（计算机系统结构专业论文）互联网资源标识和寻址技术研究.pdf

， j 摘要 摘要 互联网是资源、网络协议、资源标识与寻址机制组成的信息空间。资源包括 有形的物理资源，比如网络服务器、存储设备等，也包括虚拟资源，比如信息资 源、某种网络服务等。为了充分开发利用好互联网上的各类资源，有效的资源标 识与寻址机制至关重要。目前互联网上应用最广泛的资源标识与寻址技术就是域 名技术，可以说域名技术是互联网上最成功的技术之一，是互联网的基础性技术， 几乎任何种互联网应用都跟域名有关。简单、高效是域名技术的特点，也是域 名技术获得成功的一个主要原因。但是随着互联网的发展，更多应用和资源类型 出现，域名技术要满足全部互联网资源标识与寻址的需求有些力不从心。 本文以对域名技术的研究为基础，指出了域名技术的不足，并针对这些不足 提出了相应的一些解决方法。结合当前互联网发展应用的情况，设计了一种统一 的互联网资源标识与寻址机制，并将这种机制应用于域名系统。本文的主要贡献 和创新点有： 1 、研究了中文域名繁简体等效的问题，提出了基于i d n a d m i n 算法实现中 文域名繁简等效的解决方案，设计了实现算法以及用于方案实现的中文域名异体 等效对照表。 2 、研究了e n u m 用户隐私信息的保护，对e n u i v l 记录资源访问进行权限 控制，提出了基于用户认证的e n 2 j m 记录级授权访问解决方案。 3 、提出了基于d n s 的网络关键词寻址技术及规范。 4 、研究了i p v 6 环境下的d n s 技术特点。 5 、提出了一种统一的互联网资源标识与寻址技术：通用名字服务系统，并 将这种技术应用于d 咐s 实现。 关键词：互联网资源标识寻址域名e n x i m 通用名字服务系统 中国科学院博士学位论文互联网努源标识和寻址技术研究 a b s t r a c t i n t e r a c ti st h ei n f o r m a t i o ns p a c ew i t ht h ec o l l e c t i o no fr e s o u r c e s ，n e t w o r k p r o t o c o l s r e s o u r c en a m i n ga n da d d r e s sm e c h a n i s m ，t h er e s o u r c e si n c l u d en o to n l y t h ep h y s i c a lr e s o u r c e ss u c ha st h en e t w o r ks e r v e r sa n ds t o r a g ed e v i c e s ，b u ta l s ot h e v i r t u a lr e s o u r c e ss u c ha si n f o r m a t i o na n ds o m en e t w o r ks e r v i c e s h o wt ob u i l dt h e e f f i c i e n ta d d r e s sm a p p i n gm e c h a n i s ma n di d e n t i f yt h e s er e s o u r c e si sc r u c i a lf o r e f f i c i e n tu s eo fa l lk i n d so fr e s o u r c e sa v a i l a b l eo nt h ei n t e r n e t c u r r e n t l yt h em o s t p o p u l a rt e c h n o l o g y f o rr e s o u r c e n a m i n ga n da d d r e s s i n gi s t h ed o m a i nn a m e t e c h n o l o g y , w h i c h i so n eo ft h em o s ts u c c e s s f u l t e c h n o l o g i e s d o m a i nr l a u 2 e t e c h n o l o g yi st h eb a s eo fi n t e m e t , w i t hw h i c hm a n yi n t e m e ta p p l i c a t i o n sr e l a t e s i m p l i c i t ya n de f f i c i e n c ya r