安全设备/系统
雪人计划是什么?雪人计划真相是什么?难道真的美国能随时一键关停中国互联网?在前段时间美国制裁中兴的时候,关于国产芯片与操作系统的讨论沸沸扬扬,现在此事已经基本尘埃落定,而很多机构与个人认识到了我们国家在这方面存在的短板,目前也在想方设法的追赶。
事情是过去了,但是之后对中国网络的质疑却此起彼伏,一些激烈的言论甚至认为“新四大发明”只是镜中水月。这其中,最具杀伤力的莫过于“美国能一键让中国互联网瘫痪”等等之类的言论,言辞触目惊心搞得人心惶惶,关键是还有一些专家学者为此站台。
必须强调和明确的是,网络域名和网络地址掌控在谁的手里,谁就控制了网络空间的物理基础以及应用和发展,由此掌控网络通信的数据本源、信息资产和开源情报,拥有隐式改变或显式操纵网络空间边界的主导能力和话语权。
这种观点,首先挖出了当今互联网的“终极奥义”,那就是根服务器。根服务器是干嘛的呢?我们访问网站,比如百度是www.baidu.com,这其实是域名,它对应的是IP地址比如61.135.169.125,而我们一般人不知道网站的具体地址的,我们访问域名是需要解析的。这个解析就相当于翻译,根服务器负责翻译工作,将域名指向IP再返回到请求访问的电脑上。
根服务器就存储了.com等很多域的解析,虽然根服务器没有每个域名的具体信息,但理论上访问每个域名浏览器都要把域名转化为对对应IP地址的请求,最后经过根服务器引导,访问该域名所在的服务器。也就是,我们每访问一个网站,信息都要在美国绕一圈。(现在已经有技术不必绕道美国了,因为一些缓存服务器已经有了相关域名指引的备份。)
虚拟网络虽然是虚拟的,但是它的建立是有其现实的物质基础的,那就是一台一台的服务器,服务器一挂,你的数据交换就歇菜了。比如说如果微信的服务器挂了,你给你的微信好友就发不了消息了,因为线上的通讯最终还是得依靠线下的机器完成。
根服务器全世界只有13台(这13台根域名服务器名字分别为“A”至“M”),1个为主根服务器在美国。其余12个均为辅根服务器,其中9个在美国,欧洲2个,分别位于英国和瑞典,亚洲1个位于日本。
看到这里是不是感觉有点凉凉,中国一个都没有。如此对比之下也不难理解为什么会有上面那样的言论出现。作为互联网的“命根子”,这个“命根子”却在别人手里,这个感觉确实不好受。
不过,我们说,30年河东30年河西,地球是不停旋转一刻不停歇的,时移世易斗转星移,上面的根服务器状态,已经是IPv4时代的事情了。
在2013年的时候,我国抓住IPv4向IPv6升级的历史机遇发起“雪人计划”,提出以IPv6为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。
“雪人计划”由中国下一代互联网工程中心领衔发起,联合WIDE机构(现国际互联网M根运营者)、互联网域名工程中心(ZDNS)等共同创立。2015年6月底前,将面向全球招募25个根服务器运营志愿单位,共同对IPv6根服务器运营、域名系统安全扩展密钥签名和密钥轮转等方面进行测试验证。“‘雪人计划’是合适的也是可行的。”要真正实现全球互联网的多边共治还有很多工作要做。通过联合全球机构来做测试和试运营,扫清技术上的障碍,不仅可以争取更多支持者,还能推动在IETF(国际互联网工程任务组)内相应的标准化进展。
“雪人计划”实际是ICANN(The Internet Corporation for Assigned Names and Numbers 即“因特网名称与数字地址分配机构”)2015年6月制定的IPv6测试计划。国内报道称是“中国下一代互联网国家工程中心牵头发起‘雪人计划’”,与ICANN公布的事实不符。ICANN是依照美国法律设立在美国的民间组织。
基于全新技术架构的全球下一代互联网(IPv6)根服务器测试和运营实验项目—— “雪人计划”2015年6月23日正式发布。
“雪人计划”于2016年在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台IPv6根服务器架设(总3台主根),其中1台主根和3台辅根部署在中国,打破了中国过去没有根服务器的困境。
中国以前一直没有自己的IPv4根服务器,这些服务器都掌握在美国手里,一个美国人可以有6个IP地址,而咱们中国却要26人共用一个IP地址。
刚刚提到IPv4地址总长度是32位,这意味着最多只有42.9亿个地址。随着互联网用户数量急剧增加,越来越多的设备连接到互联网,IPv4已耗尽全部数量的地址。而IPv6的长度达到了128位,总计增加了340万亿个IP地址,即使地球上每个人都有几十个联网设备,分配起来也绰绰有余。
这就为未来的5G时代万物互联打下了坚实的基础,届时我们的网络会是怎样的一副模样呢?拭目以待!
