中國根域名伺服器與網路主權之分析
2019.09.12
瀏覽數
91
壹、新聞重點
2019年9月3日,中國互聯網信息中心(China Internet Network Information Center, CNNIC)與網際網路名稱與數字位址分配機構(Internet Corporation for Assigned Names and Numbers, ICANN)發布新聞,表示由ICANN負責管理之根域名伺服器(ICANN Managed Root Server, IMRS)鏡像節點(mirror instance)首次在上海成功安裝。此鏡像節點位於上海電信核心機房,這是在中國電信支持下,由ICANN、CNNIC以及上海市互聯網信息辦公室、經濟信息化委員會聯合完成部署工作。 [1]
貳、安全意涵
一、CNNIC成為「域名根服務器運行機構」落實網路主權
域名系統(Domain Name System, DNS)是關鍵資訊基礎設施,作用有如電話簿,將文字的網址層層解析為相對應的IP位置,根域名伺服器(Root Name Server)則屬於域名系统的最頂層,解析網址最末、有如電話號碼區碼的頂級域名(top-level domain, TLD)。根域名伺服器全球共有13組,以英文字母A至M命名,分別由不同單位負責管理。每一組根域名伺服器,均由位於多個不同地點的機器組成,這些機器稱為根鏡像節點。節點間彼此以任播技術(anycast)共享同一個IP位置與記錄頂級域名的根域檔案(root zone file),因此增加鏡像節點將可縮短當地網路用戶進行DNS查詢的時間。
中國自2003年以來陸續設置F、I、J、L四組根域名伺服器的鏡像節點,但當時CNNIC與中國科學院計算機網絡信息中心實為「一套人馬、兩塊招牌」,故大多應由中國科學院所屬之研究所及相關企業負責管理。隨著CNNIC自2014年改由中央網絡安全和信息化委員會辦公室(簡稱網信辦)主管,在業務上受工業與信息化部(簡稱工信部)監督,其業務之域名及IP位置註冊與管理,正式由學術機構轉納入國家行政機關管轄。
2019年6月工信部同意CNNIC設立F、I、J、L鏡像節點,並成為「域名根服務器運行機構」,賦予管理鏡像節點之責。[2] 此舉可視為中國網路主權之進一步落實,將CNNIC業務範圍,由虛擬的頂級域名(即中國之.cn)註冊、IP位置等,擴大至更多實體網路關鍵基礎設施的硬體設備管理。
二、以國產軟硬體建置根域名伺服器之技術難題仍待克服
中國科學院延伸之互聯網域名系統北京市工程研究中心(Internet Domain Name System Beijing Engineering Research Center, ZDNS)曾經於2018年公開其自行開發DNS軟體「紅楓系統」,但實際研發及應用狀況不明。2019年6月於杭州安裝之F鏡像節點、以及9月於上海安裝之L鏡像節點,其系統使用之DNS軟體似為目前主流軟體,並未藉此測試「紅楓系統」。此外,ZDNS於工信部發布同意CNNIC新增F、I、J、L四組鏡像節點訊息後,旋即宣布推出搭載國產CPU「龍芯」之域名伺服器設備,並且搭配自行開發之DNS軟體「紅楓系統2.0」。[3] 域名系統處理來自網路服務提供業者固定之解析請求,一般均要求軟硬體運作穩定,新鏡像節點未採用國產域名伺服器設備及軟體,可能表示仍有技術難題需要克服。由市場相關設備提供者少、市場相對小觀之,於目前美中貿易戰脈絡下,其象徵意義遠大於實際應用與商業價值。
參、趨勢研判
一、 中國將持續提高網路關鍵基礎設施自主性確保安全
工信部2019年6月公布之同意函,明確提到6個根鏡像節點編號,透露中國應會安裝更多鏡像節點,以期藉此增加網路解析效率,並且降低遭到分散式阻斷服務攻擊(distributed denial-of-service attack)影響服務的風險。因此除上海、杭州之外,未來根鏡像節點應會部署於深圳、成都等網路業蓬勃發展的大城市。
雖然有不少中國評論認為,架設根鏡像節點將可避免中國網際網路被美國「一鍵關停」,不過ICANN實際上對域名系統僅是盡責治理(stewardship),任何決策則需透過其多方利害關係人架構,單一國家無法徹底控制、影響特定國家的網路。
另外,CNNIC稱上海新設之L根為中國第12個根鏡像節點,但此數字與ICANN公開資料有落差,極可能因為中國將獨立於ICANN外的替代根域名伺服器系統(alternative root)實驗「雪人計畫」(Yeti Project)所屬的三個鏡像節點(分別位於南京、成都、深圳)納入,顯示中國近期雖與ICANN展開更多實質合作,但仍未放棄以安全為由、建立自主根域名系統之企圖。
