中國的根伺服器擁有自主權了嗎?
【文/觀察者網專欄作者 陳興華】
近日,工信部發布公告批覆兩家國內機構設立域名根伺服器執行機構,負責執行、維護和管理域名根伺服器(根映象伺服器)。隨後,域名國家工程研究中心又推出了搭載龍芯CPU的域名伺服器以及國產域名管理軟體“紅楓系統”2.0版。這一系列動作隨即引起社會廣泛關注,出現了“中國建設域名根伺服器”、“中國網際網路不再受制於人”等討論。
實際上,兩家機構建設的僅是域名根伺服器的映象伺服器,其在全世界範圍內有近一千臺。目前,在IPv4協議上,全球13臺根伺服器都為美國、歐洲、日本所有,中國尚無根伺服器。但中國有能力應對來自根伺服器上的隱患,讓中國網民正常上網不受影響。不過,企業域名一旦出現問題可能出現“斷網”現象。
當前,中、美、日等國正在構建下一代網際網路協議Ipv6,其中中國部署了4臺根伺服器。在各國加快發展Ipv6的浪潮下,中國此前似乎出現了“掉隊”。但自2018年底起,國內的大規模服務網路開始明顯向Ipv6遷移。到今年5月,中國Ipv6網際網路使用者已快速增長至超過2億,且有望成Ipv6最大使用者市場。
域名根伺服器“三重奏”
2019年6月26日,工信部同意中國網際網路絡資訊中心(CNNIC)設立域名根伺服器(F、I、K、L根映象伺服器)及域名根伺服器執行機構,負責執行、維護和管理編號分別為JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根伺服器。
工信部要求中國網際網路絡資訊中心應嚴格遵守相關規定,接受其管理和監督檢查,建立符合工信部要求的資訊管理系統並與指定的管理系統對接,保證域名根伺服器安全、可靠執行。同時為使用者提供安全、方便的域名服務,保障服務質量。保護使用者個人資訊保安,維護國家利益和使用者權益。
值得一提的是,除了中國網際網路絡資訊中心的根域名伺服器之外,工信部還批覆了域名國家工程研究中心(ZDNS)設立域名根伺服器(L根映象伺服器)及域名根伺服器執行機構的申請,後者將負責執行、維護和管理編號分別為JX0007L的域名根伺服器。
此前,4月29日,中國網際網路絡資訊中心、浙江省網際網路資訊辦公室、浙江省經濟和資訊化廳在杭州舉行了F根伺服器浙江映象節點上線釋出會。這意味著杭州成為除北京外,全國唯一一個擁有一個以上根映象伺服器的城市,這將提高南方地區的上網速度,及穩定性與安全性。
6月28日,域名國家工程研究中心在中國科學院軟體園宣佈推出首款搭載國產龍芯CPU的域名伺服器。該伺服器被認為是中國底層技術中硬體和軟體兩方面強強聯合的成果,將從底層保護網際網路安全和穩定的核心。
龍芯中科總裁胡偉武發表主題演講
龍芯中科總裁胡偉武指出,CPU是資訊產業的核心部件,域名伺服器是整個網路系統的核心部件,二者強強聯合將為資訊產業的發展提供更強大的助力。不管是龍芯中科做CPU,還是域名國家工程研究中心做域名伺服器,都是一個漫長的過程,可能需要二三十年的積累才能出成果。
會上,同步釋出的還有國產域名管理軟體“紅楓系統”2.0版。域名國家工程研究中心總經理邢志傑介紹,2.0版本在根區資料更新、分發和載入等方面的功能和效能都得到了大幅提升,全面相容國際標準RFC7706,支援本地根區服務。同時也探索了根伺服器擴充套件能力,突破全球13個根伺服器的數量限制。
邢志傑表示,紅楓軟體是域名國家工程研究中心採用全新架構設計,花了8年時間打磨出來一套高效能、智慧化的基礎軟體,在高效能解析、多線路智慧排程、快速資料更新、擴充套件性等多方面優於傳統的域名管理軟體Bind。達到國際領先水平,並全面適配國產處理器。
根伺服器影響幾何?
