背景介绍

2011年6月20日，ICANN正式通过新通用顶级域名（NewgTLD）批案，任何企业、组织都有权向ICANN申请新的顶级域名。这项历史性决议将给互联网的样式和运行模式带来巨大变化。在新通用顶级域名时代，为了保证互联网域名系统的正常运转，即便在遭遇物理攻击或注册商经营失败的情况下也要保证互联网服务的连续性，ICANN出台了一系列针对于新通用顶级域的安全机制和资格认证。其中，DataEscrow即数据托管，是ICANN对新通用顶级域申请人的一项新要求。1

价值和意义

随着新通用顶级域名计划的推出，越来越多的新域名注册管理机构也将随之诞生。而当某个注册局技术、运维以及财务等出现风险问题时，可能会导致某新通用顶级域名陷入瘫痪无法正常运营，从而令应用于该顶级域的网站和服务瘫痪。

为保证全球互联网域名系统的正常运转，ICANN明确要求新通用顶级域需要支持IPv6和DNSSEC并制定了一系列的“游戏规则”——在正常情况下，新通用顶级域注册管理机构们根据ICANN指令，将注册信息等数据实时传送给与自身没有隶属关系或股权关系的第三方机构，即DEA；当某个新通用顶级域注册管理机构遭遇攻击或不能正常运转时，DEA根据ICANN指令，将该机构最新的数据信息传送给EBERO（应急托管机构），该EBERO接到ICANN指令后，在24小时之内接管该顶级域的运营，保障该机构顶级域正常解析，确保用户正常访问。3

因此，DEA在保护新通用顶级域名注册数据安全和构建新通用顶级域安全运营体系中，起到了不可替代的重要作用。

新通用顶级域DEA

新通用顶级域DataEscrowAgent（DEA），2014年2月21日，ICANN正式认证中国互联网络信息中心（CNNIC）成为新通用顶级域数据托管服务机构，ICANN对DEA机构资质的审核极为严苛，CNNIC是亚太唯一一家认证数据托管服务机构。

中国互联网络信息中心

CNNIC是经国家主管部门批准，于1997年6月3日组建的互联网基础资源管理和服务机构，行使国家互联网络信息中心的职责。4

数据托管原理

本质上，数据托管服务主要分成接收数据、数据验证存储和数据转让等步骤：

（1）数据接收

数据托管机构按照指定的电子邮件地址将用于注册机构运营商压缩数据的公钥分发给注册机构运营商及ICANN。确认收到另一方电子邮件确认的公钥，数据托管机构随后将通过离线方法（如个人会议、电话等）重新确认传输的密钥的真实性。

数据托管机构每个星期日23:59（世界标准时间，UTC）之前接收注册机构运营商的完全寄存数据；周一至周六23:59（世界标准时间，UTC）之前接收注册机构运营商的差异寄存数据。同时还要规定上传文件的大小，并可接收拆分上传的文件。

可通过SFTP、SCP、HTTPS等方式接收上传的托管数据文件。经ICANN授权，也可以使用物理方式（如CD-ROM、DVD-ROM或USB存储设备）实现数据交付。等待接收注册机构运营商提交的书面声明（可以通过经验证的电子邮件提交），该声明应包含一份在创建寄存时生成的报告，并声明该寄存已经注册运营商检查，是完整而准确的。

（2）数据验证存储

数据托管机构在收到寄存数据24小时之内进行验证，并向ICANN提交验证报告副本，如有验证未通过文件，收到文件24小时之内通知注册机构运营商；负责存储经过上述验证的数据文件，并保留和保护每个寄存数据一年时间。

（3）数据转让