吳國(guó)發(fā)：IPv6、雪人計(jì)劃和網(wǎng)絡(luò)安全

　　吳國(guó)發(fā)

　　(2020年5月5日)

　　內(nèi)容提要：本文首先指出中國(guó)互聯(lián)網(wǎng)安全的致命問(wèn)題，再介紹域名、IPv4、IPv6和IP地址。然后，重點(diǎn)闡述IPv6網(wǎng)絡(luò)和“雪人計(jì)劃”的發(fā)起和實(shí)施，論證“IPv6和雪人計(jì)劃沒(méi)有解決中國(guó)的網(wǎng)絡(luò)安全問(wèn)題”。

　　因特網(wǎng)(Internet)自從1969年誕生以來(lái)，發(fā)展迅猛。現(xiàn)在，世界各國(guó)的政治、軍事、經(jīng)濟(jì)、科技、文化、教育、醫(yī)療、生活、金融等各個(gè)領(lǐng)域都被因特網(wǎng)聯(lián)系在一起了。

　　因此，全球因特網(wǎng)(中國(guó)國(guó)內(nèi)叫互聯(lián)網(wǎng))的安全對(duì)于世界各國(guó)都是十分重要的問(wèn)題。

　　1.中國(guó)互聯(lián)網(wǎng)安全存在的致命問(wèn)題

　　全球因特網(wǎng)的總核心、總樞紐(樹(shù)根)、主干網(wǎng)(樹(shù)干)都在美國(guó)。美國(guó)因特網(wǎng)是全球因特網(wǎng)的根和主干；而中國(guó)因特網(wǎng)（互聯(lián)網(wǎng)）是全球因特網(wǎng)的分支(樹(shù)枝)。

　　從美國(guó)的全球因特網(wǎng)總樞紐到中國(guó)，有三條海底光纜管道，分別到青島、上海(崇明島)、汕頭。這三條海底光纜與中國(guó)內(nèi)地的互聯(lián)網(wǎng)光纜聯(lián)結(jié)。

　　因此，中國(guó)不存在網(wǎng)絡(luò)主權(quán)。美國(guó)可以在半個(gè)小時(shí)之內(nèi)使得中國(guó)的因特網(wǎng)系統(tǒng)癱瘓，從而使中國(guó)的城市交通監(jiān)控系統(tǒng)、鐵路調(diào)度系統(tǒng)、電力調(diào)度系統(tǒng)、航空管理系統(tǒng)、金融網(wǎng)絡(luò)系統(tǒng)、公共安全監(jiān)控系統(tǒng)等和大型重要信息系統(tǒng)癱瘓。

　　中科院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室呂述望教授(北京知識(shí)安全工程中心主任)曾經(jīng)正確地指出：“美國(guó)隨時(shí)可以關(guān)掉中國(guó)的互聯(lián)網(wǎng)。”

　　2. IPv4、IPv6和中國(guó)受到的IP地址限制

　　2.1. 網(wǎng)站域名、IPv4、IPv6和IP地址的概念

　　因特網(wǎng)上的網(wǎng)站域名是網(wǎng)站的標(biāo)示，通常用英語(yǔ)字母和數(shù)字表示。例如，中華網(wǎng)的域名是China.com;網(wǎng)易公司的電子郵箱網(wǎng)站的域名是163.com。每個(gè)域名都有對(duì)應(yīng)的用數(shù)字表示的地址，稱為IP地址。例如，某人電腦上網(wǎng)用的網(wǎng)站IP地址是115.89.125.236。

　　IPv4和IPv6是因特網(wǎng)域名解析協(xié)議，其作用是把域名用數(shù)字表示，再把數(shù)字轉(zhuǎn)換成機(jī)器代碼。因特網(wǎng)域名解析協(xié)議是公開(kāi)的技術(shù)，而不是秘密的技術(shù)。

　　IPv4(Internet Protocolversion 4)使用2進(jìn)制域名IP地址。IPv4的域名IP數(shù)字地址有32位。IP地址的個(gè)數(shù)是2的32次方，包含了大約42億個(gè)IP地址。目前，全球的網(wǎng)站大部分使用IPv4地址。

　　IPv6(InternetProtocol version 6)也使用2進(jìn)制域名IP地址。IPv6的域名IP數(shù)字地址有128位。IP地址的個(gè)數(shù)是2的128次方。因此，IPv6的域名IP地址足夠人類使用萬(wàn)萬(wàn)億年。

