2017年11月27日,中国下一代互联网国家工程中心宣布“雪人计划”已在全球部署25台IPv6根服务器
2014年1月21日,平淡的一天。大人置办年货,孩童点燃爆竹,中国铁路紧张进行春运。所有人都在等待新年的到来。
变故是在下午出现的。
下午3点20分,整个中国所有正在上网的用户都突然失去链接。百度、微博、淘宝等门户网站均无法访问。这种状况没有持续太久,三个小时后便陆续恢复正常。事后查明,直接原因是全球域名解析出现故障所致。
除了些许不便之外,故障的影响并不大,讨论者寥寥,这件事也就如一颗石子般隐入历史洪流。但没有人知道,断网的三小时中,有些事已经被永远地改变了。
历史的脉络在这个下午交汇,最终在三年后,引发了那场世界最大网络行动。
奥林匹克
2008年的夏天,第29届奥林匹克运动会在中国举办,成为一个时代的符号与注脚。但北京并不是“奥林匹克”的唯一举办地。
当张怡宁卫冕金牌;当菲尔普斯抵达终点;当博尔特穿越百米的时候,万米之外的白宫,一个代号为“奥林匹克”的行动启动。北京的奥林匹克圆满落幕,而白宫的奥林匹克要四年后才浮出水面。
2010年,白俄罗斯的一家安全公司Virusblokada在为伊朗客户检查系统时,发现了一种蠕虫病毒 Stuxnet(震网)。
这种病毒的作用是通过入侵核工厂离心机的频率控制器,控制离心机以超过安全范围的数值运转,同时在监视器上显示正常数值欺骗管理员,最终导致设备损坏。
病毒公开后,业界人士发现这种病毒并非传统病毒,而是针对伊朗的纳坦兹核工厂量身定制的病毒。这是人类史上第一个跨过网络与现实界限,直接对设施发起物理攻击的病毒。
如果不是伊朗工程师意外将绝密U盘插入了自己的电脑,那震网病毒可能到今天都不会被发现。
当年,俄罗斯卡巴斯基实验室发布声明,认为“种种迹象表明,除非有国家级的支持和协助,否则很难发动如此规模的攻击”。
卡巴斯基没有说错。两年后的2012年,《纽约时报》在报道中援引一位高级官员的秘密消息,确认震网是由美国国家安全局和以色列联合研发,目的在于阻止伊朗发展核能。
并且除了震网之外,感染伊朗全国大半电脑的Flame(火焰)病毒,也是美以行动的成果。
秘密官员还透露了行动最早于2006年由布什建立,2008年奥巴马下令加速。行动代号:“奥林匹克”。
奥林匹克行动曝光后,舆论哗然。
一波未平一波又起。第二年,棱镜门事件爆发,美国全球窃听计划曝光。苹果、微软、谷歌、Facebook、Youtube以及世界电信巨头威瑞森都牵涉其中。被监听对象囊括美国的对手和盟友,连默克尔也在监听之列,引发了美国外交的大地震。
在中国方面,斯诺登向媒体提供的文件表明,美国国家安全局对部分中国企业进行了监听,还对清华大学发起了大规模网络攻击。
2013年的世界名词中,网络安全占了重重一笔。
棱镜门事件后,各国都开始着手网络安全,德国建立内部安全网络,英国发布网络安全战略,巴西立法保护信息。
中国亦采取了大量措施,但其实窃听仅仅是我们互联网面临的众多危险中最小的一个。
假如我们把窃听计划看成美国躲在欧洲的房子外听里面的动静,那么中国面临的形势就更加严峻,欧洲好歹有房子,我们连房子都是美国的,他完全可以站在我们的客厅里听。并且只要美国愿意,完全可以让中国瞬间在互联网上消失。
一切的一切,要从互联网的开端说起。
流浪中国
我们今天的世界互联网始于1969年的美国,在最初它是为美国军事而生的,直到1980年互联网才开始商业化,进入人们的生活。严格来说,不是世界人民共享互联网,而是世界人民使用美国的互联网。
这一点,在IP地址的分配上极为明显。
互联网空间不同于现实空间,现实空间别人可以通过地址、门牌、甚至经纬度找到你,但互联网世界只有0和1,所以你也只有一串由0和1组成的地址,来让别人找到你。
这串由0和1组成的地址,叫IP地址,这是互联网的基础资源,你可以直接理解成互联网的土地。
从互联网诞生之日起IP地址协议就一直在完善,最终在1981年,IETF(互联网标准组织)规定IP地址由一串32位的二进制数构成,每台设备都需要独立的IP地址才能够进入互联网,比如:11000000 10101000 00000001 11111111。
你对这串数字会感到陌生,因为为了方便人们阅读和记忆,IP地址在我们的设备上通常显示为点分十进制,上面这串地址在点分十进制后就变成了:192.168.1.255,方便很多。
这版协议是IP协议的第四版--Internet Protocol version 4,也就简称IPv4。
今天你可以在任何设备的信息中看到IPv4地址,它是第一个被广泛使用,同时也是构成现今互联网的基础协议,从1981年诞生到今天,它已经使用超过了四十年,简单、可靠、大家互信。
但它有一个致命的问题——数量。
IPv4地址是32位的二进制数,意味着IP地址在逻辑上的最大总量为2^32-1,也就是4294967295(42亿)个。
