昨晚笔者和家人一起看了流浪地球2,延续了第一部的风格,是近期少有的国产硬科幻电影。片中各种脑洞大开,各种科技设定可圈可点,例如太空电梯,数字生命,地球发动机,量子计算机,人工智能等。但是作为互联网从业人员,当我看到其中刘德华故事线中大篇幅的关于“重启互联网”的故事情节,身上就难免有一些做痒。
看完电影之后,再翻看影评有对流浪地球2科技设定的讨论,其中就有讨论重启互联网,尤其是关于重启根服务器,又带出网络一波根服务器科普的讨论。笔者在这里希望借着流浪地球2热播的档口,聊聊自己的看法(赤裸裸的蹭热点),同时YY一下如果流浪地球2的导演来找笔者咨询“重启互联网”的技术问题,我又能够提供哪些有价值的建议?
“重启互联网”为什么要重启根服务器?
第一个问题笔者想讨论的是,“重启互联网”中的根服务器是什么根服务器?在观影过程中笔者没注意到具体是什么根服务器,但是当根服务器成功启动,电影有两个画面都显示了 “互联网域解析成功”的字样。这个在互联网专业人士眼中,一般指的是互联网域名解析。笔者也倾向于相信电影中的根服务器大概率是DNS根服务器。
相信流浪地球2的主创团队在设计该情节的时候肯定咨询了互联网相关技术专家,询问互联网有哪些是中心化的基础设施,缺少它就不能运转,价值大到能够让主角牺牲的程度。笔者猜想技术专家们可能指向了域名解析系统(DNS)根服务器。简单说,域名根服务器是一颗树状的层次化域名-IP数据库,查询一个域名的IP就必须从根服务器开始进入。所以DNS根服务器被誉为是互联网的神经中枢,是互联网访问的入口。
为啥重启互联网需要重启根服务器了,新建不行么?由于互联网几乎所有的设备、网络系统、用户都预设了固定的13个DNS根服务器作为域名解析的访问入口,在国内也经常听说谁谁谁在根服务器上搞破坏,就能够让某国某公司从互联网消失的新闻和报道。笔者谨慎估计电影主创团队在这点上受到了一些影响。
互联网是中心化的么?
“重启互联网”情节争议的一个主要原因是互联网中心化的设定。而大部分技术同学认为“真实的互联网是非中心化的分布式的部署方式,不存在绝对中心”。而电影中“重启互联网”情节需要所有国家根服务器都启动,达到100%才能成功。电影中出现了中国北京,日本东京和美国杜勒斯(杜勒斯机场?),有没有别的国家不确定,但确实是“一个也不能少”的情节。这好像与当前互联网的运行现状不符合,也是一些观众看到这里有一些违和的原因。
先不说电影情节的需要,仅从技术角度说,笔者认同互联网(Internet)是网络的网络(network of networks),不存在“绝对的中心”,但是存在“相对的中心”,尤其是在互联网平台型基础设施领域。举个例子,现在大家都用微信聊天,如果哪一天微信突然掉线了,虽然一些联系人还能通过电话,email沟通,但是方便、快捷程度,和一些微信的功能可能都无法使用。所以出于网络互联互通、协作、高效、安全的需要考虑,互联上出现了很多“中心化”的平台和企业,互联网流量也集中在少数大的服务平台上。
就拿笔者熟悉的DNS领域来说,有研究表明在全球排名前10万的流行域名之中,有89%的域名使用了平台型的域名解析服务,这些平台的安全稳定性出现问题,也会导致互联网大规模的故障。所以回到电影中互联网“中心化”的设定,如果重启的如果不是互联网(Internet)而是地球发动机专网(Intranet),或者是某一个关键同步网络(sync network)可能瑕疵就没有那么明显了。
另外开个脑洞,站在科幻电影的角度流浪地球计划的年代是距今30-40年后,DNS根服务器可能已经不再是层次化树形的组织形式,说不定已经用区块链把不同国家以联盟的形式都连接起来。互联网名称与数字地址分配机构ICANN还在不在也不好说了。看电影中我国在联合国的影响力,全球人民都跟着中国流浪地球方案走,那个时候互联网名字空间指定是我国主导了,需要值得信任的大国来启动关键的根服务器~这也不是不可能。
“重启互联网”的架构视角
从互联网架构视角看,重启互联网需要考虑那些方面了?互联网发展至今网络基础设施形成了至少三层结构的互联互通,即物理链路层互通,网络自治域AS互通,域名寻址调度的互通。只有这三层都恢复重启,互联网信息高速公路才算开通,各类应用才能平稳运行。
物理层链路层互通比较好理解,就是我们看得的服务器,网络设备之间需要有物理通路,用光纤、网线连接。笔者猜测电影中需要重启互联网的原因,就是利用地球发动机已有的物理层和网络设备。所以电影中默认,物理链路层已经重启开通。
电影中也提到地球发动机网络都有局域专用网络,重启互联网需要将各个专用局域网络连接起来,用公共的IP地址来进行互通,这就是自治域网络(ASN)之间的互通。不同的ASN网络按照BGP协议建立路由转发,打通IP通路。如下图,AS1,AS2和AS3分别代表三个不同的地球发动机的专有的网络,他们可以按照下图建立BGP协议。其他的地球发动机网络也可以分别和他们建立连接就可以与其他网络互通。
