牟承晉:全球因特網進入新的DNS時代 ——再論重新認知和深化治理因特網
點擊: 作者:牟承晉 來源:昆侖策網【原創】 發布時間:2019-02-24 12:28:09
【提要】數據主權(Data Sovereignty)已成為美國、歐盟、以及多國的共識和行動(包括立法和治理),尤其是在“棱鏡門”之后成為“重中之重”的聚焦點(Spotlight)。不實施數據主權原則,不僅數據安全和隱私處于危險之中,而且國家數據資產也無可避免地受到威脅。建議國家制定和啟動借鑒“愛因斯坦-3”(E3A)的我國網絡主權和安全戰略計劃,利用現有網絡基礎設施構建自主可控的DNS態勢感知系統,打造我國數據主權、數據安全、數據利用的新的網絡空間長城。
一、因特網進入DNS新時代的
重要標志性事件
1、DNS“執行日”
DNS是英文Domain Name System的簡稱,中文稱(網絡)域名系統,是將網絡域名轉換成為網絡可以識別的IP地址的解析中樞系統,不僅具備網絡通信中指揮和控制(C2)的內在特性,而且具有集權的固有政治(Inherently Polical)屬性。
既往的DNS協議不同于其他因特網協議,不僅“絕無僅有”地貫穿了網絡通信的應用層、網絡層和傳輸層,而且為DNS提供支持的和定制化的底層軟件(從權威域名解析服務器到遞歸域名解析服務器)也越來越復雜。例如,只要是基于域名系統的內容分發網絡(DN-CDN),無論內網、外網、專網、公眾網,都依賴于域名系統(DNS)的服務,包括在DNS擴展機制(EDNS)中增加用戶端的地址信息(Client Subnet)以有助于DN-CDN對內容推送定位的精準“匹配”。
當需要對DNS軟件更新及編程時,必須了解包含陳舊、錯誤或不相適應的所有軟件變通方法。基于“美國利益至上”、“一網天下”的網絡戰略和立場,DNS 軟件存在的一些變通方法(“旁門左道”),使美國方面控制指揮DNS的實施面臨著更加深化與細化的復雜性且無可避免地出現功能性衰退,增加了難以預料的錯誤和安全漏洞的風險。“加固”DNS成為必然。
1999年,美國因特網工程任務組(IETF)就建議實施DNS域名系統的擴展機制(EDNS)。
2016年3月,美國商務部的國家通信與信息管理局(NTIA)、因特網域名與數字地址分配機構(ICANN)和全球提供智能信息基礎設施服務的企業威爾森(Verisign,設立于美國),作為域名根區管理者,牽頭完成了“域名根區密鑰(KSK,密鑰簽名密鑰)更換計劃”。
2018年10月12日,ICANN主導實施了因特網歷史上第一次全球性的域名根區密鑰(KSK)翻轉,并宣布以后每年都要進行翻轉。專業人士稱,KSK是統一“重新配鑰匙”,其后的“DNS執行日”則是統一“更新鎖頭”和“更新鉸鏈”,環環相扣,步步為營,層層加碼。
2018年5月,因特網(Internet)的全球各區域管理機構(RIR)官方宣布,2019年2月1日是“DNS執行日”(DNS Flag Day)。按因特網區域管理機構的官方通報以及因特網社區的聯合警報,自“執行日”(及之后),不合規的域名解析服務器將被作為“死機”(Dead),必然影響相關網站的訪問(互訪)。
域名解析服務器主要針對的是權威域名服務器和遞歸域名服務器。“合規性”是通過(指定的)DNS軟件版本升級,廢棄或刪除DNS軟件存在的“變通方法”,以軟件定義互連互通(SDN)識別或支持“DNS擴展機制”(EDNS)。EDNS執行的是美國因特網工程任務組(IETF)在2013年發布的標準(RFC 6891)。
DNS協議在因特網上的應用已經持續了30多年,在全球范圍“統一”維護DNS協議和更新DNS軟件行動的“執行日”,是因特網歷史上的第一次,標志DNS進入了控制指揮的新開端、新階段、新一代。亞太地區網絡信息中心(APNIC)明白無誤地聲明:“總之,我們希望所有DNSSEC(DNS安全擴展)權威服務器的運營商能夠順利地更新其DNS系統軟件,并無縫過渡到下一個30年的DNS時代。”
倫敦經濟和政治科學研究院(簡稱LSE)2009年3月發表題為《中國和域名系統》文章,明確提出:“就信息通信技術(ICT)而言, DNS是一種‘固有政治’的技術。由于其分配、儲存和解析因特網地址的功能, 使其無疑是政治權力的重要來源;而DNS旨在確保技術標準化和系統之間互通的最大潛力, 以及避免使相同網絡地址重復分配,‘固有政治’的特點也正是基于DNS技術本身的高度集中化。因此, 誰控制了DNS的集中式技術, 誰就擁有了在網絡空間的權力和主導權。”
2、廢棄“下一代互聯網IPng”
