日韩国产精品视频,操你视频,俺也射

牟承晉｜DNS會成為IPv6的“救世主”嗎

點擊：作者：牟承晉來源：昆侖策網【原創】發布時間:2022-07-03 19:22:46

科學自有公論，真相就是真理；網絡信息空間領域科學技術的真相，并不因某些IPv6“權威”或“互聯網專家”變來變去的說法，而“捉摸不定”。

圍繞“為什么互聯網（Internet，下同）沒有全面過渡到IPv6？”負責北美地區的美國網絡地址注冊管理組織ARIN，在4月26-27日第49屆公共政策和會員會議上，邀請6位專家討論了這個主題。他們是：

谷歌公司首席布道師文頓·瑟夫（Vinton G. Cerf），加拿大互聯網注冊機構（CIRA）首席執行官拜倫·霍蘭德（Byron Holland），Hilco Streambank公司全球IPv4高級副總裁李·霍華德（Lee Howar），亞太地區網絡信息中心（APNIC）首席科學家杰夫·休斯頓（Geoff Huston），阿卡邁（Akamai）公司高級網絡架構師賈里德·莫赫（Jared Mauch）、MCNET-SOLUTIONS公司首席技術官布倫特·英托什（Brent McIntosh）。

ARIN總裁兼首席執行官約翰·柯倫（John Curran）主持討論，提出了4個探索性的問題：

1）什么是“互聯網全面過渡到IPv6？”對你來說意味著什么，你認為它會發生嗎？

2）在完全遷移到IPv6的過程中，有哪些障礙，我們該如何解決？

3）互聯網是否完全支持IPv6真的很重要嗎？這是否應該成為目標？

4）作為區域互聯網注冊機構（RIR），ARIN 應該如何處理IPv6過渡問題？

專家們對全面過渡（IPv6）將在何時發生沒有共識。杰夫·休斯頓提出：“現在利用域名實現了一些我們從未想過的技巧，數以萬計的網絡主機共享同一個IP地址。所以突然之間，地址就變得無關緊要了。”李·霍華德提出，“事實證明，過渡IPv6的‘尾巴’比我在10年前所預期的要更長。”約翰·柯倫在總結時說，“我們已經啟動了（IPv6）市場，但是我們必須意識到現在是‘虎落平川’（we’re the tail on the dog，俚語直譯：我們現在是狗尾巴）。”

當被問及域名系統（DNS）是否會是（過渡IPv6）一個障礙時，拜倫·霍蘭德（Byron Holland）說：“實際上，我認為DNS會成為救世主（Savior）。”杰夫·休斯頓（Geoff Huston）認為，“DNS是互聯網的未來”，“是否應用IPv6重要嗎？據我所知，不重要。”

作為人造的互聯網關鍵的基礎和根本，DNS會成為IPv6的“救世主”嗎？互聯網協議之一IPv6是“未來互聯網”嗎？DNS是“互聯網的未來”還是IPv6過渡是“互聯網的未來”？國內外一直有人在故意混淆概念、術語和真相，別有用心地制造和傳播科技迷霧。

科學自有公論，真相就是真理；網絡信息空間領域科學技術的真相，并不因某些IPv6“權威”或“互聯網專家”變來變去的說法，而“捉摸不定”。

本文著重談一談DNS。

一、DNS就是互聯網

DNS是英文Domain Name System的簡稱，指互聯網（Internet，下同）的域名系統。中文在引用DNS時，通常直接理解為“域名解析系統”（Domain name resolution system）。

2021年9月，在歐洲電子通信監管機構（BEREC）舉辦的“DNS開放性”主題研討會上，亞太地區網絡信息中心（APNIC）的首席科學家杰夫•休斯頓（Geoff Huston）指出，“每一位連接到互聯網的網民都必須首先訪問DNS，而沒有選擇性。事實上，這種屬性從本質上定義了什么是互聯網，即DNS就是互聯網（The DNS is the Internet）。”

