牟承晋：中国域名根服务器的权属必须澄清

点击：作者：牟承晋来源：昆仑策网【作者授权】发布时间:2019-12-15 09:08:27

1.webp.jpg

近日，工信部信管函（2019）400号批复，标题很长，意思很清楚：《工业和信息化部关于同意中国信息通信研究院设立域名根服务器（K根镜像服务器）及域名根服务器运行机构的批复》。

某主流媒体的当日报道令人产生错觉：

“工信部已批复同意中国信息通信研究院设立域名根服务器及域名根服务器运行机构，同时要求其严格遵守相关法律法规、行政规章及行业管理规定，接受工信部的管理和监督检查。”（笔者注：报道删去了“K根镜像服务器”，似乎设立的是中国自主可控的主权域名根服务器。）

“在与现有IPv4根服务器体系架构充分兼容基础上，中国主导‘雪人计划’于2016年在全球16个国家完成25台IPv6根服务器架设，事实上形成了13台原有IPv4根加25台IPv6根的新格局。”（笔者注：报道平添了原批复中没有的这段文字，似乎《批复》是“中国主导‘雪人计划’”的延续。）

“在中国，目前部署有4台服务器，其中含有1台主根服务器和3台辅根服务器，这也打破了中国过去没有根服务器的格局。”（笔者注：报道如此断言，似乎中国已经有了不受制于人的主根、辅根服务器，已经自主组网）

遗憾的是，某主流媒体的报道不符合事实。

一、域名根服务器的主权

工信部批复很明确，设立的是“K根镜像服务器”，即因特网（Internet）的K根镜像服务器。

某主流媒体报道：

“全世界IPv4根服务器只有13台，这13台IPv4根域名服务器名字分别为‘A’至‘M’，1个为主根服务器在美国。其余12个均为辅根服务器，其中9个在美国，欧洲2个，位于英国和瑞典，亚洲1个位于日本。”

这个说法含混了根服务器的主权。

1.webp (2).jpg

严格地说，美国拥有主权并严密控制的因特网，无论采用IPv4或IPv6协议，都是13个域名根系统组成的树状结构，分别以英文字母“A-M”标识。标识A是设在美国本土控制因特网所有域名根系统的主根（亦可以称之为主权根），标识B、C、D、E、F、G、H、J、L是设在美国本土的因特网主权辅根，标识M是设在日本的因特网主权辅根，标识I、K是分别设在瑞典和荷兰的因特网主权辅根。其中，由欧洲网络协调中心（RIPE NCC）管理的因特网主权辅根K的主机，归属自治系统AS 25152，公开域名地址IPv4为193.0.14.129、IPv6为2001:7fd::1，在全球分布72个K域名根镜像服务器节点。截至2019年12月7日，因特网13个（主权）域名根系统在全球分布的镜像服务器节点（Site），共 1,177 个。

全球因特网域名根系统属性现状：

1、按管理者

13个域名根系统由12个不同类型的机构负责运营和管理，包括：美国军方（标注红色2）、美国政府（标注蓝色1）、美国企业（标注黄色3）、美国高教科研（标注绿色2）、非盈利组织（标注白色4）：

● 截至 2019 年 12 月 7 日，因特网域名根系统在全球分布节点（Site）共 1,177 个。

● H 根新增两个节点法兰克福（德国）和香港。

2、按地址属地

● 采用任播（Anycast）技术，各域名根的分布节点共享同一 IP 地址。

关键在于，上述所有域名根（主根、辅根）、域名根系统（主机与镜像的分布、设立和运行控制系统）、IPv4和IPv6协议，都是美国因特网的网络术语、专有功能和特定元素。因特网的网络主权，包括命名权、管辖权、设计规划权、规则确定权、运行主导权、路由支配权、数据控制权，以及域名地址的分配与租用权、域名根镜像服务器节点的分布与协调权等等，都是美国说了算。美国以外的任何国家（包括中国、日本、欧洲各国等）和组织机构（包括联合国、ISO/IEC等）都说了不算。

IPv4和IPv6技术上的互不操作性（俗称“互不兼容”），是因特网安全问题的主要、基本症结之一，虽然同属于因特网协议（不同版本），采用和依赖因特网既有13个域名根服务器系统结构控制运行，必须进行必要的实际运行（并行）操作实验和验证。