美國為實施和實現引領與主導“下一個30年的DNS時代”,早就啟動了一系列有計劃的準備和鋪墊,包括為因特網的發展部署“正名”。
1)廢棄持續近20年的IPv6作為“下一代因特網協議”
2017年7月14日,美國因特網工程任務組(IETF)發布RFC 8200號文件,宣布了因特網協議第六版(IPv6)的最新正式標準(標準號STD 86),同時廢棄1998年12月提出的RFC 2460 號文件(即IPv6規范草案),并刪除了向IPv6過渡的“下一代互聯網(Internet)協議IPng”。
美國因特網區域工作組(IntArea)指出:“在過去幾年中,全球范圍廣泛開始實施新的數據保護法規正在對世界各地的技術公司和消費者產生巨大影響,導致IETF程序和監管要求中的某些先前建立的最佳實踐成為不良做法。”也就是說,全球網絡應用的生態環境巨變,引起了網絡技術架構和用戶需求的巨變,“導致IETF程序和監管要求中的某些先前建立的最佳實踐成為不良做法”,因而廢除既往以IPv6作為“下一代互聯網(Internet)”的草案(協議)和過渡措施(計劃)成為必然、必須和必要的步驟。這表明,RFC 8200號文件的決定,不是僅僅基于長期實踐檢驗和應用的結果而對因特網發展歷史和現狀的客觀總結與一般性歸納,更是堅持“美國優先”原則、維護“美國利益至上”網絡空間戰略、策略及安全的底線和目的。
美國當年以“IPv4地址數量不足”提出向IPv6過渡升級是基于以上原則和底線的使然,如今廢棄“IPv6規范草案”和“下一代互聯網IPng”過渡計劃還是因為上述原則和底線的必然。這不單純是網絡技術架構的設計問題,也不只是網絡部署發展的策略問題,是深化與細化美國網絡霸權統治的全新重大部署,是重申因特網“固有政治”目的的根本性決策。
與之相呼應,掌控DNS域名系統安全擴展(DNSSEC)的KSK和DNS域名系統擴展機制(EDNS)的SDN,是確立和鞏固DNS在“下一代互聯網(Internet)”中的指揮控制核心作用和地位的前提及基礎。
2)IETF知識產權主張三個基本原則出臺
2017 年5 月,美國因特網工程任務組(IETF)發布正式文件RFC 8179(BCP 79),即“IETF技術中的知識產權問題”(Intellectual Property Rights in IETF Technology),給出關于IETF處理因特網知識產權主張的三個基本原則,同時廢棄RFC 3979和RFC 4879文件。RFC 8179文件明確規定:
⑴ 將不會確定任何具體知識產權主張的有效性。
⑵ 在遵循正常的流程中,如果必要,可以決定使用已經被公開知識產權的技術。
⑶ 所有參與IETF工作組討論的人員,必須披露已知的知識產權或任何涵蓋及可能將涵蓋正在討論技術的任何知識產權及其推薦者。該要求適用于所有知識產權的主張者、知識產權主張者的雇主、贊助商或知識產權主張者的代理人,而不需要進行專利搜索。
這就是說,“因特網是我的,規矩由我定。”IETF有權選擇尚未聲明知識產權的技術,或者免費授權的知識產權技術;IETF可以采用任何技術,卻不承諾任何技術的授權許可。說白了,就是IETF在因特網工程應用中采用任何技術都不接受知識產權及其所有權屬主的約束;因特網采用的技術是否“合規”,只能是IETF說了算;未經IETF同意,任何技術、任誰的知識產權應用于因特網均屬無效、不合規,IETF“孰不認賬”。IETF在其技術規范中強制實施安全技術已經是司空見慣。其知識產權三原則的出臺,不過是公開宣布“釜底抽薪”、“唯我獨尊”、“我行我素”。
截至2018年11月,美國專利局(USPTO)授予IPv6相關技術的專利19,296件,歐盟專利局(EPO)授予IPv6相關技術的專利2,180件。IETF廢棄IPv6作為“下一代互聯網(Internet)協議”,決定實施全球性的“DNS執行日”,乃至任意關閉其他國家(如伊拉克、利比亞)的頂級域名服務器、斷網斷服等,無論多少知識產權,無論誰授予的知識產權,無論授予誰的知識產權,美國民間組織IETF的知識產權三原則都“理直氣壯”、“名正言順”地被置于政府保護知識產權的法令和管理機構的權威之上,是因特網唯一“合規”的“金口玉言”、絕對主張。
“美國優先”、“美國利益至上”的原則和底線始終高于一切,維護因特網“一網天下”的網絡空間霸權始終高于一切。
3、數據主權的法律爭奪
構成網絡空間的三個基本維度,即以基礎設施為中心的物理維度、以數據為中心的信息維度、以人的行為為中心的認知維度。半個多世紀以來,已經發生了不可逆轉的從產業化到社會化、從商業化到定制化、從技術引領到數據驅動的由量到質、由質到量的演變,尤其是,地緣政治的主導和影響日益凸顯。
