'雪人計劃'與中國下一代互聯網戰略基礎設施佈局

互聯網極簡史

1958年，美國高級研究計劃局（Advanced Research Projects Agency，簡稱ARPA）成立，其目的在於讓美國在計算機科學研究方面保持全球領先的優勢。

1969年，ARPA創建了一個只有4臺計算機的網絡，這個網絡就是ARPANET，也就是我們今天互聯網的前身；到1977年，該網絡內的計算機達到了111臺。

注：ARPANET在建立的時候一臺計算機有一個房間這麼大，電腦在當年屬於絕對的“奢侈品”；8年內ARPANET多了一百多臺聯網的計算機，這個發展速度在上世紀70年代已經算是很快的了。

1983年，ARPANET中和軍事有關的部分被剝離並單獨成立了MILNET，最終成為了

美國國防數據網絡（DDN）的一部分；而非軍用部分則逐漸演化發展成為今天的互聯網（Internet）。

其實互聯網的歷史比上面講的還要錯綜複雜一些，但是用一句話來概括，互聯網在連接全世界之前最早誕生於美國，這在某種程度上造就了今天美國在互聯網中的地位。

互聯網中的IP地址和DNS

計算機聯網之後，一個伴隨而來的問題是：如何找到想要訪問的計算機呢？很簡單，給每個計算機分配一個類似於身份證號碼的地址就可以了，這就是“IP地址”的由來（例如：我現在電腦上網用的IP地址是114.88.125.241）。

但是問題又來了，互聯網上的IP地址那麼多，我怎樣才能知道諸如今日頭條和百度這些網站的IP地址呢？

實際上，我們從來都不用記IP地址，而是使用DNS（Domain Name System，或“域名系統”）來解決這個問題。所謂DNS，就是給IP地址分配一個好記的名字（“域名”），就像我們稱呼別人的時候不會用他的身份證號碼，而是用他的名字一樣。

DNS服務器的數據庫中記錄著IP地址和域名之間的對應關係，比如我們在電腦上訪問今日頭條首頁的時候，只要輸入頭條的域名toutiao.com所對應的網址，DNS就會自動“翻譯”成相應的IP地址。至於IP地址和域名之間對應關係，除了DNS服務器知道以外，我們可以在電腦中用Ping命令來查看：

在我電腦上用Ping命令找到的今日頭條網站的IP地址

講到這裡我們不難理解，今天我們之所以可以愉快地上網，是因為DNS一直在默默地承擔著互聯網世界中“地圖”的功能。換句話說，沒有DNS的話整個互聯網世界將會陷入一片“黑暗”的癱瘓狀態中。

DNS和“根服務器”

既然DNS那麼重要，顯然不是任何人都可以擁有對IP地址和域名之間對應關係的“最終解釋權”，那麼這種權威到底掌握在誰手裡呢？

答案是美國。

雖然互聯網的先驅們在設計互聯網的時候試圖讓它變成一個開放、自治的網絡，但事實上由於歷史原因美國對互聯網中的域名和DNS擁有著極大的控制權，並且美國政府也在過去的很多年裡試圖單方面對互聯網進行管理。

隨著互聯網越來越國際化，美國政府的這些企圖遭到了其它國家和組織的反對，迫於輿論壓力以及斯諾登“稜鏡門”事件的影響，近年來美國對互聯網的直接管控在減弱，但依然還是通過各種方法控制和影響著互聯網的底層運行邏輯。

至於美國對互聯網到底有怎樣的影響力，感興趣的同學可以研究下面列出的幾個機構以及它們之間千絲萬縷的關係：

1.IANA（Internet Assigned Numbers Authority，互聯網號碼分配機構）

2.ICANN（The Internet Corporation for Assigned Names and Numbers，互聯網名稱與數字地址分配機構）

3.DOC（Department Of Commerce，美國商務部）

4.NTIA（National Telecommunications and Information Administration，美國國家電信和信息管理局）以及“3·14決定”

除了設置管理機構以外，美國還通過DNS中“根服務器”的數量限制擁有了 互聯網的主導權。“根服務器”負責互聯網最頂級的域名解析，被稱為互聯網的“中樞神經”，也是互聯網的基礎設施。通俗地講，哪個域名對應哪個IP地址，域名所有權等一系列互聯網最核心的資源分配問題，在“根服務器上”有著“最終解釋權”。

