IPv6、雪人計劃和網(wǎng)絡(luò)安全

隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透全世界的各個角落，政治、軍事、經(jīng)濟、科技、文化、教育、醫(yī)療、生活、金融等
各個領(lǐng)域都被互聯(lián)網(wǎng)聯(lián)系在一起了。網(wǎng)絡(luò)安全已是國家重大戰(zhàn)略。今天聊聊IPv6、雪人計劃和網(wǎng)絡(luò)安全這個話題

我們網(wǎng)絡(luò)安全存在的致命問題

網(wǎng)絡(luò)無根

根服務(wù)器是互聯(lián)網(wǎng)的中樞。中國是互聯(lián)網(wǎng)大國，網(wǎng)民人數(shù)居世界首位，在本土卻沒有一臺根服務(wù)器。全球有13個根服務(wù)

器，600多個鏡像，我國僅有5個鏡像，而且這些鏡像服務(wù)器物理上在我國境內(nèi)，但由其所對應(yīng)的境外的根服務(wù)器運營方

所管理。

從理論上說，任何形式的標準域名要想被實現(xiàn)解析，按照技術(shù)流程，都必須經(jīng)過全球“層級式”域名解析體系的工作，

才能完成?！皩蛹壥健庇蛎馕鲶w系第一層就是根服務(wù)器，負責管理世界各國的域名信息，在根服務(wù)器下面是頂級域名

服務(wù)器，即相關(guān)國家域名管理機構(gòu)的數(shù)據(jù)庫，如中國的CNNIC，然后是在下一級的域名數(shù)據(jù)庫和ISP的緩存服務(wù)器。一個

域名必須首先經(jīng)過根數(shù)據(jù)庫的解析后，才能轉(zhuǎn)到頂級域名服務(wù)器進行解析。我國互聯(lián)網(wǎng)依賴外方控制的根服務(wù)器解析頂

級域名，目前控制互聯(lián)網(wǎng)的主根服務(wù)器是被美國控制，一旦發(fā)現(xiàn)緊急情況，缺少應(yīng)變和反制手段。

2003年伊拉克戰(zhàn)爭期間，美國政府就曾終止對伊拉克國家項級域名“IQ”的解析，致使所有以“IQ”為后綴的網(wǎng)站瞬間

從互聯(lián)網(wǎng)上消失。

2004年4月，由于與美國發(fā)生分歧，利比亞頂級域名“LY”突然癱瘓，利比亞在互聯(lián)網(wǎng)世界里消失了4天。

2014年1月，美國一臺根服務(wù)器發(fā)生故障約20分鐘，大批中國網(wǎng)站無法訪問，嚴重影響了中國的網(wǎng)絡(luò)主權(quán)安全。
如果這種情況發(fā)生在中國，將對我國的經(jīng)濟、教育、醫(yī)療、金融等領(lǐng)域產(chǎn)生嚴重的后果。并且美國也在用科技霸權(quán)不斷

制裁我們，因此擁有獨立自主，安全可控的網(wǎng)絡(luò)環(huán)境，已是國家重大戰(zhàn)略。

“雪人計劃”的實施及重大意義

由于IPv4幀結(jié)構(gòu)單個報文長度的限制，現(xiàn)有13個IPv4根服務(wù)器基本上不可能再擴展，目前在IPv4的DNS體制下雖然也有

過若干改進方案，但都不能解決頂級域名解析的可控問題。

但是隨著IPV6技術(shù)的實施，我國在根服務(wù)器部署方面迎來了新的機會，2015年6月23日,由中國下一代互聯(lián)網(wǎng)工程中心（

CFIEC）牽頭，聯(lián)合日本W(wǎng)IDE機構(gòu)（M根服務(wù)器運營者）、因特網(wǎng)先驅(qū)美國Paul Vixie（保羅·維克謝）博士、因特網(wǎng)域