据“雪人DNS计划”网站公开信息,“雪人”DNS系统是一个根域名服务器系统的实时测试平台:
● 这是一个可用的测试平台,但是应该告知任何使用这个测试平台的人,这是用于根域名服务的测试平台以及一些实验。
● 该项目将在 2018 年底结束(可能会延长一段时间来完成实验,但不会再延长)。
● 该测试不会添加/删除在 IANA 根域区中的委派记录 (Delegations),它只是改变了根DNS服务器的委派信息,并以“雪人”(Yeti)DNSSEC密钥标识所有RRset。
● 不提供替代的域名空间。
三、“雪人计划”发起人之一、国际因特网名人堂(Internet Hall of Fame)入选者保罗•维克西(Paul Vixie)博士2016年3月30日发表文章澄清:
1、从技术角度,任何DNS根域的服务都不是来自于任何一组DNS根域名服务器,而是从一个“备用根目录”。但是,并不是所有备用根域都是平等的。我认为,对于全球互联网来说,“域名空间分叉”(Name Space Fork)的替代根域名是一个糟糕的主意。互联网域名空间之间的激烈竞争对我们所有人都是不利的-包括商业,言论自由,国家和个人安全。
2、所以,从技术上说,“雪人计划”不仅具有引入“替代根”的潜力,实际上它也是一个替代根域名。但是,这不是一个域名空间分叉,也不能成为这样的。替代根域名服务是因特网治理的“第三条轨道”:如果你触摸它,你就会死亡。
3、尽管如此,全球范围内根域名服务器技术的试验仍然是网络科学的一个有效课题。所以,“雪人计划”的三个协调员 (BII,天地互联;WIDE,日本;保罗•维克西,美国)都发表了强烈的公开声明,反对域名空间“分叉”(有时称为“域名空间扩张”,或者更简单地称为“域名空间盗版”)。“雪人计划”根域名服务器的运营商都知道这一点,对于有意选择“雪人”根域名服务器来处理根域名查询的实验者和爱好者也需要知道这一点。如果我们中的任何一个改变了这一立场,整个项目就会被推翻。
4、 那么,这是否意味着如同世界经济论坛的白皮书所说的, “雪人计划”可以“引入一个替代根域名源”?这取决于我们所说的“替代”。如果我们的意思是域名空间扩张,除IANA之外的其他人可以有效地编辑顶级域名空间,例如添加新的顶级域名(TLD)或更改现有顶级域名(TLD)的所有权,答案绝对不是。
5、在我看来,更危险的是,“雪人计划”提供了一个精确的路线图,使得除了IANA以外的其他人能够建立一个替代根域 名。从这个意义上说,“雪人计划”可能导致盗版域名空间的替代根在实际上被引入。在大型企业中,这种备用根域名服务存在正当和普遍的需求,但是支持这种服务的文档和工具并不存在,特别是在DNSSEC的环境中。
6、请注意:我亲自与金砖国家(巴西,俄罗斯,印度,中国, 南非)的运营商联系,以确保他们了解“雪人”项目,并可以参与其中。我的观点是,如果某个国家在某一天决定不信任 ICANN,而且他们想创建自己的因特网DNS系统,我希望他们拥有必要的专业知识和能力,以及权衡国家主权的意识。我会建议这样的国家,如此的独立将是不健康的,粗俗的和短暂的。但我不会自称他们必须听我的。
四、我国不拥有对根服务器及其镜像的实际管理权,存在明 显的管控风险。根域名服务处于整个域名服务体系的顶端,其服务性能的高低直接影响到域名服务的整体质量。
据2016年中国互联网信息中心CNNIC资料,在全球已部署的633个根镜像中,仅有9个位于我国大陆(其中北京8个、杭州1个)。
根据因特网亚太信息中心(APNIC)的解释,目前因特网仅有13个根域名,是由于早期的体系设计和IPv4的制约,DNS一般应用被限制于512字节的UDP协议传输,IPv4地址需要32字节,13个根域名需要占用 416 字节,因此仅有96字节供传输DNS协议信息。由于IPv6没有地址空间的约束,将来可能增加新的根域名。
需要明确的是,目前的13个根域名的IP地址被缺省设置在应用软件中,如操作系统、浏览器、域名服务器等。显然,要增加新的IPv6根域名(新的IP地址)并非一朝一夕轻而易举就可以实现。
五、新华社报道称,“雪人计划”已在全球完成25台IPv6(互联网协议第六版)根服务器架设,中国部署了其中的4台。事实是:
从美国因特网设在日本的M根(亚太根)引出25台“域根”(IPv6顶级域即因特网二级域服务器),其中1台所谓主根和4台所谓辅根服务器连接导向中国。由于“雪人计划”的所谓主根(实际是二级域名服务器)和25个辅根(实际是三级域名服务器)是解析向美国租来的地址,所以需要通过在日本的M根与v6在美国和欧洲的其他根进行更新和广播,因而必然存在分等级的问题。不能说是根,只能是顶级域!
