信息化觀察網(wǎng)

今年以來，全國人大《數(shù)據(jù)安全法》出臺、國務(wù)院發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、工信部公布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）（征求意見稿）》等，都充分表明了在數(shù)字化轉(zhuǎn)型中統(tǒng)籌安全和發(fā)展，以數(shù)據(jù)安全（特別是核心數(shù)據(jù)安全）為先，充分體現(xiàn)了國家堅定不移地維護(hù)主權(quán)、安全、發(fā)展利益的戰(zhàn)略思維、戰(zhàn)略決心和戰(zhàn)略自信。

經(jīng)過半個多世紀(jì)的發(fā)展演進(jìn)，因特網(wǎng)（Internet，下同）成為全球數(shù)以萬計的自治或非自治網(wǎng)絡(luò)（AS Networks）互聯(lián)所形成的網(wǎng)絡(luò)，其承載的數(shù)字化業(yè)務(wù)和應(yīng)用的具體表現(xiàn)形式，是互通的網(wǎng)絡(luò)化（Networked）數(shù)據(jù)。

雖然因特網(wǎng)的互聯(lián)和互通已有30多年的歷史，仍在不斷地演變和發(fā)展。因特網(wǎng)的管理，最初僅僅是少數(shù)專業(yè)計算機(jī)工程師的專長,標(biāo)準(zhǔn)化似乎只是一個技術(shù)性和協(xié)調(diào)性的問題。如今，對互聯(lián)網(wǎng)絡(luò)的治理，已經(jīng)成為全球性爭論的焦點(diǎn)和探討的熱點(diǎn)，甚至被作為是地緣政治和地緣戰(zhàn)略的支點(diǎn)之一。

其中最為顯著的標(biāo)的，是因特網(wǎng)的域名系統(tǒng)（DNS）。我們在之前發(fā)表的《域名系統(tǒng)DNS安全的正本清源》文章中，以敘事方式分析了DNS從來就是“固有政治”的技術(shù)，以及DNS的一個直觀且簡單的轉(zhuǎn)型是：DNS從被作為因特網(wǎng)的“電話簿”（文件系統(tǒng)），演變?yōu)榛ヂ?lián)網(wǎng)絡(luò)的“中樞”（指揮和控制系統(tǒng)）和“制高點(diǎn)”（定位和重定向的導(dǎo)航系統(tǒng)）。同時，DNS還被利用作為搭載惡意勒索軟件、承載釣魚郵件入侵、實(shí)載域名放大攻擊等威脅及危害網(wǎng)絡(luò)信息安全的手段和工具。

必須指出的是，因特網(wǎng)DNS的轉(zhuǎn)型和演變，是基于互聯(lián)網(wǎng)絡(luò)數(shù)字化的發(fā)展以及滿足業(yè)務(wù)和應(yīng)用的需求，而并不止于對漏洞的補(bǔ)丁、不限于對騷擾的處置，且不糾纏于“你有我也有”的無序競爭。

保障國家數(shù)據(jù)（特別是核心數(shù)據(jù)）安全，首要的是數(shù)據(jù)治理和風(fēng)險管理。當(dāng)且僅當(dāng)“辨癥施治”，方能“對癥下藥”。DNS安全（以及諸如域名安全、郵件安全、網(wǎng)站安全、內(nèi)容分發(fā)網(wǎng)絡(luò)CDN安全等）技術(shù)，應(yīng)該且必須是服務(wù)于、服從于治理和管理。沒有任何一項技術(shù)能夠單獨(dú)地有效應(yīng)對數(shù)據(jù)安全所面臨的動態(tài)挑戰(zhàn)；否則，難以避免“頭痛醫(yī)頭、腳痛醫(yī)腳”，誤入歧途（或滿足于“馬甲”式的包裝）。

一、DNS的變異與新的安全威脅

微軟公司在2021年10月2日發(fā)布“2021年數(shù)字化防御報告”（Digital Defense Report），10月5日發(fā)布了Windows 11。據(jù)統(tǒng)計，微軟的操作系統(tǒng)全球市場占有率超過77%，電子郵件系統(tǒng)（MS Exchange）的全球市場（用戶端）占有率超過78%。

顯然，微軟掌握了大量的第一手?jǐn)?shù)據(jù)和信息，鑒于此，“2021年數(shù)字化防御報告”值得參考。其中指出：區(qū)塊鏈域名和DNS是逃避監(jiān)管的新興安全威脅。