從這個意義上說，今天的國際互聯網，至少包括美國BIND軟件解析的DNS系統、荷蘭（歐盟）自主開發的NSD軟件解析的DNS系統，以及自主調整自治域和立法規范DNS解析的”俄羅斯主權互聯網”（RUnet）。

被美國媒體稱為“全球30萬黑客”卷入的俄羅斯烏克蘭網絡戰爭正在進行時，美國的互聯網科技與資本大佬聯手對俄羅斯實施“斷服”，美國決定擴充網絡部隊，美國拉歐盟和50多個國家及臺灣簽署《未來互聯網宣言》，美國為首的北約接受韓國加入網絡防御中心，等等，一再表明，美國始終沒有放棄“同一個世界、同一張互聯網”的霸權主張。

事實不斷地證明，倫敦經濟和政治科學研究院（LSE）2009年3月19日“中國與域名系統”研究報告中的觀點，一語破的，即域名系統DNS是典型的“固有政治性”（inherently political）技術；試圖改變域名系統DNS政治化的行動，缺少約束力；擺脫DNS技術的固有政治性，取決于新標準和體系結構的變革。

事實更進一步證明，DNS構成了互聯網基本功能所依賴的全球網絡尋址機制和虛擬化服務（如“內容推送網絡”CDN）的關鍵核心基礎。隨著互聯網技術和應用的快速發展，域名系統DNS的作用不僅在于其重要性和安全性，而且凸顯其指揮和控制的權屬所在。

截至2022年3月23日，美國聯邦通訊委員會（FCC）撤銷中國5家國有電信運營商“214條款”授權的命令，全部生效。這意味著，對1994年全功能接入美國互聯網的中國公眾網絡，以及無論采用IPv4或IPv6協議依附在互聯網上的虛擬疊加網絡，都將隨時被斷網，即被斷開互聯網最基礎的DNS鏈接，斷開互聯網根域名服務器系統的尋址機制和對虛擬化服務的基礎支撐。

特朗普政府的國務卿蓬佩奧宣布的“清潔網絡”計劃，早已公開、明確地說明：“清潔網絡運營商”，就是要確保中華人民共和國（PRC）的電信運營商不與美國電信網絡連接。這類公司對美國國家安全構成威脅，不應提供來往美國的國際電信服務。

“對美國國家安全構成威脅”，就是美國對中國的的政治！

二、DNS域名系統

DNS包括域名注冊、域名應用協議、域名解析層次化服務、域名服務器軟件、以及通信網絡（Networks）等所組成的生態系統，構成了信息和通信技術以及服務（ICTS）供應鏈。因此，DNS是互聯網“多個系統中的系統”（System of Systems），是互聯網“多利益相關方”都高度重視（和搶占）的關鍵的基礎和根本。

1、域名解析

DNS實際上是一個分布式數據庫，其層次化結構與UNIX的文件系統結構相類似，呈現為倒置的“樹形”，根在頂端。

域名的構成和解析遵循“自右向左”的規則有序流動運行，依次為根域名、頂級（一級）域名、權威（二級）域名、子（三級、四級等）域名，以“.”為區分。例如，“www.icbc.com.cn”就是一個三級域名。

美國高度重視、嚴密控制DNS層次化的樹狀體系域名解析，從來不允許任何可逆可變可移動的情況發生。

根據“DNS專業術語”（RFC 8499，2019-1）的定義，DNS“節點”（Instance）是在任播（Anycast）路由中，允許多個DNS服務器具有相同的IP地址，其中的每一個服務器（集群）被稱為是一個“節點”；這樣的DNS域名服務器節點，又被稱為“任播節點”。

2008年開始，所有的根域名服務器應用“任播”技術，實現了根域名服務器“多系統中的系統”（System of Systems）轉型，提供更為快捷的服務。因此，全球互聯網不再是13個根域名服務器，而是13個根域名服務器系統的集成。

