文 | 中国信息通信研究院安全研究所 刘越
2024 年是互联网诞生 55 周年,也是中国全功能接入互联网 30 周年。在全球和中国的互联网发展过程中,互联网关键资源及其治理始终占据重要位置,受到各国、各利益相关方的高度关注。准确认识和把握互联网关键资源的作用及其治理机制,对深入理解全球互联网治理,推动网络治理体系变革,构建网络空间命运共同体,具有重要价值。
一、互联网关键资源及其重要作用
互联网是“万网之网”。任何愿意遵守共同的网络连接协议和使用全球唯一标识符的自治网络系统(AS),即可与其他 AS 相互连接,从而构成全球互联网的一部分。域名(DN)、互联网协议(IP)地址、自治系统号码(ASN)等用于标记和识别联网设备(含网络节点和系统)的标识符(Identifier)被统称为互联网关键资源。这些标识符为互联网所特有,需要保持全球唯一性,并遵守统一的分配规则和技术标准。互联网关键资源在保持全球互联网的统一、开放、安全和稳定方面,具有独特的重要作用。
对于一个联网设备来说,ASN 标记了其在网络中的“归属地”,而 IP 地址提供了其在该归属地的“定位”,路由协议可以基于 ASN 和 IP 地址的数字标签在两台联网设备间建立通信连接,实现数据传输和交互。ASN 和 IP 地址的组合是互联网实现分布式连接与灵活快速扩展的基石,可有效防范中心化网络易遭受“斩首”攻击的固有风险。IP 地址分配和使用,特别是 IPv6 的发展,有力地推动了全球互联网的普及与升级。此外,结合协议参数与端口的设置,可以进一步实现互联网应用的精细化管理。
域名是用于互联网上识别和定位计算机的层次结构式的字符标识。它更便于记忆和识别,成为网络时代人机交互的重要工具与服务入口。通过建立和查询域名与 IP 地址之间的对应关系(即域名解析),人们可以访问网站和使用基于互联网的应用服务。因其在互联网运行中的突出作用,域名系统(DNS)又被称为互联网的“中枢神经系统”。DNS 采用倒置的树形结构自顶向下构建名称,通过分级授权、各域自治的方式进行管理。在 DNS 结构中,根域(简称“根”)位于 DNS 的顶部;其下为顶级域(TLD),包含国家和地区代码顶级域(ccTLD)和通用顶级域(gTLD)两类;顶级域下可根据需要依次设立二级域、三级域等。其中,ccTLD 的命名基于 ISO 3166-1 标准,国家和非国家经济体可设立相应的两个字母代码(如中国对应“CN”,中国港澳台地区分别对应“HK”“MO”和“TW”)。根据信息社会世界峰会(WSIS)的成果文件《突尼斯议程》(Tunis Agenda)有关内容,国家代码顶级域(例如中国的“.CN”)具有国家主权的含义。gTLD 由申请机构提出命名,并经 ICANN 批准后设立。
互联网关键资源具有商业性、战略性、公共性等多重属性,是促进互联网与经济社会各领域融合发展的基础支撑和重要引擎。其合理分配、规范使用以及相关系统的有序运行,直接影响用户对互联网访问的体验,关系整个互联网的安全、持续和健康发展。因此,互联网关键资源是全球互联网发展不可或缺的基础要素。
二、互联网关键资源的分配管理与治理机制运行特点
长期以来,互联网关键资源的分配与管理一直是互联网国际治理的重要议题和关注焦点。基于技术特点和发展需求,形成了分层分类的互联网关键资源分配管理体系。这个体系既保持了全球统一性,又兼顾了区域作用和类别差异。
IP 地址和 ASN 采用了以区域管理为主、全球协调为辅的分配管理体系。亚太互联网络信息中心(APNIC)、欧洲、中东和中亚地区网络协调中心(RIPENCC)、美洲互联网号码信息中心(ARIN)、拉丁美洲及加勒比地区网络信息中心(LACNIC)和非洲互联网络信息中心(AFRINIC)等五个区域性互联网号码资源管理机构(RIR),分别负责所在区域的 IP 地址和 ASN 分配管理。这五个 RIR 组成了号码资源组织(NRO),并通过 NRO 协调全球的分配和管理事务。NRO 制定的政策传递至互联网名称与数字地址分配机构(ICANN)的地址支持组织(ASO),并由 ASO提交 ICANN 董事会审批。ICANN 管理的互联网号码分配机构(IANA)作为 IP 地址和 ASN 的全球资源池,负责记录 RIR 的分配情况。ASO 的人员组成和政策制定均由各 RIR 和 NRO 决定。对 NRO 通过 ASO 提交的 IP 地址和 ASN 的相关政策,ICANN 董事会一般都会直接予以通过。IANA 在 IP 地址和 ASN 方面的职能履行与服务水平要符合 NRO 和各 RIR 的要求,并接受其监督。