1）DNS的變異

不同于正常域名的注冊和管理，“區(qū)塊鏈域名”不受任何集中式域名注冊機(jī)構(gòu)（如ICANN）的約束，規(guī)避了對域名濫用的監(jiān)管以及逃避執(zhí)法的查封。

在過去的兩年中，區(qū)塊鏈技術(shù)的應(yīng)用在許多垂直業(yè)務(wù)領(lǐng)域快速發(fā)展。在實(shí)際應(yīng)用中區(qū)塊鏈技術(shù)涵蓋了供應(yīng)鏈管理、身份識別管理、域名體系架構(gòu)等。但是，已觀察到“區(qū)塊鏈域名”被集成到網(wǎng)信罪犯（Cyber Criminals）的基礎(chǔ)結(jié)構(gòu)和運(yùn)行操作中。

例如，在調(diào)查Necurs僵尸網(wǎng)絡(luò)時發(fā)現(xiàn)，“區(qū)塊鏈域名”被大規(guī)模地運(yùn)用。Necurs僵尸網(wǎng)絡(luò)多年來一直在全球范圍內(nèi)主導(dǎo)著網(wǎng)絡(luò)恐怖活動，不僅發(fā)送惡意的垃圾郵件，而且通常承載惡意勒索軟件。Necurs有一個強(qiáng)大的“另類”（alternative）系統(tǒng)，包含一組“域名生成算法”（DGA）；其中的一個DGA，大約每30天從43個不同的頂級域名（TLD）生成2,048個新域名，其中包括區(qū)塊鏈頂級域名“.bit”。

在一般情況下，“區(qū)塊鏈域名”是通過加密數(shù)字貨幣向區(qū)塊鏈DNS提供商購買和交易。加密數(shù)字貨幣（錢包）使用非對稱密碼，其中涉及區(qū)塊鏈交易密碼的私鑰和公鑰。完成交易后，域名和關(guān)聯(lián)的IP地址以及交易的哈希值被記錄到區(qū)塊鏈中。進(jìn)而，擁有數(shù)字貨幣錢包和密碼私鑰并進(jìn)行購買域名初始交易的人，是唯一可以更改區(qū)塊鏈上的IP地址記錄的實(shí)體。

“區(qū)塊鏈域名”的不同應(yīng)用方式，對安全監(jiān)管和執(zhí)法都帶來了挑戰(zhàn)。一方面，“區(qū)塊鏈域名”通過惡意軟件和瀏覽器的插件或遞歸域名解析服務(wù)的代理得以應(yīng)用。另一方面，網(wǎng)信罪犯在“區(qū)塊鏈域名”方面所面臨的問題，是從區(qū)塊鏈上獲取更新的IP地址，并將區(qū)塊鏈域名映射解析為新的IP地址。由于區(qū)塊鏈域名是在非正常的DNS模式下運(yùn)作，惡意軟件的制作者就不得不使被感染的受害者執(zhí)行附加的域名解析指令；這些指令通常是被嵌入在惡意軟件中，通過篡改被感染受害者的系統(tǒng)設(shè)置，以指向區(qū)塊鏈的代理域名解析服務(wù)器的IP地址。

多年來，在互聯(lián)網(wǎng)上出現(xiàn)幾個自發(fā)項目，提供不受監(jiān)管的免費(fèi)DNS并支持區(qū)塊鏈域名的解析服務(wù)。其中，創(chuàng)建于2000年6月1日的Open Nic項目，作為“互聯(lián)網(wǎng)域名與數(shù)字地址分配機(jī)構(gòu)”（ICANN）管理的DNS網(wǎng)絡(luò)的一個“另類”方案，主要側(cè)重于支持去中心化的頂級域（例如“.null”等）；其聲稱，該項目是以“DNS中立并提供不受監(jiān)管的DNS訪問”為使命，運(yùn)行并承擔(dān)了解析另類頂級域名“.bit”的加密域名服務(wù)。但是，由于“.bit”域名被廣泛地濫用，2019年6月25日，Open Nic項目決定停止對“.bit”域名的解析服務(wù)。

2）源于區(qū)塊鏈域名的重大威脅

網(wǎng)信罪犯的安全威脅格局在不斷變化，以避免惡意行為被發(fā)現(xiàn)和被阻止。在過去的一年里，互聯(lián)網(wǎng)上一些較突出的安全威脅者們，已經(jīng)開始利用區(qū)塊鏈域名作為其基礎(chǔ)結(jié)構(gòu)的一部分。“Trickbot”是金融行業(yè)中臭名昭著的一種“木馬”，其不法獲利模式已經(jīng)演變到惡意勒索軟件領(lǐng)域，利用由Emercoin區(qū)塊鏈DNS提供的“.bazar”域名，對高價值目標(biāo)入侵和勒索。