重启了自治域网络的互通,互联网的应用还需要域名寻址调度的互通。域名寻址调度的互通一方面专网中的设备需要能够访问全局的域名系统,用户可以访问DNS的树状的层次化域名系统,这里DNS根服务器作为顶层解析入口的作用至关重要。
注意:电影中没有提到需要修复物理链路(比如海底光缆),也没有提到需要建立网络间路由(专网之间互通),而只是重启根服务器,这说明当初关闭互联网是从DNS根服务器层面来切断互联互通的联系。联想当初俄乌战争期间,乌克兰也希望国际互联网组织通过根服务器切断俄罗斯的互联网。
另外,需要把专网之间连接起来,专有网络内部的私有域名需要转化成公共的域名才能让其他网络用户访问,实现全网的互联互通。例如将AS1网络中abc.local 的域名转换成 abc.AS1.com,或者申请新的顶级域来专门为流浪地球计划使用。影片中出现的域名 500W-IN.PENGINE,有可能就是新增的顶级域名。
通过以上三步的互通,重启互联网就有了基础的设计蓝图。
关于量子计算
在电影中550A/550C/550W量子计算机给我们印象深刻,为流浪地球发动机系统启动,破解无人机系统提供强大算力。那如果在流浪地球具备量子计算能力的背景下谈“重启互联网”还需要有什么技术上的考虑?笔者能想到 只是重启根服务器可能不够,因为不得不考虑可能遇到流浪地球计划反对者的攻击,让根服务器即使正常启动之后也不能正常工作。例如防范DNS解析结果被劫持和投毒的传统DNSSEC签名、传统TLS传输 加密强度可能不够用了,攻击者可以快速破解密钥算法。
跳出电影的视角,笔者观察到现今已经有不少人开始考虑和担心当将来大规模量子计算的发展后,现在广泛使用的加密算法如RSA和ECC会更容易破解。出现了不少后量子时代(POST-QUANTUM )算法的研究和讨论,例如美国在2016年就开始的后量子密码学项目(Post-Quantum Cryptography project),到今天已经更有多轮讨论。对DNS的影响是DNSSEC采用的签名算法。现在后量子算法的一般的做法是通过加大密钥长度和签名长度,增加加密的强度。但是这样会让DNS的UDP应答包更加大,容易丢包,让网络DNS解析不稳定。从这个角度看,未来有连接的DNS over HTTP/TCP/QUIC一定会代替无连接DNS over UDP成为主流,来应对量子计算的影响。
在电影中如果要充分考虑黑客对抗因素,重启互联网不应该仅仅只是重启现有的根服务器,而是替换新的根服务器,或者上传新的加密算法抵御可能的量子攻击。
有哪些建议可以让电影情节不那么违和?
最后YY一下如果电影导演当初来找笔者来咨询“重启互联网”的情节和设定,我可能会给他很多输入。包括别重启互联网了,重建吧,上新设备新的技术;不能再用IPv4,一定是IPv6-only起步;根服务器咱们国家先留几个;中文域名要优先支持咯。。。
但考虑到对剧本不做大的改动,最主要的一个修改建议:“重启互联网”要求所有根服务器必须都成功启动,“一个也不能少”的设定可以适当放松。改成三个主要国家根服务器只要一个成功上线就好,这也是当年雪人项目三方签名的基本原理。具体到电影中可以让美、日都没能成功启动,就中国破除艰难成功启动了。一方面可以弘扬爱国主题,另一方面给互联网设计者一点面子,考虑网络系统冗余设计(redundancy)的原则。
好了,以上是一个互联网从业人员的碎碎念,也蹭个热度~
补充一
文章发出去之后,收到了不少互联网专家朋友的意见。其中有几位专家们对电影中“关闭互联网”的设定有一些质疑。互联网的前身ARPANET当初的设计目标是在战争和极端环境,通过分布式网络、多链路冗余,保证网络的互联互通。互联网理应在流浪地球灾难的背景下发挥作用,但是电影中仅仅因为惧怕黑客攻击或者风险就关闭互联网。为什么不考虑对关键系统安全加固和隔离,引入新技术做好防御,而只是对基础设施“断网”、“脱钩”了之?
所以从这一点来看,还真应该给导演们上上课,电音艺术的背后有对互联网的理解,对人类未来的信心。
补充二
电影科学顾问团成员的一篇 如何评价电影《流浪地球 2》? 里面解释了为了减少“开机风暴”避免大规模DDoS攻击,为了保险起见,需要重启三台根服务器。
其实现实世界中,互联网根服务器不会只有三台,而是有很多名字服务器(NS服务器),当初雪人计划有25台NS服务器。为了负载均衡和增加应答相应速度,每个域名服务器也会在不同的网络位置部署镜像,现在全球有1600+台根服务器。当根服务器启动,会同步数据到全球的镜像。数据会访问最近的镜像,不会直接访问主根服务器,因此不会产生“开机风暴”这样的极端事件。