聯合國“互聯網治理”組織(IGF)批準“全球互聯網與管轄權政策網絡”(簡稱I&J)作為“開放論壇”,目前已有200多個來自世界各地不同利益相關方的關鍵實體,包括政府、網絡企業、技術團體、民間組織、學術單位和國際機構等(不知為什么,沒有中國的機構組織)參加。連續三屆I&J年會(包括2019年6月即將召開的年會)研究和討論的重點都是“數據的管轄權”。
2015年10月,歐盟法院(ECJ)做出里程碑式的裁決,推翻了歐盟委員會在本世紀初提出、已經被包括IBM、谷歌和愛立信等在內的4000多家公司所利用的“安全港”(Safe Harbour)機制。歐盟法院稱,“安全港”機制沒有充分保護歐盟公民的個人資料,因為美國經常以國家安全、公共利益和執法需要等名義,違反該機制所確定的隱私保護措施。
英國是G20國家中互聯網經濟(Internet Economy)滲透率最高的國家,英國政府的目標是要將英國打造成最安全的開展在線商業活動的國家,認為數字經濟的發展推動個人數據不斷增長,對個人數據保護的水平也應該同步提高。2017年8月7日,英國數字、文化媒體和體育部發布了一份名為《新的數據保護法案:我們的改革》的報告,將通過一部新的數據保護法案(New Data Protection Law)以更新和強化數字經濟時代的個人數據保護,以取代實施了二十年的《1998年數據保護法》。
歐洲議會通過的《通用數據保護條例》(GDPR),已于2018年5月25日正式生效。該條例將數據保護從屬地擴展到屬人,細化了個人隱私數據的分類,明確了數據主體的“同意”要件,保障個人對其數據的訪問權、限制處理權和拒絕權,并擁有“可攜權”(取得個人數據處理副本)、“擦除權”(又稱被遺忘權)等。對違反數據管理者和數據處理者的義務等,違反數據屬主權利、限制數據處理、中斷數據傳輸或禁止數據訪問等,都制定了嚴厲的高額處罰條款。
特朗普針鋒相對,搶在2018年3月23日提前歐盟兩個月簽署生效了《澄清境外合法應用數據法案》(CLOUD),規定美國聯邦調查局(FBI)等執法部門,可以從因特網所及世界各地調取數據。該法案認為,及時獲取通信服務提供者持有的電子數據,是美國政府為保護公共安全和打擊包括恐怖主義在內的重大犯罪的關鍵;監管、控制或擁有這些數據的通信服務提供者本身,受到美國法律的管轄。該法案還允許其他國家將非美國公民的個人數據存儲在美國。專業人士稱,無論數據的存儲位置和創建地點在哪里,對服務提供商控制的任何數據,該法案賦予美國執法機構無限的優先管轄權。
也就是說,《澄清境外合法應用數據法案》認定美國政府和美國的企業、機構獲取世界上任何數據都是合法的、正當的,以對抗依據歐盟的《通用數據保護條例》被追訴和被處罰。
2018年被稱為世界“數據保護元年”。
無疑,數據主權和安全的保護已經上升為國家主權和安全之爭。我們看到的,仍然是“美國優先”、“美國利益至上”左右和支配著孰不講理、咄咄逼人的網絡空間數據爭奪戰。“DNS執行日”表明,網絡空間數據爭奪戰,已經全方位毋庸置疑地滲透到因特網的控制指揮系統。
全球三大網絡信息中心之一的Nomine,是全球首批專業ccTLD(國家/地區頂級域名)運營商之一,英國的.UK域名管理及注冊機構,創建于1996年5月。Nomine認為,DNS在每個網絡中都發揮著至關重要的作用——它制定了將人類可理解的域名轉換為機器可識別的因特網協議(IP)地址的技術標準。
換言之,DNS是網絡數據化運行、應用、服務和安全保護的基礎中樞平臺。數據主權和安全之爭,必然首先涉及DNS的管控權、指揮權、標準權、主動權、話語權之爭。
“DNS執行日”是數據主權爭奪的必然結果。美國在網絡空間數據領域寸步不讓,寸權必爭,寸利必奪,不僅體現在技術上,也充分表現和落實在法律層面。
二、我國的網絡數據存在
重大安全隱患
1、服務器普遍被托管在境外
逆向觀察,中國在維護數據主權和安全、保護數據,關注和利用數據方面,明顯滯后,甚至流于形式,對數據的屬地、屬主管理和治理重視不夠、執法不力。不少依賴數據、成天接觸數據的單位和官員,對數據保護的原則、底線、重點、方法、途徑等,思想上懵懵懂懂,政治上糊里糊涂,行動上流于形式,技術浮夸,管理懶散,執法松懈。
