| 中国IDC圈2月4日报道:近期,一篇题为《国际化域名IDN使网络钓鱼蜂拥而至?》的中文译文在网络媒体中传播。此文作者讨论的是ICANN即将核准使用的国际化域名(IDN)如何造成安全风险问题,认为使用IDN将导致网络钓鱼(Phishing)更难防范。 作者举出两个外形完全相同的域名eixpay.com和eixpay.com为例,在目前使用的ASCII域名环境下,两个域名指向同一个网站,不存在网络钓鱼的问题。但在IDN环境下,如果前一个域名是ASCII字符,后一个域名是俄语字符,则两个域名将指向完全不同的网站,形成了网络钓鱼。 中文域名是IDN中的一种,由于此文提到了这么一个涉及“网络钓鱼”公众利益的敏感问题,本报特约记者为此专门采访中科院网络中心首席科学家钱华林教授,因为他长期参与了国际上对IDN技术的研究与设计。 记者:钱老师,您好!想请您给大家分析一下这篇文章提到的问题。 钱教授:好的。产生问题的原因很简单,用户计算机在向域名服务系统(DNS)提交并要求解析ASCII字符集域名eixpay.com时(虽然不严格,但为简单,我们可以叫它为“英文域名”),不会对该域名作任何改动。而对IDN域名(例如俄语)eixpay.com,提交解析时,用户计算机先要把该IDN域名(在计算机内使用的编码是Unicode)从Unicode转换成一种特殊的ASCII编码,叫做Punycode码。 例如,俄语的eixpay.com转成punycode编码之后将成为 xn——80aj7anh5h.com.这样,两个同样是ASCII码的域名eixpay.com和 xn——80aj7anh5h.com,当然就指向不同的网站了。需要说明的是,前面的两个域名,人是无法区分的,但计算机是能区分的,因为英文域名是在ASCII状态下输入的,而俄文域名是在俄文状态下输入的,它们外形一样,内部编码却不同。计算机可以根据内部编码对它们加以区分。网络钓鱼实际上是欺骗人的眼睛而达到目的的。 这种钓鱼情形的产生,主要原因是在拼音文字中,不同语种的某些字母外形完全相同。例如,文章提到的俄语单词中的x与英语单词中的x,俄语单词中的p与英语单词中的p,外形完全一样,但它们在Unicode中的编码是完全不同的。单从二级域名看,两者都是eixpay,是无法区分它是英文(通常用ASCII码表示)还是俄文(通常用Uni-code表示)的,唯一可以让人能加以区分的办法,就是让它们的顶级域名不同,例如英文用.com,俄文用.pyc,这样,人就可以很容易地看出,一个是英文域名eixpay.com,另一个是俄文域名eixpay.pyc.用户在输入eixpay.pyc时,应该在俄文输入状态下进行。当然,如果在二级、三级等域名中想混用英文或俄文字母,也是可以的,只要切换到相应的输入状态就可以了。计算机进行Puny-code转码时,只转俄语字符,英文字符只复制过去就行了。 对中文(例如.中国)而言,我们考虑了与日文可能产生的混淆,例如顶级域名为“.中国”时,所有的二级、三级等域名,都默认为中文,并利用中文的异体字表作归一化处理,没有二义性。中文域名中插入英文字符时,既可作为中文体系下的全角或半角英文字母输入,也可以切换到ASCII输入状态后输入ASCII字符。当然,最好不要频繁地切换输入状态,一直在汉字状态下进行输入,不仅输入方便,计算机转换成Punycode时,也更简单快速。 记者:您能够简单解释一下什么叫“异体字表作归一化处理,没有二义性”问题吗? 钱教授:归一化处理,指的是对变体字或异体字的归一化。举例来说,“清华大学.中国”这个域名,如果你输入“清 大学.中国”或“清华大 .中国”,甚至“ 华大学.中国”等等,为防止钓鱼,它们应该指向清华大学的同一个网站。你不能要求清华大学把所有可能的异体字的组合都去注册域名(对很长的域名,不同的异体字组合可能有数十个甚至上百个)并在域名数据库里对所有组合各设立一个数据项。为了克服这个困难,设立一张异体字表。 以“清华大学”涉及的字为例,该表的内容为: 清,凊, 淸, →清 华,崋 , 華,蕐,→华 学,學 →学 无论是注册域名还是解析域名,都要把左边的字归一化为箭头右边的字,24种不同组合的域名就变成一种了。人可以输入任意一种组合,计算机把它们归一化为一种,就不会产生钓鱼问题了,域名数据库也只需保存一个数据项了。 异体字表极其重要,中文、日文、阿拉伯文等,每种语言都有自己的异体字表。这些表由各国专家制定后,要送到IANA(ICANN下的一个机构,负责分配IP地址、维护根域名数据库等)去注册。 所谓的无二义性,指的是引用异体字表时,不会出现含混,明确要引用哪张表。举例来说,域名“ 器.中国”和“器.日本”,“”字在中文里和日文里的异体字是不一样的,这两个域名作归一化时,就要分别引用中文异体字表和日文异体字表,否则就会出错。 在IDN国家顶级域名(IDN ccTLD)的环境下,一个是.中国,一个是.日本,很容易区分。但对通用顶级域名(IDN gTLD)的情形,就不行了,例如:“ 器.公司”,因为通用顶级域名是为全世界用户注册的,你看不出“ 器.公司”这个域名中的“器”是中文还是日文,也就不能确定去引用中文的异体字表还是日文的异体字表了,这就出现了二义性,系统无法正常工作了。当然,类似“ 器.com”这种域名,也一样是有二义性的。 正因为如此,我在ICANN担任董事的多年时间里,一直在不同场合的大小会议上呼吁,应先实现IDNccTLD的部署。对IDN gTLD,要等技术难题获得解决后,再开始部署。并且不应该为了等待IDNgTLD技术的成熟,而拖着不部署IDN ccTLD,因为非英语国家最急需的就是IDN ccTLD. 记者:谢谢钱老师给我们提供的专业、实用的解释! 责任编辑:admin |