工程咨询资质

雪人计划是什么?可一键关停互联网?雪人计M

  雪人计划是什么?雪人计划真相是什么?难道真的美国能随时一键关停中国互联网?在前段时间美国制裁中兴的时候,关于国产芯片与操作系统的讨论沸沸扬扬,现在此事已经基本尘埃落定,而很多机构与个人认识到了我们国家在这方面存在的短板,目前也在想方设法的追赶。

  事情是过去了,但是之后对中国网络的质疑却此起彼伏,一些激烈的言论甚至认为“新四大发明”只是镜中水月。这其中,最具杀伤力的莫过于“美国能一键让中国互联网瘫痪”等等之类的言论,言辞触目惊心搞得人心惶惶,关键是还有一些专家学者为此站台。

  必须强调和明确的是,网络域名和网络地址掌控在谁的手里,谁就控制了网络空间的物理基础以及应用和发展,由此掌控网络通信的数据本源、信息资产和开源情报,拥有隐式改变或显式操纵网络空间边界的主导能力和话语权。

  这种观点,首先挖出了当今互联网的“终极奥义”,那就是根服务器。根服务器是干嘛的呢?我们访问网站,比如百度是,这其实是域名,它对应的是IP地址比如61.135.169.125,而我们一般人不知道网站的具体地址的,我们访问域名是需要解析的。这个解析就相当于翻译,根服务器负责翻译工作,将域名指向IP再返回到请求访问的电脑上。

  根服务器就存储了很多域的解析,虽然根服务器没有每个域名的具体信息,但理论上访问每个域名浏览器都要把域名转化为对对应IP地址的请求,最后经过根服务器引导,访问该域名所在的服务器。也就是,我们每访问一个网站,信息都要在美国绕一圈。(现在已经有技术不必绕道美国了,因为一些缓存服务器已经有了相关域名指引的备份。)

  在2013年的时候,我国抓住IPv4向IPv6升级的历史机遇发起“雪人计划”,提出以IPv6为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。

  “雪人计划”由中国下一代互联网工程中心领衔发起,联合WIDE机构(现国际互联网M根运营者)、互联网域名工程中心(ZDNS)等共同创立。2015年6月底前,将面向全球招募25个根服务器运营志愿单位,共同对IPv6根服务器运营、域名系统安全扩展密钥签名和密钥轮转等方面进行测试验证。“雪人计划是合适的也是可行的。”要真正实现全球互联网的多边共治还有很多工作要做。通过联合全球机构来做测试和试运营,扫清技术上的障碍,不仅可以争取更多支持者,还能推动在IETF(国际互联网工程任务组)内相应的标准化进展。

  “雪人计划”实际是ICANN(The Internet Corporation for Assigned Names and Numbers 即“因特网名称与数字地址分配机构”)2015年6月制定的IPv6测试计划。国内报道称是“中国下一代互联网国家工程中心牵头发起雪人计划”,与ICANN公布的事实不符。ICANN是依照美国法律设立在美国的民间组织。

  据“雪人DNS计划”网站公开信息,“雪人”DNS系统是一个根域名服务器系统的实时测试平台:

  ● 这是一个可用的测试平台,但是应该告知任何使用这个测试平台的人,这是用于根域名服务的测试平台以及一些实验。

  1、从技术角度,任何DNS根域的服务都不是来自于任何一组DNS根域名服务器,而是从一个“备用根目录”。但是,并不是所有备用根域都是平等的。我认为,对于全球互联网来说,“域名空间分叉”(Name Space Fork)的替代根域名是一个糟糕的主意。互联网域名空间之间的激烈竞争对我们所有人都是不利的-包括商业,,国家和个人安全。

  3、尽管如此,全球范围内根域名服务器技术的试验仍然是网络科学的一个有效课题。所以,“雪人计划”的三个协调员 (BII,天地互联;WIDE,日本;保罗维克西,美国)都发表了强烈的公开声明,反对域名空间“分叉”(有时称为“域名空间扩张”,或者更简单地称为“域名空间盗版”)。“雪人计划”根域名服务器的运营商都知道这一点,对于有意选择“雪人”根域名服务器来处理根域名查询的实验者和爱好者也需要知道这一点。如果我们中的任何一个改变了这一立场,整个项目就会被推翻。