与域名分类分级相对应,全球互联网域名管理体系具备层次化的结构。ICANN 在全球域名管理体系中处于突出位置,承担全球互联网根区与顶级域的分配、管理及相关政策制定。在 2016 年 10 月 IANA 职能管理权移交完成后,在职责的履行方面,ICANN 形成了根区管理核心职能的三级机制,即“董事会授权—公共标识符机构(PTI)承担根区日常运行—威瑞信(VeriSign)维护数据库”,并接受社群的监督与问责。顶级域需经 ICANN 董事会批准并写入根区后,方可进行全球解析。ccTLD 域名注册管理机构根据所属国家和地区主管机构的授权负责运营相应的 ccTLD,可自行制定管理政策与授权域名注册服务机构,无需与 ICANN 签订协议。gTLD 域名注册管理机构则在申请获批后与 ICANN 签订注册管理机构协议,获得 ICANN 的授权并接受其监督。gTLD 域名注册服务机构也需要取得 ICANN 的资质认证,并与 ICANN 签订注册服务机构协议。而且,gTLD 域名注册管理机构只能与 ICANN 认证的 gTLD 域名注册服务机构签订服务协议,并由后者面向互联网用户提供 gTLD 域名注册服务。域名注册管理机构和域名注册服务机构可通过 ICANN 通用名称支持组织(GNSO)、国家和地区代码名称支持组织(ccNSO)等社群组织及其工作组等参与域名政策制定。除了 ICANN 外,亚太、欧洲、非洲和拉美均成立了主要由 ccTLD 域名注册管理机构组成的本区域顶级域组织。
互联网关键资源因互联网而生,技术是治理的重要基础与演进的内在动力,而治理平台为非政府行为体。多利益相关方(Multi-stakeholder)治理机制具有鲜明的特点。
一是互联网关键资源的分配管理政策及支持其运行的技术标准属于互联网特有规则,具有较强的技术性和专业性。互联网主要是通过协议实现全球互联,DNS、IP 地址和 ASN 都是协议的直接产物,由技术人员主导进行设计、运行和维护并获得全球性推广使用。互联网关键资源直接关系互联网的构成与日常运行,而互联网关键资源主要依据标准、规范、协议、合同等进行。互联网关键资源的分配管理政策普遍以技术标准和运行规范为基础,其中,技术社群有较大的影响力。例如,作为互联网领域的主要技术标准组织,互联网工程任务组(IETF)向 ICANN 董事会派出联络员(作为无投票权的代表)参与 ICANN 董事会的政策讨论,向 ICANN 提名委员会(NomCom)派出代表参与领导人员的遴选,并与 ICANN 签订合作协议委托 IANA 保存协议参数和端口等列表,并通过制定技术标准为ICANN的政策制定提供指导和支撑。
二是全球和区域的互联网关键资源治理平台是非政府间平台,普遍采用多利益相关方治理方法。随着互联网关键资源治理平台对全球互联网用户利益和公共政策的影响,更多利益相关方进入互联网关键资源生态圈并参与治理。ICANN 和 RIR 普遍采用自下而上(Bottom-Up)、共识驱动(Consensus-driven)的多利益相关方治理方式和相应的决策流程。各个利益相关方遵循开放、透明、协同、包容、问责等原则,在治理平台发挥各自的作用,参与规则制定,并通过问责和审查不断进行纠偏,完善治理机制。各平台的治理主体通常为企业、技术社群和民间团体,政府往往不直接参与或参与度很低。ICANN 是唯一一个为政府和政府间国际组织设立政府咨询委员会(GAC)并就相关公共政策开展正式沟通、协调的主要互联网关键资源组织,而各 RIR 都没有政府代表参与的正式机制。而且,这些非政府平台的决策机构领导人,依据选择条件的通常规定,不能是政府官员或国际政府间组织的官员(GAC 及 GAC 推举的 ICANN 董事会代表除外)。此外,ICANN 和 RIR 以及与互联网关键资源治理关系密切的IETF、国际互联网协会(ISOC)等平台在人员方面常常互通有无,相互之间联系密切,彼此之间相互支持,形成了“I Star(I*)”协调机制和生态系统,共同推动多利益相关方治理方法的实践。
