IPv6、雪人計劃與中國互聯網安全

　　因特網（Internet）自從1969年誕生以來，發展迅猛。現在，世界各國的政治、軍事、經濟、科技、文化、教育、醫療、生活、金融等各個領域都被因特網聯系在一起了。

　　因此，全球因特網（中國叫互聯網）的安全對于世界各國都是十分重要的問題。

　　1.中國互聯網安全存在的致命問題

　　全球因特網的總樞紐（樹根）、數據交換中心、主干網（樹干）、主根服務器、Web總站等都在美國。美國因特網是全球因特網的根和主干；而中國互聯網是全球因特網的分支（樹枝）。

　　從美國的全球因特網總樞紐到中國，有三條海底光纜管道、六根光纜，分別到青島、上海（崇明島）、汕頭。這三條海底光纜與中國內地的互聯網光纜干線聯結。

　　因此，中國不存在網絡主權。美國可以在半個小時之內使得中國的互聯網系統癱瘓，從而使中國的城市交通監控系統、鐵路調度系統、電力調度系統、航空管理系統、金融網絡系統、公共安全監控系統等網絡系統和大型重要信息系統癱瘓。

　　中國科學院信息安全國家重點實驗室呂述望教授（北京知識安全工程中心主任）曾經正確地指出：“美國隨時可以關掉中國的互聯網。”

　　關于全球因特網的結構和美國對因特網的控制，詳見參考文獻[1]。

　　2.IPv4、IPv6和中國受到的IP地址限制

　　2.1. 網站域名、IPv4、IPv6和IP地址的概念

　　因特網上的網站集合成為萬維網(World Wide Web)，簡稱Web。

　　萬維網上的網站域名是網站的標示，通常用英語字母和數字表示。例如，中華網的域名是China.com；網易公司的電子郵箱網站的域名是163.com。每個域名都有對應的用數字表示的地址，稱為IP地址。例如，某人電腦上網用的網站IP地址是115.89.125.236。

　　IPv4和IPv6是因特網域名解析協議，其作用是把域名用數字表示，再把數字轉換成機器代碼。因特網域名解析協議是公開的技術，而不是秘密的技術。

　　IPv4(Internet Protocolversion 4)使用2進制域名IP地址。IPv4的域名IP數字地址有32位。IP地址的個數是2的32次方，包含了大約42億個IP地址。現在，全球的網站大部分仍然使用IPv4地址。

　　IPv6(InternetProtocol version 6)也使用2進制域名IP地址。IPv6的域名IP數字地址有128位。IP地址的個數是2的128次方。因此，IPv6的域名IP地址足夠人類使用萬萬億年。

　　2.2. 中國受到IPv4網絡IP地址的限制

　　IPv4域名地址是由美國商務部所屬機構分配的。

　　中國的因特網用戶占全球的25%。但是，中國只擁有5%的IP地址。中國被分配的IP地址少于印度。美國麻省理工學院（MIT）一所大學占有的IPv4頂級域名比中國全國占有的IPv4頂級域名還多。美國的IPv4域名地址可以用到2030年以后，但是，中國的IPv4頂級域名IP地址現在已經用完了。

　　截至2021年12月，全球約有7億個有效網站域名，平均大概每10個人1個域名。美國大約有1.3億個有效網站域名，平均每100個人有40個域名。截至2021年6月，中國域名總數為3136萬個【見《中國互聯網發展報告（2021）》】，平均每40個人有一個域名，是世界人均水平的1/4，美國人均水平的1/16。美國有大約1億個網站，中國則只有320萬個網站，相差30多倍。

　　3.雪人計劃的發起和計劃的目的

　　“雪人計劃”（YetiDNS Project）是由美國專家和日本組織提議、中國下一代互聯網國家工程中心主持、中國資助的大型項目。

　　中國下一代互聯網國家工程中心(China Future Internet Engineering Center, CFIEC)，是由北京市發改委于2012年認定的北京市工程研究中心，并于2015年由國家發改委批復升級為國家地方聯合工程研究中心。下一代互聯網國家工程中心專家委員會由鄔賀銓院士（時任中國工程院副院長）領銜，來自國內外36位互聯網基礎技術領域最具影響力的專家學者共同組成。