2020年4月發(fā)現(xiàn)的惡意軟件“Bazarloader”與“Trickbot”，不僅存在關(guān)聯(lián)關(guān)系，而且都是利用“.bazar”域名以及使用定制版本的“域名生成算法”（DGA）。

調(diào)查區(qū)塊鏈域名存在一個特有的挑戰(zhàn)，由于沒有集中的“WHOIS”域名注冊數(shù)據(jù)庫，使得無法跟蹤是誰注冊了域名以及注冊時間。幸運(yùn)的是，一些區(qū)塊鏈DNS提供商（如Emercoin）提供了對區(qū)塊鏈瀏覽工具的訪問，借助于這些工具搜索域名、交易哈希值和其他可能存儲在區(qū)塊鏈中的有用信息。雖然Emercoin區(qū)塊鏈?zhǔn)欠菍?shí)名（Pseudo Anonymous），但是可以顯示有關(guān)區(qū)塊鏈域名的一些關(guān)聯(lián)信息，例如IP地址和交易日期。

3）應(yīng)對區(qū)塊鏈域名的一般性方法

由于區(qū)塊鏈域名可以被用來建立難以監(jiān)控和審查的網(wǎng)站，并簡化加密數(shù)字貨幣的支付，同時在一定程度上提供了匿名性，正越來越多地被網(wǎng)信罪犯利用。這種利用區(qū)塊鏈域名作為基礎(chǔ)結(jié)構(gòu)的安全威脅趨勢，以及所發(fā)現(xiàn)網(wǎng)絡(luò)罪犯的無可辯駁證據(jù)，必須得到重視。

區(qū)塊鏈域名的弱點(diǎn)，是需要第三方的代理服務(wù)或?yàn)g覽器插件，以將區(qū)塊鏈域名解析為IP地址。阻止或攔截區(qū)塊鏈的代理解析服務(wù)以及禁用瀏覽器插件，將使區(qū)塊鏈域名的解析能力失效。許多安全威脅情報提供惡意URL摘要，其中有時包括區(qū)塊鏈域名的解析代理或區(qū)塊鏈域名本身。

二、區(qū)塊鏈DNS的態(tài)勢與趨勢

近年來，隨著區(qū)塊鏈技術(shù)的發(fā)展，出現(xiàn)了新的價值交換方式，特別是標(biāo)記化（tokenization）、加密資產(chǎn)（數(shù)字化錢包）和去中心化的應(yīng)用程序（簡稱dAPPs），以及Web 3.0，或價值化互聯(lián)網(wǎng)（Internet of Value）。

數(shù)字化錢包和去中心化的應(yīng)用程序，使用難以被第三方破解的標(biāo)識符；例如，數(shù)字化錢包地址的標(biāo)識是：

“0x483add28edbd9f83fb5db0289c7ed48c83f55982”。

可以想象，在一個通用的域名解析系統(tǒng)中，能夠?qū)⑦@種類型的地址與域名相關(guān)聯(lián)，可能對未來的網(wǎng)絡(luò)應(yīng)用具有實(shí)用意義；或是在域名后面直接配置一個加密資產(chǎn)的錢包（wallet），或添加一個去中心化的應(yīng)用程序（dAPP），這對某些企業(yè)及其品牌的數(shù)字標(biāo)識也會很有用。

根據(jù)查詢美國專利和商標(biāo)局（USPTO）的數(shù)據(jù)庫，目前已授權(quán)的有關(guān)區(qū)塊鏈域名和區(qū)塊鏈DNS的專利申請，共366份。

1）區(qū)塊鏈簡介

“區(qū)塊鏈”（Blockchain）是一種數(shù)據(jù)結(jié)構(gòu)，分布在一個去中心化的網(wǎng)絡(luò)上；數(shù)據(jù)被復(fù)制在網(wǎng)絡(luò)的每個節(jié)點(diǎn)上，而沒有集中式的授權(quán)；每個人都有可能閱讀內(nèi)容，添加數(shù)據(jù)，甚至加入網(wǎng)絡(luò)。這個概念在2009年由“比特幣”首次實(shí)現(xiàn)，但今天有許多不同的區(qū)塊鏈技術(shù)，且各有各的特點(diǎn)。