13個根域名系統的總節點數量的增加或減少是動態變化的。例如，借助“任播”（Anycast）技術，截至2021年4月20日，互聯網13個根域名服務器系統由全球1,091個地理分布地點和1,379個服務器分布節點組成（配置既定的IPv4和IPv6地址），分布節點曾增加設置到1,469個。

分布節點（Instance）的屬性“本地”（Local）與“全球”（Global）的差別在于該節點的可用性。

由12家機構管理的13個根域名系統（A-M）統一服務于“根區文件”（Zoon File），包括所有持續更新的注冊授權頂級域名。12家機構可以獨立地決定其管理和運營的系統在全球設置的分布節點。

以下是13個根域名系統與管理者的列表（截至2021年4月20日），其中，威瑞信（VeriSign）負責管理A根和J根2個根域名系統：

以下是截至2021年11月8日，8個根域名系統在中國節點分布的列表：

請注意，任何1個根域名服務器及其相應的任何1個任播站點或節點，都不會是一兩臺電腦、或幾臺機柜組成，而是根據服務對象與規模（目標及目標群）需求，配置必須和充裕的算力保障設計和構建的服務器（數據機柜）集群，其中，支撐服務器集群構成算力的核心是算法。

2、DNS協議族

1983年11月，域名系統DNS的概念和設施、實現和規范（RFC 882，RFC 883）被正式提出。

1986年1月14日成立的互聯網工程任務組（IETF），負責制定和推廣自愿采納的互聯網標準和規范，特別是構成TCP/IP協議族的標準。目前，涉及DNS且與TCP/IP四層架構和協議相關的RFC包括7種類別的299個協議（標準）。

3、頂級域名

根域名的服務區塊（Zone）是頂級域名。也就是說，僅當注冊和啟用了頂級域名，根域名系統才有可用性和可服務性。對根域名區塊文件（Zone File）的授權和管理以及根域名系統的服務，目前僅面向1,588個頂級（或一級）域名。注冊頂級（或一級）域名需要得到ICANN的批準和授權。

1985年1月1日，“.com，.net，.org，.edu，.gov，.mil”6個頂級域名首先被注冊，標志著根域名系統的正式運行。其中，“.com，.net，.org”被稱為通用頂級域名，“.edu，.gov，.mil”被作為專用頂級域名。

美國國家頂級域名“.us”的注冊時間是1985年2月15日；中國國家頂級域名“.cn”的注冊時間是1990年11月28日。

目前，頂級域名被分為7 種類型：

在現實應用中，大量注冊的域名是二級（或權威）域名，即單位機構、企業公司、網站網點的名稱，例如：“ccb.com”。

威瑞信報告，截至2021年6月，全球注冊的二級域名數量為3.673億個；其中，屬于通用頂級域名（gTLD）1.81億個，占比49.3%。

4、DNS主導軟件

1984年，在第一個根域名服務器上運營的系統軟件被稱為“JEEVES”，由保羅•莫卡佩特斯（Paul Mockapetris）設計和開發。同時，由美國國防部國防高級研究計劃局（DARPA）資助、伯克利大學（4個研究生）研發、在1984年5月發布的第一個DNS軟件版本，被稱為“BIND”。之后，美國陸軍彈道實驗室的道格•金斯頓（Doug Kingston）和邁克•穆斯（Mike Muuss），對BIND軟件代碼作了重大修改，于1985年被用于美國陸軍彈道實驗室的H根域名服務器。或許H根可以被認為是DNS域名解析的主根。

在美國國土安全部的資助下，從結構設計修改到代碼全面更新，BIND被徹底升級改變。2000年9月，互聯網軟件聯盟公司（ISC）發布新的BIND主版本（BIND 9）, 沿用至今：從2004年1月28日發布版本9.0.0到2021年9月15日發布版本9.17.18，18年間共發布了673個子版本（子版本的生命周期一般為一年），包括軟件升級、缺陷修改和漏洞補丁。

BIND以其先發優勢，并以提供免費軟件和開源代碼的“推銷推廣”模式，在市場應用的占有率（據稱）超過90%，也被業內作為“事實上的標準”（de facto standard）。必須注意，BIND的“免費軟件”不等同于“開源代碼”，不應混淆。