　　2015年6月23日,由中國下一代互聯網工程中心（CFIEC）牽頭，聯合日本WIDE機構（M根服務器運營者）、因特網先驅美國Paul Vixie（保羅·維克謝）博士、因特網域名工程中心（ZDNS）等組織和個人共同發起、創立了雪人計劃。

　　雪人計劃是美國Paul Vixie（保羅·維克謝）博士和日本WIDE機構提議的。雪人計劃英文名Yeti DNS Project中的Yeti是日文“雪人”的英譯，而不是中文“雪人”英譯（Snow Man）。保羅·維克謝（Paul Vixie）是因特網的先驅、國際因特網名人堂入選者。他是美國遠見安全(Farsight Security)公司的董事長和首席執行官（CEO）。

　　“雪人計劃（Yeti DNS Project）”是基于全新技術架構的全球下一代因特網（IPv6）根服務器測試和運營實驗項目，其目的是打破現有的13個根服務器困局，為下一代因特網提供更多的根服務器解決方案。

　　4.全球IPv6網絡和雪人計劃的意義

　　4.1. 雪人計劃的成果和全球IPv6網絡

　　經過兩年半的實施，到2017年12月底，雪人計劃基本完成，取得了很大成果。主要成果是建立了聯結16個國家的IPv6網絡。

　　截至2017年11月26日，在與現有IPv4根服務器體系架構充分兼容基礎上，雪人計劃在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺IPv6根服務器設置，形成了13臺原有IPv4根服務器加25臺IPv6根服務器的新格局。其中中國部署了4臺根服務器，包括1臺主根服務器（不是真正的主根服務器）和3臺輔根服務器。

　　4.2. 雪人計劃的積極意義

　　雖然雪人計劃只是一個測試計劃，而且雪人計劃的實施、完成未能保障中國互聯網的安全。但是，完成雪人計劃還是有積極意義的。

　　雪人計劃的積極意義如下：

　　第一，通過聯合全球機構來做測試和試運營，實際驗證在IPv6協議下根服務器可以突破13臺的限制，并且獲得了第一手的運營、故障排查和維護的經驗，為IPv4網絡過渡到IPv6網絡掃清了技術上的障礙。

　　第二，在全世界范圍內獲得了大批國家的支持。他們愿意一起在IPv6時代共同治理全球因特網，形成了打破全球因特網由美國單邊治理的共識。

　　第三，當IPv6時代真正來臨的時候，如果美國依然想控制根服務器，中國有技術能力和影響力來召集眾多“盟友”與之抗衡。事實上，美國已經意識到因特網單邊管治的時代可能會結束，所以很早就作為一個成員國參與了雪人計劃IPv6網絡的測試。

　　5.雪人計劃沒有解決中國的互聯網安全問題

　　很多不知道內情的業界人士說，甚至有些冒牌的專家也說：“因為中國現在有了4個根服務器，所以在IPv6時代我們完全可以和美國在因特網治理上平起平坐了”；“中國有獨立自主、安全可靠的IPv6網絡系統了”。

　　事實并非如此。

　　第一，雪人計劃是一個在測試環境中的“實驗室”項目。該計劃已經在2017年12月底結束。它是一個暫時的、允許失敗的前期技術測試項目，嚴格地來說甚至不能算作是“技術原型”，更不是在生產環境中的“官方”根服務器部署。

　　中國正在努力推進IPv6根服務器在中國的落地。但是，中國互聯網協會理事長鄔賀銓院士說：“我們國家在探討IPv6建設過程中，提出過要增強（IPv6）主根的部署。不過尚不明確主根最終能否以及有多少可以建在國內。”這是因為，根服務器的布局分配必須經過美國控制的ICANN（因特網域名與數字地址分配公司）批準。