根伺服器(RootServer)是國際網際網路最重要的戰略基礎設施之一,負責網際網路最頂級的域名解析(如.com、.net、.org、.cn等)。在網際網路發展歷史上,美國利用先發優勢主導的根伺服器治理體系已延續近30年,而由於第四版網際網路協議(Ipv4)的技術限制,全球根伺服器的數量長期以來一直被限定在13臺。
據悉,唯一主根伺服器部署在美國,另外12個輔根有9個在美國,2個在歐洲,1個在日本。而現有根伺服器的運營實行單邊模式,特別是關鍵的根區檔案的生成和分發也由網際網路數字分配機構(IANA)、美國商務部下屬的電信和資訊管理局(NTIA)和美國公司Verisign掌控。
工信部賽迪研究院網際網路研究所副所長陸峰日前表示,中方這次要建設的域名根伺服器的映象伺服器,與改變域名根伺服器受制於人的局面並沒有直接聯絡。目前,全世界域名根伺服器的映象伺服器有近1000臺,幾乎全球主要的運營商都有域名根伺服器的映象伺服器。
陸峰提到,在國內設立域名根伺服器的映象伺服器最大好處是提高域名解析效率,但映象伺服器的正常工作離不開域名根伺服器。應對域名根伺服器受制於人的最好做法是優化域名解析協議,推進國家級域名伺服器P2P解析。
歷史上,美國主導的根伺服器治理體系一方面造成了全球網際網路關鍵資源管理和分配不均衡;另一方面,缺乏根伺服器的國家抵禦大規模“分散式拒絕服務”攻擊能力不足,在網際網路安全上存在隱患。
比如2003年伊拉克戰爭時,美國被質疑刪除了伊拉克區域頂級域名.iq,造成了伊拉克經濟和對外交流等方面重創。不過,網際網路名稱與數字地址分配機構(ICANN)於2005年歸還該域名時稱,伊拉克“斷網”事件並非由美國控制根伺服器導致,只是頂級域名執行機構自身出現問題。
針對網路上流傳的“美國通過控制根伺服器讓中國斷網”,域名國家工程研究中心主任毛偉曾表示,全球網際網路域名服務體系系統分為根、頂級域名、二級和二級以下域名,以及權威和遞迴域名解析服務、註冊服務根伺服器系統雖然可以在一定程度上影響境內和境外網路的互聯互通,但絕不影響中國境內網路的互聯互通。
此外,就算真的斷“根”了,也有應急方法來解決。在境內,可以採用根區資料備份並搭建應急根伺服器來解決;在全球層面,可以用根映象、Ipv6環境下的根伺服器數量擴充套件、根伺服器執行機構備選機制等方法來解決。中國有技術能力保證網民正常使用網際網路,訪問購物網站、視訊網站以及聊天、支付等這些網路應用都不會有影響。
企業域名服務能力待提升
在網際網路安全方面,雖然不用擔心根伺服器被斷的隱患,但企業域名一旦出現問題將發生斷網現象。據瞭解,域名服務通常包括兩個大類,一是域名註冊服務,另外一個就是域名安全運營服務。兩項服務分別潛在合規性和服務能力不足的風險。
近年來,因域名故障導致的企業安全事件頻發。2014年12月,國內爆發規模最大的針對運營商網路的惡性DdoS(分散式拒絕服務)攻擊事件,導致國內多個省份不斷出現網頁訪問緩慢甚至無法訪問的現象。阿里巴巴宣稱遭受網際網路有史以來最大的DDOS攻擊,攻擊共持續了14個小時,攻擊峰值流量達到每秒453.8Gb。
此外,國際方面,2015年3月,蘋果旗下iTunes商店、App Store及多個網際網路線上服務發生了全球性大面積故障,中斷時間長達11個小時;2016年10月,美國域名管理服務商Dyn DNS遭遇大規模DdoS攻擊,導致美國大半個網際網路斷網。其中受影響的包括Twitter、Airbnb、GitHub、Reddit、Spotify等知名企業。
圖為域名國家工程研究中心主任毛偉
毛偉曾在2018中國網路安全年會上表示,域名服務系統(DNS)是企業所有網路服務的入口和支撐企業網路安全、穩定執行的關鍵基礎設施,無論是內部穩定性問題,還是外部黑客攻擊,一旦域名服務發生故障,將將影響基於網路的所有服務,造成企業斷網,帶來無法衡量的巨大損失和嚴重危害。
