“當前,國際上有一個重要性不亞于域名根的機制——IP根正在形成����。未來,IP根或將重塑國際互聯(lián)網治理格局��。”在近日舉辦的第16屆中國網絡安全年會上�,域名國家工程研究中心主任毛偉表示,IP根是個新概念����,它有望解決“路由劫持”問題。
那么���,究竟什么是IP根?它在互聯(lián)網中扮演著什么角色?
IP根:最頂級的IP地址驗證機構
要解釋IP根�����,就要先從IP地址說起����。如果把個人電腦比作電話,那么IP地址就相當于電話號碼���。可現(xiàn)實中卻存在很多假冒的電話號碼����,引用戶誤入歧途,由此帶來隱私泄露甚至財產損失風險��。
“然而長期以來�,我們未形成IP地址認證機制。”毛偉介紹道�,網絡攻擊者可利用這一漏洞,冒充他人的IP地址�����,截獲誤入歧途的流量��,這一操作被稱為“路由劫持”或“路由泄露”��,發(fā)布假冒IP地址的過程就像偽基站發(fā)布詐騙短信��。
如何解決路由劫持問題?毛偉表示,RPKI(互聯(lián)網碼號資源公鑰基礎設施)作為公認的互聯(lián)網地址安全認證體系解決方案�����,有望成為下一階段網絡空間安全和互聯(lián)網治理的核心技術��。簡單來講����,RPKI證書就像為IP地址頒發(fā)的“認證證書”,通過對IP地址進行第三方認證�,來增強IP地址的安全性、可靠性�����。
2017年���,全球五大IP地址注冊管理機構(RIR)及中國互聯(lián)網絡信息中心��,開始在分配IP地址時��,同時簽發(fā)RPKI認證證書��,用于驗證IP地址的分配信息�����。這些IP地址信息的分配及驗證機構�����,處于全球IP地址樹的“根部”�����。也就是說����,IP根是整個IP地址認證體系的入口�,是最頂級的IP地址驗證機構。
部署應用進入關鍵階段
這種強認證機制�,雖然解決了路由劫持問題,但也帶來新的潛在風險:如果認證機構出現(xiàn)認證錯誤���,那該怎么辦?
2017年��,域名國家工程研究中心技術專家和RPKI發(fā)明人聯(lián)合起草了國際標準IETFRFC8211�,在技術上系統(tǒng)梳理了RPKI部署應用后治理架構改變帶來的風險和挑戰(zhàn)�����。2018年,域名國家工程研究中心技術專家再次牽頭起草了國際標準IETFRFC8416��,提出了本地驗證機制的解決方案��,從而可避免全球RPKI的錯誤數(shù)據干預本地網絡運行����。
這一系列國際標準的不斷推出,使路由認證和IP根運行機制日臻完善����。在毛偉看來,現(xiàn)在的認證技術已非常成熟����,正進入部署應用的關鍵階段。
數(shù)據顯示���,截至2019年6月30日����,被RPKI簽名認證的IP地址數(shù)量呈爆發(fā)式增長趨勢,全球IPv4地址空間的RPKI覆蓋率已達17%�,包括美國的AT&T、日本的NTT�����、德國的DECIX等在內的運營商��,以及亞馬遜�����、微軟�、臉書等網絡內容服務商,都開始依賴RPKI驗證彼此間的通信����。在我國����,華為、中興�����、新華三等設備制造商也開始在路由器上支持基于RPKI數(shù)據的路由起源驗證��。
“當前全球范圍內開展的RPKI部署應用,是一次觸及互聯(lián)網‘互聯(lián)互通根基’的安全升級行動�,是互聯(lián)網由‘可用’向‘可信’演進的新階段。”毛偉說�,在這個推進過程中,中國不應該缺位����。
為推廣RPKI,毛偉建議�,我國相關單位可依托其職能定位,發(fā)揮積極作用�����。例如���,網絡運營商可升級其IP地址管理系統(tǒng)以支持RPKI�����,啟動基于RPKI的路由認證試點;互聯(lián)網服務提供商可使用RPKI技術��,來保護其關鍵服務地址空間�����。(朱 麗)
關鍵詞:
IP根