　　第二，雪人計劃設立的中國IPv6“主根服務器”并非完全獨立，不是真正的主根服務器，而是在美國的IPv4主根服務器之下的測試性服務器。

　　IPv6根服務器繼承了IPv4中F根服務器（設在美國弗吉尼亞州）中的基礎數據，包括所有頂級域名的數據。中國的IPv6“主根服務器”受美國的IPv4主根服務器和F服務器的控制、監視。

　　第三，從技術上來看，根服務器之間也并不平等。雪人計劃新增的25臺IPv6根服務器的地位事實上要低于之前的13臺IPv4根服務器。

　　鄔賀銓院士所說：“IPv4的根服務器對IPv6的根服務器依然擁有解釋權。所以即便未來中國有了IPv6的根服務器，也并不意味著中國就能起到主導作用。”

　　第四，IPv6的安全性能不如IPv4。

　　在IPv4網絡，網站（因特網空間實體）IP地址可以是動態的。而在IPv6網絡，每一個網站都有一個確定的、靜態IP地址。這樣，IPv6系統的網站便于被敵人精準定位，精準打擊。

　　因此，美國政府部門和美國軍隊都不使用IPv6。美國是故意推給中國用大量經費建設試驗性IPv6系統，而不是沒有技術能力建設IPv6系統。

　　第五，基于美國確定的“同一個世界，同一個互聯網，同一個域名空間”的原則，雪人計劃沒有試圖進行“域名空間分叉”。雪人計劃所做的所有測試都是基于IPv4的架構下的拓展，而并非“另起爐灶”重新建立一套新的域名管理系統和根服務器。

　　這就是說，無論是IPv4網絡還是IPv6網絡，全球因特網的總樞紐、數據交換中心、主干網、主根服務器、Web總站仍然在美國，由美國的企業建設、控制和管理。

　　因此，IPv6和雪人計劃根本沒有解決中國的互聯網安全問題。

　　6.雪人計劃之后的任務和目標

　　雪人計劃在2017年12月基本完成。雪人計劃完成之后，關于IPv6網絡，中國的后續任務和目標是什么？

　　據新華社2017年11月26日報道，近日，中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》，并發出通知，要求各地區各部門結合實際認真貫徹落實。《計劃》要求，用5到10年時間，形成下一代互聯網自主技術體系和產業生態，建成全球最大規模的IPv6商業應用網絡，實現下一代互聯網在經濟社會各領域深度融合應用，成為全球下一代互聯網發展的主導力量。

　　中國“成為全球下一代互聯網發展的主導力量”是十年的目標。

　　但是，正如我們在第1節和第5節所說，無論是IPv4系統還是IPv6系統，全球因特網都由美國主導，受美國控制。因此，即使中國十年內（到2027年）建成了“全球最大規模的IPv6商業應用網絡”，也不可能“成為全球下一代互聯網發展的主導力量”。

　　如果不發生第三次世界大戰，中國要成為全球IPv6網絡的主導力量，必須花20年以上時間。

　　要保障中國的互聯網安全，必須像俄羅斯那樣，建設獨立自主的中國互聯網系統。俄羅斯建設主權因特網RuNet，花了四年時間，完成了六項任務，詳見參考文獻[2]。

　　參考文獻：

　　[1]吳國發：《全球因特網的結構和美國對因特網的控制》，知乎網，2021年11月26日。網頁鏈接：

　　https://zhuanlan.zhihu.com/p/438164416

　　[2] 吳國發《俄羅斯主權因特網RuNet的建設》，CSDN 博客，2022年4月28日。網頁鏈接：

　　https://mp.csdn.net/mp_blog/creation/editor/124486263

× 烏有之鄉 WYZXWK.COM

您的打賞將用于網站日常運行與維護。
幫助我們辦好網站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉網刊微信公眾號