【圖1數(shù)據(jù)區(qū)塊鏈的簡化示意】

簡單地說，數(shù)據(jù)是通過交易被輸入?yún)^(qū)塊鏈，交易被分組為區(qū)塊，然后每個區(qū)塊由網(wǎng)絡(luò)驗(yàn)證后，被匯集到一起。因此，區(qū)塊鏈包含了自其創(chuàng)建以來進(jìn)行的所有交易歷史。

網(wǎng)絡(luò)的驗(yàn)證規(guī)則被作為是區(qū)塊鏈的協(xié)議，在網(wǎng)絡(luò)中的每個成員都必須遵守該協(xié)議。為確保網(wǎng)絡(luò)驗(yàn)證規(guī)則的執(zhí)行，區(qū)塊鏈協(xié)議以“共識算法”（consensus algorithms）為基礎(chǔ)，其中廣為人知的是“工作量證明”（Proof of Work）。這些算法保證了區(qū)塊鏈上數(shù)據(jù)的完整性、不變性和安全性。

2）區(qū)塊鏈DNS簡介

區(qū)塊鏈技術(shù)可以滿足DNS的基本需求，包括：

●可用性（Availability）：一個分散式（去中心化）、對等（Peer-to-Peer）的網(wǎng)絡(luò)不能被阻止（或查封），而且可以取代或補(bǔ)充“任播”（Anycast）技術(shù)的基礎(chǔ)架構(gòu)。

●一致性（Integrity）：區(qū)塊鏈的“共識協(xié)議”在本質(zhì)上保證了數(shù)據(jù)的一致性，而且輸入?yún)^(qū)塊鏈的數(shù)據(jù)無法被修改。這些屬性將不再需要“DNS安全擴(kuò)展”（DNSSEC）及其更新（翻轉(zhuǎn)）公鑰的形式。

●保密性（Confidentiality）：讀取區(qū)塊鏈數(shù)據(jù)的請求可以被封裝在HTTPS通道中，如同DNS-over-HTTPS（簡稱DoH）協(xié)議一樣。但是，目前支持DoH的域名解析服務(wù)器尚未普及，因此DoH的域名解析數(shù)據(jù)流量僅集中在有限數(shù)量的參與者。區(qū)塊鏈提供查詢網(wǎng)絡(luò)上任何節(jié)點(diǎn)的可能性，改變了集中式域名解析的模式以及緩解了單點(diǎn)故障（SPF）的風(fēng)險。

因此，DNS區(qū)塊文件（Zone Files）中包含的數(shù)據(jù)（即域名配置）,可以被分布在區(qū)塊鏈上。每個參與者（包括：域名注冊管理機(jī)構(gòu)、域名注冊服務(wù)商）都可以直接與該區(qū)塊鏈交互以管理域名。這就是區(qū)塊鏈DNS（簡稱BDNS）的基本概念和設(shè)想。

3）區(qū)塊鏈DNS的一般狀態(tài)

目前，有一些區(qū)塊鏈DNS項目正在開發(fā)中，每個項目都有各自的實(shí)施方案。

一些應(yīng)用程序提出了對頂級域名（TLD）的新擴(kuò)展（被稱為是“另類”頂級域名），例如“.bit”、“.zil”、“.crypto”、“eth”等。其中，有代表性的是Namecoin（2011-4開始經(jīng)營）和Unstoppable Domains（2019-11開始運(yùn)營）。這些系統(tǒng)完全獨(dú)立于傳統(tǒng)的DNS和ICANN；域名注冊由用戶直接管理，域名解析一般可以通過擴(kuò)展瀏覽器完成。例如，Opera瀏覽器（1995-4發(fā)布）已經(jīng)集成了對這些域名的解析。

還有一些區(qū)塊鏈項目提出了DNS的補(bǔ)充解決方案。例如，以太坊域名服務(wù)（簡稱ENS），在區(qū)塊鏈上提供了一個與傳統(tǒng)DNS集成的域名系統(tǒng)。如果域名的持有人可以通過DNSSEC的驗(yàn)證，就可以在區(qū)塊鏈域名服務(wù)中注冊相同的域名，這使得域名服務(wù)可以結(jié)合傳統(tǒng)DNS和區(qū)塊鏈DNS的優(yōu)勢。

“另類”頂級域名“.kred”、“.xyz”和“.luxe”已經(jīng)被集成在以太坊域名服務(wù)（ENS）的區(qū)塊鏈DNS服務(wù)中，并建議和計劃為所有DNSSEC兼容的頂級域名提供區(qū)塊鏈DNS服務(wù)。這個計劃看似頗具前景，為此，以太坊域名服務(wù)最近加入了“DNS運(yùn)行，分析和研究中心”（簡稱DNS-OARC，非營利組織，成立于2003年，為DNS的運(yùn)行和安全做出了顯著貢獻(xiàn)）。