et h ek e yc h a r a c t e r so fd o m a i nn a m et e c h n o l e g i e s ，w h i c h a r ea l s ot h em a i nr e a s o n so fw h yd o m a i nt e c h n o l o g i e sa r es os u c c e s s f u l w i mt h e e x p l o s i v eg r o w t ho fi n t e r n e t , m o r ea n dm o r et y p e so fa p p l i c a t i o n sa n ds e r v i c e sa r e a v a i l a b l e d o m a i nn a i d _ et e c h n o l o g yi sn o tc a p a b l ee n o u g ht oi d e n t i f ya n da d d r e s sa l l t h e s er e s o u r c e s t k sp a p e rd e s c r i b e st h ed o m a i nn a m et e c h n o l o g ya n di t sd i s a d v a n t a g e s t od e a l w i t ht h e s ed i s a d v a n t a g e s ，t h i sp a p e rg i v e ss o m es o l u t i o n s w ed e s i g nan e wu n i f i e d m e c h a n i s mo fr e s o u r c en a m i n ga n da d d r e s s i n g ，w h i c hi m p r o v e st h ef u n c t i o n so f d o m a i nn a m es y s t e ma n di sa p p l i e dt od o m a i nn a n l es y s t e m t h em a i nc o n t r i b u t i o n sa n dc r e a t i v ei d e a sa r e ： 1 d os o m er e s e a r c ho nt h ei s s n e so fe q u a lo fs i m p l ec m n e s ec h a r a c t e r sa n d t r a d i t i o n a lc h i n e s ec h a r a c t e r s ，p r o p o s eas o l u t i o nb a s e do nt h ea l g o r i t h mo f i d n - a d m i nt oi m p l e m e n tt h ee q u a lo fs i m p l ec h i n e s ec h a r a c t e r sa n dt r a d i t i o n a l c h i n e s ec h a r a c t e r s a n dd e s i g nac h i n e s ed o m a i nn a m ec h a r a c t e r s 场打a n t 乃6 l ea n d i t sa l g o r i t h m 2 d os o m er e s e a r c ho nt h ep r o t e c t i o no f t h ep r i r a t ei n f o r m a t i 0 1 1o fe m 4u s e r s a n dt h ea c c e s sc o n t r o lo fe n l 3 mr e s o u r c er e c o r d ，a n dp r o p o s eas o l u t i o nb a s e do nt h e a u t h e n t i c a t i o no f e mr e c o r da c c e s s 3 p r o p o s eak e y w o r da d d r e s s i n gt e c h n o l o g ya n di t ss p e c i f i c a t i o nb a s e do n d n st e c h n o l o g y 4 d os o m er