论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊

admin
admin
admin
102795
文章
87
评论
2023年6月29日23:40:45评论10 views字数 6980阅读23分16秒阅读模式
论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊
论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊
论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊
论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊
论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063


论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊


文 | 美国计算机科学公司东亚地区总监 关奕斌(Alban Kwan)
互联网就像一个活的载体,能够自我演变。如果要治理一个不断变化的环境,必须先理解其演变的规律,因为每个发展的方向所需参与的技术社群和组织也不一样。在 Web1.0 阶段,治理需求大多为技术上和知识产权上的,而参与者是互联网名称与数字地址分配机构(ICANN)和政府或政府相关组织(如工业和信息化部、各地注册局等)等;在 Web2.0 阶段,网络治理的责任被转向私人企业,特别是运营社交媒体的互联网企业,且治理的方向转向言论自由、政治极化、网络安全等领域。因为缺乏非政府组织作缓冲,政府与私人企业之间的治理责任冲突更加明显。近年来,有观点认为,元宇宙或者 Web3 将会是互联网的未来。但是,互联网的演变在某程度上是不为人所控的。互联网从 Web1.0 到 2.0 的演变并没有“有型之手”在背后操控,而互联网的未来究竟是走向互联网之父蒂姆·伯纳斯·李(Tim Berners-Lee)所倡议的语义网(Web3.0),还是虚拟货币支持者所推崇的 Web3,还是未知之数。人工智能可能让语义网的概念重新得到大众的关注。互联网的演变是由所有参与者按照自身使用习惯和利益结合而成的。互联网的演变比现有的所有治理立法过程要快,它没有既定的程序亦没有可控制的机制。如果想在不可预测的环境制定兼容并包的政策,最重要的是要了解其基础架构。因为无论互联网如何演变,它都必须遵从自身的基础概念与架构,古今一辙。


一、理解互联网的基础逻辑

互联网是一个全球计算机网络,使用标准协议和数据传输方法互联互通。美国思科公司发表的有关互联网基础问题的文章指出,“事实上,我们每天都依赖互联网的核心协议,如边界网关协议(BGP)和域名系统(DNS)。它们是互联网的基础”。通过 BGP 理解互联网的基础逻辑,可以分析互联网治理的一些原则。

自治为“点”
BGP 的核心概念是自治体系(AS)。每一个网络服务提供商都是“自治体”,拥有授权拥的 IP 地址。如何管理地址、处理纠纷等,都由自治体自行决定。每一个自治体就像一个“点”,大小不一;点与点之间会互相连结,形成众多“线”,互不从属,只要在技术协议上不冲突,就能建立起最复杂而又最有韧性的网络。“自治”就是互联网的基础之一。这是分析互联网其他层面如网络内容的基础。每当一个域名被分配之后,它就成为一个自治系统,而网站上的内容如何,并没有任何统一的规管。可以将一个小型网站理解为一个小的点,而大型网站如 qq.com、google.com 等则是一个大的点。
这些自治体是如何处理互联网治理的问题呢?以互联网假货销售为例,在现行的互联网治理流程中,处理假货问题属于网络平台、投诉方和他们客户之间的问题。如何判定对象是否出售假货、判定后如何执行、执行的力度有多强等,都属于互联网平台的自治范围。不少团体或政府组织对平台这种自治机制颇有微词,平台本身也并不见得特别希望承担这种自治责任,但是,在互联网作为一个整体的环境下,大部分国家在面对假货销售这个问题时,大都采取“自治”的治理框架。
关系为“线”
BGP 的架构中有一个特别且不见于其他互联网体系的元素——商业关系。自治体系间的信息流通完全依靠商业关系处理。供货商会签订网络对等协议(Peering agreement),协议双方能够通过 BGP 让数据通过对方的网络架构。互联网就是用这种错综复杂的“商业协议关系”让信息能够到达世界的任何一个角落。ICANN 的网络治理模式其实也体现了这种协议关系。
ICANN 和每一个注册商或者地区性注册局(ccTLD)都以协议关系为基础,按照 ICANN 的术语就是缔约方(Contracting Party)。BGP 的协议含有较高的商业成分,ICANN 的协议虽然也有商业成分,但是在现实的治理中重点偏向合规。离开了 ICANN 架构,这种商业协议关系在互联网治理中似乎并没有正式的角色,但是,在现实的治理中往往衍生微妙的效果。
上述关于互联网假货问题的例子表明,若假货出现在网络销售平台,就会涉及三个关系方:品牌或投诉方、平台或中介方,以及侵权方或假货售卖者。中介和售卖者之间都是存在商业关系的,但是品牌和平台并不一定存在商业关系。因为假货治理问题的本质是以“自治”为治理架构,平台和售卖者的商业关系在某程度上便会影响治理结果,特别是在没有外力(如国家立法)介入的情况下。要处理这种关系所衍生的治理偏颇,品牌方和平台方也会展开平台治理合作,往往也涉及商业考虑。这种关系的建立在某程度上抵消了第一种商业关系所带来的潜在影响,从而让整个治理模式趋向平衡。
总体看,可以把 BGP 的技术架构总结为“自治为点、关系为线”两个基础原则。在现实的互联网治理流程中,这两个原则也起到一定的作用。以广泛受到国际关注的互联网治理问题——DNS 滥用——为例,可以分析和理解这两个原则是如何实施的。


