雪人計劃是什么?雪人計劃真相是什么?難道真的美國能隨時一鍵關停中國互聯網?在前段時間美國制裁中興的時候,關于國產芯片與操作系統的討論沸沸揚揚,現在此事已經基本塵埃落定,而很多機構與個人認識到了我們國家在這方面存在的短板,目前也在想方設法的追趕。
事情是過去了,但是之后對中國網絡的質疑卻此起彼伏,一些激烈的言論甚至認為“新四大發明”只是鏡中水月。這其中,最具殺傷力的莫過于“美國能一鍵讓中國互聯網癱瘓”等等之類的言論,言辭觸目驚心搞得人心惶惶,關鍵是還有一些專家學者為此站臺。
必須強調和明確的是,網絡域名和網絡地址掌控在誰的手里,誰就控制了網絡空間的物理基礎以及應用和發展,由此掌控網絡通信的數據本源、信息資產和開源情報,擁有隱式改變或顯式操縱網絡空間邊界的主導能力和話語權。
這種觀點,首先挖出了當今互聯網的“終極奧義”,那就是根服務器。根服務器是干嘛的呢?我們訪問網站,比如百度是www.baidu.com,這其實是域名,它對應的是IP地址比如61.135.169.125,而我們一般人不知道網站的具體地址的,我們訪問域名是需要解析的。這個解析就相當于翻譯,根服務器負責翻譯工作,將域名指向IP再返回到請求訪問的電腦上。
根服務器就存儲了.com等很多域的解析,雖然根服務器沒有每個域名的具體信息,但理論上訪問每個域名瀏覽器都要把域名轉化為對對應IP地址的請求,最后經過根服務器引導,訪問該域名所在的服務器。也就是,我們每訪問一個網站,信息都要在美國繞一圈。(現在已經有技術不必繞道美國了,因為一些緩存服務器已經有了相關域名指引的備份。)
虛擬網絡雖然是虛擬的,但是它的建立是有其現實的物質基礎的,那就是一臺一臺的服務器,服務器一掛,你的數據交換就歇菜了。比如說如果微信的服務器掛了,你給你的微信好友就發不了消息了,因為線上的通訊最終還是得依靠線下的機器完成。
根服務器全世界只有13臺(這13臺根域名服務器名字分別為“A”至“M”),1個為主根服務器在美國。其余12個均為輔根服務器,其中9個在美國,歐洲2個,分別位于英國和瑞典,亞洲1個位于日本。
看到這里是不是感覺有點涼涼,中國一個都沒有。如此對比之下也不難理解為什么會有上面那樣的言論出現。作為互聯網的“命根子”,這個“命根子”卻在別人手里,這個感覺確實不好受。
雪人計劃是什么?
不過,我們說,30年河東30年河西,地球是不停旋轉一刻不停歇的,時移世易斗轉星移,上面的根服務器狀態,已經是IPv4時代的事情了。
在2013年的時候,我國抓住IPv4向IPv6升級的歷史機遇發起“雪人計劃”,提出以IPv6為基礎、面向新興應用、自主可控的一整套根服務器解決方案和技術體系。
“雪人計劃”由中國下一代互聯網工程中心領銜發起,聯合WIDE機構(現國際互聯網M根運營者)、互聯網域名工程中心(ZDNS)等共同創立。2015年6月底前,將面向全球招募25個根服務器運營志愿單位,共同對IPv6根服務器運營、域名系統安全擴展密鑰簽名和密鑰輪轉等方面進行測試驗證。“‘雪人計劃’是合適的也是可行的?!币嬲龑崿F全球互聯網的多邊共治還有很多工作要做。通過聯合全球機構來做測試和試運營,掃清技術上的障礙,不僅可以爭取更多支持者,還能推動在IETF(國際互聯網工程任務組)內相應的標準化進展。
“雪人計劃”實際是ICANN(The Internet Corporation for Assigned Names and Numbers 即“因特網名稱與數字地址分配機構”)2015年6月制定的IPv6測試計劃。國內報道稱是“中國下一代互聯網國家工程中心牽頭發起‘雪人計劃’”,與ICANN公布的事實不符。ICANN是依照美國法律設立在美國的民間組織。
基于全新技術架構的全球下一代互聯網(IPv6)根服務器測試和運營實驗項目—— “雪人計劃”2015年6月23日正式發布。
“雪人計劃”于2016年在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺IPv6根服務器架設(總3臺主根),其中1臺主根和3臺輔根部署在中國,打破了中國過去沒有根服務器的困境。
中國以前一直沒有自己的IPv4根服務器,這些服務器都掌握在美國手里,一個美國人可以有6個IP地址,而咱們中國卻要26人共用一個IP地址。
剛剛提到IPv4地址總長度是32位,這意味著最多只有42.9億個地址。隨著互聯網用戶數量急劇增加,越來越多的設備連接到互聯網,IPv4已耗盡全部數量的地址。而IPv6的長度達到了128位,總計增加了340萬億個IP地址,即使地球上每個人都有幾十個聯網設備,分配起來也綽綽有余。
這就為未來的5G時代萬物互聯打下了堅實的基礎,屆時我們的網絡會是怎樣的一副模樣呢?拭目以待!