e s e a r c ho nt h e c h a r a c t e r so fd n st e c h n o l o g yw i t h i ni p v 6 e n v k o n m e n t s 5 p r o p o s ea nu n i f i e di n t e r u e tr e s o u r c en a m i n ga n da d d r e s s i n gt e c h n o l o g yn a m e d w i t hu n i f o r mn a m i n gs e r v i c es y s t e mw h i c hi sa p p l i e di n t od n s k 。甲o r d s ：i n t e m e tr e s o u r c e ，i d e n t i f i e r , a d d r e s s i n g ，d o m a i nn a m e ，e n u m ，u n i f o r m n a m m g s e r v i c es y s t e m 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得 的研究成果。就我所知，除了文中特别加以标注和致谢的地方外，论文中 不包含其他人已经发表或撰写过的研究成果。与我一同工作的同志对本研 究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 作者签名： 日期0 一石年支月 关于论文使用授权的说明 中国科学院计算技术研究所有权处理、保留送交论文的复印件，允许 论文被查阅和借阅；并可以公布论文的全部或部分内容，可以采用影印、 愀轹别宁刷磁氢斜醐础椰日 第一誊引言 第一章引言 互联网资源标识与寻址机制在互联网诞生时就存在，通常将i p 地址作为最 早的互联网资源标识与寻址机制。随着互联网的普及和应用的深入，资源标识与 寻址技术也在不断发展，完整的资源标识与寻址机制通常包括：名称空间、标识 符、命名注册、解析系统四个部分组成。 本章首先介绍主要的互联网资源标识与寻址技术的研究现状，然后介绍域名 技术的发展现状，以及应该改进的方向。 1 1 互联网资源标识与寻址技术研究现状 随着互联网技术的发展，对互联网资源的定义也越来越广。对于资源的定 位和寻址提出了新的挑战，涌现出了很多相关的寻址技术。本文将介绍u i u 、 u 也、u 斟、i r i 、p u r l 、x r 、u d d i 等几种主要寻址技术的基本概念和相互 关系，并且从标识方案、解析方案等方面分析比较几种寻址技术的优缺点。 1 1 1i 刀r i ，i r i ，i n r i ，u r n 1 1 1 i 标识方案 u u ( u n i f o r mr e s o u r c ei d e n t i f i e r ) 是一种遵从同一规则标准的资源标识符 的集合，它表现为以某种标准化统一的方式来标识资源的简单字符串。典型情况 下，这种字符串以s c h e m e 开头，语法如下【1 】： a b s o l u t e u r i ： ： g e n e t i cu r i ： ： ? 9 品m o 五西通常指网络服务器，”或者个s c h e 赫e 注册机构 或者命名权威枫构； 资源的路径信息： ，。， l 刍【属性一值 对组成的查询表达式；一。 ；。 i r i ( i n t e r n a t i o n a l i z e dr e s o u r c ei d e n t i f i e r s ) 是对l q l i 的扩充，i r i 是通用 字符集序列( u n i c o d e i s o1 0 6 4 6 ) 2 ，所以其语法和u 对相同，目前已经定义了 u 向u r i 的映射，在适当的条件下可以用u 替换u 对。 u r n ( u n i f o r mr e s o u r c en a m e ) 则是由多种不同的名字空间标识符所构成 的统一的名字空间资源【3 】。 基本语法： 中匿辩学院博士学位论文互联网瓷源标识和寻址技术研究 ：= 1 1 1 1 1 ； ：t 一一 p u r l 是一种静态的重定向，被设计为分布式系统( 也就是可以有多 个r e s o l v e r ) ，简单实用，从一定程度上解决了u i 也的有效生命周期 问题。 同对，o c l c 目前实现的系统建立了主域和子域的机制，允许部分 重定向，建立用户权限认证机制等。 