據國家信息中心等基于DNS開源信息的持續實時監測(態勢感知),我國由上而下,黨政機關、央企國企、知名網站(服務商)等的服務器被間接或直接托管在境外的情況普遍存在。近些年來大量公民個人數據、企業數據、國家數據以及涉及我國經濟、政治、社會、文化、軍事等重要敏感行業的數據泄露,與此關系甚大。有企業專門提供國內服務器托管到境外、國外信息內容分發推送到國內的(CDN)服務,毫無顧忌,毫不避諱。
2017年,全球泄露數據量的國家排名前10名,中國名列榜首。主要泄露數據單位,包括百度20億條用戶電話號碼、姓名、地址;網易12.22億條郵件地址和用戶密碼,并被在網絡售出;上海春雨2.68億條郵件地址和電話號碼;騰訊1.3億條郵件地址和用戶密碼,并被在網絡售出等。迄今,泄露、買賣數據的單位是如何反省、整改的?政府監管部門是如何調查、處理的?均不得而知。而當時披露泄露數據真相的上網文章,卻被迅速刪帖,發表文章的網站承受很大的壓力。不僅被泄露數據的個人和單位起碼的知情權都得不到尊重和保護,而且國家數據安全問題竟然是由境外發現和警報后的“轉內銷”,豈非咄咄怪事?!
2018年10月11日,維基解密公布了亞馬遜的“高度機密”內部文件“Amazon Atlas”。文件列出了遍布9個國家(包括中國)15個城市的100多個亞馬遜數據中心的地址和運營細節,其中設在中國的9個數據中心,6個集中在北京。2013年,亞馬遜與美國中央情報局(CIA)簽訂構建專供情報機構使用的“云”的合同,整合、提供歸類為“最高機密”的信息。亞馬遜還為美國政府運營一個特殊的Gov Cloud區域(政務云)。亞馬遜在中國的政務云中心設在寧夏。許多地方的開發區、高新區竟然麻木地爭相邀請亞馬遜等落地本區域設立數據中心,公開宣傳提供免費托管服務器的“業務”和培訓。
2017年11月20日,亞馬遜公開宣布向中央情報局及其情報體系(IC)成員提供“云”服務,稱為“亞馬遜云服務平臺秘密管區”(AWS Secret Region)。亞馬遜稱此項服務是“第一個也是唯一的商業云提供商向政府提供全面的數據分類服務,包括非涉密、敏感、涉密、絕密的數據。”亞馬遜是唯一擁有在“云”中托管機密數據所需認證的公司。網易郵件服務器就托管在亞馬遜的AWS服務平臺上。
服務器托管在境外,托管在亞馬遜等,意味著所依賴的DNS域名地址轉換和解析的路徑和系統,一可以穿透(躍過)我國的“防火墻”,二可以不需要經過我國境內的“鏡像”(不留痕跡),三可以避(繞)開我國的各種監控和監管,四是被托管代管的大數據可以經過有選擇性的過濾后再“推送”回到設在我國境內(運營)的“云”。
2、“旋轉門”比比皆是
早些年,美國一些高校精英轉換身份成為國家政要,一些高級將領退役成為跨國企業家或科研翹楚,被認為是身份轉換的“旋轉門”,為美國夢的實現提供了可能。
這些年,“旋轉門”的理念和操控,被深入應用到因特網。基于DNS實時監測的態勢感知發現,公眾知名網站的服務器、“云”中心都存在“旋轉門”問題。
由境內公司主導和聯手產生引導數據流到境外的“馬甲”效應,稱之為“內旋轉門”,反之,則稱之為“外旋轉門”。一般來說,我國被導向境外的是原始來源數據,境外托管;國外推送境內的是篩選(備份)之后的數據,境內緩存。數據泄露或被惡意利用都只在“旋轉門”的一瞬間,而我們往往卻在為數據是否泄露、泄露了多少數據、是“拖庫”還是“撞庫”….. 而站臺背書,爭論不休,糾纏不清。
請注意,近年來,美國司法部、聯邦調查局等多起刑事起訴我國公民(包括我國家安全官員、留學生、科研人員、企業家等)的公開證據,主要都是通過“旋轉門”獲取的開源數據、信息、情報。
CDN 緩存服務器是支撐“旋轉門”的重要技術模式,既是向境內提供服務數據(內容)的根源,也是從境外接收數據(內容)的節點,其開放的自定義端口潛在地與境內外互動。網絡入侵和攻擊往往利用自定義端口滲透。
騰訊的16臺郵件服務器(IPv4地址),12臺屬地美國洛杉磯,自治系統AS 6939,屬主為Hurricane Electric(HE,颶風電子公司);4臺屬地深圳,自治系統AS 132203/132591,屬主為騰訊。所有服務器都具有“旋轉門”功能。
美國蘋果公司(Apple)在中國有四個主要域名,其中“云上貴州”的頁面是www.colasoft.com.cnicloud.com.cn,其它3個地址顯示為蘋果官方網站。“云上貴州”的別名(Canonical Name)是www.icloud.com.cn.edgekey.net,中國境內網址47.96.193.19(www.icloud.com.cn),屬主是AS 37963(阿里云),其中的IPv4地址104.100.56.123映射到(別名)IPv4地址23.38.201.117,屬主是美國的Akamai公司(擁有全球三分之一以上CDN市場的服務商)。“云上貴州”的“旋轉門”功能十分明顯、典型,并可能牽連出更深層次、更大范圍的網絡空間主權和安全問題。
