毛伟：“IP根”重塑国际互联网治理格局

　　“当前，国际上有一个重要性不亚于域名根的机制——IP根正在形成和推进。IP根比域名系统更底层、更基础。未来，IP根很有可能重塑国际互联网治理格局，引导互联网地址系统从树状结构演化为森林体系，推进互联网的共享共治。由于历史原因，中国没有域名根，这是我们心中的痛。这次我们要抓住机会，不能再错过IP根。”域名国家工程研究中心(ZDNS)主任毛伟在第十六届中国网络安全年会上发出呼吁。

　　互联网上“伪基站”催生IP根机制

　　毛伟介绍，作为互联网通信基础的路由协议BGP(边界网关协议)，一直以来存在着一个重大安全漏洞——对IP地址缺乏认证机制。网络攻击者可以利用这一漏洞，对外冒充广播他人的IP地址，从而截获误入歧途的流量，这在技术上被称为“路由劫持”或“路由泄露”，形象的比喻就是互联网通信中的“伪基站”。

　　当前网络攻击事件主要就是域名和路由劫持。这一路由安全漏洞，对网络安全形成了重大威胁。2017年8月25日，谷歌在日本发生路由泄露，导致日本大范围断网约1小时。2018年4月24日，亚马逊域名权威服务器遭到路由劫持，攻击者将数字货币用户的域名请求劫持到一个伪造的域名权威服务器，并返回虚假IP地址，从而盗取用户的用户名和密码。该一劫持事件波及了澳洲、美国等地区。

　　在这种背景下，RPKI(互联网码号资源公钥基础设施)作为公认的互联网地址安全认证体系解决方案，成为下一阶段网络空间安全和互联网治理的核心技术。简单来讲，RPKI证书就像为IP地址颁发“不动产证”，通过对IP地址进行第三方认证，来增强IP地址的安全性、可靠性。2010年1月27日，互联网体系结构委员会(IAB)发表声明：RPKI是提升互联网路由安全水平的前提。

　　近年来，RPKI相关的一系列国际技术标准已陆续由IETF发布，国际上相关的工作机制也开始运作。2017年，全球五大IP地址注册管理机构(RIR)，以及我国的中国互联网络信息中心(CNNIC)，开始在分配IP地址时，同时签发RPKI认证证书。

　　IP在使用时将通过RPKI验证机构进行证书验证。每一个负责IP地址验证的机构，就相当于一个根的管理机构，这就是“IP根”的概念。

　　数据显示，被RPKI签名认证的IP地址呈现爆发式增长，全球IPv4地址空间的RPKI覆盖率目前已达到17%，包括美国的AT&T、日本的NTT、德国的DECIX等在内的运营商，以及亚马逊、微软、Facebook等网络内容服务商，都越来越多地依赖RPKI验证彼此间的通信。在我国，华为、中兴、新华三等设备制造商也开始在路由器上支持基于RPKI数据的路由起源验证。

　　从“单树”到“森林”，IP根重塑国际互联网治理格局

　　2017年，全球五大IP地址注册管理机构(RIR)发表联合声明，宣布部署“RPKI联合信任锚点”，而非采用ICANN单一入口方式进行IP地址认证。2018年，互联网体系结构委员会(IAB)发表声明，支持五大RIR采用彼此同步IP地址认证信息。

　　毛伟认为，IP根的出现，给互联网治理格局带来了翻天覆地的变化，国际利益格局也将随之重新调整。IP根不断演进，很有可能会引导全球互联网治理脱离类似域名系统的集权式的树状结构，向分权式的森林体系演进，实现共享共治。

　　对互联网路由的认证，实际上就是从底层对互联网的控制。历史上发生过IP地址撤销事件。2011年11月，美国FBI通过让荷兰警方执行美国法院决议，要求在荷兰的欧洲互联网信息中心撤销涉及域名攻击的IP地址。

　　这种强认证机制，虽然解决了路由安全认证问题，但也带来新的潜在风险。如果认证机构有意或无意出错怎么办？2017年域名国家工程研究中心(ZDNS)技术专家和RPKI发明人联合起草了IETF RFC 8211，在技术上系统梳理了RPKI部署应用后治理架构改变带来的风险和挑战。2018年，域名国家工程研究中心(ZDNS)技术专家再次牵头起草了国际标准IETF RFC 8416，提出了本地验证机制的解决方案，从而可以避免全球RPKI的错误数据干预到本地网络的运行。这一系列国际标准的不断推出，使路由认证和IP根运行机制日臻完善。

　　加快IP根部署应用，推动互联网共享共治

　　毛伟认为，当前全球范围内开展的RPKI部署应用，是一次触及互联网“互联互通根基”的安全升级进程，是互联网由“可用”向“可信”演进的新阶段。目前IP根的机制，国际上正在形成和推进。在这个推进过程中，中国不能错过这个机会，应该积极发挥作用，体现互联网大国对国际社会的贡献。

　　为了趋利避害、因势利导地应用RPKI，毛伟建议我国的相关单位可以依托其职能定位，发挥积极作用。例如，对于网络运营商，建议升级IP地址管理系统以支持RPKI，启动基于RPKI的路由认证试点；对于互联网服务提供商，建议使用RPKI技术来保护关键服务地址空间；对于网络设备制造商，建议路由器全面支持RPKI数据查询协议。

　　为了提升RPKI系统运维人员的工作效率和安全管理水平，域名国家工程研究中心(ZDNS)打造了RPKI数据监控分析平台，还牵头维护亚太地区唯一的RPKI验证软件国际开源项目RPSTIR，协助国内某运营商部署了中国首个RPKI数据验证及分发系统，推动该项核心技术在中国乃至亚太地区的推广。

　　毛伟表示，中国错过了域名根，当前的IP根，重要性和价值不亚于域名根，我们当引起足够重视，要抓住这个机会，履行中国作为互联网大国的责任和义务，积极推动在IP根的部署过程中实现互联互通、共享共治，共同构建健康和谐的网络空间命运共同体。

　　2019(第十六届)中国网络安全年会，是由国家网信办指导、国家计算机网络应急技术处理协调中心主办，7月17日-18日在广州举行。网络安全年会是国内网络安全“产、学、研、用”各界交流技术和业务的重要桥梁和纽带。其汇聚了来自政府、重要信息系统单位、网络安全企业、科研院校等组织的领导、院士专家、企业家等业界人士探讨新问题、挖掘新思路，引领行业发展方向。