目前是可运行的系统，到2 0 0 5 年1 1 月0 2 日，o c l c 已有5 7 4 3 9 2 个p l r l ，共解析1 5 6 6 6 1 6 7 7 个p u r l 请求，独立的客户端系统达到 9 0 6 8 4 3 3 个。( 数据来自h t t p ：p u n o c l c o r g ) 最重要的是，作为u r n 的副产品，它在语法定义上，就充分考虑了 今后过渡到u r n 服务的兼容性。 缺点： 没有从根本上解决唯一标识符持久性、唯一性、分布性和可管理性 的要求。 需要注册用户手动修改p u r l 对应的u r l 。 1 1 3 x r i u ( e x t e n s i b l er e s o u r c ei d e n t i f i e r ) 是一种抽象的统一资源标识符，扩展了 资源的范围 6 】 7 】。网络资源不仅仅是传统意义上的网络资源了，随着三网合一 的趋势，我们的电话号码资源( t e l e p h o n e n u m b e r s ) 也成为了网络资源的一部分， 正在发展的e n u m 就是对电话号码资源和网络资源的整合。在不远的未来，凡能 起到资源标识作月的都将成为网络资源的一部分，x r i 则是针对这个发展趋势作 出的可扩展的资源标识符，也更为挂象，更具通用性。如图1 3 所示。 ， x r i 的解析协议分为两种【8 】： 一般解析( g e n e t i cr e s o l u t i o n ) 协议 可信任解析( t r u s t e dr e s o l u t i o n ) 协议 一般解析协议：它是一种对a u t h o r i t y 片段简单而灵活的解析协议，且仅采 用h t t p , r i - i t t p s 作为传输协议，该类解析又分为两个阶段：权或解析( a u t h o r i t y r e s o l u t i o n ) 和本地访问( l o c a la c c e s s ) 如图1 5 所示。 可信任解析协议：该协议是对一股解析协议的扩展，用s a m l ( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ) 声明建立一个参与权威认证机构的安全通信链。作 中匡科学院博士学位论文互联啊资源标识和寻址技术研究 为一般解析协议的扩展，这部分规定每个权威a u t h o r i t y 部必须至少有一个唯一 的a u t h o r i t y l d ，并且有一个密钥k e y 来验证数字签名。 x r i 权威机构给出一个带有数字签名的s a m l 声明来标明这个x r i 描述符 的合法性，如果这个数字的s a m l 声明的签名不合法，可信任的解析将不会进 行。 p 父9 图1 5 一般解析协议流程图 1 1 3 3 分析结论 x r i s 提供了统一的语法和解析协议，并且解析协议可以为永久标识符和可 重新分配标识符所共用：提供了权威机构间授权标识符的统一语法：x r i s 的抽 象标识符不受内容限制，它为共享抽象描述符提供了一种统一语法( 称为“交叉 参考”，c r o s s r e f e r e n c e s ) ：x g i s 提供了两种解析协议：一般解析协议和可信任解 析协议，更加灵活方便；x r i s 对于现有u r i 和i r j 的转换提供了方法，兼容性强； x r l s 加入了访问控制，有很好的安全保密性：x i u s 具有很强的可扩展性。 1 1 4 u d d i 随着网络应用的深入，w e bs e r v i c e 也成为一种网络资源，而且是一个非常重 要的网络资源，因此u d d i 可以说是一套关于w e bs e r v i c e s 的寻址系统 9 】 1 0 】。 w 3 c 把w e b 服务定义为由一个u r 识别的软件系统，使用) l 柬定义和描述 公共界面及其绑定，从图1 6 可以看出，u d d i 使用诸如t c w i p 、h t t p 、x m l 和s o a p 标准，来创建统一的服务描述格式和服务发现协议，用x , m l 来描述资 源，寻址系统中通信的协议采用s o a p 来实现。从u d d i 这个层面来看，可以认 为u d d i 是基于2 a v i l 实现的一套寻址系统。 6 第一章引言 w s f l 图1 6 基本w e bs e r v i c e s 协议栈 1 1 4 1 标识方案 u d d i 皿s c h e m a 定义了四种主要的信息类型，如图1 7 所示： 商业实体信息( b u s i n e s s e n t i t y ) ：发布服务信息的商业实体的详细信息，它 是商业实体专属信息的最高层的数据集，可以包含一个或多个 b u s i n e s s s e r v i c e 。 