互聯(lián)網(wǎng)作為當(dāng)今社會最重要的信息基礎(chǔ)設(shè)施，極大提高了人類社會生產(chǎn)以及生活的效率，但惡意攻擊、網(wǎng)絡(luò)釣魚以及垃圾郵件等現(xiàn)象表明互聯(lián)網(wǎng)并非是足夠安全的系統(tǒng)，互聯(lián)網(wǎng)的不可信因素降低了互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的應(yīng)用價(jià)值，成為阻礙互聯(lián)網(wǎng)進(jìn)一步蓬勃發(fā)展的桎梏。為了解決互聯(lián)網(wǎng)的安全問題，工業(yè)界提出了很多修修補(bǔ)補(bǔ)的措施，針對具體應(yīng)用提出了對策，例如反網(wǎng)絡(luò)釣魚技術(shù)、反垃圾郵件技術(shù)等。但是這些對策頭痛醫(yī)頭、腳痛醫(yī)腳，一方面難以對新的安全隱患做出及時(shí)反應(yīng)，另一方面提供的安全程度也非常有限。究其原因，互聯(lián)網(wǎng)尚沒有建立一個(gè)可信的命名及尋址資源授權(quán)認(rèn)證體系。伴隨著RPKI（互聯(lián)網(wǎng)基礎(chǔ)資源公鑰證書體系，RFC 6480）在全球的逐步推廣與部署，互聯(lián)網(wǎng)的碼號資源（IPv4地址、IPv6地址以及自治域號）的授權(quán)關(guān)系可以經(jīng)由一個(gè)權(quán)威體系認(rèn)證。得益于RPKI提供的碼號資源認(rèn)證功能，構(gòu)建“從可用到可信”的互聯(lián)網(wǎng)具備了可靠的基石。

       很多反垃圾郵件技術(shù)和反釣魚技術(shù)運(yùn)行的前提是IP地址和物理機(jī)器具有正確的綁定關(guān)系，一旦發(fā)生了路由劫持（IP地址被盜用），很多安全技術(shù)將會失去運(yùn)行的基礎(chǔ)。例如，對于網(wǎng)絡(luò)釣魚，一旦攻擊者劫持了目標(biāo)網(wǎng)站的IP地址（IP地址前綴），盡管用戶看到的網(wǎng)址（域名）和服務(wù)器IP地址都是正確的，但提供內(nèi)容的真實(shí)主機(jī)卻不是該域名和IP地址的真正配置對象。因此，對于由路由劫持導(dǎo)致的網(wǎng)絡(luò)釣魚以及垃圾郵件投送，相關(guān)安全技術(shù)無法從域名和IP地址范疇進(jìn)行預(yù)警，給防范工作帶來了很大的難度。

       RPKI是一項(xiàng)由IETF主導(dǎo)研發(fā)的用于保障互聯(lián)網(wǎng)碼號資源（IP地址、AS號）分配信息真實(shí)性的技術(shù)，適用于IPv4和IPv6兩個(gè)地址空間?；赗PKI認(rèn)證體系，IP地址的持有者可以發(fā)布一種稱為ROA（Route Origin Attestation）的簽名對象，將IP地址前綴授權(quán)給特定的AS進(jìn)行路由通告。也即，ROA反映了IP地址前綴和AS號之間的綁定關(guān)系。與此同時(shí)，網(wǎng)絡(luò)運(yùn)營商通過域間路由系統(tǒng)流動的BGP消息交換，也得到了一個(gè)IP地址前綴和其“當(dāng)前”路由起源AS號的映射關(guān)系，謂之“互聯(lián)網(wǎng)路由注冊數(shù)據(jù)庫”（Internet Routing Registry, IRR）。由于“路由劫持”的風(fēng)險(xiǎn)，雖然IRR提供的信息客觀存在，但I(xiàn)P地址持有者可能并沒有將自己的IP地址前綴授權(quán)給IRR所反映的AS進(jìn)行路由通告。二者之間信息的對比，為檢測路由劫持（IP地址偽造）提供了預(yù)警。

       通過對比IRR和ROA，相關(guān)終端設(shè)備上的軟件可以檢測出潛在的釣魚網(wǎng)站和垃圾郵件發(fā)送者。具體到反網(wǎng)絡(luò)釣魚范疇，F(xiàn)irefox瀏覽器開始支持基于RPKI的釣魚網(wǎng)站預(yù)警機(jī)制（https://addons.mozilla.org/zh-cn/firefox/addon/rpki-validator/）。根據(jù)網(wǎng)站服務(wù)器的IP地址，F(xiàn)irefox瀏覽器向IRR數(shù)據(jù)庫發(fā)起查詢，獲得該IP地址所歸屬的IP地址前綴的路由起源（AS號），然后比較該AS號與RPKI提供的ROA所反映的AS號是否一致。如果一致，則說明路由通告正確，是否出現(xiàn)網(wǎng)絡(luò)釣魚可以透過其他技術(shù)進(jìn)一步檢測；如果不一致，則說明發(fā)生了路由劫持，該網(wǎng)站不可信任，無需再啟用反釣魚檢測機(jī)制，直接向用戶示警。

       類似地，如果郵件服務(wù)器在接收郵件時(shí)，比較對端服務(wù)器IP地址在IRR和ROA兩個(gè)數(shù)據(jù)來源的差異，便可判斷對端郵件服務(wù)器的真實(shí)性。如果對端服務(wù)器IP地址在IRR和ROA中的信息不一致，說明對端郵件發(fā)送服務(wù)器使用的IP地址系劫持所得，即使該IP地址在白名單之中，也不能按照白名單策略處理，而應(yīng)根據(jù)本地的安全策略進(jìn)行后續(xù)處理。

       RPKI所提供的ROA簽名對象的直接應(yīng)用是，向域間路由系統(tǒng)的BGP路由器提供路由決策的參考。然而，由于ROA并非強(qiáng)制接收的信息，因此路由劫持仍有可能發(fā)生。但是，如果互聯(lián)網(wǎng)終端程序（瀏覽器、郵件接收服務(wù)器等）可以積極地使用ROA，則可以避免路由劫持導(dǎo)致的危害。盡管ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）計(jì)劃在全球部署RPKI的初衷是構(gòu)建安全的域間路由系統(tǒng)，但是RPKI所提供的互聯(lián)網(wǎng)碼號認(rèn)證機(jī)制，將來可能會在互聯(lián)網(wǎng)應(yīng)用層安全范疇發(fā)揮更大作用，我們拭目以待。（文/CNNIC 馬迪）