? ? ?互聯網碼號資源公鑰基礎設施（Resource Public Key Infrastructure，RPKI）是一項旨在使互聯網路由基礎設施更安全的PKI框架。通過構建一個公鑰證書體系完成對包括包括IP前綴和AS號在內的互聯網號碼資源（Internet Number Resource，INR）所有權（分配關系）和使用權（路由源授權）的認證。所產生的“認證信息”可進一步用于BGP路由器的路由決策，幫助其驗證BGP報文中路由源AS的真實性，從而防止路由劫持的發生。

? ? ?RPKI體系由三大部分組成：資源公鑰基礎設施（RPKI），數字簽名對象和儲存PKI對象和簽名路由對象的分布式數據倉庫（RFC6480）。這三大模塊確保一個實體能夠驗證誰是某個IP地址或者AS號碼的合法持有者。作為最初的應用模式，RPKI可以使IP地址的合法持有者可驗證地授權某個AS為該地址的路由源。這種可驗證的授權用以構建更加安全的路由表過濾項。除了這一應用模式，RPKI架構未來還可以為諸如S-BGP[2]和soBGP[3]這樣的安全協議提供必要的認證支持。RPKI目前僅支持基于IPv4和IPv6路由，對MPLS（(Multi-Protocol Label Switching）協議的支持尚未進行標準化。

? ? ?為了推動RPKI的實際部署，RPKI架構充分利用了現有的技術和實踐。RPKI的結構和現有的資源分配體系相對應。因此對這種特殊PKI的管理可以看作是目前資源管理及組織運行模式的自然延伸。而且現有的資源分配和回收方式在這套新體系中都有明確的相關定義。因此，雖然該體系最初的目的是為了路由安全的應用，但是也適用于其他需要驗證IP和AS所有權的應用。

? ? ?與大多數的PKI不同的是，RPKI的一個重要屬性是不提供主體身份的擔保。因為RPKI的主要功能是提供授權而不是身份鑒別。RPKI中的兩大證書包括：CA證書用來擔保IP地址和AS號碼的分配；EE證書用來驗證源路由授權（Route Origination Authorizations, ROA）——一種用來表明源路由授權信息的經過簽名的對象。EE證書還能驗證其他的對象，如manifest（資源列表）——用來保證數據庫的完整性。同時，RPKI證書采用了層次化的架構，與互聯網碼號資源分配架構相符。RPKI系統常被分為證書簽發體系（Certificate Authority，CA）、RPKI資料庫系統（Repository）以及依賴方（Relying Party,RP）。

? ? ?近年來，RPKI在全球的部署逐步推進。2012年初，全球五大RIR均已部署自己的RPKI信任錨點，對其會員開放互聯網資源認證業務。在亞太地區，中國互聯網絡信息中心（CNNIC）和日本互聯網絡信息中心（JPNIC）等NIR機構在亞太地區互聯網絡信息中心（APNIC）的協助下，已率先開展RPKI相關工作。

? ? ?