在1981年,这个地址数量是天文数字,但互联网发展速度超过所有人想象,个人PC、移动电话、智能设、ISP(移动服务提供商)的兴起中,IP地址被迅速消耗。
全球有70亿人口,IP地址仅有43亿个,一旦用完,后来者将无法进入互联网。
危机不止于IP地址不够用,许多国家还面临用不上。
全球互联网都用IPv4协议,那就要有人来分配和记录地址,于是,IANA(互联网数字分配机构)出现了。
IANA于1988年正式成立,负责将IP地址分配给全世界。
这个组织虽是国际组织,但从创立之初,资金来源就是美国国防部,再加上美国作为世界互联网起源地,有先发优势。于是资源大量向美国倾斜。
截至2022年8月26日,全球各国IP地址分配数量为如图。
其中美国分配了16亿个,占全世界38%,中国分配了3亿个,占8%。换算成人均的话,每一个美国人有5个IP地址,每五个中国人有1个IP地址。
如果说中国地图上的每一段线,都是一场冒险,那么在互联网地图上,中国连冒险的机会都没有。其他国家则连冒险是什么都不知道。
IP不够的问题当然不是突然出现的。
IPv4诞生10年后,1991年,IETF就预测IPv4地址将会在2010年耗尽,并在次年提出了IP协议第六版,简称IPv6。
和IPv4的32位不同,IPv6的地址长度扩张到了128位,是前者的四倍,这是一串IPv6地址,你感受一下:
0010000000000001 0000110110111000 1000011010100011 0000100011010011 0001001100011001 1000101000101110 0000001101110000 0111001101000100
长度增加后原有的点分十进制也不够用了,于是IPv6改用了十六进制表示,变成这样:
2001:0db8:86a3:08d3:1319:8a2e:0370:7344
IPv4的有43亿个地址,IPv6的长度是它的四倍,那是不是就有43X4,也就是172亿个地址?不是。IPv6的地址空间为2^128-1,IP地址总数为:
340282366920938463463374607431768211455个
简单一点描述就是:IPv6能给全世界每粒沙子都分配一个地址。
如果说IPv4是一块美国分配土地的大陆,那么IPv6就是一片新的海洋,广阔、无限、没有压迫。
IPv6出现后,全球主要国家纷纷开始IPv6的研发。
2001年 欧盟成立IPv6 Task Force,专门制定IPv6推广计划,并在次年同时启动6NET和Euro6实验网。2004年,韩国启动IT839计划,目标建成东亚网络枢纽。因为有较多IP储备,美国态度并不积极,直到2003年才宣布启动。
而中国对IPv6的研究,比所有国家都要早。
1992年,IETF开始讨论IPv6,两年后的1994年,中国就在CERNET网络中建立了IPv6试验床。而当时中国连IPv4都还没玩明白,搞IPv6基本等于边学走路边学跑步。但总有能把这事干了的人。
CERNET网络中的IPv6试验由清华大学教授吴建平领衔,这位狠人曾经仅靠几张日文图纸,就在100天内搭建出北京期货交易所,用世界最先进技术建立了一个大型分布式计算机期货交易系统,是中国互联网工程科技的主要开拓者和学术带头人。
1994年,国家计委启动CERNET工程,担任项目负责人的吴建平联合了数十家大学开始建设,在1995年11月完成,比原计划提前一年。
1997年,IETF发布正式的IPv6协议,第二年,中国CERNET就成为了世界最大IPv6测试平台6Bone的骨干网成员。
在研究上,中国领先了全世界,并且不止于研究。
1995年CERNET网络完成后,吴建平就把目标转向了IPv6的实际发展问题。2001年,包括吴建平在内的57名院士联合致信国务院,提出建设一个纯IPv6主干网。
第二年,国家计划委员会批复同意,启动“下一代互联网战略研究”,将建设纯IPv6网络的任务交给了吴建平,并命名为CERNET2。
吴建平带领的CERNET团队愈战愈勇,仅两年后的2004年,CERNET2主干网就正式开通。
整个网络使用纯IPv6建设,连接全国20个城市25个核心节点,成为中国第一个IPv6国家主干网,同时也是世界规模最大IPv6网。
在CERNET2的组网中,建设组原本可以全部使用国产设备,但他们选择了三分之二使用国产,三分之一使用国外,因为只有设备上的复杂、混合、不干净,才能最大程度暴露出问题。
CERNET2不止要建设一个中国的IPv6,还要为世界IPv6作准备。而同时期,欧盟、美国、日本才刚刚进入IPv6的论证。
2007年,互联网创始人温瑟·顿夫(Vint Cerf)访问清华大学,参观了CNGI-CERNET2。第二天,他在世界互联网技术大会中说,“在此我想提醒诸位,中国在IPv6方面已经走得比世界上任何一个国家都要远了”。
当筵意气凌九霄。