名工程中心（ZDNS）等組織和個人共同發(fā)起、創(chuàng)立了雪人計劃。

計劃在2015年6月底前，面向全球招募25個根服務(wù)器運營志愿單位，共同對IPv6根服務(wù)器運營、域名系統(tǒng)安全擴展密鑰

簽名和密鑰輪轉(zhuǎn)等方面進行測試驗證。 截至2017年11月28日，“雪人計劃”已經(jīng)在全球架設(shè)了25臺IPv6根服務(wù)器，其

中1臺主根和3臺輔根在中國。

“雪人計劃”首次提出并實踐“一個命名體系，多種尋址方式”的下一代互聯(lián)網(wǎng)根服務(wù)器技術(shù)方案，打破固守現(xiàn)有13個

根服務(wù)器的運營者“神圣不可侵犯”、“數(shù)量不可改變”的教條，可以引入更多根服務(wù)器運營者，同時也能保證一個命

名體系不被破壞，真正實現(xiàn)多方共治的 “一個世界，一個互聯(lián)網(wǎng)”的愿景。


 雪人計劃沒有從根上解決中國的網(wǎng)絡(luò)安全現(xiàn)狀

1、雪人計劃是一個“實驗室”項目。該計劃已經(jīng)在2017年12月底結(jié)束。
中國正在努力推進IPv6根服務(wù)器在中國的落地。但是，中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓院士說：“我們國家在探討IPv6建

設(shè)過程中，提出過要增強（IPv6）主根的部署。不過尚不明確主根最終能否以及有多少可以建在國內(nèi)。”

2、雪人計劃設(shè)立的中國IPv6“主根服務(wù)器”不是真正的主根服務(wù)器。IPv6根服務(wù)器使用了IPv4中F根服務(wù)器（設(shè)在美國

弗吉尼亞州）中的基礎(chǔ)數(shù)據(jù)，包括所有頂級域名的數(shù)據(jù)。中國的IPv6“主根服務(wù)器”受美國的IPv4主根服務(wù)器和F服務(wù)

器的控制、監(jiān)視。

3、從技術(shù)上來看，根服務(wù)器之間也并不平等。雪人計劃新增的25臺IPv6根服務(wù)器的地位事實上要低于之前的13臺IPv4

根服務(wù)器。正如鄔賀銓院士所說，“IPv4的根服務(wù)器對IPv6的根服務(wù)器依然擁有解釋權(quán)。所以即便未來中國有了IPv6的

根服務(wù)器，也并不意味著中國就能起到主導作用?！?br />
4、IPv6的安全性能不如IPv4。在IPv4網(wǎng)絡(luò)，網(wǎng)站（因特網(wǎng)空間實體）IP地址可以是動態(tài)的。而在IPv6網(wǎng)絡(luò)，每一個網(wǎng)

站都有一個確定的、靜態(tài)IP地址，所以IPv6系統(tǒng)便于敵人對目標網(wǎng)站精準定位，精準打擊。因此，美國政府部門和美國

軍隊都不使用IPv6。美國是故意推給中國用大量經(jīng)費建設(shè)試驗性IPv6系統(tǒng)，而不是沒有能力建設(shè)IPv6系統(tǒng)。

5、基于“同一個世界，同一個互聯(lián)網(wǎng)，同一個域名空間”的理念，雪人計劃沒有試圖進行“域名空間分叉”。雪人計

劃所做的所有測試都是基于IPv4的架構(gòu)下的拓展，而并非“另起爐灶”重新建立一套新的域名管理系統(tǒng)和根服務(wù)器。這

就是說，無論是IPv4網(wǎng)絡(luò)還是IPv6網(wǎng)絡(luò)，全球因特網(wǎng)的總核心、主干網(wǎng)、總樞紐、主根服務(wù)器、萬維網(wǎng)總站仍然在美國

，由美國的企業(yè)控制和管理。

因此，IPv6和雪人計劃根本沒有解決中國的網(wǎng)絡(luò)安全問題。

即使這樣，“雪人計劃”也是中國在互聯(lián)網(wǎng)治理中邁出的重要一步，為建立多邊、民主、透明的國際互聯(lián)網(wǎng)治理體系打

下堅實基礎(chǔ)。要想完全獨立于美國，我們還需要付出更多努力。