RPKI-資源公鑰基礎設施

資源公鑰基礎設施是防止BGP劫持的一種方法。它使用密碼簽名來驗證允許ASN宣布特定子網。

路由發(fā)起授權是RPKI的關鍵組成部分。ROAs只包含幾個條目:ASN、子網和最大長度。然后，ROA經過加密簽名并公開發(fā)布。然后，任何路由器都可以使用ROA來驗證某個特定公告是由IP空間的所有者授權的。

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 29,
    "ta" : "ARIN"
}

聲明ASAS64496被授權宣布192.0.2.0/24和任何小于/29s的小子網。 與此相反，下面只允許AS64496準確地宣布192.0.2.0/24。這個范圍內的小子網將不被允許。

{
    "asn" : "AS64496",
    "prefix" : "192.0.2.0/24",
    "maxLength" : 24,
    "ta" : "ARIN"
}

成熟提供了一種公共服務，您可以在其中查找個人ROAs。 VPS每晚都會檢查每個客戶子網的RPKI狀態(tài)。您可以在這里查看狀態(tài)。這里有幾個不同的州: 有效:我們能夠驗證ASN/prefix對的ROA存在。這是你想要的狀態(tài)。

未知:給定前綴不存在ROA。這就是你將看到的絕大多數空間。你一般不會看到這個狀態(tài)有任何問題，因為現在沒有任何isp真正要求RPKI。

這些狀態(tài)可能導致您的IP空間對internet的各個部分不可用，并且應該得到糾正。值得注意的是，您可能無法使用無效的RPKI簽名從IP空間訪問Cloudflare: 無效的ASN:這個前綴至少有一個ROA存在，但是沒有一個ASNs匹配您的帳戶的配置。如果您使用的是私有ASN，那么ROAs應該列出我們的ASN(20473)。

無效的前綴長度:我們發(fā)現一個與這個前綴/ASN匹配的ROA，但是最大允許的前綴長度是不正確的。這通常意味著您需要發(fā)出一個新的ROA，最大前綴長度設置為IPv4的24或IPv6的48。您還可以為較小的前綴發(fā)出新的ROA。

RPKI可以通過您的加入設置。只有IP空間的所有者才能管理RPKI ROAs。如果您正在租用IP空間，您需要聯系您租用的公司，以協(xié)助配置RPKI。