中國鐵路12306主網站的別名是www.12306.cn.lxdns.com,中國境內網址58.216.109.187,屬主是AS 4134(中國電信),而該別名所綁定的5個DNS全部都在美國(AS 54994),屬于典型的基于DNS的內容推送網絡(DN-CDN);客服中心的域名dynamic.12306.cn被托管主機的IP地址210.61.207.156(AS 3462),屬地竟然是臺灣(臺北),屬主竟然是臺灣的官方網絡運營商中華電信數據業務集團(Data Communication Business Group)。
中國鐵路會員服務的域名cx.12306.cn被托管主機的IP地址163.171.129.134(AS 54994),屬地美國(加州),屬主是網宿科技(QUANTIL NETWORKS)。
上述托管服務器竟然開放和使用了因特網號碼分配機構(IANA)規范定義的“洋蔥路由”(Tor the onion router)81端口。“洋蔥路由”是以匿名為目的,自成體系的域名系統和代理機制,多被用于“暗網”和黑客。使用“洋蔥路由”端口凸顯被托管主機存在明確無誤嚴重的數據泄露風險。據1月25日我國公安部新聞發布,2019年全國鐵路春運發送旅客4.06億人次,遠超過美國人口(3.26億),數據量、信息量巨大,開源情報價值難以評估。如果美國、臺灣等借此路徑發動網絡攻擊或黑客侵入,將能夠精準定位和跟蹤任意目標,后果不堪設想。
重要說明:IANA原屬美國商務部國家電信和信息管理局(NTIA),建立ICANN就是為了履行IANA的職責,兩者職能各自不一、相輔相成,都要按照與商務部簽署的無成本協議執行及履行職責。IANA的職能是作為美國國防部高等研究計劃署的阿帕網(ARPANET)的一部分制定的,包括:1)協調因特網協議技術參數的分配;2)履行與因特網DNS根區域管理相關的職責;3)分配因特網IP地址。
三、“DNS執行日”的重要啟迪
1、“雪人計劃”的謊言破產
ICANN于2015年提出和公布的“雪人計劃”,英文是Yeti DNS Project,即“雪人DNS計劃”。
ICANN最廣為人知的職責和使命,就是作為因特網域名系統(DNS)的技術協調機構,對全球因特網的唯一標識符系統進行協調,確保唯一標識符系統能夠穩定且安全地運營。
ICANN主持的“雪人DNS計劃”網站清楚地說明:“雪人DNS”系統是用于根域名服務的測試平臺以及一些實驗,不會添加/刪除在IANA根域區中的委派記錄(Delegations),并以“雪人”(Yeti)安全擴展(DNSSEC)密鑰標識所有資源記錄(RRset),不提供替代的域名空間。
“雪人DNS計劃”的發起人之一、自詡的“域名之父”保羅•維克西(Paul Vixie)2016年就強調并警告,如果認為“雪人計劃”是域名空間擴張,除IANA之外的其他人可以有效地編輯頂級域名空間,例如添加新的頂級域名(TLD)或更改現有頂級域名(TLD)的所有權,答案絕對不是;如果你觸摸它(替代根域名服務),你就會死亡;如果某個國家想創建自己的因特網DNS系統,獨立將是不健康的、粗俗的和短暫的。
保羅的“雪人DNS”工作模式:
一直以來,以北京天地互連信息技術有限公司(BII Group)為代表,我國一些專業人士、政府官員竭力鼓吹“雪人計劃”是中國主導的,“構建全球IPv6根服務器網絡,展示新型的IPv6根服務器的應用能力”,“中國部署了其中4臺基于IPv6的根服務器,打破了中國過去沒有根服務器的困境”云云。
無情的是,“DNS執行日”將“雪人計劃”打回了原形。DNS的合規性結果,宣告了“雪人計劃”從因特網“下一個30年DNS時代”的開端就被“彈劾”出局;或就是一出被人利用炮制的“鬧劇”,不僅使“替代根域名”難以為繼,3年多來對“雪人”(造假性的宣傳)打造和(欺騙性的巨額)投入,傾刻間就被“融化”(土崩瓦解)了。
值得玩味的是,DNS擴展機制(EDNS)正是由保羅在1999年提出(RFC 2671),2013年形成標準(RFC 6891)。然而,保羅卻坐視“雪人”在技術上的旁門左道,在應用上的不合規,在互聯網社區中的自取其辱(即與所宣稱的“一個世界、一個互聯網、一個域名系統”的陰陽變通)。究竟是為什么?是保羅糊弄了天地互連的專家們,還是天地互聯的專家們耍了保羅?或是雙方互有默契?