三是互联网关键资源治理平台形成了“社群参与者—决策者—执行者”的分工协作机制。社群成员(不同的利益群体或者会员)按照平台的议事程序(如工作组、邮件列表)提出动议、发起政策制定流程,以志愿方式参与;由社群推举的决策机构(如董事会或理事会)通过协商为主、投票为辅的方式形成共同遵守的规则(一般以决议形式通过和发布政策并指导执行);作为平台载体的组织机构则一般按照所在地法律注册为非营利性私营机构,实行公司化管理运作,坚持中立性与独立性。例如,作为亚太地区 IP 地址和 ASN 治理核心机构,APNIC的社群包括数千个会员,其中包括国家或地区互联网信息中心(NIC)、互联网服务提供商(ISP,包括电信运营商)和其他互联网地址空间使用者。决策机构执行理事会(EC)负责管理 APNIC 机构、活动、职能和事务,并指定分委会、选举总干事等。EC 中的 7 名有表决权的成员由会员推选产生。总干事则代表 APNIC 组织和执行团队参与 EC,但不具表决权,并按照 EC 决策为会员提供服务。ICANN 董事会为 ICANN 决策机构。ICANN社群通过相应的支持组织(SO)和咨询委员会(AC)推举代表参与董事会,选派代表组成的 NomCom 也负责遴选 ICANN 董事会成员。总裁兼首席执行官代表 ICANN 组织(员工)参与董事会。
四是 ICANN、RIR 等组织都通过提供资源分配管理获取收入,具有较强的独立运营能力,为其持续扩大在互联网治理的影响力提供了经济基础。ICANN 通过提供根区管理服务向域名注册管理机构和域名注册服务机构每年收取费用达上亿美元。在新 gTLD 开放后,只申请费一项,ICANN 的收入就超过了 3 亿美元,这也直接将 ICANN 的预算水平提高到了每年 1 亿美元以上。这样的收入和预算水平对 ICANN 推进全球化、开展 IANA 职能管理权移交以及支持互联网治理的各类项目,发挥了突出的作用。各 RIR 的运营资金主要来自会员会费、分配 IP 地址和 ASN 资源的收费及捐赠等,除机构开支外,还可支持其参与互联网治理活动。此外,.ORG 域名收入中每年还为ISOC 提供数千万美元的经费,用于支持自身活动以及 IETF 的运转。
三、互联网关键资源治理机制存在的风险挑战及演进展望
ICANN、RIR 等大多成立于 20 世纪 90 年代至 21 世纪初(AFRINIC 建立于 2004 年,是最晚成立的RIR),持续运行时间普遍超过 20 年甚至 30 年。数十年来,ICANN、RIR 等建立并不断完善的多利益相关方治理机制总体上实现了有效运转,保障了互联网关键资源的发展。但是,随着技术的发展与时代的变迁,当前互联网关键资源治理机制遭遇了多方面的风险挑战。为此,ICANN、RIR 等积极通过自身变革进行应对,以期保障其履行核心职能的稳定与韧性。
(一)互联网关键资源治理机制面临的风险与挑战
ICANN、RIR 等在实践中形成了行之有效的互联网关键资源的技术与政策协调机制,促进了全球范围政府与私营部门的合作,维护了 IP 地址、域名等互联网关键资源的全球统一性,并通过推广使用 IPv6、开展多语种域名(IDN)和新 gTLD 项目等扩展了资源的丰富性和多样性,保持了全球互联网关键资源的安全稳定运行。特别是 2016 年 IANA 职能管理权移交完成以及 ICANN 与 RIR、IETF 建立新型合作机制,互联网关键资源特别是域名根区的治理试验确实取得了较大进展,对互联网国际治理的机制、规则、主体、议题等产生了重要影响。但是,随着互联网关键资源分配和互联网基础架构标准制定已逐渐进入稳定发展的成熟期,加之近年来互联网治理形势发生了较大变化,ICANN 和 RIR 不可避免受到影响,且自身组织规模扩大、责任的增加和社群期望的变化,也使其面临一系列内部问题,未来发展面临多方面风险挑战。
一是不断加剧的网络安全威胁影响互联网关键资源的安全性和稳定性。基于 AS、IP 和 DNS 的路由与解析服务不断遭遇各种攻击,且攻击发生的频率、持续时间和流量规模均呈快速增长趋势。DNS 滥用态势难以得到有效遏制,可信性、可靠性和可恢复性面临严峻挑战。此外,ICANN、RIR 等机构也面临越来越多的要求,包括配合打击网络欺诈和犯罪、信息内容治理等,可能被卷入更大的网络安全体系。