第二年,北京奥运会举办,这是中国新时代的开篇,也是互联网新时代的开篇。
2008奥运会中58个场馆全面部署了IPv6系统,所有网络、传感器、摄像机均为IPv6网络,由中央控制中心无缝控制。同时外围超过15000辆出租车使用IPv6传感器,交通部门实时指挥。在这些大规模网络中,没有使用闭路电线,没有手动配置,所有传感器全部使用标准以太网连接并自动配置。中国向全世界展示了一个名为IPv6的理想。
2008年的年末,中国成功完成了当初下一代互联网战略的第一个五年目标,但没有人想到,这已是中国IPv6的顶峰。
此后,尽是低谷。
孤筏重洋
1992年,为了解决IPv4数量极限的问题,IETF提出了IPv6,但IPv6不是IPv4协议的升级,而是一个全新的协议,两个协议之间无法兼容。
如果要使用IPv6,全世界的互联网设备都要同步更换硬件设备。1992年IPv6提出后,IETF等国际标准组织的共识是,全世界互联网逐步向IPv6的转移,并争取在2010年IPv4地址耗尽前完成。
如果计划顺利,那2008年北京奥运展示的IPv6模型,很可能成为世界模板,但计划不顺利,因为一种新技术技术出现了——NAT(网络地址转换)。
1994年,NAT技术首次提出,通过在路由器上安装NAT软件,就可以实现多个主机使用同一个IP地址,也就是我们常说的公网、私网。
用个比喻,过去一个IP地址代表一个人,快递员只要知道IP地址就能找到这个人,而NAT技术就是把一个IP地址变成一个小区,快递员只用把包裹交给门卫,门卫再将包裹交给住户,反过来如果住户要寄包裹,也是交给门卫。小区之外是公网,小区之内就是私网。
NAT技术的出现大大缓解了IP地址耗竭的危机,在全世界发展IPv6的几年中,NAT技术也在蓬勃生长。
1999年,NAT技术标准提出,迅速被各国接纳,相比起要全部硬件回炉重造的IPv6,使用NAT技术只需要在路由器安装软件,成本更低,也更方便。
并且,IPv6是基础层技术,在用户侧是无法感知的,对你我他这些消费者来说,使用IPv4和IPv6完全没有区别,商家也就缺乏更换的动力。
成本和经济效益两个问题一叠加,所有国家都倒向了NAT,当然,代价是忍受资源的不平等。全世界IPv6的发展都开始放缓,中国也在2008年后进入黯淡。
IPv6的退潮换来的是NAT的升起。
为了帮助NAT技术发展,IANA在全球IP地址中预留了3个私有地址网段。这三个网段的地址不会在互联网上被分配,可以在私网内自由使用,同时私网的IP不允许出现在公网,只能通过NAT使用公网IP连接。
任何一个有基础网络知识的人,都不会对192.168这个地址感到陌生,因为除了学校和大型企业,一般网络都会使用C类地址搭建私网。
我们在生活中使用的网络,99%也都是NAT技术映射的192.168地址。
十九世纪的英国维多利亚时代,社会贫富差距极大,富人享受宫殿、舞会,穷人只能在小旅馆中用一根绳子撑着头睡觉,不能睡地上,那是另外的价钱。
如果以网络基础资源的角度看,那在二十一世纪的互联网,除了美国之外,所有人都在睡绳子,这根绳子叫192.168。
并且更惨的是,绳子还是有限的。
2011年,负责分配全球IP地址的IANA宣布,最后的IPv4地址块已经分配给了五个RIR机构,此后世界再无新的IPv4。
这个消息并没有引起太大波澜,因为NAT技术已经解决了地址耗尽的问题。
中国对广阔天地的理想没有打动欧洲和亚洲。
2008年奥运会IPv6亮相之后,中国下一代互联网国家工程中心联合其他国家发起了IPv6 Enabled Logo项目,并在北京成立全球测试中心,帮助全球进行IPv6的标准统一,这是中国第一次在互联网领域站在规则制定者的位置上。
但全球IPv6退潮后,这个项目也走入黑暗。
IPv6会不会就此蒙尘,成为理想的亡魂,没有人知道。但所有中国互联网工程师都在等。
等一场必然出现的风暴。
DNS诅咒
世界上所有的领域都有一个技术核心,小说的核心是文字,篮球的核心是规则,互联网也不例外,它的核心叫DNS域名解析系统。
互联网诞生初期,网络中只有上百台主机,技术人员只需要背下几十个主机的IP地址,就能访问任何人。但随着互联网的膨胀,主机数量从上百变成了上万,这种原始的记录方式就没有用了,人们需要一种新的记录方式。
比如,在互联网中设立一个服务器,记录下所有主机的IP地址,然后给这些IP地址备注一个简单好记的名字:122.111是伦敦修车行,就记作LDG;192.168是南京板鸭,就记作NJDSD。
所有人进入互联网的主机都可以在这里登记,也都可以在这里查询其他人。相当于一个互联网电话簿。
但随着互联网主机越来越多遍布全世界,这种命名很容易出现重名。为了解决问题,人们决定给命名施加一个规则,比如,在名字后面加上后缀。
开在南京市的板鸭店的IP地址,就命名为:南京板鸭.中国.南京中山北路;开在纽约的板鸭店的IP地址,就命名为:南京板鸭.美国.纽约斯塔滕岛路。这样既能找到人也不会重复。
