隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透全世界的各個(gè)角落，政治、軍事、經(jīng)濟(jì)、科技、文化、教育、醫(yī)療、生活、金融等
各個(gè)領(lǐng)域都被互聯(lián)網(wǎng)聯(lián)系在一起了。網(wǎng)絡(luò)安全已是國(guó)家重大戰(zhàn)略。今天聊聊IPv6、雪人計(jì)劃和網(wǎng)絡(luò)安全這個(gè)話題

我們網(wǎng)絡(luò)安全存在的致命問題

網(wǎng)絡(luò)無(wú)根

根服務(wù)器是互聯(lián)網(wǎng)的中樞。中國(guó)是互聯(lián)網(wǎng)大國(guó)，網(wǎng)民人數(shù)居世界首位，在本土卻沒有一臺(tái)根服務(wù)器。全球有13個(gè)根服務(wù)

器，600多個(gè)鏡像，我國(guó)僅有5個(gè)鏡像，而且這些鏡像服務(wù)器物理上在我國(guó)境內(nèi)，但由其所對(duì)應(yīng)的境外的根服務(wù)器運(yùn)營(yíng)方

所管理。

從理論上說，任何形式的標(biāo)準(zhǔn)域名要想被實(shí)現(xiàn)解析，按照技術(shù)流程，都必須經(jīng)過全球“層級(jí)式”域名解析體系的工作，

才能完成。“層級(jí)式”域名解析體系第一層就是根服務(wù)器，負(fù)責(zé)管理世界各國(guó)的域名信息，在根服務(wù)器下面是頂級(jí)域名

服務(wù)器，即相關(guān)國(guó)家域名管理機(jī)構(gòu)的數(shù)據(jù)庫(kù)，如中國(guó)的CNNIC，然后是在下一級(jí)的域名數(shù)據(jù)庫(kù)和ISP的緩存服務(wù)器。一個(gè)

域名必須首先經(jīng)過根數(shù)據(jù)庫(kù)的解析后，才能轉(zhuǎn)到頂級(jí)域名服務(wù)器進(jìn)行解析。我國(guó)互聯(lián)網(wǎng)依賴外方控制的根服務(wù)器解析頂

級(jí)域名，目前控制互聯(lián)網(wǎng)的主根服務(wù)器是被美國(guó)控制，一旦發(fā)現(xiàn)緊急情況，缺少應(yīng)變和反制手段。

2003年伊拉克戰(zhàn)爭(zhēng)期間，美國(guó)政府就曾終止對(duì)伊拉克國(guó)家項(xiàng)級(jí)域名“IQ”的解析，致使所有以“IQ”為后綴的網(wǎng)站瞬間

從互聯(lián)網(wǎng)上消失。

2004年4月，由于與美國(guó)發(fā)生分歧，利比亞頂級(jí)域名“LY”突然癱瘓，利比亞在互聯(lián)網(wǎng)世界里消失了4天。

2014年1月，美國(guó)一臺(tái)根服務(wù)器發(fā)生故障約20分鐘，大批中國(guó)網(wǎng)站無(wú)法訪問，嚴(yán)重影響了中國(guó)的網(wǎng)絡(luò)主權(quán)安全。
如果這種情況發(fā)生在中國(guó)，將對(duì)我國(guó)的經(jīng)濟(jì)、教育、醫(yī)療、金融等領(lǐng)域產(chǎn)生嚴(yán)重的后果。并且美國(guó)也在用科技霸權(quán)不斷

制裁我們，因此擁有獨(dú)立自主，安全可控的網(wǎng)絡(luò)環(huán)境，已是國(guó)家重大戰(zhàn)略。

“雪人計(jì)劃”的實(shí)施及重大意義

由于IPv4幀結(jié)構(gòu)單個(gè)報(bào)文長(zhǎng)度的限制，現(xiàn)有13個(gè)IPv4根服務(wù)器基本上不可能再擴(kuò)展，目前在IPv4的DNS體制下雖然也有

過若干改進(jìn)方案，但都不能解決頂級(jí)域名解析的可控問題。

但是隨著IPV6技術(shù)的實(shí)施，我國(guó)在根服務(wù)器部署方面迎來了新的機(jī)會(huì)，2015年6月23日,由中國(guó)下一代互聯(lián)網(wǎng)工程中心（

CFIEC）牽頭，聯(lián)合日本W(wǎng)IDE機(jī)構(gòu)（M根服務(wù)器運(yùn)營(yíng)者）、因特網(wǎng)先驅(qū)美國(guó)Paul Vixie（保羅·維克謝）博士、因特網(wǎng)域

名工程中心（ZDNS）等組織和個(gè)人共同發(fā)起、創(chuàng)立了雪人計(jì)劃。

計(jì)劃在2015年6月底前，面向全球招募25個(gè)根服務(wù)器運(yùn)營(yíng)志愿單位，共同對(duì)IPv6根服務(wù)器運(yùn)營(yíng)、域名系統(tǒng)安全擴(kuò)展密鑰