二是多利益相关方治理机制的效率与有效性持续受到质疑。全球化进程使更多参与者进入社群,导致利益诉求的分散化与冲突更为明显。然而,冗长的流程与议题的复杂性、专业性相互交织,使现有的志愿者工作模式与员工能力出现疲态。同时,互联网元老们相继退出也降低了决策机构的权威性,增加了通过协商达成共识的难度。例如,ICANN 的数据安全保护和下一轮新 gTLD 等政策进展迟缓。AFRINIC 因与利益相关方协调不力而面临诉讼,以致陷入运行困境是较为极端的表现之一。
三是国家间博弈加剧以及各国加强数据立法和监管导致对互联网碎片化的更多担忧。互联网在各个领域的重要性日益增加,政府的立法和监管干预在有意或无意间加强了对关键资源的控制,给 ICANN 和 RIR 执行职能造成了较大影响和外部压力。例如,欧盟的《通用数据保护条例》(GDPR)通过要求 ICANN 保持政策全球一致性,放大了对收集、发布和获取域名注册信息(Whois)的影响,而 ICANN 却难以形成应对欧洲数据保护要求的长效解决方案。《数字服务法案》(DSA)和《网络和信息系统安全指令》(NIS2 Directive)修订版将 DNS 服务机构纳入管理范围,增加了全球运行管理和协调的难度。同时,地缘政治、技术和组织上的压力导致互联网碎片化风险日益增加。例如,在俄乌冲突中,乌克兰要求停止俄罗斯域名和 IP 地址对 ICANN 和 RIPE NCC 提出了考验;美国的网络制裁行为与所谓的“清洁网络”政策,均加剧了互联网分裂的风险。
四是全球互联网关键资源市场发展趋缓造成收入增长放缓与成本持续增长加大了财务持续性压力。为推动 IPv6 的使用,各 RIR 普遍采取了低价策略,导致 IP 地址增量收入有限。ICANN 的新 gTLD 市场发展未达到预期,下一轮新 gTLD 的开放也一拖再拖。此外,全球域名保有量近年来有所下降的情况,也不利于收入的增长。同时,ICANN 为了满足 DNS 安全和技术要求、各利益相关方的支持需求以及实施改善问责和透明的必要措施等,成本不断增加,稳定运营面临挑战。再有,新技术新应用发展也冲击了互联网关键资源扩展空间。
(二)互联网关键资源治理机制的发展态势与演进方向
面对新的复杂形势,互联网关键资源治理的核心组织也在变与不变之间不断探索,“有所为”地保持和增强在互联网治理和更大生态体系的话语权、影响力,增强可持续发展能力;“有所不为”地保障履行核心职能,推动多利益相关方治理成为网络空间规则制定的主要方法、工具和路径。
一是主动适应新的环境和时代要求,探索与政府及其他利益相关方合作的新治理方法。在 IANA 职能管理权移交后,ICANN 设立了新的权力机制,即由多个社群代表组成的赋权社群,加强对董事会人员及决策的监督。此外,ICANN 还积极参与互联网普及与安全进程,改善与政府及政府间国际组织的关系,包括加入国际电信联盟发展部门(ITU-D),支持 GAC 的发展,增强根区管理的透明度与问责制,举办地区 DNS 论坛,强化技术团队与研究能力,推进根解析服务本地化,推动域名安全研究与合作,并参与网络安全领域的对话,加强与监管部门的沟通等。另外,APNIC 也建立基金会,在推进 IPv6 的大旗下探索新的合作方式和领域。
二是坚持多利益相关方治理,维护全球开放、安全、可靠的互联网基础架构。在技术标准方面,致力于维护分布式技术架构和标识符系统的唯一性,并大力推动包括路由公共密钥基础设施(RPKI)、域名系统安全认证(DNSSEC)等安全协议的实施。在行为规范方面,加强成本管理和改进储备资金机制,保障财务安全。在普及推广方面,支持多语言服务,发展 IPv6,推动信息无障碍,提升根解析服务能力,强化其作用与地位。在政治态度方面,支持自由、人权和基本权利,反对政府过多介入日常运行,例如,批评特朗普政府可能加剧互联网分裂的“清洁网络”政策,拒绝乌克兰政府提出停止俄罗斯顶级域和 IP 地址的要求等。
(本文刊登于《中国信息安全》杂志2024年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
