“當(dāng)前,國際上有一個重要性不亞于域名根的機制——IP根正在形成��。未來�����,IP根或?qū)⒅厮車H互聯(lián)網(wǎng)治理格局��。”在近日舉辦的第16屆中國網(wǎng)絡(luò)安全年會上����,域名國家工程研究中心主任毛偉表示,IP根是個新概念����,它有望解決“路由劫持”問題。
那么����,究竟什么是IP根?它在互聯(lián)網(wǎng)中扮演著什么角色?
IP根:最頂級的IP地址驗證機構(gòu)
要解釋IP根,就要先從IP地址說起�����。如果把個人電腦比作電話���,那么IP地址就相當(dāng)于電話號碼�����?�?涩F(xiàn)實中卻存在很多假冒的電話號碼���,引用戶誤入歧途�,由此帶來隱私泄露甚至財產(chǎn)損失風(fēng)險�����。
“然而長期以來���,我們未形成IP地址認證機制��。”毛偉介紹道�,網(wǎng)絡(luò)攻擊者可利用這一漏洞�,冒充他人的IP地址,截獲誤入歧途的流量���,這一操作被稱為“路由劫持”或“路由泄露”����,發(fā)布假冒IP地址的過程就像偽基站發(fā)布詐騙短信���。
如何解決路由劫持問題?毛偉表示��,RPKI(互聯(lián)網(wǎng)碼號資源公鑰基礎(chǔ)設(shè)施)作為公認的互聯(lián)網(wǎng)地址安全認證體系解決方案�,有望成為下一階段網(wǎng)絡(luò)空間安全和互聯(lián)網(wǎng)治理的核心技術(shù)����。簡單來講,RPKI證書就像為IP地址頒發(fā)的“認證證書”�����,通過對IP地址進行第三方認證�,來增強IP地址的安全性、可靠性���。
2017年�,全球五大IP地址注冊管理機構(gòu)(RIR)及中國互聯(lián)網(wǎng)絡(luò)信息中心�����,開始在分配IP地址時�,同時簽發(fā)RPKI認證證書,用于驗證IP地址的分配信息�����。這些IP地址信息的分配及驗證機構(gòu),處于全球IP地址樹的“根部”���。也就是說����,IP根是整個IP地址認證體系的入口��,是最頂級的IP地址驗證機構(gòu)�����。
部署應(yīng)用進入關(guān)鍵階段
這種強認證機制�,雖然解決了路由劫持問題,但也帶來新的潛在風(fēng)險:如果認證機構(gòu)出現(xiàn)認證錯誤�����,那該怎么辦?
2017年�,域名國家工程研究中心技術(shù)專家和RPKI發(fā)明人聯(lián)合起草了國際標準IETFRFC8211,在技術(shù)上系統(tǒng)梳理了RPKI部署應(yīng)用后治理架構(gòu)改變帶來的風(fēng)險和挑戰(zhàn)����。2018年�,域名國家工程研究中心技術(shù)專家再次牽頭起草了國際標準IETFRFC8416��,提出了本地驗證機制的解決方案���,從而可避免全球RPKI的錯誤數(shù)據(jù)干預(yù)本地網(wǎng)絡(luò)運行��。
這一系列國際標準的不斷推出,使路由認證和IP根運行機制日臻完善�。在毛偉看來,現(xiàn)在的認證技術(shù)已非常成熟���,正進入部署應(yīng)用的關(guān)鍵階段����。
數(shù)據(jù)顯示��,截至2019年6月30日����,被RPKI簽名認證的IP地址數(shù)量呈爆發(fā)式增長趨勢,全球IPv4地址空間的RPKI覆蓋率已達17%��,包括美國的AT&T、日本的NTT����、德國的DECIX等在內(nèi)的運營商,以及亞馬遜�、微軟、臉書等網(wǎng)絡(luò)內(nèi)容服務(wù)商���,都開始依賴RPKI驗證彼此間的通信�。在我國��,華為���、中興���、新華三等設(shè)備制造商也開始在路由器上支持基于RPKI數(shù)據(jù)的路由起源驗證。
“當(dāng)前全球范圍內(nèi)開展的RPKI部署應(yīng)用�����,是一次觸及互聯(lián)網(wǎng)‘互聯(lián)互通根基’的安全升級行動����,是互聯(lián)網(wǎng)由‘可用’向‘可信’演進的新階段。”毛偉說,在這個推進過程中�,中國不應(yīng)該缺位。
為推廣RPKI����,毛偉建議,我國相關(guān)單位可依托其職能定位���,發(fā)揮積極作用��。例如�,網(wǎng)絡(luò)運營商可升級其IP地址管理系統(tǒng)以支持RPKI����,啟動基于RPKI的路由認證試點;互聯(lián)網(wǎng)服務(wù)提供商可使用RPKI技術(shù)����,來保護其關(guān)鍵服務(wù)地址空間。(朱 麗)
關(guān)鍵詞:
IP根
