中国的根服务器拥有自主权了吗?
【文/观察者网专栏作者 陈兴华】
近日,工信部发布公告批复两家国内机构设立域名根服务器运行机构,负责运行、维护和管理域名根服务器(根镜像服务器)。随后,域名国家工程研究中心又推出了搭载龙芯CPU的域名服务器以及国产域名管理软件“红枫系统”2.0版。这一系列动作随即引起社会广泛关注,出现了“中国建设域名根服务器”、“中国互联网不再受制于人”等讨论。
实际上,两家机构建设的仅是域名根服务器的镜像服务器,其在全世界范围内有近一千台。目前,在IPv4协议上,全球13台根服务器都为美国、欧洲、日本所有,中国尚无根服务器。但中国有能力应对来自根服务器上的隐患,让中国网民正常上网不受影响。不过,企业域名一旦出现问题可能出现“断网”现象。
当前,中、美、日等国正在构建下一代互联网协议Ipv6,其中中国部署了4台根服务器。在各国加快发展Ipv6的浪潮下,中国此前似乎出现了“掉队”。但自2018年底起,国内的大规模服务网络开始明显向Ipv6迁移。到今年5月,中国Ipv6互联网用户已快速增长至超过2亿,且有望成Ipv6最大用户市场。
域名根服务器“三重奏”
2019年6月26日,工信部同意中国互联网络信息中心(CNNIC)设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构,负责运行、维护和管理编号分别为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服务器。
工信部要求中国互联网络信息中心应严格遵守相关规定,接受其管理和监督检查,建立符合工信部要求的信息管理系统并与指定的管理系统对接,保证域名根服务器安全、可靠运行。同时为用户提供安全、方便的域名服务,保障服务质量。保护用户个人信息安全,维护国家利益和用户权益。
值得一提的是,除了中国互联网络信息中心的根域名服务器之外,工信部还批复了域名国家工程研究中心(ZDNS)设立域名根服务器(L根镜像服务器)及域名根服务器运行机构的申请,后者将负责运行、维护和管理编号分别为JX0007L的域名根服务器。
此前,4月29日,中国互联网络信息中心、浙江省互联网信息办公室、浙江省经济和信息化厅在杭州举行了F根服务器浙江镜像节点上线发布会。这意味着杭州成为除北京外,全国唯一一个拥有一个以上根镜像服务器的城市,这将提高南方地区的上网速度,及稳定性与安全性。
6月28日,域名国家工程研究中心在中国科学院软件园宣布推出首款搭载国产龙芯CPU的域名服务器。该服务器被认为是中国底层技术中硬件和软件两方面强强联合的成果,将从底层保护互联网安全和稳定的核心。
龙芯中科总裁胡伟武指出,CPU是信息产业的核心部件,域名服务器是整个网络系统的核心部件,二者强强联合将为信息产业的发展提供更强大的助力。不管是龙芯中科做CPU,还是域名国家工程研究中心做域名服务器,都是一个漫长的过程,可能需要二三十年的积累才能出成果。
会上,同步发布的还有国产域名管理软件“红枫系统”2.0版。域名国家工程研究中心总经理邢志杰介绍,2.0版本在根区数据更新、分发和加载等方面的功能和性能都得到了大幅提升,全面兼容国际标准RFC7706,支持本地根区服务。同时也探索了根服务器扩展能力,突破全球13个根服务器的数量限制。 ?
邢志杰表示,红枫软件是域名国家工程研究中心采用全新架构设计,花了8年时间打磨出来一套高性能、智能化的基础软件,在高性能解析、多线路智能调度、快速数据更新、扩展性等多方面优于传统的域名管理软件Bind。达到国际领先水平,并全面适配国产处理器。
根服务器影响几何?
