1互聯(lián)網(wǎng)系統(tǒng)的核心之一是支撐它運(yùn)轉(zhuǎn)的域名服務(wù)體系。由于互聯(lián)網(wǎng)發(fā)源于美國，因此美國一直保持著對(duì)互聯(lián)網(wǎng)域名及根服務(wù)器的控制。在提供域名解析的多級(jí)服務(wù)器中，處于最頂端的13臺(tái)域名根服務(wù)器，均由美國政府授權(quán)的ICANN統(tǒng)一管理。

互聯(lián)網(wǎng)已經(jīng)在世界范圍內(nèi)得到了巨大的發(fā)展，互聯(lián)網(wǎng)作為重要的戰(zhàn)略資源已經(jīng)日益為世界各國所重視。所以打破互聯(lián)網(wǎng)的壟斷控制權(quán)，實(shí)現(xiàn)互聯(lián)網(wǎng)自治，切實(shí)保障網(wǎng)絡(luò)安全和信息安全就成為非常嚴(yán)峻、緊迫的問題。本文將提供一種不改變現(xiàn)有協(xié)議、不改變用戶使用模式，無過渡期甚至可以單邊行動(dòng)來實(shí)現(xiàn)互聯(lián)網(wǎng)自治的技術(shù)。

2互聯(lián)網(wǎng)自治現(xiàn)狀的分析

當(dāng)今的互聯(lián)網(wǎng)歸根結(jié)底是單極系統(tǒng)，雖然其分布式網(wǎng)絡(luò)系統(tǒng)提供了大部分的網(wǎng)絡(luò)自主自治特性，但是關(guān)鍵的域名服務(wù)采用集權(quán)控制方式。

DNS（domainnamesystem/domainnameservice，域名系統(tǒng)/域名服務(wù)），為互聯(lián)網(wǎng)上的主機(jī)分配域名地址和IP地址。用戶使用域名地址，該系統(tǒng)就會(huì)自動(dòng)把域名地址轉(zhuǎn)為IP地址。執(zhí)行域名服務(wù)的服務(wù)器稱為域名服務(wù)器，通過域名服務(wù)器來應(yīng)答域名服務(wù)的查詢。

互聯(lián)網(wǎng)現(xiàn)有域名層次結(jié)構(gòu)如圖1所示，是一種由最多255個(gè)字符128層組織域組成的有層次結(jié)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)命名空間系統(tǒng)。根域名服務(wù)器授權(quán)派生出各個(gè)層次的域名服務(wù)器，非本地域名的域名解釋服務(wù)請(qǐng)求缺省都需要經(jīng)由根域名服務(wù)器。現(xiàn)在全世界一共有13個(gè)根服務(wù)器，其中一個(gè)是主根服務(wù)器。眾所周知，域名是網(wǎng)站的第一個(gè)關(guān)鍵，域名解析是控制各網(wǎng)站的核心。通過控制根服務(wù)器，可以控制全球各種域名及各地區(qū)的域名解釋服務(wù)，甚至還可以對(duì)其他國家的網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控。

在某種意義上，使用國際域名都是不安全的。國際域名的管理現(xiàn)狀就是美國擁有著管理權(quán)，根據(jù)得到的互聯(lián)網(wǎng)DNS解析的相關(guān)數(shù)據(jù)，中國網(wǎng)民的訪問習(xí)慣和訪問信息以及網(wǎng)站的解析信息完全暴露于美國公司的監(jiān)視之下。這對(duì)中國的國家安全是非常大的威脅。造成這種現(xiàn)象的原因與互聯(lián)網(wǎng)的發(fā)展歷史有關(guān)，并不是單純的技術(shù)先進(jìn)性問題。

要想維護(hù)國家的互聯(lián)網(wǎng)安全，唯一的出路就是自建根域名服務(wù)器，實(shí)現(xiàn)互聯(lián)網(wǎng)自治。這其中既有成本的問題也有技術(shù)可操作性的問題，在目前現(xiàn)有域名體系下來說是不可能的。所以在現(xiàn)有的域名體系下，互聯(lián)網(wǎng)自治是美國以外世界各國的禁區(qū)。

3自治互聯(lián)網(wǎng)技術(shù)

3.1自治互聯(lián)網(wǎng)的設(shè)計(jì)目標(biāo)

要想維護(hù)國家互聯(lián)網(wǎng)安全，必須實(shí)現(xiàn)互聯(lián)網(wǎng)自治，擁有自己的根域名服務(wù)器，域名解析不再經(jīng)由境外域名服務(wù)器提供服務(wù)，這對(duì)于現(xiàn)代化的國防、經(jīng)濟(jì)等都非常重要。

自治互聯(lián)網(wǎng)技術(shù)必須從互聯(lián)網(wǎng)現(xiàn)實(shí)出發(fā)，不改變現(xiàn)有協(xié)議、不改變用戶使用模式，無過渡期甚至可以單邊行動(dòng)來實(shí)現(xiàn)互聯(lián)網(wǎng)自治的改造。同時(shí)，自治互聯(lián)網(wǎng)的設(shè)計(jì)必須是架構(gòu)安全可擴(kuò)展，互聯(lián)網(wǎng)自治的改造盡可能最小，互聯(lián)網(wǎng)自治的過渡平滑可行。