2002年5月，荷蘭的NLnet Lab發布自主研發的DNS軟件，稱為“NSD”，2003年2月在“K”根域名服務器啟用，替代了“BIND”。目前，有（D、H、K、L）4個根域名服務器系統采用了“NSD”。

此外，2021年3月，美國國家安全局（NSA）發布所研發的新的DNS軟件，稱為“防護性DNS”（pDNS），目前主要用于軍用網絡和國防基礎設施（DIB）網絡。從“DNS就是互聯網”的意義上說，這應該也是一個可以獨立解析運行的系統。

5、DNS供應鏈

根域名系統DNS的ICTS供應鏈的簡化關系如下圖：

1）ICANN與IETF是并行關系，或IETF對技術規范的研發與對數字資源的授權和管理，并沒有直接的關聯性；

2）威瑞信等12個根域名系統運營管理單位，并不完全服從于ICANN，其中包括NTIA代表美國政府在事實上所施加的影響力；

3）IETF的DNS標準和規范，僅僅是DNS軟件實現中的代碼最小集合（即實現DNS軟件協議棧的代碼有足夠的“自由裁量”空間，因不同的軟件協議棧開發商而異）；

4）形形色色的虛擬運營商可以變通“馬甲”，改變或顛覆DNS的應用模式和方式。如：基于DNS的內容推送網絡（CDN）；

5）美國國家安全局（NSA）以及國家網信安全與基礎設施安全局（CISA），對DNS軟件技術的研發和應用有相當的（需求化）引導力和（武器化）影響力，如：BIND軟件有專用和定制的版本，有別于公共開放的免費版本。

在根域名系統的生態環境中，如果說，ICANN擁有對數字資源（域名、IP地址和ASN自治系統編號）以及根域名管理的決策權，那么在應用和服務中的域名執行權或另當別論。

三、DNS的監管與治理

1、根域名服務器

1984年，互聯網的第一個根域名服務器建立，僅服務于美國國防部的ARPAnet網。

1985年，根域名服務器增加為4個，分別托管在美國信息科學研究院（ISI，2個）、斯坦福國際研究所（SRI）、美國陸軍彈道實驗室（BRL）。

1987年，根域名服務器增加到7個，服務擴展到美國的ARPAnet（研發和測試網）、MILnet（軍用網）、NSFnet（國家科學基金網）、SURAnet（美國東南地區高校網）、BARRnet（美國西部硅谷地區研究網）、NASA-Science（美國國家航空航天局科研網）。

1995年，即中國全功能接入美國互聯網的次年，根域名服務器增加到9個，服務擴展到北歐科研教育網（NORDUnet，諾頓網），并對根域名服務器從“A”到“I”重命名，。

? 1997年，對于美國和中國來說，是幾乎同步發展互聯網的重要一年。美國在DNS技術上成就、完善了互聯網，中國提供了互聯網應用的大市場：

▲ 1997年1月，美國新增加從“J”到“M”4個根域名服務器，至此，建成了互聯網13個根域名服務器以及落實了從“A”到“M”的重新編號，完成了互聯網域名系統的整體架構部署。同年1月1日，中國的人民網接入互聯網。

▲ 1997年5月，“K”根域名服務器，從美國轉移到英國倫敦的互聯網交換中心（LINX），之后又被轉移到荷蘭阿姆斯特丹（自治系統AS 25152），由歐洲互聯網協調中心（RIPE NCC）管理和運營。同年6月3日，中國互聯網絡信息中心（CNNIC）組建。

▲ 1997年 8月，美國將“M”根域名服務器，轉移到日本東京（自治系統AS 7500）。同年10月，中國公用計算機互聯網（CHINANET）與中國科技網（CSTNET）、中國教育和科研計算機網（CERNET）、中國金橋信息網（CHINAGBN）實現互聯互通。

