浅议互联网基础资源服务架构课件.pptx

,浅议互联网基础资源服务架构,互联网（TCP/IP网络）的内在矛盾,冷战催生的简化的、无需链路控制的、缺乏安全和信用机制网络，发展为支撑 全球化的、跨边界的、与社会经济活动紧密融合的复杂环境。,简化的、边界明晰的、用户互信的全球化的、无界的、紧密融合的,互联网基础资源的分配模式,DNS,IP地址,CA,NTP,和 管 理 架 构,树便状于结自构顶的向业下务的体管,系控,互联网基础资源的服务架构,用户端,第三方代理,资源管理者,互联网基础资源管理和服务的内在矛盾,终极目标：用户端、第三方代理、资源管理者三方的权力平衡资源管理者自顶向下的逐级分配和控制原则唯一、精确、完整、真实,最后一公里的本地管辖和商业利益诉求,安全可控服务水平SLA客户价值用户体验和个性化需求 例子：来电号码助手,资源管理者,第三方服 务者,用户,IP地址管理及服务,浅议互联网基础资源服务架构演进,NIR,LIR,LIR,ISP,用户,ISP,ISP,用户,用户,用户,用户,用户,IP地址-全球分配体系,IP地址全球管理模式滞后,70年代，IP地址最初只在美国科研机构和大学内分配80年代至90年代互联网向欧洲和亚洲扩展，在欧洲核子研究中心（CERN）网络协调机构的基础上形成了以 欧洲互联网信息中心（RIPE NCC），在亚洲互联网先发国家日本和澳大利亚的网络社群内形成了亚太互联 网信息中心（APNIC），同时非洲、拉美以及北美本土的IP地址分配服务也在萌芽酝酿。美国政府在1998年强势宣布其对IANA的管理权，在加强对域名根服务器系统的管控力度同时，对互联网IP 地址社群做出了妥协，非洲、拉美和北美社群加快成立各自的IP地址分配机构（ARFINIC、LANIC、ARIN）。,在IP地址分配业务上，五大洲地址分配机构为注册在各地区的独立法人，并不隶属于IANA。IANA仅对超 大快IP地址进行大洲级的分配，五大机构对本地区内的终端用户进行实际IP地址分配，享有很大的自主运 营和政策权，且自发成立了地址协调联盟机构NRO，独立于ICANN/IANA体系。,五大RIR的政策差异性,RIPE NCC虽名为欧洲互联网信息中心，但是其业务政策已经向全球开放，不限于欧洲，任何国家的终端用户 都可以RIPE NCC申请IP地址，也可以携带地址转移到APNIC等其他四家机构。北美ARIN本质上也是欧洲模式，允许自由分配和转移，但在外围设计包装了更多政策门槛，属于“半自由”。亚太APNIC和拉美LANIC只为本地区服务，不允许其它地区用户申请，但允许用户携带地址转移。非洲AFRINIC既不允许其它地区用户申请，也不允许用户携地址转移出去，最为封闭。,政策差异性带来的IP地址流动,随着全球IPv4地址的耗尽，各地区互联网发展规模及网民数量的不平衡，引发了如下现状：大量新兴互联网国家（典型如中国）公司机构采用各种办法向其他大洲IP地址管理机构申请，最 常见的方式是在各洲当地国家注册一批子公司或壳公司，已本地公司的名义申请、向原IP地址持 有者发起溢价购买，待买入IP地址后，再转移回母公司所在地区，或者根本不转移直接在全球进 行路由广播。我国对IP地址的管理较为严格，IP地址非备案不得用来广播和使用，备案系统需要应对这种趋势（除了传统的APNIC会员地址、CNNIC会员地址、工信部地址联盟会员地址外的碎片化国际来源IP地址）。IP地址的全球流动和碎片化也进一步扩大了IP地址使用(运营商路由)过程中的安全威胁，引出了RPKI和BGPSEC技术。,IP地址认证的缺失导致BGP路由安全问题,IP地址安全新技术：RPKI及BGPSEC,五大机构无法阻止资本流动带来的IP地 址使用权流动和应用流动，采用新型 安全认证技术手段RPKI来确保IP地址 的所有者和使用者一致；而新型安全认证技术有可能进一步加 大五大机构的独立性，冲击到IANA作 为最高分配者和协调者的地位。,RPKI体系结构,RPKI的风险和机遇,RPKI引发了RIR和IANA的矛盾，未来互联网治理的新热点RPKI引入了“IP地址根”概念，RIR从IP地址分配机构变成了IP地址认证机构RPKI把IP地址路由技术风险转移成为RIR的管理风险RPKI要求ISP运营商的域间路由器进行升级，并搭建单独的认证系统我国科研工作者贡献提出支持本地认 证的RPSTIR方案和原型系统ICANN与NRO之间，各国本地 RPSTIR与NRO RPKI服务器之间的关 系有待厘清,浅议互联网基础资源服务架构演进,域名系统及根服务器体系,全球互联网域名体系及管理架构,ICANN（The Internet Corporation for Assigned Names and Numbers 互联网名称与数字地址分配机构）负责IP地址的分配、顶级域名（TLD）的管理、以及根服务器管理。