當前,國際上有一個重要性不亞於域名根的機制——IP根正在形成。未來,IP根或將重塑國際網際網路治理格局。”在近日舉辦的第16屆中國網路安全年會上,域名國家工程研究中心主任毛偉表示,IP根是個新概念,它有望解決“路由劫持”問題。
那麼,究竟什麼是IP根?它在網際網路中扮演著什麼角色?
IP根:最頂級的IP地址驗證機構
要解釋IP根,就要先從IP地址說起。如果把個人電腦比作電話,那麼IP地址就相當於電話號碼。可現實中卻存在很多假冒的電話號碼,引使用者誤入歧途,由此帶來隱私洩露甚至財產損失風險。
“然而長期以來,我們未形成IP地址認證機制。”毛偉介紹道,網路攻擊者可利用這一漏洞,冒充他人的IP地址,截獲誤入歧途的流量,這一操作被稱為“路由劫持”或“路由洩露”,釋出假冒IP地址的過程就像偽基站釋出詐騙簡訊。
如何解決路由劫持問題?毛偉表示,RPKI(網際網路碼號資源公鑰基礎設施)作為公認的網際網路地址安全認證體系解決方案,有望成為下一階段網路空間安全和網際網路治理的核心技術。簡單來講,RPKI證書就像為IP地址頒發的“認證證書”,通過對IP地址進行第三方認證,來增強IP地址的安全性、可靠性。
2017年,全球五大IP地址註冊管理機構(RIR)及中國網際網路絡資訊中心,開始在分配IP地址時,同時簽發RPKI認證證書,用於驗證IP地址的分配資訊。這些IP地址資訊的分配及驗證機構,處於全球IP地址樹的“根部”。也就是說,IP根是整個IP地址認證體系的入口,是最頂級的IP地址驗證機構。
部署應用進入關鍵階段
這種強認證機制,雖然解決了路由劫持問題,但也帶來新的潛在風險:如果認證機構出現認證錯誤,那該怎麼辦?
2017年,域名國家工程研究中心技術專家和RPKI發明人聯合起草了國際標準IETF RFC 8211,在技術上系統梳理了RPKI部署應用後治理架構改變帶來的風險和挑戰。2018年,域名國家工程研究中心技術專家再次牽頭起草了國際標準IETF RFC 8416,提出了本地驗證機制的解決方案,從而可避免全球RPKI的錯誤資料干預本地網路執行。
這一系列國際標準的不斷推出,使路由認證和IP根執行機制日臻完善。在毛偉看來,現在的認證技術已非常成熟,正進入部署應用的關鍵階段。
資料顯示,截至2019年6月30日,被RPKI簽名認證的IP地址數量呈爆發式增長趨勢,全球IPv4地址空間的RPKI覆蓋率已達17%,包括美國的AT&T、日本的NTT、德國的DECIX等在內的運營商,以及亞馬遜、微軟、臉書等網路內容服務商,都開始依賴RPKI驗證彼此間的通訊。在我國,華為、中興、新華三等裝置製造商也開始在路由器上支援基於RPKI資料的路由起源驗證。
“當前全球範圍內開展的RPKI部署應用,是一次觸及網際網路‘互聯互通根基’的安全升級行動,是網際網路由‘可用’向‘可信’演進的新階段。”毛偉說,在這個推進過程中,中國不應該缺位。
為推廣RPKI,毛偉建議,我國相關單位可依託其職能定位,發揮積極作用。例如,網路運營商可升級其IP地址管理系統以支援RPKI,啟動基於RPKI的路由認證試點;網際網路服務提供商可使用RPKI技術,來保護其關鍵服務地址空間。
來源:科技日報