牟承晉：我國網信領域主權、創新與反封閉

　　一

　　長期以來，我國網絡信息領域彌漫著一些奇談怪論。例如，“中國互聯網”是中國主權范圍的網絡，不是美國互聯網(Internet)的一部分;互聯網(Internet)技術是全球標準，中國已經成為IPv6標準化組織的主要貢獻者;中國自主研發的十進制網絡是“搞封閉的互聯網”，不代表正能量;等等，云云。說者錚錚有詞、信誓旦旦，聽者云山霧罩、莫名其妙。

　　曾幾何時，有人熱衷于鼓吹1994年我國全面接入因特網，怎么又不敢承認中國的公眾網絡是因特網的一部分?依照美國的協議標準，租用美國因特網的域名地址、在美國的主權網絡框架內建設的“中國互聯網”，不是Internet，難道是Chinanet?因特網的一大推“規則”、“規矩”、“規范”，這也不許改，那也不能變，誰也不準破，究竟是因特網一直在蓄意封閉(封鎖與打壓)中國自主研發主權網絡?還是中國的自主研發封閉了因特網?究竟是誰那么害怕中國自主研發和創建主權網絡?

　　堅決維護國家主權、安全、發展利益，是我國堅定不移建設網絡強國、數字中國的整體底線思維。主權不是簡單膚淺的意識和概念，而是統籌國家發展和安全明確清晰的原則基礎，是世界網絡空間命運共同體的原則基礎。中國的主權網絡，在主權獨立的基石上與美國乃至世界各國的主權獨立網絡互連互通，絕不是、也不可能是美國主權網絡的一部分，任何從屬于他國主權網絡的組成都絕不是主權獨立的網絡。這是大是大非。

　　黨和國家堅持提倡、激勵和扶持的自主創新，從來就是基于我國國家主權、安全、發展利益的創新，與封閉、與為他國他人的技術協議“突出貢獻”扯不上任何關系。這是基本的常識、起碼的道理。

　　必須提醒注意的是，在網信領域，任何技術協議之所以成為標準，是為了在互連、互通、互操作中規范與維護相互安全的行為。任何標準都不是也不能是固化、僵化危及和侵害他國主權、安全、發展利益的工具。

　　比方，物理網絡(有形的硬件和軟件)是人體的骨骼和肌肉，邏輯網絡(包括所有的協議和數據)就是人體的神經脈絡，通過自主行為人(主治醫生)對數據的態勢感知(基于經驗積累的望聞問切)，獲取動態與靜態信息并運籌控制(因人而異的對癥診斷及實施治療)。可見，標準和標準化行為，只是經驗積累方法的傳授推廣，不是格式化、標本化的形而上學工具。

　　當今全球化信息環境(或“網絡信息空間”)是一個在不斷進化、深化、細化中的復雜巨系統，既有已知林林總總的組件，更有未知層出不窮的因素。正是由于“未知”因素的存在和生成，觸發了建立“安全”措施的意識、制衡和對抗，并逐步演變匯集成為“數據治理”，以及“信息優勢”和“決策優勢”。政治權力、經濟利益和社會效應，深深地嵌入所有“安全”標準之中，無論是國際標準、國家標準還是行業、企業標準。從里到外透射“美國優先”、“美國利益至上”的協議和標準，更是如此。

　　二

　　《中國信息安全》雜志2018年第1期刊發的院士署名文章《IPv6與網絡安全》中說，現實網絡開放環境中節點間的通信，更多地采用上層更為靈活的TLS(Transport Layer Security，傳輸層安全)或SSL(Secure Sockets Layer，安全套接字層)協議實現加密，與TLS在全世界的普遍使用相比，IPsec(Internet Protocol Security，Internet協議安全性)的加密流量幾乎可以忽略不計。因此，作者斷定，“IPsec(Internet Protocol Security，Internet協議安全性)不會成為推廣IPv6的障礙”。

　　不能不嚴肅地指出，上述文章發表時，SSL(Secure Sockets Layer，安全套接字層)協議，2015年就被作者推崇的美國因特網工程任務組(IETF)廢棄了，文件號是RFC 7568。作者是掩耳盜鈴、自欺欺人，還是故意給國人制造科技迷霧?

　　TLS(Transport Layer Security，傳輸層安全)是在傳輸層與應用層之間對網絡連接進行加密的一種協議，目前版本為1.3。且不斷演變，并非一成不變、固步自封。　　

　　2013年，斯諾登披露美國國家安全局(NSA)竊聽丑聞后， IETF組織開發TLS版本1.3，旨在改善與強化“美國優先”的因特網安全。從2014年4月提出TLS 1.3建議，到2018年8月成為擬議標準(RFC 8446)，歷時4年，修改了28個版本。也就是說，最后形成相對穩定適用的TLS 1.3版本，是在上述文章發表之后的7個月。作者有先見之明?還是盲人摸象?