国家和地区顶级域，属于主权范围，政府授权，自行管理通用顶级域，由ICANN批准，并与注册管理机构签署协议授权其运营和管理新通用顶级域，ICANN适时全面开放多语种顶级域，并采取政策、技术、市场等多手段全面控制。,“.”,ccTLD,gTLD,.CN,.DE.UK,.COM,.NET,.ORG,英文,IDN,.中国,.香港,(254个),New gTLD,英文,IDN,.？,.公司.网络.政务.公益,.？,域名体系是通过最顶层的管理者逐级授权而不断延伸生长出的一棵数据树。作为这棵数的树根，域名根系统理论上具最高的数据管理权。,域名系统及域名根服务器的重要性,根区数据管理（PTI/IANA)记录顶级域服务器名称及其IP地址的对应关系，完成根区文件的修订和编辑，是IANA的核心职能。根区文件需要写入根区数据库服务器并分发给所有的根服务器，根区数据库不对外公开提供解析服务，相当于被隐藏的主根（或称母根）。根服务器根服务器依据根区文件提供顶级域信息提供解析服务，并可根据需要与各国各地区的本地托管机构合作设立 镜像服务器。根服务器运行机构负责管理各自的根服务器，相互之间独立且地位平等，均以志愿者方式提供解析服务，与ICANN基于相互信任关系进行合作，但与ICANN互不隶属。,A B C,D,E F G H I J K LM,根区文件,VeriSign,DeNIC,各顶级域管理机构根区数据管理机构根服务器运行机构镜像合作机构网络运行商 CNNIC,域名根系统功能结构划分,DNS：RFC 1034 1035,名字空间分级自治君上之君、非我之君臣下之臣、非我之臣,DNS：RFC 1034 1035,ComputerStub Resolver,ISPRecursive Resolver Cache Sever,RegistrationAuthoritative Server,查询访问依靠代理选择、授权、代议,DNS设计初衷被扭曲,Computer Stub Resolver,ISPRecursive Resolver Cache Sever,Registration,Authoritative Server,Business Recursive Resolver,DNSSEC在权威域名树领域的安全扩展,90年代后期，IETF成立了工作组专门 研究DNSSEC安全扩展协议（DNS Security Extensions），利用经典的 加密算法和签名机制，完善了原有 DNS体系的不足之处，从而形成一整 套的DNSSEC解决方案。DNSSEC赋予了根服务器一个新的角色，即，作为验证证书签名有效性的最高节点（通常被称作 信任锚），进一步推升了根服务器作为全球互联网核心基础设施的重要性。全球的互联网域名用 户，不仅依赖根系统完成域名解析，而且不得不依赖根系统对域名的完整性、真实性进行验证。在无法保证域名访问路径可控的情况下，通用应用密码学PKI体系来加强数据可控。,DOH/DOT在最后一公里用户侧的安全扩展,DNS over HTTPSDNS over TLSDoH&DoT,DNSSEC和DoH/DoT对本地DNS服务的机遇和挑战,DNSSEC引发的递归本地根方案RFC7706运营商拥有了合规合理的介入根管理的技术手段DoH/DoT对运营商域名服务的旁路冲击已有商业域名服务浏览器甚至应用APP都可以嵌入DoH/DoT功能,CA证书WEB应用的管理模式变化,浅议互联网基础资源服务架构演进,Web PKI 信任模型及结构性缺陷,图https连接的建立过程（正常）,图https连接的建立过程（中间人攻击）,Certificate Transparency信任模型,对现有的SSL证书系统的补充，并非替代CT信任模型有三部分组成：Certificate Log证书日志Certificate Monitor 证书监控Certificate Auditor证书审计,CT应用目标,CT并不能阻止CA签发错误或虚假证书，但是它能让人们清楚看到CA签发 所有证书，从而使检测这些证书的过程变得相对容易CA难以错发证书公开、实时性的监督和审计，确定证书是否错发用户能够识别恶意错误证书,对CT及Web PKI的发散思考,CT机制出发点是通过引入审计，从而分散CA的权力浏览器等终端的支持行业CT联盟（准入机制？）安全密码算法DoH+CT？！如果未来DoH成为重要的DNS用户侧实现方式如果CT成为通用技术和安全模式域名问题叠加证书管理问题，证书成为基础资源的基础资源IETF协议工作的泛PKI化,谢谢,