Cloudflare最近宣布支持ASPA(自主系统提供商授权机制)。这一新的加密标准通过验证数据在网络中传输所经过的路径,从而帮助提升互联网路由的安全性,同时防止流量经由不可靠或不受信任的网络进行传输。
ASPA是一种基于RPKI的安全机制,其目的是通过验证路由公告所经过的一系列网络节点,来增强互联网路由(尤其是BGP协议)的安全性,从而减少路由信息泄露以及某些类型的路由劫持行为。这一新兴标准的目标在于提升互联网的可靠性,避免意外或恶意的流量绕行现象。Cloudflare的首席系统工程师Mingwei Zhang与Cloudflare的首席网络工程师Bryton Herdes对此作了解释:
当数据在互联网上传输时,它会记录自己经过的每一个网络节点。ASPA为网络运营商提供了一种方式,使他们能够在RPKI系统中正式公布自己授权的上游服务提供商列表。这样一来,接收数据的网络就可以查看相应的AS_PATH信息,核对相关的ASPA记录,从而确认流量确实只经过了经过批准的网络链。
边界网关协议(BGP)对于在互联网上路由数据至关重要,但它本身并不具备路径验证功能,因此容易发生路由信息泄露或被劫持的情况。虽然RPKI与路由来源授权机制能够加强路由来源的验证工作,但它们并不能检测端到端的传输路径是否合法。ASPA则为网络运营商提供了一种加密方法,使他们能够声明自己授权的服务提供商名单,从而使接收数据的网络能够确认相应的AS_PATH是否符合预期的结构。
ASPA通过验证互联网路由所应遵循的层次结构来检测任何可能的路由绕行行为。在正常的、没有“中间节点”的拓扑结构中,数据会从客户端开始,依次经过一个或多个上游服务提供商,可能会在最高层经过某个对等连接,然后再向下传输到最终的目标客户端。这种从客户端到上游提供商、再经过对等连接、最后回到目标客户端的传输路径,才符合标准的规定。
来源:Cloudflare博客
Cloudflare还在为Cloudflare Radar添加了相关工具,以便追踪ASPA的普及程度。这样,网络运营商就能了解哪些用户正在使用这一技术,以及路径验证的具体流程是怎样的。张和赫德斯警告称:
随着ASPA最终成为现实,我们确实实现了用于互联网路径验证的加密升级。然而,那些从RPKI最初诞生就开始参与路由来源验证工作的人都知道,要在互联网上真正发挥ASPA的价值,还有很长的路要走。需要对RPKI中中继方的数据包、签名器的实现方式、RTR协议软件以及BGP的实现机制进行修改,才能使这些技术真正能够利用ASPA对象来验证路径。
来源:Cloudflare博客
在最近发生的委内瑞拉BGP路由泄露事件中, Cloudflare指出,如果当时使用了ASPA,网络就能通过验证观察到的AS路径是否与预期的提供商授权关系一致,从而检测并拒绝那些异常的路径通告——而仅依靠路由来源验证是无法做到这一点的。
Cloudflare并不是唯一致力于采用这一新加密标准的机构。在去年发布的这篇文章中,AWS团队表示:
尽管ASPA目前仍处于标准化阶段,但我们仍决心使用它以及我们手中所有可用的工具,继续努力让互联网成为一个对所有人来说都是安全可靠的环境。
虽然相关的IETF标准仍处于草案阶段,但Cloudflare指出,ARIN和RIPE NCC已经支持创建ASPA对象,而像OpenBGPD和BIRD这样的路由软件也包含了ASPA验证功能。