二、DNS 滥用及其政策发展

DNS 滥用是一个模糊的概念,缺乏全球公认的定义。该术语主要源于 ICANN 与注册管理机构运营商之间达成的标准注册管理机构协议,其中规定了运营商必须遵守的一系列“公共利益承诺”。具体而言,规范 11(3)(b)规定,运营商有义务主动进行技术分析,评估域名是否被用于实施安全威胁。但是,规范 11 关于什么构成此类威胁的定义并不明确。DNS 滥用相对比较通用的定义是指利用 DNS 协议进行恶意活动的行为。这些行为包括五种类型:恶意软件(如勒索软件)、僵尸网络攻击、网络钓鱼、网络劫持和欺骗(pharming)以及垃圾邮件。

DNS 滥用是一种常见的网络攻击,可以通过各种方式进行,目的是欺骗用户,使其访问恶意网站或下载恶意软件。DNS 滥用近年重新引起大众关注。在最近几次 ICANN 会议上,DNS 滥用都是重要议题。不少国家和地区也开始关注这个问题,例如欧盟。虽然 DNS 滥用涉及上述五种类型,但是重新引起大众关注的原因主要是网络钓鱼。具体地说,大众所关注的是如何通过 DNS 滥用解决现有的钓鱼网站或钓鱼邮件被移除的时效问题。
ICANN 在 2008 年开始讨论 DNS 滥用的问题,历时 15 年而无功。在这 15 年间,互联网已从 Web 1.0 发展到 Web 3.0。这可以反映互联网治理问题的复杂性,也反映了现有的治理体制存在一些弊端。那么,对 DNS 滥用的治理又是如何展开的呢?
多利益相关方
DNS 滥用议题主要体现在 ICANN 的多利益相关方模式(Multistakeholder model)。多利益相关方治理模式是一个自下而上的治理系统,每个利益相关方都有机会发表自己的意见并制定政策。在理论上,这个自下而上的治理系统理应可以平衡各方的利益从而达致有效管治。在 ICANN 框架下,多利益相关方主要是包括以下类别:注册管理机构群体(RySG)、注册服务机构群体(RrSG)、政府组织(主要以 GAC 代表但也包括各地政府组织自行进行研究和推动)、公民组织和知识产权群体。而且,各群体都有不同的看法。
从互联网政策发展的角度看,关于多利益相关方的组成,有两个主要的疑问:各利益相关方的权力是否平衡,以及是否所有利益相关方都已参与其中。就第一点看,ICANN 群体主要参与者是注册管理机构和注册服务机构,虽然在结构上已尽量取得平衡,但是在现实参与程度上,这两类型机构明显占优。就第二点看,社会对 DNS 滥用的讨论甚为缺乏。虽然 ICANN 有机制吸纳各方声音,但是这种参与完全出于自愿。在社会对 ICANN 运作缺乏认知的情况下,可能出现不少利益相关方在不知情的情况下没有参与其中。最好的例子就是银行界,银行业是钓鱼问题的最大受害者,但是在现行的讨论场景中,似乎看不到业界的参与。另一个缺乏参与的群体就是虚拟主机服务群体。大部分 DNS 滥用是通过虚拟主机群体进行的,但是因为这个群体并不在 ICANN 架构底下,所以没有充分参与。
政府推动
