“當(dāng)前����,國(guó)際上有一個(gè)重要性不亞于域名根的機(jī)制——IP根正在形成�。未來(lái)��,IP根或?qū)⒅厮車(chē)?guó)際互聯(lián)網(wǎng)治理格局�����。”在近日舉辦的第16屆中國(guó)網(wǎng)絡(luò)安全年會(huì)上����,域名國(guó)家工程研究中心主任毛偉表示����,IP根是個(gè)新概念����,它有望解決“路由劫持”問(wèn)題。
那么�,究竟什么是IP根?它在互聯(lián)網(wǎng)中扮演著什么角色?
IP根:最頂級(jí)的IP地址驗(yàn)證機(jī)構(gòu)
要解釋IP根,就要先從IP地址說(shuō)起�。如果把個(gè)人電腦比作電話,那么IP地址就相當(dāng)于電話號(hào)碼�����?���?涩F(xiàn)實(shí)中卻存在很多假冒的電話號(hào)碼,引用戶誤入歧途����,由此帶來(lái)隱私泄露甚至財(cái)產(chǎn)損失風(fēng)險(xiǎn)。
“然而長(zhǎng)期以來(lái)�����,我們未形成IP地址認(rèn)證機(jī)制。”毛偉介紹道���,網(wǎng)絡(luò)攻擊者可利用這一漏洞��,冒充他人的IP地址��,截獲誤入歧途的流量�,這一操作被稱為“路由劫持”或“路由泄露”��,發(fā)布假冒IP地址的過(guò)程就像偽基站發(fā)布詐騙短信��。
如何解決路由劫持問(wèn)題?毛偉表示���,RPKI(互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施)作為公認(rèn)的互聯(lián)網(wǎng)地址安全認(rèn)證體系解決方案��,有望成為下一階段網(wǎng)絡(luò)空間安全和互聯(lián)網(wǎng)治理的核心技術(shù)。簡(jiǎn)單來(lái)講�����,RPKI證書(shū)就像為IP地址頒發(fā)的“認(rèn)證證書(shū)”����,通過(guò)對(duì)IP地址進(jìn)行第三方認(rèn)證����,來(lái)增強(qiáng)IP地址的安全性��、可靠性��。
2017年�,全球五大IP地址注冊(cè)管理機(jī)構(gòu)(RIR)及中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心,開(kāi)始在分配IP地址時(shí)�����,同時(shí)簽發(fā)RPKI認(rèn)證證書(shū)�,用于驗(yàn)證IP地址的分配信息。這些IP地址信息的分配及驗(yàn)證機(jī)構(gòu)��,處于全球IP地址樹(shù)的“根部”��。也就是說(shuō)��,IP根是整個(gè)IP地址認(rèn)證體系的入口���,是最頂級(jí)的IP地址驗(yàn)證機(jī)構(gòu)�。
部署應(yīng)用進(jìn)入關(guān)鍵階段
這種強(qiáng)認(rèn)證機(jī)制,雖然解決了路由劫持問(wèn)題�,但也帶來(lái)新的潛在風(fēng)險(xiǎn):如果認(rèn)證機(jī)構(gòu)出現(xiàn)認(rèn)證錯(cuò)誤,那該怎么辦?
2017年�,域名國(guó)家工程研究中心技術(shù)專家和RPKI發(fā)明人聯(lián)合起草了國(guó)際標(biāo)準(zhǔn)IETFRFC8211,在技術(shù)上系統(tǒng)梳理了RPKI部署應(yīng)用后治理架構(gòu)改變帶來(lái)的風(fēng)險(xiǎn)和挑戰(zhàn)����。2018年,域名國(guó)家工程研究中心技術(shù)專家再次牽頭起草了國(guó)際標(biāo)準(zhǔn)IETFRFC8416�,提出了本地驗(yàn)證機(jī)制的解決方案,從而可避免全球RPKI的錯(cuò)誤數(shù)據(jù)干預(yù)本地網(wǎng)絡(luò)運(yùn)行�����。
這一系列國(guó)際標(biāo)準(zhǔn)的不斷推出��,使路由認(rèn)證和IP根運(yùn)行機(jī)制日臻完善���。在毛偉看來(lái)�����,現(xiàn)在的認(rèn)證技術(shù)已非常成熟,正進(jìn)入部署應(yīng)用的關(guān)鍵階段�。
數(shù)據(jù)顯示,截至2019年6月30日�,被RPKI簽名認(rèn)證的IP地址數(shù)量呈爆發(fā)式增長(zhǎng)趨勢(shì),全球IPv4地址空間的RPKI覆蓋率已達(dá)17%,包括美國(guó)的AT&T���、日本的NTT�����、德國(guó)的DECIX等在內(nèi)的運(yùn)營(yíng)商��,以及亞馬遜��、微軟�����、臉書(shū)等網(wǎng)絡(luò)內(nèi)容服務(wù)商����,都開(kāi)始依賴RPKI驗(yàn)證彼此間的通信���。在我國(guó)��,華為���、中興���、新華三等設(shè)備制造商也開(kāi)始在路由器上支持基于RPKI數(shù)據(jù)的路由起源驗(yàn)證。
“當(dāng)前全球范圍內(nèi)開(kāi)展的RPKI部署應(yīng)用�,是一次觸及互聯(lián)網(wǎng)‘互聯(lián)互通根基’的安全升級(jí)行動(dòng),是互聯(lián)網(wǎng)由‘可用’向‘可信’演進(jìn)的新階段����。”毛偉說(shuō),在這個(gè)推進(jìn)過(guò)程中�����,中國(guó)不應(yīng)該缺位�。
為推廣RPKI,毛偉建議�,我國(guó)相關(guān)單位可依托其職能定位,發(fā)揮積極作用�。例如,網(wǎng)絡(luò)運(yùn)營(yíng)商可升級(jí)其IP地址管理系統(tǒng)以支持RPKI���,啟動(dòng)基于RPKI的路由認(rèn)證試點(diǎn);互聯(lián)網(wǎng)服務(wù)提供商可使用RPKI技術(shù)����,來(lái)保護(hù)其關(guān)鍵服務(wù)地址空間。(朱 麗)
關(guān)鍵詞:
IP根
