在上一篇文章中，我們了解了BGP協議及路由表的運作原理

本篇將要來分享RPKI安全驗證

RPKI原名Resource Public Key Infrastructure，意思也就是 資源 公鑰 基礎建設
那他是一個基於公共密鑰基礎建設框架，用於保護網際網路路由基礎建設，特別是在BGP協定上

全球目前大約有24%部署了RPKI，有76%沒有部署

那麼，RPKI的原理是什麼呢？

其原理就是 用戶啟用ROA授權指定ASN，接著路由伺服器檢查進入的路由RPKI是否正確

像有些網站提供了RPKI驗證查詢 https://rpki.cloudflare.com/

那麼，RPKI要怎麼去過濾呢？他的數據來源？

首先，RPKI是需要從RIR(互聯網管理機構)去抓取數據的，擁有者也需要到RIR去進行部署
以RIPE(歐洲互聯網管理機構)為例，用戶可以自行選擇是否架設一個RPKI伺服器或是交給RIR託管

RPKI可以做什麼

可以保護IP不被盜播，舉個例子
我擁有兩個AS號碼(自治號碼)，有一天我將我第一個號碼的prefix分給第二個號碼來廣播
不過我只有新增IRR紀錄，也就是 route6 object．

但是，我的RPKI分配的AS是我第一個號碼的，這就導致有些地方收不到我的路由（因為RPKI invalid）

可能有些人會想問，疑 如果沒有部署RPKI呢？

我們在上面有說到RPKI部署率不高，所以目前並不是每個ISP都有部署RPKI unknow不通行

如果通行了... 全球可能很多地方的使用者將無法訪問網際網路

（打開 Cloudflare 的RPKI網站... 嗯，一堆ISP都沒有部署RPKI呢）