RPKI-資源公鑰基礎設施

資源公鑰基礎設施是防止BGP劫持的一種方法。它使用密碼簽名來驗證允許ASN宣佈特定子網。

路由發起授權是RPKI的關鍵組成部分。ROAs只包含幾個條目:ASN、子網和最大長度。然後，ROA經過加密簽名並公開發布。然後，任何路由器都可以使用ROA來驗證某個特定公告是由IP空間的所有者授權的。

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

宣告ASAS64496被授權宣佈192.0.2.0/24和任何小於/29s的小子網。


與此相反，下面只允許AS64496準確地宣佈192.0.2.0/24。這個範圍內的小子網將不被允許。

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

成熟提供了一種公共服務，您可以在其中查詢個人ROAs。


VPS每晚都會檢查每個客戶子網的RPKI狀態。您可以在這裡檢視狀態。這裡有幾個不同的州:


有效:我們能夠驗證ASN/prefix對的ROA存在。這是你想要的狀態。

未知:給定字首不存在ROA。這就是你將看到的絕大多數空間。你一般不會看到這個狀態有任何問題，因為現在沒有任何isp真正要求RPKI。

這些狀態可能導致您的IP空間對internet的各個部分不可用，並且應該得到糾正。值得注意的是，您可能無法使用無效的RPKI簽名從IP空間訪問Cloudflare:


無效的ASN:這個字首至少有一個ROA存在，但是沒有一個ASNs匹配您的帳戶的配置。如果您使用的是私有ASN，那麼ROAs應該列出我們的ASN(20473)。

無效的字首長度:我們發現一個與這個字首/ASN匹配的ROA，但是最大允許的字首長度是不正確的。這通常意味著您需要發出一個新的ROA，最大字首長度設定為IPv4的24或IPv6的48。您還可以為較小的字首發出新的ROA。

RPKI可以透過您的加入設定。只有IP空間的所有者才能管理RPKI ROAs。如果您正在租用IP空間，您需要聯絡您租用的公司，以協助配置RPKI。