  4、 那么,这是否意味着如同世界经济论坛的白皮书所说的, “雪人计划”可以“引入一个替代根域名源”?这取决于我们所说的“替代”。如果我们的意思是域名空间扩张,除IANA之外的其他人可以有效地编辑顶级域名空间,例如添加新的顶级域名(TLD)或更改现有顶级域名(TLD)的所有权,答案绝对不是。

  5、在我看来,更危险的是,“雪人计划”提供了一个精确的路线图,使得除了IANA以外的其他人能够建立一个替代根域 名。从这个意义上说,“雪人计划”可能导致盗版域名空间的替代根在实际上被引入。在大型企业中,这种备用根域名服务存在正当和普遍的需求,但是支持这种服务的文档和工具并不存在,特别是在DNSSEC的环境中。

  6、请注意:我亲自与金砖国家(巴西,俄罗斯,印度,中国, 南非)的运营商联系,以确保他们了解“雪人”项目,并可以参与其中。我的观点是,如果某个国家在某一天决定不信任 ICANN,而且他们想创建自己的因特网DNS系统,我希望他们拥有必要的专业知识和能力,以及权衡国家主权的意识。我会建议这样的国家,如此的独立将是不健康的,粗俗的和短暂的。但我不会自称他们必须听我的。

  根据因特网亚太信息中心(APNIC)的解释,目前因特网仅有13个根域名,是由于早期的体系设计和IPv4的制约,DNS一般应用被限制于512字节的UDP协议传输,IPv4地址需要32字节,13个根域名需要占用 416 字节,因此仅有96字节供传输DNS协议信息。由于IPv6没有地址空间的约束,将来可能增加新的根域名。

  从美国因特网设在日本的M根(亚太根)引出25台“域根”(IPv6顶级域即因特网二级域服务器),其中1台所谓主根和4台所谓辅根服务器连接导向中国。由于“雪人计划”的所谓主根(实际是二级域名服务器)和25个辅根(实际是三级域名服务器)是解析向美国租来的地址,所以需要通过在日本的M根与v6在美国和欧洲的其他根进行更新和广播,因而必然存在分等级的问题。不能说是根,只能是顶级域!

  上述结构清楚地表明,所谓中国IPv6的主根,实际上是美国绝对控制的因特网的母根服务器、主根服务器、辅根域名服务器,引出的25台根域名服务器,不过是在因特网母根和M根控制下的IPv6顶级域即因特网二级域服务器,所有域名地址的分配和解析路由仍然必须经过美国因特网母根、主根和M根的交换才能实现和完成。且IPv6的域名和IPv6地址还是从美国租来的,运营商支付的使用费(租金等构成的成本)必然转嫁给用户。

  六、4台导向中国IPv6系统的所谓域根服务器也不在中国。两办通知要求:“推动根镜像服务器的引进,进一步提升域名系统解析性能。开展新型根域名服务体系结构及应用的技术创新,建设具有一定规模的试验验证网络设施,开展应用示范。”这也很清楚地表明,中国目前没有IPv6根服务器,ManBetX体育。需要“推动根镜像服务器的引进”。

  七、值得特别注意的是,我国长期以来一直在防止日本截取我国的情报,在网络路由管控等方面曾采取许多重要的防范措施。所谓中国“雪人计划”的IPv6根服务器从美国设在日本的M根引出,造成我国IPv6网络信息必须经由日本再到美国实现交换的不可逆的路由格局,日本将更加轻而易举地获得海量的第一手中国情报,后果不堪设想!

  更值得注意的是,根据资料综合,美国政务系统现有4个专用根域名服务器(目前都支持IPv6),美国军方现有6个专用根域名服务器(目前都不支持IPv6)。这些专用根域名服务器与公用(商用)的13个根域名服务器逻辑隔离,即从公共网访问美国政务或军方网络,仍然需要通过公用根域名服务器,而政务和军方网络系统则通过专用根域名服务器切入公共网。可以确定,美国政务和军方的IPv6系统(包括规范和测试)可以相对独立于商用,不仅从本源上差分了应用,而且监控的边界清晰。美国政务网还新设域名仅供政府部门内部应用。在中国规模部署IPv6之前,美国完成了其政务和军方网络与公共(商用)网的隔离(监控边界),是为了积极防控来自中国IPv6系统的潜在威胁呢?还是为了保持制约中国IPv6系统的制高点和主动权优势呢?亦或二者兼而有之?