随着越来越多的网络对其BGP路由实施资源公钥基础设施（RPKI）验证和签名机制，以保护自己免受路由劫持和泄漏，万一关键的 RPKI关掉，会发生什么？

这是美国互联网号码注册管理机构（ARIN）的最新公告背后的想法，这家机构运营着许多网络依赖的关键RPKI基础设施。

ARIN计划在7月的某个时候对其RPKI进行不作通知的维护，大概持续30分钟，检查网络是否遵守BGP最佳实践。

RPKI是一种加密框架，旨在保护互联网的路由基础设施，主要是边界网关协议（BGP）。其工作原理是，对负责将路由与始发AS编号关联起来的记录进行签名。

上个月，美国最大的宽带提供商之一康卡斯特在其网络上实施了RPKI，以阻止BGP劫持攻击和泄漏。

今年4月，一次严重的BGP泄漏导致全球成千上万个网络受到影响，因此各网络需要加强BGP路由安全。

ARIN将出其不意地暂时关闭RPKI

本周，ARIN宣布计划在今年7月的某个时候出其不意地关闭RPKI，大概持续30分钟。

这番演习背后的初衷是，如果ARIN的关键RPKI（许多网络依赖它）果真遇到中断或故障，网络应准备好回到使用未经验证的通告来路由。

这是RFC 7115中描述的众多最佳实践之一：

RFC 7115规定，RPKI 验证的路由通告应该是首选，不拒绝那些未经验证的通告。

“我们希望确保ARIN和更广大的RPKI社区做好准备，以防万一无法访问ARIN的 RPKI存储库。”

“为此，我们鼓励使用ARIN的RPKI存储库数据的运营商遵循RFC 7115/BCP 185中描述的最佳实践——具体是指在缺乏RPKI数据可用性的情况下，回到使用未经验证的通告（即NotFound有效性状态）来路由”，ARIN路由安全高级产品负责人Brad Gorman如是说。

正因为如此，依赖ARIN的RPKI路由分类的组织应在下个月之前审查自己的运营模式，到时会出现意外维护。

ARIN对大局有何影响？

ARIN 是确保RPKI正常工作的五大区域互联网注册管理机构（RIR）之一：

ARIN是支持RPKI（Cloudflare）的区域互联网注册管理机构（RIR） 之一

RIR与ARIN一样，为成员拿来IP-ASN对（IP-ASN pair）后对ROA（路由源授权）记录进行签名提供了一种方法。

ROA是一个数字签名的对象，作为RPKI系统的一部分，它使任何人都可以验证IP地址块持有者是否已授权AS（自治系统）向该地址块内的一个或多个前缀发起路由：