正因为此，2015年6月，美国“因特网名称与数字地址分配机构”ICANN（The Internet Corporation for Assigned Names and Numbers，美国政府授权批准注册于加利福尼亚州的民间组织）制定、公布、推动了因特网M域名根DNS解析系统的IPv4、IPv6并行测试计划，即“雪人（Yeti）计划”。ICANN以“雪人”DNSSEC密钥标识M根测试范围所有的Reset（重启、复位设定），不提供替代的域名空间，仅仅是改变（增加）了M域名根DNS解析的委派信息。

“雪人计划”从来也不是中国任何个人或机构“主导”的“IPv6根服务器架设的新格局”。那个欺骗中央、对中央网信工作的战略部署搞选择性执行、对党中央极端不忠诚的鲁x，在主持北京市和中央网信办工作期间，蓄意将ICANN的M根“雪人测试计划”谎称谎报为中国（北京市企业）“主导”。当时就受到了ICANN和参与该计划的美国、法国等多国主管机构与专家们的反对、揭露和驳斥。鲁x们被迫删去公开的英文说法，对外敷衍，却坚持“中国主导IPv6新格局”的谎言在国内瞒天过海迄今。

简言之，因特网（Internet）是美国的，美国拥有因特网无论IPv4还是IPv6的全部主权。从根本上说，在因特网构成的网络空间（美国界定为开辟第五疆域战场的赛博空间Cyberspace，区别于其他任何网络空间Network），“美国优先”、“美国利益至上”是美国政府、美国政客、美国政治不容任何人、任何组织、任何国家有丝毫改变和动摇的原则与底线。这已经是人所共知的网络常识、科学常识、政治常识。

必须反复强调的是，1997年7月18日，全国科学技术名词审定委员会发布的第一批推荐使用的信息科学新词，就已经明确认定英文Internet为“因特网”，认定英文internet或internet work或interconnection network为“互联网”又称“互连网”（英文打头字母一律是小写）。

国务院1987年8月12日明确批示，经全国自然科学名词审定委员会审定公布的名词具有权威性和约束力，全国各科研、教学、生产经营以及新闻出版等单位应遵照使用。

长期以来，我国一些主流媒体，政府主管部门的一些官员，网络信息业界的一些院士、专家，偏不遵照使用规范的信息科学新词，偏不在乎国务院明确认定的全国科学技术名词审定委员会的权威性和约束力。20多年来，网络术语翻译、使用的不严谨、不科学、不规范，造成我国广大网民和业界人士的网络空间主权意识被潜移默化地混淆、模糊、淡薄、消失了。

祖国的语言文化也是祖国主权的重要组成部分。自觉维护、发扬和继承祖国规范的语言文化，是我们每一位中国公民的权利、责任和义务，是我们的民族天性。应当坚决纠正和约束无视国家权威性规范信息科学新词的乱象。亡羊补牢，不枉不纵，我国政府部门、官员、主流媒体、教育科研机构应当做出表率，不可等闲视之、姑妄言之听之任之！

二、域名根服务器的主导权

对于美国因特网的运行规则，包括域名根服务器系统的布局、域名根镜像服务器节点的设立，我国没有主导权。

1、母根

因特网树形结构的母根（Female Root，全网的源生根）究竟在哪里，具体是个什么情况，半个世纪以来资料披露很少，应当是美国因特网的最高机密。

可以确定的是，因特网是由美军的阿帕网（ARPAnet）延伸发展而来。沿革阿帕网演进重构的美军网是因特网的核心网、发源网、网中网，或可以称之为“母网”。因特网的“母根”应当就隐藏在美军绝对控制的“母网”之中。

2、主根

因特网的主根A，好比是因特网母根“垂帘听政”的代理根。

A根几十年不变地在美国政府和军队的强力保护下由美国威瑞信（Verisign）公司管理。其中一项主要的功能，就是每24小时向其它12个域名辅根服务器系统分发推送顶级域名的权威更新，以保证全球DNS域名解析实时运行的一致性和唯一性。世界各国（包括中国）依照因特网的布局设立的任何根（包括遍布世界各地的所有域名根镜像服务器），都必须、也只能够追随主根A实时同步更新、协调和被支配，也就是受制于主根。否则，或将引起全网（包括因特网的中国本地网）运行严重混乱，甚至发生大面积阻滞、中断，不能（无法）正常服务。马来西亚MH307航班失联，就是因为管制中心对该航班失去控制。因特网出现异地同步的两个甚至多个“主根”控制运行，后果同样不堪设想。