以上事實真相還清楚地揭示,基于IPv4技術的因特網生命力依然強盛,對于美國來說,“下一個30年的DNS時代”仍然是IPV4時代。
據美國國家標準與技術研究院(NIST)截至2018年12月22日的“USG v6狀態統計”,經過美國政府長達近20年的IPv6過渡計劃推動,美國支持IPv6的產業只有2%在運營中,過渡和沒有進展的占98%;美國高校采用IPv6域名運營的僅3%,過渡與沒進展的占97%,這是不能不關注的反常動態。據APNIC統計,截至2018年10月31日,美國的IPv6用戶率已經從世界排名第一降到了第三,中國排名第71位。據谷歌的監測認為,美國IPv6采用率實際只有36.31%。
亞太地區網絡信息中心(APNIC)的報告指出,2017年下半年至2018年8月,IPv6部署狀態出現回落。受到IPv4地址短缺壓力較高的運營商,IPv6部署率較低,確實意味著在因特網的許多領域尚沒有客戶端/服務器(C/S)環境中部署IPv6的迫切性。也就是說,地址短缺的壓力,不是規模部署IPv6的充分必要條件。
受因特網域名與數字地址分配機構(ICANN)首席技術官 辦公室(OCTO)委托,美國佐治亞理工學院公共政策研究院的因特網治理項目組(簡稱IGP)發布了一份題為“隱藏的標準之戰爭”的調查報告(2019年2月),研究分析認定:IPv4與IPv6不是“過渡”問題,而是在技術進化中的兩條路線之間的經濟之爭;而且目前IPv6的部署率不均衡,相關的數據違背了簡單的或可預測的模式。
根據我國“國家下一代互聯網產業技術創新戰略聯盟”2018年11月1日發布的《支撐中國IPv6規模部署—中國IPv6業務端到端貫通用戶體驗監測報告》,我國IPv6活躍用戶數(已分配IPv6地址且一年內有IPv6上網記錄的用戶)移動寬帶718萬戶,固定寬帶233萬戶,共計951萬戶,按照“推進規模部署IPv6”要求2018年底達到2億的指標,實在是差得太遠。
IPv6顛覆IPv4網絡應用架構的態勢,難以解決的大量已知和未知的安全陷阱和安全壁壘,十分巨大的投資和運維成本,遙遙無期的經濟回報,是無論市場經濟、計劃經濟都不能不避諱、權衡的掣肘。實事求是地重新調整規模部署IPv6的戰略和策略,勢在必行,迫在眉睫。我國須盡早抉擇。
面對眾所周知且無可辯駁的事實,天地互連的專家和支持者將情何以堪?又將作何自辯或解釋?國家和各級政府的行政主管、執法、審計、監察部門,是不是該認真履行職責了?
2、BIND是關鍵、要害
美國國防部國防高級研究計劃局(DARPA)1980年資助開發、1984年后由美國因特網系統聯盟(ISC)接管的BIND,是因特網最重要的核心步驟和戰略部署。既是為了“綁架”DNS樞紐平臺,也是為了從“軟、硬”兩個方面緊密融合,牢牢掌握和控制住DNS的所有權、指揮權、控制權、決策權。BIND早已經植入于DNS,成為DNS捆綁應用的“事實標準”(de facto Standard),主導著DNS應用的全球軟件市場,不僅是指引因特網數據流走向的“紅綠燈”規則,也是強制性服從的“指揮棒”,違逆即陷入迷失、彷徨、混亂或撞壁。
以上圖示顯示,在BIND的作用(軟件互連互通的控制指揮)下,DNS應用驅動遞歸服務器,由遞歸域名服務器與域名解析系統按“從右到左”交互完成三次不可逆的域名解析迭代的過程。但其中任何一個環節都可能被竊聽、竊取、篡改或轉移,還可能被分級服務商“合法鏡像”后作為相互的“安全信息交換”,是為專業人士不可不知的“篩子型”漏洞。
美國國防部以域名體系設置網際邏輯邊界,美國國防部網絡信息中心(DoD Network Information Center)運營管理軍方專用網絡NIPRnet。固化于DNS的BIND(美國國防部自主開發),有目標、有針對性地將各國的數據流第一指向美國國防部網絡信息中心,再轉向情報部門等其他網絡信息中心節點。
請注意,DNS請求數據(和信息)在解析的交互過程中完全相同。某些專家在科普中的解釋:“根服務器中存儲的內容很少,平時普通用戶上網時也基本不會訪問根服務器”,如果不是無知的錯誤,就是故意的誤導。
聯系到2017年5月12日,全球150多個國家和地區快速蔓延“想哭”(WannaCry)勒索病毒事件。一位英國工程師偶然發現“想哭”病毒通過域名進行指揮和控制(C&C),遂利用“終止開關”(Kill Switch)方法,有效遏制了“想哭”病毒的肆虐,被業內及媒體譽為“意外英雄”(Accidental Hero)。同時,全世界都體會到了BIND固化于DNS的“終止開關”功能。
