《网海观澜》按：网络斗争复杂激烈，本号近期屡遭黑手。为防失联，请大家关注《网海观澜》 的备份号----《观澜星语》，一旦主号“牺牲”，替补即刻“投入战斗”。

【写在前面的话】 近日，国内媒体不断关注“雪人计划”(Yeti DNS  Project)，称其为“中国的雪人计划”，中国因此将获得根服务器的管理权，并已向全球部署25个根服务器等。国内外业界人士议论纷纷。美国会轻易将根服务器交给中国吗?回答是：不会;中国将取代美国成为IPv6的世界霸主吗?回答仍然是：不会!

本文试图通过举证说明：为什么不会?

一、“雪人计划”实际是ICANN(The Internet Corporation for Assigned Names and Numbers 即“因特网名称与数字地址分配机构”)2015年6月制定的IPv6测试计划。国内报道称是“中国下一代互联网国家工程中心牵头发起‘雪人计划’”，与ICANN公布的事实不符。

ICANN是依照美国法律设立在美国的民间组织。

二、据“雪人DNS计划”网站(https://yeti-dns.org/)公开信息，“雪人”DNS系统是一个根域名服务器系统的实时测试平台：

● 这是一个可用的测试平台，但是应该告知任何使用这个测试平台的人，这是用于根域名服务的测试平台以及一些实验。

● 该项目将在 2018 年底结束(可能会延长一段时间来完成实验，但不会再延长)。

● 该测试不会添加/删除在 IANA 根域区中的委派记录 (Delegations)，它只是改变了根DNS服务器的委派信息，并以“雪人”(Yeti)DNSSEC密钥标识所有RRset。

● 不提供替代的域名空间。

三、“雪人计划”发起人之一、国际因特网名人堂(Internet Hall of Fame)入选者保罗•维克西(Paul Vixie)博士2016年3月30日发表文章澄清：

1、从技术角度，任何DNS根域的服务都不是来自于任何一组DNS根域名服务器，而是从一个“备用根目录”。但是，并不是所有备用根域都是平等的。我认为，对于全球互联网来说，“域名空间分叉”(Name Space Fork)的替代根域名是一个糟糕的主意。互联网域名空间之间的激烈竞争对我们所有人都是不利的-包括商业，言论自由，国家和个人安全。

2、所以，从技术上说，“雪人计划”不仅具有引入“替代根”的潜力，实际上它也是一个替代根域名。但是，这不是一个域名空间分叉，也不能成为这样的。替代根域名服务是因特网治理的“第三条轨道”：如果你触摸它，你就会死亡。

3、尽管如此，全球范围内根域名服务器技术的试验仍然是网络科学的一个有效课题。所以，“雪人计划”的三个协调员 (BII，天地互联;WIDE，日本;保罗•维克西，美国)都发表了强烈的公开声明，反对域名空间“分叉”(有时称为“域名空间扩张”，或者更简单地称为“域名空间盗版”)。“雪人计划”根域名服务器的运营商都知道这一点，对于有意选择“雪人”根域名服务器来处理根域名查询的实验者和爱好者也需要知道这一点。如果我们中的任何一个改变了这一立场，整个项目就会被推翻。

4、 那么，这是否意味着如同世界经济论坛的白皮书所说的， “雪人计划”可以“引入一个替代根域名源”?这取决于我们所说的“替代”。如果我们的意思是域名空间扩张，除IANA之外的其他人可以有效地编辑顶级域名空间，例如添加新的顶级域名(TLD)或更改现有顶级域名(TLD)的所有权，答案绝对不是。

5、在我看来，更危险的是，“雪人计划”提供了一个精确的路线图，使得除了IANA以外的其他人能够建立一个替代根域 名。从这个意义上说，“雪人计划”可能导致盗版域名空间的替代根在实际上被引入。在大型企业中，这种备用根域名服务存在正当和普遍的需求，但是支持这种服务的文档和工具并不存在，特别是在DNSSEC的环境中。

6、请注意：我亲自与金砖国家(巴西，俄罗斯，印度，中国， 南非)的运营商联系，以确保他们了解“雪人”项目，并可以参与其中。我的观点是，如果某个国家在某一天决定不信任 ICANN，而且他们想创建自己的因特网DNS系统，我希望他们拥有必要的专业知识和能力，以及权衡国家主权的意识。我会建议这样的国家，如此的独立将是不健康的，粗俗的和短暂的。但我不会自称他们必须听我的。

