2、ENUM顶级域问题之争

　　尽管RFC2916指定.e164.arpa做为ENUM的顶级域，但是ITU对此却存在着争论，一些国家认为应该选择其他的TLD做为ENUM的顶级域。

　　ENUM顶级域问题之争表现在下述两个方面：

　　首先，表现为ITU和ICANN对ENUM顶级域控制权的争夺。

　　这实际上是ITU与ICANN等互联网网络资源管理组织之间的利益之争。由于网络域名由ICANN来管理，而E164国家码的分配和管理都是由ITU来负责的。按照RFC2916的建议将E164号码资源以FQDN形式（ENUM域名）插入到互联网的DNS系统中，必然会涉及到ENUM域名的管理权和控制权的归属问题。从本质上讲，这是传统电信网和互联网不同管理模式之间冲突的外在表现，互联网是开放的、弱管理的网络，而电信网络是一个可管理、可控制的网络，当两者融合以后，两种管理模式发生了冲突。

　　其次，表现为各国政府对美国控制的DNS系统的安全性存在顾虑。

　　各个国家所拥有的E164号码是各国的独有资源；而.arpa域服务器的所有权是美国商务部，而且其原本是由美国军方控制并使用的，当将E164号码挂在ENUM顶级域（.e164.arpa）下面时，这种方式的安全性受到怀疑。目前我国政府反对将.e164.arpa做为ENUM顶级域就是出于这种考虑。

　　针对上述争论，目前在ENUM顶级域的选择问题上，在ITU（SG2）中存在下述三种意见：

　　一种意见是同意以.e164.arpa做为ENUM顶级域；一种意见是各国在自己能够控制的ccTLD中设置各国的ENUM顶级域，如中国的ENUM顶级域为.e164.cn；另外一种意见是建立一个新的独立的由ITU来管理的DNS系统，并在其中设置ENUM顶级域。

　　在上述三种意见中，第三种意见的现实可行性比较差；而前两种意见均不能完全摆脱美国对DNS根服务器的控制，以及由此而带来的对各国ENUM业务安全性的威胁。目前在ITU支持第一种意见的国家越来越多。

　　本文提出了一种新的ENUM顶级域问题的解决思路，按照这种思路可以在ENUM域名解析时绕开美国控制的根服务器和ICANN控制的ENUM顶级域（.e164.arpa）服务器，从而避免美国通过对这些服务器的监测而获得有关主机或相应DNS服务器的信息。

二、解决ENUM顶级域问题的基本思路

　　 解决ENUM顶级域问题的基本思路如下：

　　采取各种措施，达到在解析ENUM域名时可以不访问DNS根服务器（.）和ENUM顶级域（.e164.arpa）的目的。

　　这种解决思路的优点在于：

　　 按照这种思路，可以实现在ENUM解析过程中不访问ENUM顶级域（.e164.arpa）服务器，从而使得究竟选择哪个DNS域做为ENUM顶级域变得无关紧要。也就使得ENUM顶级域之争变得毫无意义。
 
三、解决ENUM顶级域问题的具体方法

　　与ENUM顶级域问题的基本解决思路相对应，ENUM域名解析过程中绕开ENUM顶级域的具体措施如下：

　　（1）要求电信网络内的所有DNS服务器均设置为“递归模式”。

　　即要求DNS服务器在接收到来自终端的ENUM解析请求时，如果其自身能够解析则直接范围解析结果；如果其自身不能解析这个请求，则其负责与其他ENUM服务器联系获得解析结果，并反馈给终端。

　　这样可以很大程度上避免终端对ENUM顶级服务器的直接访问。

　　（2）要求网络内的所有DNS服务器均缓存243个国家级ENUM顶级服务器的记录。

　　 下面以BIND 9.2.1的DNS服务器为例，来介绍DNS服务器配置的修改。

　　 在named.conf （DNS服务器主进程named的初始化配置文件）文件中的最后一行加入如下记录：
　 　zone “.e164.arpa” in {
　　           type hint
 　 　         file “db.enumTLD”
　　    }
 　　在文件db.enumTLD中添加如下内容：
　　 .6.8.e164.arpa  IN  NS  cn.ENUM_ROOT.NET
 　　cn.ENUM_ROOT.NET  3600000 A   198.8.8.8
 　　//上述两行配置了中国的ENUM顶级服务器的名称和地址
　　//下面可以仿照上述配置完成对其他国家的国家级ENUM顶级服务器的名称
　　//和地址的配置。