“終止開關”是因特網的一個新興術語或網絡熱詞,涉及到數據主權、網絡安全及因特網的治理。準確詮釋“終止開關”的定義是:因特網終止開關(Internet Kill Switch),是旨在作為一項反制措施而啟動的一種控制機制,以能夠關閉全部或局部的因特網數據流。
美國參議員喬•利伯曼(Joe Lieberman)等2010年6月19日在第111屆國會上提交的立法提案(S.3480)《將網信空間作為國家資產保護法》(Protecting Cyberspace as a National Asset Act of 2010),被媒體稱之為《因特網終止開關法案》。
美國民間人權組織(電子隱私信息中心,簡稱EPIC)2011年開始追蹤美國政府的“標準操作程序303”(Standard Operating Procedure 303)秘密計劃文件。這份由美國國家電信協調中心(NCC)起草、國家通信系統(NCS)批準的30頁“應急無線網絡協議”(Emergency Wireless Protocols),提出“當國家處于危機時,關閉及恢復商業和私人無線網絡的過程”,代表了美國政府的政策,也被業內和媒體稱為“因特網終止開關”(Internet Kill Switch)。
ICANN官網在2016年7月22日發表《何謂因特網終止開關?誰有鑰匙?》博文,表明因特網“終止開關”在域名根區,ICANN持有鑰匙。俄羅斯專家稱之為“因特網的紅色按鈕”。
歐洲、俄羅斯等都對美國控制與指揮固化了BIND的DNS高度警惕。荷蘭NLnet Lab研發的NSD,以BIND為標準(兼容),雖然技術研發和支持相對獨立,尚未形成主流。但至少,從DNS應用角度,可以避免“雞蛋放在一個籃子里”,降低風險;從開放合作角度,研發可控技術和產品可以博眾家之長,尋求制衡;從長遠角度,有利于在因特網領域“構建”DNS控制的平衡,共享共治。俄羅斯宣布近期(4月1日)將測試脫離全球因特網,重點和目的是檢查流量屏蔽禁止的內容,確保俄羅斯用戶之間的流量(90%以上)留在本國境內,也只能是圍繞研發可控并行DNS采取必要的應對措施。
我國應迎頭趕上。可以在借鑒、利用美國的BIND和歐洲的NSD的同時,鼓勵借鑒“愛因斯坦3”計劃的邊界和前沿的安全防御措施,切入基于DNS開源數據信息情報實時監測的態勢感知,積累集聚經驗教訓和重新認識、探索因特網的治理與控制本源,努力開發自主可控、為我所用的兼容(制衡)BIND和NSD的DNS系統軟件。
3、數據主權和安全是重點
綜上,數據主權(Data Sovereignty)已成為美國、歐盟、以及多國的共識和行動(包括立法和治理),尤其是在“棱鏡門”之后成為“重中之重”的聚焦點(Spotlight)。不實施數據主權原則,不僅數據安全和隱私處于危險之中,而且國家數據資產也無可避免地受到威脅。尤其需要指出的是:當今因特網的“互連互通”已是有條件和有邊界的! 例如,中國的IP地址被境外某些專業性網站作為“黑名單”,禁止訪問(404,沒有訪問授權)。
對數據主權的一般描述是:政府對在本國內收集數據的控制,包括數據屬地(data residency,即強制數據存儲的地點)、數據保全(data retention,即強制保留數據交易的記錄)。
美國是因特網的鼻祖。一開始從軍用阿帕網引向歐洲因特網,就是為了傳輸開源數據(信息、情報)。半個多世紀以來,美國圍繞因特網的建設發展、技術革新萬變不離數據,不離數據主權,不離數據安全,不離數據利用(獲取情報),一切為了數據。即便是從這一方面來看,我們對美國與因特網、世界與因特網、中國與因特網,也必須重新認識、加深認識、與時俱進地再認識。繼續追隨美國二三十年前對因特網的認識、理解和思想,顯然嚴重滯后了,乃至越來越嚴重、無情地桎梏和羈絆我們在網絡空間的創新、創業,令我們一次又一次地束手待斃,被完全地邊緣化,距離未來網絡的科學進步漸行漸遠。
今天,任何網絡技術所承載的都是數據。網絡應用所產生的是數據;互連互通交換的是數據;網絡服務所面對的是數據;網絡創新發展(如人工智能)所依托的是數據;網絡安全(國家安全)所保護的還是數據,……。數據已經融合成為人類社會發展的動力,構建人類命運共同體的資產、文化和語言。數據無論屬地還是屬主,已經在不同維度、不同層面被不同程度地“轉基因”衍伸演變應用,數據“變臉”成為常態,成為維護或動搖網絡空間主權和安全根本的顛覆性要素。
