作為支撐互聯網“互聯互通”內涵的關鍵協議之一邊界網關協議（BGP），同很多互聯網基礎通信協議（DNS、IP等）一樣，在設計之初並沒有考慮消息真實性問題。互聯網上的路由器在使用BGP彼此交換路由信息的過程中，每個路由器很難辨別消息內容的真偽。大面積斷網等路由劫持成為保障互聯網安全繞不開的話題。

　　為盡可能減少路由劫持的風險，自2000年以來，科技界提出了很多解決方案。目前為國際互聯網社群及工業界所認可的對策，是一種基於RPKI（互聯網碼號資源公鑰基礎設施）的BGP安全擴展方案。RPKI的基本思想是在互聯網碼號資源分配的供給側，基於應用密碼學的簽名機制，來發布可驗証IP地址資源分配信息和授權使用信息。目前，全球五大地址注冊機構（例如亞太互聯網信息中心APNIC、歐洲互聯網信息中心RIPE NCC等）均已經提供基於RPKI的IP地址授權認証服務﹔眾多的骨干網運營商、國家級互聯網交換中心、大型雲服務公司也開始啟動試點，使用RPKI過濾非法路由通告。

　　“面對互聯網路由劫持事件，部署應用RPKI是保障路由安全的基礎。”互聯網域名系統國家工程研究中心（ZDNS）主任毛偉表示， RPKI部署應用，是一次觸及互聯網“互聯互通根基”的安全升級行動，是互聯網由“可用”向“可信”演進的新階段。在這個推進過程中，我國也應積極布局。

　　在毛偉看來，RPKI是一個互聯網碼號資源分配關系延伸出的全球信任體系，將對互聯網基礎資源管理和“互聯互通”控制機制產生重大影響。RPKI的部署還催生出“IP根”服務器的概念，也即RPKI這個認証體系的信任起點，成為互聯網治理的關鍵要素。毛偉稱，為推廣RPKI，我國相關單位可依托其職能定位，發揮積極作用。例如，網絡運營商可升級其IP地址管理系統以支持RPKI，啟動基於RPKI的路由認証試點﹔互聯網服務提供商可使用RPKI技術，來保護其關鍵服務地址空間。

　　RPKI雖然被全球互聯網社群認可，成為增強互聯網路由系統的安全基礎設施，但其自身的安全運行機制也需要提前做好技術儲備。互聯網域名系統國家工程研究中心首席研究員、亞太互聯網信息中心（APNIC）路由安全SIG聯合創始人馬迪認為，RPKI的出現將“剛性的BGP協議風險”逐步遷移到“彈性的RPKI運行風險”。涵蓋“RPKI供給側數據監測”及“RPKI需求側本地化控制”在內的RPKI安全保障機制，是RPKI范疇新的頂層設計話題，是互聯網社群積極參與並貢獻思路的好機遇。

　　另據了解，互聯網域名系統國家工程研究中心（ZDNS）是通信行業系列標准“RPKI安全運行技術要求”牽頭起草單位，參與單位包括CNCERT、中國電信、中國聯通、中科院信工所、中興通訊等。此外，ZDNS還是目前RPKI驗証系統國際開源項目RPSTIR的牽頭維護單位。

分享讓更多人看到