这套命名规则,就是我们今天的互联网网址。每个点后面的词都是一个域名,而负责识别域名并提供准确IP地址的系统,就叫DNS域名解析系统。
这个解析系统是一个树状网络,由根服务器,顶级域名服务器,二、三、四级域名服务器组成,每个服务器只储存自己域名的信息。
还是南京板鸭举例。
当你输入南京板鸭.中国.南京中山北路后,你的主机会向根服务器提出请求,根服务器看到.中国后便告诉你的主机去找.中国服务器(顶级域),主机找到.中国服务器,服务器再告诉主机,去找.南京中山北路服务器(二级域),最后二级域服务器告诉你,南京板鸭店的IP地址是220.181.38.150。
听起来复杂,但在DNS高度完善的今天,完成这一切,只需要几毫秒(ms)。
在这个系统中,根服务器是整个DNS系统的绝对核心,所有网址都必须通过根服务器后,才能访问顶级域、二级域,所以也是国际互联网最重要的战略基础设施,谁能掌握谁就有生杀大权。
如果说IP地址是我们脚下的土地,那么DNS,就是让我们能找到其他人的呼叫系统。而和IPv4地址一样,DNS系统也由美国掌握。
1983年,DNS的原始技术规范在互联网发布,发明人保罗·莫卡派乔斯也因此成为互联网奠基人之一。
DNS出现后,美国军方资助建设了根服务器,至今为止,全世界共有13台根服务器,用A-M命名,除了I根在瑞典,K根在英国,M根在日本外,所有服务器都在美国。
并且13台服务器中,A根为主根,其它均为辅根。A根对所有根服务器拥有最终解释权。同时所有根服务器的文件和资料,也是由美国商务部下属的NTIA(美国电信管理局)掌控。
现在你能明白为什么说不是全世界共享互联网,而是全世界使用美国的互联网了。因为这个互联网世界的土地、工具以及所有的访问请求,都会经过美国,只要美国愿意,可以让任何一个国家断网。
如此巨大的权力当然会招来质疑。
从1987年DNS最后一次更新之后,世界范围内不乏对DNS根服务器“武器化”的担忧,随着互联网发展,这种声音也越来越大,如同一柄悬在头上的达斯克摩之剑。
为了安抚人心,1998年,美国商务部发布了一份绿皮书,向全世界征集意见,以实现一个“民主”的互联网治理方案。根据收集的六百多条意见,美国在洛杉矶成立了一个非营利性机构,ICANN(互联网名称与数字地址分配机构),负责在全球范围内协调互联网发展,创始主席由著名慈善家埃丝特·戴森担任
当年,美国商务部将IANA(互联网数字分配机构)和NTIA(美国电信管理局)两个机构的职能,全部移交给了ICANN。同时在章程中规定:ICANN可以收取一定费用维持运营,以保证不受任何国家的资金操控。
美国开诚布公的行动让全世界都放心了,质疑声烟消云散,对所有国家来说,这都是一个完美的互联网解决方案,多边、民主,能够确保世界互联网的独立。当然,要是这个方案能真的实施就更好了。
对美国来说,自己已经拥有足够多的IP地址,IANA掌管的IP地址分配职能无可厚非,但NTIA手中的根服务器权力太过重要,无法轻易割舍。
1998年ICANN成立后,两个机构的职能都逐步移交给了ICANN,美国商务部却利用与NTIA的合同,保留了对DNS根服务器的最终控制权。
这次移交虽有瑕疵,但ICANN的出现已经够激动人心。没有人再纠缠不放。
2002年,应许多国家的呼声,ICANN开始在全球布置镜像根服务器。就是将根服务器中的数据复制到新的服务器中,安装在各地各国,这样所有的解析请求都可以直接访问自己国家的镜像根服务器,能够降低延迟,帮助世界互联网发展。
中国不会错过这样的机会。
从2003年开始,中国陆续引进了多个镜像根,截止2022年,全世界已有1546个镜像根服务器,其中有40个在中国。
即使真的有一天断根了,我们也可以用数据备份搭建应急根服务器来解决。这是不是意味着根服务器的困境解决了?没有。
以往中国面对的封锁问题基本都是技术问题,是“有没有”的问题,而DNS不同。根服务器没有技术壁垒,全世界都能造,但数据和系统只有一个人有,这是“认不认同”的问题。
比如我们建立了镜像根服务器,没有了断根的风险,但我们的镜像根在法定上仍然从属于主根。如果主根拒绝授权,同样会被踢出去。
中国互联网澎湃发展的十几年中,除了一些技术人员、专家、网络工程师外,鲜少有人提到DNS这个问题,因为它和IPv6一样属于专业技术,除非行业人士,普通人不可能意识到。
不过就和IPv6研究有吴建平领头一样,DNS的安全问题也有一个人在推动——吕述望,密码学家,中科院院士,中国第一个公开商用密码算法SMS4的创始人,数字物理噪音源芯片(WNG4)发明者。
或许是因为专业中对“安全”的天然感知,这位密码学家从90年代互联网进入中国后,就一直在呼吁DNS系统的安全问题。
2002年中国大力建立镜像根服务器,就有这位专家的长文推动。