▲ 請注意，由于DNS數據報文采用UDP傳輸協議，數據包長度為512字節；IPv4地址長度為32字節，13個根域名的IPv4地址占用416字節（被嵌入在DNS報文中），僅剩96字節為DNS數據和信息，故成為限制互聯網最多設置13個根域名服務器的主要原因。

但這并不能說明，IPv6地址長度為128字節，就可以增加根域名服務器。事實上，經過30余年的過渡試驗，IPv6仍然只是依附于、服從于IPv4既有的13個根域名服務器（系統）架構，并沒有建立起“純IPv6”的根域名服務器（系統），目前也沒有替代IPv4的任何技術和應用可能。

2、根域名鏡像服務器

根域名鏡像服務器（Instance）分為全網（Global）和本地（Local）兩種類型。網上內容完全相同而且同步更新的兩個或多個服務器，除主機服務器外，其余都是鏡像服務器。

鏡像服務器在業界又被稱為“實例”，實例之間不相互聯接，可以基于Web或基于命令行單獨控制或管理。

在每個根域名服務器的節點列表中，一些實例被標記為“全網”，一些則被標記為“本地”。實例標記表明該鏡像服務器的應用范圍。鏡像服務器應用范圍由該實例的路由方式（運行于TCP上的自治系統的邊界網關路由協議 BGP）決定和限定。

全網實例，允許路由通告在全球互聯網上播發，即互聯網上的任何路由器都可以知道通達（鏈接）該實例的路由路徑。對于特定的來源，該實例的既定路由可能不是最佳路由，可以選擇其它實例作為目的地（經由地）。所有根域名服務器運營商都必須至少有一個全網實例為全球互聯網提供服務。

本地實例，路由通告僅限于連接的網絡。例如，該實例可能僅對一個網絡運營商（ISP）可見，或者對于在特定交換點連接的ISP可見。而對于其他（或遠程）的域名解析請求將無法查看和查詢。某些根域名服務器運營商還可能根據自己與合作伙伴的需求，選擇部署本地實例。

鏡像服務器是分擔主機負載的服務器，好像照鏡子似地同步映射經過主機服務器的數據信息，能看得見、卻未必“留得住”，也未必完整。因為鏡像服務器的映射，受制于所鏡像的主機，主機有什么，才能鏡像什么，不可能也不容許有任何異動、更改或變通。

必須注意，DNS的“任播節點”不能被認為或作為是域名的“鏡像點”；托管“任播節點”是有條件的，相關方必須簽署“保密協議”（NDA）。

3、根域名服務器控制

成立于1978年隸屬商務部的美國國家電信和信息管理局（NTIA），是聯邦政府的行政部門。NTIA的計劃和決策，主要集中在擴大美國的寬帶互聯網接入和采用，對所有用戶推廣頻譜的使用，并確保互聯網繼續成為持續創新和經濟增長的引擎。

NTIA網站上公開的“與威瑞信的合作協議”載明：威瑞信根據與美國政府簽訂的第NCR 92-18742號合作協議，管理授權的根區文件。威瑞信的職責包括：按照建議的改變，編輯根區文件，并發布該文件，然后將該文件（通過A根域名服務器）分發給其他的根域名服務器運營商。

如此看來，A根域名服務器在13個根域名服務器中的地位和作用，相當于母根或主根，或是母根與子根、主根與輔根合為一體的復合根、契合根。也有一種說法，H根是母根，A根是主根，或可作為參考。

A根幾十年不變地在美國政府和軍隊的強力保護下，由美國威瑞信公司管理。其中一項主要的功能，就是每24小時向其它12個根域名服務器系統分發、推送頂級域名的權威更新，以保證全球DNS域名解析實時運行的一致性和唯一性。世界各國（包括中國）依照互聯網布局設立的任何根（包括世界各地所有的根域名鏡像服務器），都必須、也只能追隨A根實時同步更新、協調和被支配，也就是受制于A根。否則，或將引起全網（包括中國本地互聯網）的運行嚴重混亂，甚至發生大面積堵塞、阻滯而中斷，不能（或無法）正常服務。

