【IT168 资讯】11 月 28 日消息 以 " 新技术 · 新架构 · 新网络 " 为主题的 "GNTC 全球网络技术大会 " 今天在北京正式开幕，下午专场峰会：“互联网基础设施论坛暨全球IPv6高峰会议”中，下一代互联网国家工程中心前瞻实验室主任，宋林健发表了关于“Yeti雪人计划”的主题演讲。

　　▲下一代互联网国家工程中心前瞻实验室主任宋林健

　　演讲实录如下：

　　分三个部分介绍一下工作和探索：第一个背景介绍，关于互联网设施，尤其是关于根服务器是怎么样的一个定义，包括它现在的状况，第二和第三是围绕我们工程中心在下一代互联网的关键基础设施的工作和实际的应用和部署。

　　第一部分互联网核心技术最关键的一层是互联网中间这一层，我们都了解上升的应用五彩缤纷，各种应用下层的传输网络设备、盒子，各种各样的设备都能够感受到。中间涉及到的能真正让互联网运转起来，像血液、神经网络的基础设施，不是我们平时能够感受到的。我们看到它其实很关键的一部分，在之前也有一些专家说，互联网上下两层的变化，每代的更新，但是中间这一层DNS和IP一直没有太大的变化，相对稳定。

　　雪人计划是互联网基础设施另外一个重要一环是DNS，尤其是最顶层的基础设施的内容，它也是一个相对于稳定、固定的基础设施，维持的互联网的运转。

　　稳定一方面带来了上层高速的演进和迭代，另一方面由于它本身在设计之初带来的缺陷，它的某种开放性，某种固化，让一些新的创新和新的想法很难在线网上做实验、做更新、做创新。

　　V4V6过渡，在DNS方面大家包括互联网，大家对信息安全和隐私方面比较薄弱，最开始的互联网在最开始设计的时候并没有考虑关于隐私、安全方面，现在域名劫持和污染大量的存在。我将要说的根服务器还是延续着几十年的结构，仍然是以现有的根服务器运营者提供服务，但它现在没有考虑到现在越来越互联网渗透到千家万户，包括国计民生的行业，对外部设施的依赖，包括上面的一些风险去没有能够及时地反映，包括原地址伪造造成的攻击，都是基础设施相对稳定的负面的一面，我们看到它好的一面也要看到不够的一面。

　　根服务器遭受攻击，美国一家公司被攻击导致的大面积断网，包括最近一次Google的BGP泄漏导致日本的网络瘫痪。这一层要去做修改很难，它是一个有挑战的事情。

　　我们工程中心包括我个人自己的研究方向，也是下一代互联网基础设施的体系结构方面，我们看到了主要有三个方面，一个是IPv6的全站化以及纯V6的支持能力上，第二个是更安全、更注重因素的网络基础设施，第三个是碎片化环境下的协作与互通，我主要讲第一个和第三个。

　　全球IPv6流量五年内增长了20倍，运营商、互联网、提供商都支持，流量有一个增长。我们预期是到了有一个转折点，它的IPv6就能够超越现在IPv4协议，这是我们理想中的情况，现在全球20%，可能再一个时间点超过50%，预计在接下来的两到三年能够发生。、然而，如果我们不重视IPv6的唯一能力，我们没有在IPv4的情况下也能让IPv6运行下来的能力，可能这个差距会一直保持，可能增长20%、30%就会缓慢下来。

　　现在互联网技术有很多网络优化，或者一些虚拟网络的用户，可以分散对地址的依赖，这确实是在没有地址冲突的环境下，通过别的技术，绕过这个技术，它这个技术仍然在往前走，IPv6如果没有马上赶上，IPv6相关的应用没有赶上，DNS也是一个很重要的基础设施，如果没有跟上纯IPv6，或者有纯IPv6能力的速度，它会被V4拉开一个差距，甚至差距会越走越远，这是其中的一个陷阱或者隐患，我们不希望看到这样。我们一方面希望将现有的V4网络双站化，让它有IPv6的能力，同时我们也要看到纯IPv6环境下全占业务的支持能力也是很重要的。

　　第三点是最近的一些热点，关于互联网治理的问题，我简单介绍一下，在2002年的一篇文章，里面说在网络空间里有一个问题，这个问题是扭曲或者争斗的现象，因为他预测到将来在不同的利益相关方或者不同的组织加入进来，这样的网络不再是一个实验网，或者大家利益一致的网络，可能大家利益不同、诉求不同，甚至会相冲突。我讲这个主要是说，如果当互联网预计到有不同的诉求区域和实体存在，他们有可能把互联网围成一个一个的方圆，和以前的环境不同，现在的网络有很多的技术在隔离、过滤，在做很多治理的工作，互联网发展到一定阶段，这方面的工作会一定会赶上来，甚至是越来越重要的程度。

