“當前，國際上有一個重要性不亞於域名根的機制——IP根正在形成。未來，IP根或將重塑國際互聯網治理格局。”在近日舉辦的第16屆中國網絡安全年會上，域名國家工程研究中心主任毛偉表示，IP根是個新概念，它有望解決“路由劫持”問題。

那麼，究竟什麼是IP根？它在互聯網中扮演著什麼角色？

IP根：最頂級的IP地址驗證機構

要解釋IP根，就要先從IP地址說起。如果把個人電腦比作電話，那麼IP地址就相當於電話號碼。可現實中卻存在很多假冒的電話號碼，引用戶誤入歧途，由此帶來隱私洩露甚至財產損失風險。

“然而長期以來，我們未形成IP地址認證機制。”毛偉介紹道，網絡攻擊者可利用這一漏洞，冒充他人的IP地址，截獲誤入歧途的流量，這一操作被稱為“路由劫持”或“路由洩露”，發布假冒IP地址的過程就像偽基站發布詐騙短信。

如何解決路由劫持問題？毛偉表示，RPKI（互聯網碼號資源公鑰基礎設施）作為公認的互聯網地址安全認證體系解決方案，有望成為下一階段網絡空間安全和互聯網治理的核心技術。簡單來講，RPKI證書就像為IP地址頒發的“認證證書”，通過對IP地址進行第三方認證，來增強IP地址的安全性、可靠性。

2017年，全球五大IP地址註冊管理機構（RIR）及中國互聯網絡信息中心，開始在分配IP地址時，同時簽發RPKI認證證書，用於驗證IP地址的分配信息。這些IP地址信息的分配及驗證機構，處於全球IP地址樹的“根部”。也就是說，IP根是整個IP地址認證體系的入口，是最頂級的IP地址驗證機構。

部署應用進入關鍵階段

這種強認證機制，雖然解決了路由劫持問題，但也帶來新的潛在風險：如果認證機構出現認證錯誤，那該怎麼辦？

2017年，域名國家工程研究中心技術專家和RPKI發明人聯合起草了國際標準IETF RFC 8211，在技術上系統梳理了RPKI部署應用後治理架構改變帶來的風險和挑戰。2018年，域名國家工程研究中心技術專家再次牽頭起草了國際標準IETF RFC 8416，提出了本地驗證機制的解決方案，從而可避免全球RPKI的錯誤數據干預本地網絡運行。

這一系列國際標準的不斷推出，使路由認證和IP根運行機制日臻完善。在毛偉看來，現在的認證技術已非常成熟，正進入部署應用的關鍵階段。

數據顯示，截至2019年6月30日，被RPKI簽名認證的IP地址數量呈爆發式增長趨勢，全球IPv4地址空間的RPKI覆蓋率已達17%，包括美國的AT&T、日本的NTT、德國的DECIX等在內的運營商，以及亞馬遜、微軟、臉書等網絡內容服務商，都開始依賴RPKI驗證彼此間的通信。在我國，華為、中興、新華三等設備製造商也開始在路由器上支持基於RPKI數據的路由起源驗證。

“當前全球範圍內開展的RPKI部署應用，是一次觸及互聯網’互聯互通根基’的安全升級行動，是互聯網由’可用’向’可信’演進的新階段。”毛偉說，在這個推進過程中，中國不應該缺位。

為推廣RPKI，毛偉建議，我國相關單位可依託其職能定位，發揮積極作用。例如，網絡運營商可升級其IP地址管理系統以支持RPKI，啟動基於RPKI的路由認證試點；互聯網服務提供商可使用RPKI技術，來保護其關鍵服務地址空間。