服务信息( b u s i n e s s s e r v i c e ) ：一组特定的技术服务的描述信息。 绑定信息c o i n d i n g t e m p l a t e ) ：关于服务的a n 点和构造规范的技术信息， 其中包含了对t m o d e l 的引用，这些引用描述了服务的技术规范。 技术规范信窟( t m o d e l ) ：服务或分类法的规范描述。包含了一个列表，列 表的每个子元素分别是一个调用规范的引用。这些引用作为一个标识符 的杂凑集合，组成了类似指纹的技术标识，用来查找、识别实现了给定 行为或编程接口的w e b 服务。 关联信息断言( p u b l i s h a s s e r t i o n ) ：两个商业实体间的关联信息，由两个 实体中的一个来声明。 申匿科学院博士学位论文互联网舞源标识和寻址技术研究 图1 7u d d i 信息模型结构图 这里的每种信息类型都是一种实体，每个实体都有唯一的k e y 值来标识，该 k e y 值是利用u u i d ( u n i v e r s a l l yu n i q u ei d e n t i f i e r 也称为g u i d ，g l o b a l l yu n i q u e i d e n t i f i e r ) 技术来唯一标识的。u d d i 注册中心在信息第一次被保存时为他们分 配这个唯一的标识符，这样即便你的w e b 服务改变了名字，同样可以利用u l q d 来发现和定位服务。 u u i d 是一个由8 个1 6 字节组成的字节组( 共1 2 8 b i t s ) ，由一个严格的算法 生成。 u u i d 钶子i 一 ”。+ l ll q s i d ：c d l 5 3 2 5 7 - 0 8 6 a 一4 2 3 7 _ b 3 3 6 6 b d c b d c c 6 6 3 4 。 信息类型是通过w s d l 来描述的，这样在服务发布和服务调月的时候，不管 服务调用者以及服务提供者的平台如何，都能够准确调用。在上述五种信息模型 中，t m o d e l 最为重要，它是u d d i 技术的核心。其中p u b l i s h e r a s s e r t i o n ，是为跨 国大公司设计一种数据结构，表示了b u s i n e s s e n t i t y 之间的关联关系。这样就为 一个大公司拥有许多子公司，在u d d i 中又注册了许多b u s i n e s s e n t i t y ，提供一种 关联。使服务发现者更容易发现该公司下其他公司所提供的服务。 1 1 4 2 工作原理 u d d i 工作原理如图1 8 所示： ， 第一章引言 ( 1 ) ( 2 ) ( 3 ) r o 删r yw l t l td e s a n 娜o f 舯db u 3 i 触站m g j 啪t i o na 州 l a c i 目t 酗ee 嚣i e r 眦e 口穗的n 蝴 t h e 铂v 瞄睛m e ys u p p o r s t o l e s a n i n t e 删r e g i s t r y e h o 蜘钟o v e r 由, e w e b 图1 8 u d d i 工作原理图 ( 4 ) ( 5 ) 软件公司，标准组织和程序员用不同的t m o d e l 描述向u d d i 商业注册中 心注册。 公司还会注册其提供的服务的描述。 u d d i 注册中心会给每个t m o d e l 和b u s i n e s s 实体指定一个在程序中唯一 的标识符，即u u i d ，在一个u d d i 注册中心中从来都不会变化。可以 利用这些键来引用与之相关联的实体。 电子交易场所( e m a r k e t p l a c e ) ，搜索引擎和其他的商业应用程序使用 u d d i 注册中心来发现它们感兴趣的商务实体提供的服务。 另外的企业就可以调用这些服务，简便的进行动态集成。 u d d l a n d s o p 图1 9l d d i 消息在客户机和注册中心之间的流动 9 、 ， 第一章引言 诞生时，并没有域名技术，在访问计算机资源时直接使用i p 地址，但由于不便 于记忆，在七十年代引入了主机表技术( h o s t n a m e ) 。