在目前的IPv4的體系下，全世界只有13臺根服務器（名字分別為“A”至“M”）。其中美國擁有1臺主根服務器，在其餘的12臺輔根服務器中，其中9臺部署在美國，2臺在歐洲（英國和瑞典），1臺在亞洲（日本）。也就是說，互聯網的主導權本質上還是牢牢地掌握在美國手裡。

以下為13臺根服務器的位置：

A——威瑞信(VeriSign)公司(美國弗吉尼亞州)

B——美國信息科學研究所(美國加利弗尼亞州)

C——PSINet公司(美國弗吉尼亞州)

D——馬里蘭大學(美國馬里蘭州)

E——美國航空航天管理局(美國加利弗尼亞州)

F——因特網軟件聯盟(美國加利弗尼亞州)

G——美國國防部網絡信息中心(美國弗吉尼亞州)

H——美國陸軍研究所(美國馬里蘭州)

I——Autonomica公司(瑞典斯德哥爾摩)

J——威瑞信(VeriSign)公司(美國弗吉尼亞州)

K——RIPENCC(英國倫敦)

L——ICANN(美國弗吉尼亞州)

M——WIDEProject(日本東京)

注：其中，威瑞信（VeriSign）公司除了控制著兩個根服務器以外，還是.COM、.NET、.CC、.EDU等頂級域名的註冊管理機構。

根服務器的重要性以及中國所面臨的網絡安全風險

根服務器被國外許多計算機科學家稱作為“真理”（TRUTH），毫不誇張地說，根服務器就是互聯網的命脈。如果這13臺根服務器中的某一臺或幾臺出現故障，或遭到黑客攻擊而停止服務，則可能影響到域名解析並進而導致互聯網的癱瘓。

沒有根服務器對一個國家來說是一個巨大的安全風險，這樣的風險至少包括以下兩個方面：

首先，由於全世界只有13臺根服務器，無法抵禦大規模的DDoS（分佈式拒絕服務，Distributed Denial of Service）攻擊。

2002年10月21日下午，13臺根服務器遭到互聯網歷史上最為嚴重的一次網絡DDoS攻擊，攻擊流量達到平時處理規模的30至40倍，導致9臺根服務器無法正常運行，其中7臺喪失了對網絡通信的處理能力，另外兩臺也緊隨其後陷於癱瘓。

2007年2月5日夜間至6日，不明身份的黑客向3臺根服務器發起了長達12個小時的攻擊，其中包括運行“.ORG”域名的根服務器和美國國防部運行的根服務器。

2010年1月12日，由於美國負責百度域名解析的根服務器遭到了黑客攻擊，百度首頁出現大面積的訪問故障，全國絕大多數地區均無法訪問百度網站。

2014年1月21日，由於解析中國所有通用頂級域的根服務器出現DNS汙染事件，百度、新浪、騰訊、京東等許多網站的在此次事件中均被劫持到65.49.2.178這個位於美國IP地址上，一度無法訪問。

2015年11月30日和12月1日，DNS根服務器再次遭到兩次大規模攻擊，攻擊者使用了隨機分佈的IP，攻擊流量大約為最高每秒500萬次查詢。兩次攻擊都持續了長達一兩個小時。

以上互聯網局部癱瘓僅僅是因為根服務器異常或黑客攻擊所導致，更大的風險在於，由於美國擁有對根服務器的特殊地位以及對.COM等頂級域名的掌控，一旦美國出手，帶來的影響將是異常巨大的。

理論上美國可讓一個國家在互聯網中瞬間“消失”

2014年6月24日的《人民日報》曾經有過這樣一段描述：

目前美國掌握著全球互聯網13臺域名根服務器中的10臺。理論上，只要在根服務器上屏蔽該國家域名，就能讓這個國家的國家頂級域名網站在網絡上瞬間“消失”。在這個意義上，美國具有全球獨一無二的制網權，有能力威懾他國的網絡邊疆和網絡主權。譬如，伊拉克戰爭期間，在美國政府授意下，伊拉克頂級域名“.iq”的申請和解析工作被終止，所有網址以“.iq”為後綴的網站從互聯網蒸發。

理論上美國可以截獲、丟棄、篡改、偽造經過根服務器的信息，並且由於目前主流頂級域名 .COM、.NET等均由美國威瑞信(VeriSign)公司負責管理，可以說美國想掐斷哪個網站，技術上完全有能力做到。我們不妨假設一下：

1.由於美國對根服務器以及頂級域名的影響力，完全可以屏蔽某些特定的域名（ 例如: XXX.COM和XXX.NET），讓它們的IP地址無法解析，這些域名所指向的網站就等於從網絡世界中消失了。