M根是美国因特网设在日本的辅根。M根引出的25个“域根”，实际是M域名根服务器系统分布的节点，是美国因特网母根和M根绝对控制下的二级（或三级）域服务器，

试问，“中国主导的主根”，能具有美国因特网A根的功能和作用吗？美国能允许他国主导的“主根”同步控制因特网运行吗？显然不能。那么，所谓“中国主导的主根”，究竟是谁控制的主根？究竟是起什么作用的主根？或者根本就是欺上瞒下骗人的假主根？编造出一个假主根长期、持续、大言不惭地浑水摸鱼、混淆视听，目的何在？为名还是为利？

3、镜像服务器

域名根的镜像服务器（Instance）分为全网（Global）和本地（Local）两种类型。网上内容完全相同而且同步更新的两个或多个服务器，除主机服务器外，其余都是镜像服务器。

镜像服务器是分担主机负载的服务器，其像照镜子似地同步映射主机服务器的内容，能看得见、却不是原版实用的信息。类似于镜花水月、海市蜃楼。镜像服务器的映射，受制于所镜像的主机，主机有什么，才能镜像什么，不可能有任何异动、更改、变通。科学不是变戏法，镜像不是照妖镜，不可能主机里面明明是个野猴子，镜像却照出个“齐天大圣”孙悟空。

对于业界专业人士来说，镜像服务器又被称为“实例”，实例之间不相互联接，可以基于Web 或基于命令行单独控制或管理。域名根的镜像服务器（Instance）分为全网（Global）和本地（Local）两种类型。

在每个域名根服务器的节点列表中，一些实例被标记为“全网”，一些则被标记为“本地”。实例标记表明该镜像服务器的应用范围，镜像服务器应用范围由该实例的路由方式（运行于TCP上的自治系统的边界网关路由协议BGP）决定和限定。

全网实例，允许路由通告在全球因特网（Internet）上播发，即因特网上的任何路由器都可以知道通达（链接）该实例的路由路径。当然，对于特定的来源，该实例的既定路由可能不是最佳路由，可以选择其它实例作为目的地（经由地）。所有域名根服务器运营商都必须至少有一个全网实例为全球因特网（Internet）提供服务。

本地实例，路由通告仅只限于邻接的网络。例如，该实例可能仅对一个网络运营商（ISP）可见，或者对于在特定交换点连接的ISP可见。而对于其他（或远程）的域名解析请求将无法查看和查询。某些域名根服务器运营商还可能根据自己与合作伙伴的需求选择部署本地实例。

4、域名解析

美国高度重视、严密控制因特网DNS域名解析系统。因特网层次化的树状体系域名解析，按照“从右向左”的规则有序流动运行，从来不允许任何可逆可变可移动的情况发生。

美国国防部高级研究计划局（DARPA）1980年资助研发的域名解析系统软件BIND，早已成为因特网域名系统应用的“事实标准”（de facto Standard），并由美国因特网系统联盟（ISC）接管。

2018年10月12日，ICANN主导，实施了因特网历史上第一次域名根区密钥（KSK，密钥签名密钥）翻转，更换了用于验证DNSSES（域名系统安全扩展）响应一致性的单一信任根。ICANN宣布，以后每年都要进行密钥翻转。

2019年2月1日，ICANN组织了全球EDNS（域名系统扩展机制）“执行日”行动。因特网欧洲协调中心（RIPE NCC）强调：“对EDNS请求不予响应的域名服务器，将被作为‘死机（Dead）’”。

作为全球许多国家和机构的智库，成立于1895年的伦敦经济和政治科学研究院（LSE），在2009年发表的《中国与域名系统（DNS）》研究报告中就指出，域名系统是典型的“固有政治”技术，决定了权力集中结构的形成。任何摆脱这种结构的行动都将取决于新标准和体系结构的发展，以及各国共建更为令人满意的全球因特网治理体系的能力。

根据“第44次中国互联网络发展状况统计报告”，中国注册域名数量的50.9%是在境外解析，也就是说，中国境内的可镜像的域名数量为49.1%。域名的数量不是域名应用的流量。根据采样数据的分析显示：在境外解析的域名应用流量（如.com，.net）远远大于国内的域名应用解析流量（如.cn，.中国）。中国无法改变美国严密控制的域名应用流量的路由。

很明确，在现有受制于美国控制的因特网域名体系结构下，在尚未出现因特网全新标准和体系结构、尚未形成因特网全球治理体系能力之时，域名根的镜像既不可能改变任何“格局”，也根本不可能达到“安全可控”的目的。