企業在域名服務上面臨的威脅主要來源於,域名註冊地帶來的合規風險和域名服務能力不足帶來的安全風險。首先,域名的管理機構、域名註冊服務商通常為商業公司,這些管理機構有能力刪除、鎖定域名,它們受所在國家法律法規管轄。如果企業網站註冊域名的管理機構或服務商是國外公司,則存在觸犯他國法律法規或其他原因而被關停的風險。
因此,企業在註冊域名時,可以選擇國內合規的註冊局或註冊商,有能力的企業也可申請自己的頂級域名。比如國內以“BAT”為代表的網際網路公司和一些大企業,已經申請了“.baidu”“.taobao”的企業頂級域名,將管理權控制在自己手中。
另一方面,域名系統是企業網路重要的基礎服務,但國內大部分企業還在採用開源軟體並加以簡單配置的初級階段。域名系統長期處於缺乏執行規範管理、專業人員維護狀態,配置錯誤、效能不能充分發揮、軟體版本不能及時升級、出現故障不能及時有效處理等情況普遍發生。
對此,可以從內部、外部同時開展相關措施。在內部,企業應避免人工失誤,避免程式出錯,網路加強災備。有條件的企業可以接入多家運營商網路,避免網路出現阻塞時,導致使用者訪問異常;對於外控,企業應加強自身安防能力,防範攻擊和劫持。
Ipv6將重構國際網際網路秩序
近年來,隨著網際網路域名系統安全擴充套件(DNSSEC)、多語種域名(IDN)、新頂級域(new gTLD)等新技術的出現和應用,域名系統正在影響著各行各業。此外,網際網路在各種智慧終端、人工智慧、大資料、雲端計算、物聯網等方向快速發展,IP地址的需求量將呈爆炸式增長。
由此,目前全球對承載網際網路應用業務的關鍵基礎設施和核心技術的擴充套件、安全、穩定提出了更高的要求。現有根伺服器系統無論從數量、技術,還是從運營模式都已經不能滿足技術和產業發展需要。Ipv6的發展和普及則是扭轉現狀的根本解決方案,國際網際網路根伺服器體系由Ipv4向Ipv6演進成必然趨勢。
據瞭解,Ipv4地址總長度是32位,這意味著全球最多隻有42.9億個地址。而Ipv6的長度達到了128位,總計增加了340萬億個IP地址。2011年2月,最後一批Ipv4地址分配完畢,2011年4月,亞太網際網路絡資訊中心(APNIC)宣告Ipv4地址發罄。而資料顯示,截至2011年12月底,中國Ipv4地址數量為3.30億,而網民規模達到5.13億。
目前,中國網民數量達8.29億,但Ipv4地址並沒有再增加,相當於至少兩人共享一個IP動態地址。另一方面,據估算,中國未來IP地址需求總量將到500億。除了根伺服器的相關影響,IP地址匱乏也將成為制約中國網際網路發展的嚴重問題。而Ipv6將能滿足中國新時代的發展需求。
2012年6月6日,國際網際網路協會舉行“世界Ipv6啟動紀念日”,Ipv6協議宣告正式啟動。下一代網際網路國家工程中心主任劉東日前表示,工程中心抓住歷史機遇,於2013年聯合日本和美國相關運營機構和專業人士發起“雪人計劃”,提出以Ipv6為基礎、面向新興應用、自主可控的一整套根伺服器解決方案和技術體系。
在與現有Ipv4根伺服器體系架構相容基礎上,“雪人計劃”於2016年在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺Ipv6根伺服器架設,其中1臺主根和3臺輔根部署在中國。劉東表示,這事實上讓全球形成13個原有根加25個Ipv6根的新格局,為建立多邊、民主、透明的國際網際網路治理體系打下堅實基礎。
中國工程院院士吳建平表示,Ipv6是中國參與全球網際網路技術發展的重要契機。我國制定了規模部署的行動計劃,要求“從網際網路應用、網路基礎設施、應用基礎設施、網路安全、關鍵前沿技術等五大領域深化Ipv6發展。”其中特別強調了要強化網路安全,維護國家資訊網路安全保障,突破關鍵前沿技術,構建自主創新的下一代網際網路技術產業形態。
綜合來看,Ipv6的規模部署和應用不僅有助於我國在國際網際網路體系獲得更多的話語權,也有利於我國在以下一代網際網路為核心的網路空間中取得萬物互聯時代的發展主動權,同時也鞏固了網路安全、“國防”力量。
中國Ipv6發展進度怎樣?
