毛偉:“IP根”重塑國際互聯網治理格局

遼東信息港 劉 欣2019-07-18 17:12:10
瀏覽

  “當前,國際上有一個重要性不亞于域名根的機制——IP根正在形成和推進。IP根比域名系統更底層、更基礎。未來,IP根很有可能重塑國際互聯網治理格局,引導互聯網地址系統從樹狀結構演化為森林體系,推進互聯網的共享共治。由于歷史原因,中國沒有域名根,這是我們心中的痛。這次我們要抓住機會,不能再錯過IP根。”域名國家工程研究中心(ZDNS)主任毛偉在第十六屆中國網絡安全年會上發出呼吁。

  互聯網上“偽基站”催生IP根機制

  毛偉介紹,作為互聯網通信基礎的路由協議BGP(邊界網關協議),一直以來存在著一個重大安全漏洞——對IP地址缺乏認證機制。網絡攻擊者可以利用這一漏洞,對外冒充廣播他人的IP地址,從而截獲誤入歧途的流量,這在技術上被稱為“路由劫持”或“路由泄露”,形象的比喻就是互聯網通信中的“偽基站”。

  當前網絡攻擊事件主要就是域名和路由劫持。這一路由安全漏洞,對網絡安全形成了重大威脅。2017年8月25日,谷歌在日本發生路由泄露,導致日本大范圍斷網約1小時。2018年4月24日,亞馬遜域名權威服務器遭到路由劫持,攻擊者將數字貨幣用戶的域名請求劫持到一個偽造的域名權威服務器,并返回虛假IP地址,從而盜取用戶的用戶名和密碼。該一劫持事件波及了澳洲、美國等地區。

  在這種背景下,RPKI(互聯網碼號資源公鑰基礎設施)作為公認的互聯網地址安全認證體系解決方案,成為下一階段網絡空間安全和互聯網治理的核心技術。簡單來講,RPKI證書就像為IP地址頒發“不動產證”,通過對IP地址進行第三方認證,來增強IP地址的安全性、可靠性。2010年1月27日,互聯網體系結構委員會(IAB)發表聲明:RPKI是提升互聯網路由安全水平的前提。

  近年來,RPKI相關的一系列國際技術標準已陸續由IETF發布,國際上相關的工作機制也開始運作。2017年,全球五大IP地址注冊管理機構(RIR),以及我國的中國互聯網絡信息中心(CNNIC),開始在分配IP地址時,同時簽發RPKI認證證書。

  IP在使用時將通過RPKI驗證機構進行證書驗證。每一個負責IP地址驗證的機構,就相當于一個根的管理機構,這就是“IP根”的概念。

  數據顯示,被RPKI簽名認證的IP地址呈現爆發式增長,全球IPv4地址空間的RPKI覆蓋率目前已達到17%,包括美國的AT&T、日本的NTT、德國的DECIX等在內的運營商,以及亞馬遜微軟、Facebook等網絡內容服務商,都越來越多地依賴RPKI驗證彼此間的通信。在我國,華為、中興、新華三等設備制造商也開始在路由器上支持基于RPKI數據的路由起源驗證。

  從“單樹”到“森林”,IP根重塑國際互聯網治理格局

  2017年,全球五大IP地址注冊管理機構(RIR)發表聯合聲明,宣布部署“RPKI聯合信任錨點”,而非采用ICANN單一入口方式進行IP地址認證。2018年,互聯網體系結構委員會(IAB)發表聲明,支持五大RIR采用彼此同步IP地址認證信息。

  毛偉認為,IP根的出現,給互聯網治理格局帶來了翻天覆地的變化,國際利益格局也將隨之重新調整。IP根不斷演進,很有可能會引導全球互聯網治理脫離類似域名系統的集權式的樹狀結構,向分權式的森林體系演進,實現共享共治。

  對互聯網路由的認證,實際上就是從底層對互聯網的控制。歷史上發生過IP地址撤銷事件。2011年11月,美國FBI通過讓荷蘭警方執行美國法院決議,要求在荷蘭的歐洲互聯網信息中心撤銷涉及域名攻擊的IP地址。

  這種強認證機制,雖然解決了路由安全認證問題,但也帶來新的潛在風險。如果認證機構有意或無意出錯怎么辦?2017年域名國家工程研究中心(ZDNS)技術專家和RPKI發明人聯合起草了IETF RFC 8211,在技術上系統梳理了RPKI部署應用后治理架構改變帶來的風險和挑戰。2018年,域名國家工程研究中心(ZDNS)技術專家再次牽頭起草了國際標準IETF RFC 8416,提出了本地驗證機制的解決方案,從而可以避免全球RPKI的錯誤數據干預到本地網絡的運行。這一系列國際標準的不斷推出,使路由認證和IP根運行機制日臻完善。

  加快IP根部署應用,推動互聯網共享共治

  毛偉認為,當前全球范圍內開展的RPKI部署應用,是一次觸及互聯網“互聯互通根基”的安全升級進程,是互聯網由“可用”向“可信”演進的新階段。目前IP根的機制,國際上正在形成和推進。在這個推進過程中,中國不能錯過這個機會,應該積極發揮作用,體現互聯網大國對國際社會的貢獻。

  為了趨利避害、因勢利導地應用RPKI,毛偉建議我國的相關單位可以依托其職能定位,發揮積極作用。例如,對于網絡運營商,建議升級IP地址管理系統以支持RPKI,啟動基于RPKI的路由認證試點;對于互聯網服務提供商,建議使用RPKI技術來保護關鍵服務地址空間;對于網絡設備制造商,建議路由器全面支持RPKI數據查詢協議。