IP根来了，假IP再难坑你

　　在近日举办的第16届中国网络安全年会上，域名国家工程研究中心主任毛伟表示，IP根是个新概念，它有望解决“路由劫持”问题。

　　那么，究竟什么是IP根?它在互联网中扮演着什么角色?

　　IP根：最顶级的IP地址验证机构

　　要解释IP根，就要先从IP地址说起。如果把个人电脑比作电话，那么IP地址就相当于电话号码。可现实中却存在很多假冒的电话号码，引用户误入歧途，由此带来隐私泄露甚至财产损失风险。

　　“然而长期以来，我们未形成IP地址认证机制。”毛伟介绍道，网络攻击者可利用这一漏洞，冒充他人的IP地址，截获误入歧途的流量，这一操作被称为“路由劫持”或“路由泄露”，发布假冒IP地址的过程就像伪基站发布诈骗短信。

　　如何解决路由劫持问题?毛伟表示，RPKI(互联网码号资源公钥基础设施)作为公认的互联网地址安全认证体系解决方案，有望成为下一阶段网络空间安全和互联网治理的核心技术。简单来讲，RPKI证书就像为IP地址颁发的“认证证书”，通过对IP地址进行第三方认证，来增强IP地址的安全性、可靠性。

　　2017年，全球五大IP地址注册管理机构(RIR)及中国互联网络信息中心，开始在分配IP地址时，同时签发RPKI认证证书，用于验证IP地址的分配信息。这些IP地址信息的分配及验证机构，处于全球IP地址树的“根部”。也就是说，IP根是整个IP地址认证体系的入口，是最顶级的IP地址验证机构。

　　部署应用进入关键阶段

　　这种强认证机制，虽然解决了路由劫持问题，但也带来新的潜在风险：如果认证机构出现认证错误，那该怎么办?

　　2017年，域名国家工程研究中心技术专家和RPKI发明人联合起草了国际标准IETFRFC8211，在技术上系统梳理了RPKI部署应用后治理架构改变带来的风险和挑战。2018年，域名国家工程研究中心技术专家再次牵头起草了国际标准IETFRFC8416，提出了本地验证机制的解决方案，从而可避免全球RPKI的错误数据干预本地网络运行。

　　这一系列国际标准的不断推出，使路由认证和IP根运行机制日臻完善。在毛伟看来，现在的认证技术已非常成熟，正进入部署应用的关键阶段。

　　数据显示，截至2019年6月30日，被RPKI签名认证的IP地址数量呈爆发式增长趋势，全球IPv4地址空间的RPKI覆盖率已达17%，包括美国的AT&T、日本的NTT、德国的DECIX等在内的运营商，以及亚马逊、微软、脸书等网络内容服务商，都开始依赖RPKI验证彼此间的通信。在我国，华为、中兴、新华三等设备制造商也开始在路由器上支持基于RPKI数据的路由起源验证。

　　“当前全球范围内开展的RPKI部署应用，是一次触及互联网‘互联互通根基’的安全升级行动，是互联网由‘可用’向‘可信’演进的新阶段。”毛伟说，在这个推进过程中，中国不应该缺位。

　　为推广RPKI，毛伟建议，我国相关单位可依托其职能定位，发挥积极作用。例如，网络运营商可升级其IP地址管理系统以支持RPKI，启动基于RPKI的路由认证试点;互联网服务提供商可使用RPKI技术，来保护其关键服务地址空间。