　　2.2. 中國(guó)受到IPv4網(wǎng)絡(luò)IP地址的限制

　　IPv4域名地址是由美國(guó)分配的。中國(guó)的因特網(wǎng)用戶占全球是25%。但是，中國(guó)只擁有5%的IP地址。中國(guó)被分配的IP地址少于印度。美國(guó)麻省理工學(xué)院一所大學(xué)占有的IPv4頂級(jí)域名比中國(guó)全國(guó)占有的IPv4頂級(jí)域名還多。美國(guó)的IPv4域名地址可以用到2030年以后，但是，中國(guó)的IPv4頂級(jí)域名基本上用完了。

　　截至2019年12月，全球約有6.5億個(gè)有效網(wǎng)絡(luò)域名，平均大概每11個(gè)人一個(gè)域名。美國(guó)大約有1.2億個(gè)有效網(wǎng)絡(luò)域名，平均每3人一個(gè)域名。而中國(guó)目前只有1840萬(wàn)個(gè)有效域名，平均每74人才有一個(gè)域名，不到世界人均水平的六分之一，是美國(guó)人均水平的二十五分之一。美國(guó)有大約1億個(gè)網(wǎng)站，中國(guó)則只有320萬(wàn)個(gè)網(wǎng)站，相差30多倍。

　　3. 雪人計(jì)劃的發(fā)起和計(jì)劃的目的

　　“雪人計(jì)劃”(Yeti DNS Project)是由美國(guó)專家和日本組織提議、中國(guó)下一代互聯(lián)網(wǎng)國(guó)家工程中心主持、中國(guó)資助的大型項(xiàng)目。

　　中國(guó)下一代互聯(lián)網(wǎng)國(guó)家工程中心(China Future Internet EngineeringCenter,CFIEC)，是由北京市發(fā)改委于2012年認(rèn)定的北京市工程研究中心，并于2015年由國(guó)家發(fā)改委批復(fù)升級(jí)為國(guó)家地方聯(lián)合工程研究中心。下一代互聯(lián)網(wǎng)國(guó)家工程中心專家委員會(huì)由鄔賀銓院士（時(shí)任中國(guó)工程院副院長(zhǎng)）領(lǐng)銜，來(lái)自國(guó)內(nèi)外36位互聯(lián)網(wǎng)基礎(chǔ)技術(shù)領(lǐng)域最具影響力的專家學(xué)者共同組成。

　　2015年6月23日,由中國(guó)下一代互聯(lián)網(wǎng)工程中心(CFIEC)牽頭，聯(lián)合日本WIDE機(jī)構(gòu)(M根服務(wù)器運(yùn)營(yíng)者)、因特網(wǎng)先驅(qū)美國(guó)Paul Vixie(保羅·維克謝)博士、因特網(wǎng)域名工程中心(ZDNS)等組織和個(gè)人共同發(fā)起、創(chuàng)立了雪人計(jì)劃。

　　雪人計(jì)劃是美國(guó)Paul Vixie(保羅·維克謝)博士和日本WIDE機(jī)構(gòu)提議的。雪人計(jì)劃英文名Yeti DNS Project中的Yeti是日文“雪人”的英譯。保羅·維克謝是因特網(wǎng)的先驅(qū)者、國(guó)際因特網(wǎng)名人堂入選者。他是美國(guó)遠(yuǎn)見(jiàn)安全(Farsight Security)公司的董事長(zhǎng)和首席執(zhí)行官。

　　“雪人計(jì)劃(YetiDNS Project)”是基于全新技術(shù)架構(gòu)的全球下一代因特網(wǎng)(IPv6)根服務(wù)器測(cè)試和運(yùn)營(yíng)實(shí)驗(yàn)項(xiàng)目，其目的是打破現(xiàn)有的13個(gè)根服務(wù)器困局，為下一代因特網(wǎng)提供更多的根服務(wù)器解決方案。

　　4. 全球IPv6網(wǎng)絡(luò)和雪人計(jì)劃的意義

　　4.1. 雪人計(jì)劃的成果和全球IPv6網(wǎng)絡(luò)

　　經(jīng)過(guò)兩年半的實(shí)施，到2017年12月底，雪人計(jì)劃基本完成，取得了很大成果。主要成果是建立了聯(lián)結(jié)16個(gè)國(guó)家的IPv6網(wǎng)絡(luò)。