　　在所有DNS服务器中db.enumTLD文件的内容是一样的。可以统一配置供所有DNS服务器下载。

　　由此可见，实现对243个国家级ENUM顶级服务器的记录的缓存实现难度并不大，DNS服务器的配置工作量也不大，而且不需要对现有DNS服务器做软件（如果已经支持NAPTR记录类型的话）或硬件进行特殊的改动。

　　（3）可以在网络的出口（接入、汇聚或网间接口）处对访问ENUM顶级服务器（.e164.arpa）的DNS请求信息重定向到国内的ENUM顶级服务器。

　　这个措施的根本出发点是避免终端直接发起对ENUM顶级服务器（.e164.arpa）的访问，避免可能存在的ENUM顶级服务器（.e164.arpa）对解析请求信息监测。提高ENUM解析过程的安全性。

　　（5）国家级ENUM顶级服务器中数据TTL要无限长，其只有手工可以改动。

　　这个措施可以避免由于TTL归零，而带来的国家级ENUM顶级服务器的记录信息的失效。

　　通过上述措施的综合采用可以达到在ENUM域名解析过程中不访问ENUM顶级域的目的，消除了由于美国对ENUM顶级域服务器的监测而可能带来的安全隐患。

四、ENUM顶级域问题的误区

　　 目前业界对ENUM顶级域问题的认识存在着误区，澄清一些基本概念、纠正一些错误认识对于ENUM技术的发展有着至关重要的意义。

　　 目前的主要误区包括：

　　1、 ENUM顶级域在ENUM业务开展中的作用被夸大了。

　　――在实际运营过程中，对ENUM顶级域服务器的访问量并不大，因此ENUM顶级域服务器的崩溃或停止服务不会对ENUM服务带来致命的影响；

　　――没有ENUM顶级域服务器就不能开展ENUM业务吗？不用.e164.arpa或.e164做为ENUM顶级域，而采用网状结构的、直接以国家级ENUM顶级域为国际ENUM顶级域是否可行？答案是肯定的。

　　――采用.e164.arpa做为ENUM顶级域确实存在安全隐患，但是通过一些有效措施的采取可以消除这种隐患。

　　2、 不要简单的认为gTLD顶级域所存在的问题在ccTLD顶级域和ENUM顶级域中也存在。

　　gTLD顶级域所存在的问题与ccTLD顶级域和ENUM顶级域中的问题有着本质的区别：

　　――gTLD顶级域的下一级域名的数目是无限的，因此不可能在一个gTLD顶级域服务器中缓存所有的下一级域名。这样域名解析必须依赖DNS根服务器和gTLD顶级域服务器。

　　――ccTLD顶级域和ENUM顶级域的下一级域名数量是有限的，也是相对固定的（共243个），因此可以在ccTLD顶级域服务器和国家级ENUM顶级域服务器中缓存其所有的下一级域名。这样在域名解析时就完全可以不必依赖于DNS根服务器和ENUM顶级域服务器，也就是说，完全可以在域名解析时不访问DNS根服务器和ENUM顶级域服务器。

　　3、 关于采用.e164.arpa做为顶级域还是设立独立的ENUM顶级域的争论意义并不大。

　　――无论是采用.e164.arpa还是在根服务器下设立一个单独的.e164来做为ENUM顶级服务器，均没有消除美国对DNS根服务器控制所带来的安全隐患。

　　――自从DNS系统建立以来，域名管理机构进行了频繁的改革，机构改革的目的均是要摆脱美国对DNS系统的控制，但是均未取得根本性的成功。因此目前比较现实的做法是在由国家可以控制的国家级ENUM顶级域内，采取措施来削弱ENUM顶级域服务器对ENUM域名解析过程的影响。

五、总结

　　（1） ENUN顶级域服务器崩溃或停止服务对于ENUM业务的并不会造成致命的影响。

　　（2） 可以采用.e164.arpa或其他TLD做为ENUM顶级服务器。ENUM顶级服务器对于ENUM域名解析过程的安全性和服务质量影响较小。

　　（3） 一定要坚持对.6.8.e164.arpa域的控制权和管理权。国家级ENUM顶级域服务器对ENUM域名解析过程的安全性和服务质量有着至关重要的影响。

　　（4） 可以采取一些措施，在ENUM域名解析时，绕开对ENUM顶级域服务器的访问。

　　（5） 为了避免由终端发起的直接对ENUM顶级服务器的访问，可以在网络汇聚层（POP）或网络出口处对这种请求进行重定向。