為實(shí)現(xiàn)互聯(lián)網(wǎng)自治的目標(biāo)，本文的自治互聯(lián)網(wǎng)技術(shù)將通過現(xiàn)有域名體系構(gòu)造出自主自治的可擴(kuò)展域名體系和層次結(jié)構(gòu)，使每個(gè)自治IP網(wǎng)絡(luò)都有獨(dú)立自主的互聯(lián)網(wǎng)域名及根域名服務(wù)器；提供自治IP網(wǎng)絡(luò)系統(tǒng)內(nèi)部和跨自治IP網(wǎng)絡(luò)系統(tǒng)的域名解釋機(jī)制，內(nèi)部域名解析不再經(jīng)由自治IP網(wǎng)絡(luò)系統(tǒng)外的域名服務(wù)器提供服務(wù)。

3.2自治互聯(lián)網(wǎng)域名體系

根據(jù)自治互聯(lián)網(wǎng)的目標(biāo)，可以設(shè)計(jì)出如圖2所示的自治互聯(lián)網(wǎng)域名層次結(jié)構(gòu)。每個(gè)自治IP網(wǎng)絡(luò)如A、B…，本身具有完整的整套域名系統(tǒng)并且互不干涉，每個(gè)自治IP網(wǎng)絡(luò)都相當(dāng)于現(xiàn)在傳統(tǒng)的互聯(lián)網(wǎng)，其內(nèi)部域名解釋和通信都不會(huì)有改變。跨自治IP網(wǎng)絡(luò)通信時(shí)，需要采用網(wǎng)際域名，即在傳統(tǒng)域名后面加上一個(gè)網(wǎng)絡(luò)域名后綴以標(biāo)示指定自治IP網(wǎng)絡(luò)內(nèi)的域名節(jié)點(diǎn)，如www.yahoo.com。B就表示是自治IP網(wǎng)絡(luò)B中的域名節(jié)點(diǎn)。為此，在每個(gè)自治域名層次結(jié)構(gòu)樹中都增加ex(i)的頂級(jí)域名，以映射代表本自治IP網(wǎng)絡(luò)可以通達(dá)的其他自治IP網(wǎng)絡(luò)域名樹。當(dāng)ex(i)=B時(shí)，表示可以通達(dá)的其他自治IP網(wǎng)絡(luò)B。因此，在每個(gè)自治IP網(wǎng)絡(luò)中會(huì)增加一個(gè)稱為“自治IP網(wǎng)絡(luò)域名服務(wù)器網(wǎng)關(guān)”的設(shè)備AIPDNSGW，以支持跨自治IP網(wǎng)絡(luò)的域名解釋。

自治互聯(lián)網(wǎng)的域名體系具有自主、可擴(kuò)展的特點(diǎn)。

3.3自治互聯(lián)網(wǎng)域名解釋流程

3.3.1自治IP網(wǎng)絡(luò)本網(wǎng)內(nèi)域名解釋

自治IP網(wǎng)絡(luò)本網(wǎng)內(nèi)域名解釋按照傳統(tǒng)方式進(jìn)行。如圖3所示，比如同一自治IP網(wǎng)絡(luò)內(nèi)的域名為Na1（其IP地100址為Ga1）的主機(jī)要與域名為Na3=www.yahoo.com的主機(jī)進(jìn)行通信，源主機(jī)Na1將首先向DNS發(fā)出域名查詢請(qǐng)求。

這是一個(gè)傳統(tǒng)的DNS域名解釋過程，為了與跨自治IP網(wǎng)絡(luò)的域名解釋對(duì)比，具體步驟簡述如下。

（1）源主機(jī)Na1提出域名Na3的解析請(qǐng)求，并將該請(qǐng)求通過本機(jī)的解釋器發(fā)送給本地域名服務(wù)器。

（2）本地域名服務(wù)器根據(jù)收到的請(qǐng)求，查詢本地緩存返回查詢的結(jié)果，如果沒有記錄就把請(qǐng)求發(fā)給本自治IP網(wǎng)絡(luò)的根域名服務(wù)器。

（3）本自治IP網(wǎng)絡(luò)的根域名服務(wù)器返回給本地域名服務(wù)器一個(gè)所查詢域(根域名的子域，如COM)的主域名服務(wù)器的地址。

（4）本地域名服務(wù)器再向步驟（3）中所返回的域名服務(wù)器地址發(fā)送請(qǐng)求，然后收到該請(qǐng)求的域名服務(wù)器查詢其緩存返回對(duì)應(yīng)的記錄或者相關(guān)的下級(jí)的域名服務(wù)器的地址。

（5）本地域名服務(wù)器重復(fù)步驟（4），直到找到正確的紀(jì)錄，即Na3的IP地址Ga3。然后把結(jié)果緩存并返回給源主機(jī)Na1。這樣，獲得目的主機(jī)的IP地址后，域名為Na1（其IP地址為Ga1）的主機(jī)就可以與域名為Na3（其IP地址為Ga3）的主機(jī)進(jìn)行通信了。圖3為自治IP網(wǎng)絡(luò)內(nèi)部域名解釋過程示意。