ICANN将首次更换互联网域名系统 (DNS) 加密密钥

互联网名称与数字地址分配机构(Internet Corporation for Assigned Names and Numbers, ICANN) 是一家非营利公益型企业，成立于1998年，其使命为确保全球互联网的稳定、安全与统一。当前，用户通过互联网寻找一个人的信息，必须在电脑或其他设备中键入一个地址——一个名称或一串数字。而这一地址必须是独一无二的，只有这样电脑之间才能互相识别。ICANN 则负责协调这些分布在全球各地的唯一标识符。近日，ICANN首席技术官 (Chief Technology Officer, CTO) 戴维·康纳德 (David Conrad)一行来到北京，他们拜访了相关主管部门、域名产业界，大学及学术研究机构及领先的互联网公司，进行了交流合作探讨。

8月30日，康纳德在接受采访时透露，此次北京之行的目的是与当地利益相关方和技术社群展开交流，分享ICANN在域名生态系统中所履行的技术职责，更好地理解中国在互联网技术方面取得的最新进展，并探讨与中国互联网社群在技术领域的合作。同时，ICANN将首次更换维护互联网域名系统 (Domain Name System, DNS) 根区的密钥加密密钥(KSK)，并制定了一套流程在世界协调时以前手动更换至新的密钥。

康纳德表示，全球互联网服务提供商和网络运营商均应确保做好密钥更换准备，否则，用户将无法查询域名，并且无法登录任何一个互联网网站。网络运营商们应确保自己已拥有了最新软件、部署了域名系统安全扩展 (DNSSEC)以及验证了其系统能够自动更换密钥，或已经制定了一套流程在协调世界时（2017年10月11日16:00）以前手动更换至新的密钥。康纳德介绍，ICANN已经启动了一个测试平台，确保网络运营商们能够确定在10月11日前对密钥轮转做好了充分准备。

据悉，密钥的更换又称“轮转”(rollover)，是维护全球DNS安全与稳定的重要环节。这与人们普遍接受的运营操作十分类似，即确保重要的安全基础设施能够在必要时支持密码更替一样。

ICANN亚太运营中心总经理罗嘉荣表示，近年来互联网领域出现了很多大范围网络安全事件，为了提升域名系统 (DNS) 安全性和保护 DNS服务器不受分布式拒绝服务 (distributed denial of service, DDOS) 的袭击，ICANN推广部署了更为安全的DNSSEC协议。

DNSSEC是DNS安全性扩展的缩写，DNSSEC通过将公钥密码系统引入DNS层次结构，从而为域名生成一个开放的全球公钥基础设施（PKI），以此提高DNS的安全性。DNSSEC的优势在于通过数字签名，防止暗中篡改，保障域名查询安全，从而抵御可能攻击。例如，缓存感染病毒将最终用户重定向到冒名的网站或恶意网站以收集密码，所有的实体用户都将受到影响，而DNSSEC主要优势之一就是防止缓存感染病毒。

       中国信通院互联网治理研究中心执行主任、互联网领域主席刘越表示，近年来中国市场新通用顶级域的域名注册量快速增长，约占到全球新通用顶级域市场的50%。目前，中国在新通用顶级域领域一枝独秀，域名注册总量及新域名的注册量排在全球第二位，但域名的应用水平还比较低，重要域名的系统安全也存在巨大隐患。根据《2015年域名产业发展报告》提供的资料，“涉及国计民生的60%以上域名存在安全问题，需要引起高度重视”。刘越表示，中国信通院与ICANN就DNS安全性和稳定性等议题进行了交流，双方作为彼此的合作伙伴将继续在这一领域开展合作。

此外，ICANN总裁兼首席执行官马跃然 (Göran Marby) 已向超过170位政府官员，包括 ICANN 政府咨询委员会 (Government Advisory Committee) 中的监管人员和参与人致函，请求他们通知国内的网络运营商了解密钥更替事宜并做好准备。

（转载来源：新华网）