文章转载自《中国信息界》杂志年10月刊
作者:戈晶晶《中国信息界》杂志,文章版权归原作者及其单位所有。
作为互联网的“入口”,域名系统(DNS)是支撑数字经济发展的重要网络根基,如何向下一代DNS迭代升级,是关系到网络安全、效率提升与智能化发展的关键之一。但是,由于DNS所处的基础资源层一直“隐藏”在互联网的背后,并不像应用层和物理设施层那样看得见摸得着,人们对于DNS、特别是下一代DNS往往知之甚少。那么,与传统DNS相比,下一代DNS具备哪些优势?在数字经济发展中将发挥怎样的作用?我国在下一代DNS自主创新上进展如何?未来又该如何推进下一代DNS的发展?为了更深入地了解作为数字经济重要网络根基的下一代DNS,带着这些问题,《中国信息界》专访了互联网域名系统国家工程研究中心(ZDNS)总经理邢志杰。
《中国信息界》:当前,随着数字技术、数字经济的不断发展,互联网也发生了很多变化,这些变化对DNS产生了哪些影响?
邢志杰:数字经济的发展催生了互联网的变化,而DNS作为互联网入口,必须作出相应的升级,才能与互联网的新变化、数字经济发展的新需求相适应。
首先是解析量激增对DNS解析的效率要求越来越高。这主要体现在三方面:
一是由万物互联带来的解析量激增。随着数字技术、数字经济的发展,我们已经进入到一个万物互联的时代,大量的终端接入网络,电脑、移动终端,甚至每个摄像头,都对应着IP地址,万物互联使解析量激增,背后对应的是万亿域名解析,对解析的质量、解析的速度都提出了更高的要求。
二是由访问方式变化带来的解析量激增。现在的互联网已经从以“人机访问”为主,变为以“机机访问”为主。以前的互联网服务,更多的是人对机器的访问,比如我们在浏览器输入地址,进行访问,背后是DNS系统进行“导航”。现在看似是人点击了某个应用程序(APP),还是“人机访问”,但点击背后更多的是机器对机器的访问。访问端发起一个服务需求,机器程序为了响应这个服务,会调用很多服务器,比如调用数据库、图片服务器、视频服务器等,这些都是“机机访问”。类似的访问量是巨量的,都需要DNS迅速完成解析。
三是由云化带来的解析量激增。云化部署已经成为趋势,现在的互联网服务都在进行云化,比如金融云、*务云、交通云、医疗云等,通过云化部署可以获得更多资源,一台服务器可以虚拟出海量云空间。以前一台服务器对应的仅是几个IP云化,现在则是一旦发现资源不足,马上就可以在云上建立一批IP,这些都需要DNS迅速进行解析。
其次是对DNS智能化的要求越来越高。DNS作为互联网的入口,紧密关联着互联网的各种业务,是业务访问的第一跳,业务访问数量快速增长对访问安全性、访问速度、访问连续性的要求越来越高。不仅如此,现在的业务从单一部署向两地三中心、集群负载、内容分发网络(CDN)发展,这些都要求DNS更精准地识别访问来源,并能够更智能地进行流量调度。同时,云化部署也需要DNS智能调度,即弹性调度。此外,DNS产生的大量数据也需要智能分析,以便更好地发挥其数据价值,赋能千行百业数字化发展。
再次是对DNS安全性的要求进一步提升。随着数字经济的飞速发展,各行各业都在谋求数字化转型,这都离不开网络,对网络安全的要求也随之提升,如果无法保障网络安全,其影响不言而喻。而DNS是互联网的入口,承担将域名指向可由计算机识别的IP地址的重要作用,DNS的安全是保障网络畅通的核心和基础。同时,在万物互联之下,DNS使用频率高、覆盖范围广、影响范围大,这使得DNS成为网络攻击的重要途径。比如一家企业的DNS系统拥有完整的访问者、业务名称、业务地址信息等,针对DNS攻击,不但会造成系统中断、延迟,甚至导致网络瘫痪,进而会导致企业核心数据泄漏。由此可见DNS对于网络安全的重要性。
面对这些新变化、新需求,对DNS的安全性、高效性和智能化提出了更高要求,而这些是传统DNS无法达成的。传统DNS可以理解为互联网的“电话簿”,解决的是如何将名字转换到IP地址、易于人们记忆的问题。与传统DNS相比,下一代DNS是“智能导航系统”,在域名系统技术方面,不仅能够完成传统DNS的简单解析,实现域名到IP地址的转换,还在数据赋能、全面感知、可靠传输、智能分析、精准决策等方面实现了创新突破。
《中国信息界》:下一代DNS系统与传统DNS相比,具有更安全、更高效、更智能的优势,您可否具体阐述一下,这些优势主要体现在哪些方面?
