中國的根服務器擁有自主權了嗎?
【文/觀察者網專欄作者 陳興華】
近日,工信部發布公告批覆兩家國內機構設立域名根服務器運行機構,負責運行、維護和管理域名根服務器(根鏡像服務器)。隨後,域名國家工程研究中心又推出了搭載龍芯CPU的域名服務器以及國產域名管理軟件“紅楓系統”2.0版。這一系列動作隨即引起社會廣泛關注,出現了“中國建設域名根服務器”、“中國互聯網不再受制於人”等討論。
實際上,兩家機構建設的僅是域名根服務器的鏡像服務器,其在全世界範圍內有近一千臺。目前,在IPv4協議上,全球13臺根服務器都爲美國、歐洲、日本所有,中國尚無根服務器。但中國有能力應對來自根服務器上的隱患,讓中國網民正常上網不受影響。不過,企業域名一旦出現問題可能出現“斷網”現象。
當前,中、美、日等國正在構建下一代互聯網協議Ipv6,其中中國部署了4臺根服務器。在各國加快發展Ipv6的浪潮下,中國此前似乎出現了“掉隊”。但自2018年底起,國內的大規模服務網絡開始明顯向Ipv6遷移。到今年5月,中國Ipv6互聯網用戶已快速增長至超過2億,且有望成Ipv6最大用戶市場。
域名根服務器“三重奏”
2019年6月26日,工信部同意中國互聯網絡信息中心(CNNIC)設立域名根服務器(F、I、K、L根鏡像服務器)及域名根服務器運行機構,負責運行、維護和管理編號分別爲JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服務器。
工信部要求中國互聯網絡信息中心應嚴格遵守相關規定,接受其管理和監督檢查,建立符合工信部要求的信息管理系統並與指定的管理系統對接,保證域名根服務器安全、可靠運行。同時爲用戶提供安全、方便的域名服務,保障服務質量。保護用戶個人信息安全,維護國家利益和用戶權益。
值得一提的是,除了中國互聯網絡信息中心的根域名服務器之外,工信部還批覆了域名國家工程研究中心(ZDNS)設立域名根服務器(L根鏡像服務器)及域名根服務器運行機構的申請,後者將負責運行、維護和管理編號分別爲JX0007L的域名根服務器。
此前,4月29日,中國互聯網絡信息中心、浙江省互聯網信息辦公室、浙江省經濟和信息化廳在杭州舉行了F根服務器浙江鏡像節點上線發佈會。這意味着杭州成爲除北京外,全國唯一一個擁有一個以上根鏡像服務器的城市,這將提高南方地區的上網速度,及穩定性與安全性。
6月28日,域名國家工程研究中心在中國科學院軟件園宣佈推出首款搭載國產龍芯CPU的域名服務器。該服務器被認爲是中國底層技術中硬件和軟件兩方面強強聯合的成果,將從底層保護互聯網安全和穩定的核心。
龍芯中科總裁胡偉武指出,CPU是信息產業的核心部件,域名服務器是整個網絡系統的核心部件,二者強強聯合將爲信息產業的發展提供更強大的助力。不管是龍芯中科做CPU,還是域名國家工程研究中心做域名服務器,都是一個漫長的過程,可能需要二三十年的積累才能出成果。
會上,同步發佈的還有國產域名管理軟件“紅楓系統”2.0版。域名國家工程研究中心總經理邢志傑介紹,2.0版本在根區數據更新、分發和加載等方面的功能和性能都得到了大幅提升,全面兼容國際標準RFC7706,支持本地根區服務。同時也探索了根服務器擴展能力,突破全球13個根服務器的數量限制。 ?
邢志傑表示,紅楓軟件是域名國家工程研究中心採用全新架構設計,花了8年時間打磨出來一套高性能、智能化的基礎軟件,在高性能解析、多線路智能調度、快速數據更新、擴展性等多方面優於傳統的域名管理軟件Bind。達到國際領先水平,並全面適配國產處理器。
根服務器影響幾何?