簽名和密鑰輪轉(zhuǎn)等方面進(jìn)行測(cè)試驗(yàn)證。 截至2017年11月28日，“雪人計(jì)劃”已經(jīng)在全球架設(shè)了25臺(tái)IPv6根服務(wù)器，其

中1臺(tái)主根和3臺(tái)輔根在中國(guó)。

“雪人計(jì)劃”首次提出并實(shí)踐“一個(gè)命名體系，多種尋址方式”的下一代互聯(lián)網(wǎng)根服務(wù)器技術(shù)方案，打破固守現(xiàn)有13個(gè)

根服務(wù)器的運(yùn)營(yíng)者“神圣不可侵犯”、“數(shù)量不可改變”的教條，可以引入更多根服務(wù)器運(yùn)營(yíng)者，同時(shí)也能保證一個(gè)命

名體系不被破壞，真正實(shí)現(xiàn)多方共治的 “一個(gè)世界，一個(gè)互聯(lián)網(wǎng)”的愿景。


 雪人計(jì)劃沒有從根上解決中國(guó)的網(wǎng)絡(luò)安全現(xiàn)狀

1、雪人計(jì)劃是一個(gè)“實(shí)驗(yàn)室”項(xiàng)目。該計(jì)劃已經(jīng)在2017年12月底結(jié)束。
中國(guó)正在努力推進(jìn)IPv6根服務(wù)器在中國(guó)的落地。但是，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)理事長(zhǎng)鄔賀銓院士說：“我們國(guó)家在探討IPv6建

設(shè)過程中，提出過要增強(qiáng)（IPv6）主根的部署。不過尚不明確主根最終能否以及有多少可以建在國(guó)內(nèi)?！?br />
2、雪人計(jì)劃設(shè)立的中國(guó)IPv6“主根服務(wù)器”不是真正的主根服務(wù)器。IPv6根服務(wù)器使用了IPv4中F根服務(wù)器（設(shè)在美國(guó)

弗吉尼亞州）中的基礎(chǔ)數(shù)據(jù)，包括所有頂級(jí)域名的數(shù)據(jù)。中國(guó)的IPv6“主根服務(wù)器”受美國(guó)的IPv4主根服務(wù)器和F服務(wù)

器的控制、監(jiān)視。

3、從技術(shù)上來看，根服務(wù)器之間也并不平等。雪人計(jì)劃新增的25臺(tái)IPv6根服務(wù)器的地位事實(shí)上要低于之前的13臺(tái)IPv4

根服務(wù)器。正如鄔賀銓院士所說，“IPv4的根服務(wù)器對(duì)IPv6的根服務(wù)器依然擁有解釋權(quán)。所以即便未來中國(guó)有了IPv6的

根服務(wù)器，也并不意味著中國(guó)就能起到主導(dǎo)作用。”

4、IPv6的安全性能不如IPv4。在IPv4網(wǎng)絡(luò)，網(wǎng)站（因特網(wǎng)空間實(shí)體）IP地址可以是動(dòng)態(tài)的。而在IPv6網(wǎng)絡(luò)，每一個(gè)網(wǎng)

站都有一個(gè)確定的、靜態(tài)IP地址，所以IPv6系統(tǒng)便于敵人對(duì)目標(biāo)網(wǎng)站精準(zhǔn)定位，精準(zhǔn)打擊。因此，美國(guó)政府部門和美國(guó)

軍隊(duì)都不使用IPv6。美國(guó)是故意推給中國(guó)用大量經(jīng)費(fèi)建設(shè)試驗(yàn)性IPv6系統(tǒng)，而不是沒有能力建設(shè)IPv6系統(tǒng)。

5、基于“同一個(gè)世界，同一個(gè)互聯(lián)網(wǎng)，同一個(gè)域名空間”的理念，雪人計(jì)劃沒有試圖進(jìn)行“域名空間分叉”。雪人計(jì)

劃所做的所有測(cè)試都是基于IPv4的架構(gòu)下的拓展，而并非“另起爐灶”重新建立一套新的域名管理系統(tǒng)和根服務(wù)器。這

就是說，無(wú)論是IPv4網(wǎng)絡(luò)還是IPv6網(wǎng)絡(luò)，全球因特網(wǎng)的總核心、主干網(wǎng)、總樞紐、主根服務(wù)器、萬(wàn)維網(wǎng)總站仍然在美國(guó)

，由美國(guó)的企業(yè)控制和管理。

因此，IPv6和雪人計(jì)劃根本沒有解決中國(guó)的網(wǎng)絡(luò)安全問題。

即使這樣，“雪人計(jì)劃”也是中國(guó)在互聯(lián)網(wǎng)治理中邁出的重要一步，為建立多邊、民主、透明的國(guó)際互聯(lián)網(wǎng)治理體系打

下堅(jiān)實(shí)基礎(chǔ)。要想完全獨(dú)立于美國(guó)，我們還需要付出更多努力。