第二看台
“当前,国际上有一个重要性不亚于域名根的机制——IP根正在形成。未来,IP根或将重塑国际互联网治理格局。”在近日举办的第16届中国网络安全年会上,域名国家工程研究中心主任毛伟表示,IP根是个新概念,它有望解决“路由劫持”问题。
那么,究竟什么是IP根?它在互联网中扮演着什么角色?
IP根:最顶级的IP地址验证机构
要解释IP根,就要先从IP地址说起。如果把个人电脑比作电话,那么IP地址就相当于电话号码。可现实中却存在很多假冒的电话号码,引用户误入歧途,由此带来隐私泄露甚至财产损失风险。
“然而长期以来,我们未形成IP地址认证机制。”毛伟介绍道,网络攻击者可利用这一漏洞,冒充他人的IP地址,截获误入歧途的流量,这一操作被称为“路由劫持”或“路由泄露”,发布假冒IP地址的过程就像伪基站发布诈骗短信。
如何解决路由劫持问题?毛伟表示,RPKI(互联网码号资源公钥基础设施)作为公认的互联网地址安全认证体系解决方案,有望成为下一阶段网络空间安全和互联网治理的核心技术。简单来讲,RPKI证书就像为IP地址颁发的“认证证书”,通过对IP地址进行第三方认证,来增强IP地址的安全性、可靠性。
2017年,全球五大IP地址注册管理机构(RIR)及中国互联网络信息中心,开始在分配IP地址时,同时签发RPKI认证证书,用于验证IP地址的分配信息。这些IP地址信息的分配及验证机构,处于全球IP地址树的“根部”。也就是说,IP根是整个IP地址认证体系的入口,是最顶级的IP地址验证机构。
部署应用进入关键阶段
这种强认证机制,虽然解决了路由劫持问题,但也带来新的潜在风险:如果认证机构出现认证错误,那该怎么办?
2017年,域名国家工程研究中心技术专家和RPKI发明人联合起草了国际标准IETF RFC 8211,在技术上系统梳理了RPKI部署应用后治理架构改变带来的风险和挑战。2018年,域名国家工程研究中心技术专家再次牵头起草了国际标准IETF RFC 8416,提出了本地验证机制的解决方案,从而可避免全球RPKI的错误数据干预本地网络运行。
这一系列国际标准的不断推出,使路由认证和IP根运行机制日臻完善。在毛伟看来,现在的认证技术已非常成熟,正进入部署应用的关键阶段。
数据显示,截至2019年6月30日,被RPKI签名认证的IP地址数量呈爆发式增长趋势,全球IPv4地址空间的RPKI覆盖率已达17%,包括美国的AT&T、日本的NTT、德国的DECIX等在内的运营商,以及亚马逊、微软、脸书等网络内容服务商,都开始依赖RPKI验证彼此间的通信。在我国,华为、中兴、新华三等设备制造商也开始在路由器上支持基于RPKI数据的路由起源验证。
“当前全球范围内开展的RPKI部署应用,是一次触及互联网‘互联互通根基’的安全升级行动,是互联网由‘可用’向‘可信’演进的新阶段。”毛伟说,在这个推进过程中,中国不应该缺位。
为推广RPKI,毛伟建议,我国相关单位可依托其职能定位,发挥积极作用。例如,网络运营商可升级其IP地址管理系统以支持RPKI,启动基于RPKI的路由认证试点;互联网服务提供商可使用RPKI技术,来保护其关键服务地址空间。