IPv6、雪人計劃和網(wǎng)絡(luò )安全

隨著(zhù)互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透全世界的各個(gè)角落，政治、軍事、經(jīng)濟、科技、文化、教育、醫療、生活、金融等
各個(gè)領(lǐng)域都被互聯(lián)網(wǎng)聯(lián)系在一起了。網(wǎng)絡(luò )安全已是國家重大戰略。今天聊聊IPv6、雪人計劃和網(wǎng)絡(luò )安全這個(gè)話(huà)題

我們網(wǎng)絡(luò )安全存在的致命問(wèn)題

網(wǎng)絡(luò )無(wú)根

根服務(wù)器是互聯(lián)網(wǎng)的中樞。中國是互聯(lián)網(wǎng)大國，網(wǎng)民人數居世界首位，在本土卻沒(méi)有一臺根服務(wù)器。全球有13個(gè)根服務(wù)

器，600多個(gè)鏡像，我國僅有5個(gè)鏡像，而且這些鏡像服務(wù)器物理上在我國境內，但由其所對應的境外的根服務(wù)器運營(yíng)方

所管理。

從理論上說(shuō)，任何形式的標準要想被實(shí)現解析，按照技術(shù)流程，都必須經(jīng)過(guò)全球“層級式”域名解析體系的工作，

才能完成?！皩蛹壥健?a href='http://wap.friendlycc.com.cn/domain/' target='_blank'>域名解析體系第一層就是根服務(wù)器，負責管理世界各國的域名信息，在根服務(wù)器下面是頂級域名

服務(wù)器，即相關(guān)國家機構的數據庫，如中國的CNNIC，然后是在下一級的域名數據庫和ISP的緩存服務(wù)器。一個(gè)

域名必須首先經(jīng)過(guò)根數據庫的解析后，才能轉到頂級器進(jìn)行解析。我國互聯(lián)網(wǎng)依賴(lài)外方控制的根服務(wù)器解析頂

級域名，目前控制互聯(lián)網(wǎng)的主根服務(wù)器是被美國控制，一旦發(fā)現緊急情況，缺少應變和反制手段。

2003年伊拉克戰爭期間，美國政府就曾終止對伊拉克國家項級域名“IQ”的解析，致使所有以“IQ”為后綴的網(wǎng)站瞬間

從互聯(lián)網(wǎng)上消失。

2004年4月，由于與美國發(fā)生分歧，利比亞頂級域名“LY”突然癱瘓，利比亞在互聯(lián)網(wǎng)世界里消失了4天。

2014年1月，美國一臺根服務(wù)器發(fā)生故障約20分鐘，大批中國網(wǎng)站無(wú)法訪(fǎng)問(wèn)，嚴重影響了中國的網(wǎng)絡(luò )主權安全。
如果這種情況發(fā)生在中國，將對我國的經(jīng)濟、教育、醫療、金融等領(lǐng)域產(chǎn)生嚴重的后果。并且美國也在用科技霸權不斷

制裁我們，因此擁有獨立自主，安全可控的網(wǎng)絡(luò )環(huán)境，已是國家重大戰略。

“雪人計劃”的實(shí)施及重大意義

由于IPv4幀結構單個(gè)報文長(cháng)度的限制，現有13個(gè)IPv4根服務(wù)器基本上不可能再擴展，目前在IPv4的DNS體制下雖然也有

過(guò)若干改進(jìn)方案，但都不能解決頂級域名解析的可控問(wèn)題。

但是隨著(zhù)IPV6技術(shù)的實(shí)施，我國在根服務(wù)器部署方面迎來(lái)了新的機會(huì )，2015年6月23日,由中國下一代互聯(lián)網(wǎng)工程中心（

CFIEC）牽頭，聯(lián)合日本W(wǎng)IDE機構（M根服務(wù)器運營(yíng)者）、因特網(wǎng)先驅美國Paul Vixie（保羅·維克謝）博士、因特網(wǎng)域

名工程中心（ZDNS）等組織和個(gè)人共同發(fā)起、創(chuàng )立了雪人計劃。

計劃在2015年6月底前，面向全球招募25個(gè)根服務(wù)器運營(yíng)志愿單位，共同對IPv6根服務(wù)器運營(yíng)、域名系統安全擴展密鑰