根服务器(RootServer)是国际互联网最重要的战略基础设施之一,负责互联网最顶级的域名解析(如.com、.net、.org、.cn等)。在互联网发展历史上,美国利用先发优势主导的根服务器治理体系已延续近30年,而由于第四版互联网协议(Ipv4)的技术限制,全球根服务器的数量长期以来一直被限定在13台。 ?
据悉,唯一主根服务器部署在美国,另外12个辅根有9个在美国,2个在欧洲,1个在日本。而现有根服务器的运营实行单边模式,特别是关键的根区文件的生成和分发也由互联网数字分配机构(IANA)、美国商务部下属的电信和信息管理局(NTIA)和美国公司Verisign掌控。
工信部赛迪研究院互联网研究所副所长陆峰日前表示,中方这次要建设的域名根服务器的镜像服务器,与改变域名根服务器受制于人的局面并没有直接联系。目前,全世界域名根服务器的镜像服务器有近1000台,几乎全球主要的运营商都有域名根服务器的镜像服务器。
陆峰提到,在国内设立域名根服务器的镜像服务器最大好处是提高域名解析效率,但镜像服务器的正常工作离不开域名根服务器。应对域名根服务器受制于人的最好做法是优化域名解析协议,推进国家级域名服务器P2P解析。
历史上,美国主导的根服务器治理体系一方面造成了全球互联网关键资源管理和分配不均衡;另一方面,缺乏根服务器的国家抵御大规模“分布式拒绝服务”攻击能力不足,在互联网安全上存在隐患。
比如2003年伊拉克战争时,美国被质疑删除了伊拉克区域顶级域名.iq,造成了伊拉克经济和对外交流等方面重创。不过,互联网名称与数字地址分配机构(ICANN)于2005年归还该域名时称,伊拉克“断网”事件并非由美国控制根服务器导致,只是顶级域名运行机构自身出现问题。
针对网络上流传的“美国通过控制根服务器让中国断网”,域名国家工程研究中心主任毛伟曾表示,全球互联网域名服务体系系统分为根、顶级域名、二级和二级以下域名,以及权威和递归域名解析服务、注册服务根服务器系统虽然可以在一定程度上影响境内和境外网络的互联互通,但绝不影响中国境内网络的互联互通。
此外,就算真的断“根”了,也有应急方法来解决。在境内,可以采用根区数据备份并搭建应急根服务器来解决;在全球层面,可以用根镜像、Ipv6环境下的根服务器数量扩展、根服务器运行机构备选机制等方法来解决。中国有技术能力保证网民正常使用互联网,访问购物网站、视频网站以及聊天、支付等这些网络应用都不会有影响。
企业域名服务能力待提升
在互联网安全方面,虽然不用担心根服务器被断的隐患,但企业域名一旦出现问题将发生断网现象。据了解,域名服务通常包括两个大类,一是域名注册服务,另外一个就是域名安全运营服务。两项服务分别潜在合规性和服务能力不足的风险。
近年来,因域名故障导致的企业安全事件频发。2014年12月,国内爆发规模最大的针对运营商网络的恶性DdoS(分布式拒绝服务)攻击事件,导致国内多个省份不断出现网页访问缓慢甚至无法访问的现象。阿里巴巴宣称遭受互联网有史以来最大的DDOS攻击,攻击共持续了14个小时,攻击峰值流量达到每秒453.8Gb。
此外,国际方面,2015年3月,苹果旗下iTunes商店、App Store及多个互联网在线服务发生了全球性大面积故障,中断时间长达11个小时;2016年10月,美国域名管理服务商Dyn DNS遭遇大规模DdoS攻击,导致美国大半个互联网断网。其中受影响的包括Twitter、Airbnb、GitHub、Reddit、Spotify等知名企业。
图为域名国家工程研究中心主任毛伟
毛伟曾在2018中国网络安全年会上表示,域名服务系统(DNS)是企业所有网络服务的入口和支撑企业网络安全、稳定运行的关键基础设施,无论是内部稳定性问题,还是外部黑客攻击,一旦域名服务发生故障,将将影响基于网络的所有服务,造成企业断网,带来无法衡量的巨大损失和严重危害。