s r i - n i c 负责维护主机表 文件( h o s t s t x t ) ，它包含了所有连接到a r p a n e t 上的主机名字和地址的映射。 人们通过电子邮件的方式来通知s r j n c 主机信息的更新，s r i - n q c 每周到两 次，将这些变更汇编成新的主机表文件，并将更新后的主机表文件在网上发布， 人们可以通过f t p 的方式获得最新的主机表文件。 随着互联网的发展，连入互联网的计算机数量呈现迅速膨胀的趋势，主机表 技术的集中式管理模式出现了许多问题： 流量和负载：由于集中式的管理使得s k i - n i c 的网络流量和机器负载不 堪重负； 名字冲突：主机表文件中任何两台主机都不能重名，否则将影响正常的 网络通讯，但机器是由用户来命名的，而不是s i u - n i c ，因此名字冲突 现象很难避免； 一致性：网络增长迅速，更新后的主机表文件还没有发布到整个网络时， 网络中的主机信息就已经改变了，要想维持主机表文件的一致性变得越 来越难。 为了解决这些问题，1 9 8 4 年p a u l m o c k a p e t r i s 发布了r f c 8 8 2 和r f c 8 8 3 ( 随 后被r f c l 0 3 4 和1 l f c l 0 3 5 代替) ，系统地描述了d n s 的基本思想，标志着d n s 的诞生，d n s 采用树形结构以及分级授权的机制，它分布地完成主机名到i p 地 址的映射，有效地实现了域名数据的分布，并提高了查询和管理的效率。 基于网络寻址的需求，d n s 系统的基本设计目标有： 具有全球一致的名字空间，保证在域名名字空间中名字的唯一性； 进行分布式的管理和查询，减少数据传输冗余，提高查找效率： 名字空间可以用于多种协议和应用，保证其通用性； d n s 系统应独立于通信底层的实现，无论运行于什么样的网络之上， d n s 系统都可以运行提供名字服务，与平台和网络实现无关。 d n s 系统有三个最主要的基本要素：名字空间和资源记录、域名服务器、 解析器。域名服务器和解析器一起构成了d n s 系统的解析体系，是d n s 寻址方 式的实现。 我们首先来分析d n s 的名字空间和资源记录。如图1 1 0 所示，d n s 系统具 有树形结构的名字空间。每条域名都有与其绑定的各种数据信息，最基本的也是 最重要的就是口地址，一个域名请求的返回值是一组资源记录，而不仅仅是口 地址，一条资源记录典型地包括五项信息：域名、t t l 值、类型、类别和值。类 型通常有s o a 记录、a 记录、m x 记录、n s 记录、c n a m e 记录、p t r 记录等 等，应用最为广泛的就是a 记录，对应的值就是口地址，引入i p v 6 以后，引入 了a a a a 记录和a 6 记录，其对应值是i p v 6 地址。 中医科学院博士学位论文互联网资原标识和寻址技术研究 i + - 一一一一+ 一一一一- - - - + ili m 】1 e d u a r p a iil lii 扣+ 一一+i+ + + - - + illilii b r ln o s cd a r p a i i n - r d d rs r i - n i ca c c i + 一一一一一一一一+ 一一一一一一一一一一一一一- 一一一一+ 一一一一一一一一- 一一+ 一一一一一一一一+ i l i li u c i脚i o d e ly a l e ii s i ii 4 - 4 - 4 - i ili l c sa c h i l l e s+ 一一+ 一一一一一+ 一一一一一+ 一- 一- - + i i 1 i ii 珏a cv a x av e n e r am o c k a p e t r i s 图1 1 0d n s 树形结构的名字空间 域名服务器是d n s 运行核心体系组成元素，它是d n s 名字空间和域名数据 的载体，d n s 分布式的数据存储和解析均足由域名服务器来完成的。一个域名 服务器可以管理不同的名字子空间，授权信息以z o n e 的方式来进行管理，如图 1 1 l 所示，每个圆圈里的都是一个z o n e 域，每个z o n e 域必须指定一个d n s 域 名服务器来负责这个z o n e 域内域名的解析。 l + 一一一一一一一- 一一一- 一一一+ 一一一一一一一一- 一一一一一一一一+ lli m 一e d u a r p a i li ii i + 。