當前位置: 華文問答 > 科學

【流浪地球 2】裏的根伺服器為什麽那麽重要?

2023-01-22科學

這個問題我們之前考慮過。

【流浪地球2】裏,為了劇情和過多的概念(現在已經太多了),我們簡化了重新開機互聯網的復雜性。在現實世界裏, 真實的互聯網是非中心化的分布式的部署方式,不存在絕對中心 。根伺服器只是網域名稱解析服務(DNS)的關鍵,如果重新開機全球互聯網,根伺服器只是其中一環。在電影裏,根伺服器其實是 網域名稱解析服務+骨幹路由器 (Tier-1 ISP)的集合體(這個在世界觀設定裏有提到),電影時長問題,沒有進入台詞。這裏可以回答幾個問題:

1. 為什麽是北京,東京和杜勒斯三台?

在最開始設想的時候,我們曾經推理過很多種未來互聯網形態,最後認為在當時IPV4資源池已經耗盡,全球IPV6網絡已經普及,所以基於現實中的「雪人計劃」,我們認為:

IPv6 的 3 台主根伺服器很有可能分別位於中國北京,互聯網絡資訊中心(China Internet Network Information Center,CNNIC),美國杜勒斯(Dulles),和日本東京,其映像遍布全球。根伺服器是下一代網絡裏為數不多的,儲存全量全球路由表的地方(可以理解為一個設定,是一個超大規模水冷伺服器集群)。

如果恢復根伺服器的話,其實一台就夠了。但是考慮到互聯網斷開之前,很可能會有很多正在工作的電腦試圖接入網絡,這會造成「開機風暴」,形成大規模DDoS攻擊。所以,為了保險起見,我們考慮至少需要重新開機三台根伺服器,才能保證發動機並網成功。那既然要重新開機,就優先主根伺服器。

2. 為什麽需要啟動全球互聯網?

因為如果不同步啟動全球發動機,會導致地殼破碎和地質災害,而當時建設全球發動機專用網絡時間已經不夠了(而且太陽風暴導致衛星專網不可用),所以為了在極短時間內同步啟動全球發動機,只好啟用備用計劃--利用原本互聯網裏,已經用網絡切片搭建的發動機專用虛擬網絡來實作(現在的某些高密級軍事網絡就是這樣執行的)。

發動機專用虛擬網絡,又叫做全球發動機子網絡,實體層面上和全球互聯網連線,並透過軟交換構建了全球發動機專用網絡,透過在層間設定更高許可權的防火墻來提高許可權增強安全性。發動機子網絡采用公私鑰體系,其電子秘鑰自動生成。

3. 現在的全球互聯網能重新開機嗎?

在現實世界裏, 真實的互聯網是非中心化的分布式的部署方式,不存在絕對中心

如果骨幹路由/或者營運商的網絡基礎設施壞掉了,那只會影響局部。但是,目前的根伺服器是能夠重新開機的。在上世紀90年代後期,IETF成立了工作群組專門研究DNSSEC安全擴充套件協定(DNS Security Extensions),透過引入公開金鑰技術,依靠數碼簽名保證DNS應答報文的真實性和完整性。

但是這裏有一個問題,DNSSEC根金鑰是全球互聯網DNSSEC信任的錨點,所有需要請求DNS服務的器材都必須設定根金鑰才能讓它正常工作。也就是說,根金鑰必須獲得全球互聯網社群的信任,於是當時考慮引入了 TCRs(互聯網信任社群代表)體系 維護根網域名稱系統的正常運轉

在全球21位社群代表裏,其中7人保存有「恢復金鑰持有人RKSH(Recovery Key share holder)」,來自中國的姚健康博士是其中之一 。RKSH的主要目的是以防止互聯網根網域名稱系統基礎設施遭受淪陷性災難,比如發生意外、戰爭、災難等突發極端事件,導致DNS服務同時不可用。

換一種說法就是,這7人擔當共同重新開機互聯網的重責,媒體曾經有報道說,「開啟互聯網,需要7把鑰匙」,指的就是持有DNSSEC根秘鑰恢復秘鑰的人。如果全球根伺服器均不可用,召集他們中的至少5位就能恢復根金鑰。

當然,電影裏並沒有那麽復雜,只要1個人就行了,他手裏的主要秘鑰也只是為了啟動發動機子網路,僅此而已。

完。