镜像根服务器建立之后,吕述望愈战愈勇,不满足于国内安全,开始用密码专家的影响力在国际上奔走,一度让美国相关机构看到他就头疼,他们把吕述望称为“互联网分裂者”,他很生气,说你怎么能这么小看我,我明明是互联网的掘墓人。
吕述望没有说错,10年后那场DNS风暴中,他真的给互联网的墓来了一铲子。
燃烧的世界树
就像前面说的,中国IPv6在2008年后渐入低谷,DNS安全也久悬未下。听起来这是两个不同的难题。但并不,IPv6和DNS面临的其实是同一个难题——话语权。
在这个问题上,我们需要交给时间。
短期内来看,世界需要互联网发展,美国也需要互联网发展来巩固霸权,二者能够和平共处。但长期来看,世界互联网的终点一定是多边机制,与美国的切身利益相反,这是二者不可调和的根本矛盾。我们只能等待这个矛盾出现。
图危制变,虑难立权。
吴建平率领的IPv6蛰伏冰下,吕述望在黑暗中为DNS安全奔走。最终在2012年,短暂的和平迎来了裂变。
2012年,纽约时报援引秘密官员的消息,报道了“奥林匹克行动”,引起世界关注。
但奥林匹克只是互联网安全风波的预热,一年后,斯诺登出逃,棱镜门事件爆发,这个在水面下运行数十年的窃听计划曝光。近80多个国家遭到监控,35个国家元首被窃听,其中包括日本首相、德国总理默克尔。苹果、微软、谷歌、思科 、IBM、高通、英特尔等世界巨头均牵涉其中。
在中国方面,北京、上海、成都、香港、台北,都在窃听目录。商务部、外交部、中资企业、科研机构为重点窃听对象,甚至华为、腾讯、飞信、海尔,都没有逃过。
棱镜计划的窃听对象之广、牵涉之大、影响之深,引发了美国外交大地震。
对欧洲、拉美来说,重要的不是美国进行了窃听,而是美国对盟友也进行了无差别的窃听。棱镜门事件爆发后,各国都向美国发出了质询,但却没有得到解释、道歉、弥补。
2013年6月7日,美国国家情报总监詹姆斯·克拉珀发表声明,“棱镜计划是合法行动”,并将斯诺登称为懦弱叛徒,世界哗然。
7月1日,玻利维亚总统埃沃·莫拉莱斯在采访中表示,他将考虑接受斯诺登的庇护申请,仅仅一天后,法国、西班牙、意大利在美国的授意下拒绝了这位总统的飞机经过,于是莫拉莱斯只得绕道飞往维也纳,但抵达维也纳后,他的飞机遭到了突击搜查。
一国之主,落如此遭遇。
我们常说2013棱镜门是世界影响最深的安全事件,它的重要不仅仅在于霸权淋漓尽致的体现,还在于这件事真正让所有人注意到了比窃听更危险的领域:IP地址与DNS。
前面我们说了,DNS系统诞生之初设定了顶级域、二级域等域名。为了实现互联网共治,ICANN规定每个国家都有自己的顶级域名。
如中国的.CN、英国的.UK和德国的.DE,这些顶级域被视为一个国家的主权空间。虽然美国保留了DNS根服务器的控制权,大家也都默认美国不会侵犯主权空间。但只是默认。
2003年,伊拉克战争爆发后,美国动用DNS根服务器权力,删除了伊拉克国家顶级域名.iq,于是,整个伊拉克都从互联网消失了两年;2004年,利比亚与美国发生冲突,当月,利比亚国家顶级域名.ly瘫痪,利比亚在互联网消失三天。
现实世界中,两个国家的国土不可动摇,但在互联网世界,却可被随意划改。
这还只是简单粗暴的打击,几年后,美国操控的DNS体系已经进化成为了精准的手术刀。
ICANN划分的顶级域名中,不仅有国家专属的顶级域,还有世界通用的顶级域。比如大家熟悉的.COM。
2010年11月29日,美国国土安全局以涉嫌违法犯罪为由,对82个.COM伊朗网站发出了扣押令,所有人在访问扣押网站时,都会看到这样一张图。
于是,一个伊朗人,坐在伊朗的家里,打开伊朗的网站,却发现自己被美国法律制裁了。
美国为什么能扣押.COM域名?因为掌握.COM域名的公司威瑞信(Verisign)在佛吉尼亚州,受美国法律管辖。
比这更恐怖的是,威瑞信除了持有.COM、.NET两个通用顶级域名外,还是13个DNS根服务器中A根和J根的运营商。并且,棱镜门事件,威瑞森也是参与者。
如果说2003年的伊拉克、利比亚域名消失,2010年伊朗域名扣押这些事件后,欧洲都还抱有“这些国家都是小国”的侥幸心理,觉得自己不会遭此对待,那2013年的棱镜门事件,就是给欧洲泼了一盆冷水。
今天可以无差别窃听,明天同样可以无差别封锁,再加上美国的强硬态度,和威瑞信卷入棱镜门,坚如磐石的欧美互信,出现了一丝裂缝。
巨大外交压力下,美国不得不选择退步。2014年3月14日,美国商务部宣布,NTIA将放弃对DNS根服务器的最终控制权,并将权力移交给ICANN。
这场DNS根服务器控制权的转移最终在2016年10月1日完成,ICANN在官网发布声明,将这一时刻称为“历史性时刻”。
但历史不会这么容易清算。
美国放弃了DNS根服务器的直接控制权,但掌握A根的威瑞信仍然由美国管理。并且早在2012年,美国就宣布过有权扣押任何.COM等域名。
问题没有解决,只是藏得更深了而已
历史的车轮缓缓碾过,欧美联盟在窃听中被动摇,DNS解析系统出现信任危机,每个国家都迫切需要一套方案、一条退路、一个盟友 ,来解决互联网安全问题。
