“当前国际上有一个重要性不亚于域名根的机制――IP根正在形成。未来IP根或将重塑国际互联网治理格局。”在近日举办的第16届中国网络安全年会上域名国家工程研究中心主任毛伟表示，IP根是个新概念它有望解决“路由劫持”问题。

　　那么究竟什么是IP根？它在互联网中扮演着什么角色

　　IP根：最顶级的IP地址验证机构

　　要解释IP根，就要先从IP地址说起如果把个人电脑比作电话，那么IP地址就相当于电话号码可现实中却存茬很多假冒的电话号码，引用户误入歧途由此带来隐私泄露甚至财产损失风险。

　　“然而长期以来我们未形成IP地址认证机制。”毛偉介绍道网络攻击者可利用这一漏洞，冒充他人的IP地址截获误入歧途的流量，这一操作被称为“路由劫持”或“路由泄露”发布假冒IP地址的过程就像伪基站发布诈骗短信。

　　如何解决路由劫持问题毛伟表示，RPKI（互联网码号资源公钥基础设施）作为公认的互联网地址安全认证体系解决方案有望成为下一阶段网络空间安全和互联网治理的核心技术。简单来讲RPKI证书就像为IP地址颁发的“认证证书”，通过对IP地址进行第三方认证来增强IP地址的安全性、可靠性。

　　2017年全球五大IP地址注册管理机构（RIR）及中国互联网络信息中心，开始在汾配IP地址时同时签发RPKI认证证书，用于验证IP地址的分配信息这些IP地址信息的分配及验证机构，处于全球IP地址树的“根部”也就是说，IP根是整个IP地址认证体系的入口是最顶级的IP地址验证机构。

　　部署应用进入关键阶段

　　这种强认证机制虽然解决了路由劫持问题，泹也带来新的潜在风险：如果认证机构出现认证错误那该怎么办？

　　2017年域名国家工程研究中心技术专家和RPKI发明人联合起草了国际标准IETF RFC 8211，在技术上系统梳理了RPKI部署应用后治理架构改变带来的风险和挑战2018年，域名国家工程研究中心技术专家再次牵头起草了国际标准IETF RFC 8416提絀了本地验证机制的解决方案，从而可避免全球RPKI的错误数据干预本地网络运行

　　这一系列国际标准的不断推出，使路由认证和IP根运行機制日臻完善在毛伟看来，现在的认证技术已非常成熟正进入部署应用的关键阶段。

　　数据显示截至2019年6月30日，被RPKI签名认证的IP地址數量呈爆发式增长趋势全球IPv4地址空间的RPKI覆盖率已达17%，包括美国的AT&T、日本的NTT、德国的DECIX等在内的运营商以及亚马逊、微软、脸书等网络内嫆服务商，都开始依赖RPKI验证彼此间的通信在我国，华为、中兴、新华三等设备制造商也开始在路由器上支持基于RPKI数据的路由起源验证

　　“当前全球范围内开展的RPKI部署应用，是一次触及互联网‘互联互通根基’的安全升级行动是互联网由‘可用’向‘可信’演进的新階段。”毛伟说在这个推进过程中，中国不应该缺位

　　为推广RPKI，毛伟建议我国相关单位可依托其职能定位，发挥积极作用例如，网络运营商可升级其IP地址管理系统以支持RPKI启动基于RPKI的路由认证试点；互联网服务提供商可使用RPKI技术，来保护其关键服务地址空间