根服務器(RootServer)是國際互聯網最重要的戰略基礎設施之一,負責互聯網最頂級的域名解析(如.com、.net、.org、.cn等)。在互聯網發展歷史上,美國利用先發優勢主導的根服務器治理體系已延續近30年,而由於第四版互聯網協議(Ipv4)的技術限制,全球根服務器的數量長期以來一直被限定在13臺。 ?
據悉,唯一主根服務器部署在美國,另外12個輔根有9個在美國,2個在歐洲,1個在日本。而現有根服務器的運營實行單邊模式,特別是關鍵的根區文件的生成和分發也由互聯網數字分配機構(IANA)、美國商務部下屬的電信和信息管理局(NTIA)和美國公司Verisign掌控。
工信部賽迪研究院互聯網研究所副所長陸峰日前表示,中方這次要建設的域名根服務器的鏡像服務器,與改變域名根服務器受制於人的局面並沒有直接聯繫。目前,全世界域名根服務器的鏡像服務器有近1000臺,幾乎全球主要的運營商都有域名根服務器的鏡像服務器。
陸峰提到,在國內設立域名根服務器的鏡像服務器最大好處是提高域名解析效率,但鏡像服務器的正常工作離不開域名根服務器。應對域名根服務器受制於人的最好做法是優化域名解析協議,推進國家級域名服務器P2P解析。
歷史上,美國主導的根服務器治理體系一方面造成了全球互聯網關鍵資源管理和分配不均衡;另一方面,缺乏根服務器的國家抵禦大規模“分佈式拒絕服務”攻擊能力不足,在互聯網安全上存在隱患。
比如2003年伊拉克戰爭時,美國被質疑刪除了伊拉克區域頂級域名.iq,造成了伊拉克經濟和對外交流等方面重創。不過,互聯網名稱與數字地址分配機構(ICANN)於2005年歸還該域名時稱,伊拉克“斷網”事件並非由美國控制根服務器導致,只是頂級域名運行機構自身出現問題。
針對網絡上流傳的“美國通過控制根服務器讓中國斷網”,域名國家工程研究中心主任毛偉曾表示,全球互聯網域名服務體系系統分爲根、頂級域名、二級和二級以下域名,以及權威和遞歸域名解析服務、註冊服務根服務器系統雖然可以在一定程度上影響境內和境外網絡的互聯互通,但絕不影響中國境內網絡的互聯互通。
此外,就算真的斷“根”了,也有應急方法來解決。在境內,可以採用根區數據備份並搭建應急根服務器來解決;在全球層面,可以用根鏡像、Ipv6環境下的根服務器數量擴展、根服務器運行機構備選機制等方法來解決。中國有技術能力保證網民正常使用互聯網,訪問購物網站、視頻網站以及聊天、支付等這些網絡應用都不會有影響。
企業域名服務能力待提升
在互聯網安全方面,雖然不用擔心根服務器被斷的隱患,但企業域名一旦出現問題將發生斷網現象。據瞭解,域名服務通常包括兩個大類,一是域名註冊服務,另外一個就是域名安全運營服務。兩項服務分別潛在合規性和服務能力不足的風險。
近年來,因域名故障導致的企業安全事件頻發。2014年12月,國內爆發規模最大的針對運營商網絡的惡性DdoS(分佈式拒絕服務)攻擊事件,導致國內多個省份不斷出現網頁訪問緩慢甚至無法訪問的現象。阿里巴巴宣稱遭受互聯網有史以來最大的DDOS攻擊,攻擊共持續了14個小時,攻擊峰值流量達到每秒453.8Gb。
此外,國際方面,2015年3月,蘋果旗下iTunes商店、App Store及多個互聯網在線服務發生了全球性大面積故障,中斷時間長達11個小時;2016年10月,美國域名管理服務商Dyn DNS遭遇大規模DdoS攻擊,導致美國大半個互聯網斷網。其中受影響的包括Twitter、Airbnb、GitHub、Reddit、Spotify等知名企業。
圖爲域名國家工程研究中心主任毛偉
毛偉曾在2018中國網絡安全年會上表示,域名服務系統(DNS)是企業所有網絡服務的入口和支撐企業網絡安全、穩定運行的關鍵基礎設施,無論是內部穩定性問題,還是外部黑客攻擊,一旦域名服務發生故障,將將影響基於網絡的所有服務,造成企業斷網,帶來無法衡量的巨大損失和嚴重危害。