所有人都怒了,只等待一个将他们心里怒火勾出来的人。
横海怒舶
2013年6月棱镜门爆发后,各国开始重视互联网安全。
11月,巴西宣布将颁布法律,要求巴西公民和公司产生的任何数据都要在国内存储。欧盟同期也开始审议新的数据保护法,除非得到成员国同意,否则不得传输欧盟公民的个人数据。
中国亦开始讨论网络安全问题。2013年8月,发改委下发信息安全专项通知,针对金融、云计算、信息系统、工业控制,四个方向提出了若干要求。
此时全世界都集中在解决“安全问题”这个点上,如果互联网安全是一座房子,那大家都在给这座房子打补丁。中国也同样。
但四个月后,事情发生了改变。
2014年1月21日,平淡的一天。大人置办年货,孩童点燃爆竹,中国铁路紧张进行春运。所有人都在等待新年的到来。
下午3点20分,整个中国所有正在上网的用户都突然失去链接。百度、微博、淘宝等门户网站均无法访问。
两天后,国家互联网应急中心证实,故障是由于根服务器遭受攻击所致。
这次攻击迷因重重,事发时该DNS服务器面向其他国家的解析正常运行,唯独面对中国大规模错误。倘若是网络攻击,那这种攻击相当于一伙劫匪冲进酒店,什么都没动,偏偏抢了二楼角落的一个房间。既不合理,也不应该。
有人认为这是美国对中国在棱镜门事件上强硬态度的打压,有人认为这是黑客无差别攻击。无论真相如何,我们都没法证实,因为根服务器与我们无关。
这听起来是一个无解的困境,但并非如此。
前面我们说了,IPv6在实际应用中面临着一个巨大的成本问题,即IPv6和IPv4是完全不同的协议,所有硬件都需要更换。DNS解析系统同样是建立在IP地址上的。
所以,如果使用IPv6,也必须重新设立IPv6的DNS服务器。这意味着世界将有机会打破美国掌控DNS的局面。
历史的车轮就是在这个下午转向的,有人意识到,我们需要的不是一栋房子,而是一栋建立在我们自己的土地上的房子。
伏冰五年的中国IPv6,终于迎来机会。
2014年8月,中国正处炎热,韩寒的新电影上映不久,南京地铁S8号线刚刚开通,平淡如水的日子中,一场会议在北京举行——“互联网未来基础技术发展研讨会”。
这场会议的参与人包括保罗·维克西,DNS域名软件之父;斯蒂芬·肯特,互联网安全体系之父;比尔·曼宁,互联网根服务器B根创造者;安德鲁·沙利文,IPv6协议DNS64创造者;马克·布兰特,DNS域名系统设计者;全吉南,韩国互联网之父。
中国方面的参与人包括胡启恒,中科院院士;于全,中科院院士;刘东,天地互连公司总裁;毛伟,互联网专家。
整个会议参与者均为互联网顶级专家,其中包括两个互联网奠基人,四个互联网名人堂入选者。但和阵容级别不符的是,这场会议没有任何排场,没有灯光、演讲,也没有大屏幕。
在互联网上你甚至找不到这场会议的记叙,但它却真真实实改变了世界。
研讨会四个月后,2015年,中国下一代互联网工程中心领衔发起“雪人计划”。
这个计划提出以IPv6为基础,在全世界设立根服务器。法国、巴西、新西兰、荷兰最先响应;日本、印度、俄罗斯、德国随后加入。
2015年6月,雪人计划在ICANN正式制定执行,最终参与国16个,计划协调员为保罗·维克西、日本WIDE、北京天地互连。
这是世界互联网DNS系统自1998年后,最大的一次行动。
2017年11月27日,中国下一代互联网国家工程中心宣布“雪人计划”已在全球部署25台IPv6根服务器。架构为3+22(3个主根 22个辅根),中美日各设一台主根服务器,其余国家依需求设立辅根服务器。同时三个主根间等级平等,无法互相影响,这确保了所有辅根的稳定安全。
这25根服务器的加入,打破了此前13个根服务器的困境。在雪人计划之前,美国只要停止对中国的解析,就能让我们从互联网消失。在雪人计划之后,美国连这一点也无法做到了。
这代表一劳永逸了吗?并不。
ICANN、IEEE、IETF这些国际组织,多年以来的唯一标准就是建立一个技术统一的互联网。如果要进入IPv6,必须全世界一起。
此前美国独占话语权,将全世界停留在了IPv4,没有美国的允许,任何人都无法脱离出来独自发展。
ICANN的所有文件中,你都会看到雪人计划仅仅是一个试验性的计划,如果要借此挑战既有体系,只有死路一条。
在国内外许多报道中,都将雪人计划描述成收兵的凯旋歌,但不是,它是冲锋号,是在棱镜门和DNS霸权之后,中国联合世界各国,尝试在现有体系中撕出一道口子的试验。如果美国发难,这个试验仍会充满未知数。
而且仅仅是这样一次试验,也危机重重。
2015年6月雪人计划启动后,招致白宫不满。六个月后,2016年,世界经济论坛发布了一份白皮书,在DNS域名系统报告中,将雪人计划称为“危害互联网的变种”。
DNS域名软件之父保罗·维克西当即发布文章,声明“雪人计划”仅仅是一个试验,除非IANA允许,任何人都无法更改互联网体系。日本wind、中国互联网中心随后也发表同样声明,才将指责化解。