以NTIA與威瑞信的“合作協議”為基礎，從1998年10月1日到2018年10月26日，NTIA與威瑞信簽署了26個公開的修正和補充協議。根據威瑞信提交給美國證券交易委員會（SEC）的2015年度財務報告，其中明確表述：

1）由商務部代表美國政府監督DNS。根據商務部與ICANN簽訂的2009年10月1日起生效的《承諾確認書》（AOC），商務部是對ICANN績效持續審查和問責的主體之一。

2）ICANN的作用，是作為多利益相關方中的協調核心，上述《承諾確認書》對其不具有約束力。

3）美國政府的作用，是通過NTIA協調DNS重要方面的管理，包括互聯網數字分配機構（IANA）的功能和根域名區的DNS管理。

關鍵在于，上述所有根域名（無論母根、主根、輔根）、根域名系統（主機與鏡像的分布、設立和運行控制系統）、IPv4和IPv6協議，都是美國制定的互聯網的網絡術語、專有功能和特定元素。互聯網的網絡主權，包括命名權、管轄權、設計規劃權、規則確定權、運行主導權、路由支配權、數據控制權，以及域名地址的分配與租用權、根域名鏡像服務器節點的分布與協調權等等，都只能是美國說了算。美國以外的任何國家（包括中國、日本、歐洲各國等）和組織機構（包括聯合國、ISO/IEC、ITU等）都說了不算。

母根（Female Root），是指互聯網全網的源生根。沿革阿帕網演進重構的美軍網是互聯網的核心網、發源網、網中網、主導網（主網），“母根”應掩藏在美軍絕對控制和提供高度安全保障的“主網”之中。

主根（taproot），互聯網的直接根、母根的直連根。A根被認為是互聯網13個根中的主根，其它12個根是輔根（Auxiliary root），如設日本的M根就是輔根。

美國政府精心策劃與構建了對13個根域名系統母根、主根、輔根的管轄權（法權體制）和控制力（治理機制），不容其他任何國家、組織和個人悖逆與改變。

四、DNS何去何從？

1、DNS安全擴展

隨著域名解析系統DNS的安全問題和風險日益突出，IETF自2005年持續發布一組“域名系統DNS安全擴展”（DNSSEC）的標準和規范。

2018年10月12日零點（北京時間），ICANN在全球互聯網范圍實施了域名根區密鑰翻轉（KSK，密鑰簽名密鑰），更換用于驗證DNSSEC響應一致性的單一信任根，這是互聯網歷史上的第一次。

但是至今，DNSSEC的應用遠低于預期。其中，技術上的原因包括：DNSSEC的數字簽名，增加了DNS解析響應數據包的字節數，使得大多數的DNS解析響應數據包保持在512個字節的UDP傳輸限制之下，越來越具有挑戰性。同時，為保持DNS規范不變，超過512字節的數據包可以被截斷，并切換到TCP以獲取大于512個字節的域名解析響應，潛在地降低了DNS的效率（以及增加了時延和數據包被碎片化的程度）。

因此，現實中DNSSEC的部署和應用被“分層分段”。例如，根域名和頂級域名的解析服務采用了DNSSEC，而權威域名以及遞歸域名服務器和用戶終端的域名解析服務基本上不采用DNSSEC。

APNIC的首席科學家杰夫·休斯頓（Geoff Huston）認為，目前的狀態表明，DNSSEC是應用失敗的典型案例之一。

根據APNIC的測量統計，截至 2022年5月6日，DNSSEC在全球的平均驗證率為29.91%，其中：

IPv6和IPv4技術上的互不操作性（即“互不兼容”），是互聯網安全問題關鍵的基礎和根本癥結之一，雖然同屬于互聯網協議（不同版本），同樣采用和依賴互聯網的13個根域名服務器系統控制運行，仍然存在大量潛在的不穩定因素和未知安全風險，無法預判，防不勝防，必須進行必要和必須的實際運行（并行）操作實驗和驗證，探索可能的解決辦法，這需要付出難以估量的經濟成本和安全代價，或得不償失。

