IDN快车道计划使未来3年内全球顶级域名超过1000个IPV6DNSSECIDN互联网域名系统正在发生重大变化IPV6、DNSSEC、IDN是下一代互联网域名系统的三大核心技术IPV6演进过程中DNS国际标准现状DNSExtensionstoSupportIPVersion6(RFC3596)DNS64:DNSExtensionsforNetworkAddressTranslationfromIPv6ClientstoIPv4Servers(RFC6147)CommonMisbehaviorAgainstDNSQueriesforIPv6Addresses(RFC4074)已制定国际标准正在制定的国际标准IPv6AAAADNSWhitelistingImplications(draft-ietf-v6ops-v6-aaaa-whitelisting-implications-03)EDNS0OptionforIndicatingAAAARecordSynthesisandFormat(draft-korhonen-edns0-synthesis-flag-02)SomeConsiderationsontheLoad-BalancerforNAT64draft-wang-behave-nat64-load-balancer-0全球顶级域名IPV6支持情况85.0%的TLD具备支持IPv6的域名服务器;82.4%的TLD在根服务器里已经安装IPv6glue记录;顶级域名数量支持IPV6顶级域占比数据来源:ICANN43届大会我国下一代互联网域名体系推进历程根域名服务器大部分支持IPv6;2004年.CN根服务器宣布支持IPv6CNNIC首次完成自主软硬件域名系统研发.CN启动DNSSEC部署工作根服务器完成DNSSEC部署IPv6加速商用递归服务和二级权威服务环节部署DNSSEC推进产业化行业推进国际合作标准研究政策研究基础设施地址数量(/8s)IANA池RIR池中国国家顶级域名IPV6支持情况.CN提供IPv6服务:IPv6解析•2004年11月23日,.CN提供IPv6解析;•10个全球解析节点中3个支持双栈(北京、香港、加利福尼亚)2008年提供IPv6注册;2008年提供IPv6Whois;“十一五”下一代互联网域名系统建设情况根.CN,.中国…公司,企业,政府,域名注册商ISP,LAN,网络接入等顶级节点10个全球分布(CNGI骨干城市优先)示范节点10个域名查询量前10大域名服务机构示范节点7个电信,联通,移动,科技网,教育网,长城网,经贸网发改委“下一代互联网可信域名服务系统产业化”项目国家顶级域名解析系统•支持IPv6,兼容IPv4•支持DNSSEC•部署自主研发的高性能域名服务系统,实现安全、可控、客观的基本特征建设内容国家顶级各级权威递归服务器“十二五”下一代互联网域名系统建设规划现网商用试点阶段全面商用部署阶段电信运营企业、域名托管服务企业、顶级域运营机构、域名注册服务机构的域名服务器基本支持IPv6访问与解析电信运营企业、域名托管服务企业、顶级域运营机构、域名注册服务机构的域名服务器全面支持IPv6访问与解析(四)网络与信息安全保障……“加强网络地址及域名系统的规划和管理”(二)重点产品研发及产业化……认证鉴权、域名解析、地址分配查询、网络管理、客户服务、融合计费等支撑系统“建设并利用好下一代互联网国家工程实验室和国家工程研究中心,使其成为产业共性技术研发创新平台”“加强与国际标准化及基础资源管理等组织的合作,推动建立更加科学合理的IP地址分配、网络域名管理以及互联网治理机制。”“十二五”发展路线图和时间表建设基于IPV6的安全可信的域名系统“加强网络与信息安全保障,强化网络地址及域名系统的规划和管理,全面提升下一代互联网安全性和可信性。”---《国务院:加快发展我国下一代互联网产业》全面支持IPV6\DNSSEC\IDN域名云服务面向IPV6域名系统相关标准制定支持IPV6\DNSSEC\IDN域名核心技术域名云服务商用DNS与DDI设备行业标准制定核心技术研发中网下一代互联网可信域名系统战略部署全面支持IPV6\DNSSEC\IDN的商用DNS\DHCP\IP管理设备中网联合CNNIC推进国内标准制定《域名系统安全防护检测要求》《域名系统安全防护技术要求》《域名系统运行总体技术要求》《域名系统权威服务器运行技术要求》《域名系统递归服务器运行技术要求》《域名服务安全框架技术要求》《IPv6网络域名服务技术要求》《域名系统授权体系技术要求》《公共域名解析系统安全标准》已发布“域名运行技术规范”正在制定《DNS扩展支持IPv6技术要求》《用于IPv6客户端到IPv4服务器的地址转换的DNS64技术要求》《IPv4向IPv6过渡过程中的DNS服务器实现和配置技术要求》《域名注册系统安全防护检测要求》《域名注册系统安全防护要求》《域名注册协议可扩展供应技术要求》《域名注册协议主机供应技术要求》《域名注册协议域名供应技术要求》《域名注册协议联系人供应技术要求》。。。推动标准,分享经验,带动行业安全水平整体提升满足下一代可信域名服务的商用软硬件系统高性能商用设备;安全加固,支持DNSSEC;简单易用GUIZDNS-R递归服务器ZDNS-A权威服务器ZDNS-AM流量监控与分析全球首家通过IPv6Ready认证的商用DNS设备;满足下一代可信域名服务的企业核心网络服务MicrosoftADE-mailERP,CRM,eCommerceIntranet,ExtranetWirelessVoIPWeb会议ZDDI“简化的IT体验”“融合管理,可视化运营”•简化网络架构,有效减少企业IT投入•安全高可用,保证核心网络服务不中断•可视化集中管理,有效提高企业运维效率•支持下一代网络技术,帮助企业实现向未来网络的平滑演进满足下一代可信域名服务的商用域名云服务平台增强的业务功能•简单的、集中的域名管理方案;•友好易用的GUI,详细实用的DNS审计和报告;•健壮、安全的DNS架构,可以抵御大规模的DDOS攻击;保证业务不中断;•基于BGP+Anycast技术,实现跨网的快速智能解析;香港节点美国节点英国节点A全球分布节点,海量处理能力;减少DNS业务交付时间,随需购买,降低成本和风险;B增强的下一代互联网技术:•支持DNSSEC,安全增强;•支持IPv6&DNS64,轻松实现IPv6过渡;•支持IDN;C现有部署节点(一期):中国电信、中国联通、中国移动、教育网、科技网、香港、美国、英国;(二期:16-20个节点;监测节点:若干,根据需求持续增加)北京市“祥云工程”中网ZDNS域名云服务纳入“祥云工程”我国首个互联网域名系统工程研究中心其目标是“研究互联网域名核心技术,通过市场机制实现产业化,着力解决域名基础设施重要性和域名安全事故频发的结构性矛盾,促进域名及至互联网产业发展”。中网公司承建国内首家互联网域名系统工程研究中心北京市发改委高技术处费翔处长和中网董事长毛伟共同为工程研究中心揭牌携手共建域名生态圈“加强网络与信息安全保障,强化网络地址及域名系统的规划和管理,全面提升下一代互联网安全性和可信性。”安全、可信的域名生态圈,需各级DNS管理者(国际组织、国家域名管理机构、互联网运营商、各级域名持有机构/个人)的通力配合。社会需要、行业需要、企业需要,网民需要,我们就去做;中网有幸站在域名服务领域的前沿,做不好,我们有责任。