C114讯 RPKI是什么？2012之前，可能大多数人都不知晓，也不关心。但是现在，RPKI作为高亮字，密集地出现在各个互联网管理机构和知名互联网社区的会议上：2012年2月，互联网工程任务组（IETF）发布了14个和RPKI相关的技术标准（RFC6480~RFC6493）；2012年10月25日，亚太互联网信息中心（APNIC）对其RPKI系统进行调整，加入全球信任体系；2012年11月9日，互联网治理论坛（IGF）召开了RPKI专题研讨会；今年，国际电信联盟（ITU）的 “世界电信政策论坛 ”秘书长报告征求意见稿，也提及RPKI。RPKI尽管尚不为你我察觉，但已然在影响整个互联网运行安全的“地基”上开始部署。

RPKI（Resource Public Key Infrastructure，互联网基础资源公钥证书体系）是一项由IETF主导研发的用于保障互联网码号资源（IP地址、AS号）注册信息真实性的技术，适用于IPv4和IPv6两个地址空间。RPKI的部署源自一种众所周知的互联网安全威胁—路由劫持。路由劫持对互联网影响极大，可以导致大面积的网络瘫痪。见诸报端的典型路由劫持事件有：1997年4月的“AS 7007 incident”事件、2004年的12月土耳其TTNet路由劫持事件、2006年1月Con-Edison路由劫持事件以及2008年巴基斯坦电信劫持YouTube流量事件等。

由于RPKI的认证关系基本继承了互联网码号资源的层次化分配关系，ICANN及各大区域互联网注册机构（例如APNIC）在RPKI的运行管理范畴影响甚大。同DNSSEC一样，RPKI的部署无形中放大了互联网注册机构的权力。今年RPKI在技术层面以及业务层面的高调亮相，于互联网社区中引起不小的波澜，特别是今年的IGF大会。在IGF的RPKI专题研讨会上，来自London Internet Exchange公共事务主管Malcolm Hutty从互联网业务角度，发表了他对于RPKI部署潜在影响的看法。Malcolm Hutty担心RPKI的部署顾此失彼，解决了一个技术问题，却带来了新的安全隐患。这种隐患是否已经被互联网工业界正确的评估，或者能够安全迁移，需要互联网社区马上着手考虑。Malcolm Hutty重点谈到，一旦RPKI大面积部署且被广泛地用于路由决策，证书的撤销就意味着IP地址空间的“不可达”，这种来自互联网注册机构的“权威控制”如何限制以及由此带来的法律纠纷甚至是政治纠纷如何处理，都是RPKI在全球范围部署应用需要直面的问题。

针对Malcolm Hutty的发言，APNIC主席Paul Wilson进行了回应。Paul Wilson认为，APNIC作为RIR，在部署RPKI前后，其对互联网的管理权限并无差异（没有明显强化RIR对互联网的管理权力）。通过RPKI服务，RIR旨在提供更好地“IP地址分配验证信息”，清楚地表明某个IP地址空间的合法持有者是谁，为ISP在进行路由决策时提供“参考”。Paul Wilson认同Malcolm Hutty的观点，认为RPKI的实际应用还有很多问题需要解决，非短期内可在全球部署。然而，会议中Paul Wilson以及ISOC（国际互联网协会）顾问Sebastian Bellagamba一再强调当前路由系统的脆弱以及由此带来的严重后果（伪造的“路由起源通告”可以轻易地将某个网络从互联网地图中“抹掉”），他认为RPKI的部署是必要的，只是问题尚未解决完毕。

不难察觉，此番IGF的RPKI专题研讨会向外界传递出一个信号：RPKI的部署势必涉及互联网管理问题，以ICANN为代表的互联网注册机构和各国政府如何在RPKI运行问题上协调立场，将是今后一段时间互联网政策范畴的新热点。