应当清醒地看到，虽然域名根系统（或根）是域名应用生态链中的主要环节，但不是唯一的（包括顶级域名、域名空间入口的递归解析、域名系统软件、浏览器等）域名解析控制环节。“盲人摸象”，只能导致急功近利的不良结果，还可能导致更大规模、更不安全、更严重的副效应和逆反作用。

中国是美国因特网服务与控制的大国。美国拥有因特网主权和主导权的域名根镜像服务器的布局与设立，一直是紧密围绕因特网服务与控制中国、俄罗斯等网络空间信息领域的全局部署的。任何错误的认识和判断，都可能将我们引向丧权辱国的歧途。万万不可“暖风熏得游人醉，直把杭州作汴州。”

下图是DNSSEC验证过程（“自右向左”）的示意：

三、域名根服务器的治权

治权就是统治权，即政府治理国家（执行政务）的权力，是国家主权的具体体现。

半个多世纪以来，网络空间信息领域的主权和治权一直存在很大的争议。美国始终认为基于因特网的“赛博空间”主权属于美国，不可能与他国分享或分而治之。中国、俄罗斯和英国、德国、法国等欧洲主要国家认为，美国必须尊重和承认他国拥有网络空间主权和数据主权。习近平总书记多次强调，要理直气壮维护我国网络空间主权，要依法加强网络空间治理，共同推进网络空间全球治理，努力推动构建网络空间命运共同体。

工信部的400号批复，本意应是落实我国网络空间主权和安全治理的措施。不过，这开创了主权国家干预美国因特网管理的先例。从法治的角度，无论从法理基础、法律程序来看，似乎都有所不妥。

中国政府同意设立美国因特网的域名根镜像服务器，显然有悖因特网现行管理规则。逻辑上，维护和管理美国因特网域名根系统的唯一权威机构，是美国政府批准成立和授权的美国民间组织“因特网名称与数字地址分配机构”ICANN。虽然中国政府工信部批准中国相关民间机构接受ICANN的委托授权同ICANN合作看上去顺理成章，但直接批复中国机构设立美国因特网的域名根镜像服务器和运行机构，除非是履行中美两国政府相关一致的协议（尚未见政府信息披露），或者中国制订法律明确“任何在中国境内设立的网络、网络基础设施和运行机构，都必须接受中国政府管辖”（现行法律尚不健全、不完善），否则会有法治前置不明、主张治权不当之嫌。

强行“叫板”美国，可能授之以柄，引发中美之间在网络空间信息领域新的争端，给美国制裁中国政府、中国机构、中国相关科技人员新的借口，得不偿失。中国主流媒体更不应该罔顾事实画蛇添足、节外生枝、法外生乱。各地“千人计划”招致美国以中国的开源信息作为证据迫害中国海外人才的教训，必须认真总结、汲取。

治理和创新我国网络空间信息领域的体制、机制和法制，远远跟不上推动构建全球网络空间命运共同体的紧迫趋势和需要。网络空间信息领域不是仅仅关系工业化，而是越来越全方位、多视角、多元化、多层面地交织反映及作用于国家和社会的政治、经济、军事、文化、科学、教育等的纵深。立法成立我国政府专司网络空间信息领域主权、安全、创新的机构，集中相应的人力物力财力，集举国之力治理和发展不受制于人的主权公众网络，积极推进军民融合主权网络空间科学技术高屋建瓴地全面创新发展，已经很有必要。

长期以来，美国宣扬的“同一个世界、同一张互联网（Internet）”的泛美思想理念，严重渗透我国主流媒体和高校、科研机构，严重干扰我国网络信息领域的战略决策，严重束缚了我国网民与科技人员在网络空间信息领域的创新思维和创造能力。

厘清我国域名根服务器的权属，清醒头脑，清醒认识，清醒地面对中国没有主权公众网络的真实格局，知彼知己，方能百战不殆。知耻而后勇，将有助于、有利于我们彻底打破几十年不变僵硬的因特网思维，打破几十年羁绊我们的“坛坛罐罐”，认真学习、思考和落实习近平总书记的号召：“把区块链作为核心技术自主创新重要突破口，加快推动区块链技术和产业创新发展。”也许，区块链“用基于内容的地址替代基于域名的地址”，是对因特网树状域名根服务器体系的颠覆性、革命性创新。我们需要大胆地实验和验证。

新时代，我国网络空间信息领域亟需颠覆性、革命性的创新。我国业界人士、网民须同心同德地继续不懈努力、共同奋斗。

（作者系中国移动通信联合会国际战略研究中心主任；来源：昆仑策网【作者授权】，转编自“旁观者更清”）

10.webp.jpg