企业在域名服务上面临的威胁主要来源于,域名注册地带来的合规风险和域名服务能力不足带来的安全风险。首先,域名的管理机构、域名注册服务商通常为商业公司,这些管理机构有能力删除、锁定域名,它们受所在国家法律法规管辖。如果企业网站注册域名的管理机构或服务商是国外公司,则存在触犯他国法律法规或其他原因而被关停的风险。
因此,企业在注册域名时,可以选择国内合规的注册局或注册商,有能力的企业也可申请自己的顶级域名。比如国内以“BAT”为代表的互联网公司和一些大企业,已经申请了“.baidu”“.taobao”的企业顶级域名,将管理权控制在自己手中。
另一方面,域名系统是企业网络重要的基础服务,但国内大部分企业还在采用开源软件并加以简单配置的初级阶段。域名系统长期处于缺乏运行规范管理、专业人员维护状态,配置错误、性能不能充分发挥、软件版本不能及时升级、出现故障不能及时有效处理等情况普遍发生。
对此,可以从内部、外部同时开展相关措施。在内部,企业应避免人工失误,避免程序出错,网络加强灾备。有条件的企业可以接入多家运营商网络,避免网络出现阻塞时,导致用户访问异常;对于外控,企业应加强自身安防能力,防范攻击和劫持。
Ipv6将重构国际互联网秩序
近年来,随着互联网域名系统安全扩展(DNSSEC)、多语种域名(IDN)、新顶级域(new gTLD)等新技术的出现和应用,域名系统正在影响着各行各业。此外,互联网在各种智能终端、人工智能、大数据、云计算、物联网等方向快速发展,IP地址的需求量将呈爆炸式增长。
由此,目前全球对承载互联网应用业务的关键基础设施和核心技术的扩展、安全、稳定提出了更高的要求。现有根服务器系统无论从数量、技术,还是从运营模式都已经不能满足技术和产业发展需要。Ipv6的发展和普及则是扭转现状的根本解决方案,国际互联网根服务器体系由Ipv4向Ipv6演进成必然趋势。
据了解,Ipv4地址总长度是32位,这意味着全球最多只有42.9亿个地址。而Ipv6的长度达到了128位,总计增加了340万亿个IP地址。2011年2月,最后一批Ipv4地址分配完毕,2011年4月,亚太互联网络信息中心(APNIC)宣告Ipv4地址发罄。而数据显示,截至2011年12月底,中国Ipv4地址数量为3.30亿,而网民规模达到5.13亿。
目前,中国网民数量达8.29亿,但Ipv4地址并没有再增加,相当于至少两人共享一个IP动态地址。另一方面,据估算,中国未来IP地址需求总量将到500亿。除了根服务器的相关影响,IP地址匮乏也将成为制约中国互联网发展的严重问题。而Ipv6将能满足中国新时代的发展需求。
2012年6月6日,国际互联网协会举行“世界Ipv6启动纪念日”,Ipv6协议宣告正式启动。下一代互联网国家工程中心主任刘东日前表示,工程中心抓住历史机遇,于2013年联合日本和美国相关运营机构和专业人士发起“雪人计划”,提出以Ipv6为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。
在与现有Ipv4根服务器体系架构兼容基础上,“雪人计划”于2016年在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台Ipv6根服务器架设,其中1台主根和3台辅根部署在中国。刘东表示,这事实上让全球形成13个原有根加25个Ipv6根的新格局,为建立多边、民主、透明的国际互联网治理体系打下坚实基础。
中国工程院院士吴建平表示,Ipv6是中国参与全球互联网技术发展的重要契机。我国制定了规模部署的行动计划,要求“从互联网应用、网络基础设施、应用基础设施、网络安全、关键前沿技术等五大领域深化Ipv6发展。”其中特别强调了要强化网络安全,维护国家信息网络安全保障,突破关键前沿技术,构建自主创新的下一代互联网技术产业形态。
综合来看,Ipv6的规模部署和应用不仅有助于我国在国际互联网体系获得更多的话语权,也有利于我国在以下一代互联网为核心的网络空间中取得万物互联时代的发展主动权,同时也巩固了网络安全、“国防”力量。
中国Ipv6发展进度怎样?