企業在域名服務上面臨的威脅主要來源於,域名註冊地帶來的合規風險和域名服務能力不足帶來的安全風險。首先,域名的管理機構、域名註冊服務商通常爲商業公司,這些管理機構有能力刪除、鎖定域名,它們受所在國家法律法規管轄。如果企業網站註冊域名的管理機構或服務商是國外公司,則存在觸犯他國法律法規或其他原因而被關停的風險。
因此,企業在註冊域名時,可以選擇國內合規的註冊局或註冊商,有能力的企業也可申請自己的頂級域名。比如國內以“BAT”爲代表的互聯網公司和一些大企業,已經申請了“.baidu”“.taobao”的企業頂級域名,將管理權控制在自己手中。
另一方面,域名系統是企業網絡重要的基礎服務,但國內大部分企業還在採用開源軟件並加以簡單配置的初級階段。域名系統長期處於缺乏運行規範管理、專業人員維護狀態,配置錯誤、性能不能充分發揮、軟件版本不能及時升級、出現故障不能及時有效處理等情況普遍發生。
對此,可以從內部、外部同時開展相關措施。在內部,企業應避免人工失誤,避免程序出錯,網絡加強災備。有條件的企業可以接入多家運營商網絡,避免網絡出現阻塞時,導致用戶訪問異常;對於外控,企業應加強自身安防能力,防範攻擊和劫持。
Ipv6將重構國際互聯網秩序
近年來,隨着互聯網域名系統安全擴展(DNSSEC)、多語種域名(IDN)、新頂級域(new gTLD)等新技術的出現和應用,域名系統正在影響着各行各業。此外,互聯網在各種智能終端、人工智能、大數據、雲計算、物聯網等方向快速發展,IP地址的需求量將呈爆炸式增長。
由此,目前全球對承載互聯網應用業務的關鍵基礎設施和核心技術的擴展、安全、穩定提出了更高的要求。現有根服務器系統無論從數量、技術,還是從運營模式都已經不能滿足技術和產業發展需要。Ipv6的發展和普及則是扭轉現狀的根本解決方案,國際互聯網根服務器體系由Ipv4向Ipv6演進成必然趨勢。
據瞭解,Ipv4地址總長度是32位,這意味着全球最多隻有42.9億個地址。而Ipv6的長度達到了128位,總計增加了340萬億個IP地址。2011年2月,最後一批Ipv4地址分配完畢,2011年4月,亞太互聯網絡信息中心(APNIC)宣告Ipv4地址發罄。而數據顯示,截至2011年12月底,中國Ipv4地址數量爲3.30億,而網民規模達到5.13億。
目前,中國網民數量達8.29億,但Ipv4地址並沒有再增加,相當於至少兩人共享一個IP動態地址。另一方面,據估算,中國未來IP地址需求總量將到500億。除了根服務器的相關影響,IP地址匱乏也將成爲制約中國互聯網發展的嚴重問題。而Ipv6將能滿足中國新時代的發展需求。
2012年6月6日,國際互聯網協會舉行“世界Ipv6啓動紀念日”,Ipv6協議宣告正式啓動。下一代互聯網國家工程中心主任劉東日前表示,工程中心抓住歷史機遇,於2013年聯合日本和美國相關運營機構和專業人士發起“雪人計劃”,提出以Ipv6爲基礎、面向新興應用、自主可控的一整套根服務器解決方案和技術體系。
在與現有Ipv4根服務器體系架構兼容基礎上,“雪人計劃”於2016年在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺Ipv6根服務器架設,其中1臺主根和3臺輔根部署在中國。劉東表示,這事實上讓全球形成13個原有根加25個Ipv6根的新格局,爲建立多邊、民主、透明的國際互聯網治理體系打下堅實基礎。
中國工程院院士吳建平表示,Ipv6是中國參與全球互聯網技術發展的重要契機。我國制定了規模部署的行動計劃,要求“從互聯網應用、網絡基礎設施、應用基礎設施、網絡安全、關鍵前沿技術等五大領域深化Ipv6發展。”其中特別強調了要強化網絡安全,維護國家信息網絡安全保障,突破關鍵前沿技術,構建自主創新的下一代互聯網技術產業形態。
綜合來看,Ipv6的規模部署和應用不僅有助於我國在國際互聯網體系獲得更多的話語權,也有利於我國在以下一代互聯網爲核心的網絡空間中取得萬物互聯時代的發展主動權,同時也鞏固了網絡安全、“國防”力量。
中國Ipv6發展進度怎樣?