除了无端攻击外,你会发现雪人计划共有3个主根设立在中美日,雪人计划3个主根的数据均继承自日本wind的M根,日本提供了数据,中国提供了技术并牵头发起计划,美国没有任何贡献,但仍然得到了一个主根。
计划背后的重重惊险与让步,可见一斑。
如果说在IPv4时代,中国通过设立镜像根服务器解决了“生死”的问题,那么雪人计划中设立的IPv6服务器,就是解决了“端稳饭碗”的问题。
但这还不够,远远不够。对世界来说,加入雪人计划是为了DNS安全,而对中国来说,雪人计划只是中国IPv6的关键一步。
工业再构
为什么IPv6对中国如此重要?因为它是中国过去十年最重要改革的一部分。我们需要用几分钟向你讲清楚这个改革。
过去三十多年中,中国经济经历了高速增长,主要是靠对劳动力、自然资源、资本,这三个要素的供给实现的,比如改革开放后劳动力进入城镇,这是劳动力供给;出让土地使用权生产煤炭、制造钢铁,这是自然资源供给,等等
这三个要素在过去是拉动中国经济腾飞的“三驾马车”。但发展三十多年后,这三架马车开始减速。
2015年,中国经济指标的联动性开始出现背离,比如居民收入增加,但企业利润下降,消费上升而投资下降。中国面临着一个比其他国家更诡异的“中等收入陷阱”。
这一年也被称为中国经济的新阶段,如果跨不过这个坎,复兴无望,我们必须重新为市场提供新的东西。
过去国家投资建设全国高速公路,造就了淘宝、京东的出现;村村通4G的建设计划,让中国互联网产业迅速积累经验成为世界第一。这些都是国家供给基建,然后企业和市场来创造价值的典型案例。但当经济进入新阶段后,旧的发展模式已经疲软,我们必须为市场供给新的东西。
比如——IPv6。
就像前面说的,使用IPv4和IPv6对普通人来说没有任何差别,但对工业互联网不同。举个例子,工业互联网中依靠大量传感器来实现监控和控制,智能路灯、智能流水线,这些设备中的每一个传感器都需要IP地址。
IPv4时代的工业互联网中,只能使用NAT来解决,但这大大降低了效率。由于NAT隔离了终端和网络,所有指令和数据都需要通过多个NTA网关,很容易导致对象丢失。
为了解决这个问题,工程师和程序员都只能让传感器不间断传输,保持主机和传感器间的通讯,但这种行为大大增加了设备的功耗和信令负担。
能耗是其一,NAT还消灭了工业互联网的可能性。
比如我们修建了一条公路,有智能路灯和智能监控,两种设备的运作方式不同,只能使用不同的NAT网络来链接。但不同的NAT网络间是无法对话的,因为会出现地址冲突。
也就是说在物理上,我们把路灯和监控装到了一起,但在互联网通信层上,两个东西隔着十万八千里。
这一切的解决方案,是IPv6。
如果我们使用IPv6,那么每一个设备都能得到一个独立的IP地址,所有的设备都可以互相对话、互相控制。
比如我们完全可以实现公路夜间灯光控制,通过监控实时定位车辆,车来开灯 ,车走关灯,不必所有路灯都夜间常亮。甚至只要传感器够多,还可以通过监控检测车辆的车灯亮度,然后路灯自动调整亮度和发光角度,保证车辆得到完美视野。不晃眼、不反光,没有盲区。
这还仅仅是IPv6在工业互联网中的一个小小遐想,如果真的实现,技术发展只会更快。而要在全国大规模部署IPv6,只有国家级的力量能做到。所以,我们需要为全国提供IPv6以求发展。
这种在供给侧进行改变提供增长的模式,和传统的供给学派理论不同,为中国独有,它有一个名词——供给侧改革。
现在,你搞懂中国过去十年最重大改革的基本逻辑了。让我们回到IPv6。
有改革就要有实施,那么,中国IPv6的改革是如何实施的?
前面我们提到,2014年8月,互联网未来基础会议召开,但这场奠定雪人计划的会议中,还藏着一个中国IPv6的关键人物——邬贺铨,中国工程院院士,中国数字通信先驱之一。
你很难想象,这个在现实世界略显瘦削的老人,在互联网世界,却是中国IPv6的大将。
从2012年开始,邬贺铨就任职中国IPv6规模部署专家委主任,主导中国的IPv6大范围应用。当年,多部委联合发布IPv6的建设意见,围绕标准制定、规模应用、产业发展制定了多个目标。
如果说吴建平是中国IPv6的学术带头人,吕述望是中国网络安全的吹哨人,那邬贺铨,就是将这一切付诸实现的执行人。
雪人计划宣布完成的同一年,2017年11月26日,国务院发布行动计划,开始IPv6的全国战略部署。
计划提出到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,省部级以上网站 ,必须全面支持IPv6,并建立国家级IPv6发展监测平台,定期发布报告。
这份文件,是中国IPv6浪潮再起的第一缕水花。
五个月后,工信部发布行动计划,提出了落地IPv6的详细措施,直接对接四大运营商及阿里巴巴、腾讯、华为、小米等大型企业,同步IPv6的具体落地。
到这里你一定会有一个疑问,IPv6要如何落地?
