论文部分内容阅读
何为断网,为何断网
俄罗斯的断网测试不是直接切断全国的网络,让整个国家进入无网状态,而是要在紧急情况下,将整个国家的网络系统与国际互联网断开,以保障其国内网络仍然可以正常工作。尽管俄罗斯方面对外并未公布所采用的技术细节,只是简单介绍了几种断网场景的测试,诸如模拟遭到境外敌对网络攻击的场景应对等,但根据其原理推测,俄罗斯应该是基于自建的国家互联网基础设施(即RuNet),建立一个全球最大的局域网。该局域网对俄境内流量重新路由,使用俄政府控制的域名系统(Domain Name System,DNS)进行分发,而不再依赖位于境外的根域名服务器。
这里引申出与网络主权相关的一种技术——根域名服务器的管理技术。先了解一下什么是域名系统(DNS)。域名系统是因特网上解決网上机器命名的一种系统。就像要去某个地方就要先知道怎么走一样,当一台主机要在因特网上访问另外一台主机时,必须首先获知其地址,TCP/IP中的IP地址由四段以“.”分开的数字组成(这里以IPv4的地址为例),IP地址记起来比较困难,所以,就采用了域名系统来管理名字和IP的对应关系。美国是互联网发源地,目前全球只有13个域名根服务器,其中美国有10个,英国、瑞典、日本各1个。A开头简称A根,是主根,其他12个(依次由B至M)是辅根。这里并不是只有13台物理服务器,这是一个逻辑上的概念。每个根域名,背后都有多台真正的物理服务器(镜像)在工作。截至2021年4月14日,中国目前存在的顶级域名镜像有37台(北京-8,郑州-2,上海-1,杭州-2,武汉-2,重庆-1,西宁-3,广州-1,香港-9,贵阳-1,台北-7),而俄罗斯整个国家只有1台顶级域名镜像。
根域名服务器是网络主权中重要的一环,网络主权是国家主权在网络空间的自然延伸。为了理解根域名服务器的重要作用,我们首先要理解根DNS服务器在域名解析中扮演着什么样的角色,这里我们从技术层面分析一下DNS域名解析的过程。当计算机(一般是浏览器)被输入一个访问请求,如 www.baidu.com,计算机的操作系统需要知道如何根据 www.baidu.com这个域名,找到对应的IP地址。操作系统会经历三个步骤:步骤一,从本机缓存中寻找;步骤二,从/etc/hosts文件中寻找(除非特殊配置,否则一般是不存在的);步骤三,从DNS服务器中寻找。其中,从DNS服务器中寻找是解析IP地址最重要的流程手段。互联网中的海量域名都是通过DNS解析后,才能找到真正的地址(获取IP地址)。
当步骤二无法解析时,计算机的操作系统首先会找TCP/IP参数中设置的首选DNS服务器,也被称为本地DNS服务器。服务器收到查询时,如果本地DNS服务器能够解析,则返回域名解析结果,反之,则解析失败。现实中,本地DNS服务器受限于资源池容量,无法存储所有的域名。所以本地DNS服务器的解析无法保证请求的域名一定被解析。当本地DNS解析失败后,就会把www.baidu.com的这个域名,发至13台根DNS,根DNS服务器收到请求后会判断这个域名(com)是谁来授权管理,并会返回负责该顶级域名服务器的一个IP地址。本地DNS服务器收到IP地址信息后,会将www.baidu.com的域名请求发送到.com的域名服务器上,此时.com的域名服务器会找下一级的DNS服务器baidu.com,并将baidu.com的DNS服务器的IP地址发送给本地DNS服务器。本地DNS服务器重复递归查找的这个过程,直到查询到www.baidu.com的IP地址,然后进行IP地址报文的请求与交换。
从前面的解析过程可以看出,根DNS服务器是域名解析最重要的大门。没有根DNS服务器,无法保证域名肯定能够解析成功。美国曾在2004年,终止了利比亚的顶级域名“.LY”的申请和解析工作,在伊拉克战争期间,终止了伊拉克顶级域名“.iq”的解析服务。俄罗斯担心美国切断俄与域名根服务器的连接。理论上,只要在根服务器上屏蔽俄国国家域名“.ru”,就能令俄罗斯的国家顶级域名网站在网络上瞬间“消失”。因此,俄罗斯“断网”测试并非心血来潮,一方面是俄罗斯根据此前美国颁布的《国家安全战略》《国家网络安全战略》等文件,应对美国将俄罗斯定义为“对手”之后带来的威胁和挑战;另一方面,俄罗斯“断网”测试也是美俄两国长期战略博弈中产生的行为结果。
虽然顶级域名服务器管理的非营利性机构ICANN(互联网名称与数字地址分配机构)已于2016年10月1日将管辖权交由全球共治,脱离了美国政府的管控,但因为顶级域名服务的基础设施和技术体系一直是由美国为首的西方几个国家部署及建立,所以美国及欧盟对根域名有着本质上的管辖权。有两个最直接的例子。一是根据美国制定的《网络中立法》,政府不能对ICANN这种机构直接下达行政命令,进行管理上的干涉。但在2018年,特朗普宣布废除网络中立,这直接导致美国联邦贸易委员会拥有对互联网服务提供商的监管权力;二是臭名昭著的“棱镜计划”、华为被恶意制裁等事件的发生,也是技术管理机构和政府管制不可能真正解耦的典型事件代表。综上,造成网络主权丢失的本质原因,还是由于基础设施和实现技术被若干个国家把持导致,其中心化的设计是问题之根源所在。
潜在风险与应对措施