一+ 一一+ l+ + 一一+ 一一+ iii iljl b r ln o s cd a p l 9 a i i n - a d d rs e i - n i ca c c i 图1 i id n s 名字空间z o n e 域划分示意图 解析器，通常我们也直接称之为r e s o l v e r ，它是解析请求的执行者，负责接 受应用程序的d n s 查询请求，并最终由它来向d n s 域名服务器发送d n s 查询 请求，并负责接受域名服务器的返回信息，从而完成整个查询过程，并将结果发 兰二至! ! 童 给客户端应用程序。解析器会把查询请求发给本地的域名服务器，采取递归或者 迭代两种方式来完成域名数据的解析 1 1 1 1 1 2 】。 域名的名字空间是分级树形结构，这是由它的语法描述来决定的，如下是域 名的a b n f 表示 1 3 】： ：= i ” ：= i 1 1 o l l ：= 【 】 】 ：= l ：= 1 “- “ ：= l ：= a n yo n eo ft h e5 2a l p h a b e t i cc h a r a c t e r sat h r o u g hz i nu p p e rc a s e a n da t h r o u g hz i nl o w e rc a s e ：= a n yo n eo f t h et e nd i g i t s0t h r o u g h9 从a b n f 范式中我们可以了解，合法的域名字段是由英文字母、数字和连 接符构成的，此外r f c l 0 3 4 和r f c l 0 3 5 规定了域名系统对于大小写字母是不敏 感的，即大小写的域名是等价的。 域名服务器中对域名数据的实际组织和实现方式是采用z o n e 文件来保存域 名资源记录，z o n e 文件即每个分布式节点上的域名数据库内容，一个典型的z o n e 文件如下图1 1 2 所示 1 l l ： s o as t 3 - n i c 砰扎h 0 s 皿 卿l 豫3 - g i c l r p a ( 8 7 0 6 1 1 ：s e t a l 1 8 0 0r e f r e s he v e r y3 0m i n 3 0 0 ：r e t r ye v e r y5m i n 6 0 9 8 0 0 e x p i r ea f t e ra 铒e e k 8 6 4 0 0 )：m i n l m mo fad a y n s 丸i s i 功u n s c i s i e d u n ss r i 趣c a r p 丸 i l l 8 6 4 0 0船 s r i - m c a r p a 8 6 4 0 0 n s丸i s i e d t j 踟。8 6 4 0 0n ss r i 珈c 牌丸 8 6 4 0 0 n sc i s i e d u s i c i m c 艚气 2 6 0 0 7 3 a1 0 0 0 5 1 】【) (0s i i 啦c a r p 丸 舡md e c - - 2 0 6 0t o p s 2 0 a o c ! i p 2 6 6 0 6 5 f b p d p _ 1 1 门0u n i x i x1 0 c c a r p a u s c - i s i c a 即 _ c n a e c i s i e 3 t j 7 3 0 0 2 6 i n _ d d 兄a r p 丸阿ts r i m c a r p 扎 6 5 0 6 2 6 i n a d d i 乙a 即屯阿t 肛c 即 _ 5 1 0 0 1 0 i n - a d d ra r p 九p t r s i i n i c a f 弹a 5 2 0 0 1 0 i n _ 皿u 凡a 肝丸p t r c i s i e d u 1 0 3 0 3 2 6 i n 咄3 d 兄a r p 丸阿c | i l i s i 即u 丸i s i e d u 8 6 4 0 0a2 6 3 0 1 0 3 c i s i e i ) u 8 6 4 0 0 1 0 0 0 5 2 1 3 中国科学院博士学位论文互联网资源标识和寻址技术研究 图1 1 2 一个典型的z o n e 文件配置内容 d n s 的缓存机制是由域名服务器来完成的，域名服务器会保留一定时期内 解析器提交的域名请求及其对应信息，在缓存期内对这些数据的访问将不再提交 给其他域名服务器，从而减轻了d n s 系统的负载，这也是为什么几十万台d n s 域名服务器只有十三个根服务器还能运行良好的原因。数据缓存的更新机制是采 用r r l 方式实现的。 虽然d n s 的发展为i n t e m e t 的发展奠定了很好的基础，但是随着用户需求的 变化，原有d n s 系统已经不能完全满足用户命名网络资源的需求，下面简要分 析一下d n s 的一些不足之处 6 i 】。 