【圖2區(qū)塊鏈DNS的主要“玩家”（部分）】

區(qū)塊鏈DNS是潛在的DNS重大演變；基于區(qū)塊鏈技術(shù)，將可能帶來一些優(yōu)勢和新功能，這將有利于“去中心化”網(wǎng)絡(luò)的發(fā)展。

盡管目前有許多項目和“概念證明”（PoC）正在開發(fā)中，但是不僅業(yè)內(nèi)對此仍然沒有達(dá)成一致，而且相關(guān)技術(shù)和應(yīng)用程序還不夠成熟，無法大規(guī)模使用，需要在可擴(kuò)展性、安全性和可用性方面進(jìn)行改進(jìn)。

三、觀點(diǎn)歸納

盡管目前區(qū)塊鏈域名和區(qū)塊鏈DNS并沒有形成規(guī)模性效應(yīng)（或僅是應(yīng)用于某些垂直行業(yè)的有限范圍），但是微軟在“數(shù)字化防御報告”中，強(qiáng)調(diào)DNS的變異及其所產(chǎn)生的新興安全威脅。不能不說，微軟的這個認(rèn)定，也代表了美國政府對數(shù)據(jù)安全監(jiān)管和治理以及機(jī)構(gòu)組織（如ICANN）對域名領(lǐng)域集中管理的觀點(diǎn)。事實(shí)上，“另類”頂級域名（如“.bit”，“.xyz”等）的應(yīng)用能否被“正?；?rdquo;，區(qū)塊鏈DNS能否發(fā)揮其“常規(guī)化”優(yōu)勢和新功能，在很大程度上取決于國家和政府以及機(jī)構(gòu)和組織的態(tài)度，也是安全與發(fā)展的統(tǒng)籌與權(quán)衡；其中包括：區(qū)塊鏈DNS技術(shù)的研發(fā)尚不成熟，以及必須防范被網(wǎng)信罪犯和入侵攻擊所利用。

作為一個實(shí)例，區(qū)塊鏈DNS僅是對已顯現(xiàn)出“衰老”的傳統(tǒng)DNS的挑戰(zhàn)之一。雖然Open Nic主張的“另類”域名和去中心化DNS的“項目”已經(jīng)營了21年（且在研發(fā)的技術(shù)和應(yīng)用上確實(shí)有些“亮點(diǎn)”），但至今仍然還只是一個進(jìn)行中的“項目”（Project）。

綜上，參考觀點(diǎn)歸納如下：

1）鑒于因特網(wǎng)的歷史及其應(yīng)用的規(guī)模，以及顯著滯后的管理水平和能力，在數(shù)字化轉(zhuǎn)型的過程中，統(tǒng)籌及主導(dǎo)（和支配）安全和發(fā)展的必然是問題導(dǎo)向，問題是實(shí)踐和創(chuàng)新的起點(diǎn)。

2）應(yīng)該重新認(rèn)識并感知，當(dāng)前的“價值化互聯(lián)網(wǎng)”（Internet of Value）與傳統(tǒng)的“增值電信業(yè)務(wù)”在本質(zhì)上的差別和區(qū)別，以指導(dǎo)和引導(dǎo)前所未有的網(wǎng)信空間態(tài)勢與發(fā)展新格局。

3）必須充分意識并踐行，因特網(wǎng)以及網(wǎng)絡(luò)互聯(lián)互通業(yè)務(wù)、應(yīng)用和服務(wù)的保障，即是數(shù)據(jù)安全，亦是信息通信技術(shù)（ICT）的供應(yīng)鏈安全；因而，不存在（也不可能有）“獨(dú)門絕器”。例如，區(qū)塊鏈DNS的應(yīng)用，還需要（包括惡意）第三方的代理域名服務(wù)和瀏覽器插件的支持。

因此，國家核心數(shù)據(jù)安全的首要問題是治理，包括自上而下的思維方式和思考方法，以及“知彼知己”與“從善如流”的治理與管理之措施和流程、監(jiān)測和評估、完善和提高。

網(wǎng)絡(luò)化數(shù)據(jù)的安全治理是個“綱”，綱舉目張。

（作者：邱實(shí)，網(wǎng)絡(luò)信息安全技術(shù)專家；牟承晉，昆侖策研究院高級研究員、中國移動通信聯(lián)合會國際戰(zhàn)略研究中心主任。）