簽名和密鑰輪轉等方面進(jìn)行測試驗證。 截至2017年11月28日，“雪人計劃”已經(jīng)在全球架設了25臺IPv6根服務(wù)器，其

中1臺主根和3臺輔根在中國。

“雪人計劃”首次提出并實(shí)踐“一個(gè)命名體系，多種尋址方式”的下一代互聯(lián)網(wǎng)根服務(wù)器技術(shù)方案，打破固守現有13個(gè)

根服務(wù)器的運營(yíng)者“神圣不可侵犯”、“數量不可改變”的教條，可以引入更多根服務(wù)器運營(yíng)者，同時(shí)也能保證一個(gè)命

名體系不被破壞，真正實(shí)現多方共治的 “一個(gè)世界，一個(gè)互聯(lián)網(wǎng)”的愿景。


 雪人計劃沒(méi)有從根上解決中國的網(wǎng)絡(luò )安全現狀

1、雪人計劃是一個(gè)“實(shí)驗室”項目。該計劃已經(jīng)在2017年12月底結束。
中國正在努力推進(jìn)IPv6根服務(wù)器在中國的落地。但是，網(wǎng)協(xié)會(huì )理事長(cháng)鄔賀銓院士說(shuō)：“我們國家在探討IPv6建

設過(guò)程中，提出過(guò)要增強（IPv6）主根的部署。不過(guò)尚不明確主根最終能否以及有多少可以建在國內?！?

2、雪人計劃設立的中國IPv6“主根服務(wù)器”不是真正的主根服務(wù)器。IPv6根服務(wù)器使用了IPv4中F根服務(wù)器（設在美國

弗吉尼亞州）中的基礎數據，包括所有頂級域名的數據。中國的IPv6“主根服務(wù)器”受美國的IPv4主根服務(wù)器和F服務(wù)

器的控制、監視。

3、從技術(shù)上來(lái)看，根服務(wù)器之間也并不平等。雪人計劃新增的25臺IPv6根服務(wù)器的地位事實(shí)上要低于之前的13臺IPv4

根服務(wù)器。正如鄔賀銓院士所說(shuō)，“IPv4的根服務(wù)器對IPv6的根服務(wù)器依然擁有解釋權。所以即便未來(lái)中國有了IPv6的

根服務(wù)器，也并不意味著(zhù)中國就能起到主導作用?！?

4、IPv6的安全性能不如IPv4。在IPv4網(wǎng)絡(luò )，網(wǎng)站（因特網(wǎng)實(shí)體）IP地址可以是動(dòng)態(tài)的。而在IPv6網(wǎng)絡(luò )，每一個(gè)網(wǎng)

站都有一個(gè)確定的、靜態(tài)IP地址，所以IPv6系統便于敵人對目標網(wǎng)站精準定位，精準打擊。因此，美國政府部門(mén)和美國

軍隊都不使用IPv6。美國是故意推給中國用大量經(jīng)費建設試驗性IPv6系統，而不是沒(méi)有能力建設IPv6系統。

5、基于“同一個(gè)世界，同一個(gè)互聯(lián)網(wǎng)，同一個(gè)域名空間”的理念，雪人計劃沒(méi)有試圖進(jìn)行“域名空間分叉”。雪人計

劃所做的所有測試都是基于IPv4的架構下的拓展，而并非“另起爐灶”重新建立一套新的域名管理系統和根服務(wù)器。這

就是說(shuō)，無(wú)論是IPv4網(wǎng)絡(luò )還是IPv6網(wǎng)絡(luò )，全球因特網(wǎng)的總核心、主干網(wǎng)、總樞紐、主根服務(wù)器、萬(wàn)維網(wǎng)總站仍然在美國

，由美國的企業(yè)控制和管理。

因此，IPv6和雪人計劃根本沒(méi)有解決中國的網(wǎng)絡(luò )安全問(wèn)題。

即使這樣，“雪人計劃”也是中國在互聯(lián)網(wǎng)治理中邁出的重要一步，為建立多邊、民主、透明的國際互聯(lián)網(wǎng)治理體系打

下堅實(shí)基礎。要想完全獨立于美國，我們還需要付出更多努力。