自2016年起,各國都在加快Ipv6的發展。2017年11月,中共中央辦公廳和國務院辦公廳印發《推進互聯網協議第六版(Ipv6)規模部署行動計劃》,提出到2018年末,Ipv6活躍用戶數達到2億,在互聯網用戶中的佔比不低於20%;並要求在國內用戶量排名前50位的商業網站及應用、省部級以上政府和中央及省級新聞及廣播電視媒體網站系統等全面支持Ipv6。
在上述文件出臺一週年之際,國家下一代互聯網產業技術創新戰略聯盟於2018年11月1日在北京發佈了《支撐中國Ipv6規模部署——中國Ipv6業務端到端貫通用戶體驗監測報告(第一期)》。在監測的中國網站中,只有7.59%的網站支持Ipv6,中央及省級政府、中央媒體及中央企業支持率爲8.33%,前50家網站支持率爲4%。
《監測報告》數據顯示,截至2018年10月31日,移動寬帶Ipv6普及率爲6.16%,Ipv6覆蓋用戶爲7017萬戶,Ipv6活躍用戶爲718萬戶;固定寬帶Ipv6普及率爲0.65%,Ipv6覆蓋用戶爲240萬戶,Ipv6活躍用戶數爲233萬戶。二者合計951萬戶。這暴露出我國移動寬帶、固定寬帶Ipv6普及率及網站、APP的Ipv6支持率等業務發展情況並不盡如人意。
另據權威機構APNIC統計,截至2018年10月31日,全球Ipv6用戶率最高的是比利時(58.12%),第二至十位依次是印度(52.51%)、美國(42.08%)、德國(41.35%)、希臘(37.27%)、瑞士(33.43%)、烏拉圭(32.36%)、盧森堡(32.30%)、英國(26.72%)、日本(25.01%)。而中國Ipv6用戶率爲0.63%,活躍用戶爲464萬戶,排名第71位。
對此,國家下一代互聯網產業技術創新戰略聯盟首席科學家傅承鵬介紹說,中國Ipv6部署出現積極變化,但與“Ipv6行動計劃”的要求還存在較大差距,原因是網絡改造對應用支撐能力存在欠缺,終端及業務應用與Ipv6網絡不匹配,使用戶實際使用體驗較差,中國Ipv6發展任重道遠。
清華大學李星教授曾表示,阻擋Ipv6在中國步伐的首要原因是中國已習慣NAT地址轉換導致對Ipv6地址的需求並沒有那麼迫切。另一個重要的原因是,Ipv6的升級改造是件風險高且成本大的工程,有賴於電信運營商與知名信息提供商尤其BAT的共同努力。Ipv6的發展需要企業的前瞻性和遠見性,如果他們都能行動起來,Ipv6的推動就會容易,反之則難。
不過,2018年末,APNIC在進行調研後發佈的《中國Ipv6突然加速》文章中指出,在中國,Ipv6的使用已經發生了大規模的變化。從11月開始,在這些大規模的服務網絡中,顯示出了很多明顯地向Ipv6遷移的跡象。如果有人希望中國成爲未來幾年推動互聯網大規模Ipv6遷移部署臨界點的最後一環,那麼情況看起來非常令人鼓舞。
5月18日,在浙江杭州舉辦的2019數字化“一帶一路”國際高峰論壇上,全球Ipv6論壇主席Latif Ladid表示,互聯網協議由Ipv4向Ipv6過渡的速度正逐漸加快,Ipv6全球普及率已達27%。亞洲將成爲Ipv6的主戰場,印度和中國將成爲Ipv6最大的用戶市場。目前,中國Ipv6互聯網用戶已超過2億。