IP地址精细化管理系统建设方案研究

韦芹余

江苏省通信管理局

0 引言

IP是Internet Protocol（网际互连协议）的缩写，是TCP/IP体系中的网络层协议，是整个TCP/IP协议族的核心，也是构成互联网的基础。江苏省作为互联网大省，截至2020年底，全省分配使用的IPv4地址已达到2500万，用于LTE终端的IPv6地址9321万，单纯的依靠人力做好一个省份的IP地址管理工作已然不现实，需要建设技术手段来监测全省IP地址分配使用情况，不断提高全省IP地址的完整率、准确率，建立权威IP数据资源库。近年来，随着Hadoop等大数据技术的发展，对海量数据的分析处理已有完备的解决方案，利用大数据技术可以实现对IP地址的精细化管理。

1 IP地址分配管理

1.1 国内IP地址的获取

互联网的IP地址分配是分级进行的。ICANN（IANA）对互联网上的IP地址进行统一的管理，ICANN将地址分配给区域互联网地址注册机构（RIR），RIR负责各自地区的IP地址分配、注册和管理工作。通常RIR会直接或通过当地的国家级互联网注册机构（NIR）将IP地址分配给本地互联网注册机构（LIR），然后由LIR分配给下游的互联网服务提供商或终端用户。目前，全球共有5个RIR，分别是：ARIN（负责北美地区业务）、RIPE NCC（负责欧洲地区业务）、APNIC（负责亚太地区业务）、LACNIC（负责拉丁美洲地区业务）、AfriNIC（负责非洲地区业务）。

工业和信息化部是我国IP地址分配和管理的主管部门，中国互联网络信息中心（CNNIC）是APNIC认定的中国大陆地区唯一的国家互联网注册机构。以CNNIC为召集单位的CNNIC IP地址分配联盟帮助中国大陆地区的相关单位和组织从亚太互联网注册机构（APNIC）申请IP地址。

1.2 IP地址备案管理办法

我国对IP地址的分配使用实行备案管理，工业和信息化部（原信息产业部）制定了《互联网IP地址备案管理办法》，自2005年3月20日起施行。办法对IP地址的分配机构进行了定义，明确了IP地址的监督管理部门、IP地址报备的责任主体、报备的流程、报备的数据字段以及违反规定的罚则。

1.3 IP地址管理的实名制要求

按照《中华人民共和国网络安全法》第二十四条的要求，网络运营者为用户办理网络接入、域名注册服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

各级IP地址管理机构在分配IP地址时，应落实网络实名制要求，保证IP使用单位、使用人信息真实、准确、可溯源。基础电信企业和接入服务企业在为用户办理业务分配IP地址时，应落实实名制要求，强化源头管理，提升实名制验真技术手段，可采用真人视频验证、支付验证、手机短信验证等多种验证方式，筑牢IP地址安全合规使用的防火墙。

2 IP地址管理系统建设目标及系统架构

2.1 项目建设目标

结合IP地址管理工作要求，建设IP地址资源管理系统，每日统计分析基础电信企业和接入服务企业备案的全量IP地址，开发IP地址核查比对、资产的探测、安全风险分析、数据标签等功能模块，实现对IP地址的精细化管理，可快速准确进行IP地址检索。

首先要定义IP地址管理的标准规范和流程，明确核心关注的IP地址数据字段，系统要具有良好的可靠性设计，确保系统稳定运行，避免单点故障；系统应用后无论是软件升级、硬件升级或是数据割接，都要能保证业务持续性。

2.2 项目整体架构

系统采用分层结构设计，主要包括：数据汇入层、数据存储处理层、业务处理层、功能展示层，整体架构如图1所示，各层功能说明如下：

图1 系统整体架构

数据汇入层：开发数据传输接口，数据加密传输，接口连接鉴权，省里的基础电信企业和接入服务企业每日调用接口，将全量IP地址报送。汇入的数据还包括可辅助进行IP地址核查比对的网络安全事件数据、日志数据等。

数据存储处理层：大数据平台根据kafka消息队列进行数据解析入库，存储在presto数据库中，数据处理使用离线spark任务，最终的结果表、统计表保存在大数据平台的presto、tidb库中。

业务处理层：IP基础资源核查比对模块对基础电信企业和接入服务企业上报的IP数据进行分析，核查比对数据中的异常情况，实现IP数据整合、问题IP数据的发现。

功能展示层：系统界面展示IP地址总体概览、IP资源综合管理、数据查询、数据标签管理以及系统管理等功能。

3 IP地址管理系统核心业务介绍

3.1 IP地址核查比对业务逻辑

系统每日对全省全量IP数据核查比对，检测IP地址信息不准确、不规范，IP使用单位信息更新不及时，IP使用未报备、多头报备等问题，形成数据IP核查验证、问题定位、工单下发、处置反馈的闭环管理机制，提高全省IP数据质量。核查比对的逻辑思维导图如图2所示。

图2 核查比对逻辑思维导图

3.2 IP地址数据标签化

目前公有IPv4已分配殆尽，资源非常紧张，IPv4地址可以逐个进行精细化管理。随着IPv6地址的推广使用，对全量IP地址进行全覆盖监测也不现实。IPv6在分配使用上按照地址块进行管理，重点管好现网监测到的实际在用的、活跃的IPv6地址。对IP地址进行画像、数据标签化，按照业务类型分类，根据IP地址开放的端口、通信协议将IP分为：web应用、DSN解析、邮件服务器、数据库服务、ftp服务等类型IP；按照行业分类，根据使用单位所属行业进行统计，将IP分为：金融行业、教育行业、医疗行业、电力行业、工业互联网等类型IP。IP数据标签化后，可以与各行业的大数据进行关联分析，叠加行业应用。

3.3 IP地址资产探测

系统的IP资产探测引擎可具备发现IP资产以及资产的安全属性的能力，支持的资产扫描对象包括网络设备、安全设备、服务器、WEB应用、数据库等对象，发现其资产属性、安全属性等特征和信息。IP资产探测引擎实现对IP资产的扫描以及端口、服务、操作系统的识别，对各类WEB组件以及后台数据库进行探测与识别。

3.4 IP信息变更历史轨迹记录

系统每日对全量IP地址进行统计分析，数据是结构化存储的，生成的IP基准库里无法记录IP变更的历史轨迹。但是在网络安全事件溯源中，一个IP地址以前被哪些单位使用过是非常重要的信息，建立IP历史轨迹很有必要。在对IP地址进行核查比对的过程中，发现IP地址的使用单位等重要信息变更，可以及时记录到IP历史轨迹数据表中，标记更新的内容，建立IP地址全生命周期的管理。

4 结束语

建设IP地址管理系统，对IP进行精细化管理，需要持续跟踪研究电信业务形态、新型技术演进，加强主管部门之间的信息共享、协同联动，可与公安部门、市场监管部门的相关接口进行对接，进一步核验IP地址备案数据的真实性、准确性，建设省级最权威IP地址基准数据库。