2.通過修改域名記錄等技術手段，根服務器和頂級域名的管理者完全可以將互聯網用戶對某一重要網址（例如：銀行網站）的訪問轉移到他所希望的IP地址上去（例如：偽造的黑客網站），從而盜取信息。

3.根服務器可以對用戶訪問網站時發出的域名解析請求信息進行長期監測和統計，從中分析出一些重要網站的訪問量、訪問者分佈等敏感信息。例如，可以對某個國家的政治、經濟或科學技術等類別的網站進行流量訪問統計，大致分析出該國熱門網站分佈情況和網民的訪問喜好等。

我們不難可以看出，以上這些理論上的可能性將會對沒有根服務器的國家構成巨大的網絡安全風險！

中國在網絡安全威脅下的應對

世界上每個國家都有國土的邊界，一般用領土、領海、領空來定義。互聯網世界雖然是虛擬的，但是其中的服務器、數據以及人們在網絡中的經濟活動是真實存在的，所以在互聯網中也應該有相應的網絡主權邊界。

出於對互聯網信息安全方面的考慮，其他國家紛紛建立了各自的互聯網應急安全體系。中國也不例外，CNNIC（中國互聯網絡信息中心）作為中國的域名管理機構，採取了以下的應對措施：

1.CNNIC成立前，將.CN域名服務器從德國搬回中國，這是掌握國家域名主導權的前提。

2.2003年，CNNIC開始推廣.CN域名。

3.2006年，CNNIC開通五大頂級節點，實行備災管理；對於.CN域名的網站就算全部國際線路中斷，CNNIC也有應急措施保障其能夠被正常訪問。

4.2006月12月，中國開通“根域名中國鏡像服務器”，這意味著今後中國網民在訪問任何以.COM和.NET為後綴的網站時不必再繞道美國，在本土即可完成訪問請求。

雖然中國做出了諸多的努力，但這些措施還是隻能保證“互聯網中國部分”的安全，域名解析的結果最終還是有可能會彙總到根服務器上。也就是說對中國互聯網在中國以外的世界範圍內的“斷網”和“網絡監控”風險依然無法完全排除。

中國為什麼不自建根服務器？

由於技術限制，IPv4中DNS協議使用的UDP數據包限制了最多隻能有13臺根服務器；這13臺根服務器的限制，使得中國從加入互聯網的那一天起就處於被動的局面。

事實上，互聯網的先驅、互聯網名人堂入選者Paul Vixie（保羅•維克西）博士曾經在2014年同中國互聯網絡信息中心（CNNIC）合作向IETF（Internet Engineering Task Force，國際互聯網標準化組織）提交了一項新的技術標準，嘗試突破根服務器只有13臺的限制，但最終該提議沒有被接受。

保羅•維克西

IPv6時代的機遇

之前提到的13臺根服務器的限制，其實是基於一個前提，就是互聯網運行在IPv4協議框架下。

IPv4是“Internet Protocol Version 4”的縮寫，也就是“互聯網協議第4版”。這是目前全球互聯網最廣泛使用的核心協議，IPv4的地址採用32位長度，包含了大約43億個IP地址。

43億聽上去很多，但是今天全世界76億人口中網民總數已經超過了 40 億，並且實際上網的設備數量（如：電腦、手機，智能硬件等）要遠遠超過這個數字，顯然43億個IP地址是不夠分的；更不用說美國佔據了50%以上的IP地址，而中國能獲得的IP地址數量非常有限，目前只能使用“動態IP”、“內網IP”等方法進行技術上的妥協。

隨著IPv4地址資源的耗盡，它的升級版本IPv6受到越來越多人的關注。IPv6地址採用128位長度，地址容量達2的128次方個。這一數量級好比“地球上每一粒沙都分配到一個IP地址”，實際IPv6地址的數量接近於無限。

在萬物互聯的物聯網時代，對於網絡地址的需求會出現爆發式增長，因為需要聯網的設備數量將會遠遠多於人口數，所以在可預見的將來，互聯網核心協議必將會從IPv4升級到IPv6。

於此同時，一個重大的利好消息是，升級到IPv6協議以後，根服務器的數量終於可以突破13個的限制！

中國發起，多方參與的“雪人計劃”