政府在现行的 DNS 滥用讨论中扮演非常重要的角色。政府本身可以通过立法推进所期望的互联网治理规则。因为政府有公权力,所以他们的地位在多利益相关方框架下是超然的。这种权力也是反对方愿意协调的其中主要原因之一。如果 DNS 滥用问题真的不能在现行架构下解决,那么部分国家的个别立法会导致互联网分裂(InternetFragmentation)。这种不同国家有不同法规的情况会导致业界的营运成本大大提高,因此被业界认定为是最差的结果。业界因为希望避免最坏的情况发生,进而推动了这个延续 15 年的讨论。
定义
ICANN 群体在讨论 DNS 滥用的过程中,花费了大量时间争议 DNS 滥用的定义。最大的争议点在于互联网内容是否属于 DNS 滥用的一种。例如,一个钓鱼网站使用一个与某银行近似的域名,试图欺诈用户。在定义上,这个域名属于 DNS 滥用的一种,问题是这个个案之所以构成欺诈,是因为网站内容构成欺诈。假设同一个域名被注册,但是它不具有任何内容。这种情况在现行的定义下基本上无法构成 DNS 滥用,因为域名本身近似银行的品牌并不代表它必然会被用于欺诈。
可见,“内容”在法律理念上是构成滥用的一个主要元素。但是,ICANN 的章程有明文规定不能规管网络内容,而网络内容的规管又会引发许多法律问题,如言论自由、中介免责权等。因此,DNS 滥用应否排除任何对“内容”的考虑在国际社会一直存在争议。现行的争议主要分为两大阵营:一方面认为,DNS 滥用只应处理技术上的滥用问题,另一方面认为,单纯处理技术性滥用并无助于处理社会所面对的影响,业界不应过分避免任何关于内容的讨论。
厘清责任
DNS 滥用这个议题始于 ICANN 规范 11(3)(b)的要求,所以,一个主要的解决方案是厘清11(3)(b)所确立的责任。其中,许多群体希望在 ICANN 和注册服务机构的合约中进行修改,加强对注册服务机构 DNS 滥用的规范。不少利益相关者支持合约修改,因为 DNS 滥用本身已经是合约禁止的,但是因为合约没有厘清定义亦没有具体说明不遵守的后果,以致在执行中并不能解决DNS滥用问题。因此,“责任”一词变成主要的议题。
虽然 ICANN 有自下而上的治理体制,但是讨论这一问题的后果是衍生出一种自上而下的合约要求。某些利益相关者认为,这种自下而上的合约责任会对业界产生不能预计的成本。如果将 DNS 滥用视为一种成本,那么成本效益、成本控制将是主要考虑因素。这意味着,中介服务商(如注册商、注册局等)会偏向只做合约所要求的,而缺乏弹性。在互联网高速变化的环境下,如果中介服务商的处理缺乏弹性,或许会适得其反。
美国《通信规范法》第 230 条的一个原则是要让中介服务商拥有免责权,能够弹性处理网络问题。当然,第 230 条也有缺陷。至少,这个原则未能解决现在美国发生的互联网治理问题。关于 DNS 滥用的定义和范围的争议不断,包括以“合约责任”处理一个定义模糊的问题是否现实。无论如何,“责任”将会是互联网治理的一大难题。
体制外的推动
近年来,DNS 滥用的一个主要推动力是 ICANN 体制外的推动。2021 年,公益域名注册机构(PIR)推动成立了域名滥用机构(DNSAI)。DNSAI 是一个推动 DNS 滥用具体落实的非盈利组织,除了发表研究报告外,还投资推动一些帮助群体提供处理域名滥用所需的技术支持。另一个例子是台湾网络资讯中心(TWNIC)和亚洲顶级域名机构 DotAsia 两家注册局签订的域名滥用的框架协议。他们希望在ICANN体制外先行推动处理域名滥用的私人协议。