2、“雪人計劃”

2015年6月，ICANN推出美國專家保羅（Paul Vixie）和日本WIDE機構提議的“雪人計劃”（譯自日文“雪だるまプラン”，英文譯作“Yeti DNS Project”）。

“雪人計劃”是進行IPv4、IPv6域名空間并行測試的實驗項目。ICANN以“雪人”DNSSEC密鑰標識，測試M根范圍所有的重啟、復位設定（Reset），不提供替代的域名空間，僅僅是改變（增加）了M根域名系統解析的委派信息。

美國專業人士承認，這個在測試環境中暫時的、允許失敗的前期技術測試項目，既不是“技術原型”的實驗，更不是生產環境中的根域名服務器系統的部署，不是“IPv6根域名服務器假設的新格局”，且已經在2017年12月底結束。

美國專業人士明確指出，“雪人計劃”的測試和實驗證明：

1）IPv6的“主根服務器”不是真正完全獨立的主根服務器，而是在IPv4的主根服務器之下的測試性服務器。從技術上看，“雪人計劃”新增的25個IPv6根服務器的地位，事實上低于13個IPv4根服務器。

2）所謂中國的IPv6“主根服務器”，受美國的IPv4主根服務器和F根服務器的控制、監視。“IPv4的根服務器對IPv6的根服務器依然擁有解釋權。”“即便未來中國有了IPv6的根服務器，也并不意味著中國就能起到主導作用。”

3）IPv6的安全性能不如IPv4。IPv4的地址可以動態分配，IPv6每一個網站都只有一個確定的靜態地址，便于被精準定位、精準打擊。因此，美國政府和美軍都不使用IPv6，故意推給中國耗費大量人力物力財力建設試驗性的IPv6系統。

4）“雪人計劃”沒有試圖進行“域名空間分叉”，所有測試都是基于IPv4架構下的拓展，并非“另起爐灶”重新建立一套新的域名管理系統和根域名服務器。也就是說，無論IPv4還是IPv6，全球互聯網的總樞紐、數據交換中心、主干網、主根服務器、Web總站仍然在美國，由美國的企業建設、控制和管理。同時，IPv6和“雪人計劃”根本沒有解決、也不可能解決中國的互聯網安全問題。

簡言之，美國擁有無論IPv4還是IPv6域名空間的全部主權。美國政府、美國政客、美國政治不容任何國家、任何組織、任何個人改變和動搖美國“一網獨霸世界”，已經是全球人所共知的網絡常識、科學常識、政治常識。

3、DNS相關技術發展狀況

1）2022年1月以來，ICANN廣泛宣傳一項經過修改的行動措施：“域名系統（DNS）安全和域名查詢安全的知識共享與梯度化規范”（Knowledge-Sharing and Instantiating Norms for DNS and Naming Security），簡稱“KINDNS”。

2022年3月10日，在ICANN的第73屆視頻年會（ICANN 73）上，同屬非洲區管理機構AFRINIC的中東地區代表，就“DNSSEC的數字簽名和驗證”發表一項“聲明”（或“陳述”，Statement）強調：DNS對于確保網絡服務的連續性至關重要，有缺陷或無效的DNS服務會對任何機構和組織（包括客戶、合作伙伴或雇員）的體驗產生負面影響，并影響電子商務應用，導致收益損失，破壞品牌形象，披露2021年因DNS遭受攻擊，直接導致 63%的機構和組織斷網停服；建議明確DNSSEC部署和應用中的“投資回報率”（ROI）以及關于延遲部署和應用DNSSEC的“風險損失率”（ROR）。

2022年5月19日，ICANN做出官方答復，承認DNS安全運行對于互聯網的整體穩定性和彈性的重要性被認同，這正是 ICANN使命的核心；表示該聲明提出的一系列建議，與ICANN“五年戰略計劃”和“中東及周邊國家地區的五年計劃”相一致，即與ICANN的區域性目標相關；明確ICANN的區域性目標包括：