雪人計劃真相是什么?
據“雪人DNS計劃”網站公開信息,“雪人”DNS系統是一個根域名服務器系統的實時測試平臺:
● 這是一個可用的測試平臺,但是應該告知任何使用這個測試平臺的人,這是用于根域名服務的測試平臺以及一些實驗。
● 該項目將在 2018 年底結束(可能會延長一段時間來完成實驗,但不會再延長)。
● 該測試不會添加/刪除在 IANA 根域區中的委派記錄 (Delegations),它只是改變了根DNS服務器的委派信息,并以“雪人”(Yeti)DNSSEC密鑰標識所有RRset。
● 不提供替代的域名空間。
三、“雪人計劃”發起人之一、國際因特網名人堂(Internet Hall of Fame)入選者保羅?維克西(Paul Vixie)博士2016年3月30日發表文章澄清:
1、從技術角度,任何DNS根域的服務都不是來自于任何一組DNS根域名服務器,而是從一個“備用根目錄”。但是,并不是所有備用根域都是平等的。我認為,對于全球互聯網來說,“域名空間分叉”(Name Space Fork)的替代根域名是一個糟糕的主意?;ヂ摼W域名空間之間的激烈競爭對我們所有人都是不利的-包括商業,言論自由,國家和個人安全。
2、所以,從技術上說,“雪人計劃”不僅具有引入“替代根”的潛力,實際上它也是一個替代根域名。但是,這不是一個域名空間分叉,也不能成為這樣的。替代根域名服務是因特網治理的“第三條軌道”:如果你觸摸它,你就會死亡。
3、盡管如此,全球范圍內根域名服務器技術的試驗仍然是網絡科學的一個有效課題。所以,“雪人計劃”的三個協調員 (BII,天地互聯;WIDE,日本;保羅?維克西,美國)都發表了強烈的公開聲明,反對域名空間“分叉”(有時稱為“域名空間擴張”,或者更簡單地稱為“域名空間盜版”)。“雪人計劃”根域名服務器的運營商都知道這一點,對于有意選擇“雪人”根域名服務器來處理根域名查詢的實驗者和愛好者也需要知道這一點。如果我們中的任何一個改變了這一立場,整個項目就會被推翻。
4、 那么,這是否意味著如同世界經濟論壇的白皮書所說的, “雪人計劃”可以“引入一個替代根域名源”?這取決于我們所說的“替代”。如果我們的意思是域名空間擴張,除IANA之外的其他人可以有效地編輯頂級域名空間,例如添加新的頂級域名(TLD)或更改現有頂級域名(TLD)的所有權,答案絕對不是。
5、在我看來,更危險的是,“雪人計劃”提供了一個精確的路線圖,使得除了IANA以外的其他人能夠建立一個替代根域 名。從這個意義上說,“雪人計劃”可能導致盜版域名空間的替代根在實際上被引入。在大型企業中,這種備用根域名服務存在正當和普遍的需求,但是支持這種服務的文檔和工具并不存在,特別是在DNSSEC的環境中。
6、請注意:我親自與金磚國家(巴西,俄羅斯,印度,中國, 南非)的運營商聯系,以確保他們了解“雪人”項目,并可以參與其中。我的觀點是,如果某個國家在某一天決定不信任 ICANN,而且他們想創建自己的因特網DNS系統,我希望他們擁有必要的專業知識和能力,以及權衡國家主權的意識。我會建議這樣的國家,如此的獨立將是不健康的,粗俗的和短暫的。但我不會自稱他們必須聽我的。
四、我國不擁有對根服務器及其鏡像的實際管理權,存在明 顯的管控風險。根域名服務處于整個域名服務體系的頂端,其服務性能的高低直接影響到域名服務的整體質量。
據2016年中國互聯網信息中心CNNIC資料,在全球已部署的633個根鏡像中,僅有9個位于我國大陸(其中北京8個、杭州1個)。
根據因特網亞太信息中心(APNIC)的解釋,目前因特網僅有13個根域名,是由于早期的體系設計和IPv4的制約,DNS一般應用被限制于512字節的UDP協議傳輸,IPv4地址需要32字節,13個根域名需要占用 416 字節,因此僅有96字節供傳輸DNS協議信息。由于IPv6沒有地址空間的約束,將來可能增加新的根域名。
需要明確的是,目前的13個根域名的IP地址被缺省設置在應用軟件中,如操作系統、瀏覽器、域名服務器等。顯然,要增加新的IPv6根域名(新的IP地址)并非一朝一夕輕而易舉就可以實現。
五、新華社報道稱,“雪人計劃”已在全球完成25臺IPv6(互聯網協議第六版)根服務器架設,中國部署了其中的4臺。事實是:
從美國因特網設在日本的M根(亞太根)引出25臺“域根”(IPv6頂級域即因特網二級域服務器),其中1臺所謂主根和4臺所謂輔根服務器連接導向中國。由于“雪人計劃”的所謂主根(實際是二級域名服務器)和25個輔根(實際是三級域名服務器)是解析向美國租來的地址,所以需要通過在日本的M根與v6在美國和歐洲的其他根進行更新和廣播,因而必然存在分等級的問題。不能說是根,只能是頂級域!
