（要闻）IP根来了，假IP再难坑你

本篇文章1265字，读完约3分钟

“目前世界上有一种机制和域名根一样重要——IP根正在成型。未来，知识产权的根基将重塑国际互联网治理结构。”在最近举行的第16届中国网络安全年会上，国家域名工程研究中心主任毛伟表示，ip根是一个新概念，有望解决“路由劫持”问题。

那么，到底什么是ip根？在互联网中起什么作用？

Ip根:顶级ip地址验证组织

为了解释ip根，我们必须从ip地址开始。如果把个人电脑比作电话，那么ip地址就相当于电话号码。但现实中有很多假电话号码，导致用户误入歧途，从而带来隐私泄露甚至财产损失的风险。

"然而，我们很久没有形成一个ip地址认证机制."毛伟介绍说，网络攻击者可以利用这个漏洞，假冒他人的ip地址，拦截误导的流量。这种操作被称为“路由劫持”或“路由泄露”，发布虚假ip地址的过程就像是伪基站发布欺诈短信。

如何解决路线劫持问题？毛伟表示，rpki(互联网码号资源公钥基础设施)作为公认的互联网地址安全认证系统解决方案，有望成为下一阶段网络空安全和互联网治理的核心技术。简单来说，rpki证书就像是为ip地址颁发的“认证证书”，通过第三方认证增强了ip地址的安全性和可靠性。

2017年，全球五大ip地址注册机构(rir)和中国互联网络信息中心开始在分配ip地址的同时颁发rpki认证证书，以验证ip地址的分配信息。这些ip地址信息分发和验证机构位于全球ip地址树的“根”。也就是说，ip根是整个ip地址认证系统的入口，也是顶级的ip地址认证机构。

部署应用程序进入了一个关键阶段

这种强认证机制虽然解决了路由劫持的问题，但也带来了新的潜在风险:认证机构出现认证错误怎么办？

2017年，国家域名工程研究中心技术专家和rpki发明人共同起草了国际标准ietf rfc 8211，系统梳理了rpki部署应用后治理结构变化带来的风险和挑战。2018年，国家域名工程研究中心技术专家再次牵头起草国际标准ietf rfc 8416，提出本地认证机制解决方案，避免全球rpki错误数据干扰本地网络运行。

随着这一系列国际标准的不断引入，路由认证和ip根操作的机制日益完善。毛伟认为，目前的认证技术非常成熟，正进入部署和应用的关键阶段。

数据显示，截至2019年6月30日，rpki认证的ip地址数量激增，空 IP v4地址之间的rpki覆盖率达到17%,包括美国的at t、日本的ntt和德国的decix。运营商，以及亚马逊、微软、Facebook等在线内容服务提供商都在中国，华为、中兴、新华等设备制造商已经开始支持基于路由器上rpki数据的路由原点验证。

“目前在全球范围内实施的rpki部署应用程序是一次安全升级，触及了互联网的‘互连基础’，是互联网从‘可用’向‘可信’演变的一个新阶段。”毛伟表示，中国不应缺席这一进程。

毛伟建议，中国的相关单位可以依靠自己的职能定位来发挥积极作用。例如，网络运营商可以升级其ip地址管理系统以支持rpki，并启动基于rpki的试点路由认证；互联网服务提供商可以使用rpki技术来保护他们的关键服务地址。