发达国家凭借技术优势,通过对根域名服务器的把控,掌握着互联网世界域名解析的控制权。在网络主权已经成为国家主权一部分的今天,采用何种措施来应对这种可能出现的技术劫持事件,保护国家的网络主权显得尤为重要。各个国家在制定互联网主权应对措施之前,首先要清楚,当前的顶级域名管理体系,存在着什么样的潜在风险。只有深入理解了产生的风险,才能对这些风险制定相应的应对策略。 顶级域名可以分为三类:gTLD(generic top-level domains)、ccTLD(country code top-level domains)和New gTLD。gTLDs于1985年1月创立,是提供给一些特定组织使用的顶级域名,诸如后缀为.com,.net,.org,.edu,.mil等域名。通用顶级域名与我们日常网络访问息息相关,比如,我们搜索 www.baidu.com,在没有缓存的情况下,就需要访问.com的顶级域名服务器,来获取网站的IP地址。ccTLD,涉及的是国家地区顶级域名,如后缀为.cn,.jp,.kr等域名。原则上,这些域名都可以申请,主要看申请者想要谁来保护自己的权益,如.cn下的域名会由中国政府来保护域名申请者的相关权益。New gTLD是新顶级域名,如代表“高端”的.top,代表“红色”的.red,代表“人”的.men等千余种。但新顶级域名目前没有产生足够的影响力和吸引力。
一般而言,gTLD是非政府组织管理的,而国家地区的域名是由政府机构管理的。当然,因顶级域名服务器部署的原因,不排除美国也可以将通用域名纳入政府的管理体系中。所以,当前的根域名解析存在着两种风险:一是某国的顶级域名被直接从原根域名服务器中暴力抹掉。比如,因外交恶化,美国可能操控根服务器,将.cn的域名直接删掉,则相应国境外将无法解析所有.cn下的域名。二是基于递归式的域名解析,某国的域名访问请求可能被根服务器直接拒绝,而使其无法访问国际互联网中的域名。当然,随着互联网的发展,根镜像正逐步增多,会适当缓解这个问题。根据RFC1546文件提出,DNS访问者传输的IP地址网络会被路由到“最近”的一个服务器上,比如对中国的用户来说,对根的请求,一般不会跑到美国去,而是通过任播技术路由到中国境内的根镜像上。
针对上述两种风险,我们可以针对性地采取技术层面的应对策略:
第一,风险一产生的根本原因是中心化的DNS解析及管理。从技术角度解决这个问题并不难。比如,中国工程院院士方滨兴曾呼吁基于区块链的去中心化思想,构建一个联盟式的国家根域名体系。但真正的困难在于推广,即就现在所有基于ICANN组织管理下的域名解析体系的实体采用。俄罗斯的“断网”行动也是基于这种重构的思路。不过,当今的国际关系,封闭不是一种好的选择,最好的选择应该是用开放的心态参与,并且产生积极的影响力。所以,自建域名解析体系的想法任重道远,需要进行多维度考量。
第二,解决风险二的办法,就是积极参与根域名的管理与建设,推进构建更多的顶级域名镜像服务器。例如,截至2021年4月14日,整个世界已经有1379个实例(包括原根和镜像),而中国境内(包括港澳台)共有37个镜像。这些镜像基本保证了域名访问请求解析的有效性。
第三,风险二中还存在一个问题:因为镜像服务器是基于根服务器复制而来,所以,如果原根服务器恶意淘汰一些域名的解析,仍然可能导致镜像服务器因为解析数据的同步,而使恶意的屏蔽在镜像中起作用。所以,可以构建根域名解析数据库,将顶级域名解析数据存储起来,并健全数据库的功能,如合理的淘汰机制、备份、快照等。
第四,与更多拥有顶级域名镜像的国家进行非政府和政府层面的技术交流及沟通,通过更多的渠道交换或获取其他国家顶级域名解析数据,增强域名解析系统的牢固性。
第五,政府仍需要构建国家级顶级域名的体系,通过政府的力量推进更多的机构或企业加入国家级的域名体系中。
就国际社会而言,各个国家对网络主权的概念有着各自独到的见解。但实质上,网络主权是国家主权在网络空间的自然延伸,主要是指对本国境内的网络设施、网络主体、网络行为、相关网络数据和信息等的解析,享有独立权、平等权、管辖权和防卫权。当前基于ICANN组织的域名解析管理体系具有不公平性,而且对没有拥有13个原根服务器的国家,独立性也受到很大的挑战。在国际网络管理及技术体系下,我们要做的不是搞封闭,而应当以更加积极的心态参与国际网络标准的制定,从而发挥更为积极、更具影响力的作用。在非技术层面,我们可以采用以下的应对策略:
第一, 妥善利用ICANN目前治理框架,積极参与制定网络标准、协议、立法等,提升中国在网络空间上的话语权。如,“雪人计划”就是一个比较成功的项目,充分利用了IPv6的推广和普及,来改进当前域名解析的不公平性和扩展性。
第二,充分发挥网络空间中的主体——普通的群众的力量,将政府作为一个引领者和推进者,利用政府力量和非政府力量相结合的方式伸张国家网络主权。
第三,与更多的国家进行网络主权方面的积极沟通与互动,形成一个个有着共同目标的群体,依赖于群体,抵抗类似美国对DNS服务器垄断的行为,依赖群体的多级性来抵抗霸权主义的单级性。
第四,在国际社会中,积极倡导和实践网络主权。各国在网络空间行使主权的实践必然会存在多样性,这种多样性将会长期存在。在尊重各国主权的基础上,平衡各国主权权利与义务之间的关系,维护网络空间的和平与稳定,推进国际层面网络主权使用领域的互通性及秩序,参与制定普遍接受的网络空间的国际规则和国家行为准则,力争共建和平、安全、开放、合作、有序的网络环境。
通过技术层面和非技术层面的长时间努力,相信国家网络主权的公平性、独立性将在世界范围内得到认可和提升。