V1.0
查询关键词字:   
IPv6、雪人计划和网络安全
随着互联网的发展,互联网已经渗透全世界的各个角落,政治、军事、经济、科技、文化、教育、医疗、生活、金融等
各个领域都被互联网联系在一起了。网络安全已是国家重大战略。今天聊聊IPv6、雪人计划和网络安全这个话题

我们网络安全存在的致命问题

网络无根


根服务器是互联网的中枢。中国是互联网大国,网民人数居世界首位,在本土却没有一台根服务器。全球有13个根服务

器,600多个镜像,我国仅有5个镜像,而且这些镜像服务器物理上在我国境内,但由其所对应的境外的根服务器运营方

所管理。

从理论上说,任何形式的标准域名要想被实现解析,按照技术流程,都必须经过全球“层级式”域名解析体系的工作,

才能完成。“层级式”域名解析体系第一层就是根服务器,负责管理世界各国的域名信息,在根服务器下面是顶级域名

服务器,即相关国家域名管理机构的数据库,如中国的CNNIC,然后是在下一级的域名数据库和ISP的缓存服务器。一个

域名必须首先经过根数据库的解析后,才能转到顶级域名服务器进行解析。我国互联网依赖外方控制的根服务器解析顶

级域名,目前控制互联网的主根服务器是被美国控制,一旦发现紧急情况,缺少应变和反制手段。

2003年伊拉克战争期间,美国政府就曾终止对伊拉克国家项级域名“IQ”的解析,致使所有以“IQ”为后缀的网站瞬间

从互联网上消失。

2004年4月,由于与美国发生分歧,利比亚顶级域名“LY”突然瘫痪,利比亚在互联网世界里消失了4天。

2014年1月,美国一台根服务器发生故障约20分钟,大批中国网站无法访问,严重影响了中国的网络主权安全。
如果这种情况发生在中国,将对我国的经济、教育、医疗、金融等领域产生严重的后果。并且美国也在用科技霸权不断

制裁我们,因此拥有独立自主,安全可控的网络环境,已是国家重大战略。

“雪人计划”的实施及重大意义

由于IPv4帧结构单个报文长度的限制,现有13个IPv4根服务器基本上不可能再扩展,目前在IPv4的DNS体制下虽然也有

过若干改进方案,但都不能解决顶级域名解析的可控问题。

但是随着IPV6技术的实施,我国在根服务器部署方面迎来了新的机会,2015年6月23日,由中国下一代互联网工程中心(

CFIEC)牵头,联合日本WIDE机构(M根服务器运营者)、因特网先驱美国Paul Vixie(保罗·维克谢)博士、因特网域

名工程中心(ZDNS)等组织和个人共同发起、创立了雪人计划。

计划在2015年6月底前,面向全球招募25个根服务器运营志愿单位,共同对IPv6根服务器运营、域名系统安全扩展密钥

签名和密钥轮转等方面进行测试验证。 截至2017年11月28日,“雪人计划”已经在全球架设了25台IPv6根服务器,其

中1台主根和3台辅根在中国。

“雪人计划”首次提出并实践“一个命名体系,多种寻址方式”的下一代互联网根服务器技术方案,打破固守现有13个

根服务器的运营者“神圣不可侵犯”、“数量不可改变”的教条,可以引入更多根服务器运营者,同时也能保证一个命

名体系不被破坏,真正实现多方共治的 “一个世界,一个互联网”的愿景。


雪人计划没有从根上解决中国的网络安全现状

1、雪人计划是一个“实验室”项目。该计划已经在2017年12月底结束。
中国正在努力推进IPv6根服务器在中国的落地。但是,中国互联网协会理事长邬贺铨院士说:“我们国家在探讨IPv6建

设过程中,提出过要增强(IPv6)主根的部署。不过尚不明确主根最终能否以及有多少可以建在国内。”

2、雪人计划设立的中国IPv6“主根服务器”不是真正的主根服务器。IPv6根服务器使用了IPv4中F根服务器(设在美国

弗吉尼亚州)中的基础数据,包括所有顶级域名的数据。中国的IPv6“主根服务器”受美国的IPv4主根服务器和F服务

器的控制、监视。

3、从技术上来看,根服务器之间也并不平等。雪人计划新增的25台IPv6根服务器的地位事实上要低于之前的13台IPv4

根服务器。正如邬贺铨院士所说,“IPv4的根服务器对IPv6的根服务器依然拥有解释权。所以即便未来中国有了IPv6的

根服务器,也并不意味着中国就能起到主导作用。”

4、IPv6的安全性能不如IPv4。在IPv4网络,网站(因特网空间实体)IP地址可以是动态的。而在IPv6网络,每一个网

站都有一个确定的、静态IP地址,所以IPv6系统便于敌人对目标网站精准定位,精准打击。因此,美国政府部门和美国

军队都不使用IPv6。美国是故意推给中国用大量经费建设试验性IPv6系统,而不是没有能力建设IPv6系统。

5、基于“同一个世界,同一个互联网,同一个域名空间”的理念,雪人计划没有试图进行“域名空间分叉”。雪人计

划所做的所有测试都是基于IPv4的架构下的拓展,而并非“另起炉灶”重新建立一套新的域名管理系统和根服务器。这

就是说,无论是IPv4网络还是IPv6网络,全球因特网的总核心、主干网、总枢纽、主根服务器、万维网总站仍然在美国

,由美国的企业控制和管理。

因此,IPv6和雪人计划根本没有解决中国的网络安全问题。

即使这样,“雪人计划”也是中国在互联网治理中迈出的重要一步,为建立多边、民主、透明的国际互联网治理体系打

下坚实基础。要想完全独立于美国,我们还需要付出更多努力。





更多相关连接
· IPv6、雪人计划和网络安全