自2016年起,各國都在加快Ipv6的發展。2017年11月,中共中央辦公廳和國務院辦公廳印發《推進網際網路協議第六版(Ipv6)規模部署行動計劃》,提出到2018年末,Ipv6活躍使用者數達到2億,在網際網路使用者中的佔比不低於20%;並要求在國內使用者量排名前50位的商業網站及應用、省部級以上政府和中央及省級新聞及廣播電視媒體網站系統等全面支援Ipv6。
在上述檔案出臺一週年之際,國家下一代網際網路產業技術創新戰略聯盟於2018年11月1日在北京釋出了《支撐中國Ipv6規模部署——中國Ipv6業務端到端貫通使用者體驗監測報告(第一期)》。在監測的中國網站中,只有7.59%的網站支援Ipv6,中央及省級政府、中央媒體及中央企業支援率為8.33%,前50家網站支援率為4%。
《監測報告》資料顯示,截至2018年10月31日,移動寬頻Ipv6普及率為6.16%,Ipv6覆蓋使用者為7017萬戶,Ipv6活躍使用者為718萬戶;固定寬頻Ipv6普及率為0.65%,Ipv6覆蓋使用者為240萬戶,Ipv6活躍使用者數為233萬戶。二者合計951萬戶。這暴露出我國移動寬頻、固定寬頻Ipv6普及率及網站、APP的Ipv6支援率等業務發展情況並不盡如人意。
另據權威機構APNIC統計,截至2018年10月31日,全球Ipv6使用者率最高的是比利時(58.12%),第二至十位依次是印度(52.51%)、美國(42.08%)、德國(41.35%)、希臘(37.27%)、瑞士(33.43%)、烏拉圭(32.36%)、盧森堡(32.30%)、英國(26.72%)、日本(25.01%)。而中國Ipv6使用者率為0.63%,活躍使用者為464萬戶,排名第71位。
對此,國家下一代網際網路產業技術創新戰略聯盟首席科學家傅承鵬介紹說,中國Ipv6部署出現積極變化,但與“Ipv6行動計劃”的要求還存在較大差距,原因是網路改造對應用支撐能力存在欠缺,終端及業務應用與Ipv6網路不匹配,使使用者實際使用體驗較差,中國Ipv6發展任重道遠。
清華大學李星教授曾表示,阻擋Ipv6在中國步伐的首要原因是中國已習慣NAT地址轉換導致對Ipv6地址的需求並沒有那麼迫切。另一個重要的原因是,Ipv6的升級改造是件風險高且成本大的工程,有賴於電信運營商與知名資訊提供商尤其BAT的共同努力。Ipv6的發展需要企業的前瞻性和遠見性,如果他們都能行動起來,Ipv6的推動就會容易,反之則難。
不過,2018年末,APNIC在進行調研後釋出的《中國Ipv6突然加速》文章中指出,在中國,Ipv6的使用已經發生了大規模的變化。從11月開始,在這些大規模的服務網路中,顯示出了很多明顯地向Ipv6遷移的跡象。如果有人希望中國成為未來幾年推動網際網路大規模Ipv6遷移部署臨界點的最後一環,那麼情況看起來非常令人鼓舞。
5月18日,在浙江杭州舉辦的2019數字化“一帶一路”國際高峰論壇上,全球Ipv6論壇主席Latif Ladid表示,網際網路協議由Ipv4向Ipv6過渡的速度正逐漸加快,Ipv6全球普及率已達27%。亞洲將成為Ipv6的主戰場,印度和中國將成為Ipv6最大的使用者市場。目前,中國Ipv6網際網路使用者已超過2億。