　　我们目标所瞄准的基础设施，互联网的DNS和根服务器，DNS是一个名字空间的非中心化的名字结构，名字空间是按照非结构化的，但是它的解析系统有一个入口，它来连起来所有的域名和域名树。由一些应用和技术要应用，让更多的重要性放在了这样一个有中心结构的网络结构和治理结构上，这必然会带来一些争议和争夺。我们回顾一下，大家可能会知道互联网有根服务器，13个，但是也有人说不止13个，由9个美国的公司和机构来运营根，在欧洲和日本也有这样的运营者，这样的结构维持到今天，由于历史和一些当时技术的原因，一直延续之今没有改变。我们认为互联网发展到今天，它已经不再是一个简单的通信网络，它甚至是我们的一个空间，每一层的风险和管理，越来越多的受到了关注，所以我们认为根服务器包括整套DNS体系，它是互联网的控制中枢，是它的重要基础设施和战略资源。

　　我们再看现有的根服务器靠的方式是用艾迪卡斯的扩展方式，我最近看已经扩展到700多个进项，有13个根由艾迪卡斯BDP的方式，很多地方去投制这样的进项结点，用BDP广播的方式让就近的查询到最近的应答，这个来解决性能和冗余方面的考虑。现在国内看网站上显示的是引进了5个进项，我自己在实验室测量，我们发现有几个进项不太工作，他们在国内性能并不是很好。进项的好处可以分担流量，抵御一些攻击，不好的地方是一旦一个进项被攻击它就会死掉，它的作用是把相应的攻击流量圈在这个范围内，不让它出去。如果进项分布少的地方，很有可能被公摊，会影响当地网络的稳定和运营，这是一个基于现有的根服务器的所带来的问题。我们通过观测看到了就在去年的时间，我们看到了有大量的攻击根服务器的流量发生，还好，由于进项有很多，国内被公摊可能去国外，要忍受延迟。

　　现在的DNS根服务器方面，仍然会接受所有的查询完整的数据，比如你访问一个腾讯的完整域名，它会把信息发给根服务器，现在这样一个信息的模式，通讯模式也被看成是信息泄漏，它会收集你做统计分析。我们在网络安全法强调了公共设施需要有安全保护和相应的制度保护，我们能看到根服务器可能离我们的生活比较远，但是它在基础设施所存在的安全隐患值得我们关注和重视。

　　我们要从风险管控的角度，更多的重视互联网基础设施每一层、每一块的运营和管理，我们希望的是能够在现有的根服务器或者以现有的协议基础上能够平滑扩展这个系统。

　　我们在梳理一下根服务器里现状到底是什么问题，现在的根服务器运营，它是来执行IN的功能，互联网的一个记录相应的标识数字和数字资源的功能，就像一个记录本一样，这个记录本在之前根服务器这儿有NTIA在其中，美国的一个部门参与其中的审核，一个公司在这儿单方面的做签名，存在也有问题。当时只有13个根，分布不均，让一些地方需要强烈的依赖这些公司和机构，来支持他的网络和运营。我们当时参与这个工作的时候，发现有三个方面的问题，其中第一个问题已经由美国商务部参与审核的问题在一定程度上解答了。后面关于根生成、分发现有的系统还没有解决，当时也有很多想法，有一个分享根去控制的想法，包括增加一组或者多组根服务器做更多的创新和实验，当时为了对标当时的系统，有哪些问题，看我们能不能做的更好。

　　我们现在通过这些年的工作，我们提出了一个空间多种寻址方式，建构一个新型的体系，这个体系基本想法是，在名字不变的情况下，还可以做一定的前置审查和校验工作，如果有任何的风险我们可以第一时间发现，这部分工作现在也没有做，而是尊重这个名字空间的定义权，由我们项目发起的三方做名字空间的生成，各自用各自的密钥签名的方式往外分发，分发到IPv6的根服务器上，再由下面相应的用户获得这个信息。从技术来说它不是问题，它是基于现有的DNS协议，相应的开源软件，加上我们有相应的开发工作，在现有的轮子上做的。跟现有的关系是我们保证它要互联互通，同时能够跟它并行去运营，能够支撑更多的接入、服务，同时我们考虑到我们对自主可控的关键技术、关键基础设施的想法。这是一个技术方面的架构，里面设计了根区生成、根区分发、根区传输，包括解析方面，在纯IPv6环境下特别考虑。

