专家观点 | 网络与应用双重驱动下的DNS技术演进
本文摘自《2025下一代DNS发展报告》
作者:
胡卫宏,中国互联网络信息中心高级工程师,在IEEE Network、Computers & Security等期刊发表多篇研究论文,主要研究方向为下一代互联网以及互联网基础资源。
马永征,中国互联网络信息中心技术发展所研发四部副主任,教授级高工,主持完成国家互联网基础资源大数据平台技术架构设计工作,平台入选我国互联网30周年大事记,组织推进DNS方向相关国家重点研发计划项目,主要研究领域为AI赋能的DNS安全及数据分析。
马迪,互联网域名系统国家地方联合工程研究中心(ZDNS)首席研究员、正高级工程师、国际互联网码号资源理事会(NRO NC/ICANN ASO AC)委员、亚太互联网信息中心(APNIC)路由安全SIG联合创始人、国际互联网工程任务组(IETF)域名技术专家委成员。研究方向包括互联网体系结构、互联网寻址定位技术,是3项RPKI领域IETF RFC(RFC8211、RFC8416、RFC8897)的作者。作为课题负责人,承担过国家重点研发计划项目、工信部智能制造综合标准化项目等科研任务。
李洪涛,中国互联网络信息中心党委委员、首席科学家、正高级工程师,互联网域名管理技术国家工程实验室副主任,亚太顶级域名联合会(APTLD)董事会副主席,中央网信办网信创新人才,国务院政府特殊津贴专家,国家重点研发计划项目课题负责人。主要研究方向为互联网基础资源技术、互联网大数据挖掘与分析。
当前,以5G、人工智能、卫星通信、IPv6+等新一代信息技术深度融合为特征的下一代互联网正在加速演进,同时低空经济、算力等众多新兴产业迎来战略发展机遇。网络与应用双重驱动域名等互联网基础资源演进升级,以助力释放网络潜能,促进数字经济高质量发展。在此背景下,探索研究域名发展路径,前瞻布局域名技术创新,对于推动下一代互联网演进,支撑新兴产业发展具有重要意义。
下一代互联网是域名发展重要推动力
下一代互联网的演进已成为驱动域名系统发展的主要动力。一方面,网络技术演进对域名适应能力带来新挑战;另一方面,新型应用场景对域名扩展能力提出新需求。
(一)下一代互联网的网络特征
下一代互联网的网络特征主要体现在以下几个方面。一是网络服务能力进一步提升,特别是在超低时延保障、超高通量带宽、超大规模连接等主要服务性能方面。二是安全可信成为网络架构的新基石。下一代互联网需要完整的安全可信机制,保证通信双方和网络基础设施的安全可信,以及面临网络故障和各类网络攻击下的可用性。三是网络对泛在移动的支撑能力。针对终端移动、服务移动和网络移动等方面核心需求,网络支持高频动态的无缝切换和异构切换能力。四是智能运维成为网络运管新模式。下一代互联网需通过网络、计算、存储多维资源一体化智能调度,实现网络可知、可管、可控,更好的支撑用户和网络双向匹配。五是开放自治成为网络接入新形态。更多新型网络接入及创新应用,将作为未来互联网的重要组成,共同构建多元异构的互联网体系。
(二)新型应用场景对DNS的需求
下一代互联网承载了移动网络、算力网络、低空网络、Web3等新型应用场景,对DNS技术演进提出了多种需求。一是5G网络的性能和移动性需求。5G网络具备大带宽、低延迟和海量连接等特性,要求DNS的性能与之相适应。5G边缘计算技术的成熟和应用,对DNS的调度能力和移动性支持提出新的要求。二是算力网络中的资源调度需求。算力网络核心目标之一是实现算网资源的高效灵活调度。基于对资源的有效感知,DNS智能解析可在算力资源调度中发挥重要作用。三是无人机的远程识别需求。低空经济逐渐成为我国经济增长新引擎,无人机标识和远程识别成为低空安全的关键,DNS可作为无人机监管的有效抓手,满足监管对无人机远程识别和跟踪的需求。四是Web3的异构标识融合需求。各Web3域名系统采用的技术体系各不相同,带来“技术孤岛”问题,促进Web3.0域名异构化解析技术体系融合发展,是DNS技术发展中需解决的问题之一。
下一代域名系统顶层框架
面向下一代互联网,DNS将作为承载万物互联的智能网络中枢,向下对接信息网络基础设施的升级,向上支撑新型应用场景和数字经济发展。下一代DNS技术将向着具备全面感知、智能决策、弹性部署、安全可信等能力的方向持续演进。基于下一代互联网域名背后的驱动和发展逻辑,本文提出下一代域名系统的顶层框架,从连接泛在化、解析智能化、架构弹性化、以及安全一体化等方面,为域名系统如何适应下一代互联网体系结构演进以及新应用复杂不确定性演进给出参考。
下一代域名系统顶层框架
(一)全域连接:面向全场景的泛在标识接入