在全球從IPv4向IPv6過渡的關鍵時間點上，由中國下一代互聯網工程中心（BII）於2015年6月23日發起，聯合日本WIDE機構（M根運營者）、國際互聯網名人堂入選者Paul Vixiez（保羅·維克西）博士、互聯網域名工程中心（ZDNS）等全球組織和個人共同創立和發起了“雪人計劃”。

“雪人計劃”的主要目的是在IPv6的時代突破13臺根服務器的限制，改變當前互聯網“單邊治理”的格局，引入更多根服務器運營者進行“多方共治”，實現“同一個世界，同一個互聯網”的願景。

截止2017年11月27日，在與現有IPv4根服務器體系架構充分兼容基礎上，“雪人計劃”在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺IPv6根服務器架設，形成了13臺原有IPv4根加25臺IPv6根的新格局。其中中國部署了4臺根服務器，由1臺主根服務器和3臺輔根服務器組成，打破了中國過去沒有根服務器的困境。

“雪人計劃”中根服務器的佈局

關於“雪人計劃”的一個疑問

在閱讀了大量對於“雪人計劃”的報道後，發現幾乎所有的主流觀點都是“因為中國現在也有了根服務器，所以在IPv6時代我們完全可以和美國在互聯網治理上平起平座了。”

但事實是不是這樣的呢？

“雪人計劃”中一些不為人知的細節

1.“雪人計劃”其實是一個在測試環境中的“實驗室”項目，它將於2018年或晚些時候結束。和大多數人理解的不同，它是一個暫時的、允許失敗的前期技術測試項目，嚴格地來說甚至不能算作是“技術原型”，更不是在生產環境中的“官方”根服務器部署。

2.事實上我國正在努力推進IPv6根服務器在中國的落地，引用中國工程院院士、中國互聯網協會理事長鄔賀銓的話來講“我們國家在探討IPv6建設過程中，提出過要增強主根的部署。不過尚不明確主根最終能否以及有多少可以建在國內。”

3.“雪人計劃”設立的IPv6根服務器並非完全獨立，而是繼承了IPv4中F根服務器中的基礎數據，包括所有頂級域名的數據。

4.從技術上來看，根服務器之間也並非完全平等，“雪人計劃”新增的25臺IPv6根服務器的地位事實上要低於之前的13臺IPv4根服務器。還是引用鄔賀銓院士的話“IPv4的根服務器對IPv6的根服務器依然擁有解釋權，所以即便未來中國有了IPv6的根服務器，也並不意味著中國就能起到主導作用。”

5.基於“同一個世界，同一個互聯網，同一個域名空間”的理念，“雪人計劃”不會試圖進行“域名空間分叉”。也就是說，“雪人計劃”目前所做的所有測試都是基於目前IPv4的架構下的拓展，而並非“另起爐灶”重新建立一套新的域名管理系統和根服務器；換句話說，就“雪人計劃”本身而言，並沒有完全動搖美國在互聯網中地位的根基。

從以上可以判斷，目前對於“雪人計劃”存在著過度報道的情況，有些過於樂觀了。

那麼究竟如何來比較客觀第評價“雪人計劃”的意義呢？

“雪人計劃”的真正意義

雖然“雪人計劃”只是一個測試計劃，但是它的真正意義至少包括以下三點：

1.通過聯合全球機構來做測試和試運營，實際驗證在IPv6協議下根服務器可以突破13臺的限制，並且獲得了第一手的運營、故障排查和維護的經驗，掃清了技術上的障礙；截止2017年8月，“雪人計劃”的根服務器流量在兩年中增長了20倍，全球用戶根服務器訪問量達到1.2億次每日。

2.在全世界範圍內獲得了一大批支持者，願意一起在IPv6時代共同治理互聯網，形成了打破互聯網單邊治理的“共識機制”。同時，這也中國爭取根服務器管理權行動的有意義的切入點。

3.當“雪人計劃”結束，IPv6時代真正來臨的時候，如果美國依然想控制根服務器的話，中國已經完全有技術能力和影響力來召集眾多“盟友”與之抗衡。事實上，美國已經意識到互聯網單邊管治的時代已經結束，很早就作為一份子參與了“雪人計劃”的測試。

可以這麼說，“雪人計劃”是中國對下一代互聯網戰略基礎設施的謀篇佈局之作！

最後引用國際互聯網名人堂入選者Paul Vixiez（保羅·維克西）博士的一句話作為結束：

Open and transparent network science is no threat to Internet governance. "Steady as she goes."

開放和透明的網絡技術並不會威脅到互聯網的治理。“她會繼續前進。”