——通過與多利益相關方的合作支持，以發展技術能力和建立區域性技術專家網絡；

——通過參與多利益相關方的工作，識別和緩解DNS面臨的安全威脅。

“多利益相關方”，事實上是通過政府與民營企業的合作，構筑新的排他性競爭“門檻”，并且利益或既得利益各取所需。美國拉著歐盟和50多個國家及臺灣4月28日共同簽署發表的《未來互聯網宣言》中提出的“原則”之一，即“保護和加強多利益相關方（multi-stakeholder）的治理方法”。

2）DNS的技術和服務正在發生根本性的變化，不僅是在底層協議（和關鍵技術），而且是在治理模式上的結盟和管理手段上的加強。

基于“UDP”協議的新一代網絡數據傳輸協議“QUIC”協議，被稱為是可與“TCP”協議相媲美的一項顛覆性創新。

2022年5月11日，IETF發布更新的“基于專用QUIC連接的DNS”的標準化進程中的版本RFC 9250；5月20日，IETF更新了基于“UDP”協議標準化過程中的第二版。

4、關注提示

1）ICANN分配和管理的全球互聯網數字資源主要包括：頂級域名、IP 地址和ASN自治系統編號。雖然全球DNSSEC的平均驗證率（29.91%）與IPv6的平均應用率（31.22%）接近，但是ICANN構建和推進的是“DNS”（KINDNS框架），并沒有試圖去打造一個全球IPv6應用的生態系統，難道有意識地“厚此薄彼”？！

2）DNS非強制性的技術標準由IETF制定，但DNS的數字資源（如頂級域名授權和端口分配）是ICANN（和IANA）管理，ICANN構建“KINDNS框架”為IETF的標準及相關技術研發，搭建（搶占）了全球互聯網的一個“先發優勢”平臺。

3）雖然目前ICANN仍然在維護DNSSEC，但是當“基于 QUIC的DNS（簡稱“DOQ”）成為標準，或將取代DNSSEC。換言之，DNSSEC僅僅是過渡性的，亦或是“尸位素餐”。

梳理域名系統DNS，一個直觀且簡單的演變是：DNS從作為互聯網“電話簿”（文件系統）的初始創意，早已成為互聯網的“中樞”（指揮和控制系統）與“制高點”（定位和重定向的導航系統）。

5、結語

DNS安全，既不止于“漏洞型”，也不限于“騷擾性”，而是具備明確清晰的戰略性和系統性，成為前所未有的斗爭和競爭的焦點之一，即“誰掌控DNS，誰就擁有互聯網”。

互聯網（internet）是人造的，是人類集體智慧的創造成果，是隨著人類知識文化和科學技術的不斷升華繼往開來、與時俱進的系統創新。尤其是在DNS域名系統及其安全技術的演進發展道路上，沒有捷徑，沒有“一招鮮包打天下”，也沒有一勞永逸“亙古不變”的技術訣竅。

DNS是互聯網關鍵的基礎和根本。IPv4、IPv6都只是互聯網的一項協議。

DNS域名系統的創新不會僅僅是基于經驗的一項技術編程，更是一個生態系統工程，包含動態的供應鏈以及潛在的政治、經濟、外交、軍事戰略與策略的謀劃。

（作者系昆侖策研究院高級研究員，中國移動通信聯合會國際戰略研究中心主任；來源：昆侖策網【原創】，修訂發布；圖片來自網絡，侵刪）

【昆侖策網】微信公眾號秉承“聚賢才，集眾智，獻良策”的辦網宗旨，這是一個集思廣益的平臺，一個發現人才的平臺，一個獻智獻策于國家和社會的平臺，一個網絡時代發揚人民民主的平臺。歡迎社會各界踴躍投稿，讓我們一起共同成長。

　　電子郵箱：gy121302@163.com

　　更多文章請看《昆侖策網》，網址：