邢志杰:面对互联网的新变化、数字经济发展的新需求,下一代DNS提供了更安全、更高效、更智能的解决方案。
更安全,当前DNS在解决安全问题层面还在采用“被动定向”的防护模式,如针对“缓存投*”“反射放大”“随机子域”等攻击的防御,缺少体系化的安全治理模式。下一代DNS围绕自主技术实现核心安全,依托国密算法构建可靠架构,采用大数据实现对DNS系统安全态势的观察、理解和预测。比如,下一代DNS在识别和阻断非法外联层面曾帮助一家大型央企在3个月里阻断了台内部设备通过域名非法外联,累计阻断非法外联超过57万次,并基于数据分析助力该央企建立“特有”的威胁防护模型,进一步提升威胁发现效率和防御能力。
更高效,一是体现在下一代DNS具有更高性能、更低延迟。比如一家大型规模的银行,每天要办理上亿笔业务,这些业务调度背后对应的解析,则是比之亿级成百倍的增加。从我们所了解的情况来看,近几年,解析量增长非常快,有的公司短短一两年就增长了30多倍,对应的域名记录近百万条,而下一代DNS可以满足更高的要求;二是体现在下一代DNS具有更灵活的部署能力和对环境的“亲和力”,这是与云化、智能化发展相适应的。如:金融云、*务云等都需要DNS具备多租户、弹性扩缩容以及业务编排的能力;而在5G边缘节点则需要DNS自身更轻量。
更智能,主要体现在下一代DNS将在网络感知、应用感知的基础上提供新的全局负载、算力调度等能力。传统DNS在感知层面的能力较弱,只具备从外部对网络和业务的探测手段,没有和网络与业务深度融合。下一代DNS可实现解析与调度规则的深度融合,通过DNS彻底打通网络与业务在感知和调度层面的需求,就像互联网的智能导航系统,能及时准确地识别出哪里发生堵塞,并迅速找出新路径。同时,下一代DNS掌握实时、全面的数据要素,这些数据对于企业业务特征分析、经营改进、故障提前预警、资源提前调配都十分重要。通过DNS积累的大量访问数据,可以实现业务全景式画像。比如,一个网络开发者,感觉业务速度慢,进行很不流畅,但因为一个业务要经过很多机器、很多系统,要想了解到底哪里造成的不流畅,分析DNS的数据就可以知道。
而且,下一代DNS的数据赋能作用不仅对企业业务,在数字*府、智慧城市建设中同样发挥重要作用。比如疫情中由于短时间内产生海量访问,可能导致系统崩溃,如果用下一代DNS智能感知和分析数据,进而实现流量的智能分配,这样就可以解决服务中网络卡顿甚至崩溃的问题,保证相关服务正常运行,提升访客的体验感。
《中国信息界》:您刚才谈到了自主技术,现在随着国际形势日趋复杂严峻,我国对于关键技术的自主可控越来越重视,下一代DNS在数字经济发展中又发挥着非常重要的作用,那么,目前我国在下一代DNS领域的自主研发情况如何?
邢志杰:DNS涉及网络安全问题,又支撑着各行各业的数字化转型和国家的数字经济发展。目前,我国运行域名系统软件及设备有千万台套,但值得警惕的是,约90%以上使用的是国外域名软件。随着IPv6规模部署,智能制造、智慧矿山、能源互联网等海量传感器、物联网联接均要通过域名标识和调度系统全面支撑。芯片、CPU、操作系统、数据库都在努力实现国产化,那么,域名基础软件当然也应该使用自主技术,否则将面临停服的风险。
比较可喜的是,目前我国域名基础软件的自主技术并不落后于国外,甚至比国外的同类产品性能更好。
比如ZDNS自主研发的DNS软件“红枫(Maple)”,能够全方位与国外主流DNS软件比肩,“红枫(Maple)”在很多关键技术指标上已经超过国外同类软件,能够解决互联网基础软件“卡脖子”的技术难题。
目前,“红枫(Maple)”已经能够适配6款主流国产CPU和4大国产操作系统。根据IDC数据,ZDNS连续7年占据国内DDI(域名解析系统、动态地址分配和IP地址管理)市场份额第一,金融、教育、*府、央企、能源、广电多个行业市场占有率第一。
复杂的国际形势使我国在网络技术上的自主创新变得越来越重要,而且我们不仅要在国内实现核心技术自主可控,还要积极参与国际网络空间治理,向世界贡献中国解决方案。
《中国信息界》:从您的介绍可知,目前我国自主技术的下一代DNS还有很大的发展空间,那么,您认为未来该如何进一步推进下一代DNS的发展?
邢志杰:首先,在认知层面,必须加强对于发展下一代DNS重要性的认识。现在向下一代DNS升级的主要难点不在于技术,而在于认知。国内很多企业,一方面是还没有认识到DNS的重要性,我国互联网发展得非常快,但主要表现在应用层面上,而对于底层技术重视不够,资金等投入都比较少;另一方面对国外软件有“滤镜”,总认为国外的技术更好,其实是他们对国内的新技术不够了解。面对这些情况,国家给予一定的*策指引很必要,比如Ipv6之所以能够快速发展起来,与*府的积极推动有密切关系。
其次,在提高认知的基础上,还要提升数字资产战略意识。我国在顶级域名资源上很缺乏,占全球资源不足3%,这些核心资源主要在国外,比如谷歌,年互联网名称与数字地址分配机构(ICANN)开放顶级域名申请时,谷歌一家公司就申请了多个顶级域名。这些核心资源的掌握并不在国内,例如,我国许多企业使用的都是“.