資源公鑰基礎設施

RPKI為將網際網路碼號資源信息（如自治系統號碼和IP位址）連線到一個信任錨提供了一種方式。它的證書結構反映了網際網路碼號資源的分發方式，即資源最初由IANA分配到區域網際網路註冊管理機構（RIR），區域機構再將其分配給本地網際網路註冊管理機構（LIR），最後由本地機構將資源分配給其客戶。資源的合法持有人可以使用RPKI來控制網際網路路由協定的運行，以防止路由劫持和其他攻擊。尤其是RPKI可通過BGPSEC保護邊界網關協定（BGP），以及以安全鄰居發現協定（SEND）作為IPv6的鄰居發現協定。

RPKI架構被記錄於RFC 6480。RPKI規範記錄於一系列RFC：RFC 6481、RFC 6482、RFC 6483、RFC 6484、RFC 6485、RFC 6486、RFC 6487、RFC 6488、RFC 6489、RFC 6490、RFC 6491、RFC 6492和RFC 6493。SEND記錄於RFC 6494和RFC 6495。這些RFC由IETF的SIDE工作組的製作，並是基於RFC 4593記錄的一份威脅分析。這些標準涵蓋了BGP源驗證，而路徑驗證（BGPSEC）則還在進展中。前綴源驗證目前已有數個實現。

RPKI使用X.509PKI證書（RFC 5280） 附有IP位址和AS標識符擴展（RFC 3779）的。它允許區域網際網路註冊管理機構的成員即本地網際網路註冊機構（LIR）獲取一個資源證書，列出其持有的網際網路碼號資源。這為其持有提供了有效證據，但應注意該證書不包含身份信息。通過使用資源證書，本地機構可以為其對所持有前綴執行路由宣告一事創建密碼學證明。這些證明被稱為路由源授權（ROA）。

路由源授權狀態表示著自治系統（AS）是否已被授權作為特定IP前綴的源頭。此外，它可以確定AS已被授權宣告的最大前綴長度。

最大前綴長度

最大前綴長度是一個可選欄位。當它未定義時，AS僅被授權宣告明確指定的前綴，任何更具體的前綴宣告被視為無效。這是以宣告更具體前綴來強制實施聚合併防止劫持的一種方式。

當它存在時，這指定了AS已被授權宣告具體IP前綴的長度。例如，如果IP位址前綴為10.0/16，最大長度為22，則該AS被授權宣告10.0/16下的任何前綴，只要沒有超出/22的範圍。因此本例中，該AS被授權宣告10.0/16、10.0.128/20或10.0.252/22，但不含10.0.255.0/24。

當為特定源AS和前綴創建一個ROA時，它將對一個或多個路由宣告的RPKI有效性產生影響。它們可以是：

注意，無效的BGP更新也可能是由於配置不正確的ROA所造成。

已有開源工具可用於運行證書頒發機構和管理資源證書以及子對象（例如ROA）。此外，區域機構在其成員門戶有託管的RPKI平台。本地機構可以選擇依賴於一個託管的系統，或運行自己的軟體。

該系統不使用單個存儲庫發布點來發布RPKI對象，而是由由多個存儲庫發布點組成。每個存儲庫發布點與一個或多個RPKI證書發布點相關聯。在實踐中，這意味著運行一個證書頒發機構時，本地機構可以選擇自己發布所有加密資料，也可以依賴第三方發布。當本地機構選擇使用由區域機構提供的託管系統時，原則上發布將在區域機構的存儲庫中完成。

相關各方運行本地的RPKI驗證工具，它們指向不同的RPKI信任錨，並使用rsync收集用於發布各存儲庫的所有加密對象。這將創建一個本地驗證的快取，用於進行BGP路由決策。

在ROA驗證後，該證明可以與BGP路由一同協助網路運營商的決策過程。這可以手動完成，但已驗證前綴的原始數據也可以使用RPKI to Router Protocol (RFC 6810)傳送到支持的路由器。思科系統在眾多平台提供了獲取RPKI數據集的原生支持，並在路由器配置中使用。瞻博網路在運行12.2或更新版本的所有平台上提供支持。Quagga通過BGP Secure Routing Extensions (BGP-SRx)或基於RTRlib的一個RFC完全兼容RPKI實現獲得此功能。RTRlib提供了一個RTR協定和前綴源驗證的開源C實現。該庫對於路由軟體的開發人員有用，但也適用於網路運營商。開發人員可以將RTRlib集成到BGP守護程式中，以實現將其擴展到RPKI。網路運營商也可以使用RTRlib開發監控工具（例如，檢查快取的正常運行或評估其性能）。

RFC 6494更新了鄰居發現協定（ND）的安全機制（即安全鄰居發現協定，SEND）的證書驗證方法，以便在IPv6中使用RPKI。它使用修改的RFC 6487 RPKI證書配置定義了SEND證書配置，其中包含一個RFC 3779 IP位址委派擴展。