上述结构清楚地表明,所谓中国IPv6的主根,实际上是美国绝对控制的因特网的母根服务器、主根服务器、辅根域名服务器,引出的25台根域名服务器,不过是在因特网母根和M根控制下的IPv6顶级域即因特网二级域服务器,所有域名地址的分配和解析路由仍然必须经过美国因特网母根、主根和M根的交换才能实现和完成。且IPv6的域名和IPv6地址还是从美国租来的,运营商支付的使用费(租金等构成的成本)必然转嫁给用户。
六、4台导向中国IPv6系统的所谓域根服务器也不在中国。两办通知要求:“推动根镜像服务器的引进,进一步提升域名系统解析性能。开展新型根域名服务体系结构及应用的技术创新,建设具有一定规模的试验验证网络设施,开展应用示范。”这也很清楚地表明,中国目前没有IPv6根服务器,需要“推动根镜像服务器的引进”。
据近日国内多家媒体报道,中国工程院院士邬贺铨表示,尚不明确IPv6主根最终能否以及有多少可以建在国内。邬贺铨指出:“IPv4的根服务器对IPv6的根服务器依然拥有解释权,所以即便未来中国有了IPv6的根服务器,也不意味着中国就能起到主导作用。”
由此看来,如果不是有人在故意撒谎或夸大其词地制造“IPv6根已建成”、“根在中国”的舆论,就是有人严重曲解了ICANN的IPv6测试系统真相误导舆论。
七、值得特别注意的是,我国长期以来一直在防止日本截取我国的情报,在网络路由管控等方面曾采取许多重要的防范措施。所谓中国“雪人计划”的IPv6根服务器从美国设在日本的M根引出,造成我国IPv6网络信息必须经由日本再到美国实现交换的不可逆的路由格局,日本将更加轻而易举地获得海量的第一手中国情报,后果不堪设想!
更值得注意的是,根据资料综合,美国政务系统现有4个专用根域名服务器(目前都支持IPv6),美国军方现有6个专用根域名服务器(目前都不支持IPv6)。这些专用根域名服务器与公用(商用)的13个根域名服务器逻辑隔离,即从公共网访问美国政务或军方网络,仍然需要通过公用根域名服务器,而政务和军方网络系统则通过专用根域名服务器切入公共网。可以确定,美国政务和军方的IPv6系统(包括规范和测试)可以相对独立于商用,不仅从本源上差分了应用,而且监控的边界清晰。美国政务网还新设域名Fed.us,仅供政府部门内部应用。在中国规模部署IPv6之前,美国完成了其政务和军方网络与公共(商用)网的隔离(监控边界),是为了积极防控来自中国IPv6系统的潜在威胁呢?还是为了保持制约中国IPv6系统的制高点和主动权优势呢?亦或二者兼而有之?
八、主权是网络空间安全的第一要务,是构建网络空间命运共同体的原则和前提。网络域名和网络地址是网络空间主权的重要战略资源和国家主权标志。
通过雪人计划,中国因此将获得根服务器的管理权,并已向全球部署25个根服务器等。国内外业界人士议论纷纷。美国会轻易将根服务器交给中国吗?回答是:不会;中国将取代美国成为IPv6的世界霸主吗?回答仍然是:不会!
全部0条评论
快来发表一下你的评论吧 !