1 、对多语种的支持 由于互联网发源于讲英语的国家美国，因此原本的域名系统只能使用6 3 个 a s c i i 字符( “a - z ”，a z ”，“0 - 9 ”，“”) 的域名，随着互联网在全球的推广应用， 为了方便非英语国家用户的使用，提出了域名应该也可以采用本地语言文字来表 示的需求，也就是对国际化域名的需求。但最初设计的域名系统并不支持这种应 用。第二章将讨论国际化域名的解决方案，特别是中文域名的解决方案。 2 、安全 在域名技术诞生的时候，互联网主要还是一个科研的网络，并没有提供商业 应用，对网络安全并没有特别的考虑。可以说主辐域名服务器对域名解析服务的 互为备份，是当初的域名系统在网络安全上的唯一考虑。因此在网络安全上还有 许多有待完善的地方，比如对域名信息查询的确认，有时用户的网络资源标识或 域名只是希望持定的用户群体可以访问，而且在解析的过程中，用户不希望被篡 改等。 d n s 解析( 包括查询和响应) 在网上都是明文传输，传输过程中途经的任 何节点都可以进行截获、篡改、删除。而且最初d n s 的设计，对于d n s 查询和 响应的内容没有任何真实性和完整性鉴别。这样，就存在恶意的攻击者通过攻击 d n s 系统，使网络用户无法访问网络资源，或者访问错误的网络资源。为了防 止对d n s 查询和响应消息的恶意篡改，正t f 提出了d n s s e c 的机制。d n s s e c 使用密码学原理和数字签名的方法，每个实施d n s s e c 的域具有一个公钥和私 钥对，私钥用来对域内的d n s 资源记录进行签名认证，公钥则发布出去用来对 私钥签名的d n s 数据进行验证。d n s 解析的过程中，在解析器得到的解析结果 中，除了请求的资源记录外，还包括了对这些资源记录的签名，解析器可以用该 域的公钥来捡验这些签名，从而判断解析结果的真实性。d n s s e c 的公钥管理采 用分级的授权和签名机制，比如，根域负责对顶级域的公钥签名，顶级域则负责 对二级域的公钥签名，依次进行。根域的公钥则通过安全的途径( 如，随软件发 行，预先配置等等) 配置在每个d n s 服务器和用户的域名解析系统中。这样， 1 4 第一蕈引言 用户可以通过根的公钥来验证经过根域签名的数据，其中包括根的区文件( z o n e f i l e ) 和顶级域的公钥等，接着通过顶级域的公钥来认证硕级域签名的数据，其 中又包括顶级域的区文件和二级域的公钥等，依次类推，可以实现一个完整的域 名系统签名和认证体系。由于实施上的困难，d n s s e c 技术出现多年了，但还没 有在d n s 服务中大规模实现。 对于网络资源标识或域名只是希望特定的用户群体可以访问，即访问控制问 题，仍然还没有找到好的解决方案。在第三章中将针对这个问题，提出在e n - t , 。 m 应用中的解决方案。 3 、 域名标识方案 用户总是希望用一种方便记忆、直观的标识来使用网络资源，应该说域名的 标识方式与i p 地址相比是一个巨大的进步，但与人们的希望还有距离。第四章 中将提出采用自然语言访问互联网资源的解决方案。 4 、新兴互联网资源的支持 互联网的广泛应用使电信网和互联网的融合成为不可阻挡的大趋势。互联网 上的寻址技术是域名，电信网上的寻址技术是电话号码。可以认为两种寻址技术 的融合成为电信网和互联网融合的基础。融合的寻址技术有一些新的要求，也希。 望d n s 支持这种融合。第三章将介绍这方面的技术。 i p v 6 协议是发展趋势，将成为逐步取代i p v 4 的下一代网络协议，它具有许 多新的特性与功能，也需要d n s 能够支持。第五章将介绍这方面的研究成果。 5 、域名区文件( z o n ef i l e ) 的管理 目前域名区文件( z o n e f i l e ) 的所有人实际上是域名服务器的管理人，并不 是域名所有人。当域名所有人要对域名区文件中的数据记录进行修改时，域名服 务器的管理人对修改权限的确认非常不便，也缺乏安全保障，d n s 并没有一套 机制来支持对域名区文件的安全管理，实际上黑客攻击中的一种常用方法就是冒 名修改域名区文件。 6 、 可扩展性的支持 域名服务器每个节点通常是单台服务器来支持域名的解析，d n s 本身并不 支持在单个节点多台服务器，对可扩展性缺乏支持。 7 、根服务器的分布机制 域名系统是一个树形结构，域名解析是分级进行的，为了保证域名解析的唯 一性，保证互联网的互通性，全球互联网采用统一的域名根服务器，目前全球一 共有1 3 个域名根服务器，可以说全球的互联网也就是建立在这1 3 个根服务器