　　此間，美國和世界的人權活動家(作者并不在此列)加入到IETF，提倡將人權“固化”(Hard Coded)在網絡通信協議標準中。這些重要而值得關注的問題，即技術標準是否“具有”政治性，以及協議設計在多大程度上體現或強制表現整個社會的價值，揭示了網絡協議(技術標準)的實質。

　　盡管IETF解釋，TLS 1.3 提供了對協商握手的加密，增強了防護數據在交換中被竊聽及隱私保護的功能，有望在未來20年或更長時間里，為因特網提供更安全、更高效的基礎。盡管對TLS 1.3的技術分析表明，TLS 1.3確實可以在一定程度上增強保密性和技術效率。但是，TLS 1.3仍受到全球業界(尤其是政府網絡和企業網絡)的明確抵制。

　　上述文章發表10個月、TLS 1.3最終版本出臺3個月后的2018年11月，歐洲電信標準化協會(ETSI)發布了替代TLS 1.3的“中間系統安全協議”(Middlebox Security Protocol，TS 103 523-3)，又被稱為是行業TLS(eTLS)。

　　這就是說，盡管歐洲電信標準化協會(ETSI)的eTLS包含(支持)IETF的TLS 1.3，但是在制定網絡數據傳輸加密協議標準上，存在不同利益相關方的需求、訴求以及協議的特定保護性功能取向。

　　同樣的道理，IPv6作為網絡互連的一個協議棧(Protocol Stack)，其標準的制定和發布、采納和遵守、部署和實施，也無可避免地存在不同利益相關方的需求和訴求。當涉及到“網絡安全”，更是關系一個協議族(Protocol Suit)的問題。

　　基于“網絡安全”的網絡協議標準化，實則是人為制定一個“安全”的概念框架，并不能囊括“安全”實際發生與潛在威懾的全部和全局。認知技術標準、政治影響和社會效應之間的相互關系，主要包括三個方面不同的表現形式：

　　1)政治權力，把政治和權力的爭奪嵌入技術標準;

　　2)經濟利益，將不同商業(或經濟)利益集團的訴求嵌入技術標準;

　　3)社會效應，注重和顧及與政治權力、經濟利益密切相關的社會效應的疊加、遞歸、連鎖、輻射、滲透的影響，逐步采納和實施不斷改善的技術標準。

　　顯而易見，采納和部署一個美國單方面制訂的網絡協議(如IPv6)，不可能改變其中固有的政治權力和經濟利益，也不可能適應不同主權國家的特定社會效應。以解決網絡地址短缺為由輕易地規模部署IPv6，人為割裂、掩蓋層出不窮潛在和不斷涌現的網絡安全問題，極其不負責任地交由用戶放任自流、聽天由命或自行消化解決，本末倒置，是非顛倒，貽害無窮。

　　三

　　據主流媒體報道，2018年12月21日，某專家委員會的“產業發展研討會”提出：“當前，網絡的安全威脅主要是來自于設備漏洞和后門，而不是網絡協議本身，網絡協議是由技術標準來規范的，是全球公開的。”真是這樣嗎?這個說法引出三個必須正視和澄清的問題：

　　1)網絡設備的漏洞和后門與網絡協議無關嗎?

　　2)網絡協議由技術標準規范就是安全的嗎?

　　3)我們對“全球公開”的網絡協議，知之多少?

　　一個不爭的事實是，我國的公眾網絡是以“全面接入”因特網即全面引進、集成、模仿、應用因特網發展而來的。對于網絡協議獨立自主的基礎研究、系統驗證和針對性創新投入甚少，追崇、迷信了幾十年。所謂“免費”的網絡協議、技術標準亦迷惑了我們幾十年。善良的中國網民一直以為，“免費”的網絡協議，即使有安全漏洞也用不著我們操心!

　　請問某專家委員會，究竟有幾人認真讀過相互依存的協議棧? 又有幾人仔細分析過相互關聯的協議族?有幾人曾有研發關鍵協議的努力、嘗試和成果?