二、中國可能透過投遞虛假DNS查詢結果影響全球網際網路
由於中國防火長城持續透過DNS快取污染(DNS cache pollution),刻意以虛假結果回應查詢,導致部分網站不僅在中國境內無法連結,也因DNS系統會留存各層查詢結果的快取檔案以增加回應效率,這進一步讓查詢結果不斷複製到其他伺服器,使更大範圍之網際網路均無法連結。若透過根鏡像節點進行快取污染,其影響將會快速擴大。位於北京的I組根鏡像節點,2010年即曾因發現干擾Twitter、Google等網站的查詢結果,使其無法連線,而遭負責管理之Netnod以暫時斷線處理。[4] 未來若持續增加中國境內之根鏡像節點,由於防火長城限制機制不斷更新,仍有許多潛在衝突機會。
不過,根域名伺服器管理者在2019年8月共同公布一份減輕根域名系統威脅的建議,其中包含根鏡像節點受到其他因素干擾DNS運作時,如何將此節點移除並降低損害的作法。雖應非針對中國,但此亦顯示所有根域名伺服器管理者對於針對域名系統之安全風險已有因應。 [5]
附表:根域名伺服器及中國鏡像節點一覽
名稱 |
管理者 |
中國鏡像節點 |
台灣鏡像節點 |
|
|
|
|
A |
VeriSign Inc. |
|
|
B |
USC-ISI |
|
|
C |
Cogent Communication |
|
|
D |
University of Maryland |
|
|
E |
NASA Ames Research Center |
|
台北 |
F |
Internet Systems Consortium |
北京 杭州蕭山區(2019) |
台北(TWIX、2003) 台北(2013) |
G |
Defense Information Systems Agency |
|
|
H |
U.S. Army Research Lab |
|
|
I |
Netnod |
北京 |
台北(中研院、2009) |
J |
VeriSign Inc. |
北京 杭州 |
|
K |
RIPE NCC |
北京 |
台北(2018) |
L |
ICANN |
北京(ZDNS 2014) 上海(上海電信 2019) |
新北 |
M |
WIDE Project |
|
|
資料來源:杜貞儀整理自ICANN、亞太網路資訊中心(Asia Pacific Network Information Center, APNIC)等公開資料,括弧內容為公開資料顯示之部署年分與管理單位。
[1]〈L根服務器上海鏡像節點上線〉,CNNIC,2019年9月3日https://tinyurl.com/y6ffoffb;“First ICANN Managed Root Server Instance Installed in Shanghai,” ICANN, September 3, 2019, https://www.icann.org/news/announcement-2-2019-09-03-en.
[2]〈工業和信息化部關於同意中國互聯網信息中心設立域名跟服務器(F、I、K、L根鏡像服務器)及域名根服務器運行機構的批覆〉,中華人民共和國工業和信息化部,2019年6月24日,http://www.miit.gov.cn/n1146295/n1652858/n1652930/n4509636/c7015615/content.html。
[3]〈首款基於龍芯芯片的國產域名服務器發布〉,《觀察者網》,2019年6月29日http://www.guancha.cn/industry-science/2019_06_29_507471.shtml。
[4] Robert McMillan, “After DNS problem, Chinese root server is shut down,” Computer World, March 26, 2010, https://tinyurl.com/y2djtoxe.
[5] Root Server Operators, “Threat Mitigation for the Root Server System,” root-servers.org, August, 2019, https://root-servers.org/publications/Threat_Mitigation_For_the_Root_Server_System.pdf.