自2016年起,各国都在加快Ipv6的发展。2017年11月,中共中央办公厅和国务院办公厅印发《推进互联网协议第六版(Ipv6)规模部署行动计划》,提出到2018年末,Ipv6活跃用户数达到2亿,在互联网用户中的占比不低于20%;并要求在国内用户量排名前50位的商业网站及应用、省部级以上政府和中央及省级新闻及广播电视媒体网站系统等全面支持Ipv6。
在上述文件出台一周年之际,国家下一代互联网产业技术创新战略联盟于2018年11月1日在北京发布了《支撑中国Ipv6规模部署——中国Ipv6业务端到端贯通用户体验监测报告(第一期)》。在监测的中国网站中,只有7.59%的网站支持Ipv6,中央及省级政府、中央媒体及中央企业支持率为8.33%,前50家网站支持率为4%。
《监测报告》数据显示,截至2018年10月31日,移动宽带Ipv6普及率为6.16%,Ipv6覆盖用户为7017万户,Ipv6活跃用户为718万户;固定宽带Ipv6普及率为0.65%,Ipv6覆盖用户为240万户,Ipv6活跃用户数为233万户。二者合计951万户。这暴露出我国移动宽带、固定宽带Ipv6普及率及网站、APP的Ipv6支持率等业务发展情况并不尽如人意。
另据权威机构APNIC统计,截至2018年10月31日,全球Ipv6用户率最高的是比利时(58.12%),第二至十位依次是印度(52.51%)、美国(42.08%)、德国(41.35%)、希腊(37.27%)、瑞士(33.43%)、乌拉圭(32.36%)、卢森堡(32.30%)、英国(26.72%)、日本(25.01%)。而中国Ipv6用户率为0.63%,活跃用户为464万户,排名第71位。
对此,国家下一代互联网产业技术创新战略联盟首席科学家傅承鹏介绍说,中国Ipv6部署出现积极变化,但与“Ipv6行动计划”的要求还存在较大差距,原因是网络改造对应用支撑能力存在欠缺,终端及业务应用与Ipv6网络不匹配,使用户实际使用体验较差,中国Ipv6发展任重道远。
清华大学李星教授曾表示,阻挡Ipv6在中国步伐的首要原因是中国已习惯NAT地址转换导致对Ipv6地址的需求并没有那么迫切。另一个重要的原因是,Ipv6的升级改造是件风险高且成本大的工程,有赖于电信运营商与知名信息提供商尤其BAT的共同努力。Ipv6的发展需要企业的前瞻性和远见性,如果他们都能行动起来,Ipv6的推动就会容易,反之则难。
不过,2018年末,APNIC在进行调研后发布的《中国Ipv6突然加速》文章中指出,在中国,Ipv6的使用已经发生了大规模的变化。从11月开始,在这些大规模的服务网络中,显示出了很多明显地向Ipv6迁移的迹象。如果有人希望中国成为未来几年推动互联网大规模Ipv6迁移部署临界点的最后一环,那么情况看起来非常令人鼓舞。
5月18日,在浙江杭州举办的2019数字化“一带一路”国际高峰论坛上,全球Ipv6论坛主席Latif Ladid表示,互联网协议由Ipv4向Ipv6过渡的速度正逐渐加快,Ipv6全球普及率已达27%。亚洲将成为Ipv6的主战场,印度和中国将成为Ipv6最大的用户市场。目前,中国Ipv6互联网用户已超过2亿。