四、我国不拥有对根服务器及其镜像的实际管理权，存在明 显的管控风险。根域名服务处于整个域名服务体系的顶端，其服务性能的高低直接影响到域名服务的整体质量。

据2016年中国互联网信息中心CNNIC资料，在全球已部署的633个根镜像中，仅有9个位于我国大陆(其中北京8个、杭州1个)。

根据因特网亚太信息中心(APNIC)的解释，目前因特网仅有13个根域名，是由于早期的体系设计和IPv4的制约，DNS一般应用被限制于512字节的UDP协议传输，IPv4地址需要32字节，13个根域名需要占用 416 字节，因此仅有96字节供传输DNS协议信息。由于IPv6没有地址空间的约束，将来可能增加新的根域名。

需要明确的是，目前的13个根域名的IP地址被缺省设置在应用软件中，如操作系统、浏览器、域名服务器等。显然，要增加新的IPv6根域名(新的IP地址)并非一朝一夕轻而易举就可以实现。

五、新华社报道称，“雪人计划”已在全球完成25台IPv6(互联网协议第六版)根服务器架设，中国部署了其中的4台。事实是：

从美国因特网设在日本的M根(亚太根)引出25台“域根”(IPv6顶级域即因特网二级域服务器)，其中1台所谓主根和4台所谓辅根服务器连接导向中国。由于“雪人计划”的所谓主根(实际是二级域名服务器)和25个辅根(实际是三级域名服务器)是解析向美国租来的地址，所以需要通过在日本的M根与v6在美国和欧洲的其他根进行更新和广播，因而必然存在分等级的问题。不能说是根，只能是顶级域!

上述结构清楚地表明，所谓中国IPv6的主根，实际上是美国绝对控制的因特网的母根服务器、主根服务器、辅根域名服务器，引出的25台根域名服务器，不过是在因特网母根和M根控制下的IPv6顶级域即因特网二级域服务器，所有域名地址的分配和解析路由仍然必须经过美国因特网母根、主根和M根的交换才能实现和完成。且IPv6的域名和IPv6地址还是从美国租来的，运营商支付的使用费(租金等构成的成本)必然转嫁给用户。

六、4台导向中国IPv6系统的所谓域根服务器也不在中国。两办通知要求：“推动根镜像服务器的引进，进一步提升域名系统解析性能。开展新型根域名服务体系结构及应用的技术创新，建设具有一定规模的试验验证网络设施，开展应用示范。”这也很清楚地表明，中国目前没有IPv6根服务器，需要“推动根镜像服务器的引进”。

据近日国内多家媒体报道，中国工程院院士邬贺铨表示，尚不明确IPv6主根最终能否以及有多少可以建在国内。邬贺铨指出：“IPv4的根服务器对IPv6的根服务器依然拥有解释权，所以即便未来中国有了IPv6的根服务器，也不意味着中国就能起到主导作用。”

由此看来，如果不是有人在故意撒谎或夸大其词地制造“IPv6根已建成”、“根在中国”的舆论，就是有人严重曲解了ICANN的IPv6测试系统真相误导舆论。

七、值得特别注意的是，我国长期以来一直在防止日本截取我国的情报，在网络路由管控等方面曾采取许多重要的防范措施。所谓中国“雪人计划”的IPv6根服务器从美国设在日本的M根引出，造成我国IPv6网络信息必须经由日本再到美国实现交换的不可逆的路由格局，日本将更加轻而易举地获得海量的第一手中国情报，后果不堪设想!

更值得注意的是，根据资料综合，美国政务系统现有4个专用根域名服务器(目前都支持IPv6)，美国军方现有6个专用根域名服务器(目前都不支持IPv6)。这些专用根域名服务器与公用(商用)的13个根域名服务器逻辑隔离，即从公共网访问美国政务或军方网络，仍然需要通过公用根域名服务器，而政务和军方网络系统则通过专用根域名服务器切入公共网。可以确定，美国政务和军方的IPv6系统(包括规范和测试)可以相对独立于商用，不仅从本源上差分了应用，而且监控的边界清晰。美国政务网还新设域名Fed.us，仅供政府部门内部应用。在中国规模部署IPv6之前，美国完成了其政务和军方网络与公共(商用)网的隔离(监控边界)，是为了积极防控来自中国IPv6系统的潜在威胁呢?还是为了保持制约中国IPv6系统的制高点和主动权优势呢?亦或二者兼而有之?

八、主权是网络空间安全的第一要务，是构建网络空间命运共同体的原则和前提。网络域名和网络地址是网络空间主权的重要战略资源和国家主权标志。

必须强调和明确的是，网络域名和网络地址掌控在谁的手里，谁就控制了网络空间的物理基础以及应用和发展，由此掌控网络通信的数据本源、信息资产和开源情报，拥有隐式改变或显式操纵网络空间边界的主导能力和话语权。

(2017年12月9日)

【牟承晋，察网专栏学者，中国移动通信联合会国际战略研究中心主任】