我们在第三章提过,IPv4和IPV6是两个不同的协议,更换协议需要全世界一起更换硬件,成本巨大,难道全中国都要换硬件吗?并不。
2008年,NAT技术出现,能够将一个公网地址扩张成无数个私网地址,极大缓解了IP地址的枯竭,同时也阻碍了IPv6的发展。但几年之后,这个NAT技术演变出了一个新的协议——NAT-PT(网络地址转换协议)。
这个协议可以实现一对一的地址映射,并建立连接。简单来说就是,它可以将IPv6的地址,翻译成IPv4,让不同IP协议的主机互相对话。
2014年后,这个技术成为了全世界从IPv4过渡到IPv6的方法,我们可以在所有的IPv6设备中加入NAT-PT协议,保证现有网络不受影响,然后再逐步淘汰IPv4,最终实现纯IPv6。徐以图之。
曾经阻碍IPv6发展的NAT技术,后来却成为了IPv6腾飞的助力,情况发展的戏剧性超出了大家想象。
在关于这件事的讨论中,有人说这是技术决定论中“技术发展决定历史走向”的证明;也有人说这是中国文明缺乏创新的体现;还有人认为这是宗教中宿命论的例证。都错了。
科学技术固然是核心,但社会是一个有机系统,生产力对社会的作用要通过与生产关系的矛盾运动,和经济基础与上层建筑的矛盾运动来展开。
在2008年之前,互联网生产关系的矛盾是扩张与成本,NAT技术必然帮助扩张。但2013年之后,生产关系的矛盾逐步变化为霸权与安全,为了适应新的生产关系,NAT技术也必然演变出NAT-PT。
换句话说,中国IPv6的发展,并不是NAT-PT技术的全功,而是中国人民在把握技术与社会的矛盾时,坚持人民群众利益的理念,于时代浪潮中造出来的。文学会骗你,宗教会骗你,但事实不会。
说回IPv6。
行动计划发布同年,2017年11月,世界互联网基础设施论坛(IIF)在中国举办揭牌仪式,邬贺铨、保罗·维克西、全吉男等近十位全球顶级互联网专家共同揭幕。
这场会议之后,此前原定在2017年结束的雪人计划,顺利开启了第二期,所有参与国的安全协定进一步完善。我们建立了一个真正民主、多边、合作的组织。
中国IPv6发展也迎来高峰。
2020年12月,CNTC大会在中国召开。CNTC全名全球网络技术大会,由中国下一代互联网国家工程中心主办,自2016年首次举办以来,这个大会已成世界互联网盛会之一。
2020大会上,中国工程院院士邬贺铨表示,中国三大基础运营商,全国骨干网均已支持IPv6;城域网设备支持度达到95%;市场主流软硬件全部支持IPv6。地址数量、技术标准、合作频率,中国均走在了世界前列。
这场会议上,中国同时宣布推出公共DNS服务。这是全球首个纯IPv6的公共DNS服务,只要在本机的IPv6协议中将DNS服务器设置为240C::6666,你所有的解析请求,都将使用中国IPv6根服务器,智能、安全、稳定。
如果你是一名家长,甚至还可以在国家IPv6公共DNS网站中开启家长控制,从计算机的IP层进行限制,实现对孩子的保护。
当然,如果你的孩子能够破解这种IP层的控制,那贪玩就不是问题了,你应该送他去学计算机。
大会的同年,2020年,中国发布第47次互联网发展状况报告,在互联网基础资源中,中国的IPv6地址拥有量已达57634块/32,位居世界第二。
每1个块/32的地址数量等于2的96次方,也就是近8亿个地址,57634块等于46万亿。如果算成人均,则是一人3万个。
不过这不是我们的终点,因为也许未来你全身上下的每一个细胞,都需要一个IP地址。
从1994年CERNET落地,到2008奥运展示,再到2022 世界联合,这个名为IPv6的理想,在中国的三十年激荡中飘摇、落定、成长,最终造出时代之势。
中国呼啸而来,时代亦呼啸而来。
吴建平没有离开学术,到2018年,他已先后培养研究生100余名,并被增选为中国工程院院士;吕述望仍在为DNS安全奔走,论文被译作多种语言传播;邬贺铨的征程还未告落,2020年的大会上,他宣布将继续拓展IPv6的边界,围绕6G、量子技术、卫星网络继续攻坚。
中国IPv6的故事还没有落幕,甚至还没有达到高峰,因为我们还差最后一步——使用率。
到2022年9月,中国IPv6活跃用户已达到7亿,占中国网民的67%,但从实际网络流量上看,IPv6的流量却只占到了9%。
造成这个现象的原因,是路由器。因为在真实生活场景中,绝大部分人是使用wifi进行上网。
自2018年后,中国就要求主流路由器全部搭载IPv6。但在实际生产中,许多厂商为了稳定,都将IPv6功能设置为了默认关闭。
如果说IPv6是一条互联网高速公路,这就相当于我们铺好了路、建好了桥,却发现没有人开车上来,因为入口被关了。
2022年,网信办发布深入推进IPv6安排,明确要求到2022年末,新出厂的路由器必须全面支持IPv6,并默认开启IPv6功能。
如果你的路由器是2018年后购买 ,2022年前安装的,那大概率没有开启IPv6,你可以在浏览器中输入192.168.1.1,进入路由器设置,手动将IPv6功能开启。
IPv6设置
按下这个按钮,你的网速不会变得更快,你的信息不会变得更多,唯一不同的是,你在互联网世界所踩的每一寸土地,都将属于我们自己。
它是我们前往新大陆的船票,再起高楼的奠基石,是我们在这片旷野之中紧攥的火种,将我们的过去、现在,送往未来。
历史的债在这里还清。我们将穿越黑暗,带着火光重临热土!
现在,烈火燎原!