上述結構清楚地表明,所謂中國IPv6的主根,實際上是美國絕對控制的因特網的母根服務器、主根服務器、輔根域名服務器,引出的25臺根域名服務器,不過是在因特網母根和M根控制下的IPv6頂級域即因特網二級域服務器,所有域名地址的分配和解析路由仍然必須經過美國因特網母根、主根和M根的交換才能實現和完成。且IPv6的域名和IPv6地址還是從美國租來的,運營商支付的使用費(租金等構成的成本)必然轉嫁給用戶。
六、4臺導向中國IPv6系統的所謂域根服務器也不在中國。兩辦通知要求:“推動根鏡像服務器的引進,進一步提升域名系統解析性能。開展新型根域名服務體系結構及應用的技術創新,建設具有一定規模的試驗驗證網絡設施,開展應用示范?!边@也很清楚地表明,中國目前沒有IPv6根服務器,需要“推動根鏡像服務器的引進”。
據近日國內多家媒體報道,中國工程院院士鄔賀銓表示,尚不明確IPv6主根最終能否以及有多少可以建在國內。鄔賀銓指出:“IPv4的根服務器對IPv6的根服務器依然擁有解釋權,所以即便未來中國有了IPv6的根服務器,也不意味著中國就能起到主導作用?!?/p>
由此看來,如果不是有人在故意撒謊或夸大其詞地制造“IPv6根已建成”、“根在中國”的輿論,就是有人嚴重曲解了ICANN的IPv6測試系統真相誤導輿論。
七、值得特別注意的是,我國長期以來一直在防止日本截取我國的情報,在網絡路由管控等方面曾采取許多重要的防范措施。所謂中國“雪人計劃”的IPv6根服務器從美國設在日本的M根引出,造成我國IPv6網絡信息必須經由日本再到美國實現交換的不可逆的路由格局,日本將更加輕而易舉地獲得海量的第一手中國情報,后果不堪設想!
更值得注意的是,根據資料綜合,美國政務系統現有4個專用根域名服務器(目前都支持IPv6),美國軍方現有6個專用根域名服務器(目前都不支持IPv6)。這些專用根域名服務器與公用(商用)的13個根域名服務器邏輯隔離,即從公共網訪問美國政務或軍方網絡,仍然需要通過公用根域名服務器,而政務和軍方網絡系統則通過專用根域名服務器切入公共網??梢源_定,美國政務和軍方的IPv6系統(包括規范和測試)可以相對獨立于商用,不僅從本源上差分了應用,而且監控的邊界清晰。美國政務網還新設域名Fed.us,僅供政府部門內部應用。在中國規模部署IPv6之前,美國完成了其政務和軍方網絡與公共(商用)網的隔離(監控邊界),是為了積極防控來自中國IPv6系統的潛在威脅呢?還是為了保持制約中國IPv6系統的制高點和主動權優勢呢?亦或二者兼而有之?
八、主權是網絡空間安全的第一要務,是構建網絡空間命運共同體的原則和前提。網絡域名和網絡地址是網絡空間主權的重要戰略資源和國家主權標志。
通過雪人計劃,中國因此將獲得根服務器的管理權,并已向全球部署25個根服務器等。國內外業界人士議論紛紛。美國會輕易將根服務器交給中國嗎?回答是:不會;中國將取代美國成為IPv6的世界霸主嗎?回答仍然是:不會!
評論
查看更多