　　“網絡安全”威脅和危機，被引導(甚至誤導)成為僅限于約定俗成的有形硬件和軟件的“漏洞和后門”，幾乎完全忽視了網絡通信的邏輯安全(如網絡協議和數據)、行為安全(如開源情報和態勢感知)以及運籌安全(如指揮和控制)。這不是一般的認識差距，而是專業知識水平和網絡技術的迭代差距。

　　2009年3月，英國倫敦經濟和政治科學研究院(LSE)題為“中國與域名系統”的研究報告明確指出：“DNS域名系統是固有政治的技術”。“固有政治”指的是因特網域名系統DNS，其“電話簿”功能是現象，因特網域名地址的“導航”以及指揮和控制能力是本質，“美國優先”的政治元素被深嵌其中。

　　1982年，美國國防部國防高級研究計劃局(DARPA)，資助加州大學伯克利分校的研究生開發了DNS軟件版本BIND;2000年，美國國土安全部資助互聯網系統聯盟公司(ISC)重新開發了DNS軟件版本BIND 9。DNS在因特網的協議族中是一個極其特殊的協議棧，其隨著因特網的發展不斷地修正和擴展。據IETF文檔編輯統計，從1986年1月到2020年10月，IETF發布的DNS 相關規范性文檔(RFC)共計 291 個：　　

　　另一方面，DNS軟件BIND又被稱為是“事實上的標準”(de facto Standard)，且提供開放的服務和免費下載使用。

　　歐洲在網絡數據傳輸的加密協議上仍然是“當仁不讓”，以歐洲電信標準化協會(ETSI)的eTLS，替代了IETF的TLS 1.3，或并存。

　　同樣，荷蘭網絡實驗室(NLNet Labs)在2002年5月啟用了自研的權威DNS軟件NSD，并于2007年2月發布遞歸DNS軟件Unbound，完全替代了“固有(美國)政治”的DNS軟件 BIND 9，或并存。

　　俄羅斯進行“主權互聯網”斷網測試演習時，一個被忽略的重要因素，是俄羅斯重要的網絡門戶Yandex，在2013年4月全面(包括在獨聯體國家)啟用了自研的DNS軟件yDNS，與自研的網絡搜索引擎2010-5和網絡瀏覽器2012-10結合，確保實現90%的網絡流量在本土流通，以應對來自境外的“斷網”。

　　從歐洲和俄羅斯對網絡通信協議標準的態度和行動，可見因特網及各國網絡之間協議標準的“規范”和“公開”，并不能成為約束條件或形成實際束縛，也并不是完全排他的“自主可控”，關鍵在于所代表的“國家主權、安全、發展利益”的原則立場，以及圍繞其立場產生與形成的邏輯性和系統性的風險意識。

　　1)在“網絡安全”上的認識和方向，突出地表現于兩個典型的“極端”錯誤悖論，即：

　　⑴“網絡的安全威脅主要是來自于設備漏洞和后門，而不是網絡協議本身”;

　　⑵“在TLS/SSL加密協議出現后，IPsec 就不再是不可替代的”，所以“IPsec不會成為推廣IPv6的障礙”。

　　上述悖論將“網絡安全”簡單化和片面化，既忽視忽略網絡協議本身存在的“固有政治”及安全問題，又生搬硬套地把單一網絡協議(IPv6)的互連性作為網絡安全能力人為地強化與夸大。上述悖論在國內網絡安全產業界造成相當大的逆向影響和差距，迫使用戶一味“委身”求全，各種“馬甲”成風。

　　2)網絡協議是基礎性技術，既有歷史的沿革，又有發展的創新。對標美國、歐洲、俄羅斯，我國網絡信息領域關鍵的缺失和差距，在于基礎性研究和積累嚴重匱乏，概念和理念上的轉型及定義和定位嚴重滯后。

　　3)總書記“沒有網絡安全就沒有國家安全”的論述，清楚地指出了“國家安全”標準化框架主要由三個宏觀要素構成，即：政治權力，經濟利益，社會效應。或可概括為“國家主權、安全、發展利益”。這三個要素也是主導各國制定“標準化協議”的三個原驅動力。

　　對于堅定不移建設網絡強國、數字中國的中國黨政軍民來說，應當充分、深刻地認識“技術不是中立的”重要性，徹底打破思想上、意志上、行動上的自我封閉，開創沖破美國技術封閉壁壘的自主創新發展新格局，堅決維護國家主權、安全、發展利益，在當前的全球性網信安全斗爭中，舉國協力、同心同德“發揚斗爭精神，樹立底線思維，準確識變、科學應變、主動求變，善于在危機中育先機、于變局中開新局，抓住機遇，應對挑戰，趨利避害，奮勇前進。”

　　(本文感謝邱實提供技術資料、給予技術指導。2020年11月27日完稿)

× 烏有之鄉 WYZXWK.COM

您的打賞將用于網站日常運行與維護。
幫助我們辦好網站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉網刊微信公眾號