　　截至2017年11月26日，在與現(xiàn)有IPv4根服務(wù)器體系架構(gòu)充分兼容基礎(chǔ)上，雪人計(jì)劃在美國(guó)、日本、印度、俄羅斯、德國(guó)、法國(guó)等全球16個(gè)國(guó)家完成25臺(tái)IPv6根服務(wù)器設(shè)置，形成了13臺(tái)原有IPv4根服務(wù)器加25臺(tái)IPv6根服務(wù)器的新格局。其中中國(guó)部署了4臺(tái)根服務(wù)器，包括1臺(tái)主根服務(wù)器(不是真正的主根服務(wù)器)和3臺(tái)輔根服務(wù)器。

　　4.2. 雪人計(jì)劃的積極意義

　　雖然雪人計(jì)劃只是一個(gè)測(cè)試計(jì)劃，而且雪人計(jì)劃的實(shí)施、完成未能保障中國(guó)互聯(lián)網(wǎng)的安全，但是，完成雪人計(jì)劃還是有積極意義的。

　　雪人計(jì)劃的積極意義如下：

　　第一，通過(guò)聯(lián)合全球機(jī)構(gòu)來(lái)做測(cè)試和試運(yùn)營(yíng)，實(shí)際驗(yàn)證在IPv6協(xié)議下根服務(wù)器可以突破13臺(tái)的限制，并且獲得了第一手的運(yùn)營(yíng)、故障排查和維護(hù)的經(jīng)驗(yàn)，為IPv4網(wǎng)絡(luò)過(guò)渡到IPv6網(wǎng)絡(luò)掃清了技術(shù)上的障礙。

　　第二，在全世界范圍內(nèi)獲得了一大批支持的國(guó)家。他們?cè)敢庖黄鹪贗Pv6時(shí)代共同治理全球因特網(wǎng)，形成了打破全球因特網(wǎng)由美國(guó)單邊治理的共識(shí)。

　　第三，當(dāng)IPv6時(shí)代真正來(lái)臨的時(shí)候，如果美國(guó)依然想控制根服務(wù)器，中國(guó)有技術(shù)能力和影響力來(lái)召集眾多“盟友”與之抗衡。事實(shí)上，美國(guó)已經(jīng)意識(shí)到因特網(wǎng)單邊管治的時(shí)代可能會(huì)結(jié)束，所以很早就作為一個(gè)成員國(guó)參與了雪人計(jì)劃IPv6網(wǎng)絡(luò)的測(cè)試。

　　5. 雪人計(jì)劃沒(méi)有解決中國(guó)的網(wǎng)絡(luò)安全問(wèn)題

　　很多人說(shuō)，“因?yàn)橹袊?guó)現(xiàn)在有了4個(gè)根服務(wù)器，所以在IPv6時(shí)代我們完全可以和美國(guó)在因特網(wǎng)治理上平起平座了”;“中國(guó)有獨(dú)立自主、安全可靠的IPv6網(wǎng)絡(luò)系統(tǒng)了”。事實(shí)并非如此。

　　(一)雪人計(jì)劃是一個(gè)在測(cè)試環(huán)境中的“實(shí)驗(yàn)室”項(xiàng)目。該計(jì)劃已經(jīng)在2017年12月底結(jié)束。它是一個(gè)暫時(shí)的、允許失敗的前期技術(shù)測(cè)試項(xiàng)目，嚴(yán)格地來(lái)說(shuō)甚至不能算作是“技術(shù)原型”，更不是在生產(chǎn)環(huán)境中的“官方”根服務(wù)器部署。

　　中國(guó)正在努力推進(jìn)IPv6根服務(wù)器在中國(guó)的落地。但是，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)理事長(zhǎng)鄔賀銓院士說(shuō)：“我們國(guó)家在探討IPv6建設(shè)過(guò)程中，提出過(guò)要增強(qiáng)(IPv6)主根的部署。不過(guò)尚不明確主根最終能否以及有多少可以建在國(guó)內(nèi)。”

　　(二)雪人計(jì)劃設(shè)立的中國(guó)IPv6“主根服務(wù)器”并非完全獨(dú)立，不是真正的主根服務(wù)器，而是在美國(guó)的IPv4主根服務(wù)器之下的測(cè)試性服務(wù)器。IPv6根服務(wù)器繼承了IPv4中F根服務(wù)器(設(shè)在美國(guó)弗吉尼亞州)中的基礎(chǔ)數(shù)據(jù)，包括所有頂級(jí)域名的數(shù)據(jù)。中國(guó)的IPv6“主根服務(wù)器”受美國(guó)的IPv4主根服務(wù)器和F服務(wù)器的控制、監(jiān)視。