　　我们在根区生成方面引入了多方签名认证机制，同时我们根服务器能够不仅仅只是支持IPv6用户，而且能够带动还没有升级到IPv6的环境下的V4用户，能让他独立运营在纯6下的根，能够支持现有无论在V4还是纯6环境下的用户。同时我们考虑到IPv6环境下的大包分片问题，这个问题是在运营过程中发现的技术故障，我们在根区，尤其是在密钥轮转期间导致的大包，我们在DNS应用层上进行扩展，让它能够躲过一些中间防火墙或者安全设备，或者一些中间的盒子对它的拦截，因为一些扩展包仍然会在现实网络中遇到问题。

　　我们同时在防止中间的设备，或者中间的DNS污染，我们也是用一些方式将DNS的响应进行分工。基于上面的一些技术的架构和想法，包括项目的创新，我们在2015年正式发布雪人计划，当时的想法是我们先搭建这样一个实验床，去验证上面的一些核心技术，看它是不是有规模扩展性，还有多方的协调和合作。后来我们发现有越来越支持者参与，包括俄罗斯、印度等等国家，他们也跟我们有同样的想法，一方面在IPv6他们是积极的推动者，其次他们认为根服务器系统应该变一变了，应该做一些创新，不是依赖于现有的体系，现在的体系要说性能上，或者稳定性上，也不是说到了不能用，但是它确实在从网络主权，或者从网络治理权上有缺陷。

　　我们项目发布以后，客观有一些争议，有说好的，有联盟、有盟友，也有一些说在于搞事情，但是我们觉得我们是要坚定的走这条道路，把我们自己的基础设施，联通后来的发展互联网的国家，能够一同纳入这样一个体系，能够公开透明的去做一些技术的创新，希望这个技术的推动和系统的扩展能够服务更多的国家和地区。

　　2016年有一个相应的运营部署图，现在全球已经有25个根服务器，我们当时按照每个大洲都要有均匀分布的想法，也有按照申请者的次序，我们突然发现除了我们国内参与方有这样的意愿，欧洲也有很多这样的国家，他们在互联网治理、互联网的隐私保护方面，也有同样的意愿去做一些改变和创新。值得欣慰的是，当时我们做这样的工作得到了现有根运营者、C根运营着、M根运营者、K根的运营者，他们对我们的工作有大力的支持，不光参与了我们的项目，还给了很多帮助。我们在系统上搭建了具有实际运营能力的监控，包括运营的能力，我们能够及时地去对故障进行排查，能够对相应的数据进行分析，能够24小对它进行维护。

　　截止到今年8月份，我们有一个统计，我们发现我们的根服务器的流量在两年中增长了20倍，截至8月全球IPv6根服务器，访问我们根服务器的用户每日能达到1.2亿次，我们根服务器在国内来说，我们更多的是找已经具备IPv6网络能力的网络运营者和用户，主要的还是一些高校，我们一方面帮它去升级网络的DNS服务器，让他们支持双站，同时他们V6能够改造，指向IPv6根服务器。同时基于IPv6根服务器，我们也是在扩展基于IPv6的DNS，也是昨天发布了IPv6的公共DNS的服务，我们希望有一个设想，在DNS的层面，我们能够完全做到纯6的能力，能够让下面的用户用6来访问DNS的数据库，这数据库里还有4和4A的地址，能够在网络层面直接通过V6访问到底层。

　　在国外方面，我们通过这个项目联合了16个国家和地区的合作单位，开始了IPv6根服务器的全球试运营，在国内方面工程中心结合IPv6根服务器，与中国教育科研网、中国电信、中国联通等单位，建立深入合作的关系，当时我们说所说的高校，还进一步想进入商业的网络，接下来几年将是IPv6商业网络的部署和推广，商业网络的要求会更苛刻，提出的网络要求，他们有计费和流量管理，我们在运营商层面也做了很多这样的试点和开启这样合作的工作，希望根随着IPv6行动计划，我们的IPv6根服务器流量包括用户能够超过IPv4的用户流量。

　　最后总结，互联网将进入以IPv6为标志的互联网新时代，IPv4的实验网将全面转向IPv6商用网络，我们考虑到新时代的互联网基础设施，需要考利纯IPv6能力，安全隐私的保护和碎片化环境下协作互通的能力，互联网根服务器是互联网重要的基础设施资源，雪人计划构建了全球的IPv6根服务器网络，展示了新型的IPv6根服务器的扩展能力，我们从实验室环境到线网试点和大量的用户验证，已经充分具备了IPv6根服务器的应用能力，希望相关行业和运营者和我们可以进行一些合作、测试、测量，一起推动这个工作的持续往前。