中國公民和官員對網絡數據大多還不夠敏感。什么云計算、大數據、小概率事件、開源信息,總認為對自己和本單位沒什么直接聯系。更談不上對數據的充分利用、對建設發展數據中心的迫切需要、高度重視。新加坡發展銀行集團(DBS Group)研究認為,中國數據中心的總體利用率小于50%,數據中心下線城市的利用率甚至只有20%。未來 3-5 年, 對數據中心的需求不會大規模轉移到下線城市的數據中心。正因為此,亞馬遜、蘋果、微軟、IBM等這幾年紛紛來中國建設數據中心,名為中國服務,實為美國服務。騰訊、網易、百度、360、鐵路12306甚至黨政機關等也紛紛“被”向境外托管服務器,以在中國不怎么受待見的數據換取“免費的”先進技術服務和個體商業利益。基于DNS的CDN(和SDN)技術,已經形成因特網今后一段時間的應用主流和技術趨勢。
在國家關鍵信息基礎設施的大多數網絡環境中,通常都會配置網閘、防火墻、入侵檢測系統、防病毒軟件等,以控制TCP/IP 和其他網絡協議的數據流量,實現內部網絡(專網)不得直接或間接地連接公共互聯網,即“物理隔離”(PNI)。
但是,這個較為普遍的規定與現象偏離了事實。 網絡安全威脅行為利用這一認知誤區以及監管盲區,以 DNS 為載體,繞過網絡安全防護機制,將敏感數據從企業內部傳輸到企業外部。即使是“物理隔離”的內網,仍然依賴于DNS請求和響應,形成內外網的應用貫通(事實連接)。通常是“暢通無阻”(如防火墻的53端口)和普遍駐留的盲區(如DNS的濫用、誤用),以至于內網DNS應用的異常行為和通過DNS的信息泄露處于基本失控狀態。
以上美國能源部(DoE)的圖示中,(1)-(2)-(3)的“通道”是行業內網與行業外網所固有的,即是網絡系統的組成部分;(a)-(b)的“通道”是DNS濫用或目標終端存在漏洞所導致,即是失察失控的應用亂象(如隨意使用谷歌公共DNS服務,8.8.8.8等);(4)-(5)形成了DNS的隱蔽通道,不僅可以成為泄露數據的傳輸載體,而且被作為指揮和控制(C2)的手段(如APT)。
美國國土安全部長約翰遜在2016年1月報告,作為美國國家網絡安全防護系統(NCPS)的愛因斯坦計劃,起始于2010年,2013年4月進入第三階段(稱為E3A),對潛在的網絡攻擊不僅監測,而且具有主動攔截能力,能夠處理涉密信息,能夠有效保護政府網絡安全、應對最先進的網絡攻擊對手。同時,E3A為新技術研發提供一個平臺,協同政府部門和民營行業的先進技術和專業知識,以發現未知的網絡攻擊。美國國會已經強制性要求所有聯邦政務部門在2016年底之前加入E3A計劃。
“愛因斯坦-3”(E3A)主要提供4項功能:1)防御——實時緩解已知或疑似網絡安全威脅;2)甄別——確定被入侵的信息系統、系統組件或主機終端,作為對安全事件的即時響應;3)感知——針對聯邦政府信息系統的網絡安全狀態,定制開發、維護和服務,以“安全即是常態監控”(簡稱Saa CM)為基準。4)發現——監測和識別針對以聯邦政府信息系統為目標的新的或涌現的網絡安全威脅,提升網絡安全防御能力。
建議國家制定和啟動借鑒“愛因斯坦-3”(E3A)的我國網絡主權和安全戰略計劃,利用現有網絡基礎設施構建自主可控的DNS態勢感知系統,打造我國數據主權、數據安全、數據利用的新的網絡空間長城。
長風破浪會有時,直掛云帆濟滄海。
多少事,從來急;天地轉,光陰迫;一萬年太久,只爭朝夕。
(作者系中國移動通信聯合會國際戰略研究中心主任,南京華氘網絡科技有限公司總裁,本文完成于2019年2月22日;來源:昆侖策網【原創】)
【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網》,網址:
http://www.kunlunce.cn
http://m.jqdstudio.net
責任編輯:紅星
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
? 昆侖專題 ?
? 十九大報告深度談 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
圖片新聞
