當(dāng)前位置:
  1. 首頁(yè)
  2. 業(yè)界資訊

ICANN將首次更換維護(hù)互聯(lián)網(wǎng)域名系統(tǒng)(DNS)根區(qū)的密鑰加密密鑰

cc 業(yè)界資訊

近日,互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu) (Internet Corporation for Assigned Names and Numbers, ICANN) 首席技術(shù)官 (Chief Technology Officer, CTO) 戴維·康納德 (David Conrad) 在京采訪時(shí)表示,ICANN將首次更換維護(hù)互聯(lián)網(wǎng)域名系統(tǒng) (Domain Name System, DNS) 根區(qū)的密鑰加密密鑰(KSK),并制定了一套流程在世界協(xié)調(diào)時(shí)以前手動(dòng)更換至新的密鑰。

ICANN將首次更換互聯(lián)網(wǎng)域名系統(tǒng)(DNS)加密密鑰

首席技術(shù)官康納德此次北京之行的目的是與當(dāng)?shù)乩嫦嚓P(guān)方和技術(shù)社群展開(kāi)交流,分享ICANN在域名生態(tài)系統(tǒng)中所履行的技術(shù)職責(zé),更好地理解中國(guó)在互聯(lián)網(wǎng)技術(shù)方面取得的最新進(jìn)展,并探討與中國(guó)互聯(lián)網(wǎng)社群在技術(shù)領(lǐng)域的合作。他廣泛拜訪了主管部門(mén)、域名產(chǎn)業(yè)界,大學(xué)及學(xué)術(shù)研究機(jī)構(gòu)及領(lǐng)先的互聯(lián)網(wǎng)公司。

戴維·康納德表示:“全球的互聯(lián)網(wǎng)服務(wù)提供商和網(wǎng)絡(luò)運(yùn)營(yíng)商均應(yīng)確保做好密鑰更換準(zhǔn)備。否則,他們的用戶將無(wú)法查詢域名,無(wú)法登錄任何一個(gè)互聯(lián)網(wǎng)網(wǎng)站。”他還指出:“網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)當(dāng)確保他們擁有最新軟件、已經(jīng)部署了域名系統(tǒng)安全擴(kuò)展 (DNSSEC)、并已經(jīng)驗(yàn)證了其系統(tǒng)能夠自動(dòng)更換密鑰,或已經(jīng)制定了一套流程在世界協(xié)調(diào)時(shí)(UTC) 2017 年 10 月 11 日 16:00 時(shí)以前手動(dòng)更換至新的密鑰?!?/p>

據(jù)悉,密鑰的更換,又稱“輪轉(zhuǎn)”(rollover),是維護(hù)全球 DNS 安全與穩(wěn)定的重要環(huán)節(jié)。這與人們普遍接受的運(yùn)營(yíng)操作十分類似,即確保重要的安全基礎(chǔ)設(shè)施能夠在必要時(shí)支持密碼更替一樣。

對(duì)于本次更換加密鑰背景時(shí),ICANN亞太運(yùn)營(yíng)中心總經(jīng)理羅嘉榮表示,近年來(lái)互聯(lián)網(wǎng)出現(xiàn)了很多大范圍網(wǎng)絡(luò)安全事件,為了提升域名系統(tǒng) (DNS) 安全性和保護(hù) DNS服務(wù)器不受分布式拒絕服務(wù) (distributed denial of service, DDOS) 的襲擊,因此推廣部署更為安全的DNSSEC協(xié)議。

DNSSEC是DNS安全性擴(kuò)展的縮寫(xiě),DNSSEC通過(guò)將公鑰密碼系統(tǒng)引入DNS層次結(jié)構(gòu),從而為域名生成一個(gè)開(kāi)放的全球公鑰基礎(chǔ)設(shè)施(PKI),以此提高DNS的安全性。DNSSEC的優(yōu)勢(shì)在于通過(guò)數(shù)字簽名,可以防止暗中篡改,保障域名查詢安全,從而抵御可能攻擊。例如,將最終用戶重定向到冒名的網(wǎng)站或惡意網(wǎng)站以收集密碼,所有的實(shí)體用戶都會(huì)受影響,這通常稱為緩存感染病毒,可以防止緩存感染病毒是DNSSEC主要優(yōu)勢(shì)之一。

康納德指出:“我們已經(jīng)啟動(dòng)了一個(gè)測(cè)試平臺(tái),確保網(wǎng)絡(luò)運(yùn)營(yíng)商能夠確定他們已經(jīng)在 10 月 11 日前對(duì)密鑰輪轉(zhuǎn)做好了充分準(zhǔn)備?!?/p>

中國(guó)信通院互聯(lián)網(wǎng)治理研究中心執(zhí)行主任、互聯(lián)網(wǎng)領(lǐng)域主席劉越向記者表示,近年來(lái)中國(guó)市場(chǎng)的新通用頂級(jí)域的域名注冊(cè)量增速很快,約占到全球新通用頂級(jí)域市場(chǎng)的50%。目前,中國(guó)在新通用頂級(jí)域領(lǐng)域一枝獨(dú)秀,域名注冊(cè)總量及新域名的注冊(cè)量排在全球第二位,但域名的應(yīng)用水平還比較低,重要域名的系統(tǒng)安全也存在巨大隱患。

根據(jù)《2015年域名產(chǎn)業(yè)發(fā)展報(bào)告》提供的資料,“涉及國(guó)計(jì)民生的60%以上域名存在安全問(wèn)題,需要引起高度重視”。劉越表示,在戴維·康拉德訪問(wèn)北京期間,中國(guó)信通院與ICANN就DNS安全性和穩(wěn)定性等議題進(jìn)行了交流,雙方作為彼此的合作伙伴將繼續(xù)在這一領(lǐng)域開(kāi)展合作。

另?yè)?jù)了解,ICANN總裁兼首席執(zhí)行官馬躍然 (Gran Marby) 也已向超過(guò) 170 位政府官員(包括 ICANN 政府咨詢委員會(huì) (Government Advisory Committee) 中的監(jiān)管人員和參與人)致函,請(qǐng)求他們要求位于各自國(guó)家內(nèi)的網(wǎng)絡(luò)運(yùn)營(yíng)商了解密鑰更替事宜并做好準(zhǔn)備。