作为互联网的重要“汇合点”,下一代域名系统是承载万物互联的智能网络中枢,需要能够支撑广泛的互联网应用,满足传统互联网、算力网络、物联网、Web3等不同网络的应用需求。针对不同网络应用的命名与解析需求,将异构资源标识(例如网络标识、设备标识、算力资源等),通过域名系统实现注册查询、服务发现、订阅发布、解析中转、可信识别等功能。
注册查询。是域名系统的基础功能,主要实现域名和IP地址的相互映射与解析查询。
服务发现。基于DNS-SD、mDNS等技术,网络中的设备和应用程序能够声明所提供的服务,客户根据所需服务的类型、属性等描述信息以及网络状况,能够动态发现定位并使用服务。
订阅发布。通过持久的会话管理和订阅机制,服务端能够在记录更新时主动推送信息,减少客户端轮询请求,提高了处理效率,在算力网络中可实现算网资源信息的高效发布与更新。
解析中转。Web3存在多种异构去中心化域名系统,下一代域名系统需建立统一的命名空间,将不同技术体系的解析请求中转到相应系统,保障名称解析过程的一致性和透明性。
可信识别。将无人机与域名资源绑定,无人机运行时,通过DNS“认证基础设施”能力,对无人机身份标识和消息进行验证,实现无人机的可信识别和追踪。
(二)智能解析:基于网络和算力的智能调度
传统DNS智能解析是指在CDN等网络中,DNS服务基于源IP等用户位置信息对网络服务进行就近调度的技术。应用感知网络(APN)、算力网络的兴起,推动DNS智能解析技术不断进化。下一代DNS系统需将算力资源与网络时延同时纳入智能调度的范畴,利用网络的可编程能力(SRv6分段路由等),通过算网信息的协同,实现算力和网络传输路径的联合优化调度,提高用户体验。
在IPv6+网络,DNS服务可感知应用对网络的需求,并选择合适的服务IP地址以及网络策略返回应用,将网络策略直接写入报文的SRv6字段传递给网络设备,从而实现网络传输路径基于应用需求的优化选择。而对于算力网络,应用发送域名解析请求时可携带APN信息,DNS服务解析得到应用对网络和算力的需求,然后通过对算力感知网络的资源感知,获取可用的算力资源,DNS资源管理与调度模块综合考虑网络与算力状态等因素,选择合适的算力资源地址返回。至此,通过DNS的智能化调度,实现了传输路径的优化与算力资源的分配,为应用与服务提供端到端的服务质量保证。
(三)弹性架构:基于云原生的灵活部署范式
传统域名系统采用“客户端-本地递归-权威”三层解析架构,递归服务通常由ISP部署在区域中心,服务本地用户。这种三层结构使得解析系统易于扩展,并且能够提高解析性能。随着云计算、移动互联网的发展,业务场景和种类变得复杂多样,不同业务对调度精度有不同要求,而移动性(包括终端移动、服务移动以及网络移动)是影响调度准确度的主要因素。传统三层结构难以满足这种业务需求。针对下一代互联网云计算、边缘计算等场景特点,下一代DNS可采用云原生技术部署服务系统,实现解析架构弹性化。对于移动互联网场景,递归上移至更接近服务的云计算中心,与权威服务趋向于融合,同时在用户与解析服务之间采用更为复杂的传输协议,允许解析请求携带更多的网络与位置信息,以便解析服务实现准确调度。
随着5G的快速发展以及应用的持续深化,部分云计算资源逐渐被下沉至靠近用户的网络边缘,形成分布式的边缘计算新态势。基于云原生技术,DNS可与边缘计算技术融合,实现网络边缘灵活部署和高效解析。一方面,DNS可将功能模块下发到更接近用户以及边缘服务的地方,在网络边缘将用户请求调度至最近的服务,实现服务的本地优化调度;另一方面,用户配置或注册信息可通过编排器下发至边缘解析模块,实现数据的动态更新。
(四)协同防护:PDNS与网络安全防御的融合
域名作为互联网服务访问的入口,是感知网络威胁并实时阻断的第一道防线。DNS基础数据是用于分析网络威胁情报的重要数据源,网络威胁情报信息也可作为重要的情报源用于DNS安全防御。DNS与不同网络安全实体或系统之间通过信息共享、协调行动和资源整合,可显著提升整体网络安全防护效能。
防护性DNS(PDNS)作为下一代域名系统的重要组成部分,可识别和记录可疑DNS查询,并基于安全策略修改应答内容,从源头阻止具有安全威胁的域名访问。下一代DNS的防护性功能可与其他网络安全方案进行融合,补充和扩展现有的安全防御措施,有效提升防御体系的智能化水平和防御效果。PDNS与安全信息和事件管理(SIEM)集成,可实现一站式事件分析调查与报警事件分级分类;通过为安全协调、自动化和响应(SOAR)平台提供重要的安全事件信息,能够与平台进行联动,实现安全事件的快速响应。这种多维度协同机制通过资源整合与流程优化实现了整体防御效能的提升。
结语
随着下一代互联网体系架构的演进和新型网络应用的蓬勃发展,域名系统在安全性、性能、智能化及泛在连接能力等方面面临更高要求。为应对这些挑战,本文提出下一代域名系统的顶层设计框架,旨在系统性解决上述问题,并为DNS技术的持续演进提供可实施、可扩展的参考架构。