科技日报记者 朱丽
或许是巧合,1969年加州大学洛杉矶分校与斯坦福研究院远程通讯的“连通测试”,标志着互联网的正式诞生。五十年后,俄罗斯宣布“断网测试”,是否昭示着互联网将面临割裂或终结?
作为参与中国早期接入国际互联网的人员,互联网域名系统国家工程研究中心(ZDNS)主任毛伟认为,俄罗斯“断网测试”,不是要割裂互联网另搞一个网络系统,而是测试在无法访问境外网络的情况下,如何保障境内网络的互联互通,境内所有基于互联网的应用不受影响。俄罗斯此次测试,断开的是“外部互联”,保障的是“内部互联”,目的是为了保障“不被断网”。
毛伟认为,要解决断网问题,就要了解造成“断网”的三种形式:“物理断网”、“域名断网”和“IP路由断网”。任何一个层面出现问题,都会导致网络不通。“物理断网”是指物理线路的断开,例如施工挖断光缆导致的断网,这个问题容易理解,也相对容易解决。“域名断网”和“IP路由断网”是指互联网寻址系统出现了问题,这两个问题相对抽象,解决起来就会涉及国际协调。
一般来说,互联网的用户终端(电脑、手机等)要想访问一个网页或应用,首先需要通过域名系统获取该网页或应用所在服务器的IP地址,然后再根据路由控制系统将访问请求发送给对应IP地址的服务器。类比邮政系统,域名系统类似收件人的黄页,根据收件人的名字查到对应的门牌号码;路由控制系统类似于导航系统,根据门牌号码,在实际的道路网中规划出一条最合理的寄送道路。
互联网是全球一张网的通信系统,充当“名字标识”的域名和充当“位置标识”的IP地址必须具有全球唯一性。为此,无论域名系统还是IP地址系统,都是一个树形的分配和管理体系,下一级受制于上一级。
位于域名系统最上游的是“域名根服务器”。一次完整的域名解析过程,需要逐级访问域名根服务器、顶级域名服务器。境内没有域名根服务器的国家,理论上来讲,若不考虑服务器缓存的因素,每一次境内互联网的访问都需要访问境外的根服务器。
当前,国际上有一个重要性不亚于域名根的机制——IP根正在形成和推进。IP根比域名系统更底层、更基础。“IP根”是一种基于RPKI(资源公共密钥基础架构)技术的新型IP地址认证基础设施,负责提供路由控制信息,验证IP寻址信息真伪。尽管IP根服务器系统的顶层设计工作还没有完成,但自下而上的实际部署已经在全球开始。目前全球五大地址注册机构率先开展了IP根服务器的部署,用来对互联网访问进行路由控制。毛伟强调,“IP根服务器”出现的时间不长,但比“域名根服务器”更加基础更加重要。“域名断网”的情况下,仍然可以通过IP地址进行通信。但如果IP根服务器出现问题,导致“IP路由断网”,导致网络流量无法调度,则彻底无法通信。
没有域名根服务器和IP根服务器的国家,一旦境外的根服务器反馈错误信息或不提供服务,则会导致境内互联网“断网”。这种对境外根服务器的高度依赖,就成了所有没有根服务器国家头上所悬的“达摩克利斯之剑”。
尽管从根服务器上被实施“断网”是极端事件,但也应该未雨绸缪,有足够的应对手段。毛伟表示,防“断网”测试的背后,是对互联网核心技术、底层技术实力的考验,控制断网风险,需要在域名系统和路由控制系统两个维度进行深度技术创新。
应对“域名断网”,可以将境内的域名数据进行实时缓存,并以此基础构建应急域名解析系统。一旦境外的域名解析服务出现故障,例如无法访问域名根服务器,就可以将境内的域名解析流量切换到境内应急域名系统上,从而保障境内网络域名的正常访问。
应对“IP路由断网”,可以构建基于RPKI技术的“本地IP根服务器”,将境内的IP地址授权信息缓存到自主可控的“本地IP根服务器”上。一旦境外的IP地址分配机构拒绝提供或提供了错误的IP地址认证信息,就可将境内网络运行机构的RPKI认证系统,指向“本地IP根服务器”,保障境内网络IP地址的正常访问。
没有网络安全就没有国家安全,互联网基础资源技术是保障互联网通畅的底层核心技术。毛伟认为俄罗斯“断网测试”应该还是为了特殊情况下的不时之需,而不是搞互联网上的“闭关锁国”。
