作为支撑互联网“互联互通”内涵的关键协议之一边界网关协议（BGP），同很多互联网基础通信协议（DNS、IP等）一样，在设计之初并没有考虑消息真实性问题。互联网上的路由器在使用BGP彼此交换路由信息的过程中，每个路由器很难辨别消息内容的真伪。大面积断网等路由劫持成为保障互联网安全绕不开的话题。

　　为尽可能减少路由劫持的风险，自2000年以来，科技界提出了很多解决方案。目前为国际互联网社群及工业界所认可的对策，是一种基于RPKI（互联网码号资源公钥基础设施）的BGP安全扩展方案。RPKI的基本思想是在互联网码号资源分配的供给侧，基于应用密码学的签名机制，来发布可验证IP地址资源分配信息和授权使用信息。目前，全球五大地址注册机构（例如亚太互联网信息中心APNIC、欧洲互联网信息中心RIPE NCC等）均已经提供基于RPKI的IP地址授权认证服务；众多的骨干网运营商、国家级互联网交换中心、大型云服务公司也开始启动试点，使用RPKI过滤非法路由通告。

　　“面对互联网路由劫持事件，部署应用RPKI是保障路由安全的基础。”互联网域名系统国家工程研究中心（ZDNS）主任毛伟表示， RPKI部署应用，是一次触及互联网“互联互通根基”的安全升级行动，是互联网由“可用”向“可信”演进的新阶段。在这个推进过程中，我国也应积极布局。

　　在毛伟看来，RPKI是一个互联网码号资源分配关系延伸出的全球信任体系，将对互联网基础资源管理和“互联互通”控制机制产生重大影响。RPKI的部署还催生出“IP根”服务器的概念，也即RPKI这个认证体系的信任起点，成为互联网治理的关键要素。毛伟称，为推广RPKI，我国相关单位可依托其职能定位，发挥积极作用。例如，网络运营商可升级其IP地址管理系统以支持RPKI，启动基于RPKI的路由认证试点；互联网服务提供商可使用RPKI技术，来保护其关键服务地址空间。

　　RPKI虽然被全球互联网社群认可，成为增强互联网路由系统的安全基础设施，但其自身的安全运行机制也需要提前做好技术储备。互联网域名系统国家工程研究中心首席研究员、亚太互联网信息中心（APNIC）路由安全SIG联合创始人马迪认为，RPKI的出现将“刚性的BGP协议风险”逐步迁移到“弹性的RPKI运行风险”。涵盖“RPKI供给侧数据监测”及“RPKI需求侧本地化控制”在内的RPKI安全保障机制，是RPKI范畴新的顶层设计话题，是互联网社群积极参与并贡献思路的好机遇。

　　另据了解，互联网域名系统国家工程研究中心（ZDNS）是通信行业系列标准“RPKI安全运行技术要求”牵头起草单位，参与单位包括CNCERT、中国电信、中国联通、中科院信工所、中兴通讯等。此外，ZDNS还是目前RPKI验证系统国际开源项目RPSTIR的牵头维护单位。

(责编：乔雪峰、夏晓伦)

人民日报客户端下载手机人民网人民视频客户端下载人民智云客户端下载领导留言板客户端下载人民智作

相关专题

推荐阅读

3411亿元！一季度全国减税“成绩单”出炉　　新华社北京4月23日电（记者申铖）记者23日从国家税务总局了解到，随着今年首个季度申报“大征期”结束，一季度减税“成绩单”已经出炉。数据显示，今年一季度，全国累计新增减税3411亿元。 “今年以来，全国税务系统坚决贯彻党中央、国…【详细】

压减数千亿涉企收费举措细则将出　　进一步压减涉企收费的举措正在紧锣密鼓地推进。《经济参考报》记者从业内获悉，当前，相关部门正在密集展开调研，相关减费细则有望近期出台，将为企业减负数千亿元。与此同时，多个部门在陆续公示直属及相关单位的涉企收费目录清单，从国家部门到地方政府…【详细】