　　(三)從技術(shù)上來(lái)看，根服務(wù)器之間也并不平等。雪人計(jì)劃新增的25臺(tái)IPv6根服務(wù)器的地位事實(shí)上要低于之前的13臺(tái)IPv4根服務(wù)器。正如鄔賀銓院士所說(shuō)，“IPv4的根服務(wù)器對(duì)IPv6的根服務(wù)器依然擁有解釋權(quán)。所以即便未來(lái)中國(guó)有了IPv6的根服務(wù)器，也并不意味著中國(guó)就能起到主導(dǎo)作用。”

　　(四)IPv6的安全性能不如IPv4。在IPv4網(wǎng)絡(luò)，網(wǎng)站(因特網(wǎng)空間實(shí)體)IP地址可以是動(dòng)態(tài)的。而在IPv6網(wǎng)絡(luò)，每一個(gè)網(wǎng)站都有一個(gè)確定的、靜態(tài)IP地址，所以IPv6系統(tǒng)便于敵人對(duì)目標(biāo)網(wǎng)站精準(zhǔn)定位，精準(zhǔn)打擊。因此，美國(guó)政府部門和美國(guó)軍隊(duì)都不使用IPv6。美國(guó)是故意推給中國(guó)用大量經(jīng)費(fèi)建設(shè)試驗(yàn)性IPv6系統(tǒng)，而不是沒(méi)有能力建設(shè)IPv6系統(tǒng)。

　　(五)基于“同一個(gè)世界，同一個(gè)互聯(lián)網(wǎng)，同一個(gè)域名空間”的理念，雪人計(jì)劃沒(méi)有試圖進(jìn)行“域名空間分叉”。雪人計(jì)劃所做的所有測(cè)試都是基于IPv4的架構(gòu)下的拓展，而并非“另起爐灶”重新建立一套新的域名管理系統(tǒng)和根服務(wù)器。這就是說(shuō)，無(wú)論是IPv4網(wǎng)絡(luò)還是IPv6網(wǎng)絡(luò)，全球因特網(wǎng)的總核心、主干網(wǎng)、總樞紐、主根服務(wù)器、萬(wàn)維網(wǎng)總站仍然在美國(guó)，由美國(guó)的企業(yè)控制和管理。

　　因此，IPv6和雪人計(jì)劃根本沒(méi)有解決中國(guó)的網(wǎng)絡(luò)安全問(wèn)題。

　　6. 雪人計(jì)劃之后的任務(wù)和目標(biāo)

　　雪人計(jì)劃在2017年12月基本完成。雪人計(jì)劃完成之后，關(guān)于IPv6網(wǎng)絡(luò)，中國(guó)的后續(xù)任務(wù)和目標(biāo)是什么?

　　據(jù)新華社2017年11月26日?qǐng)?bào)道，近日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，并發(fā)出通知，要求各地區(qū)各部門結(jié)合實(shí)際認(rèn)真貫徹落實(shí)。《計(jì)劃》要求，用5到10年時(shí)間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)，實(shí)現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的主導(dǎo)力量。

　　中國(guó)“成為全球下一代互聯(lián)網(wǎng)發(fā)展的主導(dǎo)力量”是十年的目標(biāo)。

　　但是，正如我們?cè)诘谝徊糠炙f(shuō)，全球因特網(wǎng)由美國(guó)主導(dǎo)，受美國(guó)控制。因此，即使中國(guó)十年內(nèi)(到2027年)建成了“全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)”，也不可能“成為全球下一代互聯(lián)網(wǎng)發(fā)展的主導(dǎo)力量”。中國(guó)要成為全球IPv6網(wǎng)絡(luò)的主導(dǎo)力量，必須花30年左右時(shí)間。

　　要保障中國(guó)的互聯(lián)網(wǎng)安全，必須完成三項(xiàng)關(guān)鍵任務(wù)。本文不討論此任務(wù)。

× 烏有之鄉(xiāng) WYZXWK.COM

您的打賞將用于網(wǎng)站日常運(yùn)行與維護(hù)。
幫助我們辦好網(wǎng)站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉(xiāng)網(wǎng)刊微信公眾號(hào)