三、关于 DNS 滥用的争论点

总结 DNS 滥用的政策发展,主要存在三个争论点:技术滥用与内容、自上而下与自下而上,以及责任与义务。互联网的“网”是点与线交织而成的,“点”是不同的自治体,“线”是他们中间的商业关系。这个概念可以影响上述三个 DNS 滥用的争论点。

自治
DNS 滥用的现实操作涉及三方:滥用者、中介和监管机构。现行的政策讨论集中在监管机构(如ICANN)的框架下,产生自上而下的规管压力。如果要贯彻自治的原则,则必须在滥用者或中介层面进行操作。显然,滥用者不可能自我完善,否则就不会存在滥用行为。故此,需要衡量中介是否能采取有效自治措施制止 DNS 滥用的发生,以及监管机构如何鼓励并进行有效的自治。如果能满足这两个条件,自治就可以成为良好的互联网治理元素。
有效的自治其实可以依据美国《通信规范法》第 230 条确立的原则,即让中介服务商拥有免责权,使他们能自我处理互联网问题。一般意义的“出版人”需要对所出版的内容负责,因为他们进行了审核。假若互联网中介因接受了投诉而移除 DNS 滥用的域名,那他们便可能因审核工作而受责。第 230 条确立的是任何互联网中介都没有“出版人”责任,因此可以进行互联网审核工作。第 230 条作为建立互联网的核心法规之一,就是要通过免责释放互联网中介的自治能力。这种自治能力是有弹性的,既能保障言论自由,又能处理日新月异的互联网问题。
如果在 DNS 滥用的议题上确立“自治”原则,则有望缓解“技术滥用与内容”的争议。支持限制技术滥用一方的主要论据,就是要避免从上而下的硬性规定破坏了第 230 条所保障的言论自由和弹性。可是,如若只需要确立“自治”原则,那就不用讨论 DNS 滥用的问题了,因为现行的方法已经是“自治”的。DNS 滥用议题被重视,正是因为现行的“自治”方法存在漏洞。因此,需要解决如何鼓励监管机构进行有效的“自治”问题。
商业关系
“自治”原则下建立的体制并不是基于法律责任和风险,而是基于义务。在现实环境中,中介投放至 DNS 滥用的资源实质上是一种商业考虑,包括投诉量、反投诉量、投诉方的影响力、政府压力、盈利、自身客户群的反应等。这也是现时中让中介自行处理 DNS 滥用行之无效的原因之一。例如,通信软件 Telegram 以维护言论自由成功吸引不少支持者。在同样的“自治”原则下,相比其他同类型平台,Telegram “义务”处理的投诉量和投诉类别都会偏少。有报道说,Telegram 现在是销售网络钓鱼工具和服务的首选。2023 年 2 月,Telegram 创始人兼首席执行官帕维尔·杜罗夫(PavelDurov)表示,可能会关闭一些未经证实的信息托管频道。在受到订阅者的批评后,他在不到一个小时后撤回了这一威胁。显然,Telegram 在选择“义务”处理那些投诉时,会出于自身的商业考虑作出调整。在 DNS 滥用的议题上,不少注册商也会因为同样的原因而选择处理那些投诉。
由此可见,为建立良善的互联网治理模式,可以依据第 230 条原则规范中介的治理“义务”,参考互联网基础架构下的 BGP 管理模式。BGP 的整个架构充满大大小小的商业关系,商业利益是维护整个 BGP 网络治理平衡的关键点。若某个自治体的 IP 资源被滥用,除了考虑自身的商业利益外,还要考虑与其关联的自治体是否会因失去信任而中断合作,从而鼓励所有参与者保持高水平的“义务”。当然,BGP 所处理的问题相对简单,如何在互联网的其他部分实现,亦有待研究。
从商业角度看,DNS 滥用可以理解为一种成本转嫁。滥用方的行为对受害者来说构成一种成本,受害者或他们的代理人通过投诉把成本转嫁至互联网中介(如注册商)。互联网中介并没有能力转介成本,因此,出于商业考虑投入适当的成本建立自身的法规并处理投诉。注册商和注册局群体草拟的域名滥用框架(DNS Abuse Framework)倡议提出的“可信通知者”机制,可以应对 DNS 滥用问题。“可信通知者”需要有公认的专业知识、高准确率的业绩,以及严谨的投诉流程。
如果业界实施“可信通知者”机制,注册商可把投诉处理成本转移至可信通知者。“可信通知者”通过本身的专业优势把成本转化成效率,从而降低受害方的成本和损害。因此,三方需建立切实的商业关系并定义各方的责任。中介在这种架构下可维持本身的自治权力,保持治理的弹性,但是,在这个架构下中介会有更多以商业利益平衡互联网治理的“义务”。


四、结 语

互联网治理影响每一位互联网使用者,并涉及激烈的争议问题。例如,DNS 滥用就是其中一个经过 15 年议论仍无结论的议题。分析 DNS 滥用的政策进展和总结主要的争议点,并且引用互联网基础技术架构 BGP 的“自治为点、关系为线”原则,可以剖析这两个原则如何缓解争议并提高互联网治理的效能。

美国《通信规范法》第 230 条提及“自治”原则。该条例通过确立中介的免责权而建立有弹性的、能处理互联网问题的治理框架。“自治”原则下建立的体制并不是基于法律责任和风险,而是基于义务。由于缺乏义务相关的规范,以致衍生出各种治理问题。BGP 通过复杂的商业关系,互为犄角也互为监察,恰恰鼓励了所有参与者保持高水平的治理“义务”。
业界在 DNS 滥用议题上应更多地考虑如何鼓励各参与者通过自治弹性处理各类型滥用问题,而无需纠结 DNS 滥用的定义是否只涉及技术性滥用或是否应该包含内容滥用。业界还应重新评估商业关系和利益在互联网治理中的作用。建立良好的“可信通知者”机制可以通过商业关系实现逆向成本转移,从而鼓励互联网中介更有效地处理 DNS 滥用问题。

(本文刊登于《中国信息安全》杂志2023年第5期





《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊

原文始发于微信公众号(中国信息安全):论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月29日23:40:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   论坛·原创 | 从域名系统滥用看互联网治理模式的利与弊https://cn-sec.com/archives/1844059.html

发表评论

匿名网友 填写信息