6月26日，以“网络根基 中国贡献”为主题的第四届下一代DNS发展论坛在京举行。在同期活动“推进规模部署促进实数融合——IPv6与互联网基础技术应用论坛”上，中国移动集团CDN科研特区带头人、教授级高工孔令山就《重构DNS运营体系，支撑下一代互联网业务发展》作主题分享。

　　传统DNS运营体系的局限

　　孔令山认为，根、顶级域、权威DNS故障，均将导致规模企业和单位的业务瘫痪。互联网DNS类似电信网络的信令系统，负责包括CDN和云在内的各种调度，是保障互联网稳定运行的核心设施。然而，现有DNS运营体系实际存在诸多局限。从实际案例来看，2003年，根故障导致伊拉克“.iq”为后缀的网站全部蒸发；2004年，根故障导致利比亚顶级域名“.ly”故障；再如顶级域DNS故障，近日.com顶级域故障，导致阿里云重要域名服务瘫痪，造成多业务影响；2021年，.com和.net顶级域故障，也曾导致伊朗多家通讯社及电视台等正常网站业务瘫痪。此外，权威服务器异常也将导致服务连续性受损，如2023年11月，某大型互联网公司权威服务器遭受DDOS攻击，海量业务受到影响。

　　孔令山分析了传统DNS运营体系架构特点，并强调，在当前DNS运营体系中，域名所有者、运营者和秩序管理者构成三大核心角色，共同维系着互联网域名解析服务的运转。域名所有者负责使用域名，是反复故障受损最严重的一方，但往往处于“好了伤疤忘了疼”的状态，强烈期望下一代DNS必须具备SLA（服务质量保障）能力；运营商作为域名运营者之一为域名提供解析服务，但在故障处理中“责重权轻”，处于被动响应模式，积极尝试构建新运营体系；而以各层管理机构为代表的域名秩序管理者，则受制于缺乏主权确权，面临监管目标、监管规则和监管手段等多个方面的局限性挑战。

　　孔令山表示，当前DNS运营体系中，为保障域名服务的SLA，传统DNS架构存在“角色-能力-责任”三重失衡的结构性矛盾，严重阻碍了恶意域名传播、应急故障恢复等有效管控。

　　新DNS运营体系的场景规划

　　针对上述这些问题，孔令山分享了新体系的场景规划——保障企业域名主权的新体系。新体系需要对“角色-能力-责任”做新调整。

　　对于基础电信运营商来说，“责”要担责与企业重保合同约定的SLA，企业主权意志通过区块链对接支持；“权”要建指挥平台，开展域名监测，开放 API，转型能力中枢；“利”通过域名主权生态服务、域名保全获得相应的回报价值。

　　对于域名所有者来说，“责”要签订体现自身主权意愿的SLA合同，订购服务，保证合规；“权”就是可以享受解析意愿尊重、自我价值实现5层100%全部主权（包括自身解析意愿秒级生效）；“利”要保证享有安全稳定、敏捷变动等更稳、更强的业务能力。

　　对于域名秩序管理者来说，“责”要承担真正的监管者责任、保全网络安全；“权”能主导有效监管的管理体系、标准、平台的建设标准；“利”方面可以提升全国监管效率，有效保障各方合规、秩序井然。

　　孔令山提出，通过“区块链技术确权+ SLA业务提供+主权化秩序治理”，可以解决传统“角色-能力-责任”失衡，形成“所有者主导价值+运营者支撑业务+管理者保障秩序”的良性生态，构筑可管可控的DNS运营新范式。

　　以中国移动为例，按照新范式，中国移动通过部署指挥平台、测感研判中心、域名主权数据库三类新网元，全网部署93个监测点，实现重要域名异常情况1分钟发现，完成域名主权保障主要功能验证，满足企业域名主权权益保障需求，成功构建了既能保障域名安全稳定，又能满足企业受尊重需求的新型DNS运营体系。

　　DNS运营新体系的推广倡议

　　孔令山表示，中国移动下一代DNS运营体系初步成型，具备权重调度、域名急救等基础能力，通过与企业合作，进一步支持域名主权状态查询、全天候常态化监测及智能研判等功能，并采用多中心、分布式、高冗余架构，整体上满足企业域名安全稳定、被尊重、S级交付等各层次SLA需求。

　　同时，中国移动携手互联网域名管理技术国家工程实验室发起了域名主权保障试点行动倡议，